сть випадкових загроз може оцінюватися з використанням статистики і досвіду. Імовірність таких загроз може залежати від близькості організації до джерел небезпеки, таким як автомагістралі та залізничні шляхи, а також заводи, котрі мають справу з небезпечними матеріалами, такими як хімічні речовини або бензин. Імовірність людських помилок (одна з найбільш поширених випадкових загроз) і поломки обладнання також повинні бути оцінені.
· Минулі інциденти. Це інциденти, що відбувалися в минулому, які ілюструють проблеми, наявні в існуючих захисних заходах.
· Нові розробки і тенденції. Це включає в себе звіти, новини та тенденції, отримані з Інтернет, груп новин або від інших організацій, які допомагають оцінювати ситуацію з погрозами.
Імовірність реалізації загроз повинна оцінюватися на основі такої оцінки і на базі шкали, обраної для оцінки загроз та вразливостей. Загальна ймовірність інциденту також залежить від вразливостей ресурсів, тобто наскільки легко уразливості можуть бути використані.
Обчислення та оцінювання ризиків:
Обчислення рівнів ризиків проводитися шляхом комбінування вартості ресурсів, що виражає ймовірні наслідки порушення конфіденційності, цілісності та/або доступності, з оцінною ймовірністю пов'язаних з ними загроз і величиною вразливостей, які при об'єднанні стають причиною інциденту.
Організація сама повинна визначити метод оцінки ризиків, найбільш підходящий для її бізнес вимог та вимог безпеки. Обчислені рівні ризиків дозволяють ранжувати ризики та ідентифікувати ті ризики, які є найбільш проблематичними для організації.
Існують різні способи встановлення відносин між вартістю, присвоєної ресурсам, ймовірністю загроз і величиною вразливостей для отримання одиниць виміру ризиків.
Ризик визначається двома факторами, один їх них виражає наслідки, що настають у разі здійснення ризику, а інший висловлює ймовірність того, що ця подія може статися.
Фактор, що визначає наслідки ризику, заснований на визначенні вартості ресурсу, а імовірнісний фактор ризику, базується на погрозах і уразливість і їхніх оцінних величинах.
Наступною частиною оцінювання ризику є порівняння обчислених рівнів ризику зі шкалою рівня ризику. Рівні ризику повинні бути виражені в термінах втрат для бізнесу і часу відновлення, як, наприклад, «серйозної шкоди для бізнесу організації, від якого організація не може відновитися раніше, ніж за півроку». Встановлення зв'язку між рівнями ризику і бізнесом організації необхідно для того, щоб реалістично оцінювати вплив, який обчислені ризики чинять на бізнес організації, і доносити сенс рівнів ризику до керівництва.
Оцінювання ризиків повинно також ідентифікувати прийнятні в більшості випадків рівні ризику, тобто ті рівні ризику, при яких оцінюваний збиток настільки малий, що організація справляється з ним не перериваючи свого повсякденного бізнесу, і при яких, тому, подальші дії не потрібні.
2.2 Аналіз інформаційних ризиків
Модель порушника:
Модель порушника представляє з себе певний опис типів зловмисників, які навмисно або випадково, дією чи бездіяльністю здатні завдати шкоди інформаційній системі. Найчастіше вони поділяються на зовнішніх, внутрішніх та інших (відповідно, категорії А, В і C). Однак такий розподіл не є достатнім. Тому ранжування проводиться з диверсифікацією зазначених категорій на підкатегорії.
Таблиця 1. Модель порушника
ІдентіфікаторНаіменованіеОпісаніе возможностейA1Внешній нарушітельB1Внутренній нарушітельЛіца, що мають санкціонований доступ в контрольовану зону, але не мають доступ до інформаційного ресурсу.B2Внутренній нарушітельЗарегістрірованний користувач інформаційного ресурсу, який має обмежені права доступу до данним.C1Вредоносная программаПрограммние закладки («Троянський кінь», спеціальні програми: клавіатурні шпигуни, програми підбору паролів віддаленого доступу та ін.) Програмні віруси.C2Сбоі, відмови устаткування
Ресурси інформаційної системи:
В якості об'єктів інформаційної системи, до яких застосовувався огляд загроз, були обрані основні компоненти мережі:
· Domain Controller
· Exchange
· Сервер БД
· Термінальний Сервер
· Маршрутизатор
· Комутатор
· Робоче місце центрального офісу
· Робоче місце магазину
· Канал зв'язку
Комп'ютери робочих місць центрального офісу та магазину були...