л. p align="justify">. Визначення уразливих місць: з'ясовується вразливість по кожному елементу системи з оцінкою можливих джерел загроз. При цьому необхідно враховувати, що з'являються нові погрози стосовно старих сервісам, а також самі нові сервіси й асоційовані з ними погрози. p align="justify">. Оцінка ймовірностей реалізації загроз.
. Оцінка очікуваних розмірів втрат. Цей етап складний, оскільки не завжди можлива кількісна оцінка даного показника (наприклад, збитку репутації банку при порушенні конфіденційності інформації про рахунки і операції клієнтів). Також рекомендується обчислення ризику від прояву загрози (наприклад, як твори ймовірності прояви загрози на витрати по запобіганню загрози або ліквідації наслідків реалізації загрози). p align="justify">. Складання необхідного і достатнього переліку заходів захисту з детальним аналізом можливих методів і засобів захисту. p align="justify">. Оцінка виграшу від пропонованих заходів, якщо очікувані втрати більше допустимого рівня, необхідно посилити заходи захисту. p align="justify"> Для аналізу ризиків використана модель, розроблена фахівцями американської фірми ЮМ. Розглянемо розвиваються на цій моделі підходи. p align="justify"> Вихідною посилкою при розробці моделі є майже очевидне припущення: з одного боку, при порушенні захищеності інформації наноситься деякий збиток, з іншого - забезпечення захисту інформації пов'язане з витрачанням коштів. Повна очікувана вартість захисту може бути виражена сумою витрат на захист і втрат від її порушення. Цілком очевидно, що оптимальним рішенням було б виділення на захист інформації засобів, що мінімізують загальну вартість робіт із захисту інформації. p align="justify"> Для того щоб скористатися даним підходом до вирішення проблеми, необхідно знати (або вміти визначати), по-перше, очікувані втрати при порушенні захищеності інформації, а по-друге, залежність між рівнем захищеності та засобами, затраченими на захист інформації.
Рішення першого питання, т, е. оцінки очікуваних втрат при порушенні захищеності інформації, принципово може бути отримано лише тоді, коли мова йде про захист промислової, комерційної і їм подібної таємниці, хоча і тут зустрічаються досить серйозні труднощі. Що стосується оцінки рівня втрат при порушенні статусу захищеності інформації, яка містить державну таємницю, то тут до теперішнього часу строгі підходи до їх отримання не знайдені. Дана обставина істотно звужує можливу область використання моделей, заснованих на розглянутих підходах. Тим не менш, спробуємо визначити очікувані втрати методом експертного опитування. p align="justify"> Для визначення рівня витрат, що забезпечують необхідний рівень захищеності інформації, необхідно принаймні знати, по-перше, повний перелік загроз інформації, по-друге, потенційну небезпеку для інформації для кожної з загроз і, в- третіх, розміри витрат, необхідних для нейтралізації кожної із загроз.
