Снижение параметра SLE, т. е. вероятности реализации угрозы, может быть достигнуто за счет технических мер. Например, при наличии угрозы кратковременного отключения электропитания установка источника бесперебойного питания снижает вероятность ее реализации.
Возникшие (оставшиеся) после применения методики управления риски называются остаточными, и именно они применяются для обоснования инвестиций в информационную безопасность. Перерасчет рисков производится в отношении всех рисков, если они оценены как высокие и средние.
Анализ информационных рисков - это процесс определения угроз информации, уязвимостей информационной системы и возможного ущерба. Анализ информационных рисков служит для количественной оценки возможного материального ущерба (в т.ч. в денежном выражении) от реализации выявленных угроз безопасности информации, а также при страховании информационных рисков (в этом случае Северо-Западный центр защиты информации "Актив" может выступать в качестве главного).
Этапами анализа информационных рисков являются:
• классификация информационных ресурсов по критериям безопасности;
• оценка стоимости ресурсов;
• анализ угроз безопасности информации с определением перечней актуальных источников угроз и актуальных уязвимостей;
• определение перечня возможных атак на объект защиты и механизмов их реализации;
• оценивание возможного ущерба и последствий реализации угроз;
• формирование перечня, классификация и определение характеристик информационных рисков, оценка эффективности существующих методов управления рисками;
• выработка предложений по управлению рисками с помощью организационных, административных и технических мер и средств защиты информации.
Результат выполнения:
• отчет с описанием реальных угроз безопасности информации и уязвимостей системы, а также расчетом всех возможных информационных рисков банка и прогнозом их реализации.
• результаты анализа и оценки используются при выборе адекватных оптимальных методов парирования угроз, а также для составления бюджета дальнейших работ по защите информации и построения системы парирования угроз, адекватной самим угрозам.
Оценка информационных рисков.
Развитие ИТ-инфраструктуры банка неизменно влечет за собой неконтролируемый рост числа информационных угроз и уязвимостей информационных ресурсов. В этих условиях оценка информационных рисков позволяет определить необходимый уровень защиты информации и осуществлять его поддержку, а также выработать стратегию развития информационной структуры банка.
Точно определить возможный ущерб от большинства информационных и телекоммуникационных рисков (IT-рисков) довольно сложно, но примерно оценить их вполне возможно.
Обозначим основные статьи расходов, которые несет банк в процессе создания и эксплуатации системы риск-менеджмента.
1. Построение технологии управления рисками: определение стратегии банка, создание карты рисков, определение стоимости рисков, определение методов контроля риска и управления риском.
2. Подбор, приобретение и внедрение программного обеспечения (ПО).
3. Регламентирование бизнес-процессов.
4. Поддержание технологии в актуальном состоянии.
5. Ведение данных.
6. Сопровождение ПО.
Все эти затраты могут быть оценены количественно — в денежном выражении или в трудозатратах.
Для принятия решения о целесообразности внедрения той или иной технологии управления рисками и покупки ПО, поддерживающего выбранную технологию, банк, как правило, сравнивает планируемые затраты на внедрение и прогнозируемый эффект от внедрения. В расчете следует учесть не только разовые затраты в ходе внедрения, а также стоимость поддержания технологии в актуальном состоянии и сопровождения ПО. Эффект от внедрения системы — долговременный. По нашему мнению, при определении стоимости внедрения технологии управления рисками следует рассчитывать не менее чем на пять лет функционирования системы и экстраполировать прогнозируемый эффект соответственно.
Разработка и реализация политики по минимизации информационных и телекоммуникационных рисков (IT-рисков) не принесет пользы, если рекомендуемые стандарты и правила неверно используются, например, если сотрудники не обучены их применению и не понимают их важности. Поэтому работа по обеспечению IT-безопасности должна быть комплексной и продуманной [16].
Популярные материалы:
Современные тенденции в наличном денежном обращении
В 2010 году наличное денежное обращение функционировало в условиях восстановления экономики после ее спада в связи с финансово-экономическим кризисом. Рост по сравнению с аналогичным периодом 2009 году наблюдается по всем ключевым индикаторам экономики: ВВП, индексу промышленного производства, обор ...
Сущность операций с простыми и переводными
векселями
В простом векселе участвуют только два лица, и его выписывает и подписывает должник, обязуясь возвратить определенную сумму в определенный срок в определенном месте. К обязательным реквизитам простого векселя относятся: наименование «вексель», включенное в текст документа и написанное на языке, на ...
Имущественное страхование
«Имущественное страхование согласно ст. 4 Закона «О страховании» представляет собой систему отношений между страхователями и страховщиками по оказанию страховой услуги, когда защита имущественных интересов связана с владением, пользованием или распоряжением имуществом. Страхователями по имущественн ...
Ценные бумаги представляют собой денежные документы, удостоверяющие права собственности или отношения займа владельца документа по отношению к лицу, выпустившему такой документ (эмитенту).
Перестройка внешнеэкономической деятельности нашей страны требует соответствующих изменений в работе коммерческих банков во всем многообразии их внешних и внутренних связей.