АНАЛИЗ ИНФОРМАЦИОННЫХ РИСКОВ Анализ информационных рисков - это процесс определения угроз информации, уязвимостей информационной системы и возможного ущерба. Анализ информационных рисков служит для количественной оценки возможного материального ущерба (в т.ч. в денежном выражении) от реализации выявленных угроз безопасности информации, а также при страховании информационных рисков (в этом случае Северо-Западный центр защиты информации «Актив» может выступать в качестве сюрвея). Этапами анализа информационных рисков являются: • классификация информационных ресурсов по критериям безопасности; • оценка стоимости ресурсов; • анализ угроз безопасности информации с определением перечней актуальных источников угроз и актуальных уязвимостей; • определение перечня возможных атак на объект защиты и механизмов их реализации; • оценивание возможного ущерба и последствий реализации угроз; • формирование перечня, классификация и определение характеристик информационных рисков, оценка эффективности существующих методов управления рисками; • выработка предложений по управлению рисками с помощью организационных, административных и технических мер и средств защиты информации. Результат выполнения: • Отчет с описанием реальных угроз безопасности информации и уязвимостей системы, а также расчетом всех возможных информационных рисков компании и прогнозом их реализации. • Результаты анализа и оценки используются при выборе адекватных оптимальных методов парирования угроз, а также для составления бюджета дальнейших работ по защите информации и построения системы парирования угроз, адекватной самим угрозам.
|