 |
Для любой информационной системы риском является вероятность нанесения деструктивного воздействия ее компонентам посредством реализации угрозы информационной безопасности. Соответственно одним из самых необходимых компонентов, лежащих в основе создания системы информационной безопасности, является методология оценки рисков. Настоящая статья посвящена исследованию методологии оценки рисков информационной безопасности. Рассматривается методологическая база терминологии информационной безопасности, в которой показывается взаимосвязь рисков с другими составляющими процесса информационной безопасности. Также приводится пример типовой информационной системы организации. Исследуемая методология базируется на экспертной методике анализа рисков в соответствии со стандартом ИСО/МЭК 27005-2011, включающей в себя: идентификацию активов, идентификацию угроз, идентификацию уязвимостей, идентификацию принятых контрмер, идентификацию последствий, измерение риска, оценку последствий, измерение уровня риска. Актуальность темы в настоящий момент обусловлена постоянно растущим количеством киберугроз, активностью злоумышленников в информационной среде, а также переходом от угрозо-ориентированной методике разработки систем информационной безопасности к риск-ориентированному подходу. Результат работ может быть использован при построении систем обеспечения информационной безопасности в различных организациях, независимо от их масштаба и сферы деятельности.
Ключевые слова: Риск, угроза, уязвимость, инцидент, актив, конфиденциальность, целостность доступность, вероятность, последствия, контрмера.
|