А.И. ДАВЫДЕНКО Научный руководитель – Е.В. МАТРОСОВА, к.эк.н.
advertisement
А.И. ДАВЫДЕНКО Научный руководитель – Е.В. МАТРОСОВА, к.эк.н. Национальный исследовательский ядерный университет «МИФИ» ПОДХОД К АНАЛИЗУ РИСКОВ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ В рамках реализации программы повышения качества обработки и защиты информации возникла необходимость разработки новых подходов и моделей оценки безопасности информационных систем лечебно-организаций или адаптации к специфике деятельности существующих методов управления. Неотъемлемой составляющей процесса управления рисками информационной безопасности является оценка риска. В оценку риска может входить оценка затрат, требований законодательства, социальных, экономических и экологических аспектов, проблем заинтересованных лиц, приоритетов и других факторов. На основе результатов оценки риска информационной безопасности лица, принимающие решения, могут разработать и реализовать соответствующие управленческие мероприятия по установке приоритетов в управлении рисками и требований к информационной безопасности. После определения требований и оценки рисков для идентифицированных информационных активов должны быть выбраны и реализованы необходимые меры и средства контроля и управления для уменьшения рисков до уровня, приемлемого для организации. При анализе требований для защиты информационных активов и применения соответствующих средств управления для обеспечения необходимой защиты этих информационных активов необходимо использовать основные принципы, способствующие успешной работы системы информационной безопасности: понимание необходимости системы информационной безопасности; назначение ответственных лиц и определение меры ответственности за информационную безопасность; выявление наличия личных интересов при определении административных обязанностей; возрастание социальных ценностей; оценка риска, определяющая соответствующие меры и средства контроля и управления для достижения допустимых уровней риска; безопасность как неотъемлемый существенный элемент информационных сетей и систем; активное предупреждение и выявление инцидентов информационной безопасности; обеспечение комплексного подхода к менеджменту информационной безопасности; непрерывная переоценка и соответствующая модификация системы информационной безопасности. После сбора первичной информации о рисках необходимо провести их группировку. Одним из возможных признаков группировки может быть выбрана степень проявления и степени значимости рисков (табл.1.) [1]. Раздел Степень проявления Степени значимости Таблица 1. Группировка рисков Показатель 0 – риск рассматривается как несущественный 25 – риск, скорее всего, не реализуется 50 – риск имеет равные шансы проявления или неосуществления 75 – риск, скорее всего, проявится 100 – риск проявится наверняка Низкий риск Умеренный риск Высокий риск Обязательным этапом анализа является определение весовых коэффициентов показателей внутри каждого профиля. Для этого может быть использован метод анализа иерархий Томаса Саати (МАИ), который представляет собой математический инструмент системного подхода к сложным проблемам принятия решения. [2] В рамках данного метода проводится построение иерархической структуры показателей, обработка собранных данных и расчет итоговых весовых значений показателей риска. В результате проведенных аналитических работ каждый риск приобретает весовой коэффициент, который характеризует его место в общей иерархии рисков, а также для принятия корректных управленческих решений должна быть сформирована стоимостная оценка риска. Список литературы 1. В.Н. Вяткин, И.В. Вяткин, В.А. Гамза, Ю.Ю. Екатернославский, Дж. Дж. Хэмптон под ред. И. Юргенса. Риск-менеджмент: Учебник / М.: Издательско-торговая корпорация «Дашков и К», 2003 — 512 с. . 2. Саати Т. Л. Принятие решений. Метод анализа иерархий. М.: Радио и связь, 1989. — 316 с.
