Информационная безопасность – один из наиболее важных аспектов общей экономической безопасности профессиональной деятельности предприятий, организаций, государственных структур. С помощью информационной безопасности характеризуется состояние защищенности бизнес-среды организации.
Защита информации – специализированное направление деятельности, направленное на предупреждение утечек данных, получение несанкционированного доступа к информационным системам, а также иных воздействий, которые оказывают отрицательное воздействие на стабильность деятельности организации и экономических агентов, которые с ней связаны. Поэтому оперативная, качественная, грамотно выполненная оценка информационной безопасности, рисков ее уменьшения или полной потери – актуальная проблема любой компании.
Учитывая тот факт, что сейчас принято выделять сразу несколько видов источников угроз, оказывающих влияние на информационную безопасность (природные, техногенные, человеческие преднамеренные и непреднамеренные), можно говорить о том, что создание методов и алгоритмов оценки риска уменьшения или утраты информбезопасности – непростая, но при этом крайне важная задача для современных информационных систем, при реализации которой требуется выполнить сразу несколько обязательных условий:
- Требуется выстроить гибкие модели информационной системы, создать ее комплексное описание, учитывая программно-аппаратные ресурсы, внутренние и внешние угрозы, уязвимости. Важно, чтобы выстроенные модели могли быть настроены с учетом специфики деятельности конкретной компании.
- Необходимо создание максимально прозрачного метода оценки рисков, чтобы у владельца была возможность с нужным уровнем эффективности дать оценку применимости и действенности метода к определенной информационной системе.
- Математическая модель оценки информационной безопасности, принимая во внимание существенное число факторов риска, должна допускать создание высокоэффективных числовых алгоритмов обработки информации.
Для оценки рисков информбезопасности необходимо выделение и анализ, если есть возможность, всех, либо, как минимум, главных угроз и уязвимостей, посредством которых реализуются угрозы, воздействующие на информационную систему в смысле отказов или уменьшения ее функциональности. Сейчас есть методы оценки рисков информбезопасности, к наиболее распространенным из которых относятся:
- Методика оценки рисков, которая базируется на создании модели угроз и уязвимостей.
- Методика оценки риски, которая базируется на создании модели информационных угроз.
Первый метод базируется на применении, в основном, статистических и экспертных данных о киберугрозах и уязвимостях. Чтобы оценить риски в инфосистеме предприятия, специалистами сначала устанавливается уровень защищенность каждого важного ресурса с использованием оценки вероятности реализации киберугроз, воздействующих на определенных ресурс компании (к примеру, вероятность возникновения проблем в функционировании системы информационной безопасности из-за недостаточной квалификации работников, отсутствие или использование устаревшего программно-аппаратного обеспечения и т. д.), а также уязвимостей, сквозь которые определенные угрозы реализуется. С помощью такой оценки вероятности можно распределять угрозы и уязвимости по уровню их рисковости.
Ввиду того, что риски информбезопасности взаимосвязаны с использованием современных информационных технологий, которые определяют эффективность профессиональной деятельности компании в ее инновационном аспекте, то они относятся к категории «инновационных рисков». Если определять инновационный риски в качестве «вероятности утраты из-за неправильно установленной иди недостигнутой стратегической цели», при характеристике рисков отказа работоспособности системы оптимальным решением видится применение такого параметра, как уровень затрат (по общей стоимости и материальным затратам) на восстановление функционирования системы.
Учитывая экспертно установленные данные о рисках, уязвимостях, затратах по каждому из ресурсов, есть возможность выстраивания модели угроз и уязвимостей, которые актуальны для информационной системы организации, проанализировать работоспособности информационной системы с точки зрения сведения к минимуму рисков отказа или уменьшения работоспособности системы и, соответственно, увеличения ее эффективности по критерию информационной безопасности.
