Анализ и оценка информационных рисков

Всем известное слово «риск» означает возможность или вероятность наступления событий с отрицательными последствиями.

В сфере информационной безопасности такими событиями могут быть, например, хищение, уничтожение, искажение, или, что аналогично, препятствие к доступу к информации, не имеющей статуса общего пользования, обрабатываемой в корпоративной информационной системе. Их называют угрозами информационной безопасности. А «Информационный риск» - это вероятность реализации угрозы. Оценка информационного риска – определение численного значения этой вероятности.

Обычно анализ информационных рисков проводится на основе результатов комплексного обследования защищенности ИС (аудита информационной безопасности). В качестве методической базы используются отечественные и западные как западные, так и отечественные методики. Для проведения качественного анализа необходимо активное участие в работах представителей Заказчика.

Реализация угроз информационной безопасности может нанести бизнесу значительный материальный ущерб, вплоть до выведения из строя самой информационной системы. Для противодействия угрозам предназначена система обеспечения безопасности информации (СОБИ). Но построить систему, которая будет готова противостоять всем, даже маловероятным угрозам, практически невозможно. Стоимость такой защиты может превысить размер возможного ущерба.

Найти баланс между величиной информационных рисков, возможным материальным ущербом от их реализации, и стоимостью СОБИ позволяет анализ информационных рисков.

В результате анализа Заказчику предоставляется отчет, который может быть использован для оценки вероятного материального ущерба, и составления бюджета на построение и развитие СОБИ.