Хелпикс

Главная

Контакты

Случайная статья



Таблица для заполнения уровней риска

Стр 1 из 2Следующая ⇒


 


Лабораторная работа № 12

Методика определения
информационных рисков

Цель работы: освоить технологию качественной оценки информационного риска по трехфакторной модели.

Введение

Под информационным риском понимают средние ожи­даемые потери объекта защиты от реализации угрозы при существовании и использовании уязвимости в системе за­щиты информации. Таким образом, информационный риск оценивает средний размер ущерба, который может быть на­несен в результате некоторого негативного события.

Методика определения информационных рисков базиру­ется на трехфакторной модели:

 

 

                  R = Pуг*Pузп ,          (1.1)

 

'

где R — значение (уровень) информационного риска; Руг — вероятность появления угрозы; Руз — вероятность использо­вания уязвимости системы защиты информации; Сп—потери от свершившегося происшествия.

При управлении рисками определяются угрозы, уязви­мости, оценивается возможный ущерб и вырабатываются контрмеры.

Оценка рисков осуществляется до и после внедрения контрмер.

Если рассматриваемые факторы оцениваются количествен­но, то говорят о значении риска (количественное измерение размера ущерба). Если эти факторы оцениваются качественно на основании информации экспертов, то речь идет об уровне информационного риска. В лабораторной работе рассматри­вается второй подход.

Лабораторная работа состоит из двух частей.

В первой части работы экспертно создается таблица для определения уровня информационного риска от выделенных трех факторов.

Во второй части работы определяется уровень информа­ционного риска конкретной анализируемой ситуации.

Создание таблицы для определения уровня

информационного риска от трех факторов

 

Рассмотрим первую часть лабораторной работы (модели­рует работу экспертов). Все три фактора, входящие в фор­мулу (1.1), оцениваются специалистами, ответственными за информационную безопасность в организации. При этом они используют шкалы, которые подготавливают эксперты по всем трем факторам и по информационному риску. В общем слу­чае шкала характеризуется числом уровней, наименованием уровней, а также экспертным описанием каждого уровня или специальной таблицей.

В лабораторной работе для вероятностей Руг и Руз исполь­зуются три шкалы (наименования уровней заглавные русские буквы):

ШРЗ (3 уровня): низкий (Н), средний (С), высокий (В);

ШР4 (4 уровня): низкий (Н), средний (С), высокий (В), очень высокий (ОВ);

ШР5 (5 уровней): очень низкий (ОН), низкий (Н), сред­ний (С), высокий (В), очень высокий (ОВ).

Для информационного риска используются три шкалы (наименования уровней — заглавные русские буквы):

ШR3 (3 уровня): низкий риск (НР), средний риск (СР), высокий риск (ВР);

ШR4 (4 уровня): низкий риск (НР), средний риск (СР), высокий риск (ВР), очень высокий риск (ОВР);

ШR5 (5 уровней): очень низкий риск (ОНР), низкий риск (НР), средний риск (СР), высокий риск (ВР), очень вы­сокий риск (ОВР).

Необходимо построить таблицу для определения уровня информационного риска от трех факторов. Таких таблиц получается четыре в зависимости от уровней вероятностей (Руг, Руз): (3, 3), (3,4), (4,4), (4, 5). Число строк в этой таблице зависит от числа уровней вероятностей (Руг, Руз): а) (3,3) — 9 строк; (3,4) —12 строк; (4,4) —16 строк; (4,5) — 20 строк.

Число столбцов этой таблицы зависит от числа уровней шкалы потерь (ШС5), в нашем случае 5 столбцов. Для примера приведена таблица для уровней (3,3) (табл. 1.1). Заполнение таблицы 1.1 зависит от числа уровней риска. Это заполнение выполняет студент, исходя из своего варианта. Приведем при­мер ее заполнения для 3-уровневого риска (табл. 1.2).

Таблица 1.1

Таблица для заполнения уровней риска


12Следующая ⇒
  

© helpiks.su При использовании или копировании материалов прямая ссылка на сайт обязательна.