Читайте также:
|
|
Р | Частота проявления угрозы | Р | Частота проявления угрозы |
Раз в 300 лет | Раз в 10 дней | ||
Раз в 30 лет | Раз в день | ||
Раз в 3 года (1000 дней) | 10 раз в день | ||
Раз в 100 дней | 100 раз в день |
6. Методики оценки, основанные на методе многофакторных испытаний. В этих методиках определяют наиболее значимые факторы (проявившиеся признаки), оказывающие влияние на оцениваемую величину, в данном случае это вероятность реализации угрозы или ожидаемые потери. Затем рассчитывают коэффициенты, соответствующие факторам, и получают математическую зависимость (полином) от этих факторов, например:
где bi - коэффициент i-го фактора; xi - оценка i-го фактора; k - число факторов.
В случае выбора двух наиболее значимых факторов указанный метод сводится к простому методу наименьших квадратов. В пассивном методе многофакторных испытаний анализируется статистический материал (значения факторов и оцениваемой величины), в активном - проводятся собственные ускоренные испытания.
Следует оговориться, что методы анализа риска обычно не отличаются высокой точностью. Дело в том, что основная задача анализа риска (как инструмента планирования) - оценить уровни возможных потерь и затрат на защиту. Для практики, когда разнородные исходные данные имеют приближенный или субъективный характер оценки, высокая точность расчета не требуется. Иногда вообще невозможно оценить точность результата.
Выбор и проверка защитных мер
Для уменьшения размера ущерба необходим выбор соответствующих мер защиты: организационных, физических, программно-технических и др. Каждая угроза может быть предотвращена различными способами. Поэтому на данном этапе решается задача анализа и синтеза мер, методов и средств защиты по критерию эффективность/стоимость с учетом технической политики организации и других жизненно важных характеристик АС.
После выбора способов защиты АС производится проверка их эффективности. Если остаточные риски стали опять-таки неприемлемы, весьма разумно повторить этапы анализа риска.
Завершая подраздел, следует отметить, что разработка политики безопасности и проведение анализа риска являются кропотливыми научно-техническими задачами. Поэтому важно правильно подобрать коллектив разработчиков. Обычно этим профессионально занимается группа информационной безопасности предприятия. Однако возможно привлечение администраторов и разработчиков систем и сетей, специалистов по аудиту и управлению, психологов, представителей службы режима.
Дата добавления: 2015-07-20; просмотров: 51 | Нарушение авторских прав
<== предыдущая страница | | | следующая страница ==> |
Оценка рисков | | | Абиотические факторы |