Для режима работы в деньгах:, Для режима работы в уровнях: - Анализ рисков информационной безопасности в банковской сфере на примере "ЮниКредит Банк"

Где - риск по системе по угрозам конфиденциальность;

- риск по системе суммарно по трем видам угроз.

Для режима работы в уровнях:

Где - риск по системе по угрозам конфиденциальность;

- риск по системе суммарно по трем видам угроз.

Приведем входные параметры качественного и количественного методов к общим обозначениям. Показатель ER, означающий критичность реализации угрозы, соответствует определению уровня угрозы из качественного метода оценки, P(V), означающий вероятность реализации угрозы, соответствует определению уровня уязвимости ресурса, а D, означающий критичность ресурса, соответствует размеру ожидаемых финансовых потерь (Таб.2).

Таблица 2 Соответствие входных переменных из качественного и количественного методов оценки рисков ИБ

Количественная оценка

Качественная оценка

Обозначение

Описание

Единицы измерения

Описание

Шкалы

ER

Критичность реализации угрозы

%

Уровень угрозы

"очень высокий", "высокий", "средний", "низкий", "очень низкий"

P(V)

Вероятность реализации угрозы

%

Уровень уязвимости ресурса

"высокий", "средний", "низкий"

D

Критичность ресурса

От 1 до 10

Размер ожидаемых финансовых потерь

От 1 до 10

Применение метода анализа информационных потоков будет эффективным в случае оценки рисков в системе дистанционного обслуживания клиентов банка. Алгоритм, разработанный компанией DigitalSecurity и описанный выше в данной главе, также подходит для использования в организациях банковской сферы. Рассмотрим отдельно оценку рисков по угрозе "отказ в обслуживании" (рассчитывается время простоя ресурса).

    - Определяем базовое время простоя для информации. - Рассчитываем коэффициент защищенности информации для определенной группы пользователей. Здесь учитываются такие показатели, как права доступа группы пользователей к данной информации, средства резервирования, наличие антивирусного программного обеспечения. - Рассчитываем время простоя информации с учетом средств защиты информации и времени простоя сетевого оборудования (часы в год).

- Время простоя для информации, учитывая все группы пользователей, имеющих к ней доступ, вычисляется по следующей формуле:

Где - максимальное критичное время простоя;

- время простоя для связи "информация - группа пользователей".

- Перемножив итоговое время простоя и ущерб от реализации угрозы, получим риск реализации угрозы "отказ в обслуживании" для связи "информация - группа пользователей"Информация взята с официального сайта компании DigitalSecurity. URL: http://dsec. ru/ipm-research-center/article/risk_assessment_method_vulture_2006_from_the_composition_of_the_digital_security_office/ Дата обращения: [16.05.2015].

Процесс оценки рисков должен предусматривать анализ эффективности внедрения конкретных средств защиты (как и в методе ГРИФ).

Четвертый этап - составление краткосрочных, среднесрочных и долгосрочных планов обработки рисков и усовершенствования СЗИ.

Пятый этап - генерация отчетов. На этом шаге также рассчитываются финансовые показатели: ROI, ALE, затраты на реализацию планов обработки рисков.

Похожие статьи




Для режима работы в деньгах:, Для режима работы в уровнях: - Анализ рисков информационной безопасности в банковской сфере на примере "ЮниКредит Банк"

Предыдущая | Следующая