Файловый архив студентов. Файловый архив студентов.
1263 вуза, 4625 предмета.
/ Регистрация
FAQ Обратная связь Вопросы и предложения
Добавил:
Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз:
Воронежский государственный технический университет
Предмет:
[НЕСОРТИРОВАННОЕ]
Файл:
Учебники 60227.doc
Скачиваний:
14
Добавлен:
01.05.2022
Размер:
3.16 Mб
Скачать
►Содержание►

1.13.1. Развитие риска

На процесс зарождения и развития риска оказывает свое влияние многообразие факторов и условий, характерных для рис. 1.18. Знакомство с приведенной схемой позволяет выделить целый ряд первопричин риска: отказы в работе узлов и оборудования вследствие их конструктивных недостатков, плохого технического изготовления или нарушения правил технического обслуживания; отклонения от нормальных условий эксплуатации; ошибки персонала; внешние воздействия и пр. Вследствие возможности возникновения указанных причин социотехническая система постоянно находятся в неустойчивом состоянии, которое по отношению к безопасности информации становится особенно критичным при возникновении ИОА на объект.

Рис. 1.18. Функциональная модель развития риска СТС

Риск возникает при следующих необходимых и достаточных условиях:

- существование фактора риска (источника опасности);

- присутствие данного фактора риска в определенной, опасной (или вредной) для объектов воздействия дозе;

- подверженность (чувствительность) объектов воздействия к факторам опасностей.

Между нарушениями в системе информационной безопасности различных систем можно заметить явное сходство. Обычно нарушениям предшествует накопление дефектов в оборудовании или отклонения от нормального хода процессов обеспечения ИБ. Эта фаза может длиться минуты, сутки или даже годы. Сами по себе дефекты или отклонения еще не приводят к нарушению системы, но готовят почву для нее. Операторы, как правило, не замечают этой фазы из-за невнимания к регламенту или недостатка информации о работе объекта, так что у них не возникает чувства опасности. На следующей фазе происходит неожиданное или редкое событие, которое существенно меняет ситуацию. Операторы пытаются восстановить нормальный режим функционирования, но, не обладая полной информацией, зачастую только усугубляют развитие. Наконец, на последней фазе еще одно неожиданное событие - иногда совсем незначительное - играет роль толчка, после которого техническая система перестает подчиняться людям, и происходит полный крах системы информационной безопасности, что приводит к дестабилизации социотехнической системы [14,102].

Риск является неизбежным сопутствующим фактором функционирования СТС. Риск объективен, для него характерны неожиданность, внезапность наступления, что предполагает прогноз риска, его анализ, оценку и управление - ряд действий по недопущению факторов риска или ослаблению воздействия опасности.

1.13.2. Классификация риска

Каждый из вышеозначенных рисков включает в себя значительное количество конкретных рисков.

Риски можно классифицировать по другим признакам. По последствиям принято разделять риски на три категории:  

  • допустимый риск - это риск решения, в результате неосуществления которого социотехнической системе грозят некоторые потери; в пределах этой зоны система сохраняет свою экономическую целесообразность, т.е. потери имеют место, но они не превышают размер ожидаемой прибыли. Присвоим этому риску класс 1;

  • критический риск - это риск, при котором социотехнической системе грозят значительные потеря; иначе говоря, зона критического риска характеризуется опасностью потерь, которые заведомо превышают ожидаемую прибыль и в крайнем случае могут привести к  потере всех средств, вложенных предприятием в проект, а также к гибели системы. Присвоим этому риску класс 2;

  • катастрофический риск - риск, при котором деятельность социотехнической системы перестает быть целесообразной; потери могут достигнуть величины, равной имущественному состоянию системы. Также к этой группе относят любой риск, связанный с прямой опасностью для жизни людей или возникновением экологических катастроф. Присвоим этому риску класс 3.

Основой для следующей классификации рисков также является характер воздействия на результаты деятельности предприятия. Так, риски делятся на два вида:

- чистые - означают возможность получения убытка или нулевого результата;

- спекулятивные -  выражаются в вероятности получить как положительный, так и отрицательный результат.

Чистые риски обладают относительно постоянным характером проявления. Для их анализа и оценки широко используются методы математической статистики и теории вероятностей, поскольку их проявление, как правило, стабильно во времени или отличается определенной закономерностью. Стабильный и устойчивый характер динамики основных показателей чистых рисков позволяет называть их также статическими рисками.

В отличие от чистых, спекулятивные риски в полной мере определяются управленческим решением. Нередко спекулятивные риски имеют неопределенный характер проявления, их аналитические оценки изменяются в течение времени. Эта их неопределенность увеличивает не только риск, но, как правило, и полезный эффект. Часто спекулятивные риски называют динамическими рисками. Для исследования динамических рисков с высокой изменчивостью характеристик часто используют нетрадиционные методы анализа и обоснования управленческих решений (например, технический анализ).

Анализ рисков предполагает выявление всех значимых угроз и оценку их серьезности. Управление рисками предполагает принятие мер, направленных на снижение частоты реализации угроз и снижение ущерба от них. Защитные меры принимаются на основе принципа разумной достаточности.

Основные этапы анализа и управления рисками:

- декомпозиция социотехнической системы. Определение информационных ценностей;

- идентификация угроз, оценка вероятности возникновения, значимости возможного ущерба;

- выбор средств защиты и определение их воздействия на угрозы;

- определение риска (с учетом вероятности возникновения, оценкой угрозы, оценкой мер защиты);

- внедрение и испытание средств защиты;

- проверка остаточного риска.

Таким образом, суть защиты – это минимизация рисков. На практике это означает сведение всех значимых угроз к несущественному уровню и защита наиболее критичных информационных ресурсов с учетом выделяемых средств.

В нашем распоряжении есть два способа обеспечения безопасности:

- предотвращение нарушений (снижение вероятности их реализации),

- оперативное реагирование при реализации угроз (снижение наносимого ущерба).

Первый способ реализуется средствами и мерами, устраняющими уязвимости системы и, если возможно, сами источники угроз, либо создающий дополнительные препятствия для реализации угроз.

Второй способ предполагает подготовку для оперативного реагирования на возникшие прошествия для снижения возможного ущерба (уменьшение времени простоя системы, восстановление утраченных данных и др.) и скорейшее возобновление нормальной работы системы. Кроме того, необходимо расследовать факты нарушений, выявлять слабые места в системе безопасности, принимать меры по недопущению аналогичных событий.

Но почему же на практике при наличии совершенных мер защиты так трудно достичь необходимого уровня безопасности?

Авторы пособия считают, что эта проблема требует комплексных, согласованных усилий всех защищаемых субъектов. Простых решений здесь нет. Технологии – это лишь инструменты для защиты. Успех их применения зависит от тех, кто их использует. Необходимо принять решения по политике безопасности, обучить персонал, распределить ответственность, обеспечить контроль исполнения регламентов и т.д. Проблема безопасности решается не только техническими средствами, но и действующими в совокупности с ними организационно-правовыми мерами.

Соседние файлы в предмете [НЕСОРТИРОВАННОЕ]
Помощь Обратная связь Вопросы и предложения Пользовательское соглашение Политика конфиденциальности