ISSN 0236-3933. Вестник МГТУ им. Н.Э. Баумана. Сер. “Приборостроение”. 2012 261
УДК 004.056
Т.И. Б у л д а к о в а , Д.А. Ми к о в
МЕТОД ПОВЫШЕНИЯ АДЕКВАТНОСТИ ОЦЕНОК
ИНФОРМАЦИОННЫХ РИСКОВ
Проанализированы основные подходы к оценке информационных рис-
ков и отмечены ограничения их практического применения. Предло-
жен метод повышения адекватности оценок с использованием ко-
эффициента конкордации.
E-mail:
buldakova@bmstu.ru
Ключевые слова
:
защита информации, информационные риски, мето-
ды оценки, коэффициент конкордации
Введение.
В настоящее время оценка и управление информацион-
ными рисками представляют собой одно из наиболее актуальных и ди-
намично развивающихся направлений стратегического и оперативного
менеджмента в области защиты информации. Основная задача направ-
ления — объективно идентифицировать и оценить наиболее значимые
для бизнеса информационные риски, а также определить адекватность
используемых средств контроля рисков для увеличения эффективности
и рентабельности экономической деятельности компании. Качественное
оценивание и управление информационными рисками позволяет вы-
брать оптимальные по эффективности и затратам средства контроля
рисков и средства защиты информации, адекватные текущим целям и
задачам бизнеса компании.
Анализ методов оценки рисков.
Существует большое количество
методов и инструментальных средств, которые можно применить для
оценки рисков информационной безопасности (ИБ). Однако конкрет-
ный выбор наиболее эффективного подхода — сложная и чрезвычайно
важная задача для каждой компании. Целесообразно выделить следую-
щие основные методы оценки рисков информационной безопасности,
широко применяющиеся во многих организациях [1]:
1)
статистические методы;
2)
методы моделирования;
3)
специализированное программное обеспечение;
4)
методы экспертных оценок.
Статистические методы
предполагают анализ уже накоплен-
ных данных о реально случавшихся инцидентах, связанных с нару-
шением ИБ. На основе результатов такого анализа строятся предпо-
ложения о вероятности проведения атак и уровнях ущерба от них в
аналогичных корпоративных информационных системах (КИС).
Анализировать можно как внутреннюю статистику самой компании,
так и внешнюю статистику других организаций. Несмотря на доста-
точную распространенность и простоту в применении статистиче-
ских методов, их использование не может являться серьезным реше-
нием задач оценки рисков ИБ. Это связано с неполнотой и, зачастую,