Лекция 11. Влияние человеческою фактора на информационную безопасность в кредитно-финансовой сфере (2 часа)

Анализ риска и составление планов

Риск есть стоимостное выражение вероятностного события, ведущего к потерям.

Для оценки степени риска при том или ином варианте действий применяются различные методики. В зарубежной литературе они получили название «анализ риска» (risk analysis). Анализ риска применяется к самым различным операциям. Например, при выдаче кредита специалисты байка оценивают риск его невозврата заемщиком. Оценив величину степени риска можно принять меры, направленные на ее уменьшение (например, опечатав на складе заемщика высоколиквидный товар).

Мы будем использовать анализ риска для выбора наиболее реальных угроз АСОИ и целесообразных способов защиты от них.

Анализ риска в этой области нужен:

• 1. Для повышения осведомленности персонала. Обсуждение вопросов защиты АСОИ может поднять уровень интереса к этой проблеме среди сотрудников, что приведет к более точному выполнению требований инструкций.
• 2. Для определения сильных и слабых сторон существующих и предлагаемых мер защиты. Многие организации не имеют полной информации о своей АСОИ и ее слабых сторонах. Систематический анализ дает всестороннюю информацию о состоянии аппаратного и программного обеспечения АСОИ и степени риска потери (искажения, утечки) информации при ее обработке и хранении в электронном виде.
• 3. Для подготовки и принятия решения по выбору мер и средств защиты. Защита снижает производительность АСОИ, внося при этом известные неудобства в работу пользователей.

Некоторые меры защиты слишком сложны и дороги и их применение не может быть оправдано теми функциями, которые они выполняют. В то же время существуют настолько серьезные виды угроз, что поиск и разработка новых, более эффективных методов и средств защиты от них является просто необходимыми. В обоих случаях степень риска определяет уровень и масштаб применяемых средств защиты.

4. Для определения затрат на защиту. Некоторые механизмы защиты требуют довольно больших ресурсов и их работа скрыта от пользователей. Анализ риска может помочь определить самые главные требования к системе защиты АСОИ. При этом всегда необходимо помнить, что чем меньше затраты на защиту, тем выше возможность потери информации и нарушения работоспособности АСОИ.