Анализ и оценивание рисков информационных ресурсов

Abstract

Для построения систем менеджмента информационной безопасности, комплексных систем защиты информации и других систем безопасности необходимо проводить анализ и оценивание рисков. Существующие средства оценки в подавляющем большинстве основаны на статистических подходах. Во многих странах, как на уровне предприятий, так и на государственном уровне подобная статистика не ведется. Это ограничивает возможности существующих средств, например, по использованию различных типов входящих данных для оценки. Известный инструментарий не дает возможности применения для анализа и оценки рисков широкого спектра начальных параметров. На основе предложенного автором метода анализа и оценки рисков, который на основе использования модели интегрированного представления параметров риска, позволяет проводить оценивание в детерминированных условиях, с использованием десяти параметров, которые могут быть представлены, как в числовой, так и лингвистической форме, было реализовано программную систему анализа и оценки рисков потери информационных ресурсов. Для верификации разработанного программного продукта было смоделировано несколько различных ситуаций относительно защищенности информа-ционных ресурсов, после чего проведен анализ и оценивание рисков при каждой такой ситуации. Полученные результаты исследования подтверждают адекватность реагирования программного средства на изменение значений оценочных компонент при разных условиях среды оценивания, а значение риска существенно не изменяется при изменении базиса оценочных компонент.