Анализ риска

Анализ риска, особенно применительно к вычислительным ресурсам, — это процесс определения потенциальных убытков от нарушения одного из свойств вычислительной среды (надежность, целостность, конфиденциальность) в сравнении со стоимостью реализации превентивных мер. Две основные составляющие такого анализа — оценка уязвимости к оценка угрозы.

Мини-картинка

Оценка уязвимости включает выявление всех факторов, способных отрицательно сказаться на надежности, целостности и/или конфиденциальности вычислительной среды. Оценка угрозы — это процесс выявления тех, кто может отрицательно влиять на надежность, целостность и/или конфиденциальность вычислительной среды. Эти оценки должны учитывать стоимость вычислительных ресурсов и вероятность атаки на них. К примеру, сервер баз данных, на котором хранятся коммерческие секреты компании, гораздо ценнее и привлекательнее для злоумышленников, чем гостевая рабочая станция, не содержащая важных данных и не подключенная к внутренней сети компании.

Результатом этих исследований будет выяснение потенциальных убытков от взлома или снижения производительности системы, а также вероятности того, что действия злоумышленников окажутся успешными. На основании полученных оценок определяются контрмеры, затраты на реализацию которых не превысят потенциальных убытков. Допустим для простоты, что уязвимость вышеупомянутых сервера баз данных и гостевой рабочей станции одинакова. Очевидно, что реализация контрмер для сервера баз данных потребует немалых усилий, в том числе административных, и, что называется, влетит компании в копеечку. В то же время для гостевой рабочей станции такие затраты окажутся чрезмерными и неадекватными.

Мини-картинка

Всесторонний анализ риска — длительное и кропотливое занятие. Даже в небольшой компании на его проведение может уйти несколько месяцев. Но результаты такого анализа чрезвычайно важны, так как составляют фундамент стратегии безопасности.


Ведете ли вы блог?

Да
Нет
Планирую


Результаты опроса

Новостной блок