Она может быть качественной, количественной или комбинированной. В обычных случаях для получения общих представлений об уровне риска используется качественная оценка. Такая оценка удобна поначалу, так как в сравнении с количественной является менее сложной. Такая методика используется там, где невозможно получить удобные числовые значения. Недостатком же является то, что выбор шкал является субъективным [1, 2, 5].
При качественной оценке применяется шкала значения атрибутов, при помощи которой описываются значения возможных последствий и вероятности их возникновения. Значения шкал и сами шкалы могут быть подстроены для конкретных обстоятельств, так как не всегда одно и то же описание подходит для разных рисков.
Для более расширенных значений рисков используется количественная методология оценки рисков. В такой методологии применяются шкалы не с описательным, а числовым значением. Числовые значения последствий и их вероятности берутся из различных источников. От полученных числовых значений и выбранных моделей будет зависеть конечное значение риска. Именно поэтому все входящие данные и значения должны быть аргументированы. С одной стороны, такая методика позволяет количественно оценить риск, но в случаях, когда невозможно проверить числовые данные создается ложное чувство точности и ценности установленных величин риска [1, 2, 5].
От видов риска и цели их оценивания зависит то, каким способом будет выражаться последствие риска и его вероятность. Несмотря на то, что при качественной оценке конкретные числа не называются, а лишь их диапазон.
Выбранный диапазон показывает некий числовой промежуток, что косвенным образом позволяет оценить риск в числовом значении. Часто, при оценивании рисков применяются и качественная и количественная методики.
Оба подхода в зависимости от обстоятельств используются в разной степени, что позволяет компенсировать недостатки каждого подхода, взятого отдельно.
При проведении анализа рекомендуется указывать уровень неуверенности в оценке, так как это способствует лучшему пониманию результатов анализа.
После того, как организация определила величину риска, у нее есть 4 варианта действий: перенести, избежать, уменьшить или принять риск. Перенос риска обозначает, что организация передает ответственность за него кому-либо другому, кто может более эффективно управлять риском.
Чтобы избежать риска, необходимо прекратить деятельность, которая его вызывает. Для снижения риска до уровня, который удовлетворяет организацию, реализуются определенные меры. Принятие риска выгодно тогда, когда расходы на контрмеры превышают размер потенциального ущерба [1,2].
Анализ рисков является наиболее значимой частью процесса управления рисками информационной безопасности. Этот процесс состоит из выявления и оценивания рисков, снижения их до требуемого уровня, а также применения оправданных мер для поддержки рисков в пределах установленного уровня.
Идеальной защиты не существует. При анализе каждой системы можно выявить уязвимости, угрозы, вероятности реализации угроз и ущерб. Опираясь на результат анализа рисков можно разработать и применить адекватные меры для снижения значений рисков до уровня, который приемлем для организации.
Риски могут иметь различные формы, не обязательно связанные с компьютерами. С точки зрения информационной безопасности, существует несколько видов рисков, на которые организация должна обратить внимание. Семью основными категориями являются: действия человека, физический ущерб, неисправность оборудования, утрата данных, внутренние и внешние атаки, неправильное использование данных, ошибки в программном обеспечении [2].
Выводы, которые отражены в отчете проведенного анализа рисков, не только влияют на управленческие решения и поведение руководителей отделов информационной безопасности, но также могут повлиять на решения руководства компании в целом. Правильная оценка рисков позволяет эффективно использовать имеющиеся ресурсы. Риски должны быть выявлены и оценены с позиции величины потенциальных потерь. Тем не менее, на практике реальные риски трудно оценить, но вполне возможно выделить приоритетные риски, которым следует уделить внимание в первую очередь. Также расставленные приоритеты среди рисков позволяют выстроить оперативный, тактический и стратегический план действий отдела информационной безопасности.
Информационная безопасность курсовая работа
- Леонид Федотов
- Информатика

Диплом777
Email: info@diplom777.ru
Phone: +7 (800) 707-84-52
Url: https://diplom777.ru/

Никольская 10
Москва, RU 109012
Содержание
Леонид Федотов
Окончил НИУ ВШЭ факультет компьютерных наук. Сам являюсь кандидатом наук. По специальности работаю 13 лет, за это время создал 8 научных статей и 2 диссертации. В компании подрабатываю в свободное от работы время уже более 5 лет. Нравится помогать школьникам и студентам в решении контрольных работ и написании курсовых проектов. Люблю свою профессию за то, что это направление с каждым годом становится все более востребованным и актуальным.