Popis: |
Для современных организаций требованием времени является построение и использование систем управления информационной безопасностью. Это обусловлено такими аспектами как исключение неприемлемых рисков, эффективное использование имеющихся средств, повышение осознанности и управляемости процессов обеспечения информационной безопасности. Построение и использование систем управления информационной безопасностью рассматривается на основе риск-ориентированного подхода. Как следствие, за основу берется двухкомпонентная модель риска, которая представляется на плоскости. Благодаря этому определяется вероятностный критерий и его значение, задаваемое в качестве проектного требования при построении систем управления информационной безопасностью в виде «карты риска». Она позволяет «владельцам риска» задавать приемлемые уровни рисков и разделять их на приемлемые и неприемлемые. Однако, «карты рисков» оперируют единичными проявлениями событий и не учитывают их возможного повторного (многократного) проявления. Из этого, делается вывод о неконструктивности проектного требования к системе управления информационной безопасностью, основанного на концепте «обеспечить уровень риска не выше». Поэтому корректное проектное требование формулируется в контексте обеспечения системой управления информационной безопасностью обработки потока рисковых событий с уровнями риска и заданной вероятностью появления таких событий. То есть показывается возможность оценивания вероятности появления события с рисками для заданного уровня приемлемого риска. Или по заданному уровню приемлемого риска оценивается вероятность появления событий с рисками. Решение данной задачи осуществляется путем использования понятия и методов геометрической вероятности. Применение геометрического подхода к оцениванию вероятности попадания произвольных значений нормированного риска в зону приемлемого риска, дало возможность получить точную количественную оценку этой вероятности. Благодаря такому подходу субъективный показатель риск-аппетита «владельца риска», отображаемый в виде приемлемого уровня риска, трансформируется в формализованный вероятностный критерий, на основе которого можно сформулировать проверяемые проектные требования к созданию систем управления информационной безопасностью. |