После анализа отношений между элементами множеств, выделенных в процессе идентификации, была проведена оценка рисков. Этот процесс позволяет минимизировать затраты ресурсов на защиту. В процессе анализа возможных и выявления актуальных для активов организации угроз оценивался риск, возникающий вследствие потенциального воздействия определенной угрозы.
Известно множество различных методик анализа и оценки рисков (преимущественно иностранных). Все они позволяют получить лишь качественную их оценку на основе экспертных методов. Для данной курсовой работы использовалась методика, разработанная на основе изложенной в техническом отчете ISOTR 13569 [2].
Она состоит в следующем. Оценка риска проводится с помощью оценки возможности реализации угроз безопасности, связанных с уязвимостями, присущими тем или иным объектам защиты. На основе анализа воздействия угроз, им приписывается высокий, средний или низкий уровень риска по каждой зоне локализации уязвимостей.
Оценивались все угрозы, уязвимости и риски для обеспечения уверенности в том, что процесс оценки рисков в организации является полным. В таблице 12 приведены компоненты оценки риска.
Таблица 12 – Компоненты процесса оценки рисков
| Если кто-либо захочет проследить угрозы | Через зоны уязвимостей | То они приведут в результате к какому-нибудь из следующих рисков |
| Все виды разведывательной деятельности зарубежных государств; информационно-технические воздействия (в том числе радиоэлектронная борьба, проникновение в компьютерные сети) со стороны вероятных противников; Диверсионно-подрывная деятельность специальных служб иностранных государств, осуществляемая методами информационно-психологического воздействия; Деятельность иностранных политических, экономических и военных структур, направленная против интересов Российской Федерации в сфере обороны. Нарушение установленного регламента сбора, обработки, хранения и передачи информации, находящейся в штабах и учреждениях Министерства обороны Российской Федерации, на предприятиях оборонного комплекса; Преднамеренные действия, а также ошибки персонала информационных и телекоммуникационных систем специального назначения; Ненадежное функционирование информационных и телекоммуникационных систем специального назначения; Возможная информационно-пропагандистская деятельность, подрывающая престиж Вооруженных Сил Российской Федерации и их боеготовность; Нерешенность вопросов защиты интеллектуальной собственности предприятий оборонного комплекса, приводящая к утечке за рубеж ценнейших государственных информационных ресурсов | Информационная инфраструктура центральных органов военного управления; Информационные ресурсы предприятий оборонного комплекса и научно-исследовательских учреждений; Программно-технические средства автоматизированных и автоматических систем управления войсками и оружием; Информационные ресурсы, системы связи и информационная инфраструктура других войск, воинских формирований и органов. | Денежная потеря. Потеря производительности. Затруднения в деятельности |
При проведении оценки рисков рассматриваются три основные категории потерь. Они сами и их описание приведено в таблице 13
Таблица 13
| Категории возможных потерь | Описание |
| Денежная потеря | Денежная потеря определяется как потеря ценностей или увеличение стоимости или расходов. В сомнительных случаях необходимо классифицировать более высокий риск денежной потери или более высокое возможное значение потери, более высокий риск функционирования деятельности. |
| Потеря производительности | Потеря производительности происходит тогда, когда персонал не способен продолжать выполнение своих обязанностей или когда необходимо повторять служебные обязанности. Прерывания работы или дублирование усилия могут приводить к недоступности рабочих функций или к некорректности результатов |
| Затруднения деятельности | Эта категория касается ситуаций, оказывающих влияние на установление общественного доверия. Следует учитывать также конфиденциальность, точность и согласованность |
Матрица оценки рисков разделена на зоны локализации уязвимостей. В рамках каждой уязвимости перечисляются потенциальные угрозы. Справа от каждой угрозы приводятся уровни в рамках категорий потерь.
Матрица заполняется приданием уровня риска– высокого (В), среднего (С) или низкого (Н) – чтобы показывать зависимость каждой угрозы от каждой из зон локализации уязвимости с учетом заполнения ранее матрицы «угрозы» - «объект обеспечения ИБ».
Описание уровней риска:
Высокий: значительная денежная потеря, потеря производительности или затруднения, являющиеся результатом угрозы, вследствие соответствующей уязвимости.
Средний: номинальная денежная потеря, потеря производительности или случающиеся затруднения.
Низкий: либо минимальная возможность денежной потери, потери производительности, либо затруднения, либо вообще ничего.
Матрица оценки рисков приведена в таблице 14.
Таблица 14 – Матрица оценки рисков
| ЗОНА УЯЗВИМОСТИ информационная инфраструктура центральных органов военного управления… | Риск денежной потери | Риск потери производительности | Риск затруднения деятельности | ||||||
| все виды разведывательной деятельности зарубежных государств | Н | С | В | ||||||
| информационно-технические воздействия со стороны вероятных противников | С | В | Н | ||||||
| диверсионно-подрывная деятельность специальных служб иностранных государств | С | Н | В | ||||||
| деятельность иностранных структур против интересов Российской Федерации | Н | Н | С | ||||||
| нарушение установленного регламента работы с информацией на предприятиях оборонного комплекса | С | В | С | ||||||
| преднамеренные действия, а также ошибки персонала | С | В | В | ||||||
| ненадежное функционирование систем специального назначения | С | В | Н | ||||||
| возможная информационно-пропагандистская деятельность, подрывающая престиж ВСРФ | С | С | В | ||||||
| …утечка за рубеж ценнейших государственных информационных ресурсов | В | С | Н | ||||||
| все виды разведывательной деятельности зарубежных государств | Н | В | С | ||||||
| информационно-технические воздействия со стороны вероятных противников | Н | С | С | ||||||
| нарушение установленного регламента работы с информацией на предприятиях оборонного комплекса | С | В | С | ||||||
| преднамеренные действия, а также ошибки персонала | С | В | С | ||||||
| ненадежное функционирование систем специального назначения | С | В | В | ||||||
| диверсионно-подрывная деятельность специальных служб иностранных государств | Н | С | В | ||||||
| деятельность иностранных структур против интересов Российской Федерации | Н | Н | С | ||||||
| нарушение установленного регламента работы с информацией на предприятиях оборонного комплекса | С | В | Н | ||||||
| преднамеренные действия, а также ошибки персонала | С | В | Н | ||||||
| ненадежное функционирование систем специального назначения | В | В | С | ||||||
| возможная информационно-пропагандистская деятельность, подрывающая престиж ВСРФ | С | Н | В | ||||||
| …утечка за рубеж ценнейших государственных информационных ресурсов | В | С | С | ||||||
| все виды разведывательной деятельности зарубежных государств | С | С | Н | ||||||
| информационно-технические воздействия со стороны вероятных противников | С | В | С | ||||||
| диверсионно-подрывная деятельность специальных служб иностранных государств | С | С | С | ||||||
| деятельность иностранных структур против интересов Российской Федерации | Н | С | С | ||||||
| нарушение установленного регламента работы с информацией на предприятиях оборонного комплекса | С | С | С | ||||||
| преднамеренные действия, а также ошибки персонала | С | В | С | ||||||
| ненадежное функционирование систем специального назначения | В | В | Н | ||||||
| возможная информационно-пропагандистская деятельность, подрывающая престиж ВСРФ | Н | С | В | ||||||
| …утечка за рубеж ценнейших государственных информационных ресурсов | В | С | С | ||||||
Для первой зоны уязвимости – информационная инфраструктура центральных органов военного управления – выделены все имеющиеся угрозы. Разведывательная деятельность иностранных государств может привести к высокому риску затруднения деятельности. Риск потери производительности номинальный, так как зависит от того, будет ли нарушена целостность и доступность информации. Риск денежной потери низкий. Информационно-технические воздействия со стороны вероятного противника могут привести к высокому риску потери производительности, т.к. могут вывести из строя какие-либо компоненты системы. В связи с этим средним является риск денежной потери. Риск затруднения деятельности минимален. Диверсионно-подрывная деятельность иностранных спецслужб методом информационного воздействия приведет к высокому риску затруднения деятельности. Риск денежной потери средний, потери производительности – низкий для данной зоны. Деятельность иностранных структур, направленных против интересов РФ в сфере обороны приведет к среднему риску затруднения деятельности, т.к. иностранные военные и политические структуры могут оказывать психологическое давление на РФ. Риск денежной потери и потери производительности минимален. Нарушение установленного регламент работы с информацией на предприятиях оборонного комплекса может привести к высокому риску потери производительности, т.к. это может привести к блокированию дальнейшей работы с информацией до выяснения обстоятельств нарушения. Риск денежной потери в этом случае относителен, также как и риск затруднения деятельности. Преднамеренные действия и ошибки персонала ИТКС специального назначения могут привести к высокому риску потери производительности по тем же причинам, что и вышеуказанная угроза, и к высокому риску затруднения деятельности, так как это может дискредитировать пользователей и персонал ИТКС. Риск денежной потери средний. Из-за ненадежного функционирования компонентов систем риск потери производительности также является высоким. Риск затруднения деятельности низкий и риск денежной потери средний. Возможная информационно-пропагандистская деятельность, подрывающая престиж ВС РФ приведет к высокому риску затруднения деятельности. Риск денежной потери и риск потери производительности средний. И наконец, утечка за рубеж ценнейших информационных ресурсов приводит к высокому риску денежной потери. Риск потери производительности средний и риск затруднения деятельности минимальный.