Аналіз ризиків

В даний час технології аналізу ризиків в Україні розвинуті слабко. Основна причина такого стану полягає в тому, що в українських керівних документах недостатньо розглядається аспект ризиків, їхній припустимий рівень і відповідальність за прийняття визначеного рівня ризиків.

Питанням аналізу ризиків за кордоном приділяється серйозна увага десятиліттями. Однак і в нас у країні стан починає мінятися. Серед вітчизняних фахівців служб безпеки зріє розуміння необхідності проведення такої роботи. У першу чергу це стосується банків і великих комерційних структур, тобто тих, хто в першу чергу зобов'язаний серйозно піклуватися про безпеку своїх інформаційних ресурсів.

Мета аналізу ризиків складається у визначенні характеристик ризиків. При проведенні аналізу ризиків необхідно визначити:

- уразливі місця в даній системі;

- сутність загрози, їхній рівень;

- припустимий рівень загроз;

- комплекс заходів, що дозволяє знизити ризики до припустимого рівня.

По кожному з цих пунктів потрібне проведення спеціального аналізу і досліджень.

Режим інформаційної безпеки в банківських системах забезпечується:

- на процедурному рівні - шляхом розробки і виконання розділів інструкцій для персоналу, присвячених інформаційній безпеці, а такожзасобами фізичного захисту;

- на програмно-технічному рівні - застосуванням апробованих і сертифікованих рішень, стандартного набору контрзаходів: резервне копіювання, антивірусний захист, парольний захист, міжмережеві екрани, шифрування даних і т.д.

При забезпеченні інформаційної безпеки важливо не пропустити яких-небудь істотних аспектів. Це буде гарантувати деякий мінімальний (базовий) рівень інформаційної безпеки, обов'язковий для будь-якої інформаційної технології. У випадку підвищених вимог в області інформаційної безпеки використовується повний варіант аналізу ризиків. На відміну від базового варіанта, виробляється оцінка цінності ресурсів, характеристик ризиків і вразливості.