М и к о в
МЕТОД ПОВЫШЕНИЯ АДЕКВАТНОСТИ ОЦЕНОК
ИНФОРМАЦИОННЫХ РИСКОВ
Проанализированы основные подходы к оценке информационных рисков и отмечены ограничения их практического применения. <...> Предложен метод повышения адекватности оценок с использованием коэффициента конкордации. <...> E-mail: buldakova@bmstu.ru
Ключевые слова: защита информации, информационные риски, методы оценки, коэффициент конкордации
Введение. <...> В настоящее время оценка и управление информационными рисками представляют собой одно из наиболее актуальных и динамично развивающихся направлений стратегического и оперативного
менеджмента в области защиты информации. <...> Качественное
оценивание и управление информационными рисками позволяет выбрать оптимальные по эффективности и затратам средства контроля
рисков и средства защиты информации, адекватные текущим целям и
задачам бизнеса компании. <...> Существует большое количество
методов и инструментальных средств, которые можно применить для
оценки рисков информационной безопасности (ИБ). <...> Статистические методы предполагают анализ уже накопленных данных о реально случавшихся инцидентах, связанных с нарушением ИБ. <...> Анализировать можно как внутреннюю статистику самой компании,
так и внешнюю статистику других организаций. <...> Несмотря на достаточную распространенность и простоту в применении статистических методов, их использование не может являться серьезным решением задач оценки рисков ИБ. <...> 2012
261
с неточностью накопленных статистических сведений, а также в силу
их неспособности учитывать скрытые уязвимости КИС компании, с
которыми не был связан ни один инцидент ИБ, но которые могут
стать причиной инцидентов в будущем. <...> Методы моделирования основаны на построении, изучении и анализе математических моделей, описывающих функционирование КИС. <...> В отличие от статистических методов, методы моделирования являются
более точными, однако могут возникнуть сложности при разработке
математической модели <...>