Информационные риски

 

Важным фактором для оценки эффективности системы защиты информации является понимание соотношения «информационный риск – нанесённый ущерб».

 

Общепринятое понятие риска – возможное опасное событие.

Ущерб – последствия от происшедшего опасного события.

Информационный риск – опасное для субъекта или объекта информатизации событие, при реализации которого наносится ущерб как для самой информационной сферы, так и, возможно, для информационно обслуживаемого объекта в целом.

 

Понятие риска непосредственно связано с понятием угроз – угрозы порождают риски.

 

Два класса угроз информационного характера: угрозы информации и информационные угрозы. Угрозы информации являются первичными для информационной сферы, в целом для решения проблемы информационной безопасности.

 

Схема формирования ущерба организации за счёт угроз информационной безопасности показана на Рисунке 1.

 

Механизм влияния информационных угроз связан с порождением информационных рисков для деятельности объекта информатизации и с ущербом, который наносится объекту, если информационная угроза становится реальным событием. Причём это событие приносит непосредственный ущерб информационной сфере объекта и одновременно порождает информационную угрозу, которая становится причиной рисков для деятельности организации. Виды порождаемых рисков зависят от характера основной деятельности объекта (риски предпринимательские, финансовые, банковские, производственные и другие) и от степени зависимости организации от своих информационных технологий.

 

 

Рисунок 1 - Схема формирования ущерба организации за счёт угроз информационной безопасности

 

Ущерб от информационных рисков может даже превышать ущерб от рисков основной деятельности объекта информатизации за счёт дополнительного непосредственного ущерба в информационной сфере (требуется восстановление средств АС, информационных ресурсов и т.д.).