МИНИСТЕРСТВО ОБРАЗОВАНИЯ И НАУКИ РОССИЙСКОЙ

ФЕДЕРАЦИИ
ФЕДЕРАЛЬНОЕ ГОСУДАРСТВЕННОЕ БЮДЖЕТНОЕ
ОБРАЗОВАТЕЛЬНОЕ УЧРЕЖДЕНИЕ ВЫСШЕГО ОБРАЗОВАНИЯ
«БАШКИРСКИЙ ГОСУДАРСТВЕННЫЙ УНИВЕРСИТЕТ»

ИНСТИТУТ ИСТОРИИ И ГОСУДАРСТВЕННОГО УПРАВЛЕНИЯ

КАФЕДРА УПРАВЛЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТЬЮ

КУРСОВАЯ РАБОТА

по дисциплине Управление информационной безопасностью

ИНСТРУМЕНТАЛЬНЫЕ СРЕДСТВА АНАЛИЗА РИСКОВ. RA SOFTWARE

TOOL
(тема)

Выполнил:
Студент 5 курса очной формы
обучения
Специальность 10.05.05
(код)
«Безопасность информационных
технологий в правоохранительной
сфере»
(наименование)

__________/Д.А. Котовский
(подпись) (инициалы, фамилия)

Научный руководитель
______________________
(ученая степень, ученое звание)
____________/ Салов И.В.
(подпись) (инициалы, фамилия)

«__» __________ 2018 г.

УФА – 2018
 Содержание

Введение ................................................................................................................... 3
1 Анализ рисков информационной безопасности ............................................ 6
1.1 Понятие анализа рисков информационной безопасности ............................ 6
1.2 Стандарты в области управления рисками информационной
безопасности ............................................................................................................ 8
1.3 Подходы к оценке рисков информационной безопасности ................... 13
2 Инструментальные средства анализа рисков информационной
безопасности .......................................................................................................... 26
2.1 Краткий обзор существующих инструментальных решений проблем
анализа рисков ....................................................................................................... 26
2.2 Инструментальное средство анализа рисков RA Software Tool ............ 29
2.3 Описание программы и внешний вид ....................................................... 31
Заключение ............................................................................................................ 36
Список использованных источников .................................................................. 38

2
 Введение

Современное общество не может существовать без информации. Роль

информации на настоящий момент очень велика и с каждым днем важность и
ее ценность как ресурса все больше увеличивается. Информация является
стратегическим ресурсом, товаром, владение которым приносит немалую
прибыль. Как следствие - информация имеет определенную стоимость и
поэтому возникает необходимость защищать такую информацию.
Любая организация обладает определенными информационными
объектами и ресурсами, ценность и важность которых целиком зависит от
специфики того или иного предприятия. В связи с этим, каждое предприятие
прибегает к определенным средствам и методам организации защиты
информации и рабочего процесса. Но, чтобы охватить наиболее широкий
спектр угроз информационной безопасности и предусмотреть как можно
больше нештатных ситуаций, необходимо правильно проанализировать и
оценить риски, используя различные методы и средства.
Сегодня не вызывает сомнений необходимость вложений в обеспечение
информационной безопасности современной организации. Основной вопрос в
этом случае - как оценить необходимый уровень вложений в информационную
безопасность (ИБ) для обеспечения максимальной эффективности инвестиций
в данную сферу. Для решения этого вопроса существует только один способ –
применять системы/комплексы анализа рисков, позволяющие оценить
существующие в системе риски и выбрать оптимальный по эффективности
вариант защиты (по соотношению существующих в системе рисков / затрат на
ИБ).
Актуальность курсовой работы обусловлена большим выбором
инструментальных средств анализа рисков, их постоянным
совершенствованием и появлением новых продуктов на рынке связи с быстро
развивающимся уровнем технологий.

3
 Цель исследования – получение теоретических материалов по теме
анализа рисков информационной безопасности и инструментальных средств
анализа в целях оценки практического использования средств анализа.
Задачи курсовой работы:
1) изучить теоретический материал по теме анализа рисков
информационной безопасности;
2) рассмотреть существующие инструментальные средства анализа
рисков;
3) изучить инструментальное средство анализа рисков RA Software
Tool.
Объектом курсовой работы являются инструментальные средства
анализа рисков.
Предмет исследования – инструментальное средство анализа рисков RA
Software Tool.
Практическая значимость курсовой работы заключается в получении
теоретических и практических знаний в области анализа рисков
информационной безопасности и использования инструментальных средств
анализа рисков.
В процессе написания курсовой используются следующие методы
исследования:
 анализ нормативно-правовой документации по теме курсовой;
 анализ отечественной и зарубежной литературы и документации;
 теоретический анализ и синтез;
 сравнение;
 моделирование;
 обобщение.
Курсовая работа написана при использовании информационной базы,
включающей:
 международные и национальные стандарты;

4
 научная литература по выбранной теме;
 нормативно-правовые акты РФ;
 свободные источники информации.

5
 1 Анализ рисков информационной безопасности

1.1 Понятие анализа рисков информационной безопасности

Анализ информационных рисков – это процесс комплексной оценки

защищенности информационной системы с переходом к количественным или
качественным показателям рисков. При этом риск – это вероятный ущерб,
который зависит от защищенности системы1.
Итак, из определения следует, что на выходе алгоритма анализа риска
можно получить либо количественную оценку рисков (риск измеряется в
деньгах), либо — качественную (уровни риска; обычно: высокий, средний,
низкий).
Анализ рисков – составная часть управления информационными
рисками, в процессе которого оцениваются уязвимости информационной
системы к угрозам безопасности, их критичность и вероятность ущерба для
компании, вырабатываются контрмеры по уменьшению рисков до
приемлемого уровня и обеспечивается контроль защиты информационной
системы компании. Важность этого этапа управления обусловлена тем, что,
во-первых, анализ уязвимости корпоративной сети необходим при создании
комплексной системы информационной безопасности (ИБ), во-вторых, ИТ-
подразделениям нужно обосновывать инвестиции в ИБ.
Понятия "оценка рисков" (Risk Assessment) и "управление рисками"
(Risk Management) появились сравнительно недавно и сегодня вызывают
постоянный интерес специалистов в области обеспечения непрерывности
бизнеса (Business Continuity) и сетевой безопасности (Network Security).
Примерно с 1995 года в ряде высокотехнологичных стран мира, главным
образом в США, Великобритании, Германии и Канаде, проводятся ежегодные

1
Зайцев, А.П., Шелупанов, А.А., Мещеряков, Р.В. Технические средства и методы защиты информации:
учебник для вузов / А.П. Зайцев, А.А. Шелупанов, Р.В. Мещеряков. – М.: ООО «Издательство
Машиностроение», 2014 – 442 с. – ISBN 978-5-9912-0233-6
6
слушания2 специально созданных комитетов и комиссий по вопросам
управления информационными рисками. Подготовлено более десятка
различных стандартов и спецификаций, детально регламентирующих
процедуры управления информационными рисками, среди которых
наибольшую известность приобрели международные спецификации и
стандарты ISO 17799-2002 (BS 7799), GAO и FISCAM, SCIP, NIST, SAS 78/94
и COBIT3.
В настоящее время управление информационными рисками
представляет собой одно из наиболее актуальных и динамично
развивающихся направлений стратегического и оперативного менеджмента в
области защиты информации. Его основная задача — объективно
идентифицировать и оценить наиболее значимые для бизнеса
информационные риски компании, а также адекватность используемых
средств контроля рисков для увеличения эффективности и рентабельности
экономической деятельности компании. Поэтому под термином "управление
информационными рисками" обычно понимается системный процесс
идентификации, контроля и уменьшения информационных рисков компаний
в соответствии с определенными ограничениями российской нормативно-
правовой базы в области защиты информации и собственной корпоративной
политики безопасности. Считается, что качественное управление рисками
позволяет использовать оптимальные по эффективности и затратам средства
контроля рисков и средства защиты информации, адекватные текущим целям
и задачам бизнеса компании.
Не секрет, что сегодня наблюдается повсеместное усиление зависимости
успешной деятельности отечественных компаний от используемых
организационных мер и технических средств контроля и уменьшения риска.

2
RA2 art of risk [Электронный ресурс] // European Union Agency for Network and Information Security / Режим
доступа: https://www.enisa.europa.eu/topics/threat-risk-management/risk-management/current-risk/risk-
management-inventory/rm-ra-tools/t_ra2.html (дата обращения 27.11.2018г)
3
Баранова, Е.К. Методики и программное обеспечение для оценки рисков в сфере информационной
безопасности // Управление риском. – 2015. – № 1(49). – С. 15–26.
7
Для эффективного управления информационными рисками разработаны
специальные методики, например, методики международных стандартов ISO
15408, ISO 17799 (BS7799), BSI; а также национальных стандартов NIST
80030, SAC, COSO, SAS 55/78 и некоторые другие, аналогичные им. В
соответствие с этими методиками управление информационными рисками
любой компании предполагает следующее.
Во-первых, определение основных целей и задач защиты
информационных активов компании.
Во-вторых, создание эффективной системы оценки и управления
информационными рисками.
В-третьих, расчет совокупности детализированных не только
качественных, но и количественных оценок рисков, адекватных заявленным
целям бизнеса.
В-четвертых, применение специального инструментария оценивания и
управления рисками4.

1.2 Стандарты в области управления рисками информационной

безопасности

Прародитель международных стандартов управления информационной

безопасностью – британский стандарт BS 7799. Его первая часть – BS 7799-1
«Практические правила управления информационной безопасностью» – была
разработана Британским Институтом стандартов (BSI) в 1995 г. по заказу
правительства Великобритании. Как следует из названия, этот документ
является практическим руководством по управлению информационной
безопасностью в организации. Он описывает 10 областей и 127 механизмов

4
Садердинов, А.А. Информационная безопасность предприятия: учеб. пособие / А.А. Садердинов, В.А.
Трайнев, А.А. Федулов. – М.: Дашков и К, 2015. – 390 с. – ISBN 5-94798-420-2
8
контроля, необходимых для построения СУИБ, определенных на основе
лучших примеров из мировой практики.
В 1998 году появилась вторая часть этого британского стандарта – BS
7799-2 «Системы управления информационной безопасностью.
Спецификация и руководство по применению», определившая общую модель
построения СУИБ и набор обязательных требований для сертификации. С
появлением второй части BS 7799, определившей, что должна из себя
представлять СУИБ, началось активное развитие системы сертификации в
области управления безопасностью.
В 1999 году обе части BS 7799 были пересмотрены и гармонизированы
с международными стандартами систем управления ISO 9001 и ISO 14001, а
год спустя технический комитет ISO без изменений принял BS 7799-1 в
качестве международного стандарта ISO 17799, который впоследствии был
переименован в ISO 270025.
Вторая часть BS 7799 пересматривалась в 2002 г., а в конце 2005 г. была
принята в качестве международного стандарта ISO/IEC 27001:2005
«Информационные технологии – Методы обеспечения безопасности –
Системы управления информационной безопасностью – Требования». В это
же время была обновлена и первая часть стандарта. С выходом ISO 27001
спецификации СУИБ приобрели международный статус, и теперь роль и
престижность СУИБ, сертифицированных по стандарту ISO 27001,
значительно повысились.
BS 7799 и его международные редакции постепенно стали одними из
наиболее важных стандартов для отрасли информационной безопасности.
Однако, когда в августе 2000 г. в ISO обсуждалась первая редакция
международного стандарта ISO 17799, с трудом удалось достичь консенсуса.

5
ГОСТ Р ИСО/МЭК 27002-2012 Информационная технология (ИТ). Методы и средства обеспечения
безопасности. Свод норм и правил менеджмента информационной безопасности (утвержден и введен в
действие Приказом Федерального агентства по техническому регулированию и метрологии от 24 сентября
2012 г. N 423-ст) [Электронный ресурс] // Консорциум Кодекс – Техэксперт/ Режим доступа: / URL:
http://docs.cntd.ru/document/1200103619/ (дата обращения 27.11.2018г.)
9
Документ вызвал массу критических замечаний со стороны представителей
ведущих ИТ держав, которые утверждали, что он не отвечает основным
критериям, предъявляемым к международным стандартам. «Не было даже
возможности сравнить этот документ со всеми остальными работами по
безопасности, когда-либо рассматриваемыми в ISO», – говорит Жене Трой,
представитель США в техническом комитете ISO.
Представители BSI возражали, что работы, о которых идет речь,
касаются в основном технических аспектов, а BS 7799 никогда не
рассматривался как технический стандарт. В отличие от других стандартов
безопасности, таких как Commonly Accepted Security Practices and Regulations
(CASPR) или ISO 15408/Common Criteria, он определяет основные не
технические аспекты защиты информации, представленной в любой форме.
««Он должен быть таким, так как предназначается для любых видов
организаций и внешних окружений», – говорит представитель BSI Стив
Тайлер (Steve Tyler). – Это документ по управлению информационной
безопасностью, а не каталог ИТ продуктов».
Несмотря на все возражения, авторитет BSI (являющегося основателем
ISO, основным разработчиком международных стандартов и главным органом
по сертификации в мире) перевесил. Была запущена процедура ускоренного
согласования, и стандарт вскоре был принят. Основным достоинством ISO
17799 и родственных ему стандартов является их гибкость и универсальность.
Описанный в нем набор лучших практик применим практически к любой
организации, независимо от формы собственности, вида деятельности,
размера и внешних условий. Он нейтрален в технологическом плане и всегда
оставляет возможность выбора технологий. Когда возникают вопросы: «С
чего начать?», «Как управлять ИБ?», «На соответствие каким критериям
следует проводить аудит?» – этот стандарт поможет определить верное
направление и не упустить из виду существенные моменты. Его также можно
использовать как авторитетный источник и один из инструментов для

10
«продажи» безопасности руководству организации, определения критериев и
обоснования затрат на ИБ6.
В стандартах серии ISO 27000 нашло отражение все, что требуется для
управления информационными рисками. Речь идет прежде всего о
выпущенном в 2008 году международном стандарте ISO/IEC 27005:2008, а
также о его предшественнике – британском стандарте BS 7799-3:2006,
увидевшим свет в 2006 году. Эти стандарты во многих вещах взаимно
перекликаются, а в некоторых вопросах дополняют друг друга.
Заслуживает также упоминания американский стандарт в области
управления рисками NIST 800-30, который, в свою очередь, опирается на ISO
Guide 73, ISO 16085, AS/NZS 4360. Основные положения этого стандарта были
учтены при разработке ISO 27005.
Вопреки ожиданиям, ISO 27005 вовсе не является международной
версией BS 7799-3, в отличие от своих предшественников ISO 27001 и ISO
27002, которые, как известно, являются международными версиями
британских стандартов BS 7799-2 и BS 7799-1 соответственно. ISO 27005
пришел на смену международным стандартам ISO 13335-3 и ISO 13335-4,
действие которых теперь отменено. Это свидетельствует о позитивном
процессе замещения уже слегка устаревшей серии стандартов ИТ
безопасности ISO 13335 относительно новой серией стандартов в области
управления информационной безопасностью – ISO 27000. В результате
данного процесса стандартов становится меньше, а их качество заметно
улучшается.
Сопоставляя стандарты BS 7799-3 и ISO 27005, мы обнаруживаем, что
они определяют все наиболее важные моменты, связанные с рисками,
сходным образом. Это касается процессной модели, элементов управления
рисками, подходов к анализу рисков и способам их обработки, а также

6
Информационная безопасность как искусство управления рисками [Электронный ресурс] // Анализ-
риска.рф: информационный портал / Режим доступа: http://анализ-риска.рф/content/informacionnaya-
bezopasnost-kak-iskusstvo-upravleniya-riskami (дата обращения 27.11.2018г)
11
вопросов коммуникации рисков. Оба стандарта содержат в виде приложений
примеры типовых угроз, уязвимостей и требований безопасности.
BS 7799-3 и ISO 27005 определяют:
 основные элементы процесса управления рисками;
 процессную модель;
 общий подход к управлению рисками;
 процессы анализа и оценивания рисков;
 способы качественного определения величины рисков;
 способы обработки рисков;
 процесс коммуникации рисков;
 примеры рисков, угроз, уязвимостей, активов, ущербов, требований
законодательства и нормативной базы.
Однако разные источники разработки обусловили и ряд различий между
британским и международным стандартами управления рисками. ISO 27005
более подробно описывает критерии и подходы к оценке рисков, контекст
управления рисками, область и границы оценки, а также ограничения,
влияющие на уменьшение риска. В то же время BS 7799-3 более тесно связан
с ISO 27001 и непосредственным образом отображает процессы управления
рисками на процессы жизненного цикла СУИБ. Он также определяет
требования к эксперту по оценке рисков и риск-менеджеру и включает в себя
рекомендации по выбору инструментария для оценки рисков. BS 7799-3 также
содержит примеры законодательных и нормативных требований
применительно к США и странам Европы.
Различия стандартов управления рисками информационной
безопасности:
1. ISO 27005
 заменяет ISO 13335-3 и ISO 13335-4;
 определяет основные критерии для оценки рисков:
 область действия и границы;

12
  подходы к оценке рисков;
 ограничения, влияющие на уменьшение риска.
2. BS 7799-3
 отображает процессы управления рисками на модель жизненного
цикла СУИБ согласно ISO 27001;
 определяет требования к эксперту по оценке рисков и к риск-
менеджеру;
 содержит примеры соответствия требованиям законодательства и
нормативной базы;
 содержит рекомендации по выбору инструментов для управления
рисками.

1.3 Подходы к оценке рисков информационной безопасности

На практике применяются количественный и качественный подходы к

оценке рисков ИБ. В чем их разница?
 Количественный метод.
Количественная оценка рисков применяется в ситуациях, когда
исследуемые угрозы и связанные с ними риски можно сопоставить с
конечными количественными значениями, выраженными в деньгах,
процентах, времени, человекоресурсах и проч. Метод позволяет получить
конкретные значения объектов оценки риска при реализации угроз
информационной безопасности.
При количественном подходе всем элементам оценки рисков
присваивают конкретные и реальные количественные значения. Алгоритм
получения данных значений должен быть нагляден и понятен. Объектом
оценки может являться ценность актива в денежном выражении, вероятность
реализации угрозы, ущерб от реализации угрозы, стоимость защитных мер и
прочее.

13
 Методика проведения количественной оценки рисков:
1. Определить ценность информационных активов в денежном
выражении.
2. Оценить в количественном выражении потенциальный ущерб от
реализации каждой угрозы в отношении каждого информационного актива –
следует получить ответы на вопросы «Какую часть от стоимости актива
составит ущерб от реализации каждой угрозы?», «Какова стоимость ущерба в
денежном выражении от единичного инцидента при реализации данной
угрозы к данному активу?».
3. Определить вероятность реализации каждой из угроз ИБ.
Для этого можно использовать статистические данные, опросы
сотрудников и заинтересованных лиц. В процессе определения вероятности
рассчитать частоту возникновения инцидентов, связанных с реализацией
рассматриваемой угрозы ИБ за контрольный период (например, за один год).
4. Определить общий потенциальный ущерб от каждой угрозы в
отношении каждого актива за контрольный период (за один год)7.
Значение рассчитывается путем умножения разового ущерба от
реализации угрозы на частоту реализации угрозы.
5. Провести анализ полученных данных по ущербу для каждой угрозы.
По каждой угрозе необходимо принять решение. Всего их четыре:
1. Принятие (сохранение) риска. На решение о принятии (сохранении)
риска оказывают влияние различные обстоятельства. Например, стартующий
высокотехнологичный бизнес может принимать более высокие риски, нежели
солидная организация традиционного профиля. Основными факторами,
влияющими на решение о принятии рисков, являются:
 возможные последствия осуществления риска, т.е. расходы
организации в каждом случае, когда это происходит;

7
Баранова, Е.К. Особенности подхода к анализу рисков информационной безопасности в малом и среднем
бизнесе // Вопросы оборонной техники. Серия 16: Технические средства противодействия терроризму. – 2016.
– № 7-8. – С. 146-152.
14
  ожидаемая частота подобных событий.
Количественные оценки этих факторов являются очень неточными и
субъективными, поэтому лица, принимающие решение, должны осторожно
взвешивать точность и достоверность информации, на основании которой они
принимают решение, и величину потерь, которую они готовы принять.
К числу субъективных факторов, оказывающих влияние на принятие
решений по рискам, относятся в том числе:
 готовность к принятию рисков (также известная как терпимость или
склонность к риску);
 простота реализации механизма контроля;
 доступные финансовые, кадровые и информационные ресурсы;
 существующие деловые/технологические приоритеты;
 политика организации и руководства, например, в отношении
следования тем или иным требованиям.
Каждая организация должна установить критерии принятия рисков,
определяющие максимально допустимый уровень остаточного риска, а также
возможные исключения для определенных рисков при определенных
обстоятельствах.
Риски, превышающие установленный руководством организации
допустимый уровень, это те риски, которые являются неприемлемыми для
бизнеса, а связанная с ними деятельность слишком рискованной. Все
остальные риски, ниже этого уровня, являются допустимыми и могут быть
приняты без дальнейшей обработки.
На практике многие риски занимают промежуточное положение между
однозначно приемлемыми и очевидно неприемлемыми. Такие риски также
нуждаются в обработке, хотя и не в первую очередь, и могут быть снижены
при обеспечении хорошего возврата инвестиций. Поэтому в дополнение к
максимально допустимому уровню остаточного риска мы также используем
уровень однозначно приемлемого риска.

15
 Уровни принятия риска:
1. Низкий риск (уровень риска: от 0 до 2) однозначно приемлемые
риски, составляющие обычный рисковый фон организации.
2. Средний риск (уровень риска: от 3 до 5) потенциально приемлемые
риски, уменьшение которых, однако, может дать положительный
экономический эффект. Эти риски обычно нуждаются в обработке, но не в
первую очередь.
3. Высокий риск (уровень риска: от 6 до 8) неприемлемые риски,
нуждающиеся в скорейшей обработке. Сохранение данных рисков
руководство организации считает крайне рискованным для своего бизнеса.
В ситуации, когда за разные риски отвечают разные подразделения
организации, используемые критерии принятия рисков требуют согласования
между этими подразделениями, а также с руководством организации. В
противном случае возникает ситуация, при которой организация применяет
разные критерии принятия рисков для разных областей контроля, что
приводит к недооценке одних видов рисков и переоценке других.
2. Уменьшение риска. Если риск неприемлем, то обычно в первую
очередь рассматривается вопрос о его уменьшении до уровня, который был
определен как максимально допустимый, путем применения
соответствующих механизмов контроля.
Одним из наиболее авторитетных источников для выбора механизмов
контроля служат международные стандарты ISO 27001 и ISO 27002,
предоставляющие описание и руководство по внедрению для каждого
механизма контроля. В стандарте ISO 15408 Общие критерии оценки
безопасности информационных технологий и разработанных на его основе
профилях защиты можно найти соответствующие требования и подобрать
спецификацию практически для любых программно-технических механизмов
контроля. Заслуживает также внимания немецкий стандарт в области ИТ
безопасности BSI/IT Baseline Protection Manual.

16
 Список источников информации о контрмерах, применяемых для
уменьшения рисков не исчерпывается названными стандартами. Подробную
информацию по отдельным областям контроля можно почерпнуть из других
международных стандартов, которых насчитывается несколько десятков
наименований. Перечислим лишь некоторые из них:
 ISO 13335; группа стандартов Информационные технологии.
Руководство по управлению ИТ безопасностью;
 ISO 18044; стандарт Информационные технологии. Методы
обеспечения безопасности. Управление инцидентами информационной
безопасности;
 ISO 18043; стандарт Информационные технологии. Методы
обеспечения безопасности. Выбор, развертывание и эксплуатация систем
обнаружения вторжений;
 ISO 13569; стандарт Финансовые сервисы. Руководство по
обеспечению информационной безопасности;
 ISO 13888; группа стандартов Методы обеспечения ИТ
безопасности. Неотказуемость. Общие положения;
 ISO 19794; группа стандартов Информационные технологии.
Форматы обмена биометрическими данными;
 ISO 18028; группа стандартов Информационные технологии.
Методы обеспечения безопасности. Безопасность ИТ сетей.
Механизмами контроля в международных стандартах называют любые
меры, направленные на уменьшение риска. Уменьшать риски можно
следующими способами:
 уменьшением вероятности воздействия угрозы на активы;
 ликвидацией имеющихся уязвимостей;
 уменьшением вероятности использования уязвимости;

17
  уменьшением возможного ущерба в случае осуществления риска
путем обнаружения нежелательных событий, реагирования и восстановления
после них.
Какой из этих способов (или их комбинацию) организация выбирает для
защиты своих активов, зависит от требований бизнеса, внешней среды и
обстоятельств. Выбор механизмов контроля должен быть обоснован.
Основными критериями такого выбора служат его реализуемость,
эффективность в достижении целей контроля и экономическая
целесообразность, измеряемая коэффициентом возврата инвестиций (ROI).
Каким образом определяется ROI, мы рассмотрим ниже в разделе Оценка
возврата инвестиций в информационную безопасность.
Не существует универсального или достаточно общего подхода к
выбору целей и механизмов контроля. Процесс выбора, вероятно, будет
включать в себя большое количество этапов принятия решения, консультации
и обсуждения с представителями бизнеса и ключевыми лицами, а также анализ
целей бизнеса. Процесс выбора должен базироваться на четко определенном
наборе целей и задач бизнеса или его миссии и произвести результаты,
которые наилучшим образом подходят для организации в терминах
требований бизнеса по защите его активов и инвестиций, культуры
организации и ее терпимости к риску.
Выбор механизмов контроля опирается на результаты оценки риска.
Анализ уязвимости или угрозы может показать, где требуется защита и какие
формы она должна принимать. Любые подобные ссылки на оценку рисков
должны быть документированы с целью обоснования выбора (либо
исключения) механизмов контроля. Документирование выбранных
механизмов контроля, наряду с целями контроля, для достижения которых они
предназначены, в декларации о применимости и в плане обработки рисков (об
этих документах пойдет речь ниже) является важным условием для
сертификации по стандарту ISO 27001, а также помогает организации далее

18
непрерывно отслеживать ход внедрения и эффективность механизмов
контроля.
При выборе механизмов контроля должно учитываться большое
количество других факторов, включая:
 простоту внедрения и эксплуатации механизма контроля;
 надежность и воспроизводимость механизма контроля (является ли
он документированным, исполняется он вручную или запрограммирован);
 относительную силу механизмов контроля по сравнению с другими
мерами;
 типы выполняемых функций (предотвращение, сдерживание,
обнаружение, восстановление, исправление, мониторинг или оповещение).
 На выбор механизмов контроля могут повлиять следующие
ограничения:
 время реализации; может быть неприемлемым, например,
превышать жизненный цикл процесса, для которого требуется уменьшить
риск;
 законодательные; ограничения на использование средств
шифрования;
 кадровые; доступность специализированного персонала;
 этические; не во всех организациях уместна перлюстрация почты, а
сообщения о подозрительных действиях в ряде случаев могут трактоваться как
доносительство;
 культурные; досмотр сумок можно ввести в Европе, но это
недопустимо в странах Ближнего Востока. Успешность внедрения в
значительной степени зависит от поддержки со стороны персонала;
 операционные; необходимость обеспечения непрерывной
доступности системы 24 часа в сутки.

19
 3. Передача риска. Передача риска может быть выбрана в случае, если
сложно уменьшить риск до приемлемого уровня либо если передача этого
риска третьей стороне экономически более оправдана.
Основными механизмами передачи риска являются страхование и
аутсорсинг. Для передачи риска годятся также любые договорные отношения,
позволяющие разделять ответственность и перекладывать риск на внешнюю
сторону (партнеров, клиентов и т.п.). Не стоит, однако, рассматривать
государство в качестве такой внешней стороны. Передать риск государству
достаточно проблематично. Предлагая, а чаще всего навязывая, бизнесу
систему лицензирования, сертификации и аттестации, государство при этом
не принимает на себя соответствующие риски бизнеса. Для аттестованных
систем никаких дополнительных гарантий и компенсации ущерба не
предоставляется, наличие лицензий и сертификатов не является гарантией
безопасности. Не получится разделить ответственность также и с
независимыми негосударственными органами по сертификации, т.к. эти
органы лишь декларируют соответствие определенным требованиям.
Традиционным механизмом передачи риска является страхование.
Страховщики делают бизнес на чужих рисках, принимая на себя эти риски и
получая за это страховую премию. Компенсация убытков предоставляется в
том случае, если осуществляется риск, который укладывается в рамки
страхового покрытия. Успех их бизнеса определяется точностью
прогнозирования среднегодового ущерба, которые должен быть существенно
меньше страховой премии.
Однако даже при страховании присутствует элемент остаточного риска,
поскольку будут существовать условия и исключения, применяемые в
зависимости от типа происшествия, для которых компенсация не будет
предоставляться. Поэтому необходимо тщательно анализировать передачу
риска при помощи страхования для того, чтобы определить, какая часть риска
реально передается. Следует также учитывать, что страхование обычно не

20
имеет дело с нефинансовыми последствиями и не предоставляет немедленной
компенсации в случае инцидента.
Другой возможностью является использование третьих сторон или
партнеров по аутсорсингу для управления неосновными бизнес-процессами
организации. В этом случае необходимо позаботиться о получении гарантий
того, что все требования безопасности, цели и механизмы контроля включены
в соответствующие договора для обеспечения достаточного уровня
безопасности.
Кроме того, следует определить требования безопасности вместе с
конкретными показателями эффективности в соглашениях об уровне сервиса
таким образом, чтобы эффективность предпринимаемых мер безопасности
могла быть измерена. Необходимо принимать во внимание, что здесь также
присутствует остаточный риск, заключающийся в том, что окончательная
ответственность за безопасность аутсорсинговой информации и средств ее
обработки остается за вашей организацией, а также, что через аутсорсинг
могут привноситься новые риски, которые также должны оцениваться и
контролироваться8.
4. Избежание риска.
Прежде чем планировать расходы на уменьшение или передачу риска,
возможно, стоит задуматься, нельзя ли избежать риска путем реорганизации
бизнес-процесса, например, путем выбора иных способов передачи, хранения
или обработки информации.
Избежание риска означает любые действия, при которых изменяются
способы ведения бизнеса для того, чтобы избежать осуществления риска.
Например, избежание риска может быть достигнуто путем:
 отказа от определенных бизнес-активностей (например,
неиспользования возможностей, предоставляемых электронной коммерцией,
или неиспользования Интернет для осуществления некоторых операций);

8
Петренко, С.А. Управление информационными рисками. Экономически оправданная безопасность / С.А.
Петренко, С.В. Симонов. М.: Компания АйТи; ДМК Пресс, 2014. – 210 с. – ISBN 5-94074-246-7
21
  перемещения ресурсов из зоны риска (например, отказ от хранения
конфиденциальных файлов в Интернет-сети организации или перемещение
ресурсов из зон, недостаточно защищенных физически);
 принятия решения о том, чтобы не обрабатывать конкретную
конфиденциальную информацию, например, совместно с третьей стороной в
случае, если адекватный уровень защиты не может быть гарантирован.
Избежание риска должно быть сбалансировано с потребностями бизнеса
и финансовыми целями. Например, использование Интернет или электронной
коммерции может являться неизбежным для организации в связи с деловой
необходимостью, несмотря на озабоченность по поводу хакеров, или с точки
зрения бизнеса может быть неосуществимо перемещение определенных
ресурсов в более надежное место. В таких ситуациях должны рассматриваться
другие варианты, такие как передача или уменьшение риска.
В результате количественной оценки рисков должны быть определены:
 ценность активов в денежном выражении;
 полный список всех угроз ИБ с ущербом от разового инцидента по
каждой угрозе;
 частота реализации каждой угрозы;
 потенциальный ущерб от каждой угрозы;
 рекомендуемые меры безопасности, контрмеры и действия по
каждой угрозе.
Количественный анализ рисков информационной безопасности на
примере веб-сервера организации, который используется для продажи
определенного товара. Количественный разовый ущерб от выхода сервера из
строя можно оценить, как произведение среднего чека покупки на среднее
число обращений за определенный временной интервал, равное времени
простоя сервера. Допустим, стоимость разового ущерба от прямого выхода
сервера из строя составит 100 тысяч рублей.

22
 Теперь следует оценить экспертным путем, как часто может возникать
такая ситуация (с учетом интенсивности эксплуатации, качества
электропитания и т д.). Например, с учетом мнения экспертов и
статистической информации, мы понимаем, что сервер может выходить из
строя до 2 раз в год.
Умножаем две эти величины, получаем, что среднегодовой ущерб от
реализации угрозы прямого выхода сервера из строя составляет 200 тысяч
рублей в год.
Эти расчеты можно использовать при обосновании выбора защитных
мер. Например, внедрение системы бесперебойного питания и системы
резервного копирования общей стоимостью 100 тысяч рублей в год позволит
минимизировать риск выхода сервера из строя и будет вполне эффективным
решением9.
 Качественный метод.
К сожалению, не всегда удается получить конкретное выражение
объекта оценки из-за большой неопределенности. Как точно оценить ущерб
репутации компании при появлении информации о произошедшем у нее
инциденте ИБ? В таком случае применяется качественный метод.
При качественном подходе не используются количественные или
денежные выражения для объекта оценки. Вместо этого объекту оценки
присваивается показатель, проранжированный по трехбалльной (низкий,
средний, высокий), пятибалльной или десятибалльной шкале (0… 10). Для
сбора данных при качественной оценке рисков применяются опросы целевых
групп, интервьюирование, анкетирование, личные встречи.
Анализ рисков информационной безопасности качественным методом
должен проводиться с привлечением сотрудников, имеющих опыт и
компетенции в той области, в которой рассматриваются угрозы.

9
Плетнев, П.В., Белов, В.М. Методика оценки рисков информационной безопасности на предприятиях малого
и среднего бизнеса // Доклады Томского государственного университета систем управления и
радиоэлектроники. – 2014. – № 1-2 (25). – С. 83-86.
23
 Как провести качественную оценку рисков:
1. Определить ценность информационных активов.
Ценность актива можно определить по уровню критичности
(последствиям) при нарушении характеристик безопасности
(конфиденциальность, целостность, доступность) информационного актива.
2. Определить вероятность реализации угрозы по отношению к
информационному активу.
Для оценки вероятности реализации угрозы может использоваться
трехуровневая качественная шкала (низкая, средняя, высокая).
3. Определить уровень возможности успешной реализации угрозы с
учетом текущего состояния ИБ, внедренных мер и средств защиты.
Для оценки уровня возможности реализации угрозы также может
использоваться трехуровневая качественная шкала (низкая, средняя, высокая).
Значение возможности реализации угрозы показывает, насколько выполнимо
успешное осуществление угрозы.
4. Сделать вывод об уровне риска на основании ценности
информационного актива, вероятности реализации угрозы, возможности
реализации угрозы.
Для определения уровня риска можно использовать пятибалльную или
десятибалльную шкалу. При определении уровня риска можно использовать
эталонные таблицы, дающие понимание, какие комбинации показателей
(ценность, вероятность, возможность) к какому уровню риска приводят.
5. Провести анализ полученных данных по каждой угрозе и
полученному для нее уровню риска.
Часто группа анализа рисков оперирует понятием «приемлемый уровень
риска». Это уровень риска, который компания готова принять (если угроза
обладает уровнем риска меньшим или равным приемлемому, то она не

24
считается актуальной). Глобальная задача при качественной оценке — снизить
риски до приемлемого уровня10.
6. Разработать меры безопасности, контрмеры и действия по каждой
актуальной угрозе для снижения уровня риска.
Целью обоих методов является понимание реальных рисков ИБ
компании, определение перечня актуальных угроз, а также выбор
эффективных контрмер и средств защиты. Каждый метод оценки рисков имеет
свои преимущества и недостатки.
Количественный метод дает наглядное представление в деньгах по
объектам оценки (ущербу, затратам), однако он более трудоемок и в
некоторых случаях неприменим.
Качественный метод позволяет выполнить оценку рисков быстрее,
однако оценки и результаты носят более субъективный характер и не дают
наглядного понимания ущерба, затрат и выгод от внедрения СЗИ.
Выбор метода следует делать исходя из специфики конкретной
компании и задач, поставленных перед специалистом11.

10
Астахов, А.М. Искусство управления информационными рисками / А.М. Астахов. – М.: ДМК Пресс, 2014
– 312 с. – ISBN 978-5-94074-574-7
11
Баранова, Е. К. Анализ рисков на предприятиях, особенности. // Вопросы оборонной техники. Серия 16:
Технические средства противодействия терроризму. – 2016. – № 7-8. – С. 95-101.
25
 2 Инструментальные средства анализа рисков
информационной безопасности

2.1 Краткий обзор существующих инструментальных решений

проблем анализа рисков

На сегодняшний день многими иностранными компаниями, которые

специализируются в решении комплексных проблем ИБ, разработаны и
предложены собственные методики управления информационными рисками.
Эти методики различаются, прежде всего, по уровню и совершенству
используемых математических методов, положенных в основу процедур
оценивания рисков. В зависимости от этого они обладают разными
возможностями адекватного учета реальных факторов, что в свою очередь,
предопределяет точность и надежность полученных оценок риска12.
CORAS. Метод CORAS – это компьютеризированный инструмент,
позволяющий документировать, создавать отчеты о результатах анализа путем
моделирования риска.
В методе CORAS не предусмотрена периодичность проведения оценки
рисков и обновление их величин. CORAS не позволяет оценить эффективность
инвестиций, вложенных во внедрение мер безопасности. Так же как не дает
возможности найти необходимый баланс между мерами, направленными на
предотвращение, выявление, исправление или восстановление
информационных активов.
Положительной стороной метода CORAS является то, что программный
продукт, реализующий эту методологию, распространяется бесплатно и не
требует значительных ресурсов для установки и применения.

12
Баранова, Е.К. Сравнительный анализ программного инструментария для анализа и оценки рисков
информационной безопасности // Проблемы информационной безопасности. Компьютерные системы. СПб. -
Институт информационных технологий и управления // под редакцией проф. Зегжды П.Д. – 2014. – № 4. – С.
160-168.
26
 CRAMM. Метод CRAMM (CCTA Risk Analysis and Management Method)
был разработан компанией Insight Consulting по требованиям Центрального
Агентства по Компьютерам и Коммуникациям Великобритании.
Достоинства и недостатки метода CRAMM. Метод использует
комплексный подход к оценке рисков, применяет технологии оценки угроз и
уязвимостей по косвенным факторам с возможностью верификации
результатов, имеет обширную базу знаний по контрмерам и обладает
универсальностью и адаптируемостью под профили разных организаций.
Однако использование метода CRAMM требует специальной подготовки и
высокой квалификации аудитора. Аудит по данному методу – процесс
достаточно трудоемкий и может потребовать месяцев непрерывной работы
аудитора. Он не позволяет создавать собственные шаблоны отчетов или
модифицировать имеющиеся. Программное обеспечение существует только
на английском языке.
RiskWatch. Программное обеспечение RiskWatch, разрабатываемое
американской компанией RiskWatch, Inc., является мощным средством
анализа и управления рисками.
Достоинства и недостатки метода RiskWatch. В методе RiskWatch в
качестве критериев для оценки и управления рисками используются
«предсказание годовых потерь» и оценка «возврата от инвестиций». Он
подходит, если требуется провести анализ рисков на программно-техническом
уровне защиты, без учета организационных и административных факторов.
Полученные оценки рисков (математическое ожидание потерь) далеко не
исчерпывает понимание риска со системных позиций – метод не учитывает
комплексный подход к информационной безопасности.
ГРИФ. ГРИФ - комплексная система анализа и управления рисками
информационной системы компании, разработанная российской компанией
«Digital Security».
Достоинства и недостатки метода ГРИФ. Метод не требует специальных
знаний в области ИБ, предоставляя подробный, дающий полную картину
27
возможного ущерба от инцидентов документ, готовый для представления
руководству компании, формирует полную модель информационной системы
с точки зрения ИБ с учетом реального выполнения требований комплексной
политики безопасности. Однако в методе отсутствует привязка к бизнес-
процессам, возможность сравнения отчетов на разных этапах внедрения
комплекса мер по обеспечению защищенности и добавления специфичные для
данной компании требования политики безопасности.
OCTAVE. Метод OCTAVE — это метод оперативной оценки
критических угроз, активов и уязвимостей.
Метод предусматривает регулярное проведение оценки рисков и
обновление их величин, как части процесса оценки рисков. В нем не
используется такой способ управления рисками, как обход (исключение).
Метод OCTAVE не дает количественной оценки рисков, однако качественная
оценка может быть использована в определении количественной шкалы их
ранжирования13.
Microsoft Security Assessment Tool (MSAT). Данное средство
безопасности разработано для помощи в определении и устранении угроз
безопасности в вычислительной среде и базируется на методике Microsoft.
MSAT оценка предназначена для широкого охвата областей
потенциального риска в среде, а не для предоставления глубокого анализа
конкретных технологий или процессов. Как следствие, средство не может
оценивать эффективность примененных мер безопасности.

13
Баранова, Е.К., Забродоцкий, А.С. Процедура применения методологии анализа рисков OCTAVE в
соответствии со стандартами серии ИСО/МЭК 27000-27005 // Вестник Московского университета им. С.Ю.
Витте. Серия 3: Образовательные ресурсы и технологии. – 2015. – № 3(11) – С. 73-77.
28
 2.2 Инструментальное средство анализа рисков RA Software Tool

Еще один метод, условно относящийся к базовому уровню — RA

Software Tool, базируется на таких британских и международных стандартах
и документах:
 BS 7799-2:2002 Information security management systems –
Specification with guidance for use;
 ISO/IEC 17799:2000 Code of practice for information security
management;
 ISO TR 13335 Part 3: Guidelines for the Management of IT Security –
Techniques for the management of IT security (Руководство по управлению
режимом информационной безопасности, технологии управления
безопасностью);
 ISO TR 13335 Part 4: Guidelines for the Management of IT Security –
Selection of safeguards and the well-known BSI guidelines for BS 7799
(Руководство по управлению режимом информационной безопасности, выбор
средств защиты);
 PD 3002: Guide to BS 7799 Risk Assessment and Management
(Руководство по оценке и управлению рисками);
 PD 3003: Are you ready for a BS 7799 Audit (Оценка готовности
компании к аудиту в соответствии с BS 7799);
 PD 3005: Guide on the Selection of BS 7799 Controls (Руководство по
выбору системы защиты)14.
Совместно разработанный AEXIS Security Consultants и XISEC
Consultants Ltd инструментарий для оценки и управления информационными
рисками RA2 the art of risk предназначен в первую очередь для того, чтобы
облегчить создание СУИБ в соответствии с требованиями международного

14
Астахов, А.М. Искусство управления информационными рисками / А.М. Астахов. – М.: ДМК Пресс, 2014
– 312 с. – ISBN 978-5-94074-574-7
29
стандарта ISO 27001. В RA2 реализован достаточно простой для понимания
процессный подход, общие требования к которому определены в ISO 27001 и
более подробно описаны в стандарте ВS 7799-З.
Его разработчики Тэд Хамфриз (Ted Humphreys) и Анжелика Плейт
(Angelika Plate) - известные личности в области управления безопасностью.
Они являются редакторами британского стандарта ВS 7799 и международных
стандартов ISO 27001 и ISO 17799, а также авторами серии книг ВIР 0071-
0074, являющихся официальными руководствами Британского Института
Стандартов по внедрению стандартов серии 27000.
Процесс создания СУИБ в RA2 разделен на четыре этапа:
1. Сбор информации (Information Gathering).
2. Оценка рисков (ISMS Risks).
3. Обработка рисков (Risk Management Decisions).
4. Внедрение механизмов контроля (Implementation of Controls).
Методика RA2 art of risk (RA Software Tool, Великобритания)
представляет собой ПО для разработки и осуществления системы
менеджмента информационной безопасности (СМИБ) в соответствии с
требованиями ISO/IEC 27001:200515.
Входные данные. Методика состоит из 8 модулей:
1) область СМИБ и масштабы оценки риска;
2) идентификация активов в СМИБ;
3) оценка актива;
4) оценка угроз/уязвимостей;
5) идентификация и оценка риска;
6) решения по обработке риска;
7) утверждение применимости;
8) выполнение и отобранные средства управления.

15
Методики и технологии управления информационными рисками [Электронный ресурс] // CITForum: форум
новостей информационных технологий / Режим доступа: http://citforum.ru/security/articles/risk/ (дата
обращения 27.11.2018г)
30
 Во время прохождения каждого из модуля инициализируются запросы.
Даны варианты ответов в бинарно-лингвистическом виде (да, нет). Для оценки
риска используются 8 уровней с описанием их как:
 1 – тривиальный;
 2, 3 – минорный;
 4, 5 – значительный;
 6, 7 – большой;
 8 – катастрофический.
Также, для построения матрицы риска, используются уровни опасности
для предприятия и вероятность риска в лингвистических шкалах.
Выходные данные. При завершении оценки получаем уровни риска по
каждой представленной категории в лингвистическом виде.

2.3 Описание программы и внешний вид

По состоянию на ноябрь 2018 года сайт данного средства не

функционирует16, в связи с чем невозможно получение информации с
официального сайта. Однако, в сети Интернет по-прежнему имеется
возможность скачивания демоверсии инструментального средства RA2 art of
risk.
Согласно проведенному анализу, в русском сегменте информационного
пространства купить данное программное обеспечение в полном варианте
возможно только в одном интернет магазине – гипермаркете информационной
безопасности GlobalTrust. Стоимость одного экземпляра (вид носителя – CD-
диск) составляет порядка 2355 у.е. или 134235 рублей. Данная площадка
является официальным дистрибьютором17.

16
RA Software [Электронный ресурс] // RA Software:официальный сайт / Режим доступа: http://www.aexis.de
(дата обращения 27.11.2018г)
17
Гипермаркет информационной безопасности GlobalTruth. RA2 art of risk [Электронный ресурс] //
GlobalTruth: интернет-магазин / Режим доступа: / URL
http://shop.globaltrust.ru/show_good.php?idtov=6380&grid= (дата обращения 27.11.2018г.)
31
 Сама программа имеет только английский язык (рис.1), без возможности
выбора иных.
Каждый шаг программы снабжен подробными пояснениями в полном
соответствии со стандартом BS 7799 (рис.2).
Программный продукт RA2 включает в себя средства для решения
следующих задач:
 определения области действия, бизнес-требований, политики и
целей СУИБ;
 разработки реестра активов СУИБ;
 оценки рисков СУИБ;
 принятия решения по обработке рисков путем выбора подходящих
контрмер из приложения А к стандарту BS 7799-2;
 анализа расхождений со стандартом ISO 27002;
 формирования Декларации о применимости и других документов
СУИБ.

32
Рисунок 1 - Интерфейс главного меню программы

33
 Рисунок 2 - Пример функционирования модуля программы
RA2 является хорошим средством для демонстрации концепции
процессного построения СУИБ, выраженной в BS 7799-2 (ISO 27001), а также
полезным инструментом для обучения внедрению СУИБ.
Однако, его практическое использование в организации в качестве
средства для управления рисками затрудняется недостаточной
проработанностью пользовательского интерфейса (неудобные средства ввода
и редактирования текстовой информации), примитивностью средств,
предоставляемых для работы с моделью активов, угрозами и уязвимостями, а
также определенными огрехами по части отображения кириллицы в отчетах.
Обнаружить продукт, лишенный недостатков и в то же время полностью
соответствующий требованиям международных стандартов, достаточно
сложно.
34
 Многие известные продукты либо не позволяют проводить полноценной
оценки рисков (Cobra), а скорее являются средствами для анализа
несоответствий требованиям стандарта ISO 27001 (gap analysis), либо
включают в себя слабые средства оценки рисков, не полностью
соответствующие требованиям ISO 27001, хотя в них много другого
функционала (Callio Secura), либо являются слишком сложными в
использовании, дорогими и некастомизируемыми (CRAMM)18.
Можно было бы выделить из этого списка RA2 the art of risk как
инструмент, полностью соответствующий требованиям ISO 27001, однако он
не позволяет сравнивать между собой результаты оценок, что было бы
необходимо для крупной организации, содержит крайне примитивные
средства построения модели активов и редактирования текстовой
информации, затрудняющие его использование, а также неправильно
отображает русские буквы в отчетах19.

18
Луцкий, М.Г., Иванченко, Е.В., Казмирчук, С.В., Охрименко, А.А. Современные средства управления
информационными рисками // Науково-практичний журнал «Захист інформації». – 2013. – №1 – С. 12-21
19
Использование ПО для анализа рисков и соответствия стандартам ИБ [Электронный ресурс] // SecurityLab:
форум / Режим доступа: https://www.securitylab.ru/forum/forum23/topic35719/ (дата обращения 27.11.2018г)
35
 Заключение

В заключение можно отметить, что конкретную методику проведения

анализа рисков на предприятии и инструментальные средства,
поддерживающие ее, нужно выбирать, учитывая следующие факторы:
 наличие экспертов, способных дать достоверные оценки объема
потерь от угроз информационной безопасности;
 наличие на предприятии достоверной статистки по инцидентам в
сфере информационной безопасности;
 нужна ли точная количественная оценка последствий реализации
угроз или достаточно оценки на качественном уровне.
Прежде чем проводить анализ рисков, необходимо определить цель,
которую нужно достичь, и в зависимости от её значимости, выбрать метод
оценки рисков. Важно понимать, что универсальные методики, которые
применимы для анализа рисков в различных организациях, дают менее точную
и адекватную оценку рисков ИБ предприятия, чем узкоспециализированные,
которые в свою очередь применимы только для определенных видов
деятельности и разрабатываются непосредственно самой организацией.
Поскольку на данный момент существующие методики получили
широкое применение в различных сферах деятельности, то вопрос о точности
и адекватности оценки рисков на основе их алгоритмов встает очень остро.
Каждому предприятию, каждой организации или компании необходимо иметь
возможность управлять рисками ИБ, чтобы вести успешную и выгодную
деятельность, то есть получать точную оценку рисков ИБ, благодаря
глубокому и подробному анализу защищенности информации. Это возможно
благодаря разработке собственной методики, адаптированной под конкретный
вид деятельности, но данный процесс затрачивает большой объем времени и
человеческих ресурсов. Поэтому, учитывая результаты анализа приведенных
методик, возникает необходимость усовершенствовать и доработать их.

36
Предприятию необходимо использовать не только методику, которая
предоставляет результаты первичной оценки рисков и рекомендации по их
снижению, но и простое и понятное в использовании программное средство
проведения этой оценки. Ведь в организации не всегда имеются
квалифицированные специалисты в сфере ИБ или отделы ИБ20.
В процессе написания курсовой работы была достигнута её цель и
выполнены поставленные задачи. Актуальность исследования была
подтверждена.
Получены теоретические и практические навыки, повышающие уровень
знаний и способствующие дальнейшему развитию меня, как специалиста в
сфере информационной безопасности.

Баранова, E.K., Бабаш, А.В. Практикум по моделированию системы защиты информации: учеб. пособие. -
20

М.: РИОР: ИНФРА-М, 2016. – 145 с. – ISBN 978-5-98134-321-9

37
 Список использованных источников

1 ГОСТ Р ИСО/МЭК 27002-2012 Информационная технология (ИТ).

Методы и средства обеспечения безопасности. Свод норм и правил
менеджмента информационной безопасности (утвержден и введен в действие
Приказом Федерального агентства по техническому регулированию и
метрологии от 24 сентября 2012 г. N 423-ст) [Электронный ресурс] //
Консорциум Кодекс – Техэксперт/ Режим доступа: / URL:
http://docs.cntd.ru/document/1200103619/ (дата обращения 27.11.2018г.)
2 Астахов, А.М. Искусство управления информационными рисками /
А.М. Астахов. – М.: ДМК Пресс, 2014. – 312 с. – ISBN 978-5-94074-574-7
3 Баранова, E.K., Бабаш, А.В. Практикум по моделированию системы
защиты информации: учеб. пособие. - М.: РИОР: ИНФРА-М, 2016. – 145 с. –
ISBN 978-5-98134-321-9
4 Баранова, Е. К. Анализ рисков на предприятиях, особенности. //
Вопросы оборонной техники. Серия 16: Технические средства
противодействия терроризму. – 2016. – № 7-8. – С. 95-101.
5 Баранова, Е.К., Забродоцкий, А.С. Процедура применения
методологии анализа рисков OCTAVE в соответствии со стандартами серии
ИСО/МЭК 27000-27005 // Вестник Московского университета им. С.Ю. Витте.
Серия 3: Образовательные ресурсы и технологии. – 2015. – № 3(11) – С. 73-77.
6 Баранова, Е.К. Методики и программное обеспечение для оценки
рисков в сфере информационной безопасности // Управление риском. – 2015.
– № 1(49). – С. 15–26.
7 Баранова, Е.К. Особенности подхода к анализу рисков
информационной безопасности в малом и среднем бизнесе // Вопросы
оборонной техники. Серия 16: Технические средства противодействия
терроризму. – 2016. – № 7-8. – С. 146-152.

38
 8 Баранова, Е.К. Сравнительный анализ программного
инструментария для анализа и оценки рисков информационной безопасности
// Проблемы информационной безопасности. Компьютерные системы. СПб. -
Институт информационных технологий и управления // под редакцией проф.
Зегжды П.Д. – 2014. – № 4. – С. 160-168.
9 Баранова, Е.К., Бабаш, А.В. Практикум по моделированию системы
защиты информации: учеб. пособие. – М.: РИОР: ИНФРА-М, 2016. – 224 с. –
ISBN 978-5-369-01559-9
10 Луцкий, М.Г., Иванченко, Е.В., Казмирчук, С.В., Охрименко, А.А.
Современные средства управления информационными рисками // Науково-
практичний журнал «Захист інформації». – 2013. – №1 – С. 12-21
11 Петренко, С.А. Управление информационными рисками.
Экономически оправданная безопасность / С.А. Петренко, С.В. Симонов. М.:
Компания АйТи; ДМК Пресс, 2014. – 210 с. – ISBN 5-94074-246-7
12 Плетнев, П.В., Белов, В.М. Методика оценки рисков
информационной безопасности на предприятиях малого и среднего бизнеса //
Доклады Томского государственного университета систем управления и
радиоэлектроники. – 2014. – № 1-2 (25). – С. 83-86.
13 Садердинов, А.А. Информационная безопасность предприятия: учеб.
пособие / А.А. Садердинов, В.А. Трайнев, А.А. Федулов. – М.: Дашков и К,
2015. – 390 с. – ISBN 5-94798-420-2
14 Зайцев, А.П., Шелупанов, А.А., Мещеряков, Р.В. Технические
средства и методы защиты информации: учебник для вузов / А.П. Зайцев, А.А.
Шелупанов, Р.В. Мещеряков. – М.: ООО «Издательство Машиностроение»,
2014 – 442 с. – ISBN 978-5-9912-0233-6
15 Гипермаркет информационной безопасности GlobalTruth. RA2 art of
risk [Электронный ресурс] // GlobalTruth: интернет-магазин / Режим доступа: /
URL http://shop.globaltrust.ru/show_good.php?idtov=6380&grid= (дата
обращения 27.11.2018г.)

39
 16 Информационная безопасность как искусство управления рисками
[Электронный ресурс] // Анализ-риска.рф: информационный портал / Режим
доступа: http://анализ-риска.рф/content/informacionnaya-bezopasnost-kak-
iskusstvo-upravleniya-riskami (дата обращения 27.11.2018г)
17 Использование ПО для анализа рисков и соответствия стандартам
ИБ [Электронный ресурс] // SecurityLab: форум / Режим доступа:
https://www.securitylab.ru/forum/forum23/topic35719/ (дата обращения
27.11.2018г)
18 Методики и технологии управления информационными рисками
[Электронный ресурс] // CITForum: форум новостей информационных
технологий / Режим доступа: http://citforum.ru/security/articles/risk/ (дата
обращения 27.11.2018г)
19 RA Software [Электронный ресурс] // RA Software:официальный сайт
/ Режим доступа: http://www.aexis.de (дата обращения 27.11.2018г)
20 RA2 art of risk [Электронный ресурс] // European Union Agency for
Network and Information Security / Режим доступа:
https://www.enisa.europa.eu/topics/threat-risk-management/risk-
management/current-risk/risk-management-inventory/rm-ra-tools/t_ra2.html (дата
обращения 27.11.2018г)

40