262
ISSN 0236-3933. Вестник МГТУ им. Н.Э. Баумана. Сер. “Приборостроение”. 2012
с неточностью накопленных статистических сведений, а также в силу
их неспособности учитывать скрытые уязвимости КИС компании, с
которыми не был связан ни один инцидент ИБ, но которые могут
стать причиной инцидентов в будущем.
Методы моделирования
основаны на построении, изучении и ана-
лизе математических моделей, описывающих функционирование КИС.
В отличие от статистических методов, методы моделирования являются
более точными, однако могут возникнуть сложности при разработке
математической модели КИС. Как правило, неясно, какие параметры
необходимо закладывать, как с наибольшей достоверностью описать
все взаимосвязи и взаимодействие между различными характеристика-
ми КИС. Кроме того, недостатками в использовании таких методов яв-
ляются высокая стоимость разработки и сложность в формировании
точного логического вывода о информационных рисках, так как данный
процесс очень трудно разложить на простые составляющие. Таким об-
разом, моделирование КИС и управление информационными рисками
на основе математических моделей — сложная задача, и требуется вре-
мя для внедрения этого метода в практическую деятельность компаний.
Существует
специализированное программное обеспечение
,
поз-
воляющее автоматизировать процесс анализа исходных данных и рас-
чет значений информационных рисков при аудите и управлении риска-
ми ИБ. Такое программное обеспечение, как правило, дорогостоящее и
при этом не всегда позволяет адекватно оценить требуемые параметры
для конкретной организации вследствие слишком большого разброса
возможных характеристик, сфер деятельности и условий функциониро-
вания различных компаний. Однако применение указанного метода
может оказаться полезным в сочетании с другими методами, позволя-
ющими проанализировать результаты, полученные по итогам работы
программного обеспечения. В настоящее время наибольшее распро-
странение получили программные комплексы CRAMM, RiskWatch и
ГРИФ [2]. Наиболее эффективен программный комплекс ГРИФ, по-
скольку он не требует специальной подготовки в области иностранных
языков, высокой квалификации аудитора, серьезных временных и фи-
нансовых затрат на установку, настройку и применение комплекса.
Кроме того, с помощью комплекса ГРИФ процесс анализа информаци-
онных рисков обеспечивается всей необходимой отчетностью (без из-
лишней бумажной документации) с использованием как количествен-
ной, так и качественной оценки. Комплекс ГРИФ также обладает моду-
лем для сетевого применения.
При использовании
методов экспертной оценки
анализируются
результаты работы группы экспертов, компетентных в области ИБ, ко-
торые на основе имеющегося у них опыта определяют количественные
или качественные уровни информационных рисков [3]. Поскольку при-
менение одного эксперта для получения количественных оценок объек-
та или явления крайне неэффективно (возникают вопросы по поводу
релевантности, достоверности), то при проведении опроса, как правило,
участвует группа квалифицированных экспертов. В качестве экспертов