ФОРМУЛИРОВКА ПРЕДЛОЖЕНИЙ ПО УВЕЛИЧЕНИЮ КАЧЕСТВА ЗАЩИТНЫХ СРЕДСТВ, ИСПОЛЬЗУЮЩИХ ОПЕРАЦИЮ ХЭШИРОВАНИЯ В СИСТЕМАХ С РАСПРЕДЕЛЕННЫМИ ДАННЫМИ

Метод построения системы информационной безопасности зависит от отнесения конкретного ресурса к соответствующей категории (градации значимости). Многие предприятия промышленности, используют и обрабатывают информацию, составляющую государственную и коммерческую тайну, процедура формирования таких градаций заключается в соответствии нормативным требованиям с использованием особого оборудования и взаимодействием со специальными учреждениями. Также идет работа с персональными данными и информацией, составляющей коммерческую и профессиональную тайны, поэтому вышеописанный процесс категоризации базируется на анализе и оценке рисков.

Риск – значение вероятности осуществлении установленной угрозы (использующей определенные уязвимости) и величины возможного ущерба.

В соответствии с международным стандартом OHSAS 18001:2007 под оценкой рисков подразумевается процедура оценки рисков, возникающих из опасностей, с учетом адекватности существующих мер управления, и принятия заключения о том, является ли риск допустимым или нет. Другими словами, оценка риска – это обнаружение угроз, существующих в рабочих зонах и областях компании при производстве каких-либо работ, установление масштабов этих угроз и их вероятностных разрушений.

Управление рисками – процедура, содержащая исследование рисков, выбор, осуществление и анализ результативных и экономичных контрмер, контроль, что риски установлены на приемлемом уровне.

Целью управления информационными рисками является минимизирование суммы затрат компании, направленными в противодействие информационным рискам и суммарного убытка от данных рисков.

Управление информационными рисками подразумевает решение вытекающих вопросов.

Одной из достаточно значимых трудностей анализа информационных рисков представляется задача формирования классификации информационных рисков.

Информационные риски предполагается объединять в соответствии с их общими характеристиками и механизмом воздействия. Это дает возможность эффективно использовать ресурсы и способы защиты данных с целью блокирования набора рисков, схожих согласно категории отнесения. Так, например, схема, демонстрирующая разделение информационных рисков для облачных хранилищ на группы, может выглядеть следующим образом.

На сегодняшний день с точки зрения оперативности принятия мер в целях предотвращения и минимизации задержек рассматривают три основных подхода к управлению рисками:

Динамичный (функциональный) подход отмечает наибольшее применение пользователем средств управления рисками. При таком раскладе все действия осуществляются впоследствии проведения контрмер по предотвращению вероятных финансовых издержек.

Адаптивный подход базируется на учете в ходе управления сформировавшихся условий, а само же управление рисками выполняется в процессе осуществления контрмер. В данном случае нельзя избежать всего ущерба в случае реализации угрозы риска, но допускается исключение части издержек.

Консервативный подход подразумевает, что влияние на финансовые риски стартует впоследствии наступления конкретного риска, когда компанией ранее уже был приобретен ущерб. Обе эти причины появляются из-за непонимания руководством основательности проблемы и из-за возникающей трудности для администратора сети грамотно и доказательно обосновать, для чего следует вкладывать немалые денежные ресурсы в информационную безопасность.

Благодаря такой ситуации сложился миф, будто администраторы ИБ и руководители разговаривают на разных языках – техническом и финансовом. Однако проблема заключается в том, что самим специалистам по защите информации зачастую тяжело дать оценку, на что израсходовать финансы, какие проблемы являются приоритетными, какое количество ресурсов потребуется для обеспечения эффективной защищенности инфраструктуры предприятия. Совершенно справедливо отметить, что в случае напрасных трат компании человеку сулит не только увольнение, но и в некоторых случаях наказания, вплоть до судебных разбирательств.

Трудность, перед которой стоит исследователь, заключается в доказательном ответе на следующие вопросы: какое количество средств предприятие способно потерять в случае осуществления угрозы, какие сферы в организации более уязвимы, какие меры допускается совершить с целью увеличения степени безопасности и при этом никак не истратить излишних средств.

Поэтому не удивительно, если все это специалист может доказать фактически, то задача убедить руководство в инвестировании в данную сферу становится значительно легче. Все это определяет необходимость использования специальных программных средств по анализу и контролю информационных рисков для облачных хранилищ.

Таким образом, остается рассмотреть основные методы существующих систем оценки рисков, дать их сравнительный анализ, чтобы обозначить преимущества и недостатки таких комплексов, уже учитывая которые можно будет перейти непосредственно к постановке задачи исследования.

Существует ряд различных подходов к анализу рисков. Однако они, по существу, разбиваются на два типа: количественные и качественные.

Далее следует рассмотреть количественный анализ рисков.

В этом подходе используются два фундаментальных элемента: вероятность возникновения события и вероятные потери в случае его возникновения.

Список литературы:

1. Глотова Т. В., Бешер Х. И. Особенности информационной безопасности распределенных систем // Моделирование, оптимизация и информационные технологии. Электрон. журн. №. 3. [2016]. [Электронный ресурс]. URL: https://moit.vivt.ru/?p=3894&lang=ru. – (Дата обращения: 25.03. 2019).
2. Затуливетер Ю. С., Фищенко Е. А. Проблемы программируемости, безопасности и надежности распределенных вычислений и сетецентрического управления. Ч. 2. Подход к общему решению // cyberleninka.ru. Электрон. изд. [2016]. [Электронный ресурс]. URL: https://cyberleninka.ru/article/n/problemyprogrammiruemostibezopasnostii-nadezhnosti-raspredelennyh-vychisleniy-i-setetsentricheskogo-upravleniya-ch-2-podhod-k. – (Дата обращения: 25.03. 2019).
3. Жидко Е. А., Разиньков С. Н. Модель подсистемы безопасности и защиты информации системы связи и управления критически важного объекта // cyberleninka.ru. Электрон. изд. [2018]. [Электронный ресурс]. URL: https://cyberleninka.ru/article/n/model-podsistemy-bezopasnosti-i-zaschity-informatsii-sistemy-svyazi-i-upravleniya-kriticheski-vazhnogo-obekta. – (Дата обращения: 25.03. 2019).