TerminologyБЛОГ

Риск

Риск (Risk) е потенциалната възможност за осъществяване на неоторизиран достъп, компрометиране на система, унищожаване или вреда върху дадена ценност.
Анализа и управлението на риска са основни части от сигурността, като базовата цел е да се идентифицират съществуващите рискове, да се оценят качествено и количествено и след това да се предприемат мерки за тяхното отстраняване, приемане, прехвърляне или ограничаване. За да се изпълни тази задача е необходимо да се познават трите базови елемента на риск анализа: активи (assets), заплахи (threat) и уязвимости (vulnerabilities).

  • Актив (Asset) – всичко, което е ценно (важно) за съществуването на организацията. Това могат да бъдат материални обекти (хора, компютри и т.н.) или нематериални (интелектуална собственост, информация в база данни, списъци с контакти, счетоводна информация и други). Познанието за ценностите, които трябва да се защитават и тяхната стойност, местоположение и показност (exposure), могат да са изключително полезни за по-ефективното разпределяне на разходите (пари и време) за защитата им.
  • Уязвимост (Vulnerability) е слабост в системата или нейният дизайн, която може да бъде използвана за нарушаване на сигурността (exploitable). Уязвимости могат да бъдат намерени в протоколи, операционни системи, приложения или системния дизайн. Броят на новооткритите уязвимостите нараства буквално с всеки ден.
  • Заплахата (Threat) представлява потенциалната опасност за всеки актив. Ако съществува уязвимост, но все още не е експлоатирана (exploited), заплахата е латентна (latent) и все още неосъзната. Ако дадена система бъде компрометирана в следствие на атака към нея, то може да се каже, че заплахата е реализирана. Обектът, който се възползва от уязвимостта е известен под името атакуващ агент (threat agent) или вектор на заплаха/атака (threat vector).

Комбинирайки тези елементи с вероятността за атака и въздействието от успешна такава, позволява класифицирането на рисковете в три основни категории: висок, среден и нисък.

Съществуват четири начина за реакция при възникване на риск:

  • Избягване (Avoid) – означава да се елиминира напълно риска, компанията да се оттегли от пазара или въобще да не започва даден бизнес.
  • Приемане (Accept) – означава, че риска е осъзнат и оценен. Висшето ръководство е взело решението, че ползите от продължаване напред са повече от рисковете. Ако на мениджърите не се представи достатъчно пълен и точен анализ на риска, може да се стигне до вземане на неправилни решения, а оттам до фатални последици.
  • Прехвърляне (Transfer) – рикът бива отклонен към трета страна. Пример за това е закупуване на застраховка.
  • Ограничаване (Mitigate) – да се смекчи риска означава, че са използвани мерки за намаляването му. Пример за това е инсталирането и конфигурирането на защитна стена.

Вашият коментар

Вашият имейл адрес няма да бъде публикуван. Задължителните полета са отбелязани с *