Как измеряется степень защиты объекта от информационных опасностей?

Степень защиты объекта от информационных опасностей измеряется с помощью различных методов: 2

• Экспертная оценка. 2 Специалисты собирают общие сведения об объекте, описание процессов обработки конфиденциальной информации, корпоративной информационной системы и информационной инфраструктуры, а также системы обеспечения безопасности информации (документация, организационные и технические меры, средства защиты). 2 На основе собранной информации оценивается потенциал источников риска, для каждого из них определяется вероятность возникновения угрозы и коэффициент важности. 2
• Статистический анализ рисков. 2 Этот метод позволяет определить, в каких местах система наиболее уязвима. 2 Для него нужен большой объём данных о ранее совершённых атаках. 2
• Факторный анализ. 2 ИТ-специалисты выделяют основные факторы, которые влияют на возникновение той или иной угрозы. 2 Задача эксперта — проанализировать системы предприятия и определить, какие уязвимости нужно устранить, а какими можно пренебречь. 2
• Моделирование информационных потоков. 2 Этот метод помогает выявить тенденции в поведении системы, потенциальные ошибки, масштаб уязвимостей и последствия от вероятной угрозы. 2
• Моделирование угроз. 2 Специалисты тестируют все жизненно важные системы предприятия на наличие уязвимости. 2 Такой анализ позволяет оценить вероятность возникновения угрозы и масштабы последствий. 2

Также для оценки степени защиты от информационных опасностей может использоваться показатель КЗИ. 3 Он характеризует степень достижения минимально необходимого уровня защиты информации от типовых актуальных угроз во временном интервале оценивания и заданных условиях эксплуатации информационных систем, автоматизированных систем управления, информационно-телекоммуникационных сетей, иных объектов информатизации. 3