7 
ТЕХНИЧЕСКИЕ НАУКИ 
Методы анализа рисков информационной безопасности 
Ральникова Н. С. 
Ральникова Н. С. Методы анализа рисков информационной безопасности 
Ральникова Наталья Сергеевна / Ralnikova Natalya Sergeevna - магистрант, 
кафедра безопасных информационных технологий,
факультет информационной безопасности и компьютерных технологий, 
Санкт-Петербургский национальный исследовательский университет
информационных технологий, механики и оптики, г. Санкт-Петербург 
 
Аннотация: при построении системы защиты предприятия необходимо определить 
баланс между возможным ущербом от несанкционированной утечки информации и 
размером вложений, которые потрачены для обеспечения защищенности информационных 
ресурсов. В данной статье мы проведем сравнительный обзор методов, с помощью 
которых можно провести анализ рисков на предприятии. 
Ключевые слова: информационная безопасность, риски, методы анализа рисков. 
 
Анализ информационных рисков – это процесс комплексной оценки защищенности 
информационной системы с переходом к количественным или качественным показателям 
рисков. Другими словами - это вероятный ущерб, который зависит от защищенности 
системы [1, c. 15]. 
По статистике, самым главным препятствием на пути принятия мер по обеспечению 
информационной безопасности являются две причины: ограничение бюджета и отсутствие 
поддержки со стороны руководства. 
Если ИТ-менеджер четко представляет, сколько компания может потерять денег в 
случае реализации угроз, какие места в системе наиболее уязвимы, какие меры можно 
предпринять для повышения уровня защищенности и при этом не потратить лишних денег, 
и все это подтверждено документально, то решение задачи убедить руководство обратить 
внимание и выделить средства на обеспечение информационной безопасности становится 
значительно более реальным. 
Для решения данной задачи были разработаны программные комплексы анализа и 
контроля информационных рисков, например: CRAMM (Великобритания), RiskWatch 
(США) и ГРИФ (Россия). Рассмотрим далее данные методы и построенные на их базе 
программные системы. 
CRAMM предполагает использование технологий оценки угроз и уязвимостей по 
косвенным факторам с возможностью проверки результатов. В нее заложен механизм 
моделирования информационных систем с позиции безопасности с помощью обширной 
базы данных по контрмерам. Оценка рисков проходит в три этапа: определение ценности 
ресурсов, оценка рисков, поиск и выбор адекватных контрмер. Достоинствами этого 
комплекса являются возможность использования на всех стадиях проведения аудита 
безопасности, объемная база знаний по контрмерам и гибкость. Недостатком является 
необходимость работы высококвалифицированного аудитора. 
В RiskWatch в качестве критериев для оценки и управления рисками используются 
«предсказание годовых потерь» и оценка «возврата от инвестиций». RiskWatch помогает 
провести анализ рисков и сделать обоснованный выбор мер и средств защиты. Процесс 
анализа из следующих этапов: определение предмета исследования, определение угроз и 
вероятности их возникновения и оценка рисков. Достоинствами являются: сравнительно 
невысокая трудоемкость процесса анализа рисков и большая гибкость метода. Из 
недостатков можно отметить то, что неудобно описывать административно-
организационные аспекты рисков. 
Оценку рисков программный комплекс «ГРИФ» предлагает проводить двумя разными 
алгоритмами: при помощи модели информационных потоков либо при помощи модели 

8 
угроз и уязвимостей. Алгоритм информационных потоков состоит из следующих этапов: 
ввод объектов информационной системы (отделов, ресурсов); определение видов 
пользовательских групп и их прав по отношению к информационным ресурсам; указание 
средств защиты, которыми защищены ценные ресурсы, и ввод затрат на их приобретение и 
сопровождение; оценка реального уровня защищенности системы при помощи опросника. 
Из достоинств можно отметить простоту программного решения при сложнейшем 
алгоритме. Недостатками является то, что программа не позволяет создавать собственные 
свойства активов, и ограничена в задании собственных контрмер. 
При построении системы безопасности предприятия оценка рисков – это неотъемлемый 
и очень важный этап, необходимый для оценки необходимости внедрения средств защиты 
информации и оценки эффективности уже внедренных средств защиты.
Для облегчения анализа и оценки рисков существует множество различных 
инструментальных средств. Данный обзор программных продуктов анализа рисков поможет 
выбрать необходимый исходя из цели предприятия в этом направлении, его размеров и 
наличия квалифицированного персонала.
Литература 
 
1. Баранова Е. К., Бабаш А. В. Информационная безопасность и защита информации. М.: 
ИНФРА-М_РИОР, 2014. С. 15. 
2. Симонов С. Современные технологии анализа рисков в информационных системах. М.: 
PCWEEK, 2001. C. 37.