Основной задачей системы информационной безопасности является обеспечение гарантий достоверности информации, структурированной для принятия решений.
Важным этапом в сфере обеспечения информационной безопасности является процесс управления рисками. Величина информационного риска определяется вероятностью успешной реализации угрозы и величиной возможного ущерба, который в результате будет нанесен. Западная практика управления рисками сводится к задаче выбора и обоснования контрмер, позволяющих снизить значения рисков до приемлемой величины.
Процесс оценивания информационных рисков организации АПК может состоять из следующих этапов:
1. Идентификация и количественная оценка информационных ресурсов, имеющих значение для аграрного бизнеса.
2. Идентификация и оценка возможных угроз.
3. Оценка существующих уязвимостей.
4. Определение эффективности средств обеспечения информационной безопасности.
Возможность реализации угрозы для информационного ресурса организации оценивается вероятностью ее реализации в течение определенного отрезка времени. При определении вероятности реализации угрозы инвестиционной безопасности следует учесть следующие факторы (в случае угрозы от умышленного воздействия со стороны человека):
- привлекательность информационного ресурса;
- возможность использования информационного актива для получения дохода;
- технические возможности реализации угрозы инвестиционной безопасности;
- степень легкости, с которой уязвимость может быть использована.
На примере сельскохозяйственного предприятия — ООО «Колос» проведена оценка рисков информационной безопасности с использованием количественных и качественных методов, предлагаемых в международных и национальных стандартах. Установлено, что наиболее важными и неприемлемыми рисками для ООО «Колос» являются использование информации злоумышленниками в противоправных целях и продажа конфиденциальной информации конкурентам. Для нивелирования данных рисков ООО «Колос» предложены контрмеры, реализация которых позволит повысить уровень информационной безопасности предприятия. При этом предполагаемые затраты не превысят 15% расходов на поддержание работы информационной системы, что соответствует рекомендациям стандартов.