Основные методы проведения оценки и анализа рисков безопасности

Содержание:

• Общее
• Управление рисками
• Методики оценки рисков
  • Модель качественной оценки
  • Количественная модель рисков
  • Модель Миоры (GCC)
• Внутренние угрозы информационной безопасности

Для выбора нужных методов защиты ИС нужно реализовывать системных подход. Для начала нужно провести анализ уязвимости и угроз безопасности. Процедура анализа включает:

• Анализ разрешимых потерь из-за конкретной технологии АИС
• Осмотр возможных угроз системы и уязвимых мест, которые могут повлечь возможные потери
• Выбор оптимальных методов защиты по показателю цена/качество, при уменьшении риска к конкретному уровню

Анализ уязвимости и рисков может проводится по следующим направлениям:

• Объекты ИС
• Процессов, процедур и ПО обработки данных
• Для каналов связи
• Для побочных излучений

Зачастую бывает, что анализ всей ИС структуры с экономической точки зрения не всегда оправдан, Поэтому проще уделять внимание критическим узлам, учитывая оценку рисков. Защита ИС должна всегда учитывать интересы предприятия.

Аспекты, которые нужно учитывать при анализе защищенности ИС:

• Ценность — что нужно защищать
• Средства защиты — какие действия нужны
• Угрозы — вероятность реализации угрозы влияет на степень реализации защиты
• Воздействие — последствия после реализации угрозы
• Риск — переоценка угрозы с реализованной защитой
• Последствие — результат реализации угрозы

Мера риска может быть представлена в следующих терминах. Количественные — денежные потери. Качественные — шкала ранжирования. Одномерные — величина потери * частота потери. Многомерные — входят компоненты надежности, производительность и безопасность.

Оценка рисков как часть направленя информационной безопасности — управлениями рисками по сути огромный механизм в создании защиты. Для эффективной реализации такого механизма нужно реализовать ряд требований, к примеру перейти от качественных понятий к количественным. К примеру: получения доступа к критичной информации приведет предприятие в убыток — это качественное понятие, а «доступ к критичной информации потребует выплаты суммы n₁ конкурентам, n₂ клиентам и тд» — это количественное понятие.

Управление рисками — процесс реализации анализа и оценки, снижения или перенаправления риска, где процесс над риском нуждается в ответе на следующие вопросы:

• Что может произойти ?
• Есть это произойдет, каков будет ущерб ?
• как часто это может происходить ?
• Насколько мы уверенны в ответах на вышеуказанные вопросы ? (вероятность)
• Сколько будет стоять то, что бы устранить или понизить это ?

Информационный актив — набор данных, которые нужны для работоспособности предприятия, и может включать более мелкие наборы. При оценке должна анализироваться информация отдельно от физического носителя. При оценки стоимости ущерба, рассматривают следующие аспекты:

• цена замены информации
• цена замены ПО
• цена нарушения целостности, конфиденциальности и доступности

Стандартный подход по управлению рисками следующий:

• определение политики управления рисками
• определения сотрудников, которые будут управлять оценкой и анализом рисков
• определить методику и средства, на основе которых будет проводиться анализ рисков
• Идентификация и измерения риска
• Установка рамок допустимости рисков
• мониторинг работы управления рисков

Здесь будут рассмотрены три метода оценки рисков, это модель качественной оценки, количественная модель рисков, модель обобщенного стоимостного результата Миоры.

Качественная оценка традиционно сводится к реализации таблицы которая показана на рис.1. Таблица заполняется разными версиями информационных активов или какой либо информации. Положительные моменты этой модели заключаются в:

• Вычисления упрощаются и ускоряются.
• Нету нужды давать денежную стоимость активу.
• Не требуется соответствия эффективности соответствующим мерам угроз информационной безопасности.
• Не нужно считать частоту точного размера ущерба и проявления угрозы.

Отрицательными параметрами является субъективность подхода и отсутствия точного соответствия затрат угрозам.

Рисунок 1

Эта модель предполагает такими предположениями как:

• Годовая частота происшествия, вероятность появления ущерба. ARO.
• Ожидаемый единичный ущерб — цена ущерба от одной результативной атаки.SLE
• Ожидаемый годовой ущерб — ALE = ARO * SLE;

SLE = AV * EF, где AV — значение актива, а EF — фактор воздействия. Это размер ущерба от 0 до 100%. Это часть значения, где теряется результат события. Следующий вопрос это определение стоимости активов. Они бывают осязаемые и неосязаемые. Осязаемые — это средства обслуживания ИТ — аппаратное/сетевое обеспечение, и тд. Цена таких активов легко вычисляются. Цена неосязаемых активов учитывает два варианта расходов: расходы при нарушении целостности/конфиденциальности/доступности и расходы на восстановление/замену ПО или данных. Нужно произвести канал между уязвимостью, влиянием и угрозой на актив. Это показано на рис.2.

Рисунок 2

Эта модель реализована как альтернатива Количественной модели рисков для облегчения и улучшения вычислений и расчетов. Эта модель не учитывает вероятности катастрофических событий, она учитывает понятие ущерба от простоя, как средством от времени после начала события. Что в свою очередь частично решает проблемы защиты информации в сетях.

Ниже наведена традиционная методика организации средств по управлению рисками:

• Уяснение политики управления рисками которая реализуется на общепринятых понятиях реализации информационной безопасности (GASSP), которая должна быть описана в политике безопасности предприятия. Политика дает избежать субъективного подхода.
• Нужно назначить персонал, который будет заниматься этим вопросом и нужно финансирование отдела. Также возможное обучение персонала в некоторых вопросах.
• Выбор методов защиты информации и средства, с помощью которых реализуется оценка риска.
• Идентификация и уменьшение риска. На первой ступени нужно определить область применения работ, которые имеют угрозы.
• Определение критериев допустимых рисков. К примеру неприемлемый риск на эквивалент 100 000$ это 3/100.
• Неприемлемые риски нужно уменьшать. Нужно выбрать средство для снижения риска и описать оценку эффективности средства.
• Нужно периодически мониторить риска. Чтобы вовремя их выявлять и уменьшать или ликвидировать.