"Человек - самое уязвимое место в системе безопасности.."

Основные методы проведения оценки и анализа рисков безопасности

Содержание:

Общее

Для выбора нужных методов защиты ИС нужно реализовывать системных подход. Для начала нужно провести анализ уязвимости и угроз безопасности. Процедура анализа включает:

  • Анализ разрешимых потерь из-за конкретной технологии АИС
  • Осмотр возможных угроз системы и уязвимых мест, которые могут повлечь возможные потери
  • Выбор оптимальных методов защиты по показателю цена/качество, при уменьшении риска к конкретному уровню

Анализ уязвимости и рисков может проводится по следующим направлениям:

  • Объекты ИС
  • Процессов, процедур и ПО обработки данных
  • Для каналов связи
  • Для побочных излучений

Зачастую бывает, что анализ всей ИС структуры с экономической точки зрения не всегда оправдан, Поэтому проще уделять внимание критическим узлам, учитывая оценку рисков. Защита ИС должна всегда учитывать интересы предприятия.

Аспекты, которые нужно учитывать при анализе защищенности ИС:

  • Ценность — что нужно защищать
  • Средства защиты — какие действия нужны
  • Угрозы — вероятность реализации угрозы влияет на степень реализации защиты
  • Воздействие — последствия после реализации угрозы
  • Риск — переоценка угрозы с реализованной защитой
  • Последствие — результат реализации угрозы

Мера риска может быть представлена в следующих терминах. Количественные — денежные потери. Качественные — шкала ранжирования. Одномерные — величина потери * частота потери. Многомерные — входят компоненты надежности, производительность и безопасность.

Управление рисками

Оценка рисков как часть направленя информационной безопасности — управлениями рисками по сути огромный механизм в создании защиты. Для эффективной реализации такого механизма нужно реализовать ряд требований, к примеру перейти от качественных понятий к количественным. К примеру: получения доступа к критичной информации приведет предприятие в убыток — это качественное понятие, а «доступ к критичной информации потребует выплаты суммы n1 конкурентам, n2 клиентам и тд» — это количественное понятие.

Управление рисками — процесс реализации анализа и оценки, снижения или перенаправления риска, где процесс над риском нуждается в ответе на следующие вопросы:

  • Что может произойти ?
  • Есть это произойдет, каков будет ущерб ?
  • как часто это может происходить ?
  • Насколько мы уверенны в ответах на вышеуказанные вопросы ? (вероятность)
  • Сколько будет стоять то, что бы устранить или понизить это ?

Информационный актив — набор данных, которые нужны для работоспособности предприятия, и может включать более мелкие наборы. При оценке должна анализироваться информация отдельно от физического носителя. При оценки стоимости ущерба, рассматривают следующие аспекты:

  • цена замены информации
  • цена замены ПО
  • цена нарушения целостности, конфиденциальности и доступности

Методики оценки рисков

Стандартный подход по управлению рисками следующий:

  • определение политики управления рисками
  • определения сотрудников, которые будут управлять оценкой и анализом рисков
  • определить методику и средства, на основе которых будет проводиться анализ рисков
  • Идентификация и измерения риска
  • Установка рамок допустимости рисков
  • мониторинг работы управления рисков

Здесь будут рассмотрены три метода оценки рисков, это модель качественной оценки, количественная модель рисков, модель обобщенного стоимостного результата Миоры.

Модель качественной оценки

Качественная оценка традиционно сводится к реализации таблицы которая показана на рис.1. Таблица заполняется разными версиями информационных активов или какой либо информации. Положительные моменты этой модели заключаются в:

  • Вычисления упрощаются и ускоряются.
  • Нету нужды давать денежную стоимость активу.
  • Не требуется соответствия эффективности соответствующим мерам угроз информационной безопасности.
  • Не нужно считать частоту точного размера ущерба и проявления угрозы.

Отрицательными параметрами является субъективность подхода и отсутствия точного соответствия затрат угрозам.

таблица качественной оценки

Рисунок 1

Количественная модель рисков

Эта модель предполагает такими предположениями как:

  • Годовая частота происшествия, вероятность появления ущерба. ARO.
  • Ожидаемый единичный ущерб — цена ущерба от одной результативной атаки.SLE
  • Ожидаемый годовой ущерб — ALE = ARO * SLE;

SLE = AV * EF, где AV — значение актива, а EF — фактор воздействия. Это размер ущерба от 0 до 100%. Это часть значения, где теряется результат события. Следующий вопрос это определение стоимости активов. Они бывают осязаемые и неосязаемые. Осязаемые — это средства обслуживания ИТ — аппаратное/сетевое обеспечение, и тд. Цена таких активов легко вычисляются. Цена неосязаемых активов учитывает два варианта расходов: расходы при нарушении целостности/конфиденциальности/доступности и расходы на восстановление/замену ПО или данных. Нужно произвести канал между уязвимостью, влиянием и угрозой на актив. Это показано на рис.2.

связь уязвимость-угроза-ущерб

Рисунок 2

Модель Миоры (GCC)

Эта модель реализована как альтернатива Количественной модели рисков для облегчения и улучшения вычислений и расчетов. Эта модель не учитывает вероятности катастрофических событий, она учитывает понятие ущерба от простоя, как средством от времени после начала события. Что в свою очередь частично решает проблемы защиты информации в сетях.

Ниже наведена традиционная методика организации средств по управлению рисками:

  • Уяснение политики управления рисками которая реализуется на общепринятых понятиях реализации информационной безопасности (GASSP), которая должна быть описана в политике безопасности предприятия. Политика дает избежать субъективного подхода.
  • Нужно назначить персонал, который будет заниматься этим вопросом и нужно финансирование отдела. Также возможное обучение персонала в некоторых вопросах.
  • Выбор методов защиты информации и средства, с помощью которых реализуется оценка риска.
  • Идентификация и уменьшение риска. На первой ступени нужно определить область применения работ, которые имеют угрозы.
  • Определение критериев допустимых рисков. К примеру неприемлемый риск на эквивалент 100 000$ это 3/100.
  • Неприемлемые риски нужно уменьшать. Нужно выбрать средство для снижения риска и описать оценку эффективности средства.
  • Нужно периодически мониторить риска. Чтобы вовремя их выявлять и уменьшать или ликвидировать.