Категории:
ДомЗдоровьеЗоологияИнформатикаИскусствоИскусствоКомпьютерыКулинарияМаркетингМатематикаМедицинаМенеджментОбразованиеПедагогикаПитомцыПрограммированиеПроизводствоПромышленностьПсихологияРазноеРелигияСоциологияСпортСтатистикаТранспортФизикаФилософияФинансыХимияХоббиЭкологияЭкономикаЭлектроника
Использование методов анализа рисков
Если для проведения аудита безопасности выбран подход, базирующийся на анализе рисков, то на этапе анализа данных аудита обычно выполняются следующие группы задач:
· Анализ ресурсов ИС, включая информационные ресурсы, программные и технические средства, а также людские ресурсы
· Анализ групп задач, решаемых системой, и бизнес процессов
· Построение (неформальной) модели ресурсов ИС, определяющей взаимосвязи между информационными, программными, техническими и людскими ресурсами, их взаимное расположение и способы взаимодействия
· Оценка критичности информационных ресурсов, а также программных и технических средств
· Определение критичности ресурсов с учетом их взаимозависимостей
· Определение наиболее вероятных угроз безопасности в отношении ресурсов ИС и уязвимостей защиты, делающих возможным осуществление этих угроз
· Оценка вероятности осуществления угроз, величины уязвимостей и ущерба, наносимого организации в случае успешного осуществления угроз
· Определение величины рисков для каждой тройки: угроза – группа ресурсов – уязвимость
· Перечисленный набор задач, является достаточно общим. Для их решения могут использоваться различные формальные и неформальные, количественные и качественные, ручные и автоматизированные методики анализа рисков. Суть подхода от этого не меняется.
Методы первой и второй группы могут использовать количественные или качественные шкалы для определения величины риска информационной безопасности. В первом случае риск и все его параметры выражаются в числовых значениях. Так, например, при использовании количественных шкал вероятность проведения атаки может выражаться числом в определенном интервале, а ущерб атаки может задаваться в виде денежного эквивалента материальных потерь, которые может понести организация в случае успешного проведения атаки. При использовании качественных шкал числовые значения заменяются на эквивалентные им понятийные уровни. Каждому понятийному уровню в этом случае будет соответствовать определённый интервал количественной шкалы оценки.
Количество уровней может варьироваться в зависимости от применяемых методик оценки рисков. В таблицах 1 и 2 приведены примеры качественных шкал оценки рисков информационной безопасности, в которых для оценки уровней ущерба и вероятности атаки используется пять понятийных уровней.
Таблица 1. Качественная шкала оценки уровня ущерба
| № | Уровень ущерба | Описание |
| Малый ущерб | Приводит к незначительным потерям материальных активов, которые быстро восстанавливаются, или к незначительному влиянию на репутацию компании | |
| Умеренный ущерб | Вызывает заметные потери материальных активов или к умеренному влиянию на репутацию компании | |
| Ущерб средней тяжести | Приводит к существенным потерям материальных активов или значительному урону репутации компании | |
| Большой ущерб | Вызывает большие потери материальных активов и наносит большой урон репутации компании | |
| Критический ущерб | Приводит к критическим потерям материальных активов или к полной потере репутации компании на рынке, что делает невозможным дальнейшую деятельность организации |
Таблица 2. Качественная шкала оценки вероятности проведения атаки
| № | Уровень вероятности атаки | Описание |
| Очень низкая | Атака практически никогда не будет проведена. Уровень соответствует числовому интервалу вероятности [0, 0.25) | |
| Низкая | Вероятность проведения атаки достаточно низкая. Уровень соответствует числовому интервалу вероятности [0.25, 0.5) | |
| Средняя | Вероятность проведения атаки приблизительно равна 0,5 | |
| Высокая | Атака скорее всего будет проведена. Уровень соответствует числовому интервалу вероятности (0.5, 0.75] | |
| Очень высокая | Атака почти наверняка будет проведена. Уровень соответствует числовому интервалу вероятности (0.75, 1] |
При использовании качественных шкал для вычисления уровня риска применяются специальные таблицы, в которых в первом столбце задаются понятийные уровни ущерба, а в первой строке – уровни вероятности атаки. Ячейки же таблицы, расположенные на пересечении первой строки и столбца, содержат уровень риска безопасности. Размерность таблицы зависит от количества концептуальных уровней вероятности атаки и ущерба. Пример таблицы, на основе которой можно определить уровень риска, приведён ниже.
Таблица 3. Пример таблицы определения уровня риска информационной безопасности
| Вероятность атаки | Очень низкая | Низкая | Средняя | Высокая | Очень высокая |
| Ущерб | |||||
| Малый ущерб | Низкий Риск | Низкий риск | Низкий риск | Средний риск | Средний риск |
| Умеренный ущерб | Низкий Риск | Низкий риск | Средний риск | Средний риск | Высокий риск |
| Ущерб средней тяжести | Низкий Риск | Средний риск | Средний риск | Средний риск | Высокий риск |
| Большой ущерб | Средний риск | Средний риск | Средний риск | Средний риск | Высокий риск |
| Критический ущерб | Средний риск | Высокий риск | Высокий риск | Высокий риск | Высокий риск |
При расчете значений вероятности проведения атаки, а также уровня возможного ущерба могут использоваться статистические методы, методы экспертных оценок или элементы теории принятия решений. Статистические методы предполагают анализ уже накопленных данных о реально случавшихся инцидентах, связанных с нарушением информационной безопасности. На основе результатов такого анализа строятся предположения о вероятности проведения атак и уровнях ущерба от них в других АС. Однако применение статистических методов не всегда возможно из-за отсутствия в полном объёме статистических данных о ранее проведённых атаках на информационные ресурсы АС, аналогичной той, которая выступает в качестве объекта оценки.
При использовании аппарата экспертных оценок проводится анализ результатов работы группы экспертов, компетентных в области информационной безопасности, которые на основе имеющегося у них опыта определяют количественные или качественные уровни риска. Элементы теории принятия решений позволяют применять для вычисления значения риска безопасности более сложные алгоритмы обработки результатов работы группы экспертов.
В процессе проведения аудита безопасности могут использоваться специализированные программные комплексы, позволяющие автоматизировать процесс анализа исходных данных и расчёта значений рисков. Примерами таких комплексов являются «Гриф» и «Кондор» (компании «Digital Security»), а также «АванГард» (Института Системного Анализа РАН).
По результатам проведённого анализа на четвёртом этапе проводится разработка рекомендаций по повышению уровня защищённости от угроз информационной безопасности.
Такие рекомендации могут включать в себя следующие типы действий, направленных на минимизацию выявленных рисков:
· уменьшение риска за счёт использования дополнительных организационных и технических средств защиты, позволяющих снизить вероятность проведения атаки или уменьшить возможный ущерб от неё. Так, например, установка межсетевых экранов в точке подключения автоматизированной системы к сети Интернет позволяет существенно снизить вероятность проведения успешной атаки на общедоступные информационные ресурсы системы, такие как Web-серверы, почтовые серверы и т.д.;
· уклонение от риска путём изменения архитектуры или схемы информационных потоков автоматизированной системы, что позволяет исключить возможность проведения той или иной атаки. Так, например, физическое отключение от сети Интернет сегмента автоматизированной системы, в котором обрабатывается конфиденциальная информация, позволяет исключить атаки на конфиденциальную информацию из этой сети;
· изменение характера риска в результате принятия мер по страхованию. В качестве примеров такого изменения характера риска можно привести страхование оборудования автоматизированной системы от пожара или страхование информационных ресурсов от возможного нарушения их конфиденциальности, целостности или доступности;
· принятие риска в том случае, если он уменьшен до того уровня, на котором он не представляет опасности для автоматизированной системы.
Как правило, разработанные рекомендации направлены не на полное устранение всех выявленных рисков, а лишь на их уменьшение до приемлемого остаточного уровня. При выборе мер по повышению уровня защиты автоматизированной системы учитывается одно принципиальное ограничение – стоимость их реализации не должна превышать стоимость защищаемых информационных ресурсов.
В завершении процедуры аудита его результаты оформляются в виде отчётного документа, который предоставляется заказчику. В общем случае этот документ состоит из следующих основных разделов:
· описание границ, в рамках которых был проведён аудит безопасности;
· описание структуры автоматизированной системы заказчика;
· методы и средства, которые использовались в процессе проведения аудита;
· описание выявленных уязвимостей и недостатков, включая уровень их риска;
· рекомендации по совершенствованию комплексной системы обеспечения информационной безопасности;
· предложения по плану реализации первоочередных мер, направленных на минимизацию выявленных рисков.
Последнее изменение этой страницы: 2016-07-23
lectmania.ru. Все права принадлежат авторам данных материалов. В случае нарушения авторского права напишите нам сюда...