ТАБЛИЧНЫЕ МЕТОДЫ ОЦЕНКИ И АНАЛИЗА РИСКОВ ИБ

В настоящее время известно множество табличных методов оценки рисков ИБ организации. Важно, чтобы организации сама выбрала для себя подходящий метод, который обеспечивал бы корректные и достоверные воспроизводимые результаты.

Рассмотрим некоторые методы, которые рекомендованы международными стандартами информационной безопасности, главным образом ISO 17799 (BS 7799). Существенно, что в них количественные показатели существующих или предлагаемых физических ресурсов компании оцениваются с точки зрения стоимости их замены или восстановления работоспособности ресурса, то есть количественными методами. А существующие или предполагаемые программные ресурсы оцениваются так же, как и физические, то есть при помощи определения затрат на их приобретение или восстановление количественными методами.

Если обнаружится, что какое-либо прикладное ПО имеет особые требования к конфиденциальности или целостности, например, исходный текст имеет высокую коммерческую ценность, то оценка этого ресурса производится в количественном выражении по той же схеме, что и для информационных ресурсов.

Количественные показатели информационных ресурсов (ИР) рекомендуется оценивать по результатам опросов сотрудников компании – владельцев информации, то есть должностных лиц компании, которые могут определить ценность информации, ее характеристики и степень критичности, исходя из фактического положения дел. На основе результатов опроса производится оценивание показателей и степени критичности ИР для наихудшего варианта развития событий, вплоть до рассмотрения потенциальных воздействий на бизнес-процессы организации, при возможном несанкционированном ознакомлении с конфиденциальной информацией, нарушении ее целостности, недоступности на различные сроки, вызванных отказами в обслуживании систем обработки данных и даже физическом уничтожении. При этом процесс получения количественных показателей может дополняться соответствующими методиками оценивания других критически важных ресурсов компании, учитывающих:

1. Безопасность персонала.

2. Разглашение частной информации.

3. Требования по соблюдению законодательных и нормативных положений.

4. Ограничения, вытекающие из законодательства.

5. Коммерческие и экономические интересы.

6. Финансовые потери и нарушения в производственной деятельности.

7. Общественные отношения.

8. Коммерческая политика и коммерческие операции.

9. Потеря репутации компании.

Далее количественные показатели используются там, где это допустимо и оправдано, а качественные – там, где количественные оценки по ряду причин затруднены. Наибольшее распространение получило оценивание качественных показателей при помощи специально разработанных числовых шкал, аналогичных рассмотренной далее

Следующей операцией является заполнение пар опросных листов, в которых по каждому из типов угроз и связанных с ним группе ресурсов оцениваются вероятности реализации угроз, уровни угроз и уровни уязвимостей как степень легкости, с которой реализованная угроза способна привести к негативному воздействию. Оценивание производится в качественных шкалах. Например, уровень угроз и уязвимостей оценивается по шкале «высокий-низкий».

Необходимую информацию собирают, опрашивая топ-менеджеров компании, сотрудников коммерческих, технических, кадровых и сервисных служб, выезжая на места и анализируя документацию компании.

Пример проведения табличной оценки рисков

Проведем анализ следующих типов угроз ИБ для некоторой организации:

1. Умышленные несанкционированные действия людей.

2. Непредвиденные случайности.

3. Ошибки со стороны персонала.

4. Нарушение работоспособности оборудования, ошибки в ПО и отказы средств связи.

Далее составляется перечень ИР. Для каждого ресурса перечисляются относящиеся к нему уязвимости и соответствующие им угрозы. Если существует уязвимость без связанной с ней угрозы, или существует угроза, не связанная с какими-либо уязвимостями, то рисков нет. Но и эти случаи следует предусмотреть.

Относящиеся к каждому типу негативных воздействий уровни рисков, соответствующих показателям ценности ресурсов, показателям угроз и уязвимостей, оцениваются при помощи таблицы, аналогичной таблице 1.

Таблица 1. Уровни рисков, соответствующие показателям ценности ресурсов, угроз и уязвимостей.

Количественный показатель риска определяется в шкале от 1 до 8 и вносится в соответствующую ячейку таблицы. Каждая строка в таблице определяет показатель ценности ресурса, а каждый столбец – степень опасности угрозы и уязвимости для ресурса. Например, ресурс имеет показатель ценности – 3, угроза имеет степень – «высокая», а уязвимость – «низкая». Показатель риска в этом случае будет равен – 5. Размер таблицы, учитывающей количество степеней опасности угроз, степеней опасности уязвимостей и категорий ценности ресурсов, может быть изменен в соответствии со спецификой конкретной организации.

Описанный подход определяется классификацией рассматриваемых рисков. После того, как оценивание рисков было выполнено первый раз, его результаты целесообразно сохранить, например, в базе данных. Эта мера в дальнейшем позволит легко повторить последующее оценивание рисков компании.

Ранжирование угроз

В матрице или таблице можно наглядно отразить связь между угрозами, негативными воздействиями и возможностями их реализации. Для этого нужно выполнить следующие шаги.

На первом шаге оценить показатель негативного воздействия по заранее определенной шкале, например, от 1 до 5, для каждого ресурса, которому угрожает опасность.

На втором шаге по заранее заданной шкале, например, также от 1 до 5, оценить вероятность реализации каждой угрозы.

На третьем шаге вычислить показатель риска путем перемножения чисел в колонках II и III, по которому и производится ранжирование угроз.

В этом примере (таблица 2) для наименьшего негативного воздействия и для наименьшей вероятности реализации выбран показатель 1.

Таблица 2. Ранжирование угроз.

Данная процедура позволяет сравнивать и ранжировать по приоритету угрозы с различными негативными воздействиями и возможностями реализации. В определенных случаях дополнительно могут потребоваться стоимостные показатели.