Оценка негативного воздействия угрозы

Эта задача решается при помощи оценивания двух значений: ценности ресурса и частоты повторяемости риска.

Сначала каждому ресурсу присваивается определенное значение, соответствующее потенциальному ущербу от воздействия угрозы. Такие показатели присваиваются ресурсу по отношению ко всем возможным угрозам. Суммированием баллов всех ресурсов анализируемой ИС определяется количественный показатель риска для всей системы.

Далее оценивается показатель частоты повторяемости риска. Частота зависит от вероятности возникновения угрозы и степени легкости, с которой может быть использована уязвимость (уровень уязвимости). В результате получается таблица, аналогичная таблице 3.

Таблица 3. Показатель частоты повторяемости риска.

Затем определяется показатель пары ресурс/угроза. На каждую пару ресурс/угроза составляется таблица, аналогичная таблице 4, в которой суммируются показатель ценности ресурса и показатель угрозы. Фактически таблица представляет собой матрицу, элементы которой равны сумме номеров строки и столбца конкретного элемента. Эту таблицу можно использовать в дальнейшем, для обоснования критичности того или иного ресурса – чем больше показатель пары ресурс/угроза, тем более критичен ресурс и на его защиту следует обратить больше внимания, на этапе управления рисками.

Таблица 4. Показатели пары ресурс/угроза.

На заключительном этапе суммируются все итоговые баллы по всем ресурсам ИС и формируется ее общий балл. Его можно использовать для выявления тех элементов системы, защита которых должна быть приоритетной.

Разделение рисков на приемлемые и неприемлемые

Дополнительный способ оценивания рисков состоит в их разделении на допустимые и недопустимые. Возможность применения подобного подхода основывается на том, что количественные показатели рисков используются только для того, чтобы их упорядочить и определить, какие действия необходимы в первую очередь. Этого можно достичь и с меньшими затратами.

Таблица, используемая в данном подходе, содержит не числа, а только символы Д (риск допустим) и Н (риск недопустим). Например, может быть использована таблица, аналогичная таблице 5.

Таблица 5. Разделение рисков на приемлемые и неприемлемые.

При этом вопрос о том, как провести границу между допустимыми и недопустимыми рисками, как правило, предлагается решить топ-менеджерам, ответственным за организацию информационной безопасности организации.

КОНТРОЛЬНЫЕ ВОПРОСЫ

1. Что понимают под информационной системой?

2. Что представляет собой система защиты информации?

3. Что такое риск ИБ, угроза, уязвимость?

4. Что представляет собой определение, оценка, анализ и управление рисками ИБ?

5. Опишите подходы к оценке, анализу и управлению рисками ИБ.

6. Опишите двух- и трехфакторный подходы к оцениванию информационных рисков.

7. Опишите табличные методы оценивания рисков ИБ.

ЗАДАНИЕ НА ЛАБОРАТОРНУЮ РАБОТУ № 2

Название работы

Табличные методы оценки и анализа информационных рисков.

Задание (не забудьте оформить отчет)

1. Изучить основной теоретический материал лабораторной работы.

2. Изучить табличную методику оценки рисков.

3. Придумать или использовать реальную ИС некоторой организации (Из лаб. работы №1).

4. Внести структурную схему и описание вашей ИС в отчет.

5. Составить и внести в отчет перечни типов угроз ИБ и информационные ресурсы, присутствующие в данной ИС.

6. По изученной методике оценить риски ИБ данной ИС (аналогично таблице 1).

7. Выполнить ранжирование угроз ИБ вашей ИС (аналогично таблице 2).

8. Определить показатель частоты повторяемости риска (аналогично таблице 3).

9. Определить показатели пары ресурс/угроза (аналогично таблице 4).

10. Выполнить разделение рисков ИБ на приемлемые и неприемлемые (аналогично таблице 5). Как вы провели границу между допустимыми и недопустимыми рисками?

11. Сделайте выводы по результатам анализа вашей ИС.

12. Внести ответы на контрольные вопросы в отчет.

ОТЧЕТ ПО ЛАБОРАТОРНОЙ РАБЕ № 2

Название работы

Табличные методы оценки и анализа информационных рисков.

Цель

Познакомиться на практике с табличными методами оценки и анализа рисков информационной безопасности.

Выполнил

Студент гр. № ______

ФИО ________________________________________________________

Отчет

1. Структура и описание ИС (Из лаб. работы №1).

2. Перечень типов угроз:

3. Перечень ИР:

4. Оценка риска (таблица 1):

5. Ранжирование угроз (таблица 2):

6. Показатель частоты повторяемости риска (таблица 3):

7. Показатель пары ресурс/угроза (таблица 4):

8. Разделение рисков на приемлемые и неприемлемые (таблица 5):

9. Выводы по результатам анализа ИС

10. Ответы на контрольные вопросы:

ЛАБОРАТОРНАЯ РАБОТА № 3

Название работы

Расчет рисков информационной безопасности.

Цель

Познакомиться на практике с методом расчета рисков ИБ на основе модели анализа угроз и уязвимостей от Digital Security.

Программно-аппаратные средства

Компьютерная лаборатория, стандартные средства Microsoft Office, языки программирования Borland C 3.1 и Turbo Pascal 7.1.

Понятийный аппарат

На данном этапе развития предметной области «оценка, анализ и управление рисками ИБ» существует множество методик, позволяющих качественно или количественно оценить защищенность информационной системы (ИС) организации. Рассмотрим методику оценки риска от Digital Security, основанной на построении модели угроз, уязвимостей и расчете общего риска для каждого ресурса ИС. Сначала перечислим и дополним некоторые из основных понятий этой модели.

Информационная система (ИС, Information System) – это любая система (например, компьютерная – КИС – включающая в себя мейнфреймы, локальные сети, узлы доступа, компьютеры и т.д.), или программа (запущенная в рамках системы), которая использует информационные ресурсы для удовлетворения нужд собственника или пользователя системы. Любая информационная система предлагает пользователям определенный набор услуг (сервисов).

Информация, информационные ресурсы (Information Resources) – это данные в любом виде, которые можно использовать для решения определенных задач, поставленных владельцем или пользователем системы. Например, информационным ресурсом может считаться книга, бумажный документ, любой файл (электронный документ, изображение, видеофайл, база данных), а также отдельно взятый сайт или полностью портал.

В исходной методике от Digital Security свойствами ресурса являются лишь: перечень угроз, воздействующих на него, и критичность ресурса. Однако с каждым информационным ресурсом напрямую связан некоторый носитель информации. Также, любой информационный ресурс (любую информацию) можно охарактеризовать такими свойствами, как время жизни, актуальность, конфиденциальность, целостность и доступность. Схема взаимодействия элементов модели предметной области «оценка, анализ и управление рисками ИБ» изображена на рис. 1.

Рис. 1. Основные компоненты общей модели предметной области «оценка, анализ и управление рисками ИБ».

Угроза ИБ (Threat) – составляющая риска, которая определяет совокупность условий и факторов, которые прямо или косвенно могут стать причиной нарушения целостности, доступности или конфиденциальности информации, обрабатываемой некоторой ИС, или выхода из строя элемента или всей системы в целом. Применительно к ИС также используют понятие базовые угрозы ИБ (Base Threats) – это нарушение конфиденциальности, целостности или доступности информации, обрабатываемой ИС, или информационного ресурса. В исходной методике от Digital Security свойствами угрозы является перечень уязвимостей, при помощи которой она может быть реализована.

Уязвимость (Vulnerability) – составляющая риска, которая определяет некоторое «неудачное» свойство СЗИ или ИС, дающее возможность реализовать ту или иную угрозу ИБ. В исходной методике от Digital Security уязвимость характеризуется свойствами: вероятность реализации угрозы через данную уязвимость и критичность реализации угрозы ИБ.

Инцидент ИБ (Incident) – факт реализации угрозы ИБ.

Критичность информационного ресурса – степень значимости ресурса для ИС. Т.е. как сильно реализация угроз ИБ повлияет на работу ИС в целом. Задать критичность ресурса (AC) можно в уровнях, на шкале от 1 до 100, или в денежном эквиваленте. Также можно задать критичность ресурса отдельно по конфиденциальности, целостности и доступности (AC_c, AC_i, AC_a).

Критичность реализации угрозы ИБ – степень влияния реализации угрозы ИБ на работу ресурса. Критичность реализации (ER) можно задать в процентах. Также можно задать критичность ресурса отдельно по конфиденциальности, целостности и доступности (ER_c, ER_i, ER_a).

Вероятность реализации угрозы через данную уязвимость в течение года (P(V)) – степень возможности реализации угрозы через данную уязвимость в тех или иных условиях. Указывается в процентах.

Максимальное критичное время простоя (T_max) – значение времени простоя, которое является критичным для организации. Т.е. ущерб, нанесенный организации при простаивании ресурса в течение критичного времени простоя, максимальный. При простаивании ресурса в течение времени, превышающего критичное, ущерб, нанесенный организации, не увеличивается.

Риск информационной безопасности – это возможные потери собственника ИС, связанные с реализацией некоторой угрозы через одну или несколько уязвимостей ИС или СЗИ.

Определение риска – это процесс выявления риска, а также его составляющих: угроз и уязвимостей.

Оценка риска – это процесс определения шкал, критериев и измерения по ним существующих рисков. Оценка рисков используется для определения растущего потенциала угроз и рисков, ассоциированных с ИС. Для оценки рисков, как правило, применяют косвенные шкалы, критерии для которых бывают объективными (например, вероятность выхода из строя некоторого узла оборудования в течение определенного срока), либо субъективными (например, оценка владельцем информационного ресурса уровня риска выхода из строя некоторого узла инфосистемы).

Анализ риска (Risk Analysis) – это процесс определения и оценки риска ИБ некоторой информационной системы, проведенный по одной из существующих методик.

Управление рисками (Risk Management) – это процесс анализа рисков и выполнение некоторых действий ведущих к снижению рисков до приемлемого уровня.

ОБЩИЕ СВЕДЕНИЯ