Учебное пособие для вузов. М.: Горячая линия-Телеком, 2013. 130 с.: ил. Серия «Вопросы управления информационной безопасностью. Выпуск 2»
Download 0.83 Mb.
|
Управления рисками учебное пособие
- Bu sahifa navigatsiya:
- Этап 1 - анализ рисков ИБ
|
оценивание рисков ИБ.
По шагам процесс оценки рисков ИБ выглядит таким образом: Этап 1 - анализ рисков ИБ. Подэтап 1 - идентификация рисков ИБ. Шаг 1 - идентификация активов. Шаг 2 - идентификация угроз ИБ. Шаг 3 - идентификация существующих средств управления рисками ИБ. Шаг 4 - идентификация уязвимостей. Шаг 5 - идентификация последствий. Подэтап 2 - количественная оценка рисков ИБ. Шаг 1 - оценка последствий. Шаг 2 - оценка вероятностей. Шаг 3 - определение уровня (величины) рисков ИБ. Этап 2 - оценивание рисков ИБ. В процессе оценки рисков ИБ определяются ценность информационных активов, возможные угрозы ИБ, существующие уязвимости, средства управления и их влияние на выявленные риски ИБ и потенциальные последствия, а также устанавливаются окончательные приоритеты рисков ИБ и они ранжируются согласно критериям оценивания рисков в контексте управления рисками ИБ. Оценка рисков ИБ обычно осуществляется за две или более итераций: первая - высокоуровневая оценка для выявления наивысших рисков, которая служит основой для дальнейшей оценки; вторая - более глубокое рассмотрение потенциально высоких рисков, обнаруженных ранее. После этого если собрано недостаточно информации, проводится более детальный анализ рисков ИБ, возможно для отдельных частей области действия и с использованием различных методов. В стандартах, описывающих вопросы управления рисками ИБ, отмечается, что каждая организация вправе выбирать свой подход к оценке рисков ИБ, исходя из ее целей и задач. Эксперт, участвующий в оценке рисков ИБ, должен быть профессионалом в области ИТ и ИБ, человеком бизнеса или внешним консультантом организации по ИТ. Он должен обладать следующими характеристиками [6]: базовое понимание того, как функционирует бизнес, и подверженность этого бизнеса рискам ИБ; понимание основных концепций риска ИБ, например, каким образом комбинируются оценки угрозы ИБ, уязвимостей и ущерба для получения величины риска ИБ; понимание ИТ на уровне, достаточном для понимания угроз ИБ и уязвимостей ИТ, например, что представляют собой системы, рабочие станции, устройства хранения, ОС, приложения, сети передачи данных, веб-сайты, вирусы и черви, а также каким образом они функционируют и взаимодействуют; понимание различных типов защитных мер (например, межсетевой экран (МЭ), система обнаружения вторжений (СОВ), механизмы идентификации и аутентификации, механизмы контроля доступа, шифрование, средства видеонаблюдения, а также системы регистрации событий и мониторинга), как они работают и любые свойственные им ограничения; понимание подходящего метода оценки рисков ИБ и практическое владение любыми, связанными с ним, инструментами, ПО или формами; аналитические способности, то есть способность выделять относящиеся к делу факты; способность идентифицировать в организации людей, которые смогут предоставить необходимую информацию; уровень коммуникабельности, достаточный для получения необходимой информации от людей в организации и сообщения о результатах оценки рисков ИБ в форме, понятной руководству, принимающему решения. На выходе процесса оценки рисков ИБ получается список оцененных рисков ИБ с их приоритетами, присвоенными в соответствии с критериями оценивания рисков ИБ. Оценка рисков ИБ может проводиться на уровне организации, в рамках взаимосвязанной совокупности систем, для отдельной системы или приложений, а также для конкретных критических функций внутри системы [30, 31]. Важно помнить, что оценка рисков ИБ на уровне организации не является простой комбинацией рисков для всех ее критических функций, поскольку совместное проявление нескольких рисков может существенно повысить общий риск ИБ. Общими методологическими недостатками большинства современных подходов к оценке рисков ИБ являются, во-первых, субъективный выбор экспертами уровней рисков, которые в идеале должны были бы оцениваться на основе математического моделирования и представлять собой основу эффективного управления, и, во-вторых, использование исторических данных (набранной статистики) для получения и объяснения оценок рисков постфактум, без научно-методического прогнозирования в развитии различных сценариев угроз ИБ для разных условий функционирования систем. Как следствие - большие погрешности в предсказания рисков ИБ и поведении систем. Поэтому многие инструментальные средства, автоматизирующие процесс оценки рисков на основе традиционных экспертных подходов, всего лишь проверяют выполнение некоторых условий, признаваемых обязательными. Далее из выполнения этих условий делаются соответствующие выводы: «выполнено» - риск меньше, «не выполнено» - риск возрастает. Поэтому в настоящее время существенно возрастает роль моделирования, в первую очередь математического, как наиболее объективного гаранта всесторонней оценки и прогнозирования рисков ИБ и разрабатываемых систем с учетом возможных последствий от их проявлений. Инновационные модели, предложенные российскими учеными, базируются на использовании методов системного анализа, исследования операций, теорий вероятности и регенерирующих (циклически повторяющихся) процессов [32], сетей Петри-Маркова [33], имитационном моделировании [34] и т. п. Их применение в зависимости от количественных системных характеристик процессов позволяет заказчикам, разработчикам и пользователям систем оперативно вычислять вероятности успеха, риски неудач и связанные с этим потери, в том числе в денежном выражении [32], или количестве успешно реализованных атак [33] (правда, тогда опять потребуется статистика по атакам). Такое моделирование обеспечивает аргументированное решение задач анализа и снижения рисков при управлении проектами, исследования вопросов защищенности систем от потенциальных угроз ИБ, выявления уязвимостей систем и рациональных путей их устранения с указанием условий, когда это принципиально возможно, и многих других. В рамках данного учебного пособия все же будем рассматривать традиционные подходы к оценке рисков ИБ, официально признанные российскими и международными стандартами.
Этап 1 - анализ рисков ИБ Анализ рисков ИБ позволяет эффективно управлять ИБ организации. Для этого в самом начале работ по анализу рисков ИБ необходимо определить, какие именно активы организации подлежат защите, какие угрозы ИБ могут воздействовать на эти активы, а также через какие уязвимости активов и с какой вероятностью эти угрозы ИБ могут быть реализованы. На основе полученной информации по результатам анализа рисков ИБ формируется план обработки рисков ИБ, рассчитанный на определенный период времени, за который выявленные риски ИБ должны быть минимизированы за счет использования конкретных защитных мер. Лучшие практики в области управления рисками ИБ показывают, что анализ рисков ИБ проводится в следующих случаях [5]: изменения в стратегии и тактике ведения бизнеса (например, при открытии электронного магазина); обновления информационной инфраструктуры организации или существенных изменений в ней; переход на новые ИТ; организация новых подключений к сети организации (например, подключения сети филиала к сети головного офиса); подключение к глобальным сетям (в первую очередь к Интернету); проверка эффективности ОИБ в организации или ее подразделениях. Выделим основные этапы процесса анализа рисков ИБ в организации [1, 2, 6, 9]: идентификация (инвентаризация), категоризация и определение ценности подлежащих защите активов с их подробным документированием, причем особое внимание необходимо уделять критически важным для бизнеса активам и степени зависимости организации от их штатного функционирования, ИБ хранимых и обрабатываемых данных; идентификация и учет всех требований по ОИБ активов, включая угрозы ИБ и уязвимости, законодательные и бизнес-требования; при этом необходимо учитывать, что появляются новые угрозы ИБ и уязвимости по отношению к старым активам, а также сами новые активы и ассоциированные с ними угрозы ИБ и уязвимости; оценка вероятности проявления угроз ИБ и уязвимостей, важности правовых и бизнес-требований и ожидаемых размеров потерь; расчет рисков ИБ, возникающих в результате сочетания указанных факторов. При выполнении оценки рисков ИБ может использоваться широко распространенная методология оценки критичных угроз ИБ, активов и уязвимостей для организаций разного размера и сферы деятельности 0СТАУЕ (Орегайопа11у СтШса1 Тктеа1, Лззе{, апШ УиЫегаЫЮу
Download 0.83 Mb. Do'stlaringiz bilan baham: 
|