Учебное пособие для вузов. М.: Горячая линия-Телеком, 2013. 130 с.: ил. Серия «Вопросы управления информационной безопасностью. Выпуск 2»


Download 0.83 Mb.
bet16/29
Sana27.03.2023
Hajmi0.83 Mb.
#1298898
TuriУчебное пособие
1   ...   12   13   14   15   16   17   18   19   ...   29
Bog'liq
Управления рисками учебное пособие

По причинам возникновения уязвимости подразделяются на три класса [19]:

  • проектирования, использующие анализ алгоритма ПО и АО;

  • реализации, использующие анализ исходного текста (его синтаксиса, семантики, конструкций и т. п.) или исполняемого файла (его атри­бутов, процесса выполнения - операции с памятью, работа с указа­телями, вызов функций), внешними воздействиями, когда на вход




подаются разные граничные и маловероятные значения переменных, а также дизассемблированием и анализом полученного кода);

По месту нахождения уязвимости могут быть идентифицированы в следующих областях [3, 4]:

  • организация в целом;

  • ее процессы и процедуры (организация работ);

  • установившаяся практика (порядок) управления и администрирова­ния;

  • персонал;

  • физическая среда;

  • конфигурации ИС;

  • аппаратное, программное и телекоммуникационное оборудование;

  • зависимость от внешних сторон.

Уязвимость может присутствовать в активе, а может находиться и в средстве обеспечения его ИБ. Также выделяют уязвимости на уровне сети, отдельного хоста (устройства с уникальным адресом) или прило­жения.
По степени критичности (уровню риска) уязвимости делятся сле­дующим образом [19] (при этом уровень риска (англ. 1еуе1 о/ пзк) - это величина риска или комбинации рисков, выраженная как сочетание по­следствий и возможности их возникновения [3, 17]):

  • высокий уровень риска - уязвимости, позволяющие атакующему получить доступ к хосту с правами суперпользователя, а также уяз­вимости, делающие возможным обход средств защиты для попада­ния в интранет организации;

  • средний уровень риска - уязвимости, позволяющие атакующему получить информацию, которая с высокой степенью вероятности по­зволит получить доступ к отдельному хосту и уязвимости, приводя­щие к повышенному расходу ресурсов системы (за счет атак «отказ в обслуживании»);

  • низкий уровень риска - уязвимости, позволяющие осуществлять сбор критической информации о системе (например, неиспользуе­мые службы, текущее время на компьютере для последующих атак на криптоалгоритмы и т. д.).

Уязвимости можно оценить по вероятности реализации на ее основе угрозы ИБ, например [6]:

  • высоковероятная или вероятная - данную уязвимость легко исполь­зовать, защита отсутствует или очень слаба;

  • возможная - уязвимость может быть использована, но имеется защита;

  • маловероятная или невозможная - данную уязвимость использовать трудно, имеется хорошая защита.




Сама по себе уязвимость (просто ее наличие) не причиняет вреда - для этого нужны угроза ИБ и ее источник, которые ею воспользуются. Уязвимость лишь создает потенциальные условия для реализации угро­зы ИБ.
Уязвимость, для которой не выявлено соответствующей угрозы ИБ, может и не требовать реализации средств управления, но она все равно должна быть осознана и должен осуществляться мониторинг ее измене­ний. И наоборот, угроза ИБ, для реализации которой в системе нет уяз­вимости, не актуальна для этой системы и не влечет за собой риска ИБ.
Следует отметить, что некорректная реализация или использование и неправильное функционирование средств управления и, следовательно, защитных мер (например, при некорректной конфигурации) может также создать уязвимость. Средство управления может быть эффективным или неэффективным в зависимости от среды его функционирования.
Уязвимости могут быть связаны со свойствами актива. Способ и це­ли использования актива могут отличаться от планируемых при его приобретении или создании. Необходимо учитывать уязвимости раз­личного происхождения, например, внутренние или внешние по отно­шению к данному активу.
Примеры уязвимостей применительно к различным объектам, тре­бующим ОИБ, приведены в приложении 2 [7, 10].
Выходными данными процесса являются два списка - уязвимости по отношению к активам, угрозам ИБ и средствам управления и уязвимо­сти, не связанные ни с какими обнаруженными угрозами ИБ.

  1. ШАГ 5 ПОДЭТАПА 1 - ИДЕНТИФИКАЦИЯ ПОСЛЕДСТВИЙ

Согласно ГОСТ Р ИСО/МЭК 27005-2010 и 180/1ЕС 27005:2011 [3, 4] входными данными процесса являются списки активов, бизнес- процессов, угроз ИБ и уязвимостей (при возможности с указанием акти­вов) и их значимость. Должны быть определены прямые и косвенные последствия возможной потери активами конфиденциальности, целост­ности и доступности, вызванной инцидентами ИБ. Такими последст­виями могут быть снижение эффективности, неблагоприятные операци­онные условия, потеря бизнеса, ущерб для репутации и т. д. Возможные развития (сценарии) инцидентов ИБ описываются как реализации угроз ИБ на основе использования одной или нескольких существующих уяз­вимостей.
Воздействия инцидента ИБ определяются с учетом критериев оцен­ки последствий, выделенных в процессе установления контекста управ­ления рисками ИБ. Последствия могут затронуть один или несколько активов или часть актива, могут носить временный и постоянный харак­тер (как в случае разрушения актива). Активам при их повреждении или компрометации могут быть сопоставлены как значения финансовых потерь, так и последствия для всего бизнеса организации.




Негативные последствия от воздействия рисков ИБ могут быть двух типов:

  • мгновенные последствия, например, отказ оборудования;

  • накапливающиеся последствия, например, отказ оборудования в ре­зультате исчерпания его ресурса.

Последствия идентифицируются, например, в следующих терминах:

  • время исследования возникших проблем и время восстановления;

  • потеря рабочего времени;

  • упущенные возможности;

  • охрана труда и безопасность;

  • финансовые затраты на приобретение навыков по устранению неис­правностей и возмещению ущерба;

  • имидж и репутация и т. д.

Выходные данные процесса представляются в виде списка сценариев инцидентов ИБ с их последствиями для конкретных активов и бизнес- процессов.

  1. ПОДЭТАП 2 АНАЛИЗА РИСКОВ ИБ - КОЛИЧЕСТВЕННАЯ ОЦЕНКА РИСКОВ ИБ

Анализ рисков ИБ может проводиться с разной степенью детализа­ции в зависимости от критичности активов, распространенности извест­ных уязвимостей и произошедших в организации инцидентов ИБ. Мо­жет быть произведена количественная, качественная и комбинирован­ная оценка (в смысле установления значений) рисков ИБ [3, 4, 35]. На практике сначала обычно применяется качественная оценка, показы­вающая уровень риска и выявляющая наиболее важные риски ИБ. Далее может потребоваться провести более конкретный количественных ана­лиз основных рисков ИБ, который является более сложным и дорогим в реализации. Форма анализа должны соответствовать критериям оцени­вания рисков ИБ, разработанных в рамках установления контекста управления рисками ИБ.
Для количественной оценки, или установления значения, формали­зации, рисков ИБ не существует естественной шкалы - их можно оце­нивать по объективным или субъективным критериям. Примером объ­ективного критерия является вероятность выхода из строя какого-либо оборудования, например ПК, за определенный промежуток времени. Пример субъективного критерия - оценка владельцем актива риска вы­хода из строя ПК. В последнем случае обычно разрабатывается качест­венная шкала с несколькими градациями, например: низкий, средний, высокий уровень. В методиках анализа рисков ИБ, как правило, исполь­зуются субъективные критерии, измеряемые в качественных единицах, поскольку оценка должна отражать субъективную точку зрения вла­дельца актива, и следует учитывать различные аспекты - не только тех­нические, но и организационные, психологические и т. д.




Как было отмечено выше, различают качественный, количественный и полуколичественный подходы к установлению значений рисков ИБ.

Download 0.83 Mb.

Do'stlaringiz bilan baham:
1   ...   12   13   14   15   16   17   18   19   ...   29



Ma'lumotlar bazasi mualliflik huquqi bilan himoyalangan ©fayllar.org 2024
ma'muriyatiga murojaat qiling