Учебное пособие для вузов. М.: Горячая линия-Телеком, 2013. 130 с.: ил. Серия «Вопросы управления информационной безопасностью. Выпуск 2»
Качественный подход к количественной оценке рисков ИБ
Download 0.83 Mb.
|
Управления рисками учебное пособие
- Bu sahifa navigatsiya:
- Количественный подход к количественной оценке рисков ИБ
|
Качественный подход к количественной оценке рисков ИБ [3, 4] использует словесную шкалу квалификационных атрибутов, описывающих величину потенциальных последствий (например, как «низкую», «среднюю» и «высокую») и вероятность возникновения данных последствий. Преимущество такой оценки - ее понятность всему персоналу, недостаток - субъективный выбор шкалы численных значений. Шкалы могут быть адаптированы или откорректированы согласно обстоятельствам и для различных рисков могут использоваться разные описания.
Качественный подход к количественной оценке рисков ИБ может применяться: как начальный при идентификации рисков ИБ, которые позже будет проанализированы более детально; когда этого типа анализа достаточно для принятия решений; когда имеющихся числовых данных или ресурсов недостаточно для количественной оценки. Качественный анализ использует по возможности фактическую информацию и данные. Количественный подход к количественной оценке рисков ИБ [3, 4] использует шкалу с числовыми значениями как для последствий, так и для вероятностей, основываясь на данных, полученных из различных источников. Качество такого анализа зависит от точности и полноты числовых значений и правильности применяемых моделей. Количественный подход к количественной оценке рисков ИБ во многих случаях использует исторические данные (фактические данные за прошедший период) об инцидентах ИБ, что обеспечивает его основное преимущество - непосредственную связь с задачами и потребностями организации в ОИБ. Недостаток - отсутствие таких данных по новым рискам ИБ и уязвимостям, а также возможная недоступность фактических данных или данных аудитов, которая порождает иллюзию правильно проведенной оценки рисков ИБ. При комбинированном полуколичественном подходе к количественной оценке рисков ИБ [35] для выше описанных качественных шкал задаются значения. Цель - создание шкалы более широких рейтингов, чем при качественном анализе, но это не означает присвоение реалистичных значений риска ИБ, как при количественном анализе. Однако, поскольку присваиваемое каждому описанию значение не может точно соответствовать фактической величине последствий или вероятности, значения должны быть объединены с помощью формулы, учитывающей ограничения типов используемых шкал. Следует соблюдать осторожность при использовании полуколичественного анализа, поскольку выбранные значения не могут правильно отражать относительность и это может привести к несогласованности, аномальным или несоответствующим результатам. Полуколичественный анализ не может правильно дифференцировать риски ИБ, особенно когда последствия или вероятности являются экстремальными. Способ представления последствий и вероятностей и их комбинирования для обеспечения допустимого уровня риска ИБ будет варьироваться в зависимости от типа риска и цели, для которой выходные данные оценки рисков ИБ будут использоваться. Важно учитывать неопределенность и изменяемость этих последствий и вероятностей. ШАГ 1 ПОДЭТАПА 2 - ОЦЕНКА ПОСЛЕДСТВИЙ Согласно ГОСТ Р ИСО/МЭК 27005-2010 и 180/1ЕС 27005:2011 [3, 4] входными данными процесса является список идентифицированных возможных сценариев инцидентов ИБ, включая угрозы ИБ, уязвимости, затрагиваемые активы, последствия для активов и бизнес-процессов [3, 4, 6, 8, 35]. В рамках данного процесса оценивается воздействие на организацию возможных или фактических инцидентов ИБ, принимая во внимание последствия нарушения ИБ, например, потери активами конфиденциальности, целостности или доступности. Воздействие может оцениваться в краткосрочном плане и долгосрочной перспективе. Значение последствий для бизнеса может быть выражено в качественной или количественной форме. Наиболее нагляден и больше дает информации для принятия решений метод, в котором последствиям присваивается денежное выражение. Оценка последствий может включать в себя: учет существующих средств управления рисками ИБ для обработки последствий, вместе со всеми соответствующими факторами, которые оказывают влияние на них; влияние последствий рисков ИБ на первоначальные цели организации; учет как непосредственных последствий, так и тех, которые могут возникнуть через определенный период времени, если это согласуется с областью оценки; учет вторичных последствий, таких, которые влияют на соответствующие системы, деятельность, оборудование или организации. После идентификации всех входящих в область действия активов для оценки последствий должна учитываться ценность активов организации. Это важный этап в общем процессе анализа рисков ИБ и фактор оценки последствий инцидентов ИБ, поскольку инцидент может затрагивать более одного актива или только часть актива. Входные данные для оценки ценности активов должны быть предоставлены владельцами (иногда пользователями) активов - людьми, которые обладают наиболее полными знаниями об активе и способны оценить его важность для организации и ее бизнеса. Чтобы правильно спланировать защитные меры для активов, необходимо определить их ценность на основе стоимости их восстановления (или замены) и важности для бизнеса и значимости в определенных обстоятельствах. Оценка активов начинается с их инвентаризации и классификации в соответствии со значимостью, которая обычно определятся в терминах потенциальных воздействий на бизнес, которые могут быть оказаны в результате нежелательных инцидентов ИБ, приводящих к финансовым потерям, уменьшению прибыли, доли на рынке или ущербу репутации организации. Ценность, определенная для каждого актива, должна выражаться способом, наилучшим образом соответствующим данному активу и организации, ведущей бизнес. Важно учесть все потенциальные затраты, связанные с возможной компрометацией защищаемых активов. Чтобы единообразно определить ценность активов и надлежащим образом связать эти оценки, необходимо применять шкалу оценок активов. Первым шагом должно быть установление числа используемых уровней. Правил для установления наиболее подходящего числа уровней не существует. Большее число уровней обеспечивает более высокую степень детализации, но иногда слишком тонкое дифференцирование затрудняет оценку активов организации. Обычно число уровней оценки находится в диапазоне от трех-пяти (например, шкалы «низкая- средняя-высокая» или «пренебрежимо малая-низкая-средняя-высокая- очень высокая-критичная») до десяти при условии, что это совместимо с подходом организации к общему процессу оценки рисков ИБ. Так можно определить шкалу для получения оценки актива, например, имеющую три значения: малоценный актив: от него не зависят критически важные задачи и он может быть восстановлен с небольшими затратами времени и денег; актив средней ценности: от него зависит ряд важных задач, но в случае утраты он может быть восстановлен за время, не превышающее критически допустимое, но стоимость восстановления - высокая; ценный актив: от него зависят критически важные задачи, в случае утраты время восстановления превышает критически допустимое либо стоимость чрезвычайно высока. При другом подходе каждому качественному значению шкалы возможно поставить в соответствие количественные значения (например, интервалы, выраженные в денежных единицах). Часто для оценки активов используются следующие показатели: Первоначальная стоимость актива (стоимость приобретения). Стоимость поддержания актива в процессе решения бизнес-задач до его компрометации. Стоимость замены/восстановления/воссоздания/обновления актива (восстанавливающая очистка или замена информации, если это вообще возможно). Последствия для бизнеса от потери или компрометации актива (например, потенциальных неблагоприятных бизнес-последствий и/или правовых или нормативных последствий раскрытия, изменения, недоступности и/или уничтожение информации и других информационных ресурсов). Такая оценка может быть получена на основе анализа бизнес- последствий. Из-за разнообразия активов большинства организаций весьма вероятно, что некоторые активы из тех, что могут быть оценены в денежных единицах, будут оцениваться в местной валюте, в то время как другие активы могут оцениваться по качественной шкале в диапазоне от «очень низкой» до «очень высокой» цены. Решение использовать количественную или качественную оценку принимает конкретная организация, но при этом выбранный тип оценки должен соответствовать подлежащим оценке активам. Для одного и того же актива могут быть использованы также оба типа оценки. Например, бизнес-план может быть оценен на основе трудозатрат на его разработку или на введение данных, или ценности для конкурента. Велика вероятность того, что значения этих ценностей будут значительно отличаться друг от друга. Ценность актива может также носить нематериальный характер, например, цена репутации организации или цена личной безопасности. Критерии, используемые в качестве основы для оценки ценности каждого актива, должны выражаться в однозначных (недвусмысленных) терминах. С этим часто бывают связаны наиболее сложные аспекты оценки активов, поскольку ценность некоторых из них приходится определять субъективно. Поэтому для определения ценности активов целесообразно привлекать достаточно большое число разных людей. В любом случае организация должна определить свои собственные границы для шкалы оценок активов: что следует считать «низкой» или «высокой» ценностью, поскольку ущерб, катастрофический для небольшой организации, может быть низким или даже пренебрежимым для очень крупной организации. Правильное и понятное объяснение этих оценок в терминах бизнеса очень важно при интервьюировании/анкетировании владельцев активов, которое должно проводиться с целью получения входных данных для оценки активов. Присвоенная ценность актива может быть максимальной из всех возможных ценностей или суммой некоторых или всех возможных ценностей. При окончательном анализе необходимо тщательно определить итоговую ценность актива, поскольку от нее зависит объем ресурсов, необходимых для обеспечения защиты данного актива. В конечном счете все оценки активов должны проводиться на основе общего подхода с использованием единых критериев, которые могут использоваться для оценки возможного ущерба от потери конфиденциальности, целостности или доступности активов: нарушение законов и/или подзаконных актов; снижение эффективности бизнеса; потеря престижа/негативное воздействие на репутацию; нарушение конфиденциальности личных данных; необеспеченность личной безопасности; негативный эффект с точки зрения обеспечения правопорядка; нарушение конфиденциальности коммерческой информации; нарушение общественного порядка; финансовые потери; нарушение деловых операций; угроза безопасности окружающей среды. Другой подход к оценке последствий для бизнеса может учитывать следующее: прерывание предоставления сервиса; утрата доверия клиентов и их потеря; нарушение внутреннего функционирования; нарушение законов/норм; нарушение договорных обязательств; опасность для персонала (пользователей); финансовые потери; судебные дела и штрафы; увольнения; промышленный кризис (забастовки) и т. д. Как правило, процессы идентификации активов и оценки их ценности проходят параллельно. Так, при формировании анкет для проведения инвентаризации активов можно включить соответствующие графы, в которых будет указываться ценность того или иного актива. Обычно величина последствий существенно выше, чем просто стоимость замены, что зависит от ценности актива при решении задач бизнеса организации. Разные угрозы ИБ и уязвимости приводят к разным последствиям для активов - раскрытию, модификации, недоступности и/или уничтожению и т. д. - в терминах конфиденциальности, целостности и доступности. Но иногда только этих критериев недостаточно, например, при рассмотрении информации, для которой требуется защита права на интеллектуальную собственность. Таким образом, оценка последствий связана с оценкой активов на основе анализа их воздействия на бизнес. Последствия или влияние на бизнес можно определить посредством моделирования результатов события или нескольких событий или экстраполяцией экспериментов или прошлых данных. Последствия могут быть выражены в денежном эквиваленте, с технической точки зрения или с точки зрения человеческого фактора или иным подходящим для организации способом. В некоторых случаях требуется не одно, а несколько числовых значений, определяющих последствия для разного времени, места, групп или ситуаций. Последствия с точки зрения времени и финансов могут быть измерены на основе тех же подходов, которые используются для вероятностей и уязвимостей. При количественном и качественном подходах должна сохраняться последовательность. Оценка влияния на бизнес может быть выражена как качественно, так и количественно, но любой способ получения некоторого денежного эквивалента предоставит более подробную информацию для принятия решений и, следовательно, будет способствовать принятию самого эффективного решения. Оценку возможного ущерба может сделать только собственник или владелец актива. Часто бывает удобнее и проще это сделать с использованием качественного описания (табл. 3.1). Download 0.83 Mb. Do'stlaringiz bilan baham: 
|