Учебное пособие для вузов. М.: Горячая линия-Телеком, 2013. 130 с.: ил. Серия «Вопросы управления информационной безопасностью. Выпуск 2»


Таблица 3.1. Шестибалльная оценка последствий от реализации


Download 0.83 Mb.
bet18/29
Sana27.03.2023
Hajmi0.83 Mb.
#1298898
TuriУчебное пособие
1   ...   14   15   16   17   18   19   20   21   ...   29
Bog'liq
Управления рисками учебное пособие

Таблица 3.1. Шестибалльная оценка последствий от реализации
сценариев инцидентов ИБ







Выходными данными процесса является список оцененных послед­ствий для применимых сценариев инцидентов ИТ, связанных с актива­ми с учетом критериев оценки последствий. В результате данного этапа в список активов должна быть добавлена оценка для каждого иденти­фицированного актива по каждому критерию, например, по конфиден­циальности, целостности и доступности, а также по любым другими критериям, если они используются.

  1. ШАГ 2 ПОДЭТАПА 2 - ОЦЕНКА ВЕРОЯТНОСТЕЙ

Согласно ГОСТ Р ИСО/МЭК 27005-2010 и 180/1ЕС 27005:2011 [3, 4] входные данные процесса - список возможных идентифицированных сценариев ИБ, включая идентифицированные угрозы ИБ, затрагиваемые активы, используемые уязвимости и последствия для активов и бизнес- процессов, а также списки всех существующих и запланированных эле­ментов управления рисками ИБ, их эффективность, статус внедрения и использования [3, 4, 6, 35].
Должны быть оценены вероятности реализации конкретных сцена­риев инцидентов ИБ. При этом чаще всего применяются три подхода - исторические данные, предсказание вероятностей (например, с исполь­зованием дерева отказов или дерева событий) и экспертные оценки.
Термин «вероятность» имеет несколько различных значений, напри­мер «объективная» и «субъективная». Под объективной (математиче­ской) вероятностью понимается относительная частота появления како­го-либо события в общем объеме наблюдений или отношение числа благоприятных исходов к общему количеству наблюдений. Это понятие применяется при анализе результатов большого числа имевших место в прошлом наблюдений, а также наблюдений, полученных из моделей, описывающих некоторые процессы. Под субъективной вероятностью имеется в виду мера уверенности некоторого человека или группы лю­дей в том, что данное событие произойдет в действительности. Эта мера может быть формально представлена вероятностным распределением на множестве событий, не полностью заданным вероятностным распреде­лением, бинарным отношением и другими способами. Наиболее часто субъективная вероятность представляет собой вероятностную меру, полученную экспертным путем.
После идентификации сценариев инцидентов ИБ необходимо оце­нить вероятность реализации каждого сценария и проявления последст­вий инцидента ИБ, используя качественные и количественные подходы. При этом учитывается следующее:

  • насколько часто реализуются угрозы ИБ и насколько просто исполь­зовать уязвимости, рассматривая опыт и соответствующие статисти­ческие данные по вероятностям реализации угроз ИБ;

  • уязвимости, рассматриваемые отдельно и совместно, что может мно­гократно увеличить потери организации;




  • угрозы ИБ, рассматриваемые отдельно и совместно, что может мно­гократно увеличить потери организации;

  • вероятность реализации некоторой комбинации угроз ИБ и уязвимо­стей;

  • для умышленных (преднамеренных) источников угроз ИБ - мотива­ция и возможности, которые меняются со временем, а также ресур­сы, доступные потенциальным злоумышленникам, и осознание ими привлекательности и уязвимости активов;

  • для случайных (непреднамеренных) источников угроз ИБ на­сколько часто они могут возникать, в соответствии с опытом, ста­тистикой и т. д.; географические факторы (близость к химическим и нефтеперерабатывающим заводам, нахождение в районах, где велика вероятность экстремальных погодных условий, и факторы, которые могут вызвать совершаемые человеком ошибки и сбои в работе оборудования);

  • существующие средства управления и насколько эффективно они снижают уязвимости.

Например, ИС уязвимы для угроз «маскарада» пользователей и зло­употребления ресурсами. Угроза маскарада может быть высока из-за недостаточной аутентификации пользователей и наоборот - угроза зло­употребления ресурсами может быть мала, несмотря на отсутствие аутентификации пользователей, поскольку способов злоупотребле­ния немного.
В зависимости от требуемой точности, активы могут быть сгруппи­рованы или наоборот один актив может быть разделен на элементы, что, в конечном счете, должно быть соотнесено со сценариями инцидентов ИБ. Кроме этого в рамках одного географического местоположения для одних и тех же типов активов может меняться характер угроз ИБ или эффективность средств управления.
Информация, используемая для оценки угроз ИБ и уязвимостей, мо­жет быть получена от тех, кто имеет отношение к рассматриваемой СУИБ и соответствующим бизнес-процессам. Это могут быть, напри­мер, сотрудники отдела кадров, специалисты по поддержанию жизне­способности здания и ИТ-специалисты, а также те, кто отвечает в орга­низации за безопасность.
Иногда удобно использовать качественное описание при определе­нии балльной оценки вероятностей реализации сценариев инцидентов ИБ. Самая полная девятибалльная оценка вероятности реализации сце­нариев инцидентов ИБ приведена в табл. 3.2 [30, 31].









Выходными данными процесса является вероятность реализации сценариев инцидентов ИБ - в количественном или качественном выра­жении.

  1. ШАГ 3 ПОДЭТАПА 2 - ОПРЕДЕЛЕНИЕ УРОВНЯ (ВЕЛИЧИНЫ)

РИСКОВ ИБ
Согласно ГОСТ Р ИСО/МЭК 27005-2010 и 180/1ЕС 27005:2011 [3, 4] входные данные процесса - список сценариев инцидентов ИБ с их по­следствиями, связанными с активами и бизнес-процессами и вероят­ность их реализации - количественная или качественная [3, 4, 40].
Процесс основан на оценке последствий и вероятностей. При количест­венной оценке рисков ИБ вероятностям и последствиям рисков присваива­ются определенные значения - количественные или качественные.
В процессе оценивается величина уровня рисков реализации сцена­риев инцидентов ИБ, которая определяется путем комбинирования ве­роятности события и его последствий (цена потери или размер ущерба). Событие заключается в реализации угрозы ИБ, использующей уязвимо­сти актива для воздействия на этот актив и нарушения его ИБ.
Вычисление уровня рисков ИБ производиться путем комбинирова­ния стоимости активов, выражающей вероятные последствия наруше­ния конфиденциальности, целостности и/или доступности, с оценочны­ми вероятностями осуществления связанных с ними угроз ИБ и просто­ты использования уязвимостей, которые при объединении становятся причиной возможной реализации инцидента ИБ [6].
По аналогии с уровнем рисков ИБ для введения некоторого едино­образия и краткости часто используются два понятия:

  • уровень угрозы ИБ, под которым понимается вероятность осуществ­ления угрозы ИБ;

  • уровень уязвимости, под которым понимается простота использова­ния уязвимости угрозой ИБ.

Далее, все же, будут использоваться более верные по смыслу поня­тия - вероятности реализации угроз ИБ и простота использования уяз­вимостей (поскольку объяснить, что такое уровень совокупности усло­вий и факторов или уровень свойства информационной системы, с точ­ки зрения авторов не представляется возможным). Можно привести два примера:

  • делаются различия между рисками для конфиденциальности, целостно­сти и доступности, при этом используются соответствующие значения стоимости актива в качестве величины ущерба и, вследствие этого, для каждого актива рассматриваются три различных риска ИБ;

  • комбинирование трех значений стоимости актива, которые были оценены, в одно, например, путем использования максимального значения или суммы этих трех величин.




Вероятностный фактор риска ИБ базируется на угрозах ИБ и уязви­мостях и их оценочных величинах. Вероятности реализации угроз ИБ и простота использования уязвимостей могут комбинироваться различ­ными способами, например:

  • сложение или умножение вероятностей реализации угрозы ИБ и простоты использования уязвимости для получения комбинирован­ной величины;

  • вероятности реализации угроз ИБ и простоты использования уязви­мостей не комбинируются, а применяются по отдельности.

Каким образом комбинировать оба фактора риска ИБ (величину ущерба и вероятности) для вычисления риска ИБ, определяется самой организацией и ее выбором конкретного метода оценки рисков ИБ. Единственное, что должно быть гарантировано, это увеличение риска ИБ в случае увеличения любого из этих факторов.
В простейшем случае производится оценка двух факторов: вероят­ность происшествия и тяжесть возможных последствий - уровень риска ИБ тем больше, чем больше эти величины. Общая идея может быть вы­ражена формулой:
[уровень риска ИБ] = [вероятность происшествия] х [цена потери].
Если переменные являются количественными величинами, то уро­вень риска ИБ - это оценка математического ожидания потерь. Если переменные - качественные величины, то метрическая операция умно­жения не определена и в явном виде формулу применять не следует. Тогда определяются шкалы для вероятности происшествия, его серьез­ности и рисков ИБ и строится таблица. На пересечении строк (вероят­ностей происшествий) и столбцов (серьезности происшествий) будут получения значения рисков ИБ.
Приведем пример субъективной шкалы вероятностей событий и серьезности последствий [13]:
А - событие практически никогда не происходит; В - событие слу­чается редко; С - вероятность события за рассматриваемый промежуток времени - 0,5; Б - скорее всего событие произойдет; Е - событие почти обязательно произойдет.
«Пренебрежимо малое» - воздействием можно пренебречь; «незна­чительное» - незначительное происшествие: последствия легко устра­нимы, затраты на ликвидацию последствий невелики, воздействие на ИТ незначительно; «среднее» - происшествие с умеренными результа­тами: ликвидация последствий не связана с крупными затратами, воз­действие на ИТ небольшое и не затрагивает критически важные задачи; «серьезное» - происшествие с серьезными последствиями: ликвидация последствий связана со значительными затратами, воздействие на ИТ ощутимо, влияет на выполнение критически важных задач; «критиче­ское» - происшествие приводит к невозможности решения критически важных задач.
Для оценки уровня рисков ИБ устанавливается шкала из трех значе­ний: «низкий», «средний» и «высокий» (табл. 3.5).




Другой подход определяет, что величина риска ИБ вычисляется по формуле


[уровень риска ИБ] = [вероятность события] х [размер ущерба],
где [вероятность события] = [вероятность реализации угрозы ИБ] х х [простота использования уязвимости] [40].
На практике для вычисления уровня риска ИБ используется не мате­матическая вероятность угрозы ИБ, а ожидаемое количество попыток или частота реализации угрозы ИБ за определенный период времени (в международных стандартах для этого используется термин «йкей- коой», который является общим описанием вероятности (англ. ргоЪаЪП- Иу) и частоты (англ. /гедиепсу) и на русский язык переводится как «ве­роятность») [38].
Дополнительно могут быть рассмотрены прибыль от затрат, потреб­ности заинтересованных сторон и другие переменные, применимые для количественной оценки рисков ИБ.
Оцененный риск является комбинацией вероятности реализации сценария инцидента ИБ и его последствий.
Для определения уровня риска ИБ используются оценочные количе­ственные значения, полученные путем экспертных оценок, прогнозиро­вания и на основании статистических данных. Размер ущерба выража­ется, как правило, в денежном эквиваленте. Простота использования уязвимости как вероятность ее использования принимает значения от 0 до 1. Оценка вероятности реализации (или возможность) угрозы являет­ся целым положительным числом, определяющим ожидаемое количест­во попыток реализации угрозы ИБ за определенный период времени, обычно принимаемый за один год. В этом случае уровень риска соот­ветствует прогнозируемым среднегодовым потерям организации в ре­зультате инцидентов ИБ ЛЬЕ (англ. Аппиа1 Ьо$$ Ехрес1апсу). Эту вели­чину удобно использовать для соотнесения расходов на обеспечение и управление ИБ с уровнем рисков ИБ и для оценки возврата инвестиций, достигаемого за счет уменьшения уровня рисков ИБ и соответствующе­му сокращению среднегодовых потерь организации. Тогда [уровень риска ИБ] = ЛЬЕ.
На практике оценивание рисков ИБ проводится с определенной сте­пенью детализации. Все составляющие могут быть разложены на более







мелкие элементы и, наоборот, факторы риска могут быть сгруппирова­ны для получения более общих оценок. В этом случае [уровень группы рисков ИБ] = [ожидаемое количество попыток реализации группы угроз ИБ в течение года] х [суммарная простота использования группы уяз­вимостей] х [размер суммарного ущерба].
Точно предсказать вероятность реализации угрозы ИБ, величину ис­пользования уязвимостей и размер ущерба обычно не представляется возможным, поэтому часто используют числовые оценки в некотором диапазоне величин. Каждому количественному диапазону можно сопос­тавить определенный качественный уровень риска ИБ. В результате получается качественная шкала оценки рисков ИБ, которой сопостав­ляются некоторые количественные оценки.
Важно отметить, что не существует «правильных» или «неправиль­ных» способов вычисления рисков ИБ, при условии, что понятия, опи­санные в предыдущих пунктах, объединяются некоторым осмысленным образом, и только сама организация может принять решение о том, ка­кой метод количественной оценки рисков ИБ подходит к ее бизнес- требованиям и требованиям по ОИБ.
Выходные данные процесса количественной оценки рисков ИБ - список рисков ИБ с приписанными им уровнями. Оцененные уровни рисков ИБ позволяют ранжировать риски и идентифицировать те из них, которые являются наиболее критичными (проблематичными) для организации.

  1. Этап 2 - оценивание рисков ИБ

Согласно ГОСТ Р ИСО/МЭК 27005-2010 и 180/1ЕС 27005:2011 [3, 4] входными данными для оценивания рисков являются список оцененных рисков ИБ с приписанными им уровнями и критериями (шкалой) оце­нивания рисков ИБ. В процессе данной деятельности величина рисков ИБ должна сравниваться с критериями оценивания и принятия рисков. Оценивание риска ИБ проводится путем его сопоставления с заданной шкалой [6].
При создании контекста управления рисками ИБ определяется ха­рактер решений, связанных с оценкой рисков и критериями оценки рис­ков ИБ, которые используются для принятия таких решений. На данном этапе эти решения и контекст детально анализируется и пересматрива­ется, поскольку уже имеется больше информации о конкретных иден­тифицированных рисках ИБ. Для оценивания рисков ИБ организация с помощью выбранных методов и подходов сравнивает оцененные ранее риски ИБ с критериями оценивания рисков, определенными при уста­новлении контекста управления рисками.
Критерии оценивания рисков ИБ, используемых для принятия реше­ний, должны быть совместимы с определенным внешним и внутренним




контекстом управления рисками ИБ и учитывать цели организации и мнения причастных сторон и т. д. Принимаемые во время оценивания рисков ИБ решения в основном базируются на уровне приемлемого риска ИБ. Однако следует также рассматривать последствия, вероят­ность и степень уверенности в идентификации и анализе рисков ИБ. Агрегирование нескольких низких или средних рисков ИБ может при­вести к гораздо более высоким общим рискам и должно рассматривать­ся соответствующим образом.
При этом учитываются следующие важные моменты:

  1. свойства ИБ: если один критерий не подходит для данной органи­зации (например, потеря конфиденциальности), тогда все связанные с ним риски могут не рассматриваться;

  2. значимость бизнес-процессов или деятельности, обеспечиваемой конкретным активом или группой активов: если процесс определен как маловажный (имеющий низкую значимость), связанные с ним риски ИБ учитываются в меньшей степени, чем те, которые влияют на более зна­чимые процессы и действия.

Для принятия решений о будущих действиях оценивание рисков ИБ использует понимание риска, полученное во время анализа рисков ИБ. Такие решения включают следующее два элемента: необходимость в конкретном действии и значимость (приоритеты) для обработки рисков ИБ, основанные на оцененном уровне рисков.
Во время оценивания рисков ИБ также должны учитываться кон­трактные и законодательные требования и требования регулирующих органов.
Выходными данными является список рисков ИБ с приоритетами, расставленными в соответствии с критериями оценивания рисков по отношению к сценариям инцидентов ИБ, приводящим к данным рискам. В результате данного этапа для всех активов, находящихся в области деятельности рассматриваемой СУИБ, должен быть составлен ранжиро­ванный список оцененных рисков ИБ для каждого из возможных воз­действий на этот актив.

  1. Подходы к оценке рисков ИБ

Как отмечалось ранее, для оценки рисков ИБ организация может са­мостоятельно выбирать различные общие, используемые во всей орга­низации, подходы. Важно, чтобы эти подходы соответствовали всем требованиям организации. Какой именно подход использовать, зависит от нескольких факторов, в том числе:

  • от их бизнес-среды и вида бизнеса организации;

  • зависимости от обработки информации и приложений, поддержи­вающих бизнес;

  • сложности ИС и поддерживающих систем, приложений и сервисов;

  • количества компаний-партнеров и объема внешних деловых и дого­ворных отношений.




Эти факторы являются, как правило, общими для всех направлений деятельности организации, поэтому их необходимо учитывать наряду с преимуществами и недостатками самих подходов. Принимает решение
о выборе подхода сама организация. На практике рекомендуется при­держиваться следующего правила: чем более важной и необходимой является ИБ для организации и ее бизнеса, и чем больше могут быть потери, тем больше времени и средств необходимо потратить на ОИБ.
Различные подходы к оценке рисков ИБ отличаются требуемым ко­личеством времени и объемом работы, а также глубиной детализации и анализа. Несмотря на то, что организация сама может выбирать подход (подходы) к оценке рисков ИБ, необходимо гарантировать достаточную меру адекватности и подробности применяемого подхода для обеспече­ния выполнения бизнес-требований и требований по ОИБ организации.
Для различных этапов оценки рисков ИБ применимы различные средства оценки, представленные в табл. 3.6 [35]. В ячейках таблицы используются следующие сокращения: П - средство применимо, ХП - хорошо применимо, НП - не применимо.










Известно два основных подхода к классификации стратегий оценки и анализа рисков ИБ.
В стандартах 180/1ЕС ТК 13335-3:1998 и ГОСТ Р ИСО/МЭК 13335­3-2007 рассматриваются четыре вида анализа рисков ИБ [7, 10]:


  1. Download 0.83 Mb.

    Do'stlaringiz bilan baham:
1   ...   14   15   16   17   18   19   20   21   ...   29




Ma'lumotlar bazasi mualliflik huquqi bilan himoyalangan ©fayllar.org 2024
ma'muriyatiga murojaat qiling