Учебное пособие для вузов. М.: Горячая линия-Телеком, 2013. 130 с.: ил. Серия «Вопросы управления информационной безопасностью. Выпуск 2»


Download 0.83 Mb.
bet12/29
Sana27.03.2023
Hajmi0.83 Mb.
#1298898
TuriУчебное пособие
1   ...   8   9   10   11   12   13   14   15   ...   29
Bog'liq
Управления рисками учебное пособие

оценивание рисков ИБ.

По шагам процесс оценки рисков ИБ выглядит таким образом:
Этап 1 - анализ рисков ИБ.
Подэтап 1 - идентификация рисков ИБ.
Шаг 1 - идентификация активов.
Шаг 2 - идентификация угроз ИБ.
Шаг 3 - идентификация существующих средств управления рисками ИБ.
Шаг 4 - идентификация уязвимостей.
Шаг 5 - идентификация последствий.
Подэтап 2 - количественная оценка рисков ИБ.
Шаг 1 - оценка последствий.
Шаг 2 - оценка вероятностей.
Шаг 3 - определение уровня (величины) рисков ИБ.
Этап 2 - оценивание рисков ИБ.
В процессе оценки рисков ИБ определяются ценность информаци­онных активов, возможные угрозы ИБ, существующие уязвимости, средства управления и их влияние на выявленные риски ИБ и потенци­альные последствия, а также устанавливаются окончательные приори­теты рисков ИБ и они ранжируются согласно критериям оценивания рисков в контексте управления рисками ИБ.
Оценка рисков ИБ обычно осуществляется за две или более итера­ций: первая - высокоуровневая оценка для выявления наивысших рис­ков, которая служит основой для дальнейшей оценки; вторая - более




глубокое рассмотрение потенциально высоких рисков, обнаруженных ранее. После этого если собрано недостаточно информации, проводится более детальный анализ рисков ИБ, возможно для отдельных частей области действия и с использованием различных методов.
В стандартах, описывающих вопросы управления рисками ИБ, отме­чается, что каждая организация вправе выбирать свой подход к оценке рисков ИБ, исходя из ее целей и задач.
Эксперт, участвующий в оценке рисков ИБ, должен быть профес­сионалом в области ИТ и ИБ, человеком бизнеса или внешним консуль­тантом организации по ИТ. Он должен обладать следующими характе­ристиками [6]:

  • базовое понимание того, как функционирует бизнес, и подвержен­ность этого бизнеса рискам ИБ;

  • понимание основных концепций риска ИБ, например, каким образом комбинируются оценки угрозы ИБ, уязвимостей и ущерба для полу­чения величины риска ИБ;

  • понимание ИТ на уровне, достаточном для понимания угроз ИБ и уязвимостей ИТ, например, что представляют собой системы, рабо­чие станции, устройства хранения, ОС, приложения, сети передачи данных, веб-сайты, вирусы и черви, а также каким образом они функционируют и взаимодействуют;

  • понимание различных типов защитных мер (например, межсетевой экран (МЭ), система обнаружения вторжений (СОВ), механизмы идентификации и аутентификации, механизмы контроля доступа, шифрование, средства видеонаблюдения, а также системы регистра­ции событий и мониторинга), как они работают и любые свойствен­ные им ограничения;

  • понимание подходящего метода оценки рисков ИБ и практическое владение любыми, связанными с ним, инструментами, ПО или фор­мами;

  • аналитические способности, то есть способность выделять относя­щиеся к делу факты;

  • способность идентифицировать в организации людей, которые смо­гут предоставить необходимую информацию;

  • уровень коммуникабельности, достаточный для получения необхо­димой информации от людей в организации и сообщения о результа­тах оценки рисков ИБ в форме, понятной руководству, принимаю­щему решения.

На выходе процесса оценки рисков ИБ получается список оценен­ных рисков ИБ с их приоритетами, присвоенными в соответствии с кри­териями оценивания рисков ИБ.
Оценка рисков ИБ может проводиться на уровне организации, в рамках взаимосвязанной совокупности систем, для отдельной системы или приложений, а также для конкретных критических функций внутри




системы [30, 31]. Важно помнить, что оценка рисков ИБ на уровне орга­низации не является простой комбинацией рисков для всех ее критиче­ских функций, поскольку совместное проявление нескольких рисков может существенно повысить общий риск ИБ.
Общими методологическими недостатками большинства современ­ных подходов к оценке рисков ИБ являются, во-первых, субъективный выбор экспертами уровней рисков, которые в идеале должны были бы оцениваться на основе математического моделирования и представлять собой основу эффективного управления, и, во-вторых, использование исторических данных (набранной статистики) для получения и объяс­нения оценок рисков постфактум, без научно-методического прогнози­рования в развитии различных сценариев угроз ИБ для разных условий функционирования систем. Как следствие - большие погрешности в предсказания рисков ИБ и поведении систем. Поэтому многие инстру­ментальные средства, автоматизирующие процесс оценки рисков на основе традиционных экспертных подходов, всего лишь проверяют вы­полнение некоторых условий, признаваемых обязательными. Далее из выполнения этих условий делаются соответствующие выводы: «выпол­нено» - риск меньше, «не выполнено» - риск возрастает. Поэтому в на­стоящее время существенно возрастает роль моделирования, в первую очередь математического, как наиболее объективного гаранта всесто­ронней оценки и прогнозирования рисков ИБ и разрабатываемых сис­тем с учетом возможных последствий от их проявлений. Инновацион­ные модели, предложенные российскими учеными, базируются на использовании методов системного анализа, исследования операций, теорий вероятности и регенерирующих (циклически повторяющихся) процессов [32], сетей Петри-Маркова [33], имитационном моделирова­нии [34] и т. п. Их применение в зависимости от количественных сис­темных характеристик процессов позволяет заказчикам, разработчикам и пользователям систем оперативно вычислять вероятности успеха, риски неудач и связанные с этим потери, в том числе в денежном выра­жении [32], или количестве успешно реализованных атак [33] (правда, тогда опять потребуется статистика по атакам). Такое моделирование обеспечивает аргументированное решение задач анализа и снижения рисков при управлении проектами, исследования вопросов защищенно­сти систем от потенциальных угроз ИБ, выявления уязвимостей систем и рациональных путей их устранения с указанием условий, когда это принципиально возможно, и многих других.
В рамках данного учебного пособия все же будем рассматривать традиционные подходы к оценке рисков ИБ, официально признанные российскими и международными стандартами.


  1. Этап 1 - анализ рисков ИБ

Анализ рисков ИБ позволяет эффективно управлять ИБ организации. Для этого в самом начале работ по анализу рисков ИБ необходимо оп­ределить, какие именно активы организации подлежат защите, какие угрозы ИБ могут воздействовать на эти активы, а также через какие уяз­вимости активов и с какой вероятностью эти угрозы ИБ могут быть реа­лизованы. На основе полученной информации по результатам анализа рисков ИБ формируется план обработки рисков ИБ, рассчитанный на определенный период времени, за который выявленные риски ИБ должны быть минимизированы за счет использования конкретных за­щитных мер.
Лучшие практики в области управления рисками ИБ показывают, что анализ рисков ИБ проводится в следующих случаях [5]:

  • изменения в стратегии и тактике ведения бизнеса (например, при открытии электронного магазина);

  • обновления информационной инфраструктуры организации или су­щественных изменений в ней;

  • переход на новые ИТ;

  • организация новых подключений к сети организации (например, подключения сети филиала к сети головного офиса);

  • подключение к глобальным сетям (в первую очередь к Интернету);

  • проверка эффективности ОИБ в организации или ее подразделениях.

Выделим основные этапы процесса анализа рисков ИБ в организа­ции [1, 2, 6, 9]:

  • идентификация (инвентаризация), категоризация и определение цен­ности подлежащих защите активов с их подробным документирова­нием, причем особое внимание необходимо уделять критически важным для бизнеса активам и степени зависимости организации от их штатного функционирования, ИБ хранимых и обрабатываемых данных;

  • идентификация и учет всех требований по ОИБ активов, включая угрозы ИБ и уязвимости, законодательные и бизнес-требования; при этом необходимо учитывать, что появляются новые угрозы ИБ и уязвимости по отношению к старым активам, а также сами новые ак­тивы и ассоциированные с ними угрозы ИБ и уязвимости;

  • оценка вероятности проявления угроз ИБ и уязвимостей, важности правовых и бизнес-требований и ожидаемых размеров потерь;

  • расчет рисков ИБ, возникающих в результате сочетания указанных факторов.

При выполнении оценки рисков ИБ может использоваться широко распространенная методология оценки критичных угроз ИБ, активов и уязвимостей для организаций разного размера и сферы деятельности 0СТАУЕ (Орегайопа11у СтШса1 Тктеа1, Лззе{, апШ УиЫегаЫЮу



Download 0.83 Mb.

Do'stlaringiz bilan baham:
1   ...   8   9   10   11   12   13   14   15   ...   29




Ma'lumotlar bazasi mualliflik huquqi bilan himoyalangan ©fayllar.org 2024
ma'muriyatiga murojaat qiling