Учебное пособие для вузов. М.: Горячая линия-Телеком, 2013. 130 с.: ил. Серия «Вопросы управления информационной безопасностью. Выпуск 2»
Таблица 3.1. Шестибалльная оценка последствий от реализации
Download 0.83 Mb.
|
Управления рисками учебное пособие
- Bu sahifa navigatsiya:
- Аппиа1 Ьо$$ Ехрес1апсу).
- Этап 2 - оценивание рисков ИБ
- Подходы к оценке рисков ИБ
|
Таблица 3.1. Шестибалльная оценка последствий от реализации
сценариев инцидентов ИБ Выходными данными процесса является список оцененных последствий для применимых сценариев инцидентов ИТ, связанных с активами с учетом критериев оценки последствий. В результате данного этапа в список активов должна быть добавлена оценка для каждого идентифицированного актива по каждому критерию, например, по конфиденциальности, целостности и доступности, а также по любым другими критериям, если они используются. ШАГ 2 ПОДЭТАПА 2 - ОЦЕНКА ВЕРОЯТНОСТЕЙ Согласно ГОСТ Р ИСО/МЭК 27005-2010 и 180/1ЕС 27005:2011 [3, 4] входные данные процесса - список возможных идентифицированных сценариев ИБ, включая идентифицированные угрозы ИБ, затрагиваемые активы, используемые уязвимости и последствия для активов и бизнес- процессов, а также списки всех существующих и запланированных элементов управления рисками ИБ, их эффективность, статус внедрения и использования [3, 4, 6, 35]. Должны быть оценены вероятности реализации конкретных сценариев инцидентов ИБ. При этом чаще всего применяются три подхода - исторические данные, предсказание вероятностей (например, с использованием дерева отказов или дерева событий) и экспертные оценки. Термин «вероятность» имеет несколько различных значений, например «объективная» и «субъективная». Под объективной (математической) вероятностью понимается относительная частота появления какого-либо события в общем объеме наблюдений или отношение числа благоприятных исходов к общему количеству наблюдений. Это понятие применяется при анализе результатов большого числа имевших место в прошлом наблюдений, а также наблюдений, полученных из моделей, описывающих некоторые процессы. Под субъективной вероятностью имеется в виду мера уверенности некоторого человека или группы людей в том, что данное событие произойдет в действительности. Эта мера может быть формально представлена вероятностным распределением на множестве событий, не полностью заданным вероятностным распределением, бинарным отношением и другими способами. Наиболее часто субъективная вероятность представляет собой вероятностную меру, полученную экспертным путем. После идентификации сценариев инцидентов ИБ необходимо оценить вероятность реализации каждого сценария и проявления последствий инцидента ИБ, используя качественные и количественные подходы. При этом учитывается следующее: насколько часто реализуются угрозы ИБ и насколько просто использовать уязвимости, рассматривая опыт и соответствующие статистические данные по вероятностям реализации угроз ИБ; уязвимости, рассматриваемые отдельно и совместно, что может многократно увеличить потери организации; угрозы ИБ, рассматриваемые отдельно и совместно, что может многократно увеличить потери организации; вероятность реализации некоторой комбинации угроз ИБ и уязвимостей; для умышленных (преднамеренных) источников угроз ИБ - мотивация и возможности, которые меняются со временем, а также ресурсы, доступные потенциальным злоумышленникам, и осознание ими привлекательности и уязвимости активов; для случайных (непреднамеренных) источников угроз ИБ насколько часто они могут возникать, в соответствии с опытом, статистикой и т. д.; географические факторы (близость к химическим и нефтеперерабатывающим заводам, нахождение в районах, где велика вероятность экстремальных погодных условий, и факторы, которые могут вызвать совершаемые человеком ошибки и сбои в работе оборудования); существующие средства управления и насколько эффективно они снижают уязвимости. Например, ИС уязвимы для угроз «маскарада» пользователей и злоупотребления ресурсами. Угроза маскарада может быть высока из-за недостаточной аутентификации пользователей и наоборот - угроза злоупотребления ресурсами может быть мала, несмотря на отсутствие аутентификации пользователей, поскольку способов злоупотребления немного. В зависимости от требуемой точности, активы могут быть сгруппированы или наоборот один актив может быть разделен на элементы, что, в конечном счете, должно быть соотнесено со сценариями инцидентов ИБ. Кроме этого в рамках одного географического местоположения для одних и тех же типов активов может меняться характер угроз ИБ или эффективность средств управления. Информация, используемая для оценки угроз ИБ и уязвимостей, может быть получена от тех, кто имеет отношение к рассматриваемой СУИБ и соответствующим бизнес-процессам. Это могут быть, например, сотрудники отдела кадров, специалисты по поддержанию жизнеспособности здания и ИТ-специалисты, а также те, кто отвечает в организации за безопасность. Иногда удобно использовать качественное описание при определении балльной оценки вероятностей реализации сценариев инцидентов ИБ. Самая полная девятибалльная оценка вероятности реализации сценариев инцидентов ИБ приведена в табл. 3.2 [30, 31]. Выходными данными процесса является вероятность реализации сценариев инцидентов ИБ - в количественном или качественном выражении. ШАГ 3 ПОДЭТАПА 2 - ОПРЕДЕЛЕНИЕ УРОВНЯ (ВЕЛИЧИНЫ) РИСКОВ ИБ Согласно ГОСТ Р ИСО/МЭК 27005-2010 и 180/1ЕС 27005:2011 [3, 4] входные данные процесса - список сценариев инцидентов ИБ с их последствиями, связанными с активами и бизнес-процессами и вероятность их реализации - количественная или качественная [3, 4, 40]. Процесс основан на оценке последствий и вероятностей. При количественной оценке рисков ИБ вероятностям и последствиям рисков присваиваются определенные значения - количественные или качественные. В процессе оценивается величина уровня рисков реализации сценариев инцидентов ИБ, которая определяется путем комбинирования вероятности события и его последствий (цена потери или размер ущерба). Событие заключается в реализации угрозы ИБ, использующей уязвимости актива для воздействия на этот актив и нарушения его ИБ. Вычисление уровня рисков ИБ производиться путем комбинирования стоимости активов, выражающей вероятные последствия нарушения конфиденциальности, целостности и/или доступности, с оценочными вероятностями осуществления связанных с ними угроз ИБ и простоты использования уязвимостей, которые при объединении становятся причиной возможной реализации инцидента ИБ [6]. По аналогии с уровнем рисков ИБ для введения некоторого единообразия и краткости часто используются два понятия: уровень угрозы ИБ, под которым понимается вероятность осуществления угрозы ИБ; уровень уязвимости, под которым понимается простота использования уязвимости угрозой ИБ. Далее, все же, будут использоваться более верные по смыслу понятия - вероятности реализации угроз ИБ и простота использования уязвимостей (поскольку объяснить, что такое уровень совокупности условий и факторов или уровень свойства информационной системы, с точки зрения авторов не представляется возможным). Можно привести два примера: делаются различия между рисками для конфиденциальности, целостности и доступности, при этом используются соответствующие значения стоимости актива в качестве величины ущерба и, вследствие этого, для каждого актива рассматриваются три различных риска ИБ; комбинирование трех значений стоимости актива, которые были оценены, в одно, например, путем использования максимального значения или суммы этих трех величин. Вероятностный фактор риска ИБ базируется на угрозах ИБ и уязвимостях и их оценочных величинах. Вероятности реализации угроз ИБ и простота использования уязвимостей могут комбинироваться различными способами, например: сложение или умножение вероятностей реализации угрозы ИБ и простоты использования уязвимости для получения комбинированной величины; вероятности реализации угроз ИБ и простоты использования уязвимостей не комбинируются, а применяются по отдельности. Каким образом комбинировать оба фактора риска ИБ (величину ущерба и вероятности) для вычисления риска ИБ, определяется самой организацией и ее выбором конкретного метода оценки рисков ИБ. Единственное, что должно быть гарантировано, это увеличение риска ИБ в случае увеличения любого из этих факторов. В простейшем случае производится оценка двух факторов: вероятность происшествия и тяжесть возможных последствий - уровень риска ИБ тем больше, чем больше эти величины. Общая идея может быть выражена формулой: [уровень риска ИБ] = [вероятность происшествия] х [цена потери]. Если переменные являются количественными величинами, то уровень риска ИБ - это оценка математического ожидания потерь. Если переменные - качественные величины, то метрическая операция умножения не определена и в явном виде формулу применять не следует. Тогда определяются шкалы для вероятности происшествия, его серьезности и рисков ИБ и строится таблица. На пересечении строк (вероятностей происшествий) и столбцов (серьезности происшествий) будут получения значения рисков ИБ. Приведем пример субъективной шкалы вероятностей событий и серьезности последствий [13]: А - событие практически никогда не происходит; В - событие случается редко; С - вероятность события за рассматриваемый промежуток времени - 0,5; Б - скорее всего событие произойдет; Е - событие почти обязательно произойдет. «Пренебрежимо малое» - воздействием можно пренебречь; «незначительное» - незначительное происшествие: последствия легко устранимы, затраты на ликвидацию последствий невелики, воздействие на ИТ незначительно; «среднее» - происшествие с умеренными результатами: ликвидация последствий не связана с крупными затратами, воздействие на ИТ небольшое и не затрагивает критически важные задачи; «серьезное» - происшествие с серьезными последствиями: ликвидация последствий связана со значительными затратами, воздействие на ИТ ощутимо, влияет на выполнение критически важных задач; «критическое» - происшествие приводит к невозможности решения критически важных задач. Для оценки уровня рисков ИБ устанавливается шкала из трех значений: «низкий», «средний» и «высокий» (табл. 3.5). Другой подход определяет, что величина риска ИБ вычисляется по формуле [уровень риска ИБ] = [вероятность события] х [размер ущерба], где [вероятность события] = [вероятность реализации угрозы ИБ] х х [простота использования уязвимости] [40]. На практике для вычисления уровня риска ИБ используется не математическая вероятность угрозы ИБ, а ожидаемое количество попыток или частота реализации угрозы ИБ за определенный период времени (в международных стандартах для этого используется термин «йкей- коой», который является общим описанием вероятности (англ. ргоЪаЪП- Иу) и частоты (англ. /гедиепсу) и на русский язык переводится как «вероятность») [38]. Дополнительно могут быть рассмотрены прибыль от затрат, потребности заинтересованных сторон и другие переменные, применимые для количественной оценки рисков ИБ. Оцененный риск является комбинацией вероятности реализации сценария инцидента ИБ и его последствий. Для определения уровня риска ИБ используются оценочные количественные значения, полученные путем экспертных оценок, прогнозирования и на основании статистических данных. Размер ущерба выражается, как правило, в денежном эквиваленте. Простота использования уязвимости как вероятность ее использования принимает значения от 0 до 1. Оценка вероятности реализации (или возможность) угрозы является целым положительным числом, определяющим ожидаемое количество попыток реализации угрозы ИБ за определенный период времени, обычно принимаемый за один год. В этом случае уровень риска соответствует прогнозируемым среднегодовым потерям организации в результате инцидентов ИБ ЛЬЕ (англ. Аппиа1 Ьо$$ Ехрес1апсу). Эту величину удобно использовать для соотнесения расходов на обеспечение и управление ИБ с уровнем рисков ИБ и для оценки возврата инвестиций, достигаемого за счет уменьшения уровня рисков ИБ и соответствующему сокращению среднегодовых потерь организации. Тогда [уровень риска ИБ] = ЛЬЕ. На практике оценивание рисков ИБ проводится с определенной степенью детализации. Все составляющие могут быть разложены на более мелкие элементы и, наоборот, факторы риска могут быть сгруппированы для получения более общих оценок. В этом случае [уровень группы рисков ИБ] = [ожидаемое количество попыток реализации группы угроз ИБ в течение года] х [суммарная простота использования группы уязвимостей] х [размер суммарного ущерба]. Точно предсказать вероятность реализации угрозы ИБ, величину использования уязвимостей и размер ущерба обычно не представляется возможным, поэтому часто используют числовые оценки в некотором диапазоне величин. Каждому количественному диапазону можно сопоставить определенный качественный уровень риска ИБ. В результате получается качественная шкала оценки рисков ИБ, которой сопоставляются некоторые количественные оценки. Важно отметить, что не существует «правильных» или «неправильных» способов вычисления рисков ИБ, при условии, что понятия, описанные в предыдущих пунктах, объединяются некоторым осмысленным образом, и только сама организация может принять решение о том, какой метод количественной оценки рисков ИБ подходит к ее бизнес- требованиям и требованиям по ОИБ. Выходные данные процесса количественной оценки рисков ИБ - список рисков ИБ с приписанными им уровнями. Оцененные уровни рисков ИБ позволяют ранжировать риски и идентифицировать те из них, которые являются наиболее критичными (проблематичными) для организации. Этап 2 - оценивание рисков ИБ Согласно ГОСТ Р ИСО/МЭК 27005-2010 и 180/1ЕС 27005:2011 [3, 4] входными данными для оценивания рисков являются список оцененных рисков ИБ с приписанными им уровнями и критериями (шкалой) оценивания рисков ИБ. В процессе данной деятельности величина рисков ИБ должна сравниваться с критериями оценивания и принятия рисков. Оценивание риска ИБ проводится путем его сопоставления с заданной шкалой [6]. При создании контекста управления рисками ИБ определяется характер решений, связанных с оценкой рисков и критериями оценки рисков ИБ, которые используются для принятия таких решений. На данном этапе эти решения и контекст детально анализируется и пересматривается, поскольку уже имеется больше информации о конкретных идентифицированных рисках ИБ. Для оценивания рисков ИБ организация с помощью выбранных методов и подходов сравнивает оцененные ранее риски ИБ с критериями оценивания рисков, определенными при установлении контекста управления рисками. Критерии оценивания рисков ИБ, используемых для принятия решений, должны быть совместимы с определенным внешним и внутренним контекстом управления рисками ИБ и учитывать цели организации и мнения причастных сторон и т. д. Принимаемые во время оценивания рисков ИБ решения в основном базируются на уровне приемлемого риска ИБ. Однако следует также рассматривать последствия, вероятность и степень уверенности в идентификации и анализе рисков ИБ. Агрегирование нескольких низких или средних рисков ИБ может привести к гораздо более высоким общим рискам и должно рассматриваться соответствующим образом. При этом учитываются следующие важные моменты: свойства ИБ: если один критерий не подходит для данной организации (например, потеря конфиденциальности), тогда все связанные с ним риски могут не рассматриваться; значимость бизнес-процессов или деятельности, обеспечиваемой конкретным активом или группой активов: если процесс определен как маловажный (имеющий низкую значимость), связанные с ним риски ИБ учитываются в меньшей степени, чем те, которые влияют на более значимые процессы и действия. Для принятия решений о будущих действиях оценивание рисков ИБ использует понимание риска, полученное во время анализа рисков ИБ. Такие решения включают следующее два элемента: необходимость в конкретном действии и значимость (приоритеты) для обработки рисков ИБ, основанные на оцененном уровне рисков. Во время оценивания рисков ИБ также должны учитываться контрактные и законодательные требования и требования регулирующих органов. Выходными данными является список рисков ИБ с приоритетами, расставленными в соответствии с критериями оценивания рисков по отношению к сценариям инцидентов ИБ, приводящим к данным рискам. В результате данного этапа для всех активов, находящихся в области деятельности рассматриваемой СУИБ, должен быть составлен ранжированный список оцененных рисков ИБ для каждого из возможных воздействий на этот актив. Подходы к оценке рисков ИБ Как отмечалось ранее, для оценки рисков ИБ организация может самостоятельно выбирать различные общие, используемые во всей организации, подходы. Важно, чтобы эти подходы соответствовали всем требованиям организации. Какой именно подход использовать, зависит от нескольких факторов, в том числе: от их бизнес-среды и вида бизнеса организации; зависимости от обработки информации и приложений, поддерживающих бизнес; сложности ИС и поддерживающих систем, приложений и сервисов; количества компаний-партнеров и объема внешних деловых и договорных отношений. Эти факторы являются, как правило, общими для всех направлений деятельности организации, поэтому их необходимо учитывать наряду с преимуществами и недостатками самих подходов. Принимает решение о выборе подхода сама организация. На практике рекомендуется придерживаться следующего правила: чем более важной и необходимой является ИБ для организации и ее бизнеса, и чем больше могут быть потери, тем больше времени и средств необходимо потратить на ОИБ. Различные подходы к оценке рисков ИБ отличаются требуемым количеством времени и объемом работы, а также глубиной детализации и анализа. Несмотря на то, что организация сама может выбирать подход (подходы) к оценке рисков ИБ, необходимо гарантировать достаточную меру адекватности и подробности применяемого подхода для обеспечения выполнения бизнес-требований и требований по ОИБ организации. Для различных этапов оценки рисков ИБ применимы различные средства оценки, представленные в табл. 3.6 [35]. В ячейках таблицы используются следующие сокращения: П - средство применимо, ХП - хорошо применимо, НП - не применимо. Известно два основных подхода к классификации стратегий оценки и анализа рисков ИБ. В стандартах 180/1ЕС ТК 13335-3:1998 и ГОСТ Р ИСО/МЭК 133353-2007 рассматриваются четыре вида анализа рисков ИБ [7, 10]: Download 0.83 Mb. Do'stlaringiz bilan baham: 
|