«Методы оценки рисков информационной безопасности»


Download 46.99 Kb.
bet1/3
Sana12.11.2023
Hajmi46.99 Kb.
#1767947
TuriПрактическая работа
  1   2   3

Практическая работа №1

Тема: «Методы оценки рисков информационной безопасности»




Цель работы: Анализ методов оценки риска информационной безопасности.



  1. Теоретическая часть



Р иск ИБ – потенциальная возможность использования определенной угрозой уязвимостей актива или группы активов для причинения вреда организации.
Уязвимость - слабость в системе защиты, делающая возможной реализацию угрозы.
Угроза ИБ - совокупность условий и факторов, которые могут стать причиной нарушений целостности, доступности, конфиденциальности информации.
Информационный актив – это материальный или нематериальный объект, который:
- является информацией или содержит информацию,
- служит для обработки, хранения или передачи информации,
- имеет ценность для организации.
Оценка рисков сама по себе - это достаточно сложная аналитическая работа. Проводя анализ, исследование и оценку рисков информационной безопасности, необходимо использовать какую-нибудь определенную методику. Одним из наиболее важных соображений при выборе методики оценки риска является то, что полученные результаты должны быть эффективны при реализации системы обеспечения информационной безопасности. Использование сложной методики, требующей точных исходных данных и имеющей на выходе неоднозначные результаты, вряд ли, поможет эффективно обеспечить информационную безопасность в организации.
На данный момент, это направления является достаточно проработанным и известно множество методов оценки информационных рисков. Эти методы оценивания рисков рекомендованы международными стандартами информационной безопасности. Существенно, что в этих рекомендуемых методах количественные показатели существующих или предлагаемых физических ресурсов компании оцениваются с точки зрения стоимости их замены или восстановления работоспособности ресурса. А существующие или предполагаемые программные ресурсы оцениваются так же, как и физические, т. е. с помощью определения затрат на их приобретение или восстановление.
Наибольшее распространение среди методик оценки рисков получила методика «матрицы рисков». Это достаточно простая методика анализа рисков. В процессе оценки экспертами определяются вероятность возникновения каждого риска и размер связанных с ним потерь (стоимость риска). Причем, оценивание производится по шкале с тремя градациями: «высокая», «средняя», «низкая». На базе оценок для отдельных рисков выставляется оценка системе в целом (в виде клетки в такой же матрице), а сами риски ранжируются. Данная методика позволяет быстро и корректно произвести оценку. Но, к сожалению, дать интерпретацию полученных результатов не всегда возможно.
Кроме того, в данной области разработан механизм получения оценок рисков на основе нечеткой логики. Механизм оценивания рисков на основе нечеткой логики, по существу, является экспертной системой, в которой базу знаний составляют правила, отражающие логику взаимосвязи входных величин и риска. В простейшем случае это «табличная» логика, в общем случае более сложная логика, отражающая реальные взаимосвязи, которые могут быть формализованы с помощью продукционных правил вида «Если ..., то».
Можно выделить следующие подходы разработчиков программных средств анализа рисков к решению поставленной задачи:

  • получение оценок рисков только на качественном уровне;

  • вывод количественных оценок рисков на базе качественных, полученных от экспертов;

  • получение точных количественных оценок для каждого из рисков;

  • получение оценок механизмом нечеткой логики.

Ценность инструментального средства анализа рисков определяется в первую очередь той методикой, которая положена в его основу. В настоящее время определенную известность получили такие программные продукты, как RiskWatch (США), СRАММ (Великобритания), СОВRА (Великобритания), ГРИФ (Россия), КОНДОР (Россия) и ряд других. Эти программные продукты базируются на различных подходах к анализу рисков и решению различных аудиторских задач. Рассмотренные методики позволяют оценить или переоценить уровень текущего состояния информационной безопасности, снизить потенциальные потери, разработать концепцию и политику безопасности. Важно заметить, что на сегодняшний день существуют многообразные и сложные по своей структуре организации, для которых невозможно подобрать конкретную методику оценки рисков. Поэтому для получения точных удовлетворительных результатов оценки необходимо использовать комплексный подход к оценкам рисков на основе уже существующих методик.
Таким образом, методику проведения анализа рисков предприятия и инструментальные средства, поддерживающие ее, следует выбирать, учитывая следующие факторы: наличие экспертов в области оценки риска, статистики по инцидентам нарушения информационной безопасности, точной количественной оценки или достаточно оценки на качественном уровне.
Проанализировав существующие методики, можно составить таблицу, в которой указать достоинства и недостатки данных методик. Таблица 1.
Таблица 1.

Название методики

Достоинства

Недостатки

CRAMМ

Структурированный и широко опробованный метода анализа рисков;
Используется на всех стадиях проведения аудита безопасности;
В основе программного продукта лежит объёмная база данных;
Гибкий и универсальный метод;
Можно использовать для аудита информационной системы любого уровня сложности и назначения;
Позволяет разрабатывать план непрерывности бизнеса;



Требуется высококвалифицированный аудитор;
Процесс достаточно трудоемкий и может потребовать месяцы работы;
Генерирует большое количество бумажной документации;
Невозможно внести дополнение в базу знании;
Возникают трудности при адаптации метода к потребностям организации;
Существует только на английском языке;
Стоимость лицензии от 2000 до 5000 долларов.


Download 46.99 Kb.

Do'stlaringiz bilan baham:
  1   2   3



Ma'lumotlar bazasi mualliflik huquqi bilan himoyalangan ©fayllar.org 2024
ma'muriyatiga murojaat qiling