10 марта 2016г.
Средство, с помощью которого можно определить цели управления информационной безопасностью организации (ИБ), оценить основные критические факторы, негативно влияющие на ключевые бизнес-процессы организации, и выработать эффективные и обоснованные решения для их контроля, представляет собой алгоритм анализа рисков.
Этапы оценки рисков для информационной системы (ИС) можно представить в виде следующей блок- схемы:
Сбор информации заключается в определении области
применения ИС. На данном этапе, определяются ресурсы и информация, которые
в совокупности составляют систему.
Проводя характеристику ИС, устанавливается область применения оценки рисков, предоставляется информация , которая
необходима для определения рисков.
Информация классифицируется следующим образом:
· Тип ИС и процессы в ней;
· Аппаратное и программное обеспечение (далее
АО и ПО соответственно);
· Вид данных и информации, имеющиеся
в системе;
· Специализация персонала, сопровождающего и использующего ИС;
· Степень критичности системы/данных и уязвимости системы
и данных. Кроме того используется информация, которая включает в себя:
· Нормативно-правовую и организационно-распорядительную документацию, регулирующую ИС;
· Текущую топологию сети;
· Средства защиты информации;
· Элементы управления, использующиеся в ИС (политики
и события ИБ);
· Физическую безопасность ИС.
Необходимую информацию о системе, которая
находится на стадии
проектирования можно извлечь из проектной документации и плана обеспечения безопасности, для функционирующей ИС информация собирается в ходе ее опытной
эксплуатации. Таким образом, описание системы
может основываться на базовой инфраструктуре или плане будущих
мероприятий по защите ИС.
Для сбора информации, относящейся к ИС, необходимо использовать следующие методы:
· Изучение нормативно — правовой
и организационно-распорядительной
документации, системной документации, документации о состоянии защиты информации в системе, проектной
документации и технического задания
могут предоставить информацию о применяемых или планируемых мероприятий безопасности
ИС.
· Опрос на рабочем месте. Опрос персонала технической поддержки и сопровождения может помочь специалистам собрать информацию о том, как система
функционирует или управляется.
· Анкетирование. Специалисты, занимающиеся оценкой риска, разрабатывают анкету, которая должна быть подходящей как для технического персонала, так и не технического.
Сбор информации может
проводиться в течении
всего времени оценки риска.
Угроза — это вероятность успешного осуществления определенной уязвимости для определенного источника угрозы. Недостаток, дефект или человеческий фактор, который может случайно
сработать самостоятельно или быть использован преднамеренно представляет собой уязвимость. Источник угрозы представляет собой
какое-либо обстоятельство или событие с возможностью причинить
вред ИС.
При оценке
угроз, важно рассмотреть как можно
больше потенциальных источников, которые
могут нанести вред. Мотивация, а также ресурсы, имеющиеся для
осуществления атаки, делают людей наиболее опасными источниками угрозы.
Следующий этап алгоритма - определение уязвимостей, так как анализ рисков
должен включать в себя анализ уязвимостей, связанных с рабочими
условиями системы. Цель этого этапа создать
список уязвимостей, которые могут быть реализованы в инцидентах ИБ, провести анализ источников уязвимостей, протестировать систему безопасности и осуществить проверку выполнения требований безопасности.
Технические и не технические уязвимости, связанные с рабочими условиями ИС, могут быть определены с помощью методов сбора информации. Анализ различных
источников уязвимостей будет полезен в подготовке тестов и разработке эффективных анкет выявления
уязвимостей, которые
могут быть применены для определенной ИС системы. Методы,
использующиеся для тестирования системы в зависимости от критичности ИС и имеющихся
ресурсов включают в себя:
1.Автоматизированный инструмент сканирования и поиска уязвимостей. 2.Тест и оценка безопасности.
3.Тест на проникновение.
Автоматизированный инструмент сканирования и поиска уязвимостей используется для сканирования группы средств вычислительной техники или сети на наличие известных уязвимых служб. Надо отметить, что некоторые найденные
потенциальные уязвимости, могут не представлять собой реальную
опасность в рабочих условиях.
Тест и оценка
безопасности включает в себя разработку и выполнение плана тестирования, который позволяет проверить
эффективность применяемых методов
защиты информационной системы.
Как дополнение к применяемым мерам обеспечения безопасности различных сторон ИС используется тестирование на проникновение. Данный
тест при оценке рисков
может применяться для оценки способности ИС противостоять преднамеренным попыткам несанкционированного доступа.
Во время проверки выполнения требований безопасности специалисты определяют, удовлетворяют или нет требованиям безопасности существующие или планируемые элементы управления
безопасностью
ИС.
Требования безопасности системы
представляется в виде таблицы, с пояснением
того, удовлетворяет ли проект или работающая система
политике безопасности.
Следующим важным этапом в процессе оценки рисков является
определение величины ущерба в случае успешной реализации угрозы.
Оценка величины ущерба определяет и устанавливает приоритеты наиболее уязвимым
информационным активам организации (например, АО и ПО, информационные системы, сервисы), которые
решают критически важные задачи
организации. Независимо от
метода, используемого для определения уязвимости
ИС и ее данных,
необходимо провести опрос сотрудников для более точного определения ущерба.
Цель следующего этапа заключается в оценке рисков
ИС.
1) Сначала рассчитывается уровень угрозы по уязвимости
Th на основе критичности и вероятности реализации
угрозы через данную уязвимость. Уровень угрозы показывает, насколько критичным
является воздействие данной угрозы на ресурс
с учетом вероятности ее реализации.
Задается в уровнях; D – уровень критичности ресурса, то есть степень значимости ресурса для информационной системы. 𝑅- суммарный риск по всем угрозам.
Рекомендации по применению мер по снижению рисков — это результаты процесса оценки рисков, которые обеспечивают вклад в процесс снижения
рисков. Следует
отметить, что не все рекомендуемые меры могут быть реализованы для снижения
ущерба бизнес-процессов организации. Для определения, какие из них являются обязательными для конкретной организации, должен проводиться анализ затрат и доходов,
чтобы продемонстрировать, что затраты
на их внедрение могут быть оправданы снижением
уровня рисков.
После завершения
процесса оценки рисков результаты должны быть задокументированы в официальном отчете. Отчет об оценке
рисков является организационным документом, который
помогает высшему руководству принимать решения по вопросам
политики, бюджета
и управления организацией. Отчет об оценке рисков должен быть представлен в виде систематического и аналитического подхода, чтобы высшее руководство понимало риски и смогло
распределить ресурсы для снижения или ухода от потенциальных убытков.
Список литературы
1.
Gary Stonebumer, Alice Goduen, Alexis Feringa.
NIST Special Publication 800-30 «Risk Management Guide for Information Technology Systems», Recommendations of the National
Institute of Standards
and technology, 2002.– 56 с.
2.
Методика оценки риска ГРИФ 2006 из состава
Digital Security Office [Электронный ресурс].- Режим доступа: http://dsec.ru/ipm-research- center/article/risk_assessment_method_vulture_2006_from_the_composition_of_the_digital_security_office/, свободный (дата обращения: 15.02.2015).
