Формализация процесса оценки рисков информационной безопасности на основе методики octave
Анализ методик оценки рисков информационной безопасности (CRAMM, FRAP, RiskWatch, OCTAVE и др.) позволяющих спрогнозировать возможный ущерб. Описание принципа работы методики OCTAVE - "оперативной оценки критических угроз, активов и уязвимостей".
| Рубрика | Программирование, компьютеры и кибернетика |
| Вид | статья |
| Язык | русский |
| Дата добавления | 27.05.2018 |
| Размер файла | 22,4 K |
Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже
Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.
Размещено на http://www.allbest.ru/
УДК 004.056
Формализация процесса оценки рисков информационной безопасности на основе методики octave
К.Е. Шинаков,
О.М. Голембиовская
Рассмотрен процесс оценки рисков информационной безопасности на основе методики OCTAVE.
Ключевые слова: риски информационной безопасности, методика OCTAVE, ценность информационных ресурсов.
На сегодняшний день вопрос оценки рисков информационной безопасности является актуальным для многих предприятий. Связано это в первую очередь с модернизированной нормативно-правовой базой, позволяющей четко определять наказания и штрафы для операторов систем защиты конфиденциальной информации, не обеспечивающих принципы конфиденциальности, целостности и доступности последней.
Вместе с этим сформулированные понятия уровня исходной защищенности и вероятности реализации угрозы не позволяют оператору получить полное представление о защищенности ценных ресурсов и спрогнозировать возможный ущерб при их разглашении, удалении или изменении. Существующие методики оценки рисков информационной безопасности (CRAMM, FRAP, RiskWatch, OCTAVE и др.) позволяют спрогнозировать возможный ущерб. Наиболее интересной и многосторонней является методика OCTAVE (Operationally Critical Threat, Asset and Vulnerability Evaluation, в переводе с англ. - «оперативная оценка критических угроз, активов и уязвимостей»).
В основе ее работы лежит дерево, имеющее вершины «Ресурс», «Уязвимость», «Угроза», «Ущерб», «Риск». В данной статье предпринята попытка проецирования данной методики на процесс оценки рисков предприятий разного профиля на территории Российской Федерации. Алгоритм оценки рисков информационной безопасности (ИБ) на предприятии в соответствии с методикой OCTAVE состоит из нескольких этапов (рисунок):
1. Определение ценности активов организации (Si).
2. Определение угроз и соответствующих им уязвимостей, оценка вероятности реализации угроз (Vry).
3. Определение риска информационной безопасности (R).
4. Формирование планов по снижению риска ИБ [1].
Для определения ценности активов организации целесообразно разделить их на материальные (Am) и нематериальные (Anm) (табл. 1).
Таблица 1. Определение активов организации
|
№ п/п |
Материальные активы (Am) |
№ п/п |
Нематериальные активы (Anm) |
|
|
1.1 |
Производственное оборудование |
2.1 |
Персональные данные (личные дела сотрудников, медицинские карты) |
|
|
1.2 |
Электронно-вычислительные машины |
2.2 |
Коммерческая тайна (бизнес-план, секрет производства) |
На первом этапе для обозначенных активов необходимо определить их возможную стоимость или тот денежный ущерб, который может быть нанесен вследствие разглашения, удаления или изменения данного актива.
Для удобства оценки рисков информационной безопасности используем балльную систему. Для оценки стоимости активов введем соответствующие баллы (табл. 2).
Таблица 2. Определение ценности активов организации
|
№ актива |
Основание для оценки актива |
Стоимость актива (Si) |
№ актива |
Основание для оценки актива |
Стоимость актива (Si) |
|
|
1.1 |
Производственное оборудование |
10 баллов (? 1 000 000 руб.) |
2.1 |
Персональные данные |
6 баллов (500 000 т.руб.) |
|
|
1.2 |
Электронно-вычислительные машины |
2 балла (> 10 000 т.руб.) |
2.2 |
Коммерческая тайна |
6 баллов (120 000 т.руб.) |
|
|
1.3 |
Комплектующие изделия |
6 баллов (> 100 000 т.руб.) |
2.3 |
Иная конфиденциальная информация |
2 балла (50 000 т.руб.) |
Вторым этапом оценки рисков ИБ является определение угроз и соответствующих им уязвимостей (табл. 3) [2].
Таблица 3. Перечень угроз и соответствующих им уязвимостей
|
№ п/п |
Угрозы |
Уязвимости |
|
|
1 |
Утечка видовой информации |
Отсутствие жалюзи на окнах |
|
|
Расположение ПК мониторами к окнам |
|||
|
2 |
Утечка акустической информации |
Отсутствие шумогенератора |
|
|
3 |
Кража носителей информации |
Хранение носителей информации за пределами сейфа |
|
|
Отсутствие системы контроля доступа |
|||
|
Отсутствие системы видеонаблюдения |
|||
|
Отсутствие системы сигнализации |
|||
|
4 |
Утечка информации по каналам ПЭМИН |
Отсутствие экранирования кабельных коммуникаций |
|
|
5 |
Преднамеренное уничтожение информации |
Отсутствие утвержденного «Положения о разграничении доступа» |
|
|
Отсутствие программной системы разграничения доступа типа Secret Net |
|||
|
Отсутствие системы контроля доступа, КПП |
|||
|
Отсутствие утвержденного «Положения о защите конфиденциальной информации, обрабатываемой в организации» |
|||
|
6 |
Непреднамеренное уничтожение информации |
Отсутствие системы резервного копирования |
|
|
7 |
Действия вредоносных программ |
Не установлено сертифицированное антивирусное ПО |
|
|
8 |
Удаленный запуск приложений |
Отсутствие средств межсетевого экранирования |
|
|
9 |
Стихийное бедствие |
Отсутствие противопожарной системы |
|
|
Отсутствие источников бесперебойного питания |
Также на данном этапе целесообразно определить вероятность реализации угроз - Vry (табл. 4).
Таблица 4. Фрагмент опросной таблицы «Оценка вероятности реализации угроз»
|
№ п/п |
Угроза |
Средство нейтрализации угрозы |
Имеется ли на объекте данное средство защиты? |
||
|
Да |
Нет |
||||
|
1 |
Утечка видовой информации |
Жалюзи на окнах |
+ |
||
|
2 |
Утечка акустической информации |
Шумогенератор |
+ |
||
|
3 |
Кража носителей информации |
Сейфы для хранения носителей информации |
+ |
||
|
Система контроля доступа |
+ |
||||
|
Система видеонаблюдения |
+ |
||||
|
Сигнализация |
+ |
||||
|
4 |
Утечка информации по каналам ПЭМИН |
Экранирование кабельных коммуникаций |
+ |
||
|
5 |
Преднамеренное уничтожение информации |
Система видеонаблюдения |
+ |
||
|
Сигнализация |
+ |
||||
|
Решетки на окнах |
+ |
||||
|
КПП |
+ |
||||
|
6 |
Непреднамеренное уничтожение информации |
Учет доступа сотрудников к конфиденциальной информации |
+ |
||
|
7 |
Действия вредоносных программ |
Антивирусное сертифицированное ПО на ПК сотрудников |
+ |
||
|
8 |
Удаленный запуск приложений |
Средства межсетевого экранирования |
+ |
||
|
9 |
Стихийное бедствие |
Противопожарная система |
+ |
В случае наличия на объекте всех средств защиты Vry=0, при наличии 50 % средств защиты Vry=5, в случае отсутствия более 80 % средств защиты Vry=10.
В приведенном фрагменте опросной таблицы (табл. 4) на объекте отсутствует 57% средств защиты, следовательно, Vry=5.
Для определения риска информационной безопасности воспользуемся формулой
R= SiVry ,
где Si - ценность актива; Vry - вероятность реализации угрозы; R- риск ИБ. риск информационный безопасность octave
Определив значение риска, мы можем сформировать план по его снижению (табл. 5).
Таблица 5. Определение значений риска ИБ
|
Vry |
Si |
R |
Величина риска |
План по снижению риска |
|
|
1 |
2 |
2 |
Низкая |
Долговременный |
|
|
6 |
6 |
Средняя |
|||
|
10 |
10 |
Высокая |
|||
|
5 |
2 |
10 |
Низкая |
На среднюю перспективу |
|
|
6 |
30 |
Средняя |
|||
|
10 |
50 |
Высокая |
|||
|
10 |
2 |
20 |
Низкая |
Списки задач на ближайшее время |
|
|
6 |
60 |
Средняя |
|||
|
10 |
100 |
Высокая |
На основании данных табл. 5 можно сделать вывод о том, что план по снижению риска индивидуален для каждой вероятности реализации угроз.
Можно проиллюстрировать процесс оценки риска ИБ по методике OCTAVE на примере условной организации - ООО «Олимп» (табл. 6).
Таблица 6. Процесс оценки риска ИБ
|
План развития предприятия |
Ценность актива |
Вероятность реализации угрозы |
Риск ИБ |
План по снижению риска |
Меры по снижению риска |
|
|
Коммерческая тайна |
S1= 6 |
Vry= 5 |
R=30 |
На среднюю перспективу |
Использование шумогенератора при проведении совещаний |
|
|
Обеспечение контроля доступа |
||||||
|
Экранирование кабельных коммуникаций |
||||||
|
Установка решеток на окнах |
||||||
|
Организация системы контроля доступа, КПП |
||||||
|
Обеспечение учета доступа сотрудников к конфиденциальной информации |
Таким образом, с помощью использования основ методики OCTAVE можно однозначно определить как риск информационной безопасности, так и меры, необходимые для его снижения.
Список литературы
1. Голембиовская, О.М. Оценка рисков безопасности информационных систем персональных данных/О.М.Голембиовская, В.И.Аверченков, М.Ю.Рытов//Информация и безопасность. - Воронеж, 2012. - №3. - С. 321 - 328.
2. Формализация подходов к обеспечению защиты персональных данных, обрабатываемых в информационных системах: монография/ О.М.Голембиовская, М.Ю.Рытов, К.Е.Шинаков. - Брянск: БГТУ, 2014. - 189 с.
Размещено на Allbest.ru
...Подобные документы
Методы оценивания информационных рисков, их характеристика и отличительные особенности, оценка преимуществ и недостатков. Разработка методики оценки рисков на примере методики Microsoft, модели оценки рисков по безопасности корпоративной информации.
дипломная работа [207,4 K], добавлен 02.08.2012Місце процесів оцінки в загальному циклі керування ризиками. Архітектура інтегрованих інформаційних систем. Зміст вхідних і вихідних інформаційних об'єктів. Моделювання в ARIS 5.0. Побудова моделей процесу вироблення стратегії захисту інформації OCTAVE.
магистерская работа [595,8 K], добавлен 05.06.2011Сущность и способы оценки информационной безопасности. Цели ее проведения. Методы анализа информационно-технологических рисков. Показатели и алгоритм расчета рисков по угрозе ИБ. Расчет информационных рисков на примере сервера Web торговой компании.
курсовая работа [190,1 K], добавлен 25.11.2013Основные понятия, методы и технологии управления рисками информационной безопасности. Идентификация риска, активов, угроз, уязвимостей, существующих контролей, последствий. Оценка и снижение риска. Примеры типичных угроз информационной безопасности.
презентация [223,8 K], добавлен 11.04.2018Анализ рисков информационной безопасности. Идентификация уязвимостей активов. Оценка существующих и планируемых средств защиты. Комплекс проектируемых нормативно-правовых и организационно-административных средств обеспечения информационной безопасности.
дипломная работа [1,1 M], добавлен 03.04.2013Модель обеспечения информационной безопасности в сфере обороны РФ. Оценка состояния систем защиты информации в правоохранительной и судебной сферах, рекомендации по их обеспечению. Анализ угроз информационной безопасности России и рисков от их реализации.
курсовая работа [57,4 K], добавлен 13.11.2009Сущность информации, ее классификация. Основные проблемы обеспечения и угрозы информационной безопасности предприятия. Анализ рисков и принципы информационной безопасности предприятия. Разработка комплекса мер по обеспечению информационной безопасности.
курсовая работа [28,2 K], добавлен 17.05.2016Анализ рисков информационной безопасности. Оценка существующих и планируемых средств защиты. Комплекс организационных мер обеспечения информационной безопасности и защиты информации предприятия. Контрольный пример реализации проекта и его описание.
дипломная работа [4,5 M], добавлен 19.12.2012Разработка самообучающейся интеллектуальной информационной системы для анализа кредитоспособности заемщика и оценки кредитных рисков на основе подхода иммунокомпьютинга. Применение процедур кластеризации, классификации и формирования оценок рисков.
курсовая работа [822,3 K], добавлен 09.06.2012Сущность и основное предназначение Доктрины информационной безопасности Российской Федерации (РФ). Виды и источники угроз информационной безопасности РФ. Основные положения государственной политики обеспечения информационной безопасности России.
статья [15,9 K], добавлен 24.09.2010Обеспечение информационной безопасности в современной России. Анализ методов защиты информации от случайного или преднамеренного вмешательства, наносящего ущерб ее владельцам или пользователям. Изучение правового обеспечения информационной безопасности.
контрольная работа [27,8 K], добавлен 26.02.2016Стратегия информационной безопасности предприятия в виде системы эффективных политик, которые определяли бы эффективный и достаточный набор требований безопасности. Выявление угроз информационной безопасности. Внутренний контроль и управление рисками.
курсовая работа [351,0 K], добавлен 14.06.2015Сущность информации, ее классификации и виды. Анализ информационной безопасности в эпоху постиндустриального общества. Исследование проблем и угроз обеспечения информационной безопасности современного предприятия. Задачи обеспечения защиты от вирусов.
курсовая работа [269,0 K], добавлен 24.04.2015Анализ инфраструктуры ООО магазин "Стиль". Создание системы информационной безопасности отдела бухгалтерии предприятия на основе ее предпроектного обследования. Разработка концепции, политики информационной безопасности и выбор решений по ее обеспечению.
курсовая работа [2,2 M], добавлен 17.09.2010Критерии оценки информационной безопасности, их роль при выборе аппаратно-программной конфигурации. Регистрация субъектов безопасности. Создание представления субъекта об объекте. Реализация требований стандарта по критерию "Политика безопасности".
курсовая работа [2,4 M], добавлен 24.09.2010Критерии определения безопасности компьютерных систем и механизмы их реализации. Содержание международного стандарта управления информационной безопасностью ISO 17799. Критерии оценки защищенности информационных систем и практика прохождения аудита.
реферат [336,8 K], добавлен 03.11.2010Понятие информационной безопасности, понятие и классификация, виды угроз. Характеристика средств и методов защиты информации от случайных угроз, от угроз несанкционированного вмешательства. Криптографические методы защиты информации и межсетевые экраны.
курсовая работа [2,4 M], добавлен 30.10.2009Внешние угрозы информационной безопасности, формы их проявления. Методы и средства защиты от промышленного шпионажа, его цели: получение информации о конкуренте, уничтожение информации. Способы несанкционированного доступа к конфиденциальной информации.
контрольная работа [30,5 K], добавлен 18.09.2016Анализ методических подходов к оценке эффективного обеспечения безопасности объектов информационной инфраструктуры государства (ИИГ). Описание системы мероприятий по нейтрализации (минимизации) угроз объектам ИИГ и величины их возможного ущерба.
статья [19,8 K], добавлен 17.08.2017Основные понятия в сфере информационной безопасности. Характер действий, нарушающих конфиденциальность, достоверность, целостность и доступность информации. Способы осуществления угроз: разглашения, утечки информации и несанкционированного доступа к ней.
презентация [396,6 K], добавлен 25.07.2013
