Оценка риска информационной безопасности

Размещено на http://www.allbest.ru/

Министерство образования и науки Кыргызской Республики

Кыргызский государственный технический университет им. И. Раззакова

Факультет информационных технологий

Кафедра «Программное обеспечение компьютерных систем»

Направление: 590100«Информационная безопасность»

ОТЧЕТ

По «Учебной практике»

Тема: Оценка риска информационной безопасности

Выполнила: студент группы ИБ(б)-1-19

Токторбаева Айжамал

Бишкек 2021

Введение

На сегодняшний день перед каждым предприятием, обеспокоенного вопросами безопасности своих информационных ресурсов, встает вопрос об организации системы защиты информации, которая бы позволила в полной мере обеспечить безопасность функционирования телекоммуникационного оборудования и циркулирующей информации в информационной системе предприятия. Эффективность защиты информации зависит от подхода к ее организации и правильного выбора методов расчета рисков информационной безопасности. Существует множество методик оценки и обработки рисков, которые применимы к любой информационной системе, вне зависимости от уровня конфиденциальности обрабатываемой в ней информации, однако, как правило, для грамотного построения системы защиты информации с использованием таких методик требуется большой объем информации о реализованных атаках, а также о попытках их реализации, подлежащий программному анализу с целью выявления наиболее актуальных угроз информационной безопасности (далее - ИБ), то есть необходима своеобразная отправная точка, с которой и следует начинать создание системы защиты, об этом говорят стандарты BS 7799-3 и NIST 800-30, что не всегда возможно реализовать практически, ввиду ограниченности временных и финансовых ресурсов - это особенно актуально для телекоммуникационных организаций, так как объемы данных в таких предприятиях огромны, а анализ каждого пакета слишком дорогостоящая и трудоемкая процедура.

В данной работе предлагается метод расчета рисков для системы, которую можно охарактеризовать большими объемами данных, и неопределенным числом пользователей. Необходимо отметить, что существует ряд методик оценки рисков информационной безопасности, позволяющих однозначно и с высокой степенью обоснованности выделить актуальные риски, международные и национальные стандарты предлагают достаточно исчерпывающий выбор методов по данному вопросу, однако их применение возможно только в условиях небольшого объема данных, и малого числа пользователей, а сами методики весьма обобщенные.

Примерами конкретизированных методик, применение которых возможно на практике, являются работы [4-6], однако их использование целесообразно при наличии ограниченного числа конечных точек. Отличительной чертой любого телекоммуникационного предприятия является чувствительность к безопасности и надежной работе всего аппаратно-программного комплекса для обеспечения непрерывности функционирования ключевых бизнес-процессов организации, что просто обязывает руководителей организации создать и поддерживать эффективную систему информационной безопасности. [7]

В рамках данной работы предложен качественный метод оценки рисков ИБ, основанный на разбиении информационной системы телекоммуникационного предприятия на типовые сегменты (включающие не более трех контролируемых зон), обладающие одинаковыми характеристиками с точки зрения информационной безопасности. А сама методика расчета рисков основывается на совокупности способов и методов определения и оценки рисков, предложенных рядом международных стандартов в сфере информационной безопасности, применение которых возможно к рассматриваемой информационной системе.

Цель работы: Анализ и оценка рисков информационной безопасности телекоммуникационного предприятия

риск информационный безопасность актив

1. Общее описание оценки риска информационной безопасности

Примечание - В ИСО/МЭК 27001 деятельность по оценке риска определяется как процесс.

Входные данные. Установленные основные критерии, сфера действия и границы, структура процесса менеджмента риска информационной безопасности, принятые для организации.

Действие. Риски должны быть идентифицированы, количественно или качественно охарактеризованы, для них должны быть назначены приоритеты в соответствии с критериями оценки риска и целями организации.

Руководство по реализации. Риск представляет собой комбинацию последствий, вытекающих из нежелательного события и вероятности возникновения события. Оценка риска количественно или качественно характеризует риски и дает возможность руководителям назначать для них приоритеты в соответствии с осознаваемой ими серьезностью или другими установленными критериями.

Процесс оценки риска состоит из:

· анализа риска, включающего идентификацию риска и установление значения риска

· оценки риска

В процессе оценки риска устанавливается ценность информационных активов, выявляются потенциальные угрозы и уязвимости, которые существуют или могут существовать, определяются существующие меры и средства контроля и управления и их воздействие на идентифицированные риски, определяются возможные последствия и, наконец, назначаются приоритеты установленным рискам, а также осуществляется их ранжирование по критериям оценки риска, зафиксированным при установлении контекста.

Оценка риска часто проводится за две (или более) итерации. Сначала проводится высокоуровневая оценка для идентификации потенциально высоких рисков, служащих основанием для дальнейшей оценки. Следующая итерация может включать дальнейшее углубленное рассмотрение потенциально высоких рисков. В тех случаях, когда полученная информация недостаточна для оценки риска, проводится более детальный анализ, возможно, по отдельным частям сферы действия, и, возможно, с использованием иного метода. Выбор подхода к оценке риска в зависимости от задач и целей оценки риска осуществляет руководство организации.

Обсуждение подходов к оценке риска ИБ будут рассмотрены далее.

2. Анализ риска

2.1 Идентификация риска

2.1.1 Введение в идентификацию риска

Целесообразно обработку рисков ИБ рассматривать, как итеративный процесс, это позволит повысить уровень детализации оценки рисков при каждой последующей итерации.

Рис. 1 Процесс оценки и обработки рисков

Пример итеративного процесса оценки и обработки рисков ИБ подробно описан в ГОСТ Р ИСО/МЭК 27005-2010 и показан на рис. 1, где под контекстом риска понимается установление критериев для обработки рисков ИБ, а также назначаются ответственные сотрудники или подразделение, занимающиеся вопросом менеджмента рисков ИБ.

Под идентификацией риска понимается процесс нахождения и определения рисков ИБ, под оценкой риска понимается присвоение числовых значений последствиям реализации риска, а также вероятности его реализации. Приятие риска означает, что ущерб от реализации риска является приемлемым, а вероятность его реализации мала настолько, что позволяет не проводить процедур обработки риска ИБ. Коммуникация риска позволяет осуществлять обмен сведениями об актуальных рисках между причастными сторонами. Под обработкой риска понимается процесс минимизации последствий от реализации риска и/или процесс минимизации вероятности реализации риска ИБ. [13] Пример деятельности по обработке рисков ИБ представлен на рис. 2 в соответствии с ГОСТ Р ИСО/МЭК 27005-2010.

2.1.2 Определение активов

В соответствии с ГОСТ Р ИСО/МЭК 27005-2010 «Информационная технология. Методы и средства обеспечения безопасности. Менеджмент риска информационной безопасности» ценные активы организации условно можно разделить на основные и вспомогательные. Основные активы:

1. Бизнес-процессы - совокупность различных видов деятельности, в результате которой создается продукт или услуга, представляющие интерес для потребителя.

2. Информация - сведения, являющиеся предметом собственности, подлежащие защите от нарушения конфиденциальности, целостности и доступности, в соответствии с требованиями правовых документов и требованиями владельца информации, вне зависимости от формы представления. Сведения, компрометация которых никаким образом не повлияет на деятельность организации, не рассматриваются как ценный актив.

Рис.2 Деятельность, направленная на обработку рисков ИБ

Вспомогательные активы:

1. Аппаратно-программный комплекс - совокупность технических и программных средств, предназначенных для выполнения взаимосвязанных эксплуатационных функций по обработке информации ограниченного распространения, включающая в себя активную аппаратуру обработки данных, стационарную аппаратуру, периферийные обрабатывающие устройства, операционные системы и прикладное программное обеспечение.

2. Носители данных - носитель для хранения данных, включая электронный носитель и аналоговый.

3. Сеть - совокупность телекоммуникационных устройств, используемых для соединения нескольких физически удаленных сегментов информационной системы.

4. Персонал - в широком смысле, все субъекты, имеющие легитимный доступ в пределы контролируемой зоны и являющиеся потенциальными внутренними нарушителями.

5. Место функционирования организации - пределы контролируемой зоны, в которой функционирует информационная система.

· Первоначально необходимо определить ценность активов (далее - ЦН) организации, в данном случае будет рассмотрена четырех- балльная система оценки ценности активов:

1 - реализация риска, направленного на конфиденциальность, целостность и/или доступность актива не будет иметь последствий, как для организации в целом, так и бизнес-процессов, в частности.

2 - реализация риска, направленного на конфиденциальность, целостность и/или доступность актива приведет к незначительным потерям для организации

3 - реализация риска, направленного на конфиденциальность, целостность и/или доступность актива приведет к значительным финансовым потерям и/или окажет существенное негативное влияние на престиж организации, в условиях, когда восстановление прежнего состояния системы возможно, но требует больших временных и/или финансовых ресурсов.

4 - реализация риска, направленного на конфиденциальность, целостность и/ или доступность актива может привести полной остановке бизнес-процессов, большим финансовым потерям и/или окажет значительное негативное влияние на престиж организации. Так как бизнес-процессом является совокупность различных видов деятельности, в результате которой создается продукт или услуга, то в перечне актуальных угроз и существующих уязвимостей остальных ценных активов будут содержаться угрозы и уязвимости актуальные и для бизнес-процессов. Особенностью рассматриваемой категории предприятий является то, что основной ущерб бизнес-процессам организации способны нанести угрозы доступности сетевого оборудования и программно-аппаратного комплекса, а не угрозы, направленные на нарушение конфиденциальности информационных ресурсов предприятия.

Таблица №1 Ценность активов

ID актива	Активы организации	Конфиденциальность	Целостность	Доступность	Ценность актива
A	Основные активы Информация	Информация, необходимую для реализации назначения или бизнеса организации	2	4	4	4
B		Информация личного характера, которая определена особым образом, соответствующим национальным законам о неприкосновенности частной жизни	3	1	1	3
C		Стратегическая информация, необходимая для достижения целей организации	2	2	1	2
D		Информацию, обработка которой требуют продолжительного времени и/или связаны с большими затратами на ее приобретение	3	2	2	3
E	Аппаратно-программный комплекс	-	3	4	4
F	Носители информации	-	1	2	2
G	Сеть	-	3	4	4
H	Сотрудники	-	1	1	1
I	Место функционирования информации	-	1	1	1

2.1.3 Определение угроз

В рамках данной работы будет рассмотрен выборочный ряд угроз ИБ, с ID в соответствии с банком данных угроз ФСТЭК:

Таблица №2 Угрозы

ID	Угрозы	Источник угрозы	Объект воздействия	Последствия реализации угрозы
014	Угроза длительного удержания вычислительных ресурсов пользователями	Внутренний нарушитель с низким потенциалом Внешний нарушитель с низким потенциалом	Информационная система, сетевой узел, носитель информации, системное программное обеспечение, сетевое программное обеспечение, сетевой трафик	Нарушение доступности
018	Угроза загрузки нештатной операционной системы	Внутренний нарушитель с низким потенциалом	Микропрограммное обеспечение BIOS/UEFI	Нарушение доступности, конфиденциальности, целостности
022	Угроза избыточного выделения оперативной памяти	Внутренний нарушитель с низким потенциалом Внешний нарушитель с низким потенциалом	Аппаратное обеспечение, системное программное обеспечение, сетевое программное обеспечение	Нарушение доступности
023	Угроза изменения компонентов информационной (автоматизированной) системы	Внутренний нарушитель с низким потенциалом	Информационная система, сервер, рабочая станция, виртуальная машина, системное программное обеспечение, прикладное программное обеспечение, аппаратное обеспечение	Нарушение доступности, конфиденциальности, целостности
030	Угроза использования информации идентификации/аутентификации, заданной по умолчанию	Внутренний нарушитель с низким потенциалом Внешний нарушитель со средним потенциалом	Средства защиты информации, системное программное обеспечение, сетевое программное обеспечение, микропрограммное обеспечение, программно-аппаратные средства со встроенными функциями защиты	Нарушение доступности, конфиденциальности, целостности
034	Угроза использования слабостей протоколов сетевого/локального обмена данными	Внутренний нарушитель с низким потенциалом Внешний нарушитель со средним потенциалом	Системное программное обеспечение, сетевое программное обеспечение, сетевой трафик	Нарушение доступности, конфиденциальности, целостности
036	Угроза исследования механизмов работы программы	Внутренний нарушитель со средним потенциалом Внешний нарушитель со средним потенциалом	Системное программное обеспечение, прикладное программное обеспечение, сетевое программное обеспечение, микропрограммное обеспечение	Нарушение конфиденциальности Нарушение доступности
091	Угроза несанкционированного удаления защищаемой информации	Внутренний нарушитель с низким потенциалом Внешний нарушитель с низким потенциалом	Метаданные, объекты файловой системы, реестр	Нарушение доступности
122	Угроза повышения привилегий	Внутренний нарушитель со средним потенциалом Внешний нарушитель со средним потенциалом	Системное программное обеспечение, сетевое программное обеспечение, информационная система	Нарушение конфиденциальности Нарушение целостности Нарушение доступности
139	Угроза преодоления физической защиты	Внешний нарушитель со средним потенциалом	Сервер, рабочая станция, носитель информации, аппаратное обеспечение	Нарушение конфиденциальности Нарушение целостности Нарушение доступности
140	Угроза приведения системы в состояние «отказ в обслуживании»	Внутренний нарушитель с низким потенциалом Внешний нарушитель с низким потенциалом	Информационная система, сетевой узел, носитель информации, системное программное обеспечение, сетевое программное обеспечение, сетевой трафик	Нарушение доступности
143	Угроза программного выведения из строя средств хранения, обработки и (или) ввода/вывода/передачи информации	Внутренний нарушитель со средним потенциалом Внешний нарушитель со средним потенциалом	Носитель информации, микропрограммное обеспечение, аппаратное обеспечение, телекоммуникационное устройство	Нарушение целостности Нарушение доступности
155	Угроза утраты вычислительных ресурсов	Внутренний нарушитель с низким потенциалом Внешний нарушитель с низким потенциалом	Информационная система, сетевой узел, носитель информации, системное программное обеспечение, сетевое программное обеспечение, сетевой трафик	Нарушение доступности
156	Угроза утраты носителей информации	Внутренний нарушитель с низким потенциалом	Носитель информации	Нарушение конфиденциальности Нарушение доступности
157	Угроза физического выведения из строя средств хранения, обработки и (или) ввода/вывода/передачи информации	Внешний нарушитель с низким потенциалом	Сервер, рабочая станция, носитель информации, аппаратное обеспечение	Нарушение целостности Нарушение доступности
158	Угроза форматирования носителей информации	Внутренний нарушитель с низким потенциалом Внешний нарушитель с низким потенциалом	Носитель информации	Нарушение целостности Нарушение доступности
160	Угроза хищения средств хранения, обработки и (или) ввода/вывода/передачи информации	Внешний нарушитель с низким потенциалом	Сервер, рабочая станция, носитель информации, аппаратное обеспечение	Нарушение конфиденциальности Нарушение доступности
170	Угроза неправомерного шифрования информации	Внешний нарушитель с низким потенциалом	Объект файловой системы	Нарушение доступности
172	Угроза распространения «почтовых червей»	Внешний нарушитель с низким потенциалом	Сетевое программное обеспечение	Нарушение конфиденциальности Нарушение целостности Нарушение доступности

Особое внимание следует уделять источникам угроз, происходящих от деятельности человека.

Таблица №3 Источники угроз

Источник угрозы	Мотивация	Действие угрозы
Хакер, взломщик	Вызов Самомнение Бунтарство Статус Деньги	Хакерство Социальная инженерия Проникновение в систему, взлом Несанкционированный доступ к системе
Лицо, совершающее компьютерное преступление	Разрушение информации Незаконное раскрытие информации Денежная выгода Несанкционированное изменение данных	Компьютерное преступление (например, компьютерное преследование) Мошенническая деятельность (например, воспроизведение, выдача себя за другого, перехват) Информационный подкуп Получение доступа обманным путем Проникновение в систему
Террорист	Шантаж Разрушение Использование в личных интересах Месть Политическая выгода Охват среды (передачи данных)	Взрыв/Терроризм Информационная война Системная атака (например, распределенный отказ в обслуживании) Проникновение в систему Порча системы
Промышленный шпионаж (сведения секретного характера компании, иностранные правительства, другие правительственные объединения)	Конкурентное преимущество Экономический шпионаж	Получение оборонного преимущества Получение информационного преимущества Экономическая эксплуатация Хищение информации Покушение на неприкосновенность личной жизни Социальная инженерия Проникновение в систему Несанкционированный доступ к системе (доступ к секретной информации, являющейся собственностью фирмы и/или связанной с технологией)

2.1.4 Выявление уязвимостей

Уязвимости могут быть выявлены в следующих областях:

- организация работ;

- процессы и процедуры;

- установившийся порядок управления;

- персонал;

- физическая среда;

- конфигурация информационной системы;

- аппаратные средства, программное обеспечение и аппаратура связи;

- зависимость от внешних сторон.

Наличие уязвимости само по себе не наносит ущерба, поскольку необходимо наличие угрозы, которая сможет воспользоваться ею. Для уязвимости, которой не соответствует определенная угроза, может не потребоваться внедрение средства контроля и управления, но она должна осознаваться и подвергаться мониторингу на предмет изменений. Следует отметить, что неверно реализованное, неправильно функционирующее или неправильно используемое средство контроля и управления само может стать уязвимостью. Меры и средства контроля и управления могут быть эффективными или неэффективными в зависимости от среды, в которой они функционируют. С другой стороны, угроза, которой не соответствует определенная уязвимость, может не приводить к риску.

Уязвимости могут быть связаны со свойствами актива. Способ и цели использования актива могут отличаться от планируемых при приобретении или создании актива. Необходимо учитывать уязвимости, возникающие из разных источников, например те, которые являются внешними или внутренними по отношению к активу.

В табл. 2 представлен результат оценки уязвимости актива для перечня угроз, где 1 - низкая уязвимость по отношению конфиденциальности, целостности и/или доступности ценного актива организации, 2 - средняя степень уязвимости, а 3 - высокая степень уязвимости.

Таблица №4 Степень уязвимости актива

ID угрозы	Ценные активы организации
	A	B	C	D	E	F	G	H	I
014	-	-	-	-	2	-	-	-	-
018	1	1	1	1	3	-	-	-	-
022	-	-	-	-	2	-	2	-	-
023	-	-	-	-	3	-	-	-	-
030	2	2	2	2	1	-	-	-	-
034	-	-	-	-	-	-	1	-	-
036	1	1	1	1	1	-	1	-	-
091	3	3	3	3	-	-	-	-	-
122	-	-	-	-	2	-	-	-	-
139	1	1	1	1	3	3	-	-	-
140	-	-	-	-	3	-	3	-	-
143	3	3	3	3	2	2	-	-	-
155	1	1	1	1	3	3	3	-	-
156	3	3	3	3	-	2	-	-	-
157	-	-	-	-	1	1	-	-	-
158	1	1	1	1	-	1	-	-	-
160	1	1	1	1	2	2	-	-	-
170	2	2	2	2	-	-	-	-	-
172	-	-	-	-	-	-	-	-	-

2.1.5 Методы оценки технических уязвимостей

Профилактические методы, такие, как тестирование информационной системы, могут быть использованы для эффективного выявления уязвимостей в зависимости от критичности системы информационных и телекоммуникационных технологий (ИКТ) и доступных ресурсов (например, выделенных фондов, доступной технологии, лиц, имеющих опыт проведения тестирования).

Методы тестирования включают:

- автоматизированные инструментальные средства поиска уязвимостей;

- тестирование и оценка безопасности;

- тестирование на проникновение;

- проверка кодов.

Автоматизированные инструментальные средства поиска уязвимостей используются для просмотра группы хостов или сети на предмет наличия известных уязвимых сервисов (например, система разрешает использование анонимного протокола передачи файлов, ретрансляцию отправленной почты).

Следует, однако, отметить, что некоторые из потенциальных уязвимостей, идентифицированных автоматизированными инструментальными средствами поиска уязвимостей, могут не представлять реальных уязвимостей в контексте системной среды. Например, некоторые из этих средств поиска определяют потенциальные уязвимости, не учитывая среду и требования сайта. Некоторые из уязвимостей, отмеченных автоматизированными инструментальными средствами поиска уязвимостей, могут в действительности не быть уязвимостями для конкретного сайта, а быть сконфигурированными таким образом, как этого требует среда. Таким образом, этот метод тестирования может давать ошибочные результаты исследования.

Другим методом, который может использоваться для выявления уязвимостей системы ИКТ во время процесса оценки риска, является тестирование и оценка безопасности. Он включает в себя разработку и осуществление плана тестирования (например, сценарий тестирования, процедуры тестирования и ожидаемые результаты тестирования). Цель тестирования безопасности системы состоит в тестировании эффективности мер и средств контроля и управления безопасности системы ИКТ, которые были применены в операционной среде. Задача заключается в том, чтобы удостовериться, что применяющиеся меры и средства контроля и управления соответствуют утвержденной спецификации безопасности для программных и аппаратных средств, обеспечивают реализацию политики безопасности организации или соответствуют отраслевым стандартам.

Тестирование на проникновение может использоваться как дополнение к проверке мер и средств контроля и управления безопасности и обеспечение защиты различных аспектов системы ИКТ. Когда тестирование на проникновение используется в процессе оценки риска, оно может применяться для оценки способности системы ИКТ противостоять умышленным попыткам обойти защиту системы. Его задача состоит в тестировании системы ИКТ с точки зрения источника угрозы и выявлении потенциальных сбоев в структурах защиты системы ИКТ.

Проверка кодов является наиболее тщательным (но также и самым дорогостоящим) способом оценки уязвимостей.

Результаты этих видов тестирования безопасности помогут выявить уязвимости системы.

Важно отметить, что методы и средства тестирования на проникновение могут давать ложные результаты, если уязвимость не была успешно использована. Чтобы использовать конкретную уязвимость, нужно знать точную систему/приложение/исправления, установленные на тестируемой системе. Если во время тестирования эти данные неизвестны, успешное использование конкретной уязвимости может быть невозможным (например, достичь удаленного обратного соединения), однако по-прежнему возможно взломать или перезапустить тестируемый процесс или систему. В таком случае тестируемый объект тоже должен считаться уязвимым.

Методы могут включать следующие виды деятельности:

- опрос сотрудников и пользователей;

- анкетирование;

- физический осмотр;

- анализ документов.

2.1.5 Оценка вероятности инцидента

Последним этапом перед расчетом рисков ИБ является оценка вероятности реализации угроз ИБ, представленных в табл. 2. Оценка вероятности представлена в табл. 3, где 1 - угроза существует, но не встречалась в рассматриваемой сфере, 2 - угроза возникает в рассматриваемой сфере 2-3 раза в год, 3 - угроза была реализована в рассматриваемой системе, 4 - угроза возникает 2-3 раза в год в рассматриваемой системе.

Таблица №5 Оценка вероятности угрозы

ID угрозы	014	018	022	023	030	034	036	091	122	139	140	143	155	156	157	158	160	170	172
Вероятность	2	1	2	3	1	2	2	4	2	3	2	2	2	4	3	3	3	2	2

3. Оценка риска

Высокоуровневая оценка дает возможность определять приоритеты и хронологию действий. По разным причинам, например, бюджетным, одновременная реализация всех мер и средств контроля и управления не всегда возможна, и с помощью процесса обработки риска могут рассматриваться только наиболее критичные риски. Также может быть преждевременным начинать детальный менеджмент риска, если реализация предусматривается только через год или два. Для достижения этой цели высокоуровневая оценка может начаться с высокоуровневой оценки последствий, а не с систематического анализа угроз, уязвимостей, активов и последствий.

Причиной начать с высокоуровневой оценки является синхронизация с другими планами, связанными с управлением изменениями (или обеспечением непрерывности бизнеса). Например, не имеет смысла обеспечивать полную защиту системы или приложения, если в ближайшем будущем планируется привлечь для работы с ними внешние ресурсы, хотя, возможно, стоит выполнить оценку риска, чтобы определить целесообразность заключения договора о привлечении внешних ресурсов.

Особенности итерации высокоуровневой оценки риска могут включать следующее.

Высокоуровневая оценка риска может быть связана с более глобальным рассмотрением организации и ее информационных систем, когда технологические аспекты рассматриваются как независимые от проблем бизнеса. В результате этого анализ контекста больше сосредотачивается на бизнес- и эксплуатационной среде, чем на технологических компонентах.

Высокоуровневая оценка риска может быть связана с более ограниченным перечнем угроз и уязвимостей, сгруппированных в определенных сферах, или для ускорения процесса она может сосредотачиваться на сценариях риска или нападений вместо их компонентов.

Риски, представленные в высокоуровневой оценке риска, часто носят более общий характер, чем конкретно идентифицированные риски. Когда сценарии или угрозы группируются в сферы, обработка риска предлагает перечни мер и средств контроля и управления для конкретной сферы. Деятельность по обработке риска затем стремится, прежде всего, предложить и выбрать общие меры и средства контроля и управления, являющиеся действенными во всей системе.

Вследствие того, что при использовании высокоуровневой оценки риска редко рассматриваются технологические детали, она более уместна для обеспечения организационных и нетехнических средств контроля, а также аспектов менеджмента технических средств контроля или ключевых и общих технических защитных мер, таких, как резервное копирование и антивирусные программы.

Преимущества высокоуровневой оценки риска таковы:

- включение первоначального простого подхода, вероятно, необходимо для одобрения программы оценки риска;

- должно быть возможным создание стратегической картины программы обеспечения безопасности организации, т.е. она будет действовать как хорошая помощь в планировании;

- ресурсы и денежные средства могут быть применены там, где они наиболее полезны, и системы, вероятно, больше всего нуждающиеся в защите, будут рассмотрены первыми.

Поскольку первоначальные анализы риска выполняются на высоком уровне и потенциально могут быть менее точными, единственный возможный недостаток состоит в том, что некоторые бизнес-процессы или системы не могут быть определены как нуждающиеся во вторичной, более детальной оценке риска. Этого можно избежать, если существует адекватная информация обо всех аспектах организации, ее информации и системах, включая информацию, полученную в результате оценки инцидентов ИБ.

При использовании высокоуровневой оценки риска рассматривается ценность для бизнеса информационных активов и риски с точки зрения бизнеса организации. В первой точке принятия решения (см. рисунок 1) несколько факторов помогают в определении того, является ли высокоуровневая оценка адекватной для обработки риска; этими факторами могут быть:

- бизнес-цели, которые должны быть достигнуты посредством использования различных информационных активов;

- степень зависимости бизнеса организации от каждого информационного актива, т. е., являются ли функции, которые организация считает критичными для своего выживания или эффективного ведения бизнеса, зависящими от каждого актива или от конфиденциальности, целостности, доступности, неотказуемости, учетности, подлинности и надежности информации, хранящейся и обрабатываемой в данном активе;

- уровень инвестиций в каждый информационный актив с точки зрения разработки, поддержки или замены актива;

- информационные активы, которым организация напрямую присваивает ценность.-

После того как эти факторы оценены, решение становится проще. Если цели актива крайне важны для ведения бизнеса организации или если активы имеют высокий уровень риска, то для конкретного информационного актива (или его части) должна быть проведена вторая итерация, детальная оценка риска.

В методах оценки риска данного вида фактические или предполагаемые физические активы оцениваются с точки зрения стоимости замены или восстановления (т. е. количественные меры). Эта стоимость затем переводится в ту же качественную шкалу, которая используется для информации (см. ниже). Фактические или предполагаемые программные активы оцениваются таким же образом, как и физические активы, - определяется стоимость приобретения или восстановления, а затем переводится в ту же качественную шкалу, которая используется для информации. Кроме того, если считается, что любая прикладная программа имеет собственные присущие ей требования в отношении конфиденциальности или целостности (например, если исходный текст программы сам по себе является коммерчески критичным), она оценивается таким же образом, как и информация.

Ценность информации определяется из опросов отдельных представителей бизнес-менеджмента (владельцев информации), которые могут авторитетно судить о данных с целью определения ценности и критичности фактически используемых данных или данных, которые должны храниться, обрабатываться или оцениваться. Опросы облегчают оценку значимости и критичности информации с точки зрения сценариев наихудших вариантов, возникновение которых можно предполагать исходя из неблагоприятных последствий для бизнеса, обусловленных несанкционированным раскрытием, несанкционированной модификацией, недоступностью в течение различных периодов времени и разрушением.

Ценность определяется использованием принципов определения ценности информации, которые охватывают следующие проблемы:

- личная безопасность;

- личная информация;

- юридические и нормативные обязательства;

- соблюдение законов;

- коммерческие и экономические интересы;

- финансовые потери/нарушение деятельности;

- общественный порядок;

- политика и операции бизнеса;

- потеря "неосязаемого капитала";

Принципы облегчают определение значений ценности по числовой шкале, как, например, на шкале от 0 до 4, показанной в приведенном ниже примере (см. таблицу №6), осуществляя таким образом присвоение количественных значений, если это возможно и обоснованно, и качественных значений там, где количественные значения невозможны, например, в случае создания опасности для человеческой жизни.

Таблица №6

Степень вероятности возникновения угрозы	Низкая	Средняя	Высокая
Простота использования	Н	С	В	Н	С	В	Н	С	В
Ценность актива	0	0	1	2	1	2	3	2	3	4
	1	1	2	3	2	3	4	3	4	5
	2	2	3	4	3	4	5	4	5	6
	3	3	4	5	4	5	6	5	6	7
	4	4	5	6	5	6	7	6	7	8

Следующим важным этапом деятельности является заполнение ряда опросных листов для каждого вида угрозы, каждой группы активов, с которой связан данный вид угрозы, чтобы сделать возможной оценку уровней угроз (вероятности возникновения) и уровней уязвимостей (простоты использования угроз для создания неблагоприятных последствий). Каждый ответ на вопрос дает баллы. Эти баллы складываются с использованием базы знаний и сравниваются с диапазонами. Это идентифицирует уровни угроз, например, по шкале от высокого до низкого и, аналогично, уровни уязвимостей, как показано в таблице Е.1а, с проведением различий между видами последствий. Информация для заполнения опросных листов должна собираться из опросов технического персонала, представителей отдела кадров, из данных обследований фактического месторасположения и проверки документации.

Ценность активов, уровни угроз и уязвимостей, относящиеся к каждому виду последствий, приводятся в табличной форме (матрице), представленной в таблице Е.1а, чтобы для каждой комбинации идентифицировать соответствующую меру риска на основе шкалы от 0 до 8. Значения заносятся в матрицу структурированным образом. Для каждого актива рассматриваются уместные уязвимости и соответствующие им угрозы. Если существует уязвимость без соответствующей угрозы или угроза без соответствующей уязвимости, то в настоящее время риск отсутствует (но следует принимать меры в случае изменения этой ситуации). Соответствующая строка в таблице устанавливается по значению ценности актива, а соответствующая колонка устанавливается по степени вероятности возникновения угрозы и простоте использования. Например, если актив имеет ценность 3, угроза является "высокой", а уязвимость "низкой", то мера риска будет равна 5. Предположим, что актив имеет ценность 2 и, например, для модификации уровень угрозы является "низким", а простота использования "высокой", тогда мера риска будет равна 4.

Размер таблицы с точки зрения числа категорий вероятности угроз, категорий простоты использования и числа категорий определения ценности активов может быть адаптирован к потребностям организации. Для дополнительных мер риска потребуются дополнительные колонки и строки. Ценность данного подхода заключается в ранжировании рисков, требующих рассмотрения. Аналогичная матрица, как показано в таблице E.1а, является результатом рассмотрения степени вероятности сценария инцидента, отображенного на количественно оцененное влияние бизнеса. Вероятность сценария инцидента дана посредством угрозы, использующей уязвимость с определенной вероятностью. Таблица отображает эту вероятность влияния на бизнес, связанную со сценарием инцидента. Получаемый в результате риск измеряется по шкале от 0 до 8, может быть оценен относительно критериев принятия риска. Данная шкала рисков может также отображаться на простой общий рейтинг рисков, например следующим образом: - низкий риск: 0-2; - средний риск: 3-5; - высокий риск: 6-8.

Отчет об оценке рисков ИБ

Общий уровень риска ИБ для каждого из ценных активов организации рассчитывается по формуле, в табл. 3 представлен результат для активов A,

E, G. Р = ЦН х СУ х В.

Приемлемым риском считается риск, чье числовое значение находится в промежутке от 1 до 10, такой риск считается незначительным, и обработка такого риска не требуется. Средний риск, чье числовое значение находится в диапазоне от 11 до 21 рекомендован к обработке с целью его минимизации. Высокий риск, чье числовое значение находится в диапазоне от 22 до 64, данный риск считается существенным, и его обработка обязательна.

Таблица №7 Оценка рисков ИБ

Ценные активы «Мегаком»	Угрозы	Ценность активов	Степень уязвимости	Вероятность	Результат	Оценка риска
Информация, необходимую для реализации назначения или бизнеса организации	018	4	1	1	4	Низкий
	030	4	2	1	8	Низкий
	036	4	1	2	8	Низкий
	091	4	3	4	48	Высокий
	121	4	2	2	16	Средний
	139	4	1	3	12	Средний
	143	4	3	2	24	Высокий
	155	4	1	2	8	Низкий
	156	4	3	4	48	Высокий
	158	4	1	3	12	Средний
	160	4	1	3	12	Средний
	170	4	2	2	16	Средний
Аппаратно-программный комплекс	014	4	2	2	16	Средний
	018	4	3	1	12	Средний
	022	4	2	2	16	Средний
	023	4	3	3	36	Высокий
	030	4	1	1	4	Низкий
	036	4	1	2	8	Низкий
	113	4	2	2	16	Средний
	121	4	2	2	16	Средний
	122	4	2	2	16	Средний
	139	4	3	3	36	Высокий
	140	4	3	2	24	Высокий
	143	4	2	2	16	Средний
	155	4	3	2	24	Высокий
	157	4	1	3	12	Средний
	160	4	2	3	24	Высокий
	182	4	1	3	12	Средний
Сеть	022	4	2	2	16	Средний
	034	4	1	2	8	Низкий
	036	4	1	2	8	Низкий
	140	4	3	2	24	Высокий
	155	4	3	2	24	Высокий
	172	4	2	2	16	Средний

Таблица №8

Ценный актив организации	Угрозы	Риск	Приемлемый риск	Меры	Остаточный риск
Информация, необходимую для реализации назначения или бизнеса организации	091	48	От 1 до 19	Система резервного копирования, система защиты от НСД	12
	143	24		Система антивирусной защиты, межсетевое экранирование	12
	156	48		Учет носителей информации	12
Аппаратно-программный комплекс	023	36		Межсетевое экранирование, система доверенной загрузки, система антивирусной защиты; Организационные меры	8
	139	36		Системы видеонаблюдения, адекватные средства физической защиты; Организационные меры	12
	140	24		Система межсетевого экранирования	12
	155	24		Система межсетевого экранирования	12
	160	24		Системы видеонаблюдения, адекватные средства физической защиты; Организационные меры	8
Сеть	140	24		Система межсетевого экранирования	12
	155	24		Система межсетевого экранирования	12

Размещено на Allbest.ru

...