Табличные методы оценки рисков
В настоящее время известно множество
табличных методов оценки информационных рисков компании. Важно, чтобы
компания выбрала для себя подходящий метод, который обеспечивал бы корректные
и достоверные воспроизводимые результаты. Рассмотрим несколько примеров
подобных методов оценивания рисков, которые рекомендованы международными
стандартами информационной безопасности, главным образом ISO 17799 (BS 7799).
Существенно, что в этих рекомендуемых методах количественные показатели
существующих или предлагаемых физических ресурсов компании оцениваются с
точки зрения стоимости их замены или восстановления работоспособности
ресурса, то есть количественными методами. А существующие или предполагаемые
программные ресурсы оцениваются так же, как и физические, то есть при помощи
определения затрат на их приобретение или восстановление количественными
методами. Если обнаружится, что какое-либо прикладное программное обеспечение
имеет особые требования к конфиденциальности или целостности, например,
исходный текст имеет высокую коммерческую ценность, то оценка этого ресурса
производится в стоимостном выражении по той же схеме, что и для
информационных ресурсов.
Количественные показатели информационных
ресурсов рекомендуется оценивать по результатам опросов сотрудников компании
- владельцев информации, то есть должностных лиц компании, которые могут
определить ценность информации, ее характеристики и степень критичности,
исходя из фактического положения дел. На основе результатов опроса
производится оценивание показателей и степени критичности информационных
ресурсов для наихудшего варианта развития событий вплоть до рассмотрения
потенциальных воздействий на бизнес-деятельность компании при возможном
несанкционированном ознакомлении с конфиденциальной информацией, нарушении ее
целостности, недоступности на различные сроки, вызванных отказами в
обслуживании систем обработки данных и даже физическом уничтожении. При этом
процесс получения количественных показателей может дополняться соответствующими
методиками оценивания других критически важных ресурсов компании,
учитывающих:
Далее количественные показатели
используются там, где это допустимо и оправдано, а качественные - где
количественные оценки по ряду причин затруднены. При этом наибольшее
распространение получило оценивание качественных показателей при помощи
специально разработанных для этих целей балльных шкалах подобной той, которая
приводится далее: четырех балльная шкала от 1 до 4 баллов.
Следующей операцией является заполнение
пар опросных листов, в которых по каждому из типов угроз и связанных с ним
группе ресурсов оцениваются вероятностью реализации угроз уровни угроз и уровни
уязвимостей как степень легкости, с которой реализованная угроза способна
привести к негативному воздействию. Оценивание производится в качественных
шкалах. Например, уровень угроз и уязвимостей оценивается по шкале
"высокий - низкий". Необходимую информацию собирают, опрашивая
TOP-менеджеров компании, сотрудников коммерческих, технических, кадровых и
сервисных служб, выезжая на места и анализируя документацию компании.
Рассмотрим пример.
Пример
Проведем анализ следующих типов угроз:
Относящиеся к каждому типу негативных
воздействий уровни рисков, соответствующих показателям ценности ресурсов,
показателям угроз и уязвимостей, оцениваются при помощи таблицы, аналогичной
таблице 1
Количественный показатель риска
определяется в шкале от 1 до 8. Соответствующие значения заносятся в таблицу.
Для каждого ресурса рассматриваются относящиеся к нему уязвимые места и
соответствующие им угрозы. Если существует уязвимость без связанной с ней
угрозы, или существует угроза, несвязанная с какими-либо уязвимыми местами,
то рисков нет. Но и в этом случае следует предусмотреть изменение положения
дел. Каждая строка в таблице определяется показателем ресурса, а каждый
столбец - степенью опасности угрозы и уязвимости. Например, ресурс имеет
показатель 3, угроза имеет степень "высокая", а уязвимость -
"низкая". Показатель риска в данном случае будет 5. Размер таблицы,
учитывающей количество степеней опасности угроз, степеней опасности уязвимостей
и категорий ценности ресурсов, может быть изменен в соответствии со
спецификой конкретной компании.
Описанный подход определяется
классификацией рассматриваемых рисков. После того, как оценивание рисков было
выполнено первый раз, его результаты целесообразно сохранить, например, в
базе данных. Эта мера в дальнейшем позволит легко повторить последующее
оценивание рисков компании.
Ранжирование угроз
В матрице или таблице можно наглядно
отразить связь между угрозами, негативными воздействиями и возможностями
реализации. Для этого нужно выполнить следующие шаги. На первом шаге оценить
негативное воздействие по заранее определенной шкале, например, от 1 до 5,
для каждого ресурса, которому угрожает опасность (колонка b в таблице). На
втором шаге по заранее заданной шкале, например, от 1 до 5, оценить
реальность реализации (колонка c в таблице) каждой угрозы (колонка a в
таблице). На третьем шаге вычислить показатель риска при помощи перемножения
чисел в колонках b и с, по которому и производится ранжирование угроз
(колонка е). В этом примере (Таб. 2) для наименьшего негативного
воздействия и для наименьшей реальности реализации выбран показатель 1.
Данная процедура позволяет сравнивать и
ранжировать по приоритету угрозы с различными негативными воздействиями и
возможностями реализации. В определенных случаях дополнительно могут
потребоваться стоимостные показатели.
Оценивание показателей частоты
повторяемости и возможного ущерба от риска
Рассмотрим пример оценки негативного
воздействия угрозы. Эта задача решается при помощи оценивания двух значений:
ценности ресурса и частоты повторяемости риска. Перечисленные значения
определяют показатель ценности для каждого ресурса. Вначале каждому ресурсу
присваивается определенное значение, соответствующее потенциальному ущербу от
воздействия угрозы. Такие показатели присваиваются ресурсу по отношению ко
всем возможным угрозам. После того, как баллы всех ресурсов анализируемой
корпоративной системы будут просуммированы, определяется количественный
показатель риска для системы. Далее оценивается показатель частоты
повторяемости. Частота зависит от вероятности возникновения угрозы и степени
легкости, с которой может быть использована уязвимость. В результате
получается таблица, аналогичная таблице 3.3.
Затем определяется показатель пары
ресурс/угроза. На каждую пару ресурс/угроза cоставляется таблица (см. таб.
3.4.), в которой суммируются показатели ресурса и угрозы.
На заключительном этапе суммируются все
итоговые баллы по всем ресурсам системы и формируется ее общий балл. Его
можно использовать для выявления тех элементов системы, защита которых должна
быть приоритетной.
Разделение рисков на приемлемые и неприемлемые
Дополнительный способ оценивания рисков
состоит в разделении их только на допустимые и недопустимые. Возможность
применения подобного подхода основывается на том, что количественные
показатели рисков используются только для того, чтобы их упорядочить и
определить, какие действия необходимы в первую очередь. Но этого можно
достичь и с меньшими затратами.
Таблица, используемая в данном подходе,
содержит не числа, а только символы Д (риск допустим) и Н (риск недопустим).
Например, может быть использована таблица 5.
При этом вопрос о том, как провести
границу между допустимыми и недопустимыми рисками, как правило, предлагается
решить TOP-менеджерам, ответственным за организацию информационной
безопасности компании.
|
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Табличные методы оценки рисков
Подписаться на:
Сообщения (Atom)
Комментариев нет:
Отправить комментарий