Разработка методологии оценки риска

 

При разработке методо­логии оценки риска могут быть использованы методы системного анализа, в результате чего должны быть получены оценки предельно допустимо­го и существующего риска осуществления угроз в течение некоторого времени. В идеале для каждой из угроз должно быть получено значение вероятности ее осуществления в течение некоторого времени. Это поможет соотнести оценку возможного ущерба с зат­ратами на защиту. На практике для большинства угроз невозможно получить достоверные данные о вероят­ности реализации угрозы и приходится ограничивать­ся качественными оценками.

 

Оценка ущерба, связанная с реализацией угроз

 

Оценка ущерба, который может нанес­ти деятельности организации реализация угроз безопас­ности, производится с учетом возможных последствий нарушения конфиденциальности, целостности и доступности ин­формации.

 

Анализ стоимость/эффективность

 

Расходы на систему защиты информации необходимо соотнести с ценностью защищаемой информации и других информационных ресурсов, подвергающихся риску, а также с ущербом, который может быть нане­сен организации в результате реализации угроз. По завершении анализа уточняются допустимые остаточ­ные риски и расходы по мероприятиям, связанным с защитой информации.

 

Итоговый документ

 

По результатам проведенной работы составляет­ся документ, содержащий:

 перечни угроз ЗИ, оценки рисков и рекомендации по снижению вероятности их возникновения;

 защитные меры, необходимые для нейтрализации угроз;

 анализ стоимость/эффективность, на основании которого делаются выводы о допустимых уровнях ос­таточного риска и целесообразности применения кон­кретных вариантов защиты.

 

Управление риском

 

Управление риском – процесс, состоящий в последовательном выполнении трех основных частей: определение риска в незащищенной ИС, применение средств защиты для сокращения риска и затем определение, приемлем ли остаточный риск.

Управление риском можно детализировать разбиением его на семь этапов.

1. Определение степени детализации, границ анализа и методологии.

2. Идентификация и оценка ценности ресурсов ИС.

3. Идентификация угроз и определение вероятности.

4. Измерение риска.

5. Выбор соответствующих мер и средств защиты.

6. Внедрение и тестирование средств защиты.

7. Одобрение остаточного риска.

Конечной целью управления риском является минимизация риска. Цель минимизации риска состоит в том, чтобы при­менить эффективные меры защиты таким образом, чтобы остаточный риск в ИС стал приемлем. Мини­мизация риска состоит из трех частей: определения тех областей, где риск недопустимо велик; выбора наибо­лее эффективных средств защиты; оценивания мер за­щиты и определения, приемлем ли остаточный риск в ИС.

Дадим краткую характеристику этапам управления риском.

 

Этап 1. Определение степени детализации

 

На этом этапе составляется перечень того, какие информационные и технические ресурсы из состава ИС и с какой деталь­ностью должны рассматриваться в процессе управле­ния риском. Перечень может включать ИС в целом или ее части, такие, как функции коммуникаций данных, функции сервера, приложения и т.д.

Степень детализации можно представлять как слож­ность созданной логической модели всей ИС или ее частей, отражающую глубину процесса управления риском. Степень детализации будет отличаться для раз­ных областей ИС. Например, некоторые области мо­гут рассматриваться поверхностно, в то время как дру­гие – глубоко и детально.

 

Этап 2. Идентификация и оценка ценности ресурсов ИС

 

В ходе оценки ценностей выявляются и назначаются стоимости ресурсов ИС. Этот шаг позволяет выделить ресурсы, приоритетные с точки зрения организации защиты. Ценности могут быть определены на основании воздействий и последствий для организации. Оценка рисков предполагает не только стоимость ресурсов, но и последствия в результате раскрытия, искажения, раз­рушения или порчи информационных и технических ресурсов ИС.

Стоимость ресурсов может быть представлена в тер­минах потенциальных потерь. Эти потери могут быть основаны на стоимости восстановления, потерях при непосредственном воздействии и последствий. Одна из простейших методик оценки потерь для ценности со­стоит в использовании качественного ранжирования на высокие, средние и низкие потери.

Одним из косвенных результатов этого процесса является создание детальной конфигурации ИС и фун­кциональной схемы ее использования. Эта конфигура­ция должна описывать подключенные аппаратные сред­ства ИС, главные используемые приложения, важную информацию, обрабатываемую в ИС, а также способ передачи этой информации через ИС.

Конфигурация аппаратных средств содержит: серверы, автоматизированные рабочие места, ПК, периферийные устройства, соединения с глобальными сетями, схему кабельной системы, соединения с мостами или шлюзами и т.д.

Конфигурация программного обеспечения включает в себя: операционные системы серверов, операционные системы автоматизированных рабо­чих мест, главное прикладное программное обеспечение, инструментальное программное обеспечение, средства управления ИС, местоположение программного обеспечения в ИС. После того как описание конфигурации ИС закон­чено и ценности определены, появится представление о том, из чего состоит ИС и какие ресурсы необходи­мо защищать в первую очередь.

 

Этап 3. Идентификация угроз и определение их вероятности

 

На этом этапе должны быть выявлены угрозы и уязви­мые места, определены вероятности реализации угроз. Список угроз следует рассматривать в зависимости от степени детализации описания ИС. Концептуальный анализ может указать на абстрактные угрозы и уязви­мые места. Более детальный анализ может связать уг­розу с конкретной компонентой ИС.

Существующие средства и меры защиты в ИС дол­жны быть проанализированы, чтобы можно было оп­ределить, обеспечивают ли они адекватную защиту от соответствующей угрозы, в противном случае место возникновения угрозы можно рассматриваться как уяз­вимое место. После того как определенные угрозы и связанные с ними уязвимые места выявлены, с каждой парой уг­роза/уязвимое место должна быть связана вероятность того, что эта угроза будет реализована.

 

Этап 4. Измерение риска

 

В широком смысле мера риска может рассматривать­ся как описание видов неблагоприятных действий, вли­янию которых может подвергнуться система, и вероят­ностей того, что эти действия могут произойти. Результат этого процесса должен определить степень риска для определенных ценностей. Этот результат важен, поскольку является основой для выбора средств защиты и решений по минимизации риска. Мера риска может быть представлена в качествен­ных, количественных, одномерных или многомерных терминах.

Количественные подходы связаны с измерением риска в терминах денежных потерь.

Качественные – с измерением риска в качествен­ных терминах, заданных с помощью шкалы или ран­жирования.

Одномерные – рассматривают только ограничен­ные компоненты (риск = величина потери Ч частота потери).

Многомерные подходы рассматривают такие дополни­тельные компоненты в измерении риска, как на­дежность, безопасность или производительность.

Одним из наиболее важных аспектов меры риска является то, что ее представление должно быть понят­ным и логичным для тех, кто выбирает средства защи­ты и решает вопросы минимизации риска.

 

Этап 5. Выбор соответствующих мер и средств защиты

 

Цель этого процесса состоит в выборе соответствую­щих мер и средств защиты. Этот процесс может быть выполнен с использованием проверки приемлемости риска. Взаимосвязь между проверкой приемлемости рис­ка и выбором средств защиты может быть итеративной. Первоначально организация должна упорядочить уров­ни рисков, определенные в ходе оценки риска. Наря­ду с этим организация должна принять решение о ко­личестве остаточного риска, который желательно принять после того, как выбранные меры и средства защиты будут установлены.

Эти начальные решения по принятию риска могут внести поправки в уравнение выбора средств защиты. Когда свойства предлагаемых мер и средств защиты известны, можно повторно провести проверку прием­лемости риска и определить, достигнут ли уровень остаточного риска или необходимо изменить решения относительно его приемлемости, чтобы отразить ин­формацию о свойствах предлагаемых средств защиты.

Отбор соответствующих средств защиты для механизмов, входящих в состав ИС, является также субъективным процессом. При рассмотрении меры стоимости механизма важно, чтобы стоимость средства его защиты была связана с мерой риска при оп­ределении рентабельности средства зашиты.

Для вычисления общего отношения риск/стоимость ис­пользуют меру риска и финансовую меру, связанную с каждым отношением угроза/механизм и рассчитыва­ют отношение риска к стоимости (т.е. риск/сто­имость). Значение этого отношения меньше единицы будет указывать, что стоимость средств защиты больше, чем риск, связанный с угрозой.

 

Этап 6. Внедрение и тестирование средств защиты

 

Цель процесса внедрения и тестирования средств защиты состоит в том, чтобы гарантировать правиль­ность реализации средств защиты, обеспечить совместимость с другими функциональными возможностями ИС и сред­ствами защиты и получить ожидаемую степень защиты.

Этот процесс начинается разработкой плана внедре­ния средств защиты, который должен учитывать такие фак­торы, как доступный объем финансирования, уровень подготовки пользователей и т.д. График испы­таний для каждого средства защиты также включается в этот план. План должен показывать, как каждое средство защиты взаимодействует с другими средствами защиты или влияет на них (или функциональные возмож­ности ИС). Важно не только то, что сред­ство защиты исполняет свои функции как ожидается и обеспечивает требуемую защиту, но и то, что средство защиты не увеличивает риск неправильного функционирования ИС из-за конфликта с другим средством защиты.

Каждое средство должно быть проверено незави­симо от других средств, чтобы гарантировать обес­печение ожидаемой защиты. Однако это может ока­заться неуместным, если средство предназначено для совместной работы с другими средствами.

 

Этап 7. Одобрение остаточного риска

 

После того как все средства защиты реализованы, проверены и найдены приемлемыми, результаты про­верки приемлемости риска должны быть повторно изу­чены. Риск, связанный с отношениями угроза/уязви­мое место, должен теперь быть сокращен до прием­лемого уровня или устранен. Если эти условия не со­блюдены, то решения, принятые на предыдущих ша­гах, должны быть пересмотрены, чтобы определить надлежащие меры защиты.