A gyakorlatban az IB kockázatértékelésre vonatkozó mennyiségi és magas színvonalú megközelítéseket alkalmazzák. Mi a különbség?
A kvantitatív kockázatértékelést olyan helyzetekben alkalmazzák, ahol a vizsgált fenyegetések és az ezekhez kapcsolódó kockázatok a pénz, a százalékos idő, az emberi erőforrásokban kifejezett véges mennyiségi értékekkel és így tovább. A módszer lehetővé teszi a kockázatértékelési objektumok konkrét értékeit az információbiztonsági fenyegetések végrehajtása során.
Kvantitatív megközelítéssel a kockázatértékelés minden eleme specifikus és valódi mennyiségi értékeket rendel. Az ezen értékek megszerzésének algoritmusa vizuálisan világosnak kell lennie. Az értékelés tárgya lehet egy eszköz értéke monetáris értelemben, a fenyegetés valószínűsége, a fenyegetés végrehajtásának károsítása, a védelmi intézkedések költsége és így tovább.
1. Határozza meg a tájékoztató eszközök értékét monetáris módon.
2. Értékelje az egyes fenyegetések végrehajtásának esetleges kárát minden egyes információs eszközre kvantitatív módon.
Válaszokat kell kapnia a kérdésekre "Milyen része az eszköz költségének károsítja az egyes fenyegetés végrehajtását?", "Mi a pénzbeli károk költsége a monetáris kifejezésekben egyetlen eseményből az e veszély végrehajtása során?"
3. Határozza meg annak valószínűségét, hogy az egyes fenyegetéseknek az IB fenyegetését hajtják végre.
Ehhez statisztikai adatokat, a munkavállalók és az érdekelt felek szavazását használhatja. A valószínűség meghatározásának folyamata során kiszámítsa az IB által az IB által az ellenőrzési időszakra (például egy év alatt).
4. Határozza meg az egyes veszélyeztetett veszélyek teljes esetleges kárát az ellenőrzési időszakra vonatkozóan (egy év alatt).
Az értéket úgy számítjuk ki, hogy az egyszeri károsodás megszorzásával a fenyegetés gyakoriságának megvalósításától számítva.
5. Az egyes fenyegetések sérülésére beérkezett adatok elemzése.
Minden fenyegetés esetében döntést kell hozni: kockázatvenni, csökkenteni kell a kockázatot, vagy mozgassa a kockázatot.
Vegyük a kockázatot - ez azt jelenti, hogy felismeri azt, hogy elfogadja azt a képességével, és továbbra is folytatja, mint korábban. Az alacsony károsodással és az előfordulási valószínűséggel kapcsolatos fenyegetésekre alkalmazható.
Csökkentse a kockázati eszközöket a további intézkedések és a védelmi eszközök bevezetésére, a képzési személyzetre stb. Ugyanakkor szükség van a további intézkedések és jogorvoslatok hatékonyságának számszerűsítésére. Minden költséget, hogy a szervezet viseli kezdve vásárlási védelmi eszközöket az üzembe helyezés előtt (beleértve a telepítést, konfigurálást, képzés, támogatás, stb) nem haladhatja meg a kár összegét a megvalósítása a fenyegetést.
Mozgassa a kockázati eszközöket a kockázat megvalósításának következményeinek áthelyezésére, például a biztosítással, például biztosítással.
Kvantitatív kockázatértékelés eredményeként meg kell határozni:
Tekintsük a szervezet webszerver példájára vonatkozó módszertant, amelyet egy adott termék eladására használnak. Mennyiségi középső A kiszolgáló kimenetének károsodása a közeg-ellenőrzőpont termékként becsülhető meg a konkrét időintervallumra vonatkozó átlagos számának átlagos számának, amely megegyezik a kiszolgáló leállásával. Tegyük fel, hogy a közvetlen kiszolgáló kijáratának egyszeri károsodásának költsége 100 ezer rubel lesz.
Most meg kell értékelni a szakértői módot, mivel ilyen helyzet előfordulhat (figyelembe véve a működés intenzitását, a tápegység minőségét stb.). Például figyelembe véve a szakértők és a statisztikai információk véleményét, megértjük, hogy a kiszolgáló évente kétszer nem sikerül.
Szorozzuk meg ezt a mennyiséget, megkapjuk ezt átlagos éves A szerver közvetlen kibocsátásának veszélyének megvalósításának sérülése évente 200 ezer rubelből áll.
Ezek a számítások használhatók a védelmi intézkedések kiválasztásának igazolására. Például egy szünetmentes táplálkozási rendszer bevezetése és egy biztonsági rendszer, amelynek teljes költsége 100 ezer rubel évente minimalizálja a kiszolgáló kimenetének kockázatát, és meglehetősen hatékony megoldás lesz.
Sajnos ez nem mindig lehetséges az értékelési objektum konkrét kifejezése miatt sok bizonytalanság miatt. Hogyan lehet pontosan felmérni a Társaság hírnevének károsodását, ha az IB-incidens incidensről szóló információ? Ebben az esetben magas színvonalú módszert alkalmazunk.
Minőségi megközelítéssel kvantitatív vagy készpénzes kifejezéseket nem használják az értékelési objektumhoz. Ehelyett az értékelési objektum jelzőt kap, hárompontos (alacsony, közepes, magas), ötpontos vagy tenballe skála (0 ... 10) mentén. A kiváló minőségű kockázatértékeléssel, célcsoportokkal, interjúalbumokkal, felmérésekkel, személyes találkozókkal kell alkalmazni.
Az információbiztonság kockázatának minőségi módszerrel történő elemzését a munkavállalók bevonásával kell elvégezni, akik tapasztalattal és hatáskörrel rendelkeznek azon a területen, ahol a fenyegetéseket figyelembe veszik.
1. Határozza meg az információs eszközök értékét.
Az eszköz értékét a kritikusság (következmények) szintje határozhatja meg az információs eszköz biztonsági jellemzőinek (titoktartás, integritás, elérhetőségének) megsértésével.
2. Határozza meg a fenyegetés megvalósításának valószínűségét az információs eszköz tekintetében.
A fenyegetés valószínűségének becsléséhez háromszintű magas színvonalú skála (alacsony, közepes, magas) használható.
3. Határozza meg a fenyegetés sikeres végrehajtásának lehetőségét, figyelembe véve az IB jelenlegi állapotát, a végrehajtott intézkedéseket és védelmi eszközöket.
A fenyegetés végrehajtásának képességének értékeléséhez háromszintű magas színvonalú skála is használható (alacsony, közepes, magas). A fenyegetés végrehajtásának képessége azt jelzi, hogy mennyire a fenyegetés sikeres végrehajtása.
4. Következtetés az információs eszköz értékén alapuló kockázati szintről, a fenyegetés végrehajtásának valószínűsége, a fenyegetés megvalósításának lehetősége.
A kockázati szint meghatározásához ötpontos vagy tenballe skálát használhat. A kockázati szint meghatározásakor referencia táblázatokat használhat, amelyek megértését adják, hogy melyek a mutatók (érték, valószínűség, lehetőség) kombinációi, amelyekhez kockázati szintű vezet.
5. Az egyes fenyegetésekre kapott adatok elemzéséhez és a hozzá tartozó kockázati szintet.
Gyakran a kockázatelemző csoport az "elfogadható kockázati szint" fogalmával működik. Ez a kockázat szintje, amelyet a vállalat készen áll az elfogadására (ha a fenyegetés kisebb kockázati szintje kisebb vagy egyenlő az elfogadhatónak, akkor nem tekinthető relevánsnak). Globális feladat kvalitatív értékeléssel - csökkenti a kockázatokat elfogadható szintre.
6. Fejleszteni kell a biztonsági intézkedéseket, ellenintézkedéseket és intézkedéseket az egyes releváns veszélyek tekintetében a kockázati szint csökkentésére.
Mindkét módszer célja az IB Társaság valós kockázatainak megértése, a jelenlegi fenyegetések jegyzékének meghatározása, valamint a hatékony ellenintézkedések és védelmi eszközök megválasztása. Minden kockázatértékelési módszer előnye és hátrányai vannak.
A mennyiségi módszer vizuális ábrázolást ad a pénzben az értékelési tárgyakon (kár, költségek), de ez sokkal nehezebb és bizonyos esetekben nem alkalmazható.
A minőségi módszer lehetővé teszi számunkra, hogy teljesítsük a kockázatértékelést, azonban az értékelések és az eredmények szubjektívebbek, és nem adnak vizuális megértést a SZI bevezetéséből, költségeinek és előnyeinek.
A módszer megválasztását egy adott vállalat sajátosságai és a szakember előtt álló feladatok alapján kell elvégezni.
Stanislav Shileev, Információs biztonsági projektek vezetője Cég SKB Contour
Az információbiztonsági menedzsment rendszer (STIB) végrehajtásakor a legfontosabb ütközőpontok szervezésében a kockázatkezelési rendszer általában válik. Az információbiztonsági kockázatok kezelésére vonatkozó érvek hasonlítanak az UFO problémájához. Egyrészt úgy tűnik, hogy a környező nem látta ezt, és az esemény maga is valószínűnek tűnik, másrészt sok bizonyíték van, több száz könyvet írtak, vannak még releváns tudományos tudományok és egyesülő tudósok Ez a kutatási folyamat és a szokásos módon a különleges szolgáltatások ezen a területen vannak, különleges titkos tudás.
Alexander Astakhov, Cisa, 2006
Az információbiztonsági szakemberek között a kockázatkezelési kérdésekben nincsenek egyhangúság. Valaki tagadja kvantitatív kockázatelemzési módszerek, valaki tagadja a kiváló minőségű, valaki általában tagadja a megvalósíthatóság és a nagyon lehetőségét kockázatok felmérése, hogy valaki azzal vádolja a menedzsment a szervezet az elégtelen megvalósítása a biztonsági kérdések fontosságát, vagy panaszkodik kapcsolatos nehézségek objektív értékértékelés megszerzése. Bizonyos eszközök, például a szervezet hírneve. Egyéb, nem látta a lehetőségét igazoló biztonsági költségek, javasoljuk, hogy kezelni, mint egy fajta higiénikus eljárás költenek annyi pénzt ezt az eljárást, mivel nem sajnálod, vagy mennyi marad a költségvetésben.
Bármi vélemények IB kockázatkezelés és nem számít, hogyan kapcsolódnak ezek a kockázatok egyértelmű egy dolog, hogy ez a kérdés abban rejlik a lényege a sokrétű tevékenysége szakemberek IB közvetlenül összeköti egy vállalkozás, amely megadja, hogy egy ésszerű jelentését és célszerűség. Ez a cikk felvázolja a kockázatkezelés egyik lehetséges megközelítését, és arra a kérdésre van szükség, hogy miért különböző szervezetek kapcsolódnak az információbiztonság kockázataihoz, és különböző módon kezelik őket.
Beszélgetés az üzleti kockázatokról, azt jelenti, hogy bizonyos valószínűséggel bizonyos károkat okozhat. Mind a közvetlen anyagkárosodás, mind a közvetett károsodás, például a kimaradt ellátásban kifejezve, az üzleti kijáratig, mert ha a kockázat nem kezelhető, az üzlet elvész.
Valójában a kérdés lényege az, hogy a szervezetnek több nagy erőforráskategóriája van (a továbbiakban: az üzleti célok elérése érdekében) (a továbbiakban az üzleti vállalkozáshoz közvetlenül kapcsolódó eszköz fogalmát). Az aktív minden, ami értékeli a szervezetnek, és bevételeit (más szóval, ez pozitív pénzügyi áramlást eredményez, vagy pénzeszközöket takarít meg)
Megkülönbözteti az anyagot, pénzügyi, emberi és információs eszközöket. A modern nemzetközi szabványok meghatározzák az eszközök egy másik kategóriáját is - ezek a folyamatok. A folyamat egy aggregált eszköz, amely a vállalat minden más eszközét az üzleti célok elérése érdekében működteti. A vállalat egyik legfontosabb eszköze, a vállalat képe és jó hírneve is. Ezek a kulcsfontosságú eszközök bármely szervezet számára nem más, mint egy különleges információeszköz, mivel a vállalat és a vállalat hírneve nem más, mint a nyílt és széles körű információk tartalma. Az információbiztonság a szervezet biztonsága, valamint a bizalmas információk szivárgását illeti, rendkívül negatívan befolyásolja a kép.
Az üzleti eredményeket a kockázati kategóriával kapcsolatos különböző külső és belső tényezők befolyásolják. A hatások ez negatív hatással van a szervezet több csoportjára egy vagy ugyanabban az időben. Például egy kiszolgálói hiba befolyásolja az informatikai és az alkalmazások által tárolt információk rendelkezésre állását, és javítása elvonja az emberi erőforrásokat, megteremtve a hiányt egy bizonyos munkaterületen, és az üzleti folyamatok rendezetlen kezelését okozza, míg az ügyfélszolgálatok ideiglenes hiánya negatívan befolyásolja a vállalat képét.
Fogalommeghatározás szerint minden típusú eszköz fontos szervezni. Mindazonáltal minden szervezetnek alapvető létfontosságú eszközei és segédeszközei vannak. Azonosítsa, hogy mely eszközök nagyon egyszerűek, mert Ezek azok az eszközök, amelyek körül az üzleti szervezet épül. Tehát az üzleti szervezet alapja lehet az anyagi eszközök birtoklása és felhasználása (például föld, ingatlan, felszerelés, ásványi anyagok), az üzleti vállalkozások is beépíthetők a pénzügyi eszközök (hitelügyletek, biztosítás, befektetés), üzleti lehet a kompetenciákon alapulnak, és a konkrét szakemberek (tanácsadás, könyvvizsgálat, képzés, high-tech és high-tech iparágak), vagy az üzleti vállalkozások forgathatnak az információs eszközök (szoftverfejlesztés, információs termékek, e-kereskedelem, üzleti online). A kockázatok a fő eszközök tele üzleti veszteség és pótolhatatlan veszteség a szervezet számára, ezért ezeket a kockázatokat, a figyelmet a cégtulajdonosok és ők személyesen összpontosul ezeket a kockázatokat. A segédeszközök kockázata általában az előítélethez vezet, és nem a fő prioritás a szervezet irányítási rendszerében. Jellemzően kifejezetten kinevezett emberek foglalkoznak az ilyen kockázatok ellenőrzésében, vagy ezek a kockázatok átkerülnek egy harmadik fél szervezetére, például egy kiszervezett vagy biztosítótársaságra. A szervezet számára inkább a menedzsment hatékonyság kérdése, mint a túlélés.
Mivel az információbiztonsági kockázatok alapvető fontosságúak az összes szervezettől, az e kockázatok irányításának három fő megközelítése, a formalizmus mélysége és a formalizmus szintjének eltérése.
A nem kritikus rendszerek, amikor tájékoztató eszközök kisegítő, és a szint informatization nem magas, ami jellemző a legtöbb modern orosz cégek, van egy minimális igény kockázatértékelés. Az ilyen szervezetek, meg kell vitatni egy bizonyos alapszinten az IB által meghatározott érvényes szabványok és előírások, a legjobb gyakorlatok, tapasztalatok, és hogyan történik a legtöbb más szervezetek. Azonban a meglévő szabványok, amelyek leírják a biztonsági követelményeket és mechanizmusokat, mindig tárgyalnak az egyes ellenőrzési mechanizmusok alkalmazásának kockázatának és gazdasági megvalósíthatóságának felmérésére annak érdekében, hogy az a Különleges szervezet.
A kritikus rendszerek esetében, amelyekben az információs eszközök nem alapvetőek, azonban az üzleti folyamatok szintje nagyon magas, és az információs kockázatok jelentősen befolyásolhatják a főbb üzleti folyamatokat, szükség van a kockázatértékelést, de ebben az esetben tanácsos korlátozni A feladat megoldásának informális kvalitatív megközelítései, különös figyelmet fordítanak a legfontosabb rendszerekre.
Amikor a szervezet üzleti tevékenysége az információs eszközök és az információbiztonsági kockázatok a legfőbb, e kockázatok értékeléséhez hivatalos megközelítést és mennyiségi módszereket kell alkalmazni.
Sok vállalat, ugyanabban az időben, többféle eszköz létfontosságú lehet, például ha egy vállalkozás diverzifikált vagy cég foglalkozik létre információs termékek és az emberi és információs erőforrásokat lehet egyformán fontos érte. Ebben az esetben a racionális megközelítés a magas szintű kockázatértékelés elvégzése annak meghatározása érdekében, hogy mely rendszereket kell alávetni a magas fokú kockázatoknak, és amelyek kritikusak az üzleti tevékenység szempontjából, ezt követően részletes kockázatértékelés a dedikált rendszerek számára. Minden más nem kritikus rendszer esetében tanácsos korlátozni magunkat az alapvető megközelítés alkalmazásával, a kockázatkezelési döntéseket a meglévő tapasztalatok, szakértői vélemények és bevált gyakorlatok alapján.
A szervezet kockázatértékelésére irányuló megközelítés megválasztása, az üzleti tevékenység jellege és az üzleti folyamatok szintje mellett is befolyásolja az érettségi szintjét. IB kockázatkezelés üzleti feladat által kezdeményezett Szervezet vezetését fogva tudatosság és a mértéke figyelmet IB problémáit, amelynek értelmében az, hogy megvédje az üzleti, a valóban létező IB fenyegetéseket. A tudatosság mértéke szerint a szervezetek lejáratának több szintje nyomon követhető, amely bizonyos mértékig korrelál a COBIT-ben és más szabványokban meghatározott lejárat szintjével:
Az idei év márciusában egy új brit standard BS 7799-et fogadtak el 3. rész - Információs biztonsági irányítási rendszerek - gyakorlati kockázatkezelési szabályok az információbiztonságra. Várakozás 2007 végéig, az ISO jóváhagyja ezt a dokumentumot nemzetközi szabványként. BS 7799-3 meghatározza a folyamatok értékelése és kockázatkezelés, szerves része a szervezet irányítási rendszer ugyanazt az eljárást használják modell, mint a többi ellenőrzési standardok, amely magában foglalja a négy csoport folyamatok: tervezés, végrehajtás, ellenőrzés, akciók (PRD), tükrözve Bármely ellenőrzési folyamatok standard ciklusa. Bár az ISO 27001 leírja az általános folyamatos biztonsági menedzsment ciklust, a BS 7799-3 tartalmazza az IB kockázatkezelési folyamatok előrejelzését.
A tervezési szakaszban a kockázatkezelési rendszerben meghatározzák a politikai és kockázatkezelési módszert, és a kockázatértékelést is elvégzik, amely magában foglalja az eszközök leltárát, a fenyegetések és sebezhetőségek profiljainak összeállítását, az ellenintézkedések hatékonyságát és a potenciális károkat, meghatározza a a fennmaradó kockázatok megengedett szintje.
A végrehajtási szakaszban a kockázatfeldolgozás és a minimalizálásukra szánt ellenőrzési mechanizmusok végrehajtása. A szervezet irányítása az egyes azonosított kockázatok négy megoldásának egyikét veszi figyelembe: figyelmen kívül hagyja, elkerülje, átadja a külsőt, vagy minimalizálja. Ezt követően a kockázatkezelési terv kidolgozása és végrehajtása.
Az ellenőrzési szakaszban ellenőrizni kell az ellenőrzési mechanizmusok működését, a kockázati tényezők (eszközök, fenyegetések, sebezhetőségek) ellenőrzését figyelemmel kísérik, az ellenőrzéseket elvégzik, és különböző ellenőrzési eljárásokat végeznek.
A folyamatos nyomon követés és ellenőrzések eredményei során a szükséges korrekciós intézkedéseket kell végrehajtani, amelyek magukban foglalhatják különösen a kockázatok átértékelését, a politikák és a kockázatkezelési módszertan korrekcióját, valamint a kockázatkezelési tervet.
A kockázatkezelés bármely megközelítésének lényege a kockázati tényezők és a megfelelő kockázati feldolgozási megoldások elemzése. A kockázati tényezők a legfontosabb paraméterek, amelyeket a kockázatok értékelése során működünk. Csak hét ilyen paraméter van:
A paraméterek elemzésének és értékelésének módszereit a szervezetben használt kockázatértékelési módszertan határozza meg. Ebben az esetben az indokolás általános megközelítése és rendszere ugyanolyan, bármilyen módszertant nem használnak. A kockázatértékelési folyamat (értékelés) két fázist tartalmaz. Az első fázisban, amelyet a kockázatelemzés (elemzés) szabványokban határoz meg, a következő kérdésekre kell válaszolni:
A második szakaszban, amelyet a kockázatértékelés (értékelés) szabványai határoztak meg, meg kell válaszolni a kérdésre: milyen kockázati szint (átlagos éves veszteség) elfogadható a szervezet számára, és ennek alapján, mely kockázatok meghaladják ezt a szintet .
Így a kockázatértékelés eredményei szerint megkapjuk a megengedett szintet meghaladó kockázatok leírását, valamint e kockázatok nagyságának értékelését, amelyet az átlagos éves veszteség nagysága határozza meg. Ezután el kell dönteni a kockázatfeldolgozásról, azaz Válaszoljon a következő kérdésekre:
Ennek a folyamatnak a kimenete olyan kockázati feldolgozási terv, amely meghatározza a kockázati feldolgozási módszereket, az ellenintézkedések költségeit, valamint az ellenintézkedések végrehajtásáért felelős időszakot.
A kockázatkezelés döntéshozatala a kockázatkezelési folyamat kulcsfontosságú és leginkább felelős pillanatában. Annak érdekében, hogy a vezetés a megfelelő döntés meghozatalához, a szervezet kockázatainak kezeléséért felelős munkavállalónak releváns információkkal kell rendelkeznie. Az ilyen információk formáját az üzleti kommunikáció szabványos algoritmusa határozza meg, amely négy fő elemet tartalmaz:
Az (1) és (2) bekezdés, valamint a 3. és 4. bekezdés helyeken változhat a konkrét helyzet függvényében.
Van elegendő mennyiségű jól bevált és meglehetősen széles körben használt módszer az értékeléshez és a kockázatkezeléshez. Az egyik ilyen módszert a Carnegie Meloni Egyetemen fejlesztették ki a szervezet belső használatára. Octave - A kritikus fenyegetések, eszközök és sebezhetőségek (operatív kritikus fenyegetés, eszköz és sebezhetőségértékelés) értékelése számos módosítással rendelkezik különböző méretű szervezetek és tevékenységi területek számára. Ennek a módszernek a lényege, hogy a szekvenciát a kockázatok mérésére használják, ennek megfelelően szervezett belső szemináriumok (workshopok). A kockázatértékelést három szakaszban végzik, amelyeket előzőek előznek előkészítő tevékenységek, amelyek magukban foglalják a szemináriumok ütemezésének harmonizációját, szerepvállalási célpontjait, tervezését, a projektcsapat résztvevőinek összehangolását.
Az első szakaszban, a gyakorlati szemináriumok, a fenyegetési profilok fejlesztése, beleértve az eszközök értékének jegyzékét és értékelését, azonosítani kell a jogszabályok és a szabályozási keret alkalmazandó követelményeit, a fenyegetések azonosítását és a valószínűségük értékelését, valamint annak meghatározását Az IB rezsimrendszer fenntartására szolgáló szervezeti intézkedések rendszerét végzik.
A második szakaszban a szervezet információs rendszereinek sebezhetőségeinek technikai elemzése, amelynek profiljait az előző szakaszban fejlesztették ki, amely magában foglalja a szervezet információs rendszereinek és értékelési sérülékenységének azonosítását.
A harmadik szakaszban az IB kockázatok értékelik és feldolgozzák, amely magában foglalja a károsodás értékének és valószínűségének meghatározását a biztonsági fenyegetések eredményeként a korábbi szakaszokban azonosított biztonsági rések felhasználásával, valamint a védelmi stratégiát, valamint a választásokat a kockázatok lehetőségeinek és döntéshozatala. A kockázat összegét a szervezet éves vesztesége átlagolt értéke határozza meg a biztonsági fenyegetések végrehajtásának eredményeképpen.
Hasonló megközelítést alkalmaznak egy széles körben ismert módszerben a cramm kockázatának felmérésére, a brit kormány rendjén keresztül. A CRAMM-ben a kockázatok felmérésének fő módja gondosan tervezett interjúk, amelyek a részletes kérdőíveket használják. A Cramm-t több ezer szervezetben használják a világ minden táján, másrészt, és egy nagyon fejlett szoftvereszköz jelenlétének, amely tartalmazza a kockázatok és a minimalizálási mechanizmusok ismereteinek adatbázisát, az információgyűjtési eszközöket, a jelentések kialakítását, valamint az algoritmusok végrehajtása a kockázatok nagyságrendjének kiszámításához.
Az oktave módszerrel ellentétben a CRAMM a kockázatok nagyságának meghatározására szolgáló műveletek és módszerek enyhén eltérő szekvenciáját alkalmazza. Először is, a kockázatértékelés megvalósíthatóságát egyáltalán határozzák meg, és ha a szervezet információs rendszere nem kritikus, akkor a nemzetközi szabványokban leírt és a CRAMM-ismeretekben szereplő szabályozási mechanizmusok szabványos készletét alkalmazzák.
Az első szakaszban, a CRAMM-módszerben az információs rendszer erőforrásainak modellje, amely leírja az információs, szoftverek és a technikai erőforrások közötti kapcsolatot, valamint becslései az erőforrások értéke, amely az esetleges károk alapján, amelyet a szervezet felmerülhet veszélyeztetése.
A második szakaszban a kockázatértékelés, beleértve a fenyegetések valószínűségének azonosítását és értékelését, a sebezhetőségek értékének értékelését és az egyes utazások kockázatainak kiszámítását: az erőforrás - a fenyegetés sebezhetőség. A CRAMM-ot "tiszta" kockázatokkal értékelik, függetlenül a rendszerben végrehajtott ellenőrzési mechanizmusoktól. A kockázatértékelési szakaszban feltételezzük, hogy az ellenintézkedések nem alkalmazandók, és a kockázatok minimalizálására vonatkozó ajánlott ellenintézkedések vannak kialakítva, e feltételezés alapján.
A végső szakaszban a CRAMM Toolkit-t az azonosított kockázatok minimalizálására irányuló ellenőrzési intézkedésekkel állítják elő, és az ajánlott és a meglévő ellenintézkedések összehasonlítása, amely után a kockázatkezelési terv kialakul.
A kockázatértékelés folyamatában számos egymást követő szakaszát átadjuk, amely rendszeresen visszafordul az előző szakaszokhoz, például túlbecsülve, bizonyos kockázatot követően egy adott ellenintézkedés kiválasztása után, hogy minimalizálja azt. Minden szakaszban kérdőívek, fenyegetések és sebezhetőségek jegyzékei, az erőforrások és a kockázatok, a dokumentáció, az ülések, a szabványok és az iránymutatások nyilvántartása. Ebben a tekintetben egy bizonyos programozott algoritmusra van szükség, egy adatbázis és egy interfész a különböző adatokkal való együttműködéshez.
Az IB kockázatainak ellenőrzése érdekében az eszköztár például a CRAMM-módszerben vagy RA2-ben (az ábrán látható), de ez nem kötelező. Azt is mondta a BS 7799-3 szabványban is. Az eszközkészlet használatának hasznossága lehet, hogy programozott algoritmust tartalmaz az értékelés és a kockázatkezelés munkafolyamatához, amely egyszerűsíti a munkát egy tapasztalatlan szakemberben.
Az eszközkészlet használata lehetővé teszi a módszertan egységesítését és egyszerűsítését a kockázatok újraértékelésére szolgáló eredmények használatára, még akkor is, ha más szakemberek végzik. Az eszközkészlet használatának köszönhetően az adattárolás és az erőforrásmodell, a fenyegetésprofilok, a sérülékenységek és a kockázatok közötti munka egyszerűsíthető.
Amellett, hogy a tényleges eszköz értékelése és a kockázatkezelés, a szoftver eszköz tartalmazhat további eszközöket dokumentálása SWIB elemzése eltérések szabványok követelményeinek, az erőforrás-menedzsment-fejlesztés, valamint az egyéb szükséges eszközök megvalósítása és üzemeltetése SWIB .
A kockázatértékelés magas színvonalú vagy mennyiségi megközelítéseinek megválasztását a szervezet üzleti tevékenységének és az informatizáció szintjének meghatározza, azaz azaz Az információs eszköz fontosságát, valamint a szervezet lejáratának szintjét.
Amikor a szervezet kockázatkezelésének hivatalos megközelítését alkalmazzák, elsősorban a józan észre, a meglévő szabványok (például a BS 7799-3) és a jól bevált módszertanok (például oktáv vagy cramm) támaszkodni kell . Hasznos lehet a szoftvereszközök használata e célokra, amely végrehajtja a megfelelő módszereket és maximalizálja a szabványok követelményeit (például RA2).
Az IB kockázatkezelési folyamat hatékonyságát a kockázati tényezők elemzésének és értékelésének pontossága és teljessége határozza meg, valamint az irányítási döntések irányítási mechanizmusainak hatékonyságát és végrehajtásuk ellenőrzését.
Az információ értékét az előkészítés összetettsége (gyűjtemény) határozza meg, a támogatási költsége (karbantartás), a veszteség vagy megsemmisítés esetleges károsodásának összege, a más személyek (versenytársak, támadók) költsége hajlandó fizetni, valamint a lehetséges következmények és bírságok nagyságát, vesztesége esetén (szivárgás). Az információ értékelése nélkül lehetetlen megfelelően értékelni a pénz és erőforrások megvalósíthatóságát a védelmére. Az értékértéket figyelembe kell venni a védőintézkedések kiválasztásakor.
Az eszközértékelés mind kvantitatív, mind kiváló minőségű módszereket hajtható végre. Az eszköz tényleges értékét az akvizíció, a fejlesztés és a támogatás értékének alapján határozzák meg. Az eszköz értékét azzal határozza meg, hogy a tulajdonosok, az engedélyezett és jogosulatlan felhasználók számára van. Néhány információ fontos a vállalat számára, és a magánélethez tartozik.
Például a szerver értéke 4000 dollár, de ez nem a kockázatok értékelése során figyelembe vett értéke. Az értéket a csere vagy javítás költségei határozzák meg, a teljesítménycsökkentés miatti veszteségek, kár károsodása vagy adatvesztése miatt. Ez az egyik okból a kár károsodását vagy elvesztését a vállalat károsítja.
Az eszközök értékének meghatározásakor figyelembe kell venni a következő kérdéseket:
Az eszközök értékének meghatározása a vállalat számára számos okból hasznos, beleértve a következőket:
Amint azt korábban említettük, a kockázat valószínű, hogy a fenyegetés forrása kihasználja a sebezhetőséget, ami negatív hatással lesz az üzletre. Sokféle fenyegetési források vannak, amelyek különböző típusú sebezhetőségeket használhatnak, amelyek bizonyos fenyegetésekhez vezethetnek. Néhány kockázat az 1-2. Táblázatban látható.
1-2. Táblázat. A fenyegetések és sebezhetőségek kapcsolatai
Vannak más, sokkal bonyolultabb azonosítani a veszélyeket, amelyek egy számítógépes környezetben előfordulhatnak. Ezek a fenyegetések az alkalmazások és a felhasználói hibák hibáihoz kapcsolódnak. Mindazonáltal, a hibáik (szándékos vagy véletlenszerű) felhasználói tevékenységének ellenőrzésének és ellenőrzésének megfelelő szervezetével, hogy lényegesen megkönnyítsék.
A sérülékenységek és a kapcsolódó fenyegetések azonosítása után a felhasználásuk következményeit meg kell vizsgálni, vagyis a potenciális károk kockázata. A károsodás az adatok vagy rendszerek (tárgyak) károsodásához kapcsolódhat, a bizalmas információk jogosulatlan közzététele, a csökkentett teljesítmény stb. A kockázatok elemzésénél a csoportnak is figyelembe kell vennie a valószínűleg késleltetett kár(Késleltetett veszteség), amely egy idő után (15 perctől több évig) előfordulhat a kockázat megvalósítása után. Késleltetett károk okozhatók például a munka teljesítményének csökkenése egy bizonyos idő után, a vállalat jövedelmének csökkenése, a hírneve, a tárolási döntők, a környezeti helyreállítási költségek, felfüggeszti a befogadó pénzeszközöket az ügyfelektől stb.
Például, ha ennek eredményeként a támadás a cég web szerverek, abbahagyták szolgálni, az adatok sérülését lehet közvetlen kárt, a költségeket a munkaidő helyreállítása szerver üzemeltetés, frissítés védtelen szoftver őket. Ezenkívül a vállalat elveszíti az ügyfélszolgálat számára az ügyfélszolgálat lehetetlensége miatt, hogy visszaállítsa webkiszolgálók munkáját. Ha a helyreállítási munka jelentős időt vesz igénybe (például egy hét), akkor a vállalat elveszítheti a nagy mennyiségű nyereséget, amely nem fog fizetni a számlákat és más költségeket. Ez halasztott kár. És ha többek között a vállalat elveszti az ügyfelek bizalmát, akkor teljesen elveszíti üzleti tevékenységét (egy ideig vagy örökké). Ez a halasztott károsodás szélsőséges esete.
Ez a fajta kérdések jelentősen megnehezítik a kár mennyiségi értékelését, de figyelembe kell venni azokat a megbízható értékelés megszerzéséhez.
Kockázatértékelési módszerek.Számos különböző technikát alkalmaznak a kockázatok értékelésére. Nézzünk néhányat.
NIST SP 800-30. és 800-66 A kereskedelmi vállalatok által használható módszertanok, bár 800-66-ot kezdetben az egészségügyi ellátás és más szabályozott iparágak számára fejlesztették ki. A NIST megközelítés figyelembe veszi az informatikai fenyegetések és az információbiztonság megfelelő kockázatát. Ez a következő lépéseket nyújtja:
- A rendszer jellemzőinek leírása
- A fenyegetések azonosítása
- A sérülékenységek azonosítása
- A védelmi intézkedések elemzése
- A valószínűség meghatározása
- Hatástanulmány
- Kockázatmeghatározás
- A védelmi intézkedések ajánlásai
- Az eredmények dokumentálása
NIST SP 800-30 A kockázatértékelési módszertant gyakran a tanácsadók és a biztonsági szakemberek, a belső informatikai osztályok használják. Főleg számítógépes rendszereken fókuszál. Különálló emberek vagy kis csoportok gyűjtenek adatokat a hálózatról, a használt biztonsági gyakorlatokból, valamint a vállalatban dolgozó személyektől. Az összegyűjtött adatokat forrásadatokként használják a 800-30-as dokumentumban leírt kockázatelemzési lépések végrehajtásához.
Egy másik kockázatértékelési módszertan Frap (Könnyű kockázatelemzés folyamat - kockázatelemző csoport). Úgy tervezték, hogy minőségi kockázatértékelést végezzen olyan módon, amely lehetővé teszi a különböző szempontok ellenőrzését és különböző módszertanokat. Ez biztosítja azokat a módokat, amelyek lehetővé teszik a vállalatok számára, hogy döntéseket hozzanak a cselekvések irányításáról és konkrét intézkedésekről a különböző problémákra vonatkozóan. Ez lehetővé teszi az előzetes kiválasztáson keresztül, hogy azonosítsa ezeket a területeket a vállalatban, amely igazán kockázati szükséges. A frap úgy van kialakítva, hogy bárki, aki jó készséggel rendelkezik a csoportos munka szervezésében, sikeresen elemezheti a technikát.
Egy másik típusú módszertan OKTÁV (Működési szempontból kritikus fenyegetés, eszköz és sebezhetőségi értékelés - kritikus fenyegetések, eszközök és sebezhetőségek értékelése). Ezt a módszertant kell alkalmazni olyan helyzetekben, amikor az információbiztonság kockázatának teljes elemzésének teljes vizsgálata a Társaság alkalmazottai (külső tanácsadók vonzása nélkül). Ez azon az elképzelésen alapul, hogy a vállalat alkalmazottai leginkább megértsék, hogy valóban szüksége van egy vállalatra, és az általa kockázatokkal szemben. A folyamatban részt vevő munkatársak maguk is eldöntik, hogy mely megközelítés lesz a legjobb a vállalat biztonságának értékeléséhez.
Míg a NIST és az Octave módszertanok célja az informatikai fenyegetések és az információbiztonság kockázata, AS / NZS 4360 Sokkal nagyobb megközelítést alkalmaz a kockázatkezelésre. Ez a módszertan felhasználható a vállalat kockázatának megértéséhez a pénzügyek területén, az emberek védelme, üzleti megoldások stb. Nem volt kifejezetten a biztonsági kockázatok elemzésére, bár sikeresen alkalmazható erre a célra.
JEGYZET. További információt találhat ezekről a megközelítésekről a kockázatelemzésre és azok használatáról a Sean Harris cikkben az oldalon http://searchsecurity.techtarget.com/generic/0.295582/sid14_gci1191926.00.html.Cramm. (CCTA kockázatelemzési és menedzsment módszer - A módszer elemzése és kockázatok kezelésére a Központi Hivatal Számítógépek és telekommunikáció (CCTA) az Egyesült Királyság) van osztva három szegmensben: azonosítását és értékelését eszközök elemzése fenyegetések és biztonsági rések az ellenintézkedések megválasztása. Ez a technika figyelembe veszi mind a vállalat technikai vonatkozásait, mind a technikai szempontokat.
A kötőfák elemzése (A spanning tree analízis) olyan módszertan, amely egy olyan potenciális fenyegetést és hátrányt hoz létre, amely megzavarhatja a rendszer működését. Minden ágazat általános téma vagy kategória, a nem alkalmazandó ágak törölhetők a kockázatok elvégzésének folyamatában.
FMEA (meghibásodási módok és hatáselemzés) - Ez a funkciók meghatározására szolgáló eljárás, a funkcionális hibák azonosítása, a hiba okai és következményeinek értékelése strukturált folyamat alkalmazásával. Ennek a folyamatnak az állandó hibák esetében lehetővé teszi, hogy meghatározza azt a helyet, ahol a hiba valószínűleg megtörténik. Segíti a kiszolgáltatott helyek azonosítását a sebezhetőségek határainak meghatározására és működésük következményeire. Ezenkívül nemcsak a sérülékenységek kiküszöbölésének javítása egyszerűsítését teszi lehetővé, hanem az erőforrások hatékonyabb felhasználásának biztosítása érdekében.
Egy bizonyos lépéseket követően elérheti a legjobb eredményeket a hibás elemzésben.
Az 1-3. Táblázat az FMEA példáját és dokumentációját mutatja. Bár a legtöbb vállalatnak nincs erőforrásai az egyes rendszerekről és ellenőrzésre vonatkozó ilyen részletes tanulmányra, azt kritikus funkciókra és rendszerekre kell elvégezni, amelyek jelentős hatással lehetnek a vállalatra. Nagyon fontos elemezni a védőintézkedés vagy mikro-szintű mikro-szintű rendszert annak érdekében, hogy teljes mértékben megértsük, hogy a potenciális sebezhetőségek vagy hibák megtalálhatók legyenek, és milyenek lehetnek ezeknek a hiányosságoknak a működésének következményei. Minden számítógépes rendszer különböző különböző időpontokból állhat a szerkezet különböző szintjén. Az összetevő szintjén ez lehet az ActiveX puffer túlcsordulása vagy veszélyes komponensei, amelyek lehetővé teszik a támadó számára, hogy a biztonsági résen keresztül szabályozzák a rendszert. A program szintjén az alkalmazás nem biztonságos lehet az engedélyezés elvégzéséhez, vagy nem tudja megfelelően megvédeni a kriptográfiai kulcsokat. A rendszer szintjén az operációs rendszer rendszermagja hiányos lehet, ami lehetővé teszi a támadó számára, hogy nehézség nélkül adminisztratív hozzáférés. Különböző szörnyű dolgok bármilyen szinten fordulhatnak elő, így egy ilyen részletes megközelítés szükséges.
1-3. Táblázat. Az FMEA példája és dokumentálása
Kezdetben az FMEA-t úgy tervezték, hogy tanulmányozza a rendszereket. Célja a termékek és a kapcsolódó folyamatok lehetséges hibáinak feltárása. Ez a megközelítés sikeres volt, és alkalmazkodott a kockázatkezelés területén a prioritások értékelésére és az ismert fenyegetések sebezhetőségének minimalizálására.
Az FMEA azonban nem elég hatékonyan, ha olyan komplex hibákat azonosít, amelyekben több különböző rendszer vagy alrendszer is részt vehet. Ebben az esetben célszerűbb használni a hibák fája elemzését (hibafájás elemzés). A fa meghibásodásával való elemzéshez a fő folyamat megtörténik. A gyökere (a logikai fa legmagasabb eleme), nemkívánatos esemény jelenik meg. Ezután, mint ágak, számos logikai kifejezést és eseményt adnak hozzá, ami magasabb nemkívánatos esemény megvalósításához vezethet. Ezt követően a hibafát a hibák valószínűségének megfelelő számokkal jelölik (általában olyan speciális számítógépes programok segítségével, amelyek kiszámíthatják a hullámvilág valószínűségeit). Az 1-7. Ábra egy egyszerűsített kudarcot és különböző logikai jeleket mutat, amelyek a hibát okozhatják.
1-7. Ábra A kudarcok és a logikai elemek fája
Néhány leggyakoribb szoftverhiba, amelyet a hibafájás elemzésével vizsgálhatunk:
Jelenleg a vállalatok információs kockázatának és azok kezelésének különböző módjait használják. A Társaság információs kockázatainak értékelése a következő tervvel összhangban történhet:
1) A Társaság információs forrásainak azonosítása és mennyiségi értékelése az üzleti élethez.
2) A lehetséges fenyegetések becslése.
3) A meglévő sebezhetőségek értékelése.
4) Az információbiztonsági eszközök hatékonyságának értékelése.
Feltételezzük, hogy a vállalat jelentős kiszolgáltatott információs erőforrásai veszélyeztetik, ha vannak fenyegetések rájuk. Más szóval, a kockázatok jellemzik a veszélyeztetett veszélyt, amely veszélyeztetheti a vállalati információs rendszer összetevőit. Ugyanakkor a vállalat információs kockázataitól függ:
Az információforrások értékmutatói;
Az erőforrások fenyegetéseinek megvalósításának valószínűsége;
A meglévő vagy tervezett információbiztonsági eszközök hatékonysága.
A kockázatértékelés célja a vállalati információs rendszer és erőforrásainak kockázatainak jellemzőinek meghatározása. A kockázatok értékelése után választhat olyan eszközöket, amelyek biztosítják a vállalat információbiztonsági szintjének biztosítását. A kockázatok értékelésénél az ilyen tényezők, mint az erőforrások értéke, a fenyegetések jelentősége és a sérülékenységek, a meglévő és tervezett védelmi eszközök hatékonyságát figyelembe veszik. A vállalat bizonyos erőforrásainak fenyegetésének lehetősége becsülhető annak valószínűsége, hogy végrehajtásának valószínűsége egy adott időszakra. Ebben az esetben a fenyegetés megvalósításának valószínűségét a következő fő tényezők határozzák meg:
Az erőforrás vonzereje (figyelembe véve a személy részéről a szándékos hatását);
A jövedelemforrás felhasználásának lehetősége (szintén egy személy szándékos hatására irányuló fenyegetés esetén);
Technikai képessége annak, hogy a veszély szándékos hatással van egy személy részéről;
A könnyűség mértéke, amellyel a biztonsági rés használható.
Jelenleg az információs kockázatok kezelése az információvédelem területén a stratégiai és operatív menedzsment egyik legsürgetőbb és dinamikusan fejlődő területe. Fő feladata, hogy objektíven azonosítsák és értékeljék a vállalat legfontosabb információs kockázatát, valamint a vállalat gazdasági tevékenységének hatékonyságának és jövedelmezőségének növelésére használt kockázatkezelési eszközök megfelelőségét. Ezért, a „menedzsment információs kockázatok”, a szisztémás azonosítási folyamat, ellenőrzése és csökkentése információs kockázatok vállalatok általában megfelelően értendő bizonyos korlátozások az orosz keretszabályozás terén információ védelme és saját vállalati biztonsági politikák. Úgy véljük, hogy a magas színvonalú kockázatkezelés lehetővé teszi a kockázatellenőrzés optimális és költségeinek felhasználását, a vállalat jelenlegi céljainak és üzleti célkitűzéseinek megfelelő kockázatkezelési és eszközeinek megfelelő költségét.
Nem titok, hogy ma széles körben elterjedt a hazai vállalatok sikeres üzleti ágazatának függőségét a szervezeti intézkedések és a technikai eszközök a kontroll és a kockázatcsökkentés. A hatékony információs kockázatkezeléshez speciális technikákat fejlesztettek ki, például a nemzetközi szabványok ISO 15408, ISO 17799 (BS7799), BSI; valamint a nemzeti szabványok NIST 80030, SAC, COSO, SAS 55/78 és más hasonlóan. Ezekkel a módszerekkel összhangban bármely vállalat információs kockázatainak kezelése a következőket foglalja magában. Először is, meghatározva a vállalat információs eszközeinek védelmének fő célkitűzéseit és feladatokat. Kapcsolódó, hatékony értékelési rendszer és információs kockázatok létrehozása. Harmadszor, a részletes, nemcsak minőség, hanem a jelentett üzleti célkitűzésekhez megfelelő mennyiségi kockázatértékelések kiszámítása. Részben speciális kockázatértékelés és kockázatkezelési eszközök alkalmazása.
Minőségi kockázatkezelési technikák
A kvalitatív kockázatkezelési technikákat a technikailag fejlett országokban a belső és külső deAuditor számos hadseregében fogadják el. Ezek a technikák meglehetősen népszerűek és viszonylag egyszerűek, és általában az ISO 177992002 nemzetközi szabvány követelményei alapján tervezték.
Az ISO 17799 szabvány két részből áll.
Az 1. részben: gyakorlati ajánlások az információbiztonsági menedzsmentről, 2002-ben, azonosították az információbiztonsági rendszer megszervezésének főbb aspektusait a vállalatnál: a biztonsági politika. Védelmi szervezet. Az információs források osztályozása és kezelése. Személyzeti menedzsment. Fizikai biztonság. Számítógépes rendszerek és hálózatok kezelése. A rendszerekhez való hozzáférés. Rendszerek fejlesztése és karbantartása. A szervezet megszakítás nélküli szervezése. A rendszer ellenőrzése az IB követelményeinek való megfeleléshez.
2. rész: A specifikációk, 2002, ezeket a szempontokat a vállalat információs biztonsági módjának igazolásának szempontjából a szabvány követelményeinek való megfelelés tekintetében. Gyakorlati szempontból ez a rész az iTauditor eszköze, és lehetővé teszi, hogy bármely vállalat információbiztonságának belső vagy külső ellenőrzését gyorsan elvégezze.
A kvalitatív kockázatkezelési módszerek az ISO 17999 követelményei alapján a COBRA és RA szoftvereszköz-technikákat tartalmazzák. Röviden fontoljuk meg ezeket a technikákat.
Ez a technika lehetővé teszi a legegyszerűbb lehetőség elvégzését az automatizált üzemmódban bármely információ információinak becsléséhez. Ehhez javasoljuk, hogy speciális elektronikus tudásbázisokat és eljárásokat használjanak az ISO 17799 követelményekre irányuló logikai kimenetre vonatkozóan. Alapvető fontosságú, hogy kívánt esetben a kapcsolódó követelmények listáját kiegészítsék a belföldi szabályozási szabályozó hatóságok különböző követelményeivel Példa, az Orosz Föderáció Államtanácsának irányadó dokumentumai (RD) követelményei.
A COBRA-módszertan bemutatja az ISO 17799 szabvány követelményeit tematikus kérdőívek formájában (ellenőrző listák), amelyet a vállalat információs eszközeinek és elektronikus businórindnének kockázatainak értékelése során kell megválaszolni ( Ábra. 1. - Példa a COBRA-kérdések tematikus gyűjtésére). A következő válaszokat automatikusan feldolgozzák, és a megfelelő logikai kibocsátási szabályok segítségével zárójelentés alakul ki a Társaság információs kockázatainak jelenlegi értékeléseivel és a menedzsmentjükre vonatkozó ajánlásokkal.
RA szoftvereszköz
Módszertan és Tool Tool RA szoftvereszköz ( Ábra. 2. - Alapmodul módszerek RA szoftvereszköz) Az ISO 17999 és az ISO 13335 (3. és 4. rész) követelményei alapján, valamint a Brit National Standard Institute (BSI), például a PD 3002 (kockázatkezelési útmutató) követelményei alapján , Pd 3003 (a készenléti vállalatok értékelése a BS 7799 szabványnak megfelelően), pd 3005 (iránymutatások a védelmi rendszer kiválasztására) stb.
Ez a technika lehetővé teszi számunkra, hogy értékeljük az információs kockázatok (4. és 5. modulok) értékelését az ISO 17799 követelményeinek megfelelően, és kívánt esetben a brit Intézet PD 3002 vezetésének részletesebb előírásainak megfelelően.
Kvantitatív kockázatkezelési technikák
A kockázatkezelési technikák második csoportja kvantitatív technikákat jelent, amelyek relevanciája annak köszönhető, hogy megoldani kell a különböző optimalizálási feladatok megoldását, amelyek gyakran valós életben merülnek fel. Ezeknek a feladatoknak a lényege az egyetlen optimális megoldás keresésére csökken, számos létezőtől. Például a következő kérdésekre kell válaszolni: "Hogyan marad, a jóváhagyott éves (negyedéves) költségvetés keretében az információbiztonság érdekében, a vállalat információs eszközeinek maximális biztonságának elérése érdekében?" Vagy "Mi az alternatívák a vállalati információk védelmének (védett www webhely vagy vállalati e-mail) létrehozásához, figyelembe véve a vállalat businusainak jól ismert korlátozásait?" A problémák megoldása és a kvantitatív értékelés és a kockázatkezelés módszerei és módszerei, a rendszerelemzés és a tervezés strukturális és kevésbé orientálható módszerei alapján (SSADM - strukturált rendszerelemzés és tervezés). A gyakorlatban az ilyen kockázatkezelési technikák lehetővé teszik: az információs eszközipari vállalatok létrehozása a biztonság szempontjából; Osztályozza és értékeli az eszközök értékét; Készítsen feleket a legjelentősebb fenyegetések és biztonsági sebezhetőségek listájáról; Rank fenyegetések és biztonsági sebezhetőségek; Igazolja az alapokat és a kockázatkezelési intézkedéseket; Értékelje a különböző védelmi lehetőségek hatékonyságát / költségét; Formalizálja és automatizálja a kockázatértékelési és kezelési eljárásokat.
Ennek az osztálynak az egyik leghíresebb módszere a CRAMM technika.
először a módszert hozták létre, majd a CCA követelményeinek megfelelő név (kockázatelemzés és kontroll) módszere. Aztán megjelent néhány változat a módszertan, amely a különböző állami és kereskedelmi szervezetek és struktúrák igényeire összpontosított. A "kereskedelmi profil" egyik verziója széles körben elterjedt az információ védelme érdekében.
A CRAMM-módszertan fő célkitűzései a következők: az elemzés és a kockázatkezelés módszereinek formalizálása és automatizálása; Az ellenőrzési és védelmi költségek optimalizálása; Átfogó tervezés és kockázatkezelés az információs rendszerek életciklusának minden szakaszában; A vállalati információs rendszer fejlesztésének és karbantartásának idő csökkentése; A javasolt biztonsági intézkedések és ellenőrzések hatékonyságának igazolása; Változások és események kezelése; Üzleti folytonossági támogatás; Működési döntéshozatal a biztonsági menedzsment kérdésekről stb.
A CRAMM-módszer kockázatkezelését több szakaszban végezzük (3. ábra).
Az iniciáció első szakaszában - "kezdeményezés" - a vállalat információs rendszerének, a fő információs eszközeinek összetételét és szerkezetét meghatározzák.
Az erőforrások azonosításának és értékelésének szakaszában - az eszközök azonosítása és értékelése - az eszközöket egyértelműen azonosítják, és költségüket meghatározzák. Az információs eszközök költségeinek számítása egyértelműen lehetővé teszi, hogy meghatározza a javasolt ellenőrzési és védelmi eszközök szükségességét és megfelelőségét.
A fenyegetések és sebezhetőségek becslése során - "fenyegetés és sebezhetőségértékelés" - a vállalat információs eszközeinek fenyegetéseit és sérülékenységét azonosítják és értékelik.
A kockázatelemzési szakasz "kockázatelemzés" - lehetővé teszi, hogy kiváló minőségű és mennyiségi kockázatértékeléseket szerezzen.
A kockázatkezelési szakaszban - "kockázatkezelés" - intézkedéseket és kockázatcsökkentést kínálnak.
Nézzük meg a CRAMM lehetőségeit a következő példában. Hagyja, hogy értékelje a következő vállalati információs rendszer információs kockázatát (4. ábra).
Ebben a rendszerben feltételezhetően kiválasztjuk a rendszer következő elemeit: Munkák, amelyeken az üzemeltetők megadják a külvilágba való belépést; Mail Server, amelyre az információ az interneten keresztül távoli hálózati csomópontokkal rendelkezik; A feldolgozó kiszolgáló, amelyen a DBMS telepítve van; mentési kiszolgáló; Állás-válasz csapat munkahelyek; Biztonsági rendszergazda munkahely; Munkahelyi rendszergazdai adatbázis.
A rendszer működését az alábbiak szerint végezzük. A felhasználói feladatokból származó adatok és a levelező kiszolgáló beírása az adatvállalati feldolgozó kiszolgálóra kerül. Ezután az adatok a működési válaszcsoport munkaterületére kerülnek, és ott vannak megfelelő döntések.
Most végezzük a kockázatelemzést a CRAMM technikával, és kínáljunk bizonyos eszközöket és kockázatkezelést, megfelelő módon a vállalat üzleti céljait és célkitűzéseit.
A tanulmány határainak meghatározása. A színpad megkezdődik a vizsgálat alatt álló rendszer határainak meghatározásának problémájával. Ehhez a következő információkat gyűjtik össze: felelős a fizikai és szoftver erőforrásokért; Ki a felhasználó és a felhasználók használata vagy a rendszer használata; rendszerbeállítások. Az elsődleges információkat a projektmenedzserekkel, a felhasználói menedzserrel vagy más alkalmazottakkal folytatott beszélgetések folyamatában gyűjtik össze.
Az erőforrások azonosítása és a rendszermodell építése az IB szempontjából. Az erőforrások azonosítását elvégzik: a rendszer határain belül található anyagok, szoftverek és információk. Minden erőforrást az előre definiált osztályok egyikének kell tulajdonítani. A fizikai erőforrások besorolása az alkalmazásban található. Ezután az információs rendszer modelljét az IB szemszögéből építi. Minden olyan információs folyamat esetében, amely független értéket tartalmaz a felhasználó szempontjából, és a felhasználói szolgáltatásnak (enduserservice) nevezik, az alkalmazott források kötvényei. A példában a példa az egyetlen hasonló szolgáltatás (5. ábra). Az épített modell lehetővé teszi a kritikus elemek kiemelését.
Az erőforrások értéke. A technika lehetővé teszi az erőforrások értékének meghatározását. Ez a lépés kötelező a kockázatelemzés teljes verziójában. Az ebben a módszerben a fizikai erőforrások értékét a megsemmisítés esetén a helyreállítás ára határozza meg. Az adatok és a szoftver értékét a következő helyzetekben határozzák meg: az erőforrás elérhetetlenségét bizonyos ideig; Erőforrás megsemmisítése - az utolsó biztonsági mentés óta vagy teljes megsemmisítésével kapott információvesztés; titoktartási megsértés a teljes munkaidős munkavállalók jogosulatlan hozzáférése vagy jogosulatlan személyek számára; A módosítás a kis személyi hibák (bemeneti hibák), a programhibák, a szándékos hibák esetében történik; Az információ átadásához kapcsolódó hibák: Szállítási hiba, információhiány, helytelen cím szerinti szállítás. A lehetséges károk értékeléséhez javasoljuk a következő kritériumok használatát: a szervezet hírnevének károsodása; a jelenlegi jogszabályok megsértése; a személyi egészség károsodása; az egyének személyes adatainak közzétételével kapcsolatos károk; Pénzügyi veszteségek az információ közzétételéből; Az erőforrás-helyreállításhoz kapcsolódó pénzügyi veszteségek; a kötelezettségek teljesítésének lehetetlenségével kapcsolatos veszteségek; A tevékenységek disulációja.
A kritériumok fenti kombinációját a módszer kereskedelmi verziójában használják (standard profil). Más verziókban az aggregátum más, például a kormányzati szerveknél használt változatban, a paraméterek tükrözik az ilyen területeket, mint a nemzetbiztonsági és nemzetközi kapcsolatokat.
Az adatok és a szoftver esetében az IC-re vonatkozó kritériumok kiválasztásra kerülnek, a károsodást 1-től 10-ig terjedő értékeken végezzük.
Ha például az adatok tartalmazzák a kereskedelmi bizalmas (kritikus) információk részleteit, egy tanulmányt tartó szakértő, megkérdezi a kérdést: Hogyan befolyásolhatja a jogosulatlan személyek jogosulatlan személyéhez való hozzáférését?
Ez a válasz lehetséges: a fentiekben felsorolt \u200b\u200btöbb paramétereknél bekövetkező hiba, és minden szempontot részletesebbnek kell tekinteni, és a lehető legmagasabb becsléseket hozzárendelni kell.
Ezután a mérlegeket a kiválasztott paraméterrendszerre fejlesztik. Ez így nézhet ki.
A szervezet hírnevének károsodása: 2 - Az egyes tisztviselők negatív reakciója, nyilvános adatok; 4 - A média kritikája, amely nem széles körű nyilvános rezonanciával rendelkezik; 6 - A Duma, Föderációs Tanács egyéni képviselőinek negatív reakciója; 8 - A média kritikája, amelynek következményei nagy botrányok, parlamenti meghallgatások, nagyszabású ellenőrzések stb. 10 - Negatív reakció az elnök és a kormány szintjén.
A személyzet egészségének károsodása: 2 - Minimális kár (a következmények nem kapcsolódnak a kórházi ellátáshoz vagy a hosszú távú kezeléshez); 4 - A közepes méretű kár (kezelésre van szükség egy vagy több alkalmazott számára, de nincs hosszú negatív következmény); 6 - Súlyos következmények (hosszú távú kórházi kezelés, egy vagy több alkalmazott fogyatékossága); 10 - Az emberek halála.
Az erőforrás-helyreállításhoz kapcsolódó pénzügyi veszteségek: 2 - kevesebb, mint 1000 dollár; 6 - 1000 dollár és 10 000 dollár között; 8 - 10 000 dollárról 100 000 dollárra; 10 - több mint 100 000 dollár.
A kommunikációs tevékenységek disulációja az adatok elérhetetlenségével: 2 - Az információhoz való hozzáférés hiánya legfeljebb 15 percig; 4 - Az információhoz való hozzáférés hiánya legfeljebb 1 óra; 6 - Az információhoz való hozzáférés hiánya legfeljebb 3 óra; 8 - 12 órás információhoz való hozzáférés hiánya; 10 - Az információhoz való hozzáférés hiánya több mint naponta.
Ebben a szakaszban több jelentés is előállítható (rendszerhatárok, modell, erőforrás-érték meghatározása). Ha az erőforrások értékei alacsonyak, az alapvető biztonsági opciót használhatja. Ebben az esetben a kutató azonnal mozoghat ezen a szakaszból a kockázatelemzési szakaszba. Azonban a fenyegetések, a sebezhetőségek és a magas szintű fenyegetések és sebezhetőségek kombinációjának megfelelő elszámolására azonban a fenyegetések és sérülékenységek fokozatos változatát kell használni. Ez lehetővé teszi, hogy hatékonyabb információbiztonsági rendszert dolgozzon ki.
A fenyegetések és eszközök becslése révén a felhasználói szolgáltatások függőségét bizonyos erőforrások csoportjai és a fenyegetések és sebezhetőségek meglévő szintje értékelik.
Ezután a vállalat eszközeit a fenyegetések és a sebezhetőségek szempontjából csoportosítják. Például tűz vagy lopás fenyegetése esetén, mint erőforráscsoport, ésszerűen figyelembe kell venni az összes erőforrást egy helyen ( szerver szoba, kommunikációs szoba stb.).
Ugyanakkor a fenyegetések és sebezhetőségek szintjeinek értékelése közvetett tényezők alapján vagy a szakértők közvetlen becslése alapján történhet. Az első esetben az egyes erőforráscsoportok CRAMM szoftvere, és mindegyikük létrehoz egy olyan kérdéseket, amelyek elismernek egy egyértelmű választ ( Ábra. 8. - A biztonsági fenyegetés szintjének szándéka közvetett tényezőkre).
A fenyegetések szintjét a válaszoktól függően becslések szerint: nagyon magas; magas; középső; alacsony; nagyon alacsony.
A sérülékenység szintjét a válaszoktól függően becslések szerint: magas; középső; alacsony; hiányzó.
Lehetőség van az eredmények korrekciójára vagy más értékelési módszerek alkalmazására. Ezen információk alapján a kockázati szinteket diszkrét skálán kell kiszámítani 1-től 7-ig terjedő fokozatokkal (kockázatelemzési fázis). A fenyegetések, sebezhetőségek és kockázatok keletkező szintjeit elemzik és összehangolják az ügyféllel. Csak akkor lehet áthelyezni a módszer végső szakaszába.
A kockázatok kezelése. A kockázatkezelési szakasz fő lépéseit az 1. ábrán mutatjuk be. kilenc.
Ebben a szakaszban a CRAMM számos lehetőséget teremt a kimutatott kockázatokra és szintjére vonatkozó ellensúlyozására. Az ellenintézkedések csoportokra és alcsoportokra oszthatók a következő kategóriákban: a hálózati szintű biztonság. Fizikai biztonság biztosítása. Az infrastruktúra biztonsága biztosítása. Biztonsági intézkedések a rendszergazdai szinten.
Ennek a szakasznak a végrehajtása eredményeképpen számos jelentés van kialakítva.
Így a figyelembe vett módszertan az elemzés és a kockázatkezelés teljes mértékben alkalmazható, és az oroszországi körülmények között, annak ellenére, hogy az NSD biztonságának tájékoztatása és az információ védelmére vonatkozó követelmények különböznek az orosz PC-ben és a külföldi szabványokban. Az olyan szerszámok használata, mint például a CRAMM módszere a CRAMM-módszer, amikor az IB területén megemelt információs rendszerek kockázatát elemzi, különösen hasznos. Ez lehetővé teszi, hogy megalapozzák a fenyegetések, sebezhetőségek, védelem hatékonyságának meglévő és megengedett szintjét.
Metológiai módszer
A módszerprogram fejlesztette saját értékelését és kockázatkezelési technikáit, és számos releváns eszközt ad ki. Ezek az alapok közé tartozik: az operatív kockázati készítő és kockázati tanácsadó elemzése és kockázatkezelése. A technika megfelel az ausztrál szabványos ausztrál / új-zélandi kockázatkezelési szabványnak (AS / NZS 4360: 1999) és ISO17799 szabványnak. Az informatika életciklus-kezelése a COBIT ADVISOR 3. EDITION (AUDIT) és a COBIT 3. EDITION menedzsment tanácsadó szerint. A COBIT kézikönyvekben jelentős helyet fizetnek az elemzéshez és a kockázatkezeléshez. Szoftverek a különböző kérdőíves készítő kérdőívek építésének automatizálására.
Röviden fontolja meg a kockázati tanácsadók lehetőségeit. Ez elemzésként vagy menedzserként van elhelyezve az információbiztonság területén. A technika megvalósítása az információs rendszer modelljének meghatározására az információbiztonság szempontjából, azonosítja a kockázatokat, a fenyegetések, a veszteséget az incidensek eredményeként. A főbb állomásait munka: ismertetése keretében, meghatározása és a kockázatok értékelése fenyegetések és a lehetséges károkat, mind az ellenőrző befolyás és a fejlesztési tervet helyreállítási és intézkedések vészhelyzetben. Nézzük meg a felsorolt \u200b\u200blépéseket. Kockázati leírás. Kockázati mátrix ( Ábra. 10. - A kockázati tanácsadó kockázatok azonosítása és meghatározása) Néhány sablon alapján. A kockázatokat minőségi skálán becsülik, és elfogadhatónak és elfogadhatatlannak osztható ( Ábra. 11. - Kockázati szétválasztás elfogadható és elfogadhatatlan kockázati tanácsadó). Ezután kiválasztják az ellenőrzési expozíciót (ellenintézkedéseket), figyelembe véve a korábban rögzített kritériumrendszert, az ellenintézkedések hatékonyságát és költségüket. A költségeket és a hatékonyságot a kiváló minőségű mérlegekben is értékeljük.
A fenyegetések leírása. Kezdetben a fenyegetések listája alakul ki. A fenyegetések határozottan minősülnek, akkor a kockázatok és a fenyegetések közötti kapcsolatot leírják. A leírás szintén kvalitatív szinten történik, és lehetővé teszi a kapcsolataik javítását.
A veszteségek leírása. Az események (következmények) az információbiztonsági mód megsértésével kapcsolatos. A veszteségeket a kiválasztott kritériumrendszerben értékelik.
Az eredmények elemzése. A modell megépítése eredményeként részletes jelentést (kb. 100 partíció) alkothat, nézze meg a képernyő összesített leírása Grappharis formájában.
A figyelembe vett módszertan lehetővé teszi, hogy automatizálja a vállalat kockázatkezelésének különböző aspektusait. Ebben az esetben a kockázatértékeléseket magas színvonalú mérlegekben adják meg. A kockázati tényezők részletes elemzését nem biztosítják. A figyelembe vett módszer ereje a különböző linkek leírása, amelyek megfelelően figyelembe veszik számos kockázati tényezőt és lényegesen kevésbé munkaerő-intenzitást a crammhoz képest.
Következtetés
A modern módszerek és az információs kockázatkezelési technológiák lehetővé teszik a hazai vállalatok fennmaradó információs kockázatainak meglévő szintjének becslését. Ez különösen fontos abban az esetben, ha a Társaság információs rendszere megnöveli az információ és az üzleti folytonosság védelmére vonatkozó fokozott követelményeket. Napjainkban számos kockázatelemzési technikát alkalmaznak, beleértve az eseteket, a hazai feltételek alkalmazását. Alapvető fontosságú, hogy az információs kockázatok minőségi szinten végzett elemzése lehetővé teszi a különböző védelmi lehetőségek "hatékonyságának és gyakoriságának" összehasonlító elemzését, a megfelelő ellenintézkedéseket és ellenőrzéseket, értékelje a maradék kockázatok szintjét. Ezenkívül a modern tudásbázisokon és a logikai kimeneti eljárásokon alapuló kockázatelemző eszközök lehetővé teszik a vállalat információs eszközeinek strukturális és tárgyorientált modelljeinek építését, az egyes információkkal és a businessnetrans-hez kapcsolódó fenyegetések és kockázatok modelljét, és ezért azonosítják az ilyen A Társaság információs eszközei, a biztonság megsértésének kockázata kritikus, vagyis elfogadhatatlan. Az ilyen műszeres eszközök biztosítják a lehetőséget, hogy építsenek a különböző modellek védelmére a cég információs eszközök, összehasonlítani a különböző változatai a védelmi és ellenőrző intézkedéseket, és ellenőrzi a követelmények teljesítésére rendezésére az informatikai biztonsági rendszer a hazai cég.
Ismeretes, hogy a kockázat az információbiztonság veszélyének megvalósításának valószínűsége. A klasszikus bemutatásban a kockázatértékelés magában foglalja a veszélyeztetett veszélyek, sebezhetőségek és károk értékelését. A kockázatelemzés a legkedvezőtlenebb feltételek kialakulásának képét azáltal, hogy figyelembe veszi az ilyen lehetséges tényezőket, amelyek meghatározzák a kockázatot. Egy matematikai szempontból a kockázatok elemzésénél az ilyen tényezők beviteli paramétereknek tekinthetők.
Sorolja fel ezeket a paramétereket:
1) az üzleti folyamatban részt vevő rendszer infrastruktúrájának kulcskomponensei és bizonyos értékek;
2) fenyegetések, amelyek végrehajtása a sebezhetőség használatával lehetséges;
3) sebezhetőségek - gyengeség a hibák vagy a tökéletlenség által okozott védelmi eszközök, projekt, végrehajtás, amely felhasználható a rendszerbe történő behatoláshoz;
4) A károsodást figyelembe véve figyelembe véve a rendszer helyreállításának költségeit az IB esetleges eseménye után.
Így a többfaktikus kockázatelemzés végrehajtásának első lépése az elemzett bemeneti paraméterek azonosítása és osztályozása. Ezután az egyes paraméterek fokozatosságát szignifikancia szintekkel kell elvégezni (például: magas, közepes, alacsony). A valószínű kockázat modellezésének végső szakaszában (a numerikus kockázati szintek megszerzése előtt) az azonosított fenyegetések és sebezhetőségek kötelező érvényűek az informatikai infrastruktúra konkrét komponenseihez (az ilyen kötés például kockázatelemzést jelenthet, Figyelembe véve és figyelembe véve a rendszervédelem jelenlétét, annak valószínűségét, hogy a rendszer veszélybe kerüljön a nem kiszámított tényezők stb.). Tekintsük fontolóra a kockázatok modellezésének folyamatát lépésről lépésre. Ehhez először is figyeljen a vállalat eszközére.
A vállalati eszközök leltárja
(Rendszerfajtás)
Először is meg kell határozni, hogy mi a vállalat értékes eszköze az információbiztonság szempontjából. Az ISO 17799 szabvány részletesen ismerteti az IB-vezérlőrendszer eljárásait, a következő típusú eszközöket foglalja magában:
. Információs források (adatbázisok és adatfájlok, szerződések és megállapodások, rendszerdokumentáció, kutatási információk, dokumentáció, képzési anyagok stb.);
. szoftver;
. anyagi eszközök (számítógépes berendezések, távközlési berendezések stb.);
. Szolgáltatások (távközlési szolgáltatások, megélhetés stb.);
. a vállalat munkatársai, képzettségük és tapasztalataik;
. Immateriális erőforrások (hírnév és képáru).
Meg kell határozni, hogy megsérti az információbiztonságot, mely eszközök károsíthatják a társaságot. Ebben az esetben az eszköz értékesnek minősül, és figyelembe kell venni az információs kockázatok elemzésénél. A leltár az értékes eszközök listájának összeállítása. Általános szabályként ezt a folyamatot az eszközök tulajdonosai végzik. A "tulajdonos" fogalma meghatározza azokat a személyeket vagy feleket, akik rendelkeznek a vállalat irányításával, fejlesztésével, karbantartásával, felhasználásával és védelmével jóváhagyott kötelezettségekkel.
Az eszközök kategorizálásának folyamatában meg kell vizsgálni a vállalat üzleti folyamatainak vagy más szóval, hogy meghatározzák, hogy mely kár megsérti az eszközök információbiztonságát. Ez a folyamat a legnagyobb összetettséget okozza, mert Az eszközök értékét a tulajdonosok szakértői értékelése alapján határozzák meg. E szakaszban a vitákat gyakran tartják a tanácsadók között egy irányítási rendszer és eszköztulajdonosok fejlesztésében. Ez segít az eszközök tulajdonosainak megértésében, hogy megértsük, hogy az eszközök értékét az információbiztonság szempontjából kell meghatározni (szabályként az eszközök kritikusságának meghatározásának folyamata a tulajdonos új és nem triviális). Ezenkívül különböző értékelési technikákat fejlesztenek ki az eszközök tulajdonosai számára. Különösen az ilyen technikák tartalmazhatnak konkrét kritériumokat (releváns ehhez a vállalatnál), amelyet figyelembe kell venni a kritikusság értékelésénél.
Eszköz kritikus értékelés
Az eszközkritikus értékelést három paraméterben végzik: titoktartás, integritás és hozzáférhetőség. Azok. Károsítani kell, hogy a Társaság megsérti az eszközök titkosságát, integritását vagy elérhetőségét. Az eszközök kritikalitásának értékelése a monetáris egységekben és a szintekben végezhető el. Tekintettel azonban arra, hogy az információs kockázatok elemzéséhez értékek szükségesek a monetáris egységekben, az eszközök kritikalitásának felmérése esetén a pénz minden szintjének becsléséhez szükséges.
Az informatikai rendszerek kockázatkezelési útmutatójában szereplő NIST hiteles osztályozás szerint a fenyegetések kategorizálása és értékelése előzi meg forrásaik közvetlen azonosítását. Tehát a fent említett besorolás szerint a fenyegetések fő forrásai megkülönböztethetők, amelyek közül:
. természetes eredetű fenyegetések (földrengés, árvíz stb.);
. Az embertől származó fenyegetések (jogosulatlan hozzáférés, hálózati támadások, felhasználói hibák stb.);
. Az ember által gyártott eredetű fenyegetések (különböző típusú balesetek, áramellátás, kémiai szennyezés stb.).
A fenti osztályozás részletesebben kategorizálható.
Tehát az említett NIST besorolás szerint egy személytől származó fenyegetési források független kategóriáihoz tartoznak:
- hackerek;
- bűnügyi struktúrák;
- terroristák;
- ipari kémkedéssel foglalkozó vállalatok;
- Bennfentesek.
A felsorolt \u200b\u200bfenyegetések mindegyikét részletesen kell részletezni és értékelni (például: alacsony, közepes, magas).
Nyilvánvaló, hogy a fenyegetések elemzését a tanulmány alatt álló rendszer sebezhetőségével szoros kapcsolatban kell tekinteni. Ennek a kockázatkezelési fázisnak a feladata, hogy kidolgozza a lehetséges rendszer sebezhetőségét, és ezeket a sérülékenységet kategorizálja, figyelembe véve a "hatalmukat". Tehát a globális gyakorlat szerint a sebezhetőségek fokozata a szintektől származhat: kritikus, magas, közepes, alacsony. Tekintsük ezeket a szinteket részletesebben:
1. Kritikus veszélyességi szint. Ennek a veszélynek a szintjére olyan sebezhetőségek, amelyek lehetővé teszik, hogy a rendszer távoli kompromisszumát elvégezzék a célhasználó további hatása nélkül, és jelenleg aktívan kihasználják. Ez a veszélyességi szint azt jelenti, hogy a kihasználás közügyekben van.
2. Nagyfokú veszély. Ehhez a veszélyességi szinthez kapcsolódik olyan sebezhetőségekhez, amelyek lehetővé teszik a távoli kompromisszumos rendszer elvégzését. Rendszerint nincsenek kihasználás az ilyen sebezhetőségek nyilvános hozzáférésén.
3. Az átlagos veszélytétel. Ennek a szintnek a veszélye olyan sérülékenységeket tartalmaz, amelyek lehetővé teszik, hogy távoli elutasítót végezzen a karbantartás, illetéktelen hozzáféréshez, vagy tetszőleges kódot végezzen a felhasználóval való közvetlen kölcsönhatással (például egy sebezhető alkalmazással való rosszindulatú kiszolgálóhoz való csatlakozással).
4. Alacsony veszély. Ez a szint magában foglalja az összes biztonsági rést, amely helyben működtetett, valamint a sebezhetőségek, a művelet nehéz, vagy minimális hatással van (például az XSS, az ügyfélalkalmazás megőrzésének megtagadása).
Az ilyen lista / sebezhetőségek listájának előkészítése forrása:
. Nyilvánosan közzétette a biztonsági rések rendszeres listáját (példa: www.securitylab.ru);
. A szoftvergyártó által kiadott sebezhetőségek listája (például: www.apache.org);
. A penetrációs tesztek eredményei (például: www.site-sec.com);
. A sérülékenységi jelentések elemzése (a biztonsági rendszergazda által a vállalaton belül).
Általában a sérülékenységek a következőképpen sorolhatók:
. OS és szoftveres sebezhetőségek (kódhibák) által észlelt gyártó vagy független szakértők (a cikk írásakor a sebezhetőségek száma összesen megjelent egy védjegyet: .com és securitylabus .com).
. Az adminisztratív hibákkal kapcsolatos rendszer biztonsági rések (a webszerver vagy a PHP beállítások nem megfelelő környezete, amelyet a kikötők nem zárnak ki a kiszolgáltatott szolgáltatásokkal, stb.).
. Olyan sebezhetőségek, amelyek forrásai olyan eseményekké válhatnak, amelyeket a biztonsági politikák, valamint a tizenegyedik események nem nyújtanak. Az operációs rendszer és a szoftver széles körű sebezhetőségének fényes példájaként a puffer túlcsordulás hivatkozhat (puffer túlcsordulás). By the way, mondani, a jelenlegi meglévő kizsákmányolások abszolút többsége végrehajtja a sérülékenység osztályát a puffer túlcsordulásához.
Numerikus kockázatértékelési módszerek
Az információs kockázatok legegyszerűbb értékelése az, hogy kiszámítsa azokat a kockázatokat, amelyek figyelembe veszik az eszközök kritikusságával kapcsolatos információkat, valamint a sebezhetőségek végrehajtásának valószínűségét.
Klasszikus kockázatértékelés Formula:
R \u003d d * p (v), ahol r egy információs kockázat;
D - az eszköz kritikussága (kár);
P (v) a sebezhetőség megvalósításának valószínűsége.
A fentiekben ismertetett megközelítés gyakorlati megvalósításának egyik példája a kockázati szint meghatározásához a NIST által javasolt kockázati mátrix.
| A fenyegetés valószínűsége (valószínűsége) | Ütéskárosodás | ||
| Alacsony (alacsony) - 10 | Közepes (közepes) -50 | Magas (magas) -100 | |
| Magas (magas) - 1 | Alacsony (alacsony) 10x1 \u003d 10 | Közepes (közepes) 50x1 \u003d 50 | Magas (magas) 100x1 \u003d 100 |
| Közepes (átlagos) - 0,5 | Alacsony (alacsony) 10x0.5 \u003d 5 | Közepes (közepes) 50x0,5 \u003d 25 | Közepes (átlagos) 100x0,5 \u003d 50 |
| Alacsony (alacsony) - 0,1 | Alacsony (alacsony) 10x0.1 \u003d 1 | Alacsony (alacsony) 50x0.1 \u003d 5 | Alacsony (alacsony) 100x0.1 \u003d 10 |
| Kockázati szint: magas (50-100); Közepes (10-50); Alacsony (1-10). | |||
Minden lehetséges bemeneti paraméterek (például a biztonsági rés, fenyegetés, eszköz és sérülés) által leírt annak kiegészítő funkció, figyelembe véve a megfelelő együtthatóval.
A fuzzy logikán alapuló kockázatértékelés
A fuzzy logikán alapuló kockázatértékelési mechanizmusok lépések sorozatot tartalmaznak, amelyek mindegyike az előző lépés eredményeit használják. Ezeknek a lépéseknek a sorrendje általában a következő:
. A programozási szabályok bevitele a termékszabályok formájában ("Ha, ... hogy") tükrözi a bemeneti adatok szintjét és a kibocsátás kockázati szintjét.
. A bemeneti változók funkcióinak beállítása (példaként - speciális programok segítségével, mint például a "FUZYY LOGIC" - ebben a példában a MATLAB-t használtuk.
. A bemeneti változók becsléseinek elsődleges eredményének megszerzése.
. A bemeneti változók becsléseinek pazarizálása (a tartozékfunkciók konkrét értékeinek megtalálása).
. Aggregáció (a feltételek igazságának igazolását jelenti, ha a tartozékok funkcióit a fuzzy összekapcsolódás és a fuzzy diszjunkció segítségével átalakítja).
. Környezeti aktiváció (az igazság szabályai és funkcióinak súlyainak megtalálása).
. Következtetések akkumulátora (a kiegészítő funkció megtalálása az egyes kimeneti változókhoz).
. Defasification (törlési változók keresése).
Így a fenti példában (1.1. Táblázat) Valójában kétszintű kockázatértékelési algoritmust vettek figyelembe, háromszintű bemeneti paraméterekkel. Ahol:
. A bemeneti értékek és kockázatok esetében háromszintes skálákat állítottak be, amelyeken fuzzy kifejezések (megfelelnek a "nagy", "közepes" és "alacsony" változók értékének - lásd az 1. ábrát);
. A kibocsátás minden logikai szabályának jelentősége megegyezik (a termelési szabályok mindegyike együtthatósága egyenlő).
Ábra. 1. A sérülékenység trapézi jellemzői háromszintű mérlegek
Nyilvánvaló, hogy a két paraméter algoritmus, amely két bemeneti változó beléptetését biztosítja, nem tud objektív eredményt a kockázatelemzés, különösen figyelembe véve a tényezők halmazát - bemeneti változók, amelyek egyébként tükrözik a valódi képet az IB kockázatértékelését.
Négy paraméteres algoritmus
Tegyük fel, hogy a fuzzy logika produktív szabályai segítségével négy bemeneti változó alapján reprodukálni kell a kimeneti mechanizmust. Ebben az esetben ilyen változók:
. eszközök;
. sebezhetőség;
. fenyegetés (vagy inkább valószínűsége);
. kár.
A felsorolt \u200b\u200bbemeneti változók mindegyikét a skálán becsülik. Tehát feltételezzük, hogy az előzetes elemzés alapján bizonyos bemeneti változók becsléseit kaptuk (2. ábra):
Ábra. 2. Változó becslések és kimeneti mechanizmus bevitele
A legegyszerűbb példában vegye figyelembe a termékszabályok típusát néhány esetben háromszintű skálán:
Ábra. 3. A négyparaméter algoritmus termelési szabályai
A fuzzy logikai eszköztár grafikus felület ebben az esetben lehetővé teszi a kockázatfüggőség grafikonjait a fenyegetés valószínűségétől, és ennek megfelelően más bemeneti változókat.
4. ábra. Kockázati függőség a fenyegetés valószínűségétől
Ábra. 5. A károsodás kockázatfüggése
A "kimeneti görbe" karcsú és monoton grafikonja jelzi az alkalmazott kimeneti szabályok megfelelőségét és következetességét. A vizuális grafikus ábrázolás lehetővé teszi, hogy értékelje a kimeneti mechanizmus tulajdonságainak megfelelőségét a követelményeknek. Ebben az esetben a "következtetési görbe" azt jelzi, hogy a kimeneti mechanizmus csak az alacsony valószínűségi értékek, azaz az alacsony valószínűségi értékek területén használható. Ha valószínűleg kevesebb, mint 0,5. Mi magyarázható ilyen "kihívással" a valószínűség értékeiben nagyobb, mint 0,5? Valószínű, hogy a háromszintű skála használatát általában tükrözi az algoritmus érzékenységét a nagy valószínűségi értékek területén.
Néhány kockázatelemzési eszköz áttekintése, figyelembe véve a tényezők halmazát
A kockázatok teljes elemzésénél, figyelembe véve a tényezők halmazát, számos összetett problémát kell megoldani:
. Hogyan lehet meghatározni az erőforrások értékét?
. Hogyan készítsünk teljes listát az IB fenyegetésekről és értékeljük paramétereiket?
. Hogyan lehet kiválasztani az ellenintézkedéseket és értékelni hatékonyságukat?
A problémák megoldásához speciálisan kialakított eszközök vannak a rendszerelemzés és a tervezés (SSADM - strukturált rendszerelemzés és design) strukturális módszereinek használatával, amelyek:
- az IP modell építése az IB szempontjából;
- az erőforrások értékének értékelésére szolgáló módszerek;
- eszközök a fenyegetések listájának kidolgozásához és valószínűségük értékeléséhez;
- az ellenintézkedések megválasztása és a hatékonyságuk elemzése;
- a védelmi lehetőségek elemzése;
- Dokumentáció (jelentés generáció).
Jelenleg számos szoftver termék van a piacon. A legnépszerűbbek a CRAMM. Röviden fontolja meg.
Cramm módszer
1985-ben a Központi Hivatal Számítógépek és telekommunikáció (CCTA) az Egyesült Királyság megkezdte a vizsgálatot a meglévő IB elemzési módszerek, hogy javasolni módszerek alkalmasak a kormányzati szervek feldolgozásával foglalkozó nem kamat, hanem a kritikus információkat. A figyelembe vett módszerek egyike sem közeledett. Ezért új módszert fejlesztettek ki, amely megfelel a CCTA követelményeinek. Megkapta a CRAMM nevét - a CCTA elemzési módszert és a kockázatkezelést. Ezután számos változat volt a védelmi minisztérium, a polgári kormányzati szervek, a pénzügyi intézmények, a magánszervezetek követelményeire összpontosított módszerre. Az egyik változat a "kereskedelmi profil" - kereskedelmi termék. Jelenleg a Cramm, az internetre való hivatkozások számát, az elemzés és a kockázatkezelés leggyakoribb módszerét. A kockázatelemzés magában foglalja a kockázati szintek azonosítását és kiszámítását (intézkedések) az erőforrásokhoz, a fenyegetésekhez és az erőforrás-sebezhetőségekhez rendelt becslések alapján. A kockázatkezelés az olyan ellenintézkedések azonosítására és kiválasztására áll, amelyek csökkentik a kockázatokat elfogadható szintre. A fogalom alapján alapuló formális módszernek lehetővé kell tennie, hogy biztosítsa, hogy a védelem lefedje az egész rendszert, és van bizalom, hogy:
Minden lehetséges kockázatot azonosítanak;
. Az erőforrás-sebezhetőségeket azonosítják, és szintjük becslése szerint;
. Fenyegetést azonosítanak, és szintjük becslése szerint;
. az ellenintézkedések hatékonyak;
. Az IB-vel kapcsolatos költségek indokoltak.
Oleg Foytsev, fej "Cerber Security // A webhely biztonságának elemzése"
