În practică, sunt utilizate abordări cantitative și calitative ale evaluării riscului IS. Care este diferența lor?
Evaluarea cantitativă a riscurilor este utilizată în situațiile în care amenințările studiate și riscurile asociate acestora pot fi comparate cu valori cantitative finale exprimate în bani, procent, timp, resurse umane etc. Metoda permite obținerea unor valori specifice ale obiectelor de evaluare a riscurilor în implementarea amenințărilor la securitatea informațiilor.
Cu o abordare cantitativă, tuturor elementelor evaluării riscului li se atribuie valori cantitative specifice și reale. Algoritmul pentru obținerea acestor valori ar trebui să fie clar și ușor de înțeles. Obiectul evaluării poate fi valoarea unui bun în termeni monetari, probabilitatea ca o amenințare să fie realizată, prejudiciul din realizarea unei amenințări, costul măsurilor de protecție etc.
1. Determinați valoarea activelor informaționale în termeni monetari.
2. Estimați în termeni cantitativi daunele potențiale din implementarea fiecărei amenințări în raport cu fiecare activ informațional.
Ar trebui să obțineți răspunsuri la întrebările „Care parte din valoarea activului va fi prejudiciul din punerea în aplicare a fiecărei amenințări?”, „Care este costul prejudiciului în termeni monetari dintr-un singur incident în implementarea acestei amenințări la acest bun?”.
3. Determinați probabilitatea implementării fiecăreia dintre amenințările IS.
Pentru a face acest lucru, puteți utiliza date statistice, sondaje ale angajaților și părților interesate. În procesul de determinare a probabilității, calculați frecvența de apariție a incidentelor legate de implementarea amenințării IS considerate pentru perioada de control (de exemplu, timp de un an).
4. Determinați daunele potențiale totale de la fiecare amenințare în raport cu fiecare activ pentru perioada de control (pentru un an).
Valoarea se calculează prin înmulțirea prejudiciului unic de la implementarea amenințării cu frecvența implementării amenințării.
5. Analizați datele de daune primite pentru fiecare amenințare.
Pentru fiecare amenințare, trebuie luată o decizie: acceptați riscul, reduceți riscul sau transferați riscul.
A accepta un risc înseamnă a-l recunoaște, a-i accepta posibilitatea și a continua să acționezi ca înainte. Aplicabil pentru amenințări cu daune reduse și probabilitate scăzută de apariție.
A reduce riscul înseamnă a introduce măsuri și mijloace suplimentare de protecție, a desfășura pregătire a personalului etc. Adică a efectua o muncă deliberată pentru a reduce riscul. În același timp, este necesară cuantificarea eficienței măsurilor și mijloacelor de protecție suplimentare. Toate costurile suportate de organizație, de la achiziționarea de echipamente de protecție până la punerea în funcțiune (inclusiv instalare, configurare, instruire, întreținere etc.), nu trebuie să depășească valoarea daunelor cauzate de implementarea amenințării.
A transfera riscul înseamnă a transfera consecințele realizării riscului către un terț, de exemplu, cu ajutorul asigurării.
În urma unei evaluări cantitative a riscului, ar trebui determinate următoarele:
Luați în considerare tehnica pe exemplul serverului web al unei organizații, care este folosit pentru a vinde un anumit produs. Cantitativ o dată Prejudiciul cauzat de o întrerupere a serverului poate fi estimat ca produsul dintre chitanța medie de achiziție și numărul mediu de accesări pentru un anumit interval de timp egal cu timpul de nefuncționare a serverului. Să presupunem că costul daunelor unice cauzate de o defecțiune directă a serverului va fi de 100 de mii de ruble.
Acum este necesar să se evalueze într-un mod expert cât de des poate apărea o astfel de situație (ținând cont de intensitatea funcționării, de calitatea sursei de alimentare etc.). De exemplu, ținând cont de opinia experților și de informațiile statistice, înțelegem că un server poate eșua de până la 2 ori pe an.
Înmulțind aceste două valori, obținem asta Media anuală prejudiciul cauzat de implementarea amenințării unei eșecuri directe a serverului este de 200 de mii de ruble pe an.
Aceste calcule pot fi folosite pentru a justifica alegerea măsurilor de protecție. De exemplu, introducerea unui sistem de alimentare neîntreruptibilă și a unui sistem de rezervă cu un cost total de 100 de mii de ruble pe an va minimiza riscul unei defecțiuni a serverului și va fi o soluție complet eficientă.
Din păcate, nu este întotdeauna posibil să se obțină o expresie specifică a obiectului de evaluare din cauza incertitudinii mari. Cum să evaluăm cu exactitate prejudiciul adus reputației unei companii atunci când apar informații despre un incident de securitate a informațiilor care a avut loc pentru aceasta? În acest caz, se aplică o metodă calitativă.
Abordarea calitativă nu utilizează expresii cantitative sau monetare pentru obiectul evaluării. În schimb, obiectului evaluării i se atribuie un indicator clasat pe o scală de trei puncte (scăzut, mediu, ridicat), cinci puncte sau zece puncte (0 ... 10). Pentru a colecta date pentru evaluarea calitativă a riscurilor, sunt utilizate anchete cu grupuri țintă, interviuri, chestionare și întâlniri personale.
O analiză calitativă a riscurilor de securitate a informațiilor ar trebui efectuată cu implicarea angajaților cu experiență și competență în domeniul în care sunt luate în considerare amenințările.
1. Determinați valoarea activelor informaționale.
Valoarea unui activ poate fi determinată de nivelul de criticitate (consecințe) atunci când sunt încălcate caracteristicile de securitate (confidențialitate, integritate, disponibilitate) ale unui activ informațional.
2. Determinați probabilitatea ca amenințarea să fie realizată în raport cu activul informațional.
O scară calitativă cu trei niveluri (scăzut, mediu, ridicat) poate fi utilizată pentru a evalua probabilitatea realizării unei amenințări.
3. Determinați nivelul posibilității de implementare cu succes a amenințării, ținând cont de starea actuală a securității informațiilor, de măsurile și mijloacele de protecție implementate.
O scară calitativă cu trei niveluri (scăzut, mediu, ridicat) poate fi, de asemenea, utilizată pentru a evalua nivelul posibilității ca o amenințare să fie realizată. Valoarea capacității de amenințare indică cât de fezabilă este implementarea cu succes a amenințării.
4. Faceți o concluzie despre nivelul de risc pe baza valorii activului informațional, a probabilității ca amenințarea să fie realizată și a posibilității ca amenințarea să fie realizată.
Pentru a determina nivelul de risc, puteți utiliza o scală de cinci sau zece puncte. La determinarea nivelului de risc, puteți utiliza tabele de referință care oferă o înțelegere a combinațiilor de indicatori (valoare, probabilitate, oportunitate) care conduc la ce nivel de risc.
5. Analizați datele obținute pentru fiecare amenințare și nivelul de risc obținut pentru aceasta.
Adesea, echipa de analiză a riscurilor operează cu conceptul de „nivel acceptabil de risc”. Acesta este nivelul de risc pe care compania este dispusă să-l accepte (dacă amenințarea are un nivel de risc mai mic sau egal cu acceptabil, atunci nu este considerat relevant). Sarcina globală într-o evaluare calitativă este de a reduce riscurile la un nivel acceptabil.
6. Dezvoltați măsuri de securitate, contramăsuri și acțiuni pentru fiecare amenințare curentă pentru a reduce nivelul de risc.
Scopul ambelor metode este de a înțelege riscurile reale ale securității informațiilor companiei, de a determina lista amenințărilor actuale, precum și de a selecta contramăsuri eficiente și instrumente de protecție. Fiecare metodă de evaluare a riscurilor are propriile sale avantaje și dezavantaje.
Metoda cantitativă oferă o reprezentare vizuală în bani a obiectelor de evaluare (daune, costuri), dar este mai laborioasă și în unele cazuri nu este aplicabilă.
Metoda calitativă vă permite să efectuați evaluarea riscurilor mai rapid, dar evaluările și rezultatele sunt mai subiective și nu oferă o înțelegere clară a daunelor, costurilor și beneficiilor implementării GIS.
Alegerea metodei trebuie făcută pe baza specificului unei anumite companii și a sarcinilor atribuite specialistului.
Stanislav Shilyaev, Manager de proiect pentru securitatea informațiilor la SKB Kontur
Atunci când implementați un sistem de management al securității informațiilor (ISMS) într-o organizație, una dintre principalele piedici este de obicei sistemul de management al riscurilor. Raționamentul despre gestionarea riscului de securitate a informațiilor este asemănător cu problema OZN-urilor. Pe de o parte, nimeni din jur nu pare să fi văzut acest lucru și evenimentul în sine pare puțin probabil, pe de altă parte, există o mulțime de dovezi, au fost scrise sute de cărți, există chiar și discipline științifice relevante și asociații de experți implicați. în acest proces de cercetare și, ca de obicei, serviciile speciale au în acest domeniu cu cunoștințe secrete speciale.
Alexander Astakhov, CISA, 2006
Nu există unanimitate între specialiștii în securitatea informațiilor cu privire la problemele de management al riscurilor. Cineva neagă metodele cantitative de evaluare a riscurilor, cineva neagă pe cele calitative, cineva în general neagă fezabilitatea și însăși posibilitatea evaluării riscului, cineva acuză conducerea organizației de conștientizarea insuficientă a importanței problemelor de securitate sau se plânge de dificultățile asociate obținerii unui obiectiv evaluarea valorii anumitor active, cum ar fi reputația unei organizații. Alții, nevăzând nicio modalitate de a justifica costul securității, sugerează să o tratezi ca pe un fel de procedură igienă și să cheltuiești atât de mulți bani pe această procedură cât îți pare rău, sau cât mai rămâne în buget.
Indiferent de opiniile existente în problema managementului riscului de securitate a informațiilor și indiferent de modul în care ne raportăm la aceste riscuri, un lucru este clar că această problemă este esența activității multifațete a specialiștilor în securitatea informațiilor, conectându-l direct cu afacerea, dându-i un sens rezonabil. și oportunitatea. Acest articol subliniază o posibilă abordare a managementului riscurilor și răspunde la întrebarea de ce diferite organizații tratează și gestionează diferit riscurile de securitate a informațiilor.
Vorbind de riscuri de afaceri, ne referim la posibilitatea de a suferi anumite daune cu o anumită probabilitate. Acesta poate fi atât prejudiciu material direct, cât și prejudiciu indirect, exprimat, de exemplu, în profituri pierdute, până la ieșirea din afacere, deoarece dacă riscul nu este gestionat, atunci afacerea poate fi pierdută.
De fapt, esența problemei constă în faptul că organizația are și folosește mai multe categorii principale de resurse pentru a-și atinge rezultatele activităților sale (obiectivele sale de afaceri) (vom folosi conceptul de activ direct legat de afacere). Un activ este orice lucru care are valoare pentru o organizație și care generează venituri (cu alte cuvinte, este ceva care creează un flux de numerar pozitiv sau economisește bani)
Există bunuri materiale, financiare, umane și informaționale. Standardele internaționale moderne definesc și o altă categorie de active - acestea sunt procese. Un proces este un activ agregat care operează pe toate celelalte active ale companiei pentru a atinge obiectivele de afaceri. Imaginea și reputația companiei sunt, de asemenea, considerate drept unul dintre cele mai importante atuuri. Aceste active cheie pentru orice organizație nu sunt altceva decât un tip special de active informaționale, deoarece imaginea și reputația unei companii nu este altceva decât conținutul informațiilor deschise și difuzate pe scară largă despre aceasta. Securitatea informației se ocupă de problemele de imagine în măsura în care problemele cu securitatea organizației, precum și scurgerea de informații confidențiale, au un impact extrem de negativ asupra imaginii.
Rezultatele afacerii sunt afectate de diverși factori externi și interni legați de categoria de risc. Această influență se exprimă în impactul negativ asupra unuia sau mai multor grupuri de active ale organizației în același timp. De exemplu, o defecțiune a serverului afectează disponibilitatea informațiilor și a aplicațiilor stocate pe acesta, iar repararea acesteia deturnează resursele umane, creând lipsa acestora într-un anumit domeniu de lucru și provocând întreruperea proceselor de afaceri, în timp ce indisponibilitatea temporară a serviciilor clienților poate afecta negativ. afectează imaginea companiei.
Prin definiție, toate tipurile de active sunt importante pentru o organizație. Cu toate acestea, fiecare organizație are active vitale de bază și active de sprijin. Determinarea care active sunt principalele este foarte simplă, deoarece. acestea sunt activele în jurul cărora se construiește afacerea organizației. Deci, afacerea unei organizații se poate baza pe deținerea și utilizarea activelor corporale (de exemplu, terenuri, imobile, echipamente, minerale), o afacere poate fi construită și pe managementul activelor financiare (activități de credit, asigurări, investiții) , o afacere se poate baza pe competența și autoritatea unor specialiști specifici (consultanță, audit, formare, industrii high-tech și intensive în cunoștințe) sau afacerea se poate învârti în jurul activelor informaționale (dezvoltare software, produse informaționale, comerț electronic, afaceri pe internetul). Riscurile activelor imobilizate sunt pline de pierderi de afaceri și pierderi ireparabile pentru organizație, prin urmare, atenția proprietarilor de afaceri se concentrează în primul rând asupra acestor riscuri, iar conducerea organizației se ocupă de acestea personal. Riscurile legate de activele auxiliare duc de obicei la daune recuperabile și nu sunt o prioritate de top în sistemul de management al unei organizații. De obicei, aceste riscuri sunt gestionate de persoane special desemnate, sau aceste riscuri sunt transferate unui terț, cum ar fi un externalizator sau o companie de asigurări. Pentru organizație, aceasta este mai mult o chestiune de eficacitate a managementului decât de supraviețuire.
Întrucât riscurile de securitate a informațiilor sunt departe de a fi cele principale pentru toate organizațiile, sunt practicate trei abordări principale de gestionare a acestor riscuri, care diferă în profunzime și nivel de formalism.
Pentru sistemele necritice, când activele informaționale sunt auxiliare, iar nivelul de informatizare nu este ridicat, ceea ce este tipic pentru majoritatea companiilor moderne din Rusia, există o nevoie minimă de evaluare a riscurilor. În astfel de organizații, ar trebui să vorbim despre un nivel de bază de securitate a informațiilor, determinat de reglementările și standardele existente, de bune practici, de experiență, precum și de modul în care se realizează în majoritatea celorlalte organizații. Cu toate acestea, standardele existente, care descriu un anumit set de bază de cerințe și mecanisme de securitate, prevăd întotdeauna necesitatea evaluării riscurilor și fezabilității economice a aplicării anumitor mecanisme de control pentru a le selecta din setul general de cerințe și mecanisme pe cele care sunt aplicabile într-un organizaţie particulară.
Pentru sistemele critice în care activele informaționale nu sunt principalele, dar nivelul de informatizare a proceselor de afaceri este foarte ridicat și riscurile informaționale pot afecta semnificativ procesele principale de afaceri, este necesar să se aplice evaluarea riscurilor, dar în acest caz este recomandabil. să ne limităm la abordări calitative informale pentru rezolvarea acestei probleme, acordând o atenție deosebită celor mai critice sisteme.
Atunci când afacerea unei organizații este construită în jurul activelor informaționale, iar riscurile de securitate a informațiilor sunt principalele, este necesar să se aplice o abordare formală și metode cantitative pentru a evalua aceste riscuri.
În multe companii, mai multe tipuri de active pot fi vitale în același timp, de exemplu, atunci când afacerea este diversificată sau compania este angajată în crearea de produse informaționale, atât resursele umane, cât și resursele informaționale pot fi la fel de importante pentru aceasta. În acest caz, abordarea prudentă este de a efectua o evaluare a riscurilor la nivel înalt pentru a determina care sisteme sunt expuse unui risc ridicat și care sunt esențiale pentru operațiunile de afaceri, urmată de o evaluare detaliată a riscurilor pentru sistemele identificate. Pentru toate celelalte sisteme care nu sunt critice, este recomandabil să vă limitați la aplicarea abordării de bază, luând decizii de management al riscului bazate pe experiența existentă, opiniile experților și cele mai bune practici.
Alegerea abordării evaluării riscurilor într-o organizație, pe lângă natura activității sale și nivelul de informatizare a proceselor de afaceri, este influențată și de nivelul acesteia de maturitate. Managementul riscului de securitate a informațiilor este o sarcină de afaceri inițiată de conducerea organizației datorită conștientizării și gradului de conștientizare a problemelor de securitate a informațiilor, al cărei sens este de a proteja afacerea de amenințările reale de securitate a informațiilor. În funcție de gradul de conștientizare, pot fi urmărite mai multe niveluri de maturitate ale organizațiilor care, într-o anumită măsură, se corelează cu nivelurile de maturitate definite în COBIT și alte standarde:
În luna martie a acestui an, a fost adoptat noul standard britanic BS 7799 Part 3 - Information Security Management Systems - Information Security Risk Management Practices. Se așteaptă ca ISO să adopte acest document ca standard internațional până la sfârșitul anului 2007. BS 7799-3 definește procesele de evaluare și management al riscurilor ca un element integral al sistemului de management al unei organizații, folosind același model de proces ca și alte standarde de management, care include patru grupuri de procese: planificare, implementare, verificare, acțiune (PRAP), care reflectă standardul. ciclul oricăror procese de management. În timp ce ISO 27001 descrie continuumul general de management al securității, BS 7799-3 conține proiecția sa privind procesele de management al riscului de securitate a informațiilor.
În sistemul de management al riscului de securitate a informațiilor, în etapa de Planificare, se determină politica și metodologia de management al riscului și se realizează o evaluare a riscurilor, inclusiv un inventar al activelor, alcătuirea profilurilor de amenințări și vulnerabilități, evaluarea eficacității contramăsurilor și a eventualelor daune, și determinarea nivelului acceptabil al riscurilor reziduale.
În timpul fazei de implementare, riscurile sunt tratate și sunt puse în aplicare controale pentru a le atenua. Conducerea organizației ia una dintre cele patru decizii pentru fiecare risc identificat: ignorarea, evitarea, transferul către o parte externă sau minimizarea. După aceea, este elaborat și implementat un plan de tratare a riscurilor.
Pe parcursul etapei de Audit este monitorizată funcționarea mecanismelor de control, sunt controlate modificările factorilor de risc (active, amenințări, vulnerabilități), sunt efectuate audituri și sunt efectuate diverse proceduri de control.
În etapa Acțiunilor, pe baza rezultatelor monitorizării continue și a auditurilor în curs, se întreprind acțiunile corective necesare, care pot include, în special, reevaluarea amplorii riscurilor, ajustarea politicii și metodologiei de gestionare a riscurilor, precum și plan de tratament al riscului.
Esența oricărei abordări a managementului riscului constă în analiza factorilor de risc și luarea deciziilor adecvate privind tratamentul riscului. Factorii de risc sunt principalii parametri pe care îi folosim atunci când evaluăm riscurile. Există doar șapte opțiuni:
Modul în care acești parametri sunt analizați și evaluați este determinat de metodologia de evaluare a riscurilor a organizației. În același timp, abordarea generală și schema de raționament sunt aproximativ aceleași, indiferent de metodologia folosită. Procesul de evaluare a riscurilor (evaluarea) include două faze. În prima fază, care este definită în standarde ca analiză de risc (analiza), este necesar să se răspundă la următoarele întrebări:
În a doua fază, care este definită de standarde ca evaluare (evaluare) a riscurilor, este necesar să se răspundă la întrebarea: Ce nivel de risc (mărimea pierderilor medii anuale) este acceptabil pentru organizație și, pe baza acestuia, ce riscuri depășește acest nivel.
Astfel, pe baza rezultatelor evaluării riscurilor, obținem o descriere a riscurilor care depășesc nivelul admisibil și o estimare a amplorii acestor riscuri, care este determinată de mărimea pierderilor medii anuale. În continuare, trebuie luată o decizie cu privire la tratarea riscurilor, i.e. răspunde la următoarele întrebări:
Rezultatul acestui proces este un plan de tratare a riscurilor care definește modul în care riscurile sunt tratate, costul contramăsurilor și momentul și responsabilitatea implementării contramăsurilor.
Luarea unei decizii de tratare a riscului este un moment cheie și cel mai critic în procesul de management al riscului. Pentru ca managementul să ia decizia corectă, persoana responsabilă cu managementul riscurilor din organizație trebuie să îi furnizeze informații relevante. Forma de prezentare a unor astfel de informații este determinată de algoritmul standard de comunicare în afaceri, care include patru puncte principale:
Punctele 1 și 2, precum și 3 și 4 pot fi schimbate, în funcție de situația specifică.
Există un număr suficient de metode bine stabilite și destul de utilizate pe scară largă pentru evaluarea și gestionarea riscurilor. O astfel de metodă este OCTAVE, dezvoltată la Carnegie Melon University pentru uz intern într-o organizație. OCTAVE - Evaluarea amenințărilor critice operaționale, a activelor și a vulnerabilităților - are o serie de modificări concepute pentru organizații de diferite dimensiuni și domenii de activitate. Esența acestei metode constă în faptul că pentru evaluarea riscurilor este utilizată o succesiune de seminarii interne (ateliere) organizate corespunzător. Evaluarea riscurilor se desfășoară în trei etape, care sunt precedate de un set de activități pregătitoare, inclusiv acordul asupra programului seminariilor, atribuirea de roluri, planificarea și coordonarea acțiunilor membrilor echipei de proiect.
În prima etapă, în cursul seminariilor practice, sunt elaborate profiluri de amenințări, inclusiv un inventar și o evaluare a valorii activelor, identificarea cerințelor legale și de reglementare aplicabile, identificarea amenințărilor și evaluarea probabilității acestora, precum și determinarea un sistem de măsuri organizatorice pentru menținerea regimului de securitate a informațiilor.
În a doua etapă, se realizează o analiză tehnică a vulnerabilităților sistemelor informaționale ale organizației împotriva amenințărilor, ale căror profiluri au fost elaborate în etapa anterioară, care include identificarea vulnerabilităților existente ale sistemelor informaționale ale organizației și o evaluare a acestora. magnitudinea.
În a treia etapă, sunt evaluate și procesate riscurile de securitate a informațiilor, ceea ce include determinarea amplorii și probabilității de deteriorare ca urmare a implementării amenințărilor de securitate folosind vulnerabilități identificate în etapele anterioare, determinarea unei strategii de protecție, precum și alegerea opțiuni și luarea deciziilor privind tratamentul riscului. Valoarea riscului este definită ca valoarea medie a pierderilor anuale ale organizației ca urmare a implementării amenințărilor de securitate.
O abordare similară este utilizată în binecunoscuta metodă de evaluare a riscurilor CRAMM, dezvoltată la acea vreme, prin ordin al guvernului britanic. La CRAMM, principala modalitate de evaluare a riscului este prin interviuri atent planificate care folosesc chestionare detaliate. CRAMM este utilizat în mii de organizații din întreaga lume, datorită, printre altele, disponibilității unui set de instrumente software foarte dezvoltat, care conține o bază de cunoștințe privind riscurile și mecanismele de minimizare a acestora, instrumente pentru colectarea informațiilor, generarea de rapoarte și, de asemenea, implementarea algoritmilor. pentru calcularea mărimii riscurilor.
Spre deosebire de metoda OCTAVE, CRAMM folosește o secvență ușor diferită de acțiuni și metode pentru a determina amploarea riscurilor. În primul rând, se determină fezabilitatea evaluării riscurilor în general, iar dacă sistemul informațional al organizației nu este suficient de critic, atunci i se va aplica un set standard de mecanisme de control descrise în standardele internaționale și conținute în baza de cunoștințe CRAMM.
În prima etapă, în metoda CRAMM, se construiește un model de resurse ale sistemului informațional care descrie relația dintre informații, software și resursele tehnice, iar valoarea resurselor este estimată pe baza posibilelor daune pe care organizația le poate suferi ca urmare a compromisul lor.
În a doua etapă, se realizează o evaluare a riscurilor, care include identificarea și evaluarea probabilității amenințărilor, evaluarea amplorii vulnerabilităților și calcularea riscurilor pentru fiecare triplă: resursă - amenințare - vulnerabilitate. CRAMM evaluează riscurile „pure”, indiferent de mecanismele de control implementate în sistem. În etapa de evaluare a riscurilor, se presupune că contramăsurile nu sunt aplicate deloc și pe baza acestei ipoteze se formează un set de contramăsuri recomandate pentru a minimiza riscurile.
În etapa finală, setul de instrumente CRAMM generează un set de contramăsuri pentru a minimiza riscurile identificate și compară contramăsurile recomandate și existente, după care se formează un plan de tratare a riscurilor.
În procesul de evaluare a riscului, parcurgem o serie de etape succesive, revenind periodic la etapele anterioare, de exemplu, reevaluarea unui anumit risc după alegerea unei contramăsuri specifice pentru a-l minimiza. Chestionarele, listele de amenințări și vulnerabilități, registrele resurselor și riscurilor, documentația, procesele verbale ale întâlnirilor, standardele și liniile directoare ar trebui să fie la îndemână în fiecare etapă. În acest sens, un algoritm programat, o bază de date și o interfață sunt necesare pentru a lucra cu aceste date diverse.
Pentru a gestiona riscurile de securitate a informațiilor, puteți utiliza instrumente, de exemplu, ca în metoda CRAMM sau RA2 (prezentat în figură), dar acest lucru nu este obligatoriu. Cam același lucru se spune în standardul BS 7799-3. Utilitatea utilizării setului de instrumente poate consta în faptul că acesta conține un algoritm preprogramat de evaluare a riscurilor și de gestionare a fluxului de lucru, care simplifică munca unui specialist fără experiență.
Utilizarea setului de instrumente vă permite să unificați metodologia și să simplificați utilizarea rezultatelor pentru reevaluarea riscurilor, chiar dacă este efectuată de alți specialiști. Prin utilizarea instrumentelor, este posibil să eficientizați stocarea datelor și să lucrați cu modelul de resurse, profilurile de amenințări, listele de vulnerabilități și riscuri.
Pe lângă instrumentele de evaluare și management al riscurilor în sine, setul de instrumente software poate conține și instrumente suplimentare pentru documentarea ISMS, analiza discrepanțelor cu cerințele standardelor, dezvoltarea unui registru de resurse, precum și alte instrumente necesare pentru implementarea și funcționarea ISMS.
Alegerea abordărilor calitative sau cantitative ale evaluării riscurilor este determinată de natura activității organizației și de nivelul de informatizare a acesteia, i.e. importanța activelor informaționale pentru el, precum și nivelul de maturitate al organizației.
Atunci când se implementează o abordare formală a managementului riscului într-o organizație, este necesar să se bazeze în primul rând pe bunul simț, pe standardele existente (de exemplu, BS 7799-3) și pe metodologii bine stabilite (de exemplu, OCTAVE sau CRAMM). Poate fi utilă utilizarea în acest scop a unui instrument software care implementează metodologiile adecvate și îndeplinește cerințele standardelor în măsura maximă posibilă (de exemplu, RA2).
Eficacitatea procesului de management al riscului de securitate a informațiilor este determinată de acuratețea și completitudinea analizei și evaluării factorilor de risc, precum și de eficacitatea mecanismelor utilizate în organizație pentru luarea deciziilor de management și monitorizarea implementării acestora.
Valoarea informațiilor este determinată de complexitatea pregătirii (colectării) acesteia, de costul suportului (întreținerea) acesteia, de valoarea posibilelor pagube în cazul pierderii sau distrugerii acesteia, de costul pe care îl suportă alte persoane (concurenți, atacatori). dispus să plătească pentru aceasta, precum și cuantumul posibilelor consecințe și amenzi, în caz de pierdere (scurgere). Fără o evaluare a informațiilor, este imposibil să se evalueze în mod adecvat fezabilitatea cheltuirii banilor și resurselor pentru a le proteja. Valoarea informațiilor trebuie luată în considerare în mod necesar la alegerea măsurilor de protecție.
Evaluarea activelor poate fi efectuată atât cantitativ, cât și calitativ. Costul real al unui activ se bazează pe costul achiziționării, dezvoltării și întreținerii acestuia. Valoarea unui activ este determinată de valoarea acestuia pentru proprietari, utilizatori autorizați și neautorizați. Unele informații sunt importante pentru companie și sunt clasificate drept confidențiale.
De exemplu, costul unui server este de 4.000 USD, dar aceasta nu este valoarea lui luată în considerare la evaluarea riscurilor. Valoarea este determinată de costul înlocuirii sau reparării acestuia, pierderea datorată degradării performanței, deteriorarea cauzată de deteriorare sau pierderea datelor stocate pe acesta. Acesta este ceea ce va determina prejudiciul adus companiei în cazul deteriorării sau pierderii serverului dintr-un motiv sau altul.
Următoarele întrebări ar trebui luate în considerare atunci când se determină valoarea activelor:
Determinarea valorii activelor este utilă pentru o companie din mai multe motive, inclusiv următoarele:
După cum sa menționat mai devreme, riscul este probabilitatea ca o sursă de amenințare să exploateze o vulnerabilitate, având ca rezultat un impact negativ asupra afacerii. Există multe tipuri de surse de amenințări care pot exploata diferite tipuri de vulnerabilități care pot duce la amenințări specifice. Câteva exemple de riscuri sunt prezentate în Tabelul 1-2.
Tabelul 1-2 Relația dintre amenințări și vulnerabilități
Există și alte tipuri de amenințări, mult mai greu de detectat, care pot apărea într-un mediu computerizat. Aceste amenințări sunt legate de erori ale aplicației și erori ale utilizatorului. Cu toate acestea, cu o organizare adecvată a controlului și auditului acțiunilor utilizatorului, erorile acestora (intenționate sau accidentale) sunt mult mai ușor de identificat.
După identificarea vulnerabilităților și amenințărilor asociate, trebuie analizate consecințele exploatării acestora, adică. riscuri de deteriorare potențială. Prejudiciul poate fi legat de deteriorarea datelor sau a sistemelor (obiectelor), dezvăluirea neautorizată de informații confidențiale, productivitatea redusă etc. Atunci când efectuează o analiză de risc, echipa ar trebui să ia în considerare și probabilitatea daune amânate(pierdere întârziată), care poate apărea după un anumit timp (de la 15 minute la câțiva ani) de la realizarea riscului. Prejudiciul amânat poate fi cauzat, de exemplu, de o scădere a productivității muncii după o anumită perioadă de timp, o scădere a veniturilor companiei, prejudicierea reputației acesteia, amenzi cumulate, costuri suplimentare pentru refacerea mediului, suspendarea primirea de fonduri de la clienți etc.
De exemplu, dacă în urma unui atac asupra serverelor web ale unei companii, aceștia au încetat să deservească clienții, daunele imediate pot fi corupția datelor, costul timpului de lucru pentru refacerea serverelor, actualizarea software-ului vulnerabil pe acestea. În plus, compania va pierde unele venituri din cauza incapacității de a servi clienții în timpul necesar pentru a restabili funcționarea serverelor sale web. Dacă lucrările de restaurare durează o perioadă semnificativă de timp (de exemplu, o săptămână), compania poate pierde atât de mult profit încât nu va mai putea plăti facturile și alte cheltuieli. Aceasta va fi daune amânate. Și dacă, printre altele, compania pierde și încrederea clienților, s-ar putea să își piardă complet afacerea (pentru o perioadă sau pentru totdeauna). Acesta este un caz extrem de daune amânate.
Aceste tipuri de probleme fac mult mai dificilă cuantificarea daunelor, dar trebuie luate în considerare pentru a obține o estimare fiabilă.
Metode de evaluare a riscurilor. Sunt utilizate multe metode diferite pentru a evalua riscurile. Să ne uităm la unele dintre ele.
NIST SP 800-30 și 800-66 sunt metodologii care pot fi utilizate de companiile comerciale, deși 800-66 a fost dezvoltat inițial pentru asistența medicală și alte industrii reglementate. Abordarea NIST ia în considerare amenințările IT și riscurile legate de securitatea informațiilor. Acesta oferă următorii pași:
- Descrierea caracteristicilor sistemului
- Identificarea amenințărilor
- Identificarea vulnerabilităților
- Analiza de salvgardare
- Definiţia probability
- Analiza impactului
- Definiţia risk
- Recomandări de acțiuni de protecție
- Documentarea rezultatelor
Metodologia de evaluare a riscurilor NIST SP 800-30 este folosită frecvent de consultanții și profesioniștii în securitate, departamentele interne IT. Se concentrează în principal pe sisteme informatice. Persoane sau grupuri mici colectează date din rețea, din practicile de securitate utilizate și de la oameni care lucrează în companie. Datele colectate sunt utilizate ca intrare în etapele de analiză a riscului descrise în documentul 800-30.
O altă metodologie de evaluare a riscurilor este FRAP (Proces de analiză a riscurilor facilitate - proces de analiză a riscurilor de grup). Acesta este conceput pentru a efectua o evaluare calitativă a riscurilor într-o manieră care să permită efectuarea de audituri pe diferite aspecte și folosind metodologii diferite. Acesta oferă modalități pentru o companie de a lua decizii cu privire la cursul acțiunii și acțiuni specifice în circumstanțe specifice pentru a aborda diverse probleme. Acest lucru face posibilă, prin preselecție, identificarea acelor zone din companie care au cu adevărat nevoie de analiză de risc. FRAP este conceput astfel încât oricine are abilități bune de lucru în echipă să poată efectua cu succes o analiză de risc folosind această metodologie.
Un alt tip de metodologie este OCTAVĂ (Evaluarea amenințărilor critice operaționale, a activelor și a vulnerabilităților - Evaluarea amenințărilor, activelor și vulnerabilităților critice). Aceasta este metodologia care ar trebui aplicată în situațiile în care întregul proces de analiză a riscului de securitate a informațiilor este realizat de către angajații companiei (fără implicarea consultanților externi). Se bazează pe ideea că angajații companiei au cea mai bună înțelegere a ceea ce are cu adevărat nevoie compania și ce riscuri se confruntă. Angajații selectați pentru a participa la procesul de evaluare decid singuri care abordare este cea mai bună pentru evaluarea securității companiei lor.
În timp ce metodologiile NIST și OCTAVE se concentrează pe amenințările IT și riscurile de securitate a informațiilor, AS/NZS 4360 adoptă o abordare mult mai largă a managementului riscului. Această metodologie poate fi folosită pentru a înțelege riscurile financiare ale unei companii, pentru a proteja oamenii, pentru a lua decizii de afaceri și multe altele. Nu a fost conceput special pentru analiza riscului de securitate, deși poate fi folosit cu succes în acest scop.
NOTĂ. Puteți găsi mai multe informații despre aceste abordări de analiză a riscurilor și utilizările lor în articolul lui Sean Harris la http://searchsecurity.techtarget.com/generic/0.295582,sid14_gci1191926.00.html.CRAMM (Metoda CCTA de analiză și management al riscurilor - Agenția centrală de computere și telecomunicații din Regatul Unit (CCTA) analiza și metoda de gestionare a riscurilor) este împărțită în trei segmente: identificarea și evaluarea activelor, analiza amenințărilor și vulnerabilității și selectarea contramăsurilor. Această tehnică ține cont atât de aspectele tehnice ale companiei, cât și de cele netehnice.
analiza arborelui de acoperire (Spanning Tree Analysis) este o metodologie care creează un arbore cu toate amenințările potențiale și punctele slabe care pot perturba sistemul. Fiecare ramură este un subiect sau o categorie generalizată, ramurile care nu sunt aplicabile pot fi eliminate în timpul procesului de analiză a riscului.
FMEA (Moduri de defecțiune și analiza efectului) este o metodă de definire a funcțiilor, de identificare a defectelor funcționale, de evaluare a cauzelor unui defect și a consecințelor acestuia folosind un proces structurat. Aplicarea acestui proces în cazul defectelor permanente vă permite să determinați locul unde este cel mai probabil să apară eroarea. Acest lucru ajută foarte mult la identificarea vulnerabilităților, la determinarea cu precizie a limitelor vulnerabilităților și a consecințelor exploatării acestora. La rândul său, acest lucru nu numai că facilitează aplicarea de corecții care abordează vulnerabilitățile, dar asigură și o utilizare mai eficientă a resurselor în cadrul acestei sarcini.
Urmând o anumită secvență de pași, puteți obține cele mai bune rezultate în analiza defectelor.
Tabelul 1-3 oferă un exemplu de realizare și documentare a unui FMEA. Deși majoritatea companiilor nu au resursele necesare pentru a intra în astfel de detalii asupra fiecărui sistem și control, ar trebui făcut pentru funcții și sisteme critice care pot avea un impact semnificativ asupra companiei. Este foarte important să analizați o protecție sau un sistem de la nivel micro până la nivel macro pentru a înțelege pe deplin unde pot sta potențialele vulnerabilități sau defecte și care sunt consecințele exploatării acestor deficiențe. Fiecare sistem informatic poate fi format din multe bombe cu ceas la diferite niveluri ale structurii sale. La nivel de componentă, acesta ar putea fi o depășire a tamponului sau componente ActiveX periculoase care ar putea permite unui atacator să obțină controlul asupra sistemului prin exploatarea unei vulnerabilități. Din punct de vedere programatic, este posibil ca o aplicație să nu autorizeze în mod sigur sau să nu-și protejeze în mod corespunzător cheile criptografice. La nivel de sistem, nucleul sistemului de operare poate fi defect, permițând unui atacator să obțină cu ușurință acces administrativ. La orice nivel se pot întâmpla diverse lucruri teribile, așa că este necesară o abordare atât de detaliată.
Tabelul 1-3 Un exemplu de realizare și documentare a unui FMEA
FMEA a fost dezvoltat inițial pentru cercetarea sistemelor. Scopul său este de a studia potențialele defecte ale produselor și proceselor aferente. Această abordare a avut succes și a fost adaptată pentru a fi utilizată în prioritizarea managementului riscurilor și atenuării vulnerabilităților cunoscute pentru amenințări.
Cu toate acestea, FMEA nu este suficient de eficient pentru a detecta defecte complexe care pot implica mai multe sisteme sau subsisteme diferite. În acest caz, este mai potrivit să folosiți analiza arborelui de defecțiuni. Procesul principal este luat pentru analiza arborelui de blocare. Un eveniment nedorit este specificat ca rădăcină (elementul cel mai de sus al acestui arbore logic). Apoi, ca ramuri, se adaugă o serie de expresii și evenimente logice, care pot duce la implementarea evenimentului nedorit superior. După aceea, arborele de eșec este marcat cu numere corespunzătoare probabilității de eșec (de obicei acest lucru se face folosind programe de calculator specializate care pot calcula probabilitățile din arborele de eșec). Figura 1-7 prezintă un arbore de defecte simplificat și diferitele semne logice utilizate pentru a reprezenta ceea ce trebuie să se întâmple pentru a provoca o defecțiune.
Figura 1-7 Arborele de erori și elemente logice
Unele dintre cele mai comune blocări ale software-ului care pot fi investigate utilizând analiza arborelui de blocare sunt prezentate mai jos:
În prezent, sunt folosite diverse metode pentru a evalua riscurile informaționale ale companiilor și pentru a le gestiona. Evaluarea riscului informațional al unei companii poate fi efectuată în conformitate cu următorul plan:
1) Identificarea și cuantificarea resurselor informaționale ale companiei care sunt semnificative pentru afaceri.
2) Evaluarea posibilelor amenințări.
3) Evaluarea vulnerabilităților existente.
4) Evaluarea eficacității instrumentelor de securitate a informațiilor.
Se presupune că resursele informaționale vulnerabile ale companiei care sunt semnificative pentru afaceri sunt în pericol dacă există amenințări la adresa lor. Cu alte cuvinte, riscurile caracterizează pericolul care poate amenința componentele unui sistem informațional corporativ. În același timp, riscurile informaționale ale companiei depind de:
Indicatori ai valorii resurselor informaţionale;
Probabilitățile de realizare a amenințărilor la adresa resurselor;
Eficacitatea mijloacelor existente sau planificate de asigurare a securității informațiilor.
Scopul evaluării riscurilor este de a determina caracteristicile de risc ale sistemului informațional corporativ și ale resurselor acestuia. După evaluarea riscurilor, puteți selecta instrumentele care asigură nivelul dorit de securitate a informațiilor companiei. La evaluarea riscurilor se iau în considerare factori precum valoarea resurselor, semnificația amenințărilor și vulnerabilităților, eficacitatea măsurilor de protecție existente și planificate. Posibilitatea realizării unei amenințări la adresa unei anumite resurse a companiei este estimată prin probabilitatea realizării acesteia într-o anumită perioadă de timp. În acest caz, probabilitatea ca amenințarea să fie realizată este determinată de următorii factori principali:
Atractivitatea resursei (luată în considerare atunci când se ia în considerare amenințarea din cauza impactului uman intenționat);
Posibilitatea de a utiliza resursa pentru a genera venituri (și în cazul unei amenințări din cauza impactului uman intenționat);
Capacitățile tehnice de implementare a amenințării în cazul unui impact deliberat din partea unei persoane;
Gradul de ușurință cu care poate fi exploatată o vulnerabilitate.
În prezent, managementul riscului informațional este unul dintre cele mai relevante și dinamice domenii ale managementului strategic și operațional în domeniul securității informațiilor. Sarcina sa principală este identificarea și evaluarea obiectivă a riscurilor informaționale cele mai semnificative pentru activitatea companiei, precum și adecvarea controalelor de risc utilizate pentru creșterea eficienței și rentabilității activității economice a companiei. Prin urmare, termenul „managementul riscului informațional” este de obicei înțeles ca un proces sistemic de identificare, control și reducere a riscurilor informaționale ale companiilor în conformitate cu anumite restricții ale cadrului de reglementare rus în domeniul protecției informațiilor și a propriei politici de securitate corporativă. Se crede că managementul riscului de înaltă calitate permite utilizarea instrumentelor de control al riscurilor și de protecție a informațiilor care sunt optime din punct de vedere al eficienței și costurilor și adecvate scopurilor și obiectivelor actuale ale afacerii companiei.
Nu este un secret pentru nimeni că astăzi există o creștere pe scară largă a dependenței activităților de afaceri de succes ale companiilor autohtone de măsurile organizatorice și mijloacele tehnice de control și reducere a riscurilor utilizate. Pentru managementul eficient al riscurilor informaționale au fost dezvoltate metode speciale, de exemplu, metode ale standardelor internaționale ISO 15408, ISO 17799 (BS7799), BSI; precum și standardele naționale NIST 80030, SAC, COSO, SAS 55/78 și unele altele similare acestora. În conformitate cu aceste metode, managementul riscului informațional al oricărei companii presupune următoarele. În primul rând, definirea principalelor scopuri și obiective de protecție a activelor informaționale ale companiei. În al doilea rând, crearea unui sistem eficient de evaluare și gestionare a riscurilor informaționale. În al treilea rând, calcularea unui set de evaluări detaliate nu numai calitative, ci și cantitative ale riscului, care sunt adecvate obiectivelor de afaceri declarate. În al patrulea rând, utilizarea unor instrumente speciale de evaluare și management al riscurilor.
Practici calitative de management al riscului
Tehnicile calitative de management al riscului au fost adoptate în țările avansate din punct de vedere tehnologic de o mare armată de auditori IT interni și externi. Aceste tehnici sunt destul de populare și relativ simple și sunt de obicei dezvoltate pe baza cerințelor standardului internațional ISO 177992002.
Standardul ISO 17799 conține două părți.
Partea 1: Recomandări practice pentru managementul securității informațiilor, 2002 definește principalele aspecte ale organizării unui regim de securitate a informațiilor într-o companie: Politica de securitate. Organizație de apărare. Clasificarea și gestionarea resurselor informaționale. Managementul personalului. Siguranță fizică. Administrarea sistemelor și rețelelor de calculatoare. Control acces la sistem. Dezvoltarea si intretinerea sistemelor. Planificarea continuității organizaționale. Verificarea conformității sistemului cu cerințele IS.
Partea 2: Specificații, 2002, abordează aceleași probleme în ceea ce privește certificarea regimului de securitate a informațiilor unei companii față de cerințele standardului. Din punct de vedere practic, această parte este un instrument pentru un auditor IT și vă permite să efectuați rapid un audit intern sau extern al securității informațiilor oricărei companii.
Metodologiile calitative de management al riscului bazate pe cerințele ISO 17999 includ metodele COBRA și RA Software Tool. Să trecem în revistă pe scurt aceste metode.
Această tehnică vă permite să efectuați automat cea mai simplă versiune de evaluare a riscurilor informaționale a oricărei companii. Pentru aceasta, se propune utilizarea unor baze de cunoștințe electronice speciale și proceduri de inferență axate pe cerințele ISO 17799. Este esențial ca, dacă se dorește, lista de cerințe luate în considerare să poată fi completată cu diverse cerințe ale autorităților de reglementare naționale, pt. de exemplu, cerințele documentelor de guvernare (DR) ale Comisiei Tehnice de Stat sub președintele Federației Ruse.
Metodologia COBRA prezintă cerințele standardului ISO 17799 sub formă de chestionare tematice (liste de verificare), la care trebuie să se răspundă în timpul evaluării riscurilor activelor informaționale și tranzacțiilor comerciale electronice ale companiei ( orez. 1. - Un exemplu de colecție tematică de întrebări COBRA). În plus, răspunsurile introduse sunt procesate automat și, folosind regulile de inferență adecvate, este generat un raport final cu evaluări curente ale riscurilor informaționale ale companiei și recomandări pentru managementul acestora.
Instrument software RA
Metodologia și instrumentul software RA cu același nume ( orez. 2. - Principalele module ale metodologiei RA Software Tool) se bazează pe cerințele standardelor internaționale ISO 17999 și ISO 13335 (părțile 3 și 4), precum și pe cerințele unor linii directoare ale British National Standards Institute (BSI), de exemplu, PD 3002 (Orientări pentru evaluare și management). de riscuri), PD 3003 (Evaluarea companiilor de pregătire care urmează să fie auditate în conformitate cu BS 7799), PD 3005 (Ghid de selecție a sistemului de protecție), etc.
Această metodologie permite evaluarea riscului informațional (modulele 4 și 5) să fie efectuată în conformitate cu cerințele ISO 17799 și, dacă se dorește, în conformitate cu specificațiile mai detaliate ale ghidului PD 3002 al Institutului Britanic de Standarde.
Tehnici cantitative de management al riscului
Al doilea grup de metode de management al riscului este format din metode cantitative, a căror relevanță se datorează necesității de a rezolva diverse probleme de optimizare care apar adesea în viața reală. Esența acestor probleme se rezumă la găsirea singurei soluții optime dintre multele existente. De exemplu, este necesar să se răspundă la următoarele întrebări: „Cum, rămânând în limita bugetului anual (trimestrial) aprobat pentru securitatea informațiilor, să se realizeze nivelul maxim de securitate al activelor informaționale ale companiei?” sau „Care dintre alternativele pentru construirea protecției informațiilor corporative (un site WWW securizat sau un e-mail corporativ) ar trebui să alegeți, ținând cont de limitările cunoscute ale resurselor de afaceri ale companiei?” Pentru a rezolva aceste probleme, sunt dezvoltate metode și tehnici de evaluare cantitativă și management al riscului bazate pe metode structurale și mai rar orientate pe obiecte de analiză și proiectare a sistemului (SSADM - Structured Systems Analysis and Design). În practică, astfel de tehnici de management al riscului fac posibilă: Crearea unor modele ale activelor informaționale ale unei companii din punct de vedere al securității; Clasificarea si evaluarea activelor; Compilați liste cu cele mai semnificative amenințări de securitate și vulnerabilități; Clasificarea amenințărilor și vulnerabilităților de securitate; Justificarea mijloacelor și măsurilor de control al riscurilor; Evaluează eficacitatea/costul diferitelor opțiuni de protecție; Formalizarea și automatizarea procedurilor de evaluare și management al riscurilor.
Una dintre cele mai cunoscute metode din această clasă este metoda CRAMM.
mai întâi a fost creată o metodă, iar apoi metodologia CRAMM (analiza și controlul riscurilor) cu același nume care îndeplinește cerințele CCTA. Apoi au existat mai multe versiuni ale metodologiei, concentrate pe cerințele diferitelor organizații și structuri guvernamentale și comerciale. O versiune a „profilului comercial” a devenit larg răspândită pe piața securității informațiilor.
Principalele obiective ale metodologiei CRAMM sunt: Formalizarea și automatizarea procedurilor de analiză și management al riscurilor; Optimizarea cheltuielilor pentru mijloace de control si protectie; Planificarea cuprinzătoare și managementul riscului în toate etapele ciclului de viață al sistemelor informaționale; Reducerea timpului pentru dezvoltarea și întreținerea unui sistem corporativ de securitate a informațiilor; Justificarea eficacității măsurilor și controalelor de protecție propuse; Gestionarea schimbărilor și a incidentelor; Suport pentru continuitatea afacerii; Luarea promptă a deciziilor cu privire la problemele de management al securității etc.
Managementul riscului în metodologia CRAMM se realizează în mai multe etape (Fig. 3).
La prima etapă de inițiere - „Inițiere” - se determină limitele sistemului informațional studiat al companiei, compoziția și structura principalelor sale active și tranzacții informaționale.
În etapa de identificare și evaluare a resurselor – „Identificarea și Evaluarea Activelor” – activele sunt clar identificate și se determină valoarea acestora. Calculul costului activelor informaționale determină fără ambiguitate necesitatea și suficiența mijloacelor de control și protecție propuse.
În etapa de evaluare a amenințărilor și vulnerabilităților – „Evaluarea amenințărilor și vulnerabilităților” – sunt identificate și evaluate amenințările și vulnerabilitățile activelor informaționale ale companiei.
Etapa analizei riscului – „Analiza riscului” – vă permite să obțineți evaluări calitative și cantitative ale riscurilor.
La etapa managementului riscului – „Managementul riscului” – se propun măsuri și mijloace pentru reducerea sau evitarea riscului.
Să explorăm posibilitățile CRAMM cu următorul exemplu. Să fie evaluate riscurile informaționale ale următorului sistem informațional corporativ (Fig. 4).
În această schemă, evidențiază condiționat următoarele elemente ale sistemului: locuri de muncă în care operatorii introduc informații provenind din lumea exterioară; un server de e-mail către care sunt primite informații de la nodurile de rețea la distanță prin Internet; serverul de procesare pe care este instalat SGBD; server de rezervă; locurile de muncă ale grupului de răspuns rapid; locul de muncă al administratorului de securitate; locul de muncă al administratorului bazei de date.
Funcționarea sistemului se realizează după cum urmează. Datele introduse de la stațiile de lucru ale utilizatorilor și primite de serverul de e-mail sunt trimise către serverul de prelucrare a datelor corporative. Apoi datele sunt trimise la locurile de muncă ale grupului de răspuns rapid și acolo se iau deciziile adecvate.
Să realizăm acum o analiză de risc folosind metodologia CRAMM și să oferim câteva mijloace de control și gestionare a riscurilor care sunt adecvate scopurilor și obiectivelor afacerii companiei.
Determinarea limitelor studiului. Etapa începe cu rezolvarea problemei determinării limitelor sistemului studiat. Pentru a face acest lucru, sunt colectate următoarele informații: cei responsabili pentru resursele fizice și software; cine este utilizatorul și modul în care utilizatorii folosesc sau vor folosi sistemul; configuratia sistemului. Informațiile primare sunt colectate în cursul conversațiilor cu managerii de proiect, managerul de utilizatori sau alți angajați.
Identificarea resurselor si construirea unui model de sistem din punct de vedere al securitatii informatiilor. Se realizează identificarea resurselor: materiale, software și informații, cuprinse în limitele sistemului. Fiecare resursă trebuie să fie atribuită uneia dintre clasele predefinite. Clasificarea resurselor fizice este dată în anexă. Apoi se construiește un model al sistemului informațional din punctul de vedere al securității informațiilor. Pentru fiecare proces informațional, care are o valoare independentă din punctul de vedere al utilizatorului și se numește serviciu utilizator (EndUserService), se construiește un arbore de legături ale resurselor utilizate. În exemplul luat în considerare, va exista singurul astfel de serviciu (Fig. 5). Modelul construit vă permite să evidențiați elementele critice.
Valoarea resursei. Tehnica permite determinarea valorii resurselor. Acest pas este obligatoriu în versiunea completă a analizei de risc. Valoarea resurselor fizice în această metodă este determinată de costul refacerii lor în caz de distrugere. Valoarea datelor și a software-ului este determinată în următoarele situații: indisponibilitatea unei resurse pentru o anumită perioadă de timp; distrugerea resurselor - pierderea informațiilor obținute de la ultima copie de rezervă sau distrugerea completă a acesteia; încălcarea confidențialității în cazurile de acces neautorizat al personalului sau al persoanelor neautorizate; modificarea este luată în considerare pentru cazurile de erori umane minore (erori de intrare), erori de program, erori intenționate; erori legate de transferul de informații: refuzul livrării, nelivrarea informațiilor, livrarea la adresa greșită. Pentru evaluarea posibilelor daune se propune utilizarea următoarelor criterii: prejudiciu adus reputației organizației; încălcarea legii aplicabile; afectarea sănătății personalului; daune asociate cu dezvăluirea datelor cu caracter personal ale persoanelor fizice; pierderi financiare din dezvăluirea de informații; pierderi financiare asociate cu refacerea resurselor; pierderi asociate cu imposibilitatea îndeplinirii obligațiilor; dezorganizarea activitatii.
Setul de criterii dat este utilizat în versiunea comercială a metodei (profil standard). Alte versiuni vor avea un set diferit, de exemplu, versiunea guvernamentală adaugă parametri pentru a reflecta domenii precum securitatea națională și afacerile externe.
Pentru date și software, sunt selectate criteriile aplicabile acestui IS, daunele sunt evaluate pe o scară cu valori de la 1 la 10.
De exemplu, dacă datele conțin detalii despre informații comerciale confidențiale (critice), expertul care efectuează studiul pune întrebarea: cum poate afecta organizația accesul neautorizat al persoanelor neautorizate la aceste informații?
Este posibil următorul răspuns: eșec în mai mulți dintre parametrii enumerați mai sus simultan și fiecare aspect ar trebui să fie luat în considerare mai detaliat și să i se atribuie cel mai mare rating posibil.
Apoi sunt dezvoltate scale pentru sistemul de parametri selectat. S-ar putea să arate așa.
Daune aduse reputației organizației: 2 - reacția negativă a oficialilor individuali, a personalităților publice; 4 - critică în mass-media care nu are un răspuns public larg; 6 - reacția negativă a deputaților individuali ai Dumei, Consiliului Federației; 8 - critica în mass-media, care are consecinţe sub forma unor scandaluri majore, audieri parlamentare, inspecţii de amploare etc.; 10 - reactie negativa la nivelul Presedintelui si Guvernului.
Daune aduse sănătății personalului: 2 - daune minime (consecințele nu sunt legate de spitalizări sau tratament de lungă durată); 4 - daune de dimensiuni medii (este necesar un tratament pentru unul sau mai mulți angajați, dar nu există consecințe negative pe termen lung); 6 - consecințe grave (spitalizare pe termen lung, invaliditate a unuia sau mai multor salariați); 10 - moartea oamenilor.
Pierderi financiare asociate cu refacerea resurselor: 2 - mai puțin de 1000 USD; 6 - de la 1000 USD la 10.000 USD; 8 - de la 10.000 USD la 100.000 USD; 10 - peste 100.000 USD.
Dezorganizarea activităților din cauza indisponibilității datelor: 2 - lipsa accesului la informații până la 15 minute; 4 - lipsa accesului la informații până la 1 oră; 6 - lipsa accesului la informații până la 3 ore; 8 - lipsa accesului la informatii de la 12 ore; 10 - lipsa accesului la informații pentru mai mult de o zi.
În această etapă pot fi întocmite mai multe tipuri de rapoarte (limite de sistem, model, evaluarea resurselor). Dacă valorile resurselor sunt scăzute, poate fi utilizată opțiunea de protecție de bază. În acest caz, cercetătorul poate trece de la această etapă direct la etapa de analiză a riscului. Cu toate acestea, pentru a lua în considerare în mod adecvat impactul potențial al oricărei amenințări, vulnerabilități sau combinații de amenințări și vulnerabilități care au niveluri ridicate, ar trebui utilizată o versiune prescurtată a etapei de evaluare a amenințărilor și vulnerabilităților. Acest lucru vă permite să dezvoltați un sistem mai eficient pentru protejarea informațiilor companiei.
La etapa de evaluare a amenințărilor și vulnerabilităților se evaluează dependențele serviciilor utilizatorilor de anumite grupuri de resurse și nivelul existent de amenințări și vulnerabilități.
Mai mult, activele companiei sunt grupate în termeni de amenințări și vulnerabilități.De exemplu, în cazul unei amenințări de incendiu sau furt, este rezonabil să se considere ca grup de resurse toate resursele situate într-un singur loc (camera serverului, camera comunicațiilor, etc.).
În același timp, evaluarea nivelurilor de amenințări și vulnerabilități poate fi realizată pe baza unor factori indirecți sau pe baza evaluărilor directe ale experților. În primul caz, software-ul CRAMM pentru fiecare grup de resurse și fiecare dintre ele generează o listă de întrebări care permit un răspuns fără ambiguitate ( orez. 8. -Evaluarea nivelului de amenințare la securitate prin factori indirecti).
Nivelul amenințărilor este evaluat, în funcție de răspunsuri, ca: foarte ridicat; înalt; in medie; mic de statura; foarte jos.
Nivelul de vulnerabilitate este evaluat, în funcție de răspunsuri, ca: ridicat; in medie; mic de statura; dispărut.
Este posibil să corectați rezultatele sau să utilizați alte metode de evaluare. Pe baza acestor informații, nivelurile de risc sunt calculate pe o scară discretă cu gradații de la 1 la 7 (etapa de analiză a riscului). Nivelurile primite de amenințări, vulnerabilități și riscuri sunt analizate și convenite cu clientul. Numai atunci puteți trece la etapa finală a metodei.
Managementul riscurilor. Principalele etape ale etapei de management al riscului sunt prezentate în fig. 9.
În această etapă, CRAMM generează mai multe opțiuni de contramăsuri care sunt adecvate riscurilor identificate și nivelurilor acestora. Contramăsurile sunt împărțite în grupuri și subgrupe în funcție de următoarele categorii: Asigurarea securității la nivel de rețea. Asigurarea securității fizice. Asigurarea securității infrastructurii suport. Măsuri de securitate la nivel de administrator de sistem.
În urma acestei etape, sunt generate mai multe tipuri de rapoarte.
Astfel, metodologia de analiză și management al riscurilor luată în considerare este pe deplin aplicabilă în condițiile rusești, în ciuda faptului că indicatorii de securitate de la UA la informații și cerințele pentru protecția informațiilor diferă în RD rusești și standardele străine. Deosebit de utilă este utilizarea unor instrumente precum metoda CRAMM atunci când se analizează riscurile sistemelor informaționale cu cerințe sporite în domeniul securității informațiilor. Acest lucru vă permite să obțineți estimări rezonabile ale nivelurilor existente și acceptabile de amenințări, vulnerabilități și eficacitatea protecției.
MethodWare
MethodWare și-a dezvoltat propria metodologie de gestionare și evaluare a riscurilor și a lansat o serie de instrumente conexe. Aceste instrumente includ: Software-ul pentru analiza și managementul riscurilor Operational Risk Builder și Risk Advisor. Metodologia respectă standardul de management al riscului din Australia/Noua Zeelandă (AS/NZS 4360:1999) și ISO17799. Software-ul de management al ciclului de viață al tehnologiei informației în conformitate cu CobiT Advisor 3rd Edition (Audit) și CobiT 3rd Edition Management Advisor. Orientările CobiT pun un accent semnificativ pe analiza și managementul riscurilor. Software pentru automatizarea construirii diverselor chestionare Questionnaire Builder.
Să aruncăm o privire rapidă la caracteristicile Risk Advisor. Acest software este poziționat ca un set de instrumente pentru un analist sau manager în domeniul securității informațiilor. A fost implementată o tehnică care vă permite să setați un model de sistem informațional din poziția de securitate a informațiilor, identificarea riscurilor, amenințărilor, pierderilor ca urmare a incidentelor. Principalele etape de lucru sunt: descrierea contextului, identificarea riscurilor, evaluarea amenințărilor și posibilelor daune, dezvoltarea acțiunilor de control și elaborarea unui plan de recuperare și urgență. Să ne uităm la acești pași mai detaliat. Descrierea riscurilor. Matricea de risc este stabilită ( orez. 10. - Identificarea si definirea riscurilor in Risk Advisor) pe baza unui model. Riscurile sunt evaluate pe o scară calitativă și împărțite în acceptabile și inacceptabile ( orez. 11. - Separarea riscurilor în acceptabile și inacceptabile în Risk Advisor). Apoi acțiunile de control (contramăsuri) sunt selectate ținând cont de sistemul de criterii fixat anterior, de eficacitatea contramăsurilor și de costul acestora. Costul și eficiența sunt evaluate și pe scale calitative.
Descrierea amenințărilor. La început, se formează o listă de amenințări. Amenințările sunt clasificate într-un anumit fel, apoi este descrisă relația dintre riscuri și amenințări. Descrierea se face și la nivel calitativ și vă permite să fixați relația lor.
Descrierea pierderilor. Sunt descrise evenimentele (consecințele) asociate cu încălcarea regimului de securitate a informațiilor. Pierderile sunt evaluate în sistemul de criterii selectat.
Analiza rezultatelor. Ca urmare a construirii modelului, este posibilă generarea unui raport detaliat (aproximativ 100 de secțiuni), vizualizarea descrierilor agregate sub formă de riscuri grafice pe ecran.
Tehnica luată în considerare permite automatizarea diverselor aspecte ale managementului riscului companiei. În același timp, evaluările riscurilor sunt date pe scale calitative. Nu este furnizată o analiză detaliată a factorilor de risc. Puterea tehnicii luate în considerare este capacitatea de a descrie diverse relații, luarea în considerare adecvată a multor factori de risc și intensitatea muncii semnificativ mai scăzută în comparație cu CRAMM.
Concluzie
Metodele și tehnologiile moderne de management al riscului informațional fac posibilă evaluarea nivelului existent al riscurilor informaționale reziduale în companiile naționale. Acest lucru este deosebit de important în cazurile în care sistemul informațional al companiei este supus unor cerințe sporite în domeniul securității informațiilor și al continuității afacerii.Astăzi, există o serie de metode de analiză a riscurilor, inclusiv utilizarea instrumentelor CASE adaptate pentru utilizare în condiții interne. Este esențial ca o analiză efectuată calitativ a riscurilor informaționale să permită efectuarea unei analize comparative a „eficacității-cost” a diferitelor opțiuni de protecție, selectarea contramăsurilor și controalelor adecvate și evaluarea nivelului riscurilor reziduale. În plus, instrumentele de analiză a riscurilor bazate pe baze de cunoștințe moderne și proceduri de inferență fac posibilă construirea de modele structurale și orientate pe obiecte ale activelor informaționale ale companiei, modele de amenințare și modele de risc asociate cu informațiile individuale și tranzacțiile comerciale și, prin urmare, identificarea acestor informații despre companie. active, al căror risc de încălcare a securității este critic, adică inacceptabil. Astfel de instrumente oferă o oportunitate de a construi diverse modele de protecție a activelor informaționale ale companiei, de a compara diferite opțiuni pentru un set de măsuri de protecție și control conform criteriului „cost-eficiență” și de a monitoriza respectarea cerințelor de organizare a regimului de securitate a informațiilor. o companie autohtona.
Se știe că riscul este probabilitatea realizării unei amenințări la adresa securității informațiilor. În viziunea clasică, evaluarea riscurilor include o evaluare a amenințărilor, vulnerabilităților și daunelor cauzate de implementarea acestora. Analiza riscului constă în modelarea tabloului declanșării acestor condiții cele mai nefavorabile prin luarea în considerare a tuturor factorilor posibili care determină riscul ca atare. Din punct de vedere matematic, în analiza riscului, astfel de factori pot fi considerați parametri de intrare.
Să enumerăm acești parametri:
1) active - componente cheie ale infrastructurii sistemului implicate în procesul de afaceri și având o anumită valoare;
2) amenințări, a căror implementare este posibilă prin exploatarea unei vulnerabilități;
3) vulnerabilități - o slăbiciune a mijloacelor de protecție cauzată de erori sau imperfecțiuni în proceduri, proiectare, implementare, care poate fi folosită pentru a pătrunde în sistem;
4) daune care sunt estimate ținând cont de costurile restabilirii sistemului la starea inițială după un posibil incident de securitate a informațiilor.
Deci, primul pas în efectuarea unei analize de risc multivariate este identificarea și clasificarea parametrilor de intrare analizați. În continuare, este necesar să se clasifice fiecare parametru în funcție de nivelurile de semnificație (de exemplu: ridicat, mediu, scăzut). În etapa finală a modelării riscului probabil (înainte de obținerea datelor numerice ale nivelului de risc), amenințările și vulnerabilitățile identificate sunt legate de componente specifice ale infrastructurii IT (o astfel de legătură poate implica, de exemplu, o analiză de risc cu și fără luând în considerare disponibilitatea instrumentelor de protecție a sistemului, probabilitatea ca sistemul să fie compromis din cauza unor factori necontabiliați etc.). Să parcurgem pas cu pas procesul de modelare a riscului. Pentru a face acest lucru, în primul rând, să acordăm atenție activelor companiei.
Inventarul activelor companiei
(CARACTERIZAREA SISTEMULUI)
În primul rând, este necesar să se determine care este un bun valoros al companiei în ceea ce privește securitatea informațiilor. Standardul ISO 17799, care descrie în detaliu procedurile pentru un sistem de management al securității informațiilor, identifică următoarele tipuri de active:
. resurse informaționale (baze de date și dosare, contracte și acorduri, documentație de sistem, informații de cercetare, documentație, materiale de instruire etc.);
. software;
. active corporale (echipamente informatice, telecomunicații etc.);
. servicii (servicii de telecomunicații, sisteme de susținere a vieții etc.);
. angajații companiei, calificările și experiența acestora;
. resurse necorporale (reputația și imaginea companiei).
Ar trebui să se determine ce încălcare a securității informațiilor despre active ar putea dăuna companiei. În acest caz, activul va fi considerat valoros și va trebui să fie luat în considerare în analiza riscurilor informaționale. Inventarul constă în întocmirea unei liste de bunuri valoroase ale companiei. De regulă, acest proces este efectuat de proprietarii activelor. Conceptul de „proprietar” definește persoanele sau părțile care au responsabilități aprobate de conducerea companiei de a gestiona crearea, dezvoltarea, întreținerea, utilizarea și protecția activelor.
În procesul de clasificare a activelor, este necesar să se evalueze criticitatea activelor pentru procesele de afaceri ale companiei sau, cu alte cuvinte, să se determine cât de mult va suferi compania în cazul unei încălcări a securității informaționale a activelor. Acest proces provoacă cea mai mare dificultate, deoarece. valoarea activelor este determinată pe baza evaluărilor de specialitate ale proprietarilor acestora. În această fază, există discuții frecvente între consultanții de dezvoltare a sistemelor de management și proprietarii de active. Acest lucru îi ajută pe proprietarii de active să înțeleagă cum să determine valoarea activelor în ceea ce privește securitatea informațiilor (de regulă, procesul de determinare a criticității activelor este nou și nebanal pentru proprietar). În plus, pentru proprietarii de active sunt dezvoltate diverse metode de evaluare. În special, astfel de metodologii pot conține criterii specifice (relevante pentru o anumită companie) care ar trebui să fie luate în considerare atunci când se evaluează criticitatea.
Evaluarea criticității activelor
Criticitatea activelor este evaluată în trei dimensiuni: confidențialitate, integritate și disponibilitate. Acestea. este necesar să se evalueze prejudiciul pe care societatea îl va suferi dacă este încălcată confidențialitatea, integritatea sau disponibilitatea activelor. Criticitatea activelor poate fi evaluată în unități monetare și în niveluri. Cu toate acestea, ținând cont de faptul că valorile în unități monetare sunt necesare pentru analiza riscurilor informaționale, în cazul evaluării criticității activelor în niveluri, este necesar să se determine evaluarea fiecărui nivel în bani.
Conform clasificării autorizate NIST inclusă în GHIDUL DE MANAGEMENTUL RISCURILOR PENTRU SISTEMELE TEHNOLOGIEI INFORMAȚIONALE, clasificarea și evaluarea amenințărilor este precedată de identificarea directă a surselor acestora. Deci, conform clasificării de mai sus, pot fi identificate principalele surse de amenințări, printre care se numără:
. amenintari de origine naturala (cutremure, inundatii etc.);
. amenințări umane (acces neautorizat, atacuri de rețea, erori ale utilizatorilor etc.);
. amenințări de origine tehnologică (accidente de diferite tipuri, întreruperi de curent, poluare chimică etc.).
Clasificarea de mai sus poate fi clasificată în continuare mai detaliat.
Astfel, categoriile independente de surse de amenințări provenite de la om, conform clasificării NIST menționate, includ:
- hackeri;
- structuri criminale;
- terorişti;
- companii care desfășoară activități de spionaj industrial;
- persoane din interior.
Fiecare dintre amenințările enumerate, la rândul său, ar trebui să fie detaliată și evaluată pe o scară de semnificație (de exemplu: scăzut, mediu, ridicat).
Evident, analiza amenințărilor ar trebui luată în considerare în strânsă legătură cu vulnerabilitățile sistemului pe care îl studiem. Scopul acestui pas de management al riscului este de a enumera posibilele vulnerabilități ale sistemului și de a clasifica acele vulnerabilități în funcție de „puterea lor”. Astfel, conform practicii globale, gradația vulnerabilităților poate fi împărțită pe niveluri: Critic, Înalt, Mediu, Scăzut. Să ne uităm la aceste niveluri mai detaliat:
1. Nivel critic de pericol. Acest nivel de pericol include vulnerabilități care permit compromiterea sistemului de la distanță fără un impact suplimentar din partea utilizatorului țintă și sunt în prezent exploatate activ. Acest nivel de severitate implică faptul că exploit-ul este în domeniul public.
2. Grad ridicat de pericol. Acest nivel de severitate include vulnerabilități care permit compromiterea sistemului de la distanță. De regulă, nu există nicio exploatare disponibilă public pentru astfel de vulnerabilități.
3. Gradul mediu de pericol. Acest nivel de severitate include vulnerabilități care permit refuzarea de la distanță a serviciului, accesul neautorizat la date sau executarea de cod arbitrar prin interacțiunea directă cu utilizatorul (de exemplu, printr-o aplicație vulnerabilă care se conectează la un server rău intenționat).
4. Nivel scăzut de pericol. Acest nivel include toate vulnerabilitățile care sunt exploatate local, precum și vulnerabilitățile care sunt dificil de exploatat sau care au un impact minim (de exemplu, XSS, refuzul serviciului aplicației client).
Sursa pentru compilarea unei astfel de liste/liste de vulnerabilități ar trebui să fie:
. liste de vulnerabilități disponibile public publicate în mod regulat (de exemplu: www.securitylab.ru);
. o listă de vulnerabilități publicată de producătorul de software (de exemplu: www.apache.org);
. rezultatele testelor de penetrare (de exemplu: www.site-sec.com);
. analiza rapoartelor scanerelor de vulnerabilitate (realizate de administratorul de securitate din cadrul companiei).
În general, vulnerabilitățile pot fi clasificate după cum urmează:
. Vulnerabilități ale sistemului de operare și software (errore de cod) descoperite de producător sau de experți independenți (la momentul scrierii, numărul total de vulnerabilități detectate a ajuns la aproximativ ~ 1900 - aceasta include vulnerabilități publicate în „bugtracks” pe xakep.ru, securitylab, milw0rm. com și securityfocus .com).
. Vulnerabilități ale sistemului asociate cu erori de administrare (server web sau setări PHP inadecvate pentru mediu, porturi cu servicii vulnerabile neînchise de firewall etc.).
. Vulnerabilități, ale căror surse pot fi incidente neacoperite de politica de securitate, precum și evenimente spontane. Buffer overflow este un prim exemplu de vulnerabilitate comună a sistemului de operare și a software-ului. Apropo, marea majoritate a exploit-urilor existente în prezent implementează o clasă de vulnerabilități pentru depășirile de buffer.
Metode numerice de evaluare a riscurilor
Cea mai simplă evaluare a riscurilor informaționale constă în calcularea riscurilor, care se realizează ținând cont de informații despre criticitatea activelor, precum și de probabilitățile de exploatare a vulnerabilităților.
Formula clasică de evaluare a riscului:
R=D*P(V), unde R este riscul informațional;
D - criticitatea activelor (daune);
P(V) - probabilitatea implementării vulnerabilității.
Un exemplu de implementare practică a abordării de mai sus pentru determinarea nivelurilor de risc este matricea de risc propusă de NIST.
| Amenințare Probabilitate-amenințare (probabilitatea sa) | Daune de impact | ||
| Scăzut (scăzut) - 10 | Mediu (mediu) -50 | Ridicat (mare) -100 | |
| Ridicat (ridicat) - 1 | Scăzut (scăzut) 10x1=10 | Mediu (mediu) 50x1=50 | Ridicat (înalt) 100x1=100 |
| Mediu (mediu) - 0,5 | Scăzut (scăzut) 10x0,5=5 | Mediu (mediu) 50x0,5=25 | Mediu (mediu) 100x0,5=50 |
| Scăzut (scăzut) - 0,1 | Scăzut (scăzut) 10x0,1=1 | Scăzut (scăzut) 50x0,1=5 | Scăzut (scăzut) 100x0,1=10 |
| Nivel de risc: ridicat (50 până la 100); Mediu (de la 10 la 50); Scăzut (de la 1 la 10). | |||
Fiecare dintre parametrii de intrare posibili (de exemplu, vulnerabilitate, amenințare, activ și daune) este descris de funcția sa de membru, ținând cont de coeficientul corespunzător.
Evaluarea riscului bazată pe logica neclară
Mecanismele de evaluare a riscurilor bazate pe logica neclară includ o succesiune de etape, fiecare dintre ele utilizând rezultatele etapei precedente. Secvența acestor pași este de obicei următoarea:
. Introducerea regulilor de programare sub formă de reguli de producție („DACĂ, ... ATUNCI”), reflectând relația dintre nivelul datelor de intrare și nivelul de risc la ieșire.
. Setarea funcției de apartenență a variabilelor de intrare (de exemplu - folosind programe specializate precum „Logica Fuzyy" - în acest exemplu, am folosit MatLab).
. Obținerea rezultatului primar al estimărilor variabilelor de intrare.
. Fuzzificarea estimărilor variabilelor de intrare (găsirea unor valori specifice ale funcțiilor de membru).
. Agregarea (implică verificarea adevărului condițiilor prin transformarea funcțiilor de membru prin conjuncție fuzzy și disjuncție fuzzy).
. Activarea concluziilor (găsirea coeficienților de pondere pentru fiecare dintre reguli și funcții de adevăr).
. Acumularea concluziilor (găsirea funcției de membru pentru fiecare dintre variabilele de ieșire).
. Defuzificare (găsirea valorilor clare ale variabilelor de ieșire).
Deci, în exemplul de mai sus (Tabelul 1.1.), a fost de fapt luat în considerare un algoritm de evaluare a riscului cu doi parametri, cu scale de trei nivele ale parametrilor de intrare. în care:
. pentru valorile de intrare și risc au fost stabilite scale pe trei niveluri, pe care au fost definiți termeni fuzzy (corespunde valorilor „mari”, „medii” și „scăzute” ale variabilelor - vezi Fig. 1);
. semnificația tuturor regulilor de inferență logică este aceeași (toți coeficienții de greutate ai regulilor de producție sunt egali cu unul).
Orez. 1. Funcții de apartenență trapezoidală ale scalei pe trei niveluri de „vulnerabilitate”
Este evident că un algoritm cu doi parametri care prevede introducerea a două variabile de intrare nu poate oferi un rezultat obiectiv al analizei de risc, mai ales ținând cont de mulți factori - variabile de intrare, care, apropo, reflectă imaginea reală a riscului IS. evaluare.
Algoritmul cu patru parametri
Să presupunem că cu ajutorul regulilor de producție a logicii fuzzy este necesar să se reproducă mecanismul de inferență, ținând cont de patru variabile de intrare. În acest caz, aceste variabile sunt:
. active;
. vulnerabilitate;
. amenințare (sau mai degrabă, probabilitatea acesteia);
. deteriora.
Fiecare dintre variabilele de intrare enumerate este evaluată pe propria sa scară. Deci, să presupunem că pe baza analizei preliminare s-au obținut unele estimări ale variabilelor de intrare (Fig. 2.):
Orez. 2. Introducerea estimărilor variabilelor și mecanismul de inferență
Folosind cel mai simplu exemplu, luați în considerare forma regulilor de producție pentru un anumit caz cu o scară pe trei niveluri:
Orez. 3. Reguli de producție ale algoritmului cu patru parametri
Interfața grafică a Fuzzy Logic Toolbox în acest caz vă permite să vizualizați grafice ale dependenței riscului de probabilitatea unei amenințări și, în consecință, alte variabile de intrare.
Fig.4. Dependența riscului de probabilitatea amenințării
Orez. 5. Dependența riscului de daune
Un grafic de dependență neted și monoton al „curbei de inferență” indică suficiența și consistența regulilor de inferență utilizate. O reprezentare grafică vizuală vă permite să evaluați caracterul adecvat al proprietăților mecanismului de ieșire la cerințe. În acest caz, „curba de inferență” indică faptul că este oportun să se utilizeze mecanismul de inferență numai în regiunea valorilor de probabilitate scăzută, adică. cu o probabilitate mai mică de 0,5. Cum se poate explica un astfel de „blocare” în valori cu o probabilitate mai mare de 0,5? Probabil pentru că utilizarea unei scale cu trei niveluri, de regulă, afectează sensibilitatea algoritmului în regiunea valorilor de mare probabilitate.
O prezentare generală a unor instrumente de analiză a riscurilor bazate pe mai mulți factori
Atunci când se efectuează o analiză completă a riscului, luând în considerare mulți factori, există o serie de probleme complexe de rezolvat:
. Cum se determină valoarea resurselor?
. Cum să alcătuiești o listă completă a amenințărilor IS și să evaluezi parametrii acestora?
. Cum să alegeți contramăsurile potrivite și să le evaluați eficacitatea?
Pentru a rezolva aceste probleme, există instrumente special dezvoltate construite folosind metodele structurale de analiză și proiectare a sistemului (SSADM - Structured Systems Analysis and Design), care oferă:
- construirea unui model SI din punct de vedere SI;
- metode de evaluare a valorii resurselor;
- instrumente pentru alcătuirea unei liste de amenințări și evaluarea probabilităților acestora;
- selectarea contramăsurilor și analiza eficacității acestora;
- analiza optiunilor pentru protectia cladirii;
- documentare (generare raport).
În prezent, pe piață există mai multe produse software din această clasă. Cel mai popular dintre ele este CRAMM. Să ne uităm pe scurt mai jos.
Metoda CRAM
În 1985, Agenția Centrală de Calculatoare și Telecomunicații (CCTA) din Regatul Unit a început un studiu al metodelor existente de analiză a securității informațiilor pentru a recomanda metode adecvate pentru utilizare în agențiile guvernamentale implicate în procesarea informațiilor neclasificate, dar critice. Niciuna dintre metodele luate în considerare nu a funcționat. Prin urmare, a fost dezvoltată o nouă metodă pentru a îndeplini cerințele CCTA. Se numește CRAMM - Metoda de analiză și control al riscurilor CCTA. Apoi au apărut mai multe versiuni ale metodei, concentrate pe cerințele Ministerului Apărării, agențiilor guvernamentale civile, instituțiilor financiare și organizațiilor private. Una dintre versiuni – „profil comercial” – este un produs comercial. În prezent, CRAMM este, judecând după numărul de link-uri de pe Internet, cea mai comună metodă de analiză și control al riscurilor. Analiza riscurilor include identificarea și calcularea nivelurilor (măsurilor) riscurilor pe baza evaluărilor atribuite resurselor, amenințărilor și vulnerabilităților resurselor. Controlul riscurilor constă în identificarea și selectarea contramăsurilor pentru reducerea riscurilor la un nivel acceptabil. O metodă formală bazată pe acest concept ar trebui să se asigure că protecția acoperă întregul sistem și există încredere că:
Sunt identificate toate riscurile posibile;
. sunt identificate vulnerabilitățile resurselor și nivelurile acestora sunt evaluate;
. amenințările sunt identificate și nivelurile acestora sunt evaluate;
. contramăsurile sunt eficiente;
. costurile asociate cu securitatea informațiilor sunt justificate.
Oleg Boytsev, șeful „Cerber Security//Safety Analysis of your site”
.jpg)
