La implementarea unui sistem de management al securității informațiilor (ISMS) într-o organizație, unul dintre principalele obstacole este de obicei sistemul de gestionare a riscurilor. Discuțiile despre gestionarea riscurilor de securitate a informațiilor sunt asemănătoare cu problema OZN. Pe de o parte, niciunul dintre cei din jur nu pare să fi văzut acest lucru și evenimentul în sine pare improbabil, pe de altă parte există o mulțime de dovezi, s-au scris sute de cărți, există chiar discipline științifice corespunzătoare și asociații de experții implicați în acest proces de cercetare și, ca de obicei, serviciile speciale au în acest domeniu cu cunoștințe secrete speciale.
Alexander Astakhov, CISA, 2006
Nu există un consens între profesioniștii din domeniul securității informațiilor cu privire la gestionarea riscurilor. Cineva neagă metodele cantitative de evaluare a riscurilor, cineva neagă metodele calitative, cineva neagă, în general, fezabilitatea și chiar posibilitatea evaluării riscurilor, cineva învinovățește conducerea organizației pentru lipsa de conștientizare a importanței problemelor de securitate sau se plânge de dificultățile asociate obținerii o evaluare obiectivă a valorii anumitor active, cum ar fi reputația organizației. Alții, care nu văd o oportunitate de a justifica costul siguranței, sugerează să trateze acest lucru ca pe un fel de procedură igienică și să cheltuiască atât de mulți bani pe această procedură pe cât nu le deranjează sau cât rămân în buget.
Indiferent de opiniile care există cu privire la problema gestionării riscurilor de securitate a informațiilor și indiferent de modul în care le tratăm, un lucru este clar că această problemă este esența activității multiforme a specialiștilor în securitatea informațiilor, conectându-l direct cu afacerea, oferindu-i un sens rezonabil și oportunitate. Acest articol prezintă o posibilă abordare a gestionării riscurilor și răspunde la întrebarea de ce diferite organizații percep și gestionează riscurile de securitate a informațiilor în mod diferit.
Când vorbim despre riscurile comerciale, ne referim la posibilitatea, cu o anumită probabilitate, de a suferi anumite daune. Acestea pot fi atât daune materiale directe, cât și daune indirecte, exprimate, de exemplu, în profiturile pierdute, până la ieșirea din afacere, deoarece dacă riscul nu este gestionat, atunci afacerea poate fi pierdută.
De fapt, esența problemei constă în faptul că organizația are și folosește mai multe categorii principale de resurse pentru a obține rezultatele activităților sale (obiectivele sale de afaceri) (în continuare vom folosi conceptul de activ legat direct de afacere) . Un activ este tot ceea ce are valoare pentru organizație și își generează venitul (cu alte cuvinte, este ceea ce creează un flux financiar pozitiv sau economisește bani)
Distingeți între activele materiale, financiare, umane și informaționale. Standardele internaționale moderne definesc, de asemenea, o altă categorie de active - acestea sunt procese. Un proces este un activ agregat care operează pe toate celelalte active ale unei companii pentru a atinge obiectivele de afaceri. Imaginea și reputația companiei sunt, de asemenea, considerate ca fiind unul dintre cele mai importante active. Aceste active cheie pentru orice organizație nu sunt altceva decât un tip special de active informaționale, deoarece imaginea și reputația unei companii nu sunt altceva decât conținutul informațiilor deschise și larg difuzate despre aceasta. Securitatea informațiilor se ocupă de probleme de imagine în măsura în care problemele legate de securitatea unei organizații, precum și scurgerea de informații confidențiale, au un impact extrem de negativ asupra imaginii.
Rezultatele afacerii sunt influențate de diferiți factori externi și interni care se încadrează în categoria de risc. Această influență se exprimă prin impactul negativ asupra unuia sau mai multor grupuri de active ale organizației. De exemplu, un eșec al serverului afectează disponibilitatea informațiilor și aplicațiilor stocate pe acesta, iar repararea acestuia deviază resursele umane, creând o lipsă a acestora într-o anumită zonă de lucru și provocând întreruperea proceselor de afaceri, în timp ce indisponibilitatea temporară a clientului serviciile pot afecta negativ imaginea companiei.
Prin definiție, toate tipurile de active sunt importante pentru o organizație. Cu toate acestea, fiecare organizație are active vitale majore și active auxiliare. Este foarte ușor să stabiliți care sunt activele principale, deoarece acestea sunt activele în jurul cărora este construită afacerea organizației. Deci, afacerea unei organizații se poate baza pe proprietatea și utilizarea activelor corporale (de exemplu, terenuri, proprietăți imobiliare, echipamente, minerale), afacerea poate fi construită și pe gestionarea activelor financiare (împrumuturi, asigurări, investiții) ), afacerea se poate baza pe competență și autoritatea unor specialiști specifici (consultanță, audit, instruire, industrii de înaltă tehnologie și intensivă în cunoștințe) sau afacerea se poate învârti în jurul activelor informaționale (dezvoltare software, produse informaționale, comerț electronic, afaceri pe internet). Riscurile activelor fixe sunt pline de pierderi de afaceri și pierderi ireparabile pentru organizație, prin urmare, aceste riscuri sunt în primul rând atenția proprietarilor de afaceri, iar managementul organizației se ocupă personal de aceștia. Riscurile de active auxiliare duc, de obicei, la daune recuperabile și nu reprezintă o prioritate de top în sistemul de management al unei organizații. De obicei, aceste riscuri sunt gestionate de persoane desemnate sau externalizate către o terță parte, cum ar fi un externalizator sau o companie de asigurări. Pentru o organizație, este mai mult o chestiune de eficiență a managementului decât supraviețuire.
Deoarece riscurile de securitate a informațiilor nu sunt principalele pentru toate organizațiile, se practică trei abordări principale de gestionare a acestor riscuri, care diferă în profunzime și nivel de formalism.
Pentru sistemele non-critice, atunci când activele informaționale sunt auxiliare, iar nivelul de informatizare nu este ridicat, ceea ce este tipic pentru majoritatea companiilor rusești moderne, există o necesitate minimă de evaluare a riscurilor. În astfel de organizații, ar trebui să vorbim despre un anumit nivel de securitate al informațiilor, determinat de reglementările și standardele existente, cele mai bune practici, experiență, precum și despre modul în care se realizează în majoritatea celorlalte organizații. Cu toate acestea, standardele existente, care descriu un anumit set de bază de cerințe și mecanisme de securitate, stipulează întotdeauna necesitatea de a evalua riscurile și fezabilitatea economică a utilizării anumitor mecanisme de control pentru a selecta din setul general de cerințe și mecanisme pe cele care sunt aplicabile. într-o anumită organizație.
Pentru sistemele critice în care activele informaționale nu sunt principalele, cu toate acestea, nivelul de informatizare a proceselor de afaceri este foarte ridicat și riscurile informaționale pot afecta în mod semnificativ principalele procese de afaceri, trebuie aplicată evaluarea riscurilor, dar în acest caz este indicat să ne limităm la abordări calitative informale pentru rezolvarea acestei probleme, acordând o atenție specială celor mai critice sisteme.
Atunci când afacerea unei organizații este construită în jurul activelor informaționale și riscurile de securitate a informațiilor sunt principalele, trebuie să se aplice o abordare formală și metode cantitative pentru a evalua aceste riscuri.
În multe companii, mai multe tipuri de active în același timp pot fi vitale, de exemplu, atunci când afacerea este diversificată sau compania este angajată în crearea de produse informaționale și pentru aceasta resursele umane și informaționale pot fi la fel de importante. În acest caz, o abordare rațională este de a efectua o evaluare a riscului la nivel înalt pentru a determina ce sisteme sunt extrem de expuse riscului și care sunt esențiale pentru operațiunile comerciale, urmată de o evaluare detaliată a riscurilor sistemelor dedicate. Pentru toate celelalte sisteme non-critice, este recomandabil să se limiteze aplicarea abordării de bază, luând decizii de gestionare a riscurilor pe baza experienței existente, a opiniilor experților și a celor mai bune practici.
Alegerea unei abordări a evaluării riscurilor într-o organizație, pe lângă natura activității sale și nivelul de informatizare a proceselor de afaceri, este influențată și de nivelul de maturitate al acesteia. Gestionarea riscului de securitate a informațiilor este o sarcină de afaceri inițiată de conducerea unei organizații datorită conștientizării și gradului său de conștientizare a problemelor de securitate a informațiilor, al căror sens este de a proteja afacerea de amenințările de securitate a informațiilor din viața reală. În ceea ce privește gradul de conștientizare, pot fi urmărite mai multe niveluri de maturitate ale organizațiilor, care într-o anumită măsură sunt corelate cu nivelurile de maturitate definite în COBIT și alte standarde:
În luna martie a acestui an, a fost adoptat noul standard britanic BS 7799 Partea 3 - Sisteme de management al securității informațiilor - Reguli practice pentru gestionarea riscurilor de securitate a informațiilor. Se așteaptă ca ISO să aprobe acest document ca standard internațional până la sfârșitul anului 2007. BS 7799-3 definește procesele de evaluare și gestionare a riscurilor ca un element integral al sistemului de management al organizației, utilizând același model de proces ca alte standarde de management, care include patru grupe de procese: planificare, implementare, verificare, acțiune (PDAP), care reflectă un ciclu standard al oricăror procese de management. În timp ce ISO 27001 descrie un ciclu general continuu de gestionare a securității, BS 7799-3 oferă o proiecție pentru procesele de gestionare a riscurilor de securitate a informațiilor.
În sistemul de gestionare a riscurilor SI în etapa de planificare, se determină politica și metodologia de gestionare a riscurilor și se efectuează o evaluare a riscurilor, inclusiv un inventar al activelor, compilarea profilurilor de amenințare și vulnerabilitate, o evaluare a eficacității contramăsurilor și a potențialului daune și determinarea unui nivel acceptabil de riscuri reziduale.
În etapa de implementare, riscurile sunt procesate și sunt introduse mecanisme de control pentru a le minimiza. Conducerea organizației ia una din cele patru decizii pentru fiecare risc identificat: ignora, evita, transfera în exterior sau minimiza. Un plan de tratament al riscului este apoi dezvoltat și implementat.
În etapa de verificare, funcționarea mecanismelor de control este monitorizată, modificările factorilor de risc (active, amenințări, vulnerabilități) sunt monitorizate, sunt efectuate audituri și sunt efectuate diferite proceduri de control.
În etapa Acțiunilor, pe baza rezultatelor monitorizării continue și a auditurilor în curs, sunt întreprinse acțiunile corective necesare, care pot include, în special, o reevaluare a magnitudinii riscurilor, ajustări ale politicii și metodologiei de gestionare a riscurilor și ale riscului plan de tratament.
Esența oricărei abordări a gestionării riscurilor constă în analiza factorilor de risc și luarea deciziilor adecvate cu privire la tratamentul riscului. Factorii de risc sunt principalii parametri pe care îi folosim atunci când evaluăm riscurile. Există doar șapte astfel de parametri:
Modul în care acești parametri sunt analizați și evaluați este determinat de metodologia de evaluare a riscurilor a organizației. În același timp, abordarea generală și linia de raționament sunt aproximativ aceleași, indiferent de metodologia utilizată. Procesul de evaluare include două etape. În prima fază, definită în standarde ca analiză, trebuie răspuns la următoarele întrebări:
În a doua fază, care este definită de standarde ca o evaluare a riscurilor, este necesar să se răspundă la întrebarea: Ce nivel de risc (suma pierderilor medii anuale) este acceptabil pentru organizație și, pe baza acestuia, ce riscuri depășește acest nivel.
Astfel, pe baza rezultatelor evaluării riscurilor, primim o descriere a riscurilor care depășesc nivelul admisibil și o estimare a mărimii acestor riscuri, care este determinată de mărimea pierderilor medii anuale. Apoi, trebuie să luați o decizie cu privire la tratarea riscurilor, adică răspunde la următoarele întrebări:
Ca urmare a acestui proces, apare un plan de tratare a riscurilor, care definește metodele de tratare a riscurilor, costul contramăsurilor, precum și calendarul și responsabilitatea pentru implementarea contramăsurilor.
Luarea unei decizii cu privire la tratarea riscurilor este momentul cheie și cel mai critic al procesului de gestionare a riscurilor. Pentru ca conducerea să ia decizia corectă, persoana responsabilă de gestionarea riscurilor din organizație trebuie să îi furnizeze informațiile corespunzătoare. Forma de prezentare a acestor informații este determinată de algoritmul standard de comunicare de afaceri, care include patru puncte principale:
Elementele 1 și 2, precum și 3 și 4 pot fi schimbate în funcție de situația specifică.
Există un număr suficient de metode de evaluare și gestionare a riscurilor bine dovedite și utilizate pe scară largă. O astfel de metodă este OCTAVE, dezvoltată la Universitatea Carnegie Melon pentru uz intern într-o organizație. OCTAVE - Evaluarea amenințării critice din punct de vedere operațional, a activelor și a vulnerabilității are o serie de modificări concepute pentru organizații de diferite dimensiuni și domenii de activitate. Esența acestei metode este că o secvență de ateliere interne organizate corespunzător este utilizată pentru a evalua riscurile. Evaluarea riscurilor se desfășoară în trei etape, care sunt precedate de un set de activități pregătitoare, inclusiv convenirea programului seminariilor, atribuirea de roluri, planificarea, coordonarea acțiunilor membrilor echipei de proiect.
În prima etapă, în timpul seminariilor practice, se realizează dezvoltarea profilurilor de amenințare, inclusiv evaluarea inventarului și a activelor, identificarea cerințelor legale și de reglementare aplicabile, identificarea amenințărilor și evaluarea probabilității acestora, precum și definirea unui sistem de măsuri organizatorice pentru menținerea regimului de securitate a informațiilor.
A doua etapă este o analiză tehnică a vulnerabilităților sistemelor informaționale ale organizației în raport cu amenințările, ale căror profiluri au fost elaborate în etapa anterioară, care include identificarea vulnerabilităților existente ale sistemelor informaționale ale organizației și o evaluare a amplorii acestora.
În cea de-a treia etapă, se efectuează evaluarea și prelucrarea riscurilor de securitate a informațiilor, inclusiv determinarea amplorii și probabilității daunelor ca urmare a implementării amenințărilor la adresa securității utilizând vulnerabilitățile identificate în etapele anterioare, definiția o strategie de protecție, precum și selectarea opțiunilor și deciziilor privind tratamentul riscului. Mărimea riscului este definită ca valoarea medie a pierderilor anuale ale organizației ca urmare a implementării amenințărilor la adresa securității.
O abordare similară este utilizată în binecunoscuta metodă de evaluare a riscului CRAMM, dezvoltată la acea dată prin ordinul guvernului britanic. În CRAMM, principala modalitate de evaluare a riscului este prin interviuri atent planificate, care utilizează chestionare foarte detaliate. CRAMM este utilizat în mii de organizații din întreaga lume, datorită, printre altele, prezenței unui set de instrumente software foarte dezvoltat care conține o bază de cunoștințe privind riscurile și mecanismele de minimizare a acestora, un mijloc de colectare a informațiilor, generarea de rapoarte și, de asemenea, implementarea algoritmi pentru calcularea amplorii riscurilor.
Spre deosebire de metoda OCTAVE, CRAMM utilizează o succesiune ușor diferită de acțiuni și metode pentru determinarea amplorii riscurilor. În primul rând, adecvarea evaluării riscurilor este determinată în general și, dacă sistemul informațional al organizației nu este suficient de critic, atunci i se aplică un set standard de mecanisme de control descrise în standardele internaționale și cuprinse în baza de cunoștințe CRAMM.
În prima etapă, în metoda CRAMM, este construit un model de resurse ale sistemului informațional, care descrie relația dintre informații, software și resurse tehnice, iar valoarea resurselor este evaluată pe baza posibilelor daune pe care le poate suferi o organizație ca rezultatul compromisului lor.
În a doua etapă, se efectuează o evaluare a riscurilor, care include identificarea și evaluarea probabilității amenințărilor, o evaluare a amplorii vulnerabilităților și calcularea riscurilor pentru fiecare triplu: resursă - amenințare - vulnerabilitate. În CRAMM, sunt evaluate riscurile „pure”, indiferent de mecanismele de control implementate în sistem. În etapa de evaluare a riscurilor, se presupune că nu se aplică deloc contramăsuri și pe baza acestei ipoteze se formează un set de contramăsuri recomandate pentru a minimiza riscurile.
În etapa finală, setul de instrumente CRAMM formează un set de contramăsuri pentru a minimiza riscurile identificate și compară contramăsurile recomandate și existente, după care se formează un plan de tratare a riscurilor.
În procesul de evaluare a riscurilor, parcurgem o serie de etape succesive, revenind periodic la etapele anterioare, de exemplu, reevaluând un anumit risc după alegerea unei contramăsuri specifice pentru a-l minimiza. În fiecare etapă, ar trebui să aveți la îndemână chestionare, liste de amenințări și vulnerabilități, registre de resurse și riscuri, documentație, minute de întâlnire, standarde și linii directoare. În acest sens, aveți nevoie de un algoritm, o bază de date și o interfață programate pentru a lucra cu aceste diferite date.
Pentru a gestiona riscurile de securitate a informațiilor, puteți utiliza instrumente, de exemplu, ca în metoda CRAMM sau RA2 (prezentat în figură), dar acest lucru nu este necesar. Despre acest lucru se spune și în standardul BS 7799-3. Utilitatea utilizării setului de instrumente poate consta în faptul că acesta conține un algoritm programat pentru fluxul de lucru de evaluare și gestionare a riscurilor, care simplifică activitatea unui specialist fără experiență.
Utilizarea setului de instrumente face posibilă unificarea metodologiei și simplificarea utilizării rezultatelor pentru reevaluarea riscurilor, chiar dacă este realizată de alți specialiști. Prin utilizarea instrumentelor, este posibilă eficientizarea stocării datelor și lucrul cu modelul de resurse, profilurile de amenințări, listele de vulnerabilități și riscuri.
În plus față de instrumentele reale de evaluare și gestionare a riscurilor, instrumentele software pot conține, de asemenea, instrumente suplimentare pentru documentarea ISMS, analiza discrepanțelor cu cerințele standardelor, dezvoltarea unui registru de resurse, precum și alte instrumente necesare pentru implementarea și funcționarea ISMS.
Alegerea abordărilor calitative sau cantitative pentru evaluarea riscurilor este determinată de natura afacerii organizației și de nivelul informatizării acesteia, adică importanța activelor informaționale pentru el și nivelul de maturitate al organizației.
Atunci când implementați o abordare formală a gestionării riscurilor într-o organizație, este necesar să vă bazați în primul rând pe bunul simț, standarde existente (de exemplu, BS 7799-3) și metodologii bine stabilite (de exemplu, OCTAVE sau CRAMM). Poate fi util să utilizați instrumente software în aceste scopuri care implementează metodologiile adecvate și îndeplinesc cerințele standardelor cât mai mult posibil (de exemplu, RA2).
Eficacitatea procesului de management al riscului SI este determinată de acuratețea și exhaustivitatea analizei și evaluării factorilor de risc, precum și de eficacitatea mecanismelor utilizate în organizație pentru luarea deciziilor manageriale și monitorizarea implementării acestora.
Valoarea informațiilor este determinată de laboriozitatea pregătirii (colectării), de costul suportului (întreținerea), de cantitatea de daune posibile în cazul pierderii sau distrugerii sale, de costul pe care îl au alte persoane (concurenți, răufăcători) dispus să plătească pentru aceasta, precum și cuantumul posibilelor consecințe și amenzi în caz de pierdere (scurgeri). Fără evaluarea informațiilor, este imposibil să se evalueze în mod adecvat fezabilitatea cheltuielilor de bani și resurse pentru protecția acestora. Valoarea informațiilor trebuie luată în considerare la alegerea măsurilor de protecție.
Evaluarea activelor poate fi realizată atât cantitativ, cât și calitativ. Costul real al unui activ este determinat pe baza costului achiziției, dezvoltării și suportului acestuia. Valoarea unui activ este determinată de valoarea acestuia pentru proprietarii, utilizatorii autorizați și neautorizați. Unele informații sunt importante pentru companie și i se atribuie o ștampilă de confidențialitate.
De exemplu, costul unui server este de 4.000 USD, dar aceasta nu este valoarea sa în evaluarea riscurilor. Valoarea sa este determinată de costul înlocuirii sau reparării acestuia, pierderilor datorate performanței reduse, deteriorării cauzate de daune sau pierderii datelor stocate pe acesta. Acesta este ceea ce va determina daunele companiei în cazul deteriorării sau pierderii serverului dintr-un motiv sau altul.
Următoarele aspecte ar trebui luate în considerare la stabilirea valorii activelor:
Determinarea valorilor activelor este utilă unei companii din mai multe motive, inclusiv următoarele:
După cum sa menționat anterior, riscul este probabilitatea ca o vulnerabilitate să fie exploatată de o sursă de amenințare, rezultând un impact negativ asupra afacerii. Există multe tipuri de surse de amenințare care pot exploata diferite tipuri de vulnerabilități, ceea ce poate duce la amenințări specifice. Câteva exemple de riscuri sunt prezentate în Tabelul 1-2.
Tabelul 1-2 Relația dintre amenințări și vulnerabilități
Există alte tipuri de amenințări, mult mai dificil de identificat, care pot apărea într-un mediu computerizat. Aceste amenințări sunt asociate cu erori în aplicații și erori de utilizator. Cu toate acestea, cu o organizare adecvată a controlului și auditului acțiunilor utilizatorilor, erorile acestora (intenționate sau accidentale) sunt mult mai ușor de identificat.
Odată ce vulnerabilitățile și amenințările asociate au fost identificate, ar trebui analizate consecințele exploatării acestora, adică riscuri de daune potențiale. Deteriorarea poate fi asociată cu deteriorarea datelor sau a sistemelor (obiectelor), divulgarea neautorizată a informațiilor confidențiale, scăderea productivității etc. La efectuarea unei analize de risc, grupul ar trebui să ia în considerare și probabilitatea daune amânate(pierderea întârziată), care poate apărea după un timp (de la 15 minute la câțiva ani) după realizarea riscului. Daunele întârziate pot fi cauzate, de exemplu, de o scădere a productivității muncii după o anumită perioadă de timp, o scădere a veniturilor companiei, deteriorarea reputației sale, amenzi cumulative, costuri suplimentare pentru restabilirea mediului, suspendarea primirii de fonduri de la clienți , etc.
De exemplu, dacă, ca urmare a unui atac asupra serverelor web ale unei companii, au încetat să mai servească clienții, daunele imediate ar putea fi corupția datelor, timpul petrecut pentru restaurarea serverelor și actualizarea software-ului vulnerabil pe acestea. În plus, compania va pierde unele venituri ca urmare a incapacității de a servi clienții în timpul necesar pentru a restabili funcționarea serverelor sale web. Dacă lucrările de restaurare durează o perioadă semnificativă de timp (de exemplu, o săptămână), compania poate pierde atât de mult profit încât nu va mai putea plăti facturi și alte cheltuieli. Acest lucru va fi întârziat daune. Și dacă, printre altele, compania își pierde și încrederea clienților, își poate pierde complet afacerea (pentru o vreme sau pentru totdeauna). Acesta este un caz extrem de daune întârziate.
Aceste tipuri de probleme complică semnificativ evaluarea cantitativă a daunelor, dar trebuie luate în considerare pentru a obține o estimare fiabilă.
Tehnici de evaluare a riscurilor. Multe tehnici diferite sunt utilizate pentru a evalua riscurile. Să aruncăm o privire la unele dintre ele.
NIST SP 800-30 și 800-66 sunt metodologii care pot fi utilizate de societățile comerciale, deși 800-66 a fost inițial dezvoltat pentru asistență medicală și alte industrii reglementate. Abordarea NIST ia în considerare amenințările IT și riscurile asociate securității informațiilor. Acesta include următorii pași:
- Descrierea caracteristicilor sistemului
- Identificarea amenințărilor
- Identificarea vulnerabilităților
- Analiza măsurilor de protecție
- Determinarea probabilității
- Analiza impactului
- Identificarea riscului
- Recomandări pentru măsuri de protecție
- Documentarea rezultatelor
Metodologia de evaluare a riscurilor NIST SP 800-30 este adesea utilizată de consultanți și profesioniști în securitate, departamente IT interne. Se concentrează în principal pe sistemele informatice. Persoanele fizice sau grupurile mici colectează date de pe web, din practicile de securitate utilizate și de la persoanele care lucrează pentru companie. Datele colectate sunt utilizate ca intrare pentru realizarea etapelor de analiză a riscurilor descrise în Documentul 800-30.
O altă metodologie de evaluare a riscurilor este FRAP (Procesul de analiză a riscului facilitat). Este conceput pentru a efectua o evaluare calitativă a riscurilor într-un mod care permite efectuarea auditurilor în diferite aspecte și folosind metodologii diferite. Oferă modalități pentru o companie de a lua decizii cu privire la cursul acțiunii și acțiuni specifice în circumstanțe specifice pentru a aborda diverse probleme. Acest lucru face posibilă, prin preselecție, identificarea acelor domenii din companie care au cu adevărat nevoie de o analiză a riscurilor. FRAP este structurat în așa fel încât oricine cu bune abilități de organizare a echipei poate efectua cu succes o analiză a riscurilor folosind această metodologie.
Un alt tip de metodologie este OCTAVĂ (Evaluarea amenințării critice din punct de vedere operațional, a activelor și a vulnerabilității). Aceasta este o metodologie care ar trebui aplicată în situațiile în care întregul proces de analiză a riscului de securitate a informațiilor este realizat de angajații companiei (fără implicarea consultanților externi). Se bazează pe ideea că oamenii dintr-o companie înțeleg cel mai bine de ce are nevoie compania cu adevărat și de ce riscuri se confruntă. Angajații selectați pentru a participa la procesul de evaluare decid singuri ce abordare este cea mai bună pentru evaluarea siguranței companiei lor.
În timp ce metodologiile NIST și OCTAVE abordează amenințările IT și riscurile de securitate a informațiilor, AS / NZS 4360 adoptă o abordare mult mai largă a gestionării riscurilor. Această metodologie poate fi utilizată pentru a înțelege riscurile unei companii în domeniul finanțelor, protejarea oamenilor, luarea deciziilor de afaceri și multe altele. Nu a fost dezvoltat special pentru analiza riscurilor de securitate, deși poate fi utilizat cu succes și în acest scop.
NOTĂ. Puteți găsi mai multe informații despre aceste abordări de analiză a riscurilor și despre utilizarea acestora într-un articol de Sean Harris la http://searchsecurity.techtarget.com/generic/0,295582,sid14_gci1191926,00.html.CRAMM (Metoda de analiză și gestionare a riscurilor CCTA) este împărțită în trei segmente: identificarea și evaluarea activelor, analiza amenințărilor și vulnerabilității și selectarea contramăsurilor. Această metodologie ține seama atât de aspectele tehnice ale companiei, cât și de cele non-tehnice.
Analiza copacului (Spanning Tree Analysis) este o metodologie care creează un arbore cu toate potențialele amenințări și defecte care pot perturba funcționarea sistemului. Fiecare ramură este un subiect sau categorie generalizată, ramurile neaplicabile pot fi eliminate în timpul procesului de analiză a riscurilor.
FMEA (Moduri de eșec și analiză de efect) Este o metodă de definire a funcțiilor, identificarea defectelor funcționale, evaluarea cauzelor unui defect și a consecințelor acestuia folosind un proces structurat. Aplicarea acestui proces la defecte persistente vă permite să determinați unde este cel mai probabil să apară eroarea. Acest lucru ajută foarte mult la identificarea vulnerabilităților, la determinarea corectă a limitelor vulnerabilităților și a consecințelor exploatării acestora. La rândul său, acest lucru permite nu numai simplificarea aplicării patch-urilor care elimină vulnerabilitățile, ci și asigurarea unei utilizări mai eficiente a resurselor în cadrul acestei sarcini.
Urmând o secvență specifică de pași, puteți obține cele mai bune rezultate în analiza defectelor.
Tabelul 1-3 oferă un exemplu de dirijare și documentare a FMEA. În timp ce majoritatea companiilor nu dispun de resursele necesare pentru a furniza o astfel de elaborare detaliată a fiecărui sistem și control, acesta trebuie efectuat pentru funcții și sisteme critice care pot avea un impact semnificativ asupra companiei. Este foarte important să se analizeze o protecție sau un sistem de la micro la macro pentru a înțelege pe deplin unde pot fi vulnerabilitățile sau defectele potențiale și care sunt consecințele exploatării acestor deficiențe. Fiecare sistem informatic poate fi format din mai multe bombe temporare diferite la diferite niveluri ale structurii sale. La nivel de componentă, aceasta ar putea fi o depășire a tamponului sau componente ActiveX periculoase, care ar putea permite unui atacator să preia controlul sistemului dvs. prin exploatarea vulnerabilității. La nivel de software, este posibil ca aplicația să nu autorizeze în siguranță sau să nu-și protejeze corect cheile criptografice. La nivel de sistem, nucleul sistemului de operare poate fi defect, permițând unui atacator să obțină acces administrativ fără prea multe dificultăți. Diverse lucruri teribile se pot întâmpla la orice nivel, motiv pentru care este necesară o abordare atât de detaliată.
Tabelul 1-3 Exemplu de dirijare și documentare FMEA
FMEA a fost inițial dezvoltat pentru cercetarea sistemelor. Scopul său este de a studia defectele potențiale ale produselor și ale proceselor conexe. Această abordare a avut succes și a fost adaptată pentru a fi utilizată în evaluarea priorităților de gestionare a riscurilor și minimizarea vulnerabilităților cunoscute.
Cu toate acestea, FMEA nu este suficient de eficient în identificarea defectelor complexe care pot implica mai multe sisteme sau subsisteme diferite. În acest caz, este mai potrivit să se utilizeze analiza arborelui defect. Pentru analiza utilizând arborele de defecțiuni, se ia procesul principal. Un eveniment nedorit este specificat ca rădăcină (elementul cel mai de sus al acestui arbore logic). Apoi, ca ramuri, se adaugă o serie de expresii și evenimente logice care pot duce la implementarea unui eveniment nedorit în amonte. Arborele defecțiunii este apoi etichetat cu numere corespunzătoare probabilității de defecțiune (acest lucru se face de obicei folosind programe de computer specializate care pot calcula probabilitățile din arborele defecțiunilor). Figura 1-7 prezintă un arbore de eroare simplificat și diverse semne logice utilizate pentru a reprezenta ceea ce trebuie să se întâmple pentru a provoca o eroare.
Figura 1-7 Arborele defect și porțile logice
Unele dintre cele mai frecvente erori software care pot fi investigate prin analiza arborelui de blocare sunt enumerate mai jos:
În prezent, sunt utilizate diferite metode pentru a evalua și gestiona riscurile de informare ale companiilor. Evaluarea riscului informațional al unei companii poate fi efectuată în conformitate cu următorul plan:
1) Identificarea și evaluarea cantitativă a resurselor informaționale ale companiei care sunt semnificative pentru afacere.
2) Evaluarea posibilelor amenințări.
3) Evaluarea vulnerabilităților existente.
4) Evaluarea eficacității instrumentelor de securitate a informațiilor.
Se presupune că resursele de informații vulnerabile relevante pentru afaceri ale companiei sunt expuse riscului dacă există amenințări la adresa acestora. Cu alte cuvinte, riscurile caracterizează pericolul care poate amenința componentele sistemului informațional corporativ. În același timp, riscurile informaționale ale companiei depind de:
Indicatori ai valorii resurselor informaționale;
Probabilitatea implementării amenințărilor la adresa resurselor;
Eficacitatea instrumentelor de securitate a informațiilor existente sau planificate.
Scopul evaluării riscurilor este de a determina caracteristicile riscurilor sistemului informațional corporativ și a resurselor acestuia. După evaluarea riscurilor, puteți alege mijloacele care asigură nivelul dorit de securitate a informațiilor pentru companie. La evaluarea riscurilor, se iau în considerare factori precum valoarea resurselor, semnificația amenințărilor și vulnerabilităților și eficacitatea apărărilor existente și planificate. Posibilitatea de a realiza o amenințare pentru o anumită resursă a unei companii este estimată de probabilitatea realizării acesteia într-o anumită perioadă de timp. În același timp, probabilitatea realizării amenințării este determinată de următorii factori principali:
Atractivitatea resursei (luată în considerare la luarea în considerare a amenințării cauzate de influența umană deliberată);
Capacitatea de a utiliza resursa pentru a genera venituri (de asemenea, în cazul unei amenințări din cauza influenței umane deliberate);
Capacitățile tehnice ale implementării amenințării în caz de influență umană deliberată;
Ușurința cu care vulnerabilitatea poate fi exploatată.
În prezent, managementul riscului informațional este unul dintre cele mai relevante și dezvoltate dinamic domenii ale managementului strategic și operațional în domeniul securității informațiilor. Sarcina sa principală este de a identifica și evalua obiectiv riscurile informaționale ale companiei care sunt cele mai semnificative pentru afacere, precum și adecvarea controalelor de risc utilizate pentru a crește eficiența și profitabilitatea activităților economice ale companiei. Prin urmare, termenul „gestionarea riscului informațional” este de obicei înțeles ca un proces sistematic de identificare, control și atenuare a riscurilor informaționale ale companiilor, în conformitate cu anumite restricții ale cadrului de reglementare rus în domeniul protecției informațiilor și al propriei politici de securitate corporativă. Se crede că managementul riscului de înaltă calitate permite utilizarea instrumentelor de control al riscului și de protecție a informațiilor care sunt optime din punct de vedere al eficienței și costurilor, adecvate obiectivelor și obiectivelor actuale ale activității companiei.
Nu este un secret faptul că astăzi există o creștere pe scară largă a dependenței activităților comerciale de succes ale companiilor interne de măsurile organizatorice și mijloacele tehnice de control utilizate și reducerea riscurilor. Pentru gestionarea eficientă a riscurilor de informare, au fost dezvoltate metode speciale, de exemplu, metode ale standardelor internaționale ISO 15408, ISO 17799 (BS7799), BSI; precum și standardele naționale NIST 80030, SAC, COSO, SAS 55/78 și unele altele similare acestora. În conformitate cu aceste tehnici, managementul riscului informațional al oricărei companii presupune următoarele. În primul rând, definirea principalelor obiective și obiective ale protejării activelor informaționale ale companiei. În al doilea rând, crearea unui sistem eficient de evaluare și gestionare a riscurilor legate de informații. În al treilea rând, calculul unui set de evaluări detaliate nu numai calitative, ci și cantitative ale riscurilor, care sunt adecvate obiectivelor de afaceri declarate. În al patrulea rând, utilizarea instrumentelor speciale pentru evaluarea și gestionarea riscurilor.
Tehnici calitative de management al riscurilor
Tehnici de management al riscurilor de înaltă calitate au fost adoptate în țările dezvoltate tehnologic de către o armată mare de auditori IT interni și externi. Aceste tehnici sunt destul de populare și relativ simple și sunt dezvoltate, de regulă, pe baza cerințelor standardului internațional ISO 177992002.
Standardul ISO 17799 conține două părți.
Partea 1: Liniile directoare practice pentru managementul securității informațiilor, 2002, definește principalele aspecte ale organizării unui regim de securitate a informațiilor într-o companie: politica de securitate. Organizarea protecției. Clasificarea și gestionarea resurselor informaționale. Managementul personalului. Siguranță fizică. Administrarea sistemelor și rețelelor informatice. Controlul accesului la sisteme. Dezvoltarea și întreținerea sistemelor. Planificarea bunei funcționări a organizației. Verificarea conformității sistemului cu cerințele IS.
Partea 2: Specificații, 2002, abordează aceleași aspecte în ceea ce privește certificarea regimului de securitate a informațiilor unei companii pentru a îndeplini cerințele standardului. Din punct de vedere practic, această parte este un instrument pentru un auditor IT și vă permite să efectuați rapid un audit intern sau extern de securitate a informațiilor din orice companie.
Metodologiile calitative de gestionare a riscurilor bazate pe cerințele ISO 17999 includ metodologiile COBRA și RA Software Tool. Să aruncăm o privire rapidă asupra tehnicilor numite.
Această tehnică face posibilă efectuarea într-un mod automat a celei mai simple opțiuni pentru evaluarea riscurilor de informații ale oricărei companii. Pentru aceasta, se propune utilizarea bazelor de cunoștințe electronice speciale și a procedurilor de deducere axate pe cerințele ISO 17799. Este esențial ca, dacă se dorește, lista cerințelor luate în considerare să poată fi completată cu diferite cerințe ale organismelor de reglementare interne, pentru de exemplu, cerințele documentelor de orientare (RD) ale Comisiei tehnice de stat sub președintele Federației Ruse.
Metodologia COBRA prezintă cerințele standardului ISO 17799 sub formă de chestionare tematice (liste de verificare), la care ar trebui să se răspundă în timpul evaluării riscului activelor informaționale și al tranzacțiilor comerciale electronice ale companiei ( smochin. 1. - Exemplu de colecție tematică de întrebări COBRA). Mai mult, răspunsurile introduse sunt procesate automat și, utilizând regulile de inferență corespunzătoare, se generează un raport final cu evaluările curente ale riscurilor informaționale ale companiei și recomandări pentru gestionarea acestora.
Instrument software RA
Metodologia și instrumentul cu același nume RA Software Tool ( smochin. 2. - Principalele module ale metodologiei RA Software Tool) se bazează pe cerințele standardelor internaționale ISO 17999 și ISO 13335 (părțile 3 și 4), precum și pe cerințele unor linii directoare ale British National Standards Institute (BSI), de exemplu, PD 3002 (Linii directoare pentru evaluarea riscurilor și management), PD 3003 (companie de evaluare a disponibilității pentru audit în conformitate cu BS 7799), PD 3005 (Ghid de selecție a sistemului de protecție) etc.
Această metodologie permite evaluarea riscurilor de informații (modulele 4 și 5) în conformitate cu cerințele ISO 17799 și, dacă se dorește, în conformitate cu specificațiile mai detaliate ale ghidului PD 3002 al British Standards Institute.
Tehnici cantitative de gestionare a riscurilor
Al doilea grup de tehnici de gestionare a riscurilor constă în tehnici cantitative, a căror relevanță se datorează necesității de a rezolva diverse probleme de optimizare care apar adesea în viața reală. Esența acestor sarcini se reduce la găsirea singurei soluții optime dintre multe dintre cele existente. De exemplu, este necesar să răspundem la următoarele întrebări: „Cum, rămânând în limita bugetului anual aprobat (trimestrial) pentru securitatea informațiilor, pentru a atinge nivelul maxim de protecție a activelor informaționale ale companiei?” sau „Care dintre alternativele pentru construirea unei securități informaționale corporative (site protejat WWW sau e-mail corporativ) să alegeți, luând în considerare limitările cunoscute ale resurselor companiei?” Pentru a rezolva aceste probleme, se dezvoltă metode și tehnici pentru evaluarea cantitativă și gestionarea riscurilor bazate pe metode structurale și, mai rar, orientate pe obiecte, de analiză și proiectare a sistemelor (SSADM - Structured Systems Analysis and Design). În practică, astfel de tehnici de gestionare a riscurilor permit: Crearea de modele ale activelor informaționale ale companiei din punct de vedere al securității; Clasificați și evaluați valoarea activelor; Compilați liste cu cele mai semnificative amenințări și vulnerabilități de securitate; Clasează amenințările și vulnerabilitățile la adresa securității; Justificați mijloacele și măsurile de control al riscurilor; Evaluează eficacitatea / costul diferitelor opțiuni de protecție; Formalizarea și automatizarea procedurilor de evaluare și gestionare a riscurilor.
Una dintre cele mai cunoscute tehnici din această clasă este tehnica CRAMM.
mai întâi, a fost creată o metodă și apoi o metodă cu același nume (analiza și controlul riscurilor), care îndeplinește cerințele CCTA. Apoi au apărut mai multe versiuni ale metodologiei, axate pe cerințele diferitelor organizații și structuri guvernamentale și comerciale. Una dintre versiunile „profilului comercial” s-a răspândit pe scară largă pe piața securității informațiilor.
Principalele obiective ale metodologiei CRAMM sunt: Formalizarea și automatizarea procedurilor de analiză și gestionare a riscurilor; Optimizarea costurilor mijloacelor de control și protecție; Planificarea cuprinzătoare și gestionarea riscurilor în toate etapele ciclului de viață al sistemelor informatice; Reducerea timpului petrecut pentru dezvoltarea și întreținerea unui sistem de securitate a informațiilor corporative; Justificarea eficienței măsurilor și controalelor de protecție propuse; Managementul schimbărilor și incidentelor; Suport pentru continuitatea afacerii; Luarea promptă a deciziilor cu privire la problemele de management al siguranței etc.
Managementul riscurilor în metodologia CRAMM se realizează în mai multe etape (Fig. 3).
La prima etapă de inițiere - „Inițiere” - se determină limitele sistemului informațional investigat al companiei, compoziția și structura principalelor sale active de informații și tranzacții.
În etapa de identificare și evaluare a resurselor - „Identificarea și evaluarea activelor” - activele sunt clar identificate și valoarea lor este determinată. Calcularea costului activelor informaționale vă permite, fără ambiguități, să determinați nevoia și suficiența mijloacelor de control și protecție propuse.
În etapa de evaluare a amenințărilor și vulnerabilităților - „Evaluarea amenințărilor și vulnerabilităților” - sunt identificate și evaluate amenințările și vulnerabilitățile activelor informaționale ale companiei.
Etapa analizei riscurilor - „Analiza riscurilor” - vă permite să obțineți evaluări calitative și cantitative ale riscurilor.
În etapa de gestionare a riscurilor - „Managementul riscurilor” - sunt propuse măsuri și mijloace de reducere sau evitare a riscurilor.
Să analizăm capabilitățile CRAMM în exemplul următor. Lăsați să fie evaluate riscurile informaționale pentru următorul sistem de informații corporative (Fig. 4).
În această schemă, vom selecta condiționat următoarele elemente ale sistemului: locurile de muncă în care operatorii introduc informații provenind din lumea exterioară; un server de mail către care sunt primite informații de la nodurile de rețea la distanță prin Internet; server de procesare pe care este instalat SGBD; server de backup; locurile de muncă ale echipei de răspuns rapid; stația de lucru a administratorului de securitate; stația de lucru a administratorului DB.
Sistemul funcționează după cum urmează. Datele introduse de la stațiile de lucru ale utilizatorilor și primite pe serverul de e-mail sunt trimise către serverul de procesare a datelor corporativ. Apoi, datele sunt trimise la stațiile de lucru ale echipei de răspuns rapid și acolo se iau decizii adecvate.
Să efectuăm acum o analiză a riscurilor folosind metodologia CRAMM și să sugerăm câteva mijloace de control și gestionare a riscurilor care sunt adecvate obiectivelor și obiectivelor afacerii companiei.
Determinarea limitelor studiului. Etapa începe cu rezolvarea problemei determinării limitelor sistemului studiat. Pentru aceasta, sunt colectate următoarele informații: Responsabil pentru resursele fizice și software; cine este utilizatorul și modul în care utilizatorii utilizează sau vor folosi sistemul; configurarea sistemului. Informațiile primare sunt colectate prin conversații cu manageri de proiect, manageri de utilizatori sau alți angajați.
Identificarea resurselor și construirea unui model al sistemului din punct de vedere al securității informațiilor. Identificarea resurselor se realizează: material, software și informații conținute în limitele sistemului. Fiecare resursă trebuie alocată uneia dintre clasele predefinite. Clasificarea resurselor fizice este dată în anexă. Apoi se construiește un model al sistemului informațional din punctul de vedere al securității informațiilor. Pentru fiecare proces de informare care are o semnificație independentă din punctul de vedere al utilizatorului și se numește serviciu utilizator (EndUserService), este construit un arbore de legături ale resurselor utilizate. În acest exemplu, va exista un singur astfel de serviciu (Fig. 5). Modelul construit face posibilă evidențierea elementelor critice.
Valoarea resurselor. Tehnica vă permite să determinați valoarea resurselor. Acest pas este necesar în analiza completă a riscurilor. Valoarea resurselor fizice din această metodă este determinată de costul restaurării lor în caz de distrugere. Valoarea datelor și a software-ului este determinată în următoarele situații: indisponibilitatea unei resurse pentru o anumită perioadă de timp; distrugerea unei resurse - pierderea informațiilor primite de la ultima copie de rezervă sau distrugerea completă a acesteia; încălcarea confidențialității în cazurile de acces neautorizat de către membri ai personalului sau persoane neautorizate; modificarea este luată în considerare pentru cazurile de erori minore de personal (erori de intrare), erori de program, erori deliberate; erori legate de transferul de informații: refuzul de a livra, ne-livrarea informațiilor, livrarea la adresa greșită. Pentru a evalua posibilele daune, se propune utilizarea următoarelor criterii: deteriorarea reputației organizației; încălcarea legislației în vigoare; deteriorarea sănătății personalului; daune asociate cu divulgarea datelor cu caracter personal ale persoanelor; pierderi financiare din dezvăluirea informațiilor; pierderile financiare asociate cu restabilirea resurselor; pierderile asociate cu incapacitatea de a-și îndeplini obligațiile; dezorganizarea activităților.
Setul de criterii dat este utilizat în versiunea comercială a metodei (Profil standard). În alte versiuni, agregatul va fi diferit, de exemplu, în versiunea utilizată în agențiile guvernamentale, se adaugă parametri care reflectă domenii precum securitatea națională și relațiile internaționale.
Pentru date și software, sunt selectate criteriile aplicabile IS-ului dat, iar daunele sunt evaluate pe o scară cu valori de la 1 la 10.
De exemplu, dacă datele conțin detalii despre informații comerciale confidențiale (critice), expertul care efectuează cercetarea pune întrebarea: cum poate afecta accesul neautorizat al persoanelor neautorizate la aceste informații?
Este posibil următorul răspuns: eșecul mai multor parametri din cei enumerați deodată și fiecare aspect ar trebui luat în considerare mai detaliat și atribuit cel mai mare rating posibil.
Apoi, scalele sunt dezvoltate pentru sistemul de parametri selectat. Ar putea arăta așa.
Deteriorarea reputației organizației: 2 - reacție negativă a anumitor oficiali, personalități publice; 4 - critici în mass-media, care nu au un răspuns public larg; 6 - reacția negativă a anumitor deputați ai Dumei și ai Consiliului Federației; 8 - critici în mass-media, care au consecințe sub forma unor scandaluri majore, audieri parlamentare, inspecții la scară largă etc; 10 - reacție negativă la nivelul președintelui și al guvernului.
Deteriorarea sănătății personalului: 2 - daune minime (consecințele nu sunt asociate cu spitalizările sau tratamentul pe termen lung); 4 - daune de dimensiuni medii (tratamentul este necesar pentru unul sau mai mulți angajați, dar nu există consecințe negative pe termen lung); 6 - consecințe grave (spitalizare prelungită, invaliditate a unuia sau mai multor angajați); 10 - pierderea vieții.
Pierderi financiare asociate cu restabilirea resurselor: 2 - mai puțin de 1000 USD; 6 - de la 1000 $ la 10.000 $; 8 - de la 10.000 $ la 100.000 $; 10 - peste 100.000 de dolari.
Dezorganizarea activității din cauza indisponibilității datelor: 2 - lipsa accesului la informații timp de până la 15 minute; 4 - lipsa accesului la informații timp de până la 1 oră; 6 - lipsa accesului la informații până la 3 ore; 8 - lipsa accesului la informații de la 12 ore; 10 - lipsa accesului la informații pentru mai mult de o zi.
În această etapă, pot fi pregătite mai multe tipuri de rapoarte (limitele sistemului, modelul, determinarea valorii resurselor). Dacă valorile resurselor sunt scăzute, se poate utiliza opțiunea de apărare de bază. În acest caz, cercetătorul poate trece de la această etapă direct la etapa de analiză a riscurilor. Cu toate acestea, pentru a ține cont în mod adecvat de impactul potențial al oricărei amenințări, vulnerabilități sau combinații de amenințări și vulnerabilități care se află la niveluri ridicate, ar trebui utilizată o versiune prescurtată a Etapei de evaluare a amenințării și vulnerabilității. Acest lucru ne permite să dezvoltăm un sistem mai eficient pentru protejarea informațiilor companiei.
La etapa de evaluare a amenințărilor și vulnerabilităților, sunt evaluate dependențele serviciilor pentru utilizatori de anumite grupuri de resurse și nivelul existent de amenințări și vulnerabilități.
Mai mult, activele companiei sunt grupate în termeni de amenințări și vulnerabilități. De exemplu, în cazul unei amenințări de incendiu sau furt, este rezonabil să se ia în considerare toate resursele situate într-un singur loc ca un grup de resurse (cameră server, cameră de comunicații) , etc.).
În același timp, evaluarea nivelurilor de amenințări și vulnerabilități poate fi efectuată pe baza factorilor indirecți sau pe baza evaluărilor directe ale experților. În primul caz, software-ul CRAMM pentru fiecare grup de resurse și fiecare dintre ele generează o listă de întrebări care permit un răspuns neechivoc ( smochin. 8. -Evaluarea nivelului de amenințare la adresa securității de către factori indirecți).
Nivelul amenințărilor este evaluat, în funcție de răspunsuri, ca: foarte ridicat; înalt; mijloc; scăzut; foarte jos.
Nivelul de vulnerabilitate este evaluat, în funcție de răspunsuri, ca: ridicat; mijloc; scăzut; absent.
Este posibil să se corecteze rezultatele sau să se utilizeze alte metode de evaluare. Pe baza acestor informații, nivelurile de risc sunt calculate într-o scară discretă cu gradații de la 1 la 7 (etapa de analiză a riscului). Nivelurile rezultate de amenințări, vulnerabilități și riscuri sunt analizate și convenite cu clientul. Abia după aceea puteți trece la etapa finală a metodei.
Managementul riscurilor. Etapele principale ale etapei de gestionare a riscurilor sunt prezentate în Fig. nouă.
În această etapă, CRAMM generează mai multe opțiuni pentru contramăsuri care sunt adecvate riscurilor identificate și nivelurilor acestora. Contramăsurile sunt clasificate în grupuri și subgrupuri în următoarele categorii: Securitate la nivel de rețea. Asigurarea securității fizice. Securizarea infrastructurii de sprijin. Măsuri de securitate la nivel de administrator de sistem.
Ca urmare a acestei etape, sunt generate mai multe tipuri de rapoarte.
Astfel, metoda luată în considerare pentru analiza și gestionarea riscurilor este pe deplin aplicabilă în contextul rusesc, în ciuda faptului că indicatorii de securitate împotriva accesului neautorizat la informații și cerințele pentru protecția informației diferă în RD și standardele străine. Pare deosebit de util să se utilizeze instrumente precum metoda CRAMM atunci când se efectuează analiza riscurilor sistemelor informaționale cu cerințe sporite în domeniul securității informațiilor. Acest lucru face posibilă obținerea unor evaluări rezonabile ale nivelurilor existente și acceptabile de amenințări, vulnerabilități și eficacitatea protecției.
MethodWare Methodology
MethodWare și-a dezvoltat propria metodologie de evaluare și gestionare a riscurilor și a lansat o serie de instrumente conexe. Aceste instrumente includ software-ul de analiză și gestionare a riscurilor pentru Operational Risk Builder și Risk Advisor. Metodologia este conformă cu standardul de gestionare a riscurilor din Australia / Noua Zeelandă (AS / NZS 4360: 1999) și standardul ISO17799. Software de management al ciclului de viață al tehnologiei informației conform CobiT Advisor Ediția a 3-a (Audit) și CobiT Ediția a 3-a Management Advisor. Ghidurile CobiT pun un accent semnificativ pe analiza și gestionarea riscurilor. Software pentru automatizarea construcției unei varietăți de chestionare ale Questionnaire Builder.
Să aruncăm o privire rapidă asupra capacităților Risk Advisor. Acest software este poziționat ca un set de instrumente pentru un analist sau manager în domeniul securității informațiilor. A fost implementată o tehnică care vă permite să setați un model al unui sistem informațional din poziția de securitate a informațiilor, să identificați riscurile, amenințările, pierderile ca urmare a incidentelor. Principalele etape ale muncii sunt: descrierea contextului, identificarea riscurilor, evaluarea amenințărilor și a posibilelor daune, dezvoltarea acțiunilor de control și dezvoltarea unui plan de recuperare și de intervenție în caz de urgență. Să aruncăm o privire mai atentă la pașii enumerați. Descrierea riscurilor. Matricea de risc este setată ( smochin. 10. - Identificarea și definirea riscurilor la Risk Advisor) pe baza unui șablon. Riscurile sunt evaluate pe o scară calitativă și sunt împărțite în acceptabile și inacceptabile ( smochin. 11. - Separarea riscurilor în acceptabile și inacceptabile la Consilierul pentru riscuri). Apoi, acțiunile de control (contramăsuri) sunt selectate luând în considerare sistemul de criterii fixat anterior, eficacitatea contramăsurilor și costul acestora. Costul și eficacitatea sunt, de asemenea, evaluate pe scale de calitate.
Descrierea amenințărilor. La început, se formează o listă de amenințări. Amenințările sunt clasificate într-un anumit mod, apoi este descrisă relația dintre riscuri și amenințări. Descrierea este făcută și la nivel calitativ și vă permite să înregistrați relația lor.
Descrierea pierderilor. Sunt descrise evenimentele (consecințele) asociate cu încălcarea regimului de securitate a informațiilor. Pierderile sunt estimate în sistemul de criterii selectat.
Analiza rezultatelor. Ca rezultat al construirii unui model, puteți genera un raport detaliat (aproximativ 100 de secțiuni), uitați-vă la ecran pentru descrieri agregate sub formă de graphariscuri.
Metodologia luată în considerare face posibilă automatizarea diferitelor aspecte ale managementului riscurilor unei companii. În același timp, evaluările riscurilor sunt date în scale calitative. Nu este furnizată o analiză detaliată a factorilor de risc. Punctul forte al metodologiei luate în considerare este abilitatea de a descrie diverse relații, luarea în considerare adecvată a multor factori de risc și intensitatea muncii semnificativ mai mică comparativ cu CRAMM.
Concluzie
Metodele și tehnologiile moderne de gestionare a riscului informațional fac posibilă evaluarea nivelului existent al riscurilor informaționale reziduale în companiile interne. Acest lucru este deosebit de important în cazurile în care sunt impuse cerințe sporite sistemului informațional al companiei în domeniul protecției informațiilor și al continuității activității. Astăzi există o serie de metode de analiză a riscurilor, inclusiv utilizarea instrumentelor CASE, adaptate pentru utilizarea în condiții interne. . Este esențial ca o analiză bine efectuată a riscurilor de informare să ne permită să realizăm o analiză comparativă a „rentabilității” diferitelor opțiuni de protecție, să selectăm contramăsuri și controale adecvate și să evaluăm nivelul riscurilor reziduale. În plus, instrumentele de analiză a riscurilor bazate pe baze moderne de cunoștințe și proceduri de deducție permit construirea de modele structurale și orientate pe obiecte ale activelor informaționale ale unei companii, modele de amenințare și modele de risc asociate cu informațiile individuale și tranzacțiile comerciale și, prin urmare, identificarea acestor active informaționale ale unui al cărui risc de securitate este critic, adică inacceptabil. Astfel de instrumente oferă o oportunitate de a construi diverse modele de protejare a activelor informaționale ale unei companii, de a compara diferite opțiuni pentru complexe de măsuri de protecție și control în funcție de criteriul „eficiență din punct de vedere al costurilor” și, de asemenea, de a monitoriza respectarea cerințelor pentru organizarea regimului de securitate a informațiilor. o companie internă.
NRU ITMO, ***** @ *** com
Supervizor academic - doctor în științe tehnice, profesor NRU ITMO, ***** @
adnotare
Articolul discută despre metodele de calcul al riscului de securitate a informațiilor, se face o comparație cu o indicație a deficiențelor critice. Este prezentată o propunere de a folosi propria noastră metodă de evaluare a riscurilor.
Cuvinte cheie: risc, sistem informațional, securitate informațională, metodă de calcul al riscului, evaluare riscuri, activ informațional.
Introducere
Sistemul de management al riscului de securitate a informațiilor (IS) este o sarcină urgentă în toate etapele operațiunii complexului de securitate a informațiilor. În același timp, este imposibil să gestionați riscurile în prealabil fără a le evalua, care la rândul lor trebuie efectuate în conformitate cu o metodă. În etapa de evaluare a riscurilor, cele mai interesante sunt formulele și datele de intrare pentru calcularea valorii riscului. Articolul analizează mai multe metode diferite de calcul al riscului și prezintă propria metodologie. Scopul lucrării este de a obține o formulă pentru calcularea riscului de securitate a informațiilor, care vă permite să obțineți o serie de riscuri reale și să evaluați pierderile în termeni monetari.
Riscul de securitate a informațiilor în forma clasică este definit ca o funcție a trei variabile:
Dacă oricare dintre aceste variabile se apropie de zero, riscul general tinde și la zero.
Metode de evaluare a riscurilor
ISO / IEC 27001. În ceea ce privește metodologia de calcul a valorii riscului, se afirmă că metodologia aleasă ar trebui să asigure că evaluările riscurilor dau rezultate comparabile și reproductibile. În același timp, standardul nu oferă o formulă de calcul specifică.
NIST 800-30 oferă o formulă clasică pentru calcularea riscului:
unde R este valoarea riscului;
P (t) este probabilitatea de a realiza o amenințare IS (se utilizează un amestec de scale calitative și cantitative);
S - gradul de influență al amenințării asupra activului (prețul activului la scară calitativă și cantitativă).
Ca urmare, valoarea riscului este calculată în unități relative, care pot fi clasificate în funcție de gradul de importanță pentru procedura de gestionare a riscului de securitate a informațiilor.
GOST R ISO / IEC TO 7. Calculul riscului, spre deosebire de standardul NIST 800-30, se bazează pe trei factori:
R = P (t) * P (v) * S,
unde R este valoarea riscului;
P (t) este probabilitatea realizării amenințării IS;
P (v) este probabilitatea unei vulnerabilități;
S este valoarea activului.
Ca exemplu al valorilor probabilităților P (t) și P (v), este dată o scară calitativă cu trei niveluri: scăzut, mediu și ridicat. Pentru a evalua valoarea activului S, valorile numerice sunt prezentate în intervalul de la 0 la 4. Compararea valorilor calitative ar trebui să fie efectuată de organizația în care sunt evaluate riscurile de securitate a informațiilor.
BS 7799. Nivelul de risc este calculat luând în considerare trei indicatori - valoarea resursei, nivelul de amenințare și gradul de vulnerabilitate. Cu o creștere a valorilor acestor trei parametri, riscul crește, astfel încât formula poate fi reprezentată după cum urmează:
R = S * L (t) * L (v),
unde R este valoarea riscului;
S este valoarea activului / resursei;
L (t) - nivelul amenințării;
L (v) - nivel / grad de vulnerabilitate.
În practică, calculul riscurilor IS se efectuează în conformitate cu tabelul de poziționare a valorilor nivelului de amenințare, a gradului de probabilitate de exploatare a vulnerabilității și a valorii activului. Valoarea riscului se poate modifica în intervalul 0 la 8, ca rezultat, pentru fiecare activ, se obține o listă de amenințări cu valori de risc diferite. Standardul oferă, de asemenea, o scală pentru clasificarea riscurilor: scăzut (0-2), mediu (3-5) și ridicat (6-8), ceea ce vă permite să identificați cele mai critice riscuri.
STO BR IBBS. Conform standardului, evaluarea gradului de posibilitate de implementare a unei amenințări de securitate a informațiilor se face pe o scară calitativă și cantitativă, o amenințare nerealizabilă - 0%, o medie - de la 21% la 50% etc. - scară cantitativă, adică minimul - 0,5% din capitalul băncii, ridicat - de la 1,5% la 3% din capitalul băncii.
Pentru a efectua o evaluare calitativă a riscurilor de securitate a informațiilor, se utilizează un tabel de corespondență între gravitatea consecințelor și probabilitatea unei amenințări. Dacă este necesar să se facă o evaluare cantitativă, atunci formula poate fi reprezentată ca:
unde R este valoarea riscului;
P (v) este probabilitatea realizării amenințării IS;
S este valoarea activului (severitatea consecințelor).
Metoda propusă
Având în vedere toate metodele de evaluare a riscurilor de mai sus în ceea ce privește calcularea valorii riscului de securitate a informațiilor, este demn de remarcat faptul că calculul riscului se efectuează utilizând valoarea amenințărilor și valoarea activului. Un dezavantaj semnificativ este evaluarea valorii activelor (valoarea daunelor) sub formă de valori condiționate. Valorile condiționale nu au unități de măsură aplicabile în practică, în special, nu sunt echivalente monetare. Ca urmare, acest lucru nu oferă o idee reală a nivelului de risc care poate fi transferat asupra bunurilor reale ale obiectului protejat.
Astfel, se propune divizarea procedurii de calcul al riscului în două etape:
1. Calculul valorii riscului tehnic.
2. Calculul daunelor potențiale.
Riscul tehnic este înțeles ca valoarea riscului de securitate a informațiilor, care constă în probabilitățile de implementare a amenințărilor și exploatarea vulnerabilităților fiecărei componente a infrastructurii informaționale, luând în considerare nivelul de confidențialitate, integritate și disponibilitate a acestora. Pentru prima etapă, avem următoarele 3 formule:
Rc = Kc * P (T) * P (V), Ri = Ki * P (T) * P (V),
Ra = Ka * P (T) * P (V),
unde Rс este valoarea riscului de confidențialitate;
Ri este valoarea riscului de integritate;
Ra este valoarea riscului de disponibilitate;
Kс - coeficientul de confidențialitate al unui activ informațional;
Ki este factorul de integritate al activului informațional;
Ka este coeficientul de disponibilitate al unui activ informațional;
P (T) este probabilitatea realizării amenințării;
P (V) este probabilitatea de a exploata vulnerabilitatea.
Utilizarea acestui algoritm va face posibilă o evaluare mai detaliată a riscului, obținând la ieșire o valoare adimensională a probabilității riscului de a compromite separat fiecare activ informațional.
Ulterior, este posibil să se calculeze valoarea daunelor, pentru aceasta se utilizează valoarea medie a riscului fiecărui activ informațional și valoarea pierderilor potențiale:
unde L este valoarea pagubei;
Rav - valoarea medie a riscului;
S - pierderi (în termeni monetari).
Metodologia propusă face posibilă evaluarea corectă a riscului de securitate a informațiilor și calcularea pierderilor monetare în cazul incidentelor de securitate.
Literatură
1. ISO / IEC 27001. Standardul internațional conține cerințe de securitate a informațiilor pentru crearea, dezvoltarea și întreținerea sistemelor de management al securității informațiilor. Anii 20.
2. GOST R ISO / IEC TO 7. Standardul național al Federației Ruse. Metode și mijloace de asigurare a siguranței. Partea 3. Metode de gestionare a securității tehnologiei informației. Moscova. Anii 20.
3. BS 7799-2: 2005 Specificația sistemului de management al securității informațiilor. Anglia. Anii 20.
4. RS BR IBBS-2.2-200. Asigurarea securității informațiilor organizațiilor din sistemul bancar al Federației Ruse. Metode de evaluare a riscurilor de încălcare a securității informațiilor. Moscova. Anii 20.
5. Ghid de gestionare a riscurilor pentru sistemele de tehnologie informațională. Recomandări ale Institutului Național de Standarde și Tehnologie. STATELE UNITE ALE AMERICII. Anii 20.
6. Sursa electronică Wikipedia, articolul „Risc”.
Se știe că riscul este probabilitatea unei amenințări la adresa securității informațiilor. În viziunea clasică, evaluarea riscurilor include o evaluare a amenințărilor, vulnerabilităților și daunelor cauzate în timpul implementării lor. Analiza riscului constă în modelarea imaginii apariției acestor condiții cele mai nefavorabile, luând în considerare toți factorii posibili care determină riscul ca atare. Din punct de vedere matematic, atunci când se analizează riscurile, acești factori pot fi considerați ca parametri de intrare.
Să enumerăm acești parametri:
1) active - componente cheie ale infrastructurii sistemului implicate în procesul de afaceri și având o anumită valoare;
2) amenințări, a căror implementare este posibilă prin exploatarea vulnerabilității;
3) vulnerabilități - slăbiciune a mijloacelor de protecție cauzate de erori sau imperfecțiuni în proceduri, proiectare, implementare, care pot fi utilizate pentru a pătrunde în sistem;
4) daune, care sunt evaluate ținând seama de costurile restabilirii sistemului la starea inițială după un posibil incident de securitate a informațiilor.
Deci, primul pas în efectuarea analizei de risc multivariat este identificarea și clasificarea parametrilor de intrare analizați. Mai mult, este necesar să se efectueze o gradație a fiecărui parametru în funcție de nivelurile de semnificație (de exemplu: ridicat, mediu, scăzut). În etapa finală de modelare a riscului probabil (precedând primirea de date numerice privind nivelul de risc), amenințările și vulnerabilitățile identificate sunt legate de componente specifice ale infrastructurii IT (o astfel de legătură poate implica, de exemplu, analiza riscurilor cu și fără a lua în considerare disponibilitatea sistemelor de apărare a sistemului, probabilitatea ca sistemul să fie compromis din cauza unor factori care nu sunt contabili etc.). Să parcurgem procesul de modelare a riscurilor pas cu pas. Pentru a face acest lucru, în primul rând, să fim atenți la activele companiei.
Inventarul activelor societății
(CARACTERIZAREA SISTEMULUI)
În primul rând, este necesar să se determine care este un activ valoros al companiei din punct de vedere al securității informațiilor. Standardul ISO 17799, care descrie în detaliu procedurile pentru un sistem de management al securității informațiilor, identifică următoarele tipuri de active:
... resurse informaționale (baze de date și fișiere de date, contracte și acorduri, documentație de sistem, informații de cercetare, documentare, materiale de instruire etc.);
... software;
... active corporale (echipamente informatice, telecomunicații etc.);
... servicii (servicii de telecomunicații, sisteme de susținere a vieții etc.);
... angajații companiei, calificările și experiența acestora;
... resurse intangibile (reputația și imaginea companiei).
Este necesar să se determine care încălcare a activelor de securitate a informațiilor poate dăuna companiei. În acest caz, activul va fi considerat valoros și va trebui să fie luat în considerare la analizarea riscurilor informaționale. Inventarul este compilarea unei liste a activelor valoroase ale companiei. De obicei, acest proces este realizat de proprietarii de active. Termenul „proprietar” definește persoanele sau părțile care au responsabilități aprobate de conducerea companiei de a gestiona crearea, dezvoltarea, întreținerea, utilizarea și protecția activelor.
În procesul de clasificare a activelor, este necesar să se evalueze criticitatea activelor pentru procesele de afaceri ale companiei sau, cu alte cuvinte, să se determine ce daune va avea compania în cazul unei încălcări a securității informațiilor asupra activelor. Acest proces este cel mai dificil, deoarece valoarea activelor este determinată pe baza judecății expertului proprietarilor lor. În această fază, se poartă adesea discuții între consultanții în dezvoltarea sistemului de management și proprietarii de active. Acest lucru îi ajută pe proprietarii de active să înțeleagă cum să determine valoarea activelor din punct de vedere al securității informațiilor (de regulă, procesul de determinare a criticității activelor este nou și non-banal pentru proprietar). În plus, sunt dezvoltate diverse tehnici de evaluare pentru proprietarii de active. În special, astfel de metodologii pot conține criterii specifice (relevante pentru o anumită companie) care ar trebui luate în considerare la evaluarea criticității.
Evaluarea criticității activelor
Evaluarea criticității activelor se realizează pe trei dimensiuni: confidențialitate, integritate și disponibilitate. Acestea. ar trebui făcută o evaluare a prejudiciului adus companiei dacă confidențialitatea, integritatea sau disponibilitatea activelor sunt compromise Evaluarea criticității activelor poate fi efectuată în unități monetare și în niveluri. Cu toate acestea, dat fiind faptul că pentru analiza riscurilor informaționale, sunt necesare valori în unități monetare, în cazul evaluării criticității activelor în niveluri, este necesar să se determine evaluarea fiecărui nivel în bani.
Conform clasificării autorizate NIST incluse în GHIDUL DE MANAGEMENT AL RISCURILOR PENTRU SISTEMELE DE TEHNOLOGIE A INFORMAȚIEI, clasificarea și evaluarea amenințărilor sunt precedate de identificarea directă a surselor acestora. Deci, conform clasificării de mai sus, pot fi identificate principalele surse de amenințări, inclusiv:
... amenințări naturale (cutremure, inundații etc.);
... amenințări umane (acces neautorizat, atacuri de rețea, erori de utilizator etc.);
... amenințări provocate de om (accidente de diferite tipuri, întreruperi de curent, poluare chimică etc.).
Clasificarea de mai sus poate fi clasificată în detaliu.
Astfel, conform clasificării NIST menționate mai sus, categoriile independente de surse de amenințări provenite de la oameni includ:
- hackeri;
- structuri criminale;
- teroriști;
- companii angajate în spionaj industrial;
- din interior.
Fiecare dintre amenințările enumerate, la rândul său, trebuie să fie detaliate și evaluate pe o scară de semnificație (de exemplu: scăzută, medie, înaltă).
Evident, analiza amenințărilor ar trebui luată în considerare în strânsă legătură cu vulnerabilitățile sistemului pe care îl examinăm. Obiectivul acestei etape de gestionare a riscurilor este să întocmească o listă a posibilelor vulnerabilități ale sistemului și să clasifice aceste vulnerabilități în funcție de „forța” lor. Deci, conform practicii globale, gradarea vulnerabilităților poate fi împărțită în niveluri: critic, ridicat, mediu, scăzut. Să luăm în considerare aceste niveluri în detaliu:
1. Nivelul critic de pericol. Acest nivel de severitate include vulnerabilități care permit compromiterea la distanță a sistemului fără expunere suplimentară la utilizatorul țintă și sunt exploatate activ în prezent. Acest nivel de pericol implică faptul că exploatarea se află în domeniul public.
2. Grad ridicat de pericol. Acest nivel de severitate include vulnerabilități care permit compromiterea sistemului la distanță. De regulă, nu există un exploit disponibil public pentru astfel de vulnerabilități.
3. Grad mediu de pericol. Acest nivel de severitate include vulnerabilități care permit refuzarea serviciului de la distanță, accesul neautorizat la date sau executarea arbitrară a codului prin interacțiunea directă a utilizatorului (de exemplu, printr-o aplicație vulnerabilă care se conectează la un server rău intenționat).
4. Nivel scăzut de pericol. Acest nivel include toate vulnerabilitățile care sunt exploatate la nivel local, precum și vulnerabilitățile care sunt dificil de exploatat sau care au un impact minim (de exemplu, XSS, refuzul de serviciu pentru o aplicație client).
Sursa pentru compilarea unei astfel de liste / liste de vulnerabilități ar trebui să fie:
... liste publice publicate în mod regulat de vulnerabilități (de exemplu: www.securitylab.ru);
... o listă de vulnerabilități publicată de producătorul de software (de exemplu: www.apache.org);
... Rezultatele testelor de penetrare (ca exemplu: www.site-sec.com);
... analiza rapoartelor privind scanerele de vulnerabilitate (efectuate de administratorul de securitate din cadrul companiei).
În general, vulnerabilitățile pot fi clasificate după cum urmează:
... Vulnerabilități ale sistemului de operare și ale software-ului (erori de cod) descoperite de producător sau experți independenți (la momentul scrierii acestui articol, numărul total de vulnerabilități descoperite a ajuns la aproximativ ~ 1900 - aceasta a inclus vulnerabilități publicate în „bugtracks” de pe xakep.ru, securitylab, milw0rm.com și securityfocus .com).
... Vulnerabilități de sistem asociate cu erori de administrare (setări inadecvate ale serverului web sau PHP, porturi cu servicii vulnerabile care nu sunt închise de un firewall etc.).
... Vulnerabilități, ale căror surse pot fi incidente neacoperite de politica de securitate, precum și evenimente naturale. Depășirea bufferului este un prim exemplu de vulnerabilitate obișnuită a sistemului de operare și a software-ului. Apropo, se spune, marea majoritate a exploatărilor existente implementează o clasă de vulnerabilități de depășire a bufferului.
Metode numerice de evaluare a riscurilor
Cea mai simplă evaluare a riscului informațional constă în calcularea riscului, care se realizează luând în considerare informațiile despre criticitatea activelor, precum și probabilitatea realizării vulnerabilităților.
Formula clasică pentru evaluarea riscurilor:
R = D * P (V), unde R reprezintă riscul informațional;
D este criticitatea activului (daune);
P (V) este probabilitatea realizării vulnerabilității.
Un exemplu de implementare practică a abordării de mai sus pentru determinarea nivelurilor de risc este matricea de risc propusă de NIST.
| Amenințare cu risc de amenințare (probabilitatea sa) | Daune de impact | ||
| Scăzut - 10 | Mediu -50 | Înalt -100 | |
| Înalt - 1 | Minim 10x1 = 10 | Mediu 50x1 = 50 | Înalt 100x1 = 100 |
| Mediu - 0,5 | Minim 10x0,5 = 5 | Mediu 50x0,5 = 25 | Mediu 100x0,5 = 50 |
| Scăzut - 0,1 | Minim 10x0,1 = 1 | Minim 50x0,1 = 5 | Minim 100x0,1 = 10 |
| Nivel de risc: ridicat (50-100); Mediu (10 la 50); Scăzut (de la 1 la 10). | |||
Fiecare dintre parametrii de intrare posibili (de exemplu, vulnerabilitate, amenințare, activ și daune) este descris de propria funcție de membru, ținând cont de coeficientul corespunzător.
Evaluarea riscului logică fuzzy
Mecanismele de evaluare a riscurilor bazate pe logica fuzzy includ o succesiune de etape, fiecare dintre acestea utilizând rezultatele etapei anterioare. Succesiunea acestor pași este de obicei după cum urmează:
... Introducerea regulilor de programare sub formă de reguli de producție („IF, ... THEN”), reflectând relația dintre nivelul datelor de intrare și nivelul de risc la ieșire.
... Setarea funcției de apartenență a variabilelor de intrare (ca exemplu - folosind programe specializate precum „logica Fuzyy” - în acest exemplu am folosit MatLab).
... Obținerea rezultatului primar al evaluării variabilelor de intrare.
... Fuzzificarea estimărilor variabilelor de intrare (găsirea valorilor specifice funcțiilor de apartenență).
... Agregare (implică verificarea adevărului condițiilor prin transformarea funcțiilor de membru prin conjuncție fuzzy și disjuncție fuzzy).
... Activarea concluziilor (găsirea coeficienților de greutate pentru fiecare dintre reguli și funcții de adevăr).
... Acumularea concluziilor (găsirea funcției de apartenență pentru fiecare dintre variabilele de ieșire).
... Defasificare (găsirea valorilor clare ale variabilelor de ieșire).
Deci, în exemplul de mai sus (Tabelul 1.1.), A fost luat în considerare un algoritm cu doi parametri pentru evaluarea riscurilor, cu scale pe trei niveluri ale parametrilor de intrare. Unde:
... pentru valorile de intrare și risc, au fost stabilite scări pe trei niveluri, pe care au fost definiți termeni fuzzy (corespunzător valorilor "mari", "medii" și "scăzute" ale variabilelor - vezi Fig. 1);
... semnificația tuturor regulilor de inferență logică este aceeași (toate greutățile regulilor de producție sunt egale cu una).
Smochin. 1. Funcții de apartenență trapezoidală la o scară pe trei niveluri de „vulnerabilitate”
Evident, un algoritm cu doi parametri care implică introducerea a două variabile de intrare nu poate furniza un rezultat obiectiv al analizei riscurilor, în special luând în considerare mulți factori - variabile de intrare, care, apropo, reflectă imaginea reală a evaluării riscului SI.
Algoritm cu patru parametri
Să presupunem că cu ajutorul regulilor de producție cu logică fuzzy este necesară reproducerea motorului de inferență luând în considerare patru variabile de intrare. Astfel de variabile în acest caz sunt:
... active;
... vulnerabilitate;
... amenințare (sau mai bine zis, probabilitatea acesteia);
... deteriora.
Fiecare dintre variabilele de intrare listate este evaluată în funcție de propria sa scală. Deci, să presupunem că, pe baza unei analize preliminare, s-au obținut unele estimări ale variabilelor de intrare (Fig. 2.):
Smochin. 2. Introducerea estimărilor variabile și a motorului de inferență
Folosind cel mai simplu exemplu, luați în considerare tipul de reguli de producție pentru un anumit caz cu o scară pe trei niveluri:
Smochin. 3. Reguli de producție ale algoritmului cu patru parametri
Interfața grafică Fuzzy Logic Toolbox în acest caz vă permite să vizualizați graficele dependenței de risc de probabilitatea amenințării și, în consecință, alte variabile de intrare.
Fig. 4. Dependența riscului de probabilitatea unei amenințări
Smochin. 5. Dependența riscului de daune
Un grafic lin și monoton al „curbei de inferență” indică suficiența și consistența regulilor de inferență utilizate. O reprezentare grafică vizuală vă permite să evaluați adecvarea proprietăților mecanismului de inferență la cerințe. În acest caz, „curba de inferență” indică faptul că este recomandabil să se utilizeze mecanismul de inferență numai în regiunea valorilor probabilității scăzute, adică cu o probabilitate mai mică de 0,5. Cum puteți explica un astfel de „blocaj” în valori cu o probabilitate mai mare de 0,5? Probabil pentru că utilizarea unei scări pe trei niveluri, de regulă, afectează sensibilitatea algoritmului în regiunea valorilor mari de probabilitate.
Prezentare generală a unor instrumente de analiză a riscurilor multifactoriale
Atunci când efectuați o analiză completă a riscului, luând în considerare mulți factori, trebuie rezolvate o serie de probleme dificile:
... Cum se determină valoarea resurselor?
... Cum se compilează o listă completă a amenințărilor la adresa securității informațiilor și se evaluează parametrii acestora?
... Cum să alegeți contramăsurile potrivite și să evaluați eficacitatea acestora?
Pentru a rezolva aceste probleme, există instrumente special concepute construite folosind metode structurale de analiză și proiectare a sistemelor (SSADM - Structured Systems Analysis and Design), care oferă:
- construirea unui model IS din punct de vedere IS;
- metode de evaluare a valorii resurselor;
- instrumente pentru întocmirea unei liste de amenințări și evaluarea probabilităților acestora;
- selectarea contramăsurilor și analiza eficacității acestora;
- analiza opțiunilor pentru protecția clădirilor;
- documentație (generarea raportului).
În prezent, există mai multe produse software din această clasă pe piață. Cel mai popular dintre acestea este CRAMM. O vom discuta pe scurt mai jos.
Metoda CRAMM
În 1985, Agenția Centrală de Calcul și Telecomunicații din Regatul Unit (CCTA) a început cercetarea metodelor existente de analiză a securității informațiilor pentru a recomanda metode adecvate pentru a fi utilizate în agențiile guvernamentale implicate în procesarea informațiilor neclasificate, dar critice. Niciuna dintre metodele de mai sus nu a funcționat. Prin urmare, a fost dezvoltată o nouă metodă pentru a îndeplini cerințele CCTA. A fost numit CRAMM - Metodă de analiză și control al riscului CCTA. Apoi au apărut mai multe versiuni ale metodei, axate pe cerințele Ministerului Apărării, agențiilor guvernamentale civile, instituțiilor financiare și organizațiilor private. Una dintre versiuni - „profil comercial” - este un produs comercial. În prezent, CRAMM este, judecând după numărul de linkuri de pe internet, cea mai comună metodă de analiză și control al riscurilor. Analiza riscurilor include identificarea și calculul nivelurilor de risc (măsuri) pe baza evaluărilor atribuite resurselor, amenințărilor și vulnerabilităților resurselor. Controlul riscurilor constă în identificarea și selectarea contramăsurilor pentru a reduce riscurile la un nivel acceptabil. O metodă formală bazată pe acest concept ar trebui să asigure că protecția acoperă întregul sistem și că există încredere că:
Au fost identificate toate riscurile posibile;
... vulnerabilitățile resurselor sunt identificate și nivelurile lor sunt evaluate;
... amenințările sunt identificate și nivelurile lor sunt evaluate;
... contramăsurile sunt eficiente;
... costurile asociate securității informațiilor sunt justificate.
Oleg Boytsev, șeful „Cerber Security // Analiza securității site-ului dvs.”
