8. Количественные (метод cba, rosi) методы оценки рисков

CBA(Cost-Benefit Analysis)

Анализ затрат и выгод используется для учета значения риска после проведения мер безопасности.

Основная характеристика изменений в безопасности системы после применения мер безопасности есть само значение затрат / выгод в течение этого процесса.

CBA = (ALE до мер безопасности – ALE после мер безопасности – ACS),

где ACS (Annualized Cost of Safeguard) – затраты на меры безопасности за год.

ROSI (Return on Security Investments)

Также вводится понятие выгоды от вложений в безопасность - ROSI (Return on Security Investments). По аналогии с выгодой от инвестиций (ROI, Return On Investments),

ROSI = CBA/ACS,

или, что эквивалентно,

Такой подход позволяет использовать результаты оценки рисков для эффективного планирования мер безопасности.

9. Методы с использованием деревьев fta и eta

Анализ дерева отказов FTA (Fault Tree Analysis)

Анализ дерева отказов (FTA - Fault Tree Analysis) производится с помощью построения дерева отказов на основе полученной информации о системе.

Дерево отказов есть представление в виде направленного графа последовательности всевозможных взаимосвязанных событий, осуществление которых может привести к нарушению функционирования системы. В корне дерева находится результирующее событие - отказ системы, в листьях - исходные события. Взаимосвязь между событиями, приводящая/не приводящая к переходу на следующий уровень реализуется логическими функциями (в основном И/ИЛИ/исключающее ИЛИ и т.п.).

Анализ дерева событий ETA (Event Tree Analysis)

Анализ дерева событий подразумевает построение дерева событий на основе анализа всех возможных событий, происходящих в системе. В отличие от деревьев отказов, деревья событий используют индуктивную логику.

Деревья отказов могут быть использованы для анализа систем, в которых все или некоторые компоненты находятся в непрерывном функционировании. Инициирующее событие (стартовая точка для дерева событий) нарушает нормальную работу системы, и дальнейшие события развиваются по нескольким возможным сценариям, отраженным в дереве, зависящим от успехов/неудач в работе компонентов системы.

10. Оценка рисков на основе модели информационных потоков (в методичке)

11. Оценка рисков на основе модели угроз и уязвимостей (в методичке)

12. Методы оценки рисков octave, coras, cramm, на основе гост р исо 17799

Методики оценки рисков

Методика оценки рисков - последовательность действий (применение подходов)

Методика OCTAVE

OCTAVE (Operationally Critical Threat, Asset, and Vulnerability Evaluation) - методика поведения оценки рисков в организации.

OCTAVE предполагает три фазы анализа:

1. Разработка профиля угроз, связанных с активом;

2. Идентификация инфраструктурных уязвимостей;

3. Разработка стратегии и планов безопасности.

Профиль угрозы включает в себя указания на актив (asset) - собственно, ресурс компании; тип доступа к активу (access) - физический, локальная сеть, др.; источник угрозы (actor) - внутренний, внешний; тип нарушения или мотив (motive) - преднамеренный, случайный; результат (outcome) - раскрытие данных, отказ в обслуживании, нарушение целостности.

По типу источника, угрозы в OCTAVE делятся на:

• угрозы, исходящие от человека-нарушителя, действующего через сеть передачи данных;

• угрозы, исходящие от человека-нарушителя, использующего физический доступ;

• угрозы, связанные со сбоями в работе системы;

• прочие.

Методика OCTAVE предлагает при описании профиля использовать "деревья вариантов". При создании профиля угроз рекомендуется избегать обилия технических деталей - это задача второго этапа исследования. Главная задача первой стадии - стандартизованным образом описать сочетание угрозы и ресурса.

Вторая фаза исследования системы в соответствии с методикой - идентификация инфраструктурных уязвимостей (используются сканеры безопасности).

Для каждого компонента определяется:

• список уязвимостей, которые надо устранить немедленно (high-severity vulnerabilities);

• список уязвимостей, которые надо устранить в ближайшее время (middle-severity vulnerabilities);

• список уязвимостей, в отношении которых не требуется немедленных действий (low-severity vulnerabilities).

Разработка стратегии и планов безопасности - третья стадия исследования системы. Она начинается с оценки рисков, которая проводится на базе отчетов по двум предыдущим этапам. В OCTAVE при оценке риска дается только оценка ожидаемого ущерба, без оценки вероятности. Шкала: высокий (high), средний (middle), низкий (low). Оценивается финансовый ущерб, ущерб репутации компании, жизни и здоровью клиентов и сотрудников, ущерб, который может вызвать судебное преследование в результате того или иного инцидента.

Далее, разрабатывают планы снижения рисков нескольких типов:

• долговременные;

• на среднюю перспективу;

• списки задач на ближайшее время.

Для определения мер противодействия угрозам в методике предлагаются каталоги средств.

Плюсы:

• исследование возможно без привлечения сторонних экспертов

• документация по OCTAVE общедоступна и бесплатна

Методика CRAMM

Это одна из первых методик анализа рисков в сфере ИБ - работа над ней была начата в середине 80-х гг.

В основе метода CRAMM лежит комплексный подход к оценке рисков, сочетающий количественные и качественные методы анализа.

Исследование ИБ системы с помощью СRAMM проводится в три стадии:

1. установка границ исследования

2. оценка рисков при помощи матрицы рисков

3. идентификация контрмер

На первой стадии анализируется все, что касается идентификации и определения ценности ресурсов системы.

1. определения границ исследуемой системы: собираются сведения о конфигурации системы и о том, кто отвечает за физические и программные ресурсы, кто входит в число пользователей системы, как они ее применяют или будут применять.

2. Проводится идентификация ресурсов: физических, программных и информационных, содержащихся внутри границ системы.

3. Каждый ресурс необходимо отнести к одному из предопределенных классов.

4. Затем строится модель информационной системы с позиции ИБ. Для каждого важного информационного процесса строится дерево связей используемых ресурсов.

Ценность физических ресурсов в CRAMM определяется стоимостью их восстановления в случае разрушения. Ценность данных и программного обеспечения определяется в следующих ситуациях:

• недоступность ресурса в течение определенного периода времени;

• разрушение ресурса;

• нарушение конфиденциальности;

• модификация - рассматривается для случаев мелких ошибок персонала (ошибки ввода), программных ошибок, преднамеренных ошибок;

• ошибки, связанные с передачей информации: отказ от доставки, недоставка информации, доставка по неверному адресу.

Для оценки возможного ущерба CRAMM рекомендует использовать следующие параметры:

• ущерб репутации организации;

• нарушение действующего законодательства;

• ущерб для здоровья персонала;

• ущерб, связанный с разглашением персональных данных отдельных лиц;

• финансовые потери от разглашения информации;

• финансовые потери, связанные с восстановлением ресурсов;

• потери, связанные с невозможностью выполнения обязательств;

• дезорганизация деятельности.

Для данных и программного обеспечения выбираются применимые к данной ИС критерии, дается оценка ущерба по шкале со значениями от 1 до 10. При низкой оценке по всем используемым критериям (3 балла и ниже) считается, что рассматриваемая система требует базового уровня защиты (для этого уровня не требуется подробной оценки угроз ИБ) и вторая стадия исследования пропускается.

На второй стадии рассматривается все, что относится к идентификации и оценке уровней угроз для групп ресурсов и их уязвимостей. На этой стадии оценивается существующий уровень угроз и уязвимостей, вычисляются уровни рисков и анализируются результаты.

Ресурсы группируются по типам угроз и уязвимостей. Оценка уровней угроз и уязвимостей производится на основе исследования косвенных факторов.

Уровень угроз оценивается, как очень высокий, высокий, средний, низкий и очень низкий. Уровень уязвимости оценивается, как высокий, средний и низкий.

На основе этой информации рассчитываются уровни рисков в дискретной шкале с градациями от 1 до 7. Полученные уровни угроз, уязвимостей и рисков объединяются в матрице рисков.

Третья стадия исследования заключается в поиске адекватных контрмер. На этой стадии CRAMM генерирует несколько вариантов мер противодействия, адекватных выявленным рискам и их уровням.

Таким образом, CRAMM - пример методики расчета, при которой первоначальные оценки даются на качественном уровне, и потом производится переход к количественной оценке (в баллах).

Плюсы:

+ Метод является универсальным и подходит как для крупных, так и для малых организаций, как правительственного, так и коммерческого сектора. (есть различные версии ПО: Коммерческий профиль (Commercial Profile), для правительственных организаций - Правительственный профиль (Government profile))

Минусы:

- нет сопроводительной документации

- нет способов информирования сотрудников

- нет оценки обхода риска

- отсутствует описание мониторинга эффективного управления рисками.

CORAS

Представляет собой комбинацию механизмов описания ИС (UML диаграммы) и разновидностей анализа (Fault Tree Analysis, Effect Criticality Analysis и др.).

Анализ рисков состоит из семи фаз.

Фаза 1. Вводный этап. Аналитики собирают информацию: задачи, терминологии, ресурсы, области анализа.

Фаза 2. Анализ высокого уровня. Определяются уязвимости и сценарии реализации угроз. Идентифицируются ресурсы (прямые и косвенные) и определяются основные риски. Составляется таблица высокоуровневых рисков. (Столбцы: инициатор, нарушение, причина нарушения)

Фаза 3. Одобрение. Шкалы последствий (для нежелательных инцидентов) и шкалы вероятностей. Определяются критерии оценки рисков. Составляется таблица ресурсов (сортируется по важности). Итогом этого этапа является составление матрицы оценки рисков и определение является ли риск допустимым или должен быть оценен.

Фаза 4. Идентификация рисков. Цель: выявить как можно больше потенциальных нежелательных инцидентов, а также сценарии реализации угроз. Строятся UML-диаграммы в соотв. с тремя типами угроз: случайные, умышленные, не связанные с чел. фактором.

Фаза 5. Оценка рисков. Последствия оцениваются для каждой связи “нежелательный инцидент - ресурс”.

Фаза 6. Вычисление рисков. Значение риска определяется с помощью матрицы оценки рисков. (строки - вероятность, столбцы - значимость последствий).

Фаза 7. Методы противодействия рискам. Цель: устранение рисков, уменьшение затрат. В первую очередь устраняются неприемлемые риски.

Минусы методики: не предусмотрена периодичность проведения оценки рисков, нельзя оценить эффективность инвестиций, вложенных во внедрение мер безопасности, отсутствует формализованная процедура принятия остаточных рисков.

Плюсы: бесплатная, и не требуется значительных ресурсов для установки.