МІНІСТЕРСТВО ОСВІТИ І НАУКИ УКРАЇНИ

НАЦІОНАЛЬНИЙ УНІВЕРСИТЕТ «ЛЬВІВСЬКА ПОЛІТЕХНІКА»

АНАЛІЗ РИЗИКІВ ІНФОРМАЦІЙНОЇ БЕЗПЕКИ

НА ОСНОВІ МЕТОДУ CORAS

ТА КАТАЛОГІВ IT-GRUNDSCHUTZ

Інструкція до практичної роботи № 5

з курсу: «Менеджмент у сфері захисту інформації»

для студентів спеціальностей:

7.17010302 «Адміністративний менеджмент в сфері захисту інформації»,

8.17010301 «Управління інформаційною безпекою»,

8.17010302 «Адміністративний менеджмент в сфері захисту інформації»

Затверджено

на засіданні кафедри

«Захист інформації»

Протокол №… від ….2013 р.

Львів 2013

Аналіз ризиків на основі методу CORAS та каталогів IT-Grundshutz: Інструкція до практичної роботи № 5 з курсу «Менеджмент у сфері захисту інформації» для студентів спеціальностей 7.17010302 «Адміністративний менеджмент в сфері захисту інформації», 8.17010301 «Управління інформаційною безпекою», 8.17010302 «Адміністративний менеджмент в сфері захисту інформації» / Укл.: В. А. Ромака, Ю. Р. Гарасим, М. М. Рибій – Львів: НУ «ЛП», 2013. – 17 с.

Укладачі: Володимир Афанасійович Ромака, д.т.н., проф.

Юрій Романович Гарасим, к.т.н.

Мар’яна Михайлівна Рибій, магістрант

Відповідальний за випуск: Ромака Володимир Афанасійович, д.т.н., проф.

Рецензенти: Хома Володимир Васильович, д.т.н., проф.

Мета роботи – ознайомитись із методом аналізу ризиків інформаційної безпеки (ІБ) CORAS та каталогами IT-Grundschutz.

Основні відомості

1. Аналіз ризиків інформаційної безпеки

Аналіз ризиків інформаційної безпеки використовують для виявлення уразливостей і загроз, оцінювання можливого впливу на інформаційні активи компанії, що дає змогу обирати адекватні захисні заходи (контролі) саме для тих систем і процесів, в яких вони необхідні. Аналіз ризиків ІБ є механізмом обгрунтування економічної ефективності, актуальності, своєчасності і здатності реагувати на загрози. Такий аналіз допомагає компанії здійснити ранжування ризиків і на його основі сформувати пріоритетний перелік ризиків для першочергової їх мінімізації або уникнення, а також визначити та обґрунтувати оптимальну вартість захисних заходів.

Основні цілі аналізу ризиків ІБ:

1. ідентифікація активів та їх цінності для компанії;

2. ідентифікація загроз та уразливостей;

3. кількісна/якісна оцінка ймовірності і впливу на бізнес таких потенційних загроз;

4. забезпечення економічного балансу між шкодою від впливу загроз (збитку) і вартістю контрзаходів.

Аналіз ризиків ІБ також дає змогу порівняти річну вартість захисних заходів з потенційним збитком. Аксіомою є те, що річна вартість захисних заходів компанії не повинна перевищувати потенційний її річний збиток. Окрім того, коректно проведений аналіз ризиків ІБ дає змогу органічно зв’язати програму інформаційної безпеки компанії з цілями і вимогами її бізнесу, що вкрай важливо для загального успіху компанії при вирішенні основної своєї мети – отримання максимального прибутку.

Необхідно зазначити, що перед початком роботи з виявлення та аналізу ризиків ІБ компанії важливо зрозуміти мету даної роботи, її обсяг та очікуваний результат. З іншого боку, необхідно пам’ятати і готуватися до того, що спроба аналізу всіх ризиків ІБ у всіх областях за один раз може виявитися нереальною.

Одним з ключових та першочергових завдань групи аналізу ризиків ІБ є підготовлення детального звіту щодо вартості інформаційних активів компанії. Вище керівництво повинно проаналізувати цей звіт і визначити сферу діяльності для IRM-проекту (обсяг роботи – обсяг фінансування), виключивши з нього ті активи, які не є важливими (не є критичними) для роботи компанії на даному етапі. При визначенні обсягу робіт необхідно також враховувати бюджет проекту, а також вимоги чинного законодавства. У ході обговорень з керівництвом, всі учасники повинні мати чітке розуміння цінності забезпечення AIC-тріади (доступність, цілісність і конфіденційність) та її безпосереднього зв’язку з потребами бізнесу.

Досвід успішних на ринку компаній показує, що аналіз ризиків ІБ повинен здійснюватися за підтримки та управлінні з боку вищого керівництва компанії. Лише у цьому випадку проведений аналіз буде успішним та мати наступне логічне продовження – вживання заходів та засобів щодо доведення встановленого рівня ризику до прийнятного. Керівництво компанії повинне визначити цілі і масштаби аналізу, призначити членів групи для проведення оцінки, а також виділити необхідний час і ресурси для проведення цієї роботи. Важливим, є те, щоб вище керівництво компанії уважно поставилося до результатів проведеної оцінки.