Информационная безопасность / Derbin - Obespecheniye informatsiooonoy bezopasnosti 2013
.pdf10.1.6.ПОДХОДЫ К УПРАВЛЕНИЮ ИНФОРМАЦИОННЫМИ РИСКАМИ
1.Уменьшение рисков.
Многие риски удается значительно уменьшить за счет простых контрмер управление паролями снижает риск НСД
|
|
2. Уклонение от риска. |
|
|
|
|
|
|
|
|
|
|
|
|
От некоторых классов рис- |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||
|
|
ков можно уклониться. Так, |
|
|
|
|
|
|
|
|
|
|
|
|
вынесение Web-сервера орга- |
|
|
|
|
|
|
|
|
|
|
|
|
низации за пределы ЛВС поз- |
|
|
|
|
|
|
|
|
|
|
|
|
воляет избежать риска НСД со |
|
|
|
|
|
|
|
|
|
|
|
|
стороны Web-клиентов |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
3. Изменение характера |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
риска. Если не удается укло- |
|
|
|
|
|
|
|
|
|
|
|
|
ниться или эффективно |
|
|
|
|
|
|
|
|
|
|
|
|
уменьшить риск, следует при- |
|
|
|
|
|
|
|
|
|
|
|
|
нять меры страховки: от пожа- |
|
|
|
|
|
|
|
|
|
|
|
|
ра; заключить договор с по- |
|
|
|
|
|
|
|
|
|
|
|
|
ставщиками СВТ о их сопро- |
|
|
|
|
|
|
|
|
|
|
|
|
вождении и компенсации |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|||||
|
|
ущерба |
|
|
5. Выбор контрмер, |
|
6. Аудит системы |
|
|
|
||
|
|
|
|
|
|
управления ИБ. Проверяется |
|
|
|
|||
|
|
|
|
|
|
|
|
|
||||
|
|
|
|
|
обеспечивающих режим ИБ |
|
|
|
|
|||
|
|
4. Принятие риска. |
|
|
|
|
|
|||||
|
|
|
|
|
соответствие выбранных |
|
|
|
||||
|
|
Риски нельзя довести до |
|
|
для защиты информации, |
|
|
|
|
|||
|
|
|
|
|
контрмер по ЗИ целям и |
|
|
|
||||
|
|
пренебрежимо малой вели- |
|
|
структурированных по норма- |
|
|
|
|
|||
|
|
|
|
|
задачам бизнеса, деклариро- |
|
|
|
||||
|
|
чины, хотя после принятия |
|
|
тивно-правовому, организаци- |
|
|
|
|
|||
|
|
|
|
|
ванным в политике |
|
|
|
||||
|
|
контрмер некоторые риски |
|
|
онно-управленческому, техно- |
|
|
|
|
|||
|
|
|
|
|
безопасности, выполняется |
|
|
|
||||
|
|
уменьшаются до остаточной |
|
|
логическому и аппаратно-про- |
|
|
|
|
|||
|
|
|
|
|
оценка остаточных рисков и их |
|
|
|||||
|
|
величины |
|
|
граммному уровням ОИБ |
|
оптимизация |
|
211 |
|||
|
|
|
|
|
|
|
|
|||||
|
|
|
|
|
|
|
|
|
|
|||
|
|
|
|
|
|
|
|
|
|
|
|
|
10.1.8. АЛГОРИТМ АНАЛИЗА ИНФОРМАЦИОННЫХ РИСКОВ
ИСХОДНЫЕ ДАННЫЕ ДЛЯ АНАЛИЗА РИСКОВ
|
|
|
|
|
перечень ценной |
|
сведения |
|
сведения об угрозах, |
|
об уязвимостях |
|
которые действуют |
|
информации с указанием |
|
|
||
|
информационной |
|
на информационную |
|
ее уровня критичности |
|
|
||
|
системы |
|
систему |
|
|
|
|
||
|
|
|
|
|
АЛГОРИТМ АНАЛИЗА РИСКОВ
Инвентаризация информационных ресурсов
Оценка стоимости информационных ресурсов
Определение защищенности информационной системы
Оценка информационных рисков
Категоризация информационных ресурсов по уровню риска
Управление рисками (определение мер по снижению рисков)
Определение уровня приемлемого риска
213
10.2. ПОНЯТИЕ КАЧЕСТВЕННОЙ И КОЛИЧЕСТВЕННОЙ ОЦЕНКИ РИСКОВ, ШКАЛЫ И КРИТЕРИИ ИЗМЕРЕНИЯ
10.2.1. ВЫБОР ШКАЛЫ ДЛЯ ОЦЕНКИ ПАРАМЕТРОВ РИСКОВ
Под оценкой параметров рисков понимается определение вероятности реализации потенциальной уязвимости, которая приведет к инциденту
Риски могут быть оценены с помощью количественных шкал. Это даст возможность упростить анализ по критерию «стоимость-эффективность» предлагаемых контрмер. Однако в этом случае предъявляются более высокие требования к шкалам измерения исходных данных и проверке адекватности принятой модели.
Наиболее распространенной шкалой является качественная (балльная) шкала с несколькими градациями, например: низкий средний и высокий уровень. Оценка производится экспертом с учетом ряда объективных факторов. Уровни рисков:
Уровень риска |
Определение |
|
|
|
|
|
|
|
Источник угрозы (нарушитель) имеет очень высокий |
|
|
ВЫСОКИЙ |
уровень мотивации, существующие методы уменьшения |
|
|
|
уязвимости малоэффективны |
|
|
|
|
|
|
|
Источник угрозы (нарушитель) имеет высокий уровень |
|
|
СРЕДНИЙ |
мотивации, однако используются эффективные методы |
|
|
|
уменьшения уязвимости |
|
|
|
|
|
|
|
Источник угрозы (нарушитель) имеет низкий уровень |
|
|
НИЗКИЙ |
мотивации, либо существуют чрезвычайно эффективные |
|
|
|
методы уменьшения уязвимости |
215 |
|
|
|
|
|
|
|
|
|
|
|
|
|
10.2.2. ОЦЕНКА ТЯЖЕСТИ ПОСЛЕДСТВИЙ НАРУШЕНИЯ РЕЖИМА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
Уровень |
Определение |
|
тяжести |
||
|
Происшествие оказывает сильное (катастрофичное) воздействие на деятельность организации:
- большая сумма (конкретизируется) прямых финансовых потерь; Высокий - существенный ущерб здоровью персонала (гибель, инвалидность или
необходимость длительного лечения сотрудника);
-потеря репутации, приведшая к существенному снижению деловой активности организации;
-дезорганизация деятельности на длительный (конкретизируется) период времени
Происшествие приводит к заметным негативным результатам:
- заметная сумма (конкретизируется) прямых финансовых потерь; Средний - потеря репутации, которая может вызвать уменьшение потока заказов и
негативную реакцию деловых партнеров; - неприятности со стороны государственных органов, в результате чего снизилась деловая активность компании
Происшествие сопровождается небольшими негативными последствиями:
Низкий - небольшая сумма (конкретизируется) прямых финансовых потерь;
-задержки в работе некоторых служб либо дезорганизация деятельности на непродолжительный период времени;
-необходимость восстановления информационных ресурсов
216
10.3.КОМПЛЕКСНАЯ ОЦЕНКА РИСКОВ БЕЗОПАСНОСТИ
ИЕЕ ОСНОВНЫЕ ЭТАПЫ.
10.3.1.ОЦЕНКА РИСКОВ ПО ДВУМ ФАКТОРАМ
Факторы: вероятность происшествия и тяжесть возможных последствий.
Риск тем больше, чем больше вероятность происшествия и тяжесть последствий: «РИСК = Рпроисшествия × ЦЕНА ПОТЕРИ».
Если переменные являются количественными величинами, то риск - это оценка математического ожидания потерь.
1. Определение шкал при использовании качественных величин а) субъективная шкала вероятностей событий:
А - событие практически никогда не происходит; В - событие случается редко; С - вероятность события за рассматриваемый промежуток времени - около 0,5;
D - скорее всего, событие произойдет; Е - событие почти обязательно произойдет.
б) субъективная шкала серьезности происшествий
N (Negligible) - воздействием можно пренебречь;
Mi (Minor) - незначительное происшествие: последствия легко устранимы, затраты на ликвидацию последствий (ЛП) невелики, воздействие на ИТ незначительно;
Mo (Moderate) - происшествие с умеренными результатами: ЛП не связана с крупными затрата-ми, воздействие на ИТ небольшое и не затрагивает критически важные задачи;
S (Serious) - происшествие с серьезными последствиями: ЛП связана со значительными затратами, воздействие на ИТ ощутимо, влияет на выполнение критически важных задач;
С (Critical) - происшествие приводит к невозможности решения критически важных задач. в) шкала для оценки рисков: низкий риск; средний риск; высокий риск.
Шкала |
Negligible |
Minor |
Moderate |
Serious |
Critical |
|
|
|
|
|
|
|
|
|
|
А |
Низкий риск |
Низкий риск |
Низкий риск |
Средний |
Средний |
|
|
|
|
|
|
|
|
|
|
В |
Низкий риск |
Низкий риск |
Средний |
Средний |
Высокий |
|
|
|
|
|
|
|
|
|
|
С |
Низкий риск |
Средний |
Средний |
Средний |
Высокий |
|
|
|
|
|
|
|
|
|
|
D |
Средний |
Средний |
Средний |
Средний |
Высокий |
218 |
|
|
|
|
|
|
|
||
Е |
Средний |
Высокий |
Высокий |
Высокий |
Высокий |
||
|
|||||||
|
|
|
|
|
|
|
10.3.2. ОЦЕНКА ВОЗМОЖНОГО УЩЕРБА (ПОТЕРЬ)
Оценивая тяжесть ущерба, необходимо иметь в виду:
-непосредственные расходы на замену оборудования, исследование причин преодоления защиты, восстановление информации и функционирования АС по ее обработке;
-косвенные потери, связанные со снижением банковского доверия, потерей клиентуры, подрывом репутации, ослаблением позиций на рынке.
Для оценки потерь необходимо построить сценарий действий:
-нарушителя по использованию добытой информации;
-службы ОИБ по предотвращению последствий и восстановлению нормального функционирования системы;
-третьей стороны.
Оценивая последствия потери ресурса нужно учитывать:
-цену ресурса - затраты на производство;
-стоимость восстановления или создания (покупку) нового ресурса;
-стоимость восстановления работоспособности организации;
-стоимость вынужденного простоя;
-стоимость упущенной выгоды (потерянный контракт);
-стоимость выплаты неустоек, штрафов (за невыполнение обязательств контракта);
-стоимость затрат на реабилитацию репутации, престижа, имени фирмы;
- |
стоимость затрат на поиск новых клиентов, взамен не доверяющих фирме; |
||
- |
стоимость затрат на поиск (или восстановление) новых каналов связи, |
|
|
информационных источников. |
|
||
|
Мотивы нарушений |
|
|
- |
неопытность; |
|
|
- |
корыстный интерес; |
|
|
- безответственность (самоутверждение). |
|
||
219 |
|||
|
|
||
|
|
||
|
|
|
10.3.3. ОЦЕНКА РИСКОВ ПО ТРЕМ ФАКТОРАМ
Факторы: угроза, уязвимость, цена потери.
Вероятность происшествия, которая может быть объективной либо субъективной величиной, зависит от уровней (вероятностей) угроз и уязвимостей:
«Pпроисшествия = Ругрозы × Руязвимости»
«РИСК = Ругрозы х Руязвимости × ЦЕНА ПОТЕРИ» Если хотя бы одна из шкал – качественная, применяются табличные методы
для расчета риска.
Например, показатель риска измеряется по 8-балльной шкале:
1 - риск практически отсутствует. Теоретически возможны ситуации, при которых событие наступает, но на практике это случается редко, а потенциальный ущерб сравнительно невелик;
2 - риск очень мал. События подобного рода случались достаточно редко, кроме того, негативные последствия сравнительно невелики;
…
8 - риск очень велик. Событие, скорее всего, наступит, и последствия будут чрезвычайно тяжелыми
Уровни уязвимости Н, С, В означают, соответственно, низкий, средний и высокий.
Степень |
|
|
|
|
Уровень угрозы |
|
|
|
|
|
|
||||
серьезности |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
низкий |
|
|
средний |
|
|
высокий |
|
|
||||||
происшествия |
|
|
|
|
|
|
|
||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Уровни уязвимостей |
|
|
|
|
|
|
|||||
(цена потери) |
|
|
|
|
|
|
|
|
|
|
|||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Н |
С |
|
В |
Н |
|
С |
|
В |
Н |
|
С |
|
В |
|
Negligible |
0 |
1 |
|
2 |
1 |
|
2 |
|
3 |
2 |
|
3 |
|
4 |
|
Minor |
1 |
2 |
|
3 |
2 |
|
3 |
|
4 |
3 |
|
4 |
|
5 |
|
Moderate |
2 |
3 |
|
4 |
3 |
|
4 |
|
5 |
4 |
|
5 |
|
6 |
|
Serious |
3 |
4 |
|
5 |
4 |
|
5 |
|
6 |
5 |
|
6 |
|
7 |
220 |
Critical |
4 |
5 |
|
6 |
5 |
|
6 |
|
7 |
6 |
|
7 |
|
8 |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|