Анализ рисков в информационных системах с повышенными требованиями к безопасности
При выполнении полного анализа рисков приходится решать ряд сложных проблем:
Как определить ценность ресурсов?
Как составить полный список угроз ИБ и оценить их параметры?
Как правильно выбрать контрмеры и оценить их эффективность?
Процесс оценивания рисков содержит несколько этапов:
идентификация ресурса и оценивание его количественных показателей или определение потенциального негативного воздействия на бизнес;
оценивание угроз;
оценивание уязвимостей;
оценивание существующих и предполагаемых средств обеспечения информационной безопасности;
оценивание рисков.
На основе оценивания рисков выбираются средства, обеспечивающие режим ИБ. Ресурсы, значимые для бизнеса и имеющие определенную степень уязвимости, подвергаются риску, если по отношению к ним существует какая-либо угроза. При оценивании рисков учитываются потенциальное негативное воздействие от нежелательных происшествий и показатели значимости рассматриваемых уязвимостей и угроз для них.
Риск характеризует опасность, которой может подвергаться система и использующая ее организация.
Степень риска зависит:
показателей ценности ресурсов;
вероятности реализации угроз;
простоты использования уязвимости при возникновении угроз;
существующих или планируемых к внедрению средств обеспечения ИБ, которые уменьшают уязвимости, сокращают вероятность возникновения угроз и негативных воздействий.
Определение ценности ресурсов
Важным шагом при анализе рисков является стадия оценки ценности информации.(рис. 7.2) .
Р
ис.
7.2 .Виды информации с позиции ценности
Ресурсы обычно подразделяются на несколько классов, например физические, программные и данные. Для каждого класса должна существовать своя методика оценки ценности элементов.
Для оценки ценности ресурсов выбирается подходящая система критериев. Критерии должны позволять описать потенциальный ущерб, связанный с нарушением конфиденциальности, целостности, доступности.
Ценность физических ресурсов оценивается с точки зрения стоимости их замены или восстановления работоспособности. Эти стоимостные величины затем преобразуются в качественную шкалу, которая используется также для информационных ресурсов. Программные ресурсы оцениваются тем же способом, что и физические, на основе определения затрат на их приобретение или восстановление.
Если для информационного ресурса существуют особенные требования к конфиденциальности или целостности (например, исходный текст имеет высокую коммерческую ценность), то оценка этого ресурса производится по той же схеме, то есть в стоимостном выражении.
Кроме критериев, учитывающих финансовые потери, в коммерческих организациях могут присутствовать критерии, отражающие следующее:
ущерб репутации организации;
неприятности, связанные с нарушением действующего законодательства;
ущерб для здоровья персонала;
ущерб, связанный с разглашением персональных данных отдельных лиц;
финансовые потери от разглашения информации;
финансовые потери, связанные с восстановлением ресурсов;
потери, связанные с невозможностью выполнения обязательств;
ущерб от дезорганизации деятельности.
Могут использоваться и другие критерии, в зависимости от профиля организации. К примеру, в правительственных учреждениях могут добавляться критерии, отражающие такие области, как национальная безопасность и международные отношения.