- •2.Принципы организации ксзи
- •3. Основные требования, предъявляемые к ксзи
- •4.Содержательная характеристика этапов разработки ксзи.
- •6.Структура перечня сведений, составляющих коммерческую тайну и нормативное закрепление состава защищаемой информации
- •Примерное содержание сведений в различных областях деятельности
- •7. Определение состава носителей защищаемой информации.
- •8. Классификация угроз и источников дестабилизирующего воздействия на информацию и способы воздействий
- •9. Оценки потенциального ущерба от дестабилизирующего воздействия на информацию
- •10. Потенциальные каналы утечки информации и уязвимости
- •3 Технические каналы утечки информации (ткуи)
- •11. Понятие и классификация моделей нарушителя.
- •12.Оценка степени уязвимости информации в зависимости от категорий нарушителей.
- •13. Анализ рисков, сущность и основные понятия.
- •14. Основные факторы риска и шкалы для их измерения.
- •15. Оценка рисков
12.Оценка степени уязвимости информации в зависимости от категорий нарушителей.
Для оценки степени уязвимости информации возможно использование трехфакторного анализа – оценки рисков по величинам вероятности угрозы, вероятности уязвимости (использования нарушителем определенного канала утечки) и цене потери. Пример такой оценки:
|
Носитель |
Цена |
Уг-роза |
Модель нарушителя |
Вероятность |
Риск |
Ранги рисков |
Политика управления | |
|
Угроза |
Уязви-мость | |||||||
|
Бумаж-ный документ |
Высокая |
Кра-жа |
Малооопыт-ный нарушитель («внешний») |
0,1 |
0,1 |
0,01 |
4 |
Политика принятия риска |
|
Злоумыш-ленник-профессионал («внешний») |
0,1 |
0,5 |
0,05 |
2,5 |
Политика принятия риска | |||
|
Рядовой сотрудник |
0,6 |
0,5 |
0,4 |
1 |
Политика снижения риска | |||
|
Топ-менеджер |
0,3 |
0,8 |
0,05 |
2,5 |
Политика принятия риска | |||
Нарушители делятся на две категории: внешние и внутренние. Из данного примера следует, что вероятности кражи бумажного документа высокой ценности для каждой категории нарушителей разная. Это обусловлено тем, что внешние нарушители не знают о ценности документа и могут украсть его случайно (вероятность угрозы), но у злоумышленника профессионала больше шансов обойти систему защиты (вероятность уязвимости). Для внутренних злоумышленников шансы обойти систему защиты высоки, а вот вероятность осуществления угрозы зависит от мотивации сотрудников.
13. Анализ рисков, сущность и основные понятия.
Угроза– совокупность условий и факторов, которые могут стать причиной нарушения целостности, доступности, конфиденциальности информации;
Уязвимость– слабость в системе защиты, которая делает возможным реализацию угрозы;
Рискнарушения ИБ – возможность реализации угрозы;
Анализ рисков– процесс определения угроз, уязвимостей, возможного ущерба, а также контрмер;
Оценка рисков– идентификация рисков, выбор параметров для их описания и получения оценок по этим параметрам;
Управление рисками– процесс определения контрмер в соответствии с оценкой рисков;
Класс рисков– множество угроз ИБ, выделенных по определенному признаку.
В настоящее время используются два подхода к анализу рисков. Их выбор зависит от оценки собственниками ценности своих информационных ресурсов и возможных последствий нарушения режима ИБ.
В простейшейм случаесобственники информационных ресурсов могут не оценивать эти параметры. В этом случае анализ рисков производится по упрощенной схеме: рассматривается стандартный набор наиболее распространенных угроз безопасности без оценки их вероятности и обеспечивается минимальный или базовый уровень ИБ.
Полный вариант анализа рисков применяется в случае повышенных требований в области ИБ. В отличие от базового варианта в том или ином виде производится оценка ценности ресурсов, характеристик рисков и уязвимостей ресурсов.
Процесс оценивания рисков содержит несколько этапов:
Идентификация ресурса и оценивание его количественных показателей или определение потенциального негативного воздействия на бизнес;
Оценивание угроз;
Оценивание уязвимостей;
Оценивание существующих и предполагаемых средств обеспечения информационной безопасности;
Оценивание рисков;
Выбор средств, обеспечивающих режим ИБ.