Файловый архив студентов. Файловый архив студентов.
1297 вузов, 5034 предметов.
/ Регистрация
FAQ Обратная связь Вопросы и предложения
Добавил:
Upload Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз:
Московский государственный университет им. М.В. Ломоносова
Предмет:
[НЕСОРТИРОВАННОЕ]
Файл:
ответы по иб.doc
Скачиваний:
488
Добавлен:
27.10.2018
Размер:
958.46 Кб
Скачать
►Содержание►

  1. Модель оценки рисков, основанная на превентивных и ликвидационных затратах: краткая характеристика, достоинства и недостатки.

  2. Инструментальные средства оценки рисков: cobra, сoras, cram, гриф и др. Достоинства и недостатки этих средств.

Ценность инструментального средства анализа рисков определяется в первую очередь той методикой, которая положена в его основу. Сейчас на рынке представлены такие программные продукты, как RiskWatch (США), CRAMM (Великобритания), COBRA (Великобритания), Авангард (Россия) и ряд других.

Можно выделить следующие подходы разработчиков программных средств анализа рисков к решению поставленной перед ними задачи:

  • получение оценок рисков только на качественном уровне;

  • вывод количественных оценок рисков на базе качественных, полученных от экспертов;

  • получение точных количественных оценок для каждого из рисков.

В процессе оценки экспертами для каждого риска определяется вероятность его возникновения и размер связанных с ним потерь (стоимость риска). Причем оценивание производится по шкале с тремя градациями - "высокая", "средняя", "низкая". Далее используется матрица следующего вида:

Матрица рисков.

Стоимость

Вероятность  

Высокая

Средняя

Низкая

Высокая

Средняя

Низкая

В зависимости от полученных оценок, риск относится к одной из следующих групп:

  • Высокий риск (красная область) - здесь необходимы срочные меры по снижению уровня риска.

  • Существенный риск (желтая область).

  • Умеренный риск (синяя область).

  • Незначительный риск (зеленая область) - усилия по управлению рисками в данном случае не будут играть важной роли.

На базе оценок для отдельных рисков, назначается оценка системе в целом (в виде клетки в такой же матрице), а сами риски - ранжируются.

Данная методика позволяет достаточно быстро и корректно произвести оценку. Но, к сожалению, дать интерпретацию полученных результатов не всегда возможно. Рассмотрим, например, такой случай. По результатам оценки наша система была отнесена к "желтой" области (существенный риск). Есть проект подсистемы защиты информации, который предположительно позволит снизить риски так, что общая оценка системы будет в "синей" области. Реализация проекта обойдется в N тысяч долларов. А вот ответа на вопрос "позволит ли переход от зоны существенного риска к зоне умеренного риска сэкономить сумму хотя бы равную затраченной на средства защиты" данная методика дать не может.

В настоящее время CRAMM - это довольно мощный и универсальный инструмент, позволяющий, помимо анализа рисков, решать также и ряд других аудиторских задач, включая:

  • проведение обследования ИС и выпуск сопроводительной документации на всех этапах его проведения;

  • проведение аудита в соответствии с требованиями Британского правительства, а также стандарта BS 7799:1995 «Code of Practice for Information Security Management»;

  • разработка политики безопасности и плана обеспечения непрерывности бизнеса.

В основе метода CRAMM лежит комплексный подход к оценке рисков, сочетая количественные и качественные методы анализа. Метод является универсальным и подходит как для больших, так и для мелких организаций, как правительственного, так и коммерческого сектора. Версии программного обеспечения CRAMM, ориентированные на разные типы организаций, отличаются друг от друга своими базами знаний (profiles). Для коммерческих организаций имеется Коммерческий профиль (Commercial Profile), для правительственных организаций - Правительственный профиль (Government profile). Правительственный вариант профиля, также позволяет проводить аудит на соответствие требованиям американского стандарта ITSEC («Оранжевая книга»).

Грамотное использование метода CRAMM позволяет получать очень хорошие результаты, наиболее важным из которых, пожалуй, является возможность экономического обоснования расходов организации на обеспечение информационной безопасности и непрерывности бизнеса. Экономически обоснованная стратегия управления рисками позволяет, в конечном итоге, экономить средства, избегая неоправданных расходов.

CRAMM предполагает разделение всей процедуры на три последовательных этапа. Задачей первого этапа является ответ на вопрос: «Достаточно ли для защиты системы применения средств базового уровня, реализующих традиционные функции безопасности, или необходимо проведение более детального анализа?» На втором этапе производится идентификация рисков и оценивается их величина. На третьем этапе решается вопрос о выборе адекватных контрмер.

На второй стадии идентифицируются и оцениваются угрозы в сфере информационной безопасности, производится поиск и оценка уязвимостей защищаемой системы. Уровень угроз оценивается по следующей шкале: очень высокий, высокий, средний, низкий, очень низкий. Уровень уязвимости оценивается как высокий, средний или низкий. На основе этой информации вычисляется оценка уровня риска по семибальной шкале.

На третьей стадии CRAMM генерирует варианты мер противодействия выявленным рискам. Продукт предлагает рекомендации следующих типов:

  • рекомендации общего характера;

  • конкретные рекомендации;

  • примеры того, как можно организовать защиту в данной ситуации.

Концептуальная схема проведения обследования по методу CRAMM показана на рисунке.

К недостаткам метода CRAMM можно отнести следующее:

  • использование метода CRAMM требует специальной подготовки и высокой квалификации аудитора;

  • CRAMM в гораздо большей степени подходит для аудита уже существующих ИС, находящихся на стадии эксплуатации, нежели чем для ИС, находящихся на стадии разработки;

  • аудит по методу CRAMM - процесс достаточно трудоемкий и может потребовать месяцев непрерывной работы аудитора;

  • программный инструментарий CRAMM генерирует большое количество бумажной документации, которая не всегда оказывается полезной на практике;

  • CRAMM не позволяет создавать собственные шаблоны отчетов или модифицировать имеющиеся;

  • возможность внесения дополнений в базу знаний CRAMM не доступна пользователям, что вызывает определенные трудности при адаптации этого метода к потребностям конкретной организации;

  • программное обеспечение CRAMM существует только на английском языке;

  • стоимость лицензии от 2000 до 5000 долл.

В алгоритме ГРИФ от пользователя не требуется вводить вероятности реализации угроз. Данная система моделирует доступ всех групп пользователей ко всем видам информации и в зависимости от вида доступа и вида ресурса рассматриваются конечное множество очевидных элементарных ситуаций, где начальную вероятность реализации угрозы можно определить достаточно просто и точно. Далее анализируется множество элементарных факторов, которые так или иначе влияют на защищенность, и затем делается вывод об итоговых рисках. Таким образом, в рамках алгоритма ГРИФ применяется типовой алгоритмический подход, когда решение большой сложной задачи разбивается на множество небольших простых задач.

Итоговая оценка ГРИФ основывается на комплексе параметров, которые определяются, прежде всего, защищенностью анализируемого объекта: анализируются как технологические аспекты защищенности (включая учет требований стандартов Good Practice, ISO 15408 и др., и таких важных с точки зрения реального проникновения моментов, как нахождение в одном сегменте, действия хакера через наименее защищенный объект взаимодействия и т.д.,) так и вопросы комплексной безопасности согласно ISO 17799 (организация, управление, администрирование, физ. безопасность и т.д.).

К недостаткам системы ГРИФ можно отнести:

  • отсутствие возможности сравнения отчетов на разных этапах внедрения комплекса мер по обеспечению защищенности

  • отсутствие возможности добавить специфичные для данной компании требования политики безопасности

Таким образом, для анализа и получения адекватных оценок защищенности информационной системы, оценки необходимых затрат на информационную безопасность, получения максимальной эффективности этих затрат, на сегодняшний день на рынке представлен ряд инструментов, позволяющих ИТ-менеджеру получать результаты самостоятельно без привлечения сторонних экспертов. Выбор специалиста в каждом конкретном случае будет зависеть от того, что требуется получить на выходе при работе с той или иной системой анализа рисков.

COBRA является средством анализа рисков и оценки соответ ствия стандарту BS7799, реализую­щим методы количественной оценки рисков, а также инструменты для консалтинга и проведения обзоров безопасности. При разработке ин струментария COBRA были использованы принципы построения экс пертных систем, обширная база знаний по угрозам и уязвимостям, а так­же множество вопросников.

Суть методологии CORAS состоит в адаптации, уточнении и комби нировании таких методов проведения анализа рисков, как Event-Tree-Analysis, цепи Маркова, HazOp и FMECA.

CORAS использует технологию UML и базируется на австралий ском/новозеландском стандарте «AS/NZS 4360 Менеджмент риска», выпущенном в 1999 г., и стандарте «ISO/IEC 17799-1 Свод правил по уп равлению защитой информации», принятом в 2000 г. В стандарте учте ны рекомендации, изложенные в техническом регламенте «ISO/IEC TR 13335-1 Методы и средства обеспечения безопасности» (2001 г.) и в стандарте «IEC 61508 Функциональная безопасность систем электричес ких, электронных, программируемых электронных, связанных с безопасностью» (2000 г.).

В соответствии с CORAS информационные системы рассматривают ся не только с точки зрения используемых технологий, а как сложный комплекс, в котором учтен даже человеческий фактор.

Соседние файлы в предмете [НЕСОРТИРОВАННОЕ]
Помощь Обратная связь Вопросы и предложения Пользовательское соглашение Политика конфиденциальности