2.3.3 |
Порушення технології обробки, введення та виведення інформації, |
+ |
+ |
+ |
|
|
роботи з МНІ (резервними копіями, еталонами та дистрибутивами) |
|
|
|
|
2.3.4 |
Недбале зберігання та облік документів, носіїв інформації, баз |
+ |
+ |
+ |
|
|
даних |
|
|
|
|
2.3.5 |
Отримання сторонньою особою інформації у персоналу ІТС |
+ |
|
|
|
Зробимо розрахунок загроз з урахуванням 3-х рівнів ризиків і збитків:
-високий - якщо реалізація загрози надає великих збитків (3 бали);
-середній - якщо реалізація загрози надає помірних збитків (2 бали);
-низький - якщо реалізація загрози надає незначних збитків (1 бал).
Варіант Моделі загроз з урахуванням рівня ризиків та збитків: 1. Загрози конфіденційності інформації
№ |
Механізм реалізації |
Рівень |
|
|
Сума |
|
ризиків |
збитків |
загроз |
||||
|
|
|||||
К.1 |
Ненавмисне ознайомлення з ІзОД під час співбесід |
середній |
високий |
5 |
||
персоналу ІТС зі сторонніми особами |
2 |
3 |
|
|||
|
|
|
||||
К.2 |
Втрата носіїв ІзОД з причини безвідповідального |
низький |
високий |
4 |
||
ставлення до виконання обв’язків |
1 |
3 |
|
|||
|
|
|
||||
К.3 |
Перегляд ІзОД на екранах моніторів або робочих |
середній |
високий |
5 |
||
місцях користувачів ІТС сторонніми особами |
2 |
3 |
|
|||
|
|
|
||||
К.4 |
Копіювання ІзОД на зовнішні носії з метою |
високий |
високий |
6 |
||
несанкціонованого ознайомлення сторонніх осіб |
3 |
3 |
|
|||
|
|
|
||||
К.5 |
Роздрукування ІзОД з метою несанкціонованого |
середній |
високий |
5 |
||
ознайомлення сторонніх осіб |
2 |
3 |
|
|||
|
|
|
||||
К.6 |
Викрадення носіїв ІзОД з метою несанкціонованого |
низький |
високий |
4 |
||
ознайомлення сторонніх осіб |
1 |
3 |
|
|||
|
|
|
||||
К.7 |
Безпосередній доступ до ІзОД будь-яким способом |
низький |
високий |
4 |
||
сторонніх осіб |
1 |
3 |
|
|||
|
|
|
||||
|
2. Загрози цілісності інформації |
|
|
|
||
|
|
|
|
|
|
|
№ |
Механізм реалізації |
Рівень |
|
|
Сума |
|
ризиків |
збитків |
|
загроз |
|||
|
|
|
||||
|
Помилки (ненавмисні) користувачів ІТС, які призвели |
середній |
середній |
|
|
|
Ц.1 |
до модифікації або втрати інформації на жорсткому |
|
4 |
|||
2 |
2 |
|
||||
|
диску або зовнішніх носіях |
|
|
|||
|
|
|
|
|
||
|
Несанкціонована (навмисне) модифікація або |
середній |
середній |
|
|
|
Ц.2 |
знищення інформації персоналом ІТС на жорсткому |
|
4 |
|||
2 |
2 |
|
||||
|
диску або зовнішніх носіях |
|
|
|||
|
|
|
|
|
||
|
Ненавмисне пошкодження носіїв інформації |
середній |
середній |
|
|
|
Ц.3 |
користувачами АС, яке призвело до модифікації або |
|
4 |
|||
2 |
2 |
|
||||
|
втрати інформації |
|
|
|||
|
|
|
|
|
||
|
Навмисне пошкодження носіїв інформації |
низький |
середній |
|
|
|
Ц.4 |
користувачами ІТС, яке призвело до модифікації або |
|
3 |
|||
1 |
2 |
|
||||
|
втрати інформації |
|
|
|||
|
|
|
|
|
||
|
Помилки (ненавмисні) адміністраторів ІТС при |
середній |
середній |
|
|
|
Ц.5 |
налагодженні засобів захисту та системного ПЗ, в |
|
4 |
|||
2 |
2 |
|
||||
|
наслідок яких стала можливою модифікація ІзОД |
|
|
|||
|
|
|
|
|
||
|
Прояви помилок системного ПЗ, в наслідок яких стала |
середній |
середній |
|
|
|
Ц.6 |
можливою модифікація інформації або її знищення |
|
4 |
|||
2 |
2 |
|
||||
|
користувачами |
|
|
|||
|
|
|
|
|
||
Ц.7 |
Безпосередній доступ до інформації будь-яким |
низький |
середній |
|
3 |
|
способом сторонніми особами |
1 |
2 |
|
|||
|
|
|
||||
3. Загрози доступності інформації
№ |
Механізм реалізації |
Рівень |
|
Сума |
|
ризиків |
збитків |
загроз |
|||
|
|
||||
Д.1 |
Помилки (ненавмисні) користувачів ІТС, які призвели |
середній |
середній |
4 |
|
до втрати доступності |
2 |
2 |
|||
|
|
||||
Д.2 |
Помилки (ненавмисні) адміністраторів ІТС, які |
середній |
середній |
4 |
|
призвели до втрати доступності |
2 |
2 |
|||
|
|
||||
Д.3 |
Некоректне налагодження засобів захисту АБ, яке |
середній |
середній |
4 |
|
призвело до втрати доступності |
2 |
2 |
|||
|
|
||||
Д.4 |
Ненавмисне пошкодження парольних носіїв |
середній |
середній |
4 |
|
персоналом ІТС, що призвело до втрати доступності |
2 |
2 |
|||
|
|
||||
Д.5 |
Навмисне пошкодження парольних носіїв персоналом |
середній |
середній |
4 |
|
ІТС, яке призвело до втрати доступності |
2 |
2 |
|||
|
|
||||
Д.6 |
Прояви помилок системного ПЗ, яке призвело до |
середній |
середній |
4 |
|
втрати доступності |
2 |
2 |
|||
|
|
||||
Д.7 |
Безпосередній доступ до ІТС будь-яким способом |
низький |
середній |
3 |
|
сторонніх осіб |
1 |
2 |
|||
|
|
||||
|
4. Загрози спостережності ІТС |
|
|
||
|
|
|
|
|
|
№ |
Механізм реалізації |
Рівень |
|
Сума |
|
ризиків |
збитків |
загроз |
|||
|
|
||||
Н.1 |
Помилки (ненавмисні) персоналу ІТС, які призвели до |
низький |
середній |
3 |
|
втрати спостережності |
1 |
2 |
|||
|
|
||||
Н.2 |
Помилки (ненавмисні) адміністраторів ІТС, які |
середній |
високий |
5 |
|
призвели до втрати спостережності |
2 |
3 |
|||
|
|
||||
|
Некоректне налагодження засобів захисту |
низький |
високий |
|
|
Н.3 |
адміністраторами ІТС, яке призвело до втрати |
4 |
|||
1 |
3 |
||||
|
спостережності |
|
|||
|
|
|
|
||
Н.4 |
Порушення спостережності користувачами ІТС |
середній |
середній |
4 |
|
внаслідок навмисного переповнення протоколів аудиту |
2 |
2 |
|||
|
|
||||
|
Порушення спостереженості внаслідок пошкодження, у |
низький |
високий |
|
|
Н.5 |
тому числі навмисного, поточних протоколів аудиту, |
4 |
|||
1 |
3 |
||||
|
архівів та носіїв з архівами протоколів аудиту |
|
|||
|
|
|
|
||
Н.6 |
Прояви помилок системного ПЗ, яке призвело до |
середній |
високий |
5 |
|
втрати спостережності |
2 |
3 |
|||
|
|
||||
Н.7 |
Безпосередній доступ до ІТС будь-яким способом |
низький |
високий |
4 |
|
сторонніх осіб |
1 |
3 |
|||
|
|
||||
Модель загроз з розрахунком сумарного рівня ризиків та збитків:
№ |
Види загроз |
1 |
2 |
3 |
4 |
5 |
6 |
7 |
Сума |
|
загроз |
||||||||||
|
|
|
|
|
|
|
|
|
||
1 |
конфіденційності |
5 |
4 |
5 |
6 |
5 |
4 |
4 |
33 |
|
2 |
спостережності |
3 |
5 |
4 |
4 |
4 |
5 |
4 |
29 |
|
3 |
доступності |
4 |
4 |
4 |
4 |
4 |
4 |
3 |
27 |
|
4 |
цілісності |
4 |
4 |
4 |
3 |
4 |
4 |
3 |
25 |
Варінт Моделі загроз для розподілених обчислювальних мереж (Матов О.Я.,
Василенко В.С. Модель загроз у розподілених мережах):
№ |
Вид загроз |
Ймовір |
Що по- |
Рівень |
Механізм реалізації |
|
|
-ність |
рушує |
шкоди |
|
Моніторинг (розвідка) мережі |
|
|
|
|
|
|
|
|
|
|
|
1 |
Розвідка, аналіз трафіка |
висока |
к, ц, д |
від- |
Перехоплення інформації, |
|
|
|
|
сутня |
що пересилається, у |
|
|
|
|
|
незашифрованому вигляді |
|
|
|
|
|
в широкомовному |
|
|
|
|
|
середовищі передачі даних, |
|
|
|
|
|
відсутність виділеного |
|
|
|
|
|
каналу зв’язку між |
|
|
|
|
|
об’єктами РОМ |
Несанкціонований доступ до інформаційних ресурсів |
|
||||
|
|
|
|
|
|
1 |
Підміна (імітація) |
висока |
к, ц, д |
серед- |
Фальсифікація (підробка |
|
довіреного об’єкта або |
|
|
ній |
мережних адрес ІР-адреси, |
|
суб’єкта РОМ із підробкою |
|
|
|
повторне відтворення |
|
мережних адрес тих |
|
|
|
повідомлень при |
|
об’єктів, що атакують |
|
|
|
відсутності вір туального |
|
|
|
|
|
каналу, недостатні |
|
|
|
|
|
ідентифікації та |
|
|
|
|
|
автентифікації при |
|
|
|
|
|
наявності віртуального |
|
|
|
|
|
каналу |
2 |
Зміна маршрутизації |
непри- |
к, ц, д |
низь- |
Зміна параметрів |
|
|
пусти- |
|
кий |
маршрутизації й змісту |
|
|
мо |
|
|
інформації, що |
|
|
висока |
|
|
передається, внаслідок |
|
|
|
|
|
відсутності контролю за |
|
|
|
|
|
маршрутом повідомлень чи |
|
|
|
|
|
відсутності фільтрації |
|
|
|
|
|
пакетів із невірною |
|
|
|
|
|
адресою |
3 |
Селекція потоку інформації |
висока |
к, ц, д |
висо- |
Використання недоліків |
|
та збереження її шляхом |
|
|
кий |
алгоритмів віддаленого |
|
впровадження в розподілену |
|
|
|
пошуку |
|
обчислювальну систему |
|
|
|
|
|
хибних об’єктів (атаки типу |
|
|
|
|
|
«людина всередині») |
|
|
|
|
4 |
Подолання систем |
висока |
к, ц, д |
висо- |
Використання недоліків |
|
адміністрування доступом |
|
|
кий |
систем ідентифікації та |
|
до робочих станцій, |
|
|
|
автентифікації, заснованих |
|
локальних мереж і |
|
|
|
на атрибутах користувача |
|
захищеного інформаційного |
|
|
|
(ідентифікатори, паролі, |
|
об’єкта, заснованих на |
|
|
|
біометричні дані та т.ін.). |
|
атрибутах робочих станцій |
|
|
|
Недостатні ідентифікації та |
|
чи засобів управління |
|
|
|
автентифікації об’єктів |
|
доступом і маршрутизації |
|
|
|
РОМ, зокрема, адреси |
|
(маскування) відповідних |
|
|
|
відправника |
|
мереж — (файрволів, проксі- |
|
|
|
|
|
серверів, маршрутизаторів |
|
|
|
|
|
тощо) |
|
|
|
|
Специфічні загрози інформаційним об’єктам
1 |
Подолання криптографічної |
низька |
к |
висо- |
Використання витоків |
|
захищеності інформаційних |
|
|
кий |
технічними каналами, |
|
об’єктів, що перехоплені |
|
|
|
вилучення із мережі |
|
|
|
|
|
специфічних вірусних атак |
|
|
|
|
|
шляхом впровадження |
|
|
|
|
|
програм-шпигунів |
|
|
|
|
|
(spyware) із розкриттям |
|
|
|
|
|
ключових наборів |
2 |
Подолання криптографічної |
низька |
к |
висо- |
Несанкціонований доступ |
|
захищеності інформаційних |
|
|
кий |
до інформаційних об’єктів |
|
об’єктів робочих станцій |
|
|
|
із використанням недоліків |
|
|
|
|
|
систем ідентифікації та |
|
|
|
|
|
автентифікації, заснованих |
|
|
|
|
|
на атрибутах користувача |
|
|
|
|
|
(ідентифікатори, паролі, |
|
|
|
|
|
біометричні дані та т.ін.) із |
|
|
|
|
|
розкриттям ключових |
|
|
|
|
|
наборів |
3 |
Модифікація переданих |
висока |
ц, д |
висо- |
Модифікація чи підміна |
|
даних, даних чи |
|
|
кий |
інформаційних об’єктів |
|
програмного коду, що |
|
|
|
(програмних кодів) чи їхніх |
|
зберігаються в елементах |
|
|
|
частин шляхом |
|
обчислювальних систем |
|
|
|
впровадження руйнуючих |
|
|
|
|
|
програмних засобів чи |
|
|
|
|
|
зміни логіки роботи |
|
|
|
|
|
програмного файлу із |
|
|
|
|
|
використанням |
|
|
|
|
|
спеціальних типів вірусних |
|
|
|
|
|
атак, спроможних |
|
|
|
|
|
здійснити те чи інше |
|
|
|
|
|
порушення цілісності |
4 |
Блокування сервісу чи |
висока |
д |
висо- |
Використання атак типу |
|
перевантаження запитами |
|
|
кий |
«спрямований шторм» (Syn |
|
системи управління |
|
|
|
Flood), передачі на об’єкт, |
|
доступом (відмова в |
|
|
|
що атакується, |
|
обслуговуванні) |
|
|
|
некоректних, спеціально |
|
|
|
|
|
підібраних запитів |
|
|
|
|
|
Використання анонімних |
|
|
|
|
|
(чи із модифікованими |
|
|
|
|
|
адресами) запитів на |
|
|
|
|
|
обслуговування типу |
|
|
|
|
|
електронної пошти (spam) |
|
|
|
|
|
чи вірусних атак |
|
|
|
|
|
спеціального типу |
Контрольні питання:
1.Що повинна визначити Модель загроз для інформації в ІТС?
2.Які можуть бути випадкові загрози суб’єктивної природи?
3.Які можуть бути навмисні загрози суб’єктивної природи?
4.Які складові кожної з загроз необхідно визначити в Моделі?
5.Які можуть бути загрози конфіденційності інформації?
6.Які можуть бути загрози цілісності інформації?
7.Які можуть бути загрози доступності інформації?
8.Які можуть бути загрози спостережності ІТС?
Змістовий модуль 1. Формування вимог до КСЗІ та її завдань
Тема 7. Формування завдань та варіанту побудови КСЗІ
Останній крок 1-го етапу «Формування вимог до КСЗІ в ІТС» складається з таких
робіт:
1.Формування завдання на створення КСЗІ в ІТС.
2.Аналіз ризиків реалізації загроз для інформації в ІТС.
3.Вибір варіанту побудови та складу КСЗІ в ІТС.
4.Оформлення звіту за результатами проведеної роботи.
1. Формування завдання на створення КСЗІ
Під час цього кроку визначаються завдання захисту інформації та відповідні ним напрями забезпечення її захисту, в результаті чого визначається конкретний варіант забезпечення безпеки інформації.
Завданнями захисту інформації можуть бути:
-забезпечення необхідних властивостей інформації (конфіденційності, цілісності, доступності) під час створення та експлуатації ІТС;
-своєчасне виявлення та знешкодження загроз для ресурсів ІТС, причин та умов, які спричиняють (можуть привести до) порушення її функціонування та розвитку;
-створення механізму та умов оперативного реагування на загрози для безпеки інформації, інші прояви негативних тенденцій у функціонуванні ІТС;
-ефективне знешкодження (попередження) загроз для ресурсів ІТС шляхом комплексного впровадження правових, морально-етичних, фізичних, організаційних, технічних та інших заходів забезпечення безпеки;
-керування засобами захисту інформації, керування доступом користувачів до ресурсів ІТС, контроль за їхньою роботою з боку персоналу СЗІ, оперативне сповіщення про спроби НСД до ресурсів ІТС;
-реєстрація, збір, зберігання, обробка даних про всі події в системі, які мають відношення до безпеки інформації;
-створення умов для максимально можливого відшкодування та локалізації збитків, що завдаються неправомірними (несанкціонованими) діями фізичних та юридичних осіб, впливом зовнішнього середовища та іншими чинниками, зменшення негативного впливу наслідків порушення безпеки на функціонування ІТС.
Концепція безпеки інформації розкриває основні напрями забезпечення безпеки інформації. Розроблення концепції здійснюється після вибору варіанту концепції створюваної ІТС і виконується на підставі аналізу таких чинників:
-правових і (або) договірних засад;
-вимог до забезпечення безпеки інформації згідно з завданнями і функціями ІТС;
-загроз, яким зазнають впливу ресурси ІТС, що підлягають захисту.
За результатами аналізу мають бути сформульовані загальні положення безпеки, які стосуються або впливають на технологію обробки інформації в ІТС:
-мета і пріоритети, яких необхідно дотримуватись в ІТС під час забезпечення безпеки інформації;
-загальні напрями діяльності, необхідні для досягнення цієї мети;
-аспекти діяльності у галузі безпеки інформації, які повинні вирішуватися на рівні організації в цілому;
-відповідальність посадових осіб та інших суб’єктів взаємовідносин в ІТС, їхні права і обов'язки щодо реалізації завдань безпеки інформації.
Вибір основних рішень щодо забезпечення безпеки інформації розглядається на 3-х рівнях:
-правовому;
-організаційному;
-технічному.
На правовому рівні повинні бути вироблені підходи щодо:
-підтримки керівництвом організації заходів з забезпечення безпеки інформації в ІТС, виконання правових вимог з захисту інформації, визначення відповідальності посадових осіб, організаційної структури, комплектування і розподілу обов'язків співробітників СЗІ;
-процедур доведення до персоналу і користувачів ІТС основних положень політики безпеки інформації, їхнього навчання і підвищення кваліфікації з питань безпеки інформації;
-системи контролю за своєчасністю, ефективністю і повнотою реалізації в ІТС рішень з захисту інформації, дотриманням персоналом і користувачами положень політики безпеки.
На організаційному рівні повинні бути вироблені підходи щодо:
-застосування режимних заходів на об’єктах ІТС;
-забезпечення фізичного захисту обладнання ІТС, носіїв інформації, інших ресурсів;
-порядку виконання робіт з захисту інформації, взаємодії з цих питань з іншими суб’єктами системи ТЗІ в Україні;
-виконання робіт з модернізації ІТС (окремих компонентів);
-регламентації доступу сторонніх користувачів до ресурсів ІТС;
-регламентації доступу власних користувачів і персоналу до ресурсів ІТС;
-здійснення профілактичних заходів (наприклад, попередження ненавмисних дій, що призводять до порушення політики безпеки, попередження появи вірусів тощо);
-реалізації окремих положень політики безпеки, найбільш критичних з точки зору забезпечення захисту аспектів (наприклад, організація віддаленого доступу до ІТС, використання мереж передачі даних загального користування, зокрема Интернет тощо).
На технічному рівні повинні бути вироблені підходи щодо застосування технічних і програмно-технічних засобів, які реалізують задані вимоги з захисту інформації. Під час розгляду різних варіантів реалізації рекомендується враховувати наступні аспекти:
-інженерно-технічне обладнання приміщень, в яких розміщуються компоненти ІТС;
-реєстрація санкціонованих користувачів ІТС, авторизація користувачів в системі;
-керування доступом до інформації і механізмів, що реалізують послуги безпеки, включаючи вимоги до розподілу ролей користувачів і адміністраторів;
-виявлення та реєстрація небезпечних подій з метою здійснення повсякденного контролю;
-перевірка і забезпечення цілісності критичних даних на всіх стадіях їхньої обробки в
ІТС;
-забезпечення конфіденційності інформації, у тому числі використання криптографічних засобів;
-резервне копіювання критичних даних, супроводження архівів даних і ПЗ;
-відновлення роботи ІТС після збоїв, відмов, особливо для систем із підвищеними вимогами до доступності інформації;
-захист ПЗ, окремих компонентів і ІТС в цілому від внесення несанкціонованих доповнень і змін;
-забезпечення функціонування засобів контролю.
2. Аналіз ризиків реалізації загроз
Під час цього кроку здійснюється аналіз ризиків, який передбачає вивчення моделей загроз і порушників, можливих наслідків від реалізації потенційних загроз (рівня можливої заподіяної ними шкоди) і визначається перелік суттєвих загроз для ІТС.
Аналіз ризиків полягає в моделюванні картини появи несприятливих умов за допомогою обліку всіх можливих чинників, що визначають ризик, які можна назвати вхідними параметрами:
-активи - ключові компоненти інфраструктури ІТС, що залучені в технологічний процес
імають певну цінність;
-вразливості - слабкість в засобах захисту, викликана помилками або недосконалістю в процедурах, проекті, реалізації, яка може бути використана для проникнення в ІТС;
-загроза, реалізація якої можлива за допомогою використання вразливості;
-збиток, який оцінюється з урахуванням витрат на відновлення ІТС після можливого інциденту інформаційної безпеки.
Процес аналізу ризиків включає:
-оцінку можливих втрат з-за успішно проведених атак на ІТС;
-оцінку вірогідності виявлення вразливостей системи, що впливає на оцінку можливих
втрат;
-вибір оптимальних за витратами заходів і засобів захисту, які скорочують ризик до прийнятного рівня.
З метою підвищення ефективності аналізу ризиків він проводиться по різних напрямах:
-для об'єктів ІТС;
-для процесів, процедур і програм обробки інформації;
-для каналів зв'язку;
-для побічних електромагнітних випромінювань і наведень;
-для механізмів керування системою захисту.
Керування ризиками – це процес, що складається в послідовному виконанні з 3-х основних етапів:
-визначення ризиків в незахищеній ІТС;
-застосування засобів захисту для скорочення ризиків;
-оцінка залишкових ризиків.
Витрати на КСЗІ необхідно співвіднести з цінністю інформаційних ресурсів, які піддаються ризику, а також зі збитком, який може бути нанесений організації в результаті реалізації загроз. По завершенні аналізу уточнюються допустимі залишкові ризики та витрати на заходи, пов'язані з захистом інформації.
На даний час процес керування ризиками описує міжнародний стандарт ISO/IEC 270052011 «Інформаційна технологія. Методи забезпечення безпеки. Керування ризиками інформаційної безпеки».
Згідно вимог цього стандарту на етапі планування складається з 4-х кроків:
1)визначення критеріїв;
2)аналіз ризиків;
3)обробка ризиків;
4)прийняття ризиків.
Кінцевою метою керування ризиком є мінімізація ризику. Мета мінімізації ризику полягає в тому, щоб застосувати ефективні заходи захисту таким чином, щоб залишковий ризик в ІТС став прийнятний. Мінімізація ризику складається з трьох частин: визначення тих областей, де ризик неприпустимо великий; вибору найбільш ефективних засобів захисту; оцінювання заходів захисту і визначення, чи прийнятний залишковий ризик в ІТС. Дамо коротку характеристику кроків керування ризиком.
2.1. Визначення критеріїв
На цьому етапі використовуються дані обстеження всіх середовищ ІТС з метою визначення того, які інформаційні та технічні ресурси зі складу ІТС і з якою детальністю повинні розглядатися в процесі керування ризиком. Крім того, необхідно розробити критерії оцінки ризиків, впливу на активи та прийняття ризиків.
Критерії оцінки ризику повинні розроблятися, враховуючи наступне:
-стратегічна цінність обробки інформації;
-критичність інформаційних активів;
-нормативно-правові вимоги та договірні зобов'язання;
-важливість доступності, конфіденційності та цілісності інформації.
Крім того, критерії оцінки ризиків можуть використовуватися для визначення пріоритетів для обробки ризиків.
Критерії впливу повинні розроблятися, виходячи з міри збитку, враховуючи наступне:
-цінність інформаційного активу, на який виявлений вплив;
-порушення властивості інформації (втрата конфіденційності, цілісності або доступності);
-погіршення бізнес-операції;
-втрата цінності бізнесу та фінансової цінності;
-порушення планів і кінцевих термінів;
-збиток для репутації;
-порушення нормативно-правових вимог або договірних зобов'язань. Критерії прийняття ризику повинні встановлюватися з урахуванням:
-критеріїв якості бізнес-процесів;
-нормативно-правових і договірних аспектів;
-операцій;
-технологій;
-фінансів;
-соціальних і гуманітарних чинників.
При розробці критеріїв прийняття ризику слід враховувати, що вони можуть:
-включати багато порогових значень з бажаним рівнем ризику, але за умови, що при певних обставинах керівництво прийматиме риски, що знаходяться вище вказаного рівня;
-визначатися як кількісне співвідношення оціненої вигоди до оціненого ризику для
бізнесу;
-включати вимоги для майбутньої додаткової обробки, наприклад, ризик може бути прийнятий, якщо є згода на дії щодо його зниження до прийнятного рівня у рамках певного періоду часу.
2.2. Аналіз ризиків складається з наступних заходів:
-ідентифікація ризиків;
-вимір ризиків;
-оцінювання ризиків.
2.2.1. Ідентифікація ризиків
Метою ідентифікації ризику є визначення випадків нанесення потенційної шкоди та отримання уявлень про те, як, де і чому могла статися ця шкода. Для цього необхідно виконати ідентифікацію наявних засобів захисту, вразливостей і можливих наслідків реалізації загроз.
Ідентифікація ризиків складається з наступних заходів:
-ідентифікація об’єктів і засобів захисту;
-ідентифікація вразливостей системи;
-ідентифікація наслідків реалізації загроз.
Ідентифікація об’єктів і засобів захисту
Ідентифікація усіх наявних засобів захисту має бути зроблена для того, щоб уникнути їх
дублювання або непотрібної роботи. Одночасно слід провести перевірку справності і правильності функціонування засобів захисту.
Будь-який дефект засобів захисту може стати причиною вразливості. Одним із способів кількісно оцінити дії засобу захисту - подивитися, як він зменшує вірогідність загрози та використання вразливості.
Наявний або запланований засіб захисту можна ідентифікувати як неефективний, недостатній або необгрунтований. Якщо його визнали необгрунтованим або недостатнім, необхідно визначити, чи потрібно засіб захисту вилучити, замінити ефективнішим або залишити без змін, наприклад, із-за нестачі грошей на новий.
Ідентифікація вразливостей системи
Необхідно ідентифікувати всі вразливості, які можуть бути використані потенційними загрозами для нанесення збитку. Навіть та вразливість, яка не відповідає ніякій загрозі і тому не вимагає засобів захисту, повинна знаходитися під контролем на предмет можливих змін.
Зрозуміло, що аналіз загроз повинен розглядатися у тісному зв'язку з уразливостями ІТС. Завданням даного етапу управління ризиками є складання переліку можливих уразливостей системи і класифікація цих уразливостей з урахуванням їх «сили».
Градацію вразливостей можна розбити по таких рівнях:
-високий;
-середній;
-низький.
Джерелами складання такого переліку уразливостей можуть стати:
-загальнодоступні, регулярно друковані списки уразливостей ;
-списки уразливостей, що друкуються виробниками ПЗ;
-результати тестів на проникнення (проводяться адміністратором безпеки);
-аналіз звітів сканерів уразливостей (проводяться адміністратором безпеки). У загальному випадку уразливості можна класифікувати таким чином:
-уразливості ОС і ПЗ (помилки коди), виявлені виробником або незалежними експертами;
-уразливості системи, пов'язані з помилками в адмініструванні (наприклад, незакриті міжмережевим екраном порти з уразливими сервісами, загальнодоступні незаблоковані мережеві ресурси тощо);
-уразливості, джерелами яких можуть стати інциденти, не передбачені політикою безпеки, а також події стихійного характеру.
Як яскравий приклад поширеної уразливості ОС і ПЗ можна привести переповнювання буфера. До речі, абсолютну більшість з нині існуючих шкідливих програм реалізують клас уразливостей на переповнювання буфера.
Ідентифікація наслідків реалізації загроз
Мають бути ідентифіковані усі можливі наслідки реалізації загроз. Наслідком може бути втрата інформації, ресурсів ІТС, несприятливі операційні умови, втрата бізнесу, збиток, нанесений репутації тощо. Наслідки можуть бути тимчасовими або постійними, як у разі руйнування активів.
2.2.2. Вимір ризиків
Вимір ризиків складається з наступних заходів:
-розробка методології виміру ризиків;
-оцінка наслідків реалізації загроз;
-оцінка вірогідності ризиків;
-вимір рівня ризиків.
Розробка методології виміру ризиків
Методологія виміру ризиків може бути якісною або кількісною, або їх комбінацією, залежно від обставин. На практиці якісна оцінка часто використовується першою для отримання загальних відомостей про рівень ризиків і виявлення їх основних значень. Надалі може виникнути необхідність в здійсненні кількісного аналізу значень ризиків, оскільки він є швидшим і менш витратним.
Якісна оцінка - використовує шкалу кваліфікації атрибутів для опису величини можливих наслідків (наприклад, низький, середній і високий) і вірогідності виникнення цих наслідків. Перевага якісної оцінки полягає в простоті її розуміння усім персоналом, а недоліком є залежність від суб'єктивного підходу.
Кількісна оцінка - використовує шкалу з числовими значеннями наслідків і вірогідностей з урахуванням отримання даних з різних джерел. Якість аналізу залежить від точності та повноти числових значень і обгрунтованості використовуваних моделей. У більшості випадків кількісна оцінка використовує фактичні дані за минулий період, забезпечуючи перевагу в тому, що вона може бути безпосередньо пов'язана з цілями захисту інформації і проблемами організації.
При розробці методології виміру ризику використовуються методи системного аналізу, в результаті виходять оцінки гранично допустимого та реального ризику здійснення загроз протягом деякого часу.
Оцінка наслідків реалізації загроз
Оцінці наслідків реалізації загроз повинне передувати визначення цінності ресурсів ІТС. У свою чергу, визначення цінності ресурсів ІТС розпочинається з їх класифікації залежно від первинної вартості та важливості для бізнес-цілей організації. Потім визначається відновлювальна вартість ресурсів ІТС з урахуванням вартості:
-відновлення та заміни ресурсів;
-бізнес-втрат або компрометації ресурсів.