CC BY
99
Васильева О.В. ©
Аспирант, кафедра мониторинга и прогнозирования информационных угроз, Санкт-Петербургский национальный исследовательский университет информационных
технологий механики и оптики
НЕОБХОДИМЫЕ ЭТАПЫ ДЕТАЛЬНОГО АНАЛИЗА РИСКОВ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
Аннотация
В статье приводится детальный анализ рисков информационной безопасности с использованием формального подхода ко всем системам информационных технологий.
Ключевые слова: информационная безопасность, анализ риска, оценка риска Keywords: Information Security, Analysis risk, Assessing risk
Для анализа рисков используются различные методы, начиная с подходов, основывающихся на перечне контрольных операций, и заканчивая методами, основанными на структурном анализе системы. При этом они используются как автоматизированными (компьютерными) программами, так и для расчетов вручную.
Методы или программы, используемые организацией, должны содержать следующие операции:
- Установление границ рассмотрения;
- Идентификация активов;
- Оценка активов и установление зависимости между активами;
- Оценка угроз;
- Оценка уязвимостей;
- Идентификация существующих/планируемых защитных мер безопасности;
- Оценка рисков.
Необходимо отметить, что используемые методы не должны противоречить практике ведения дел, сложившейся в организации.
Рассмотрим операции, необходимые для детального анализа риска информационной безопасности.
1. Установление границ рассмотрения.
Установление границ рассмотрения, необходимо для того, чтобы избежать ненужные операции и повысить качество анализа риска информационной безопасности, тщательно определить, какие из перечисленных ниже ресурсов должны быть учтены при рассмотрении результатов анализа риска. Для конкретной системы информационных технологий учитывают:
- Активы информационных технологий (например, аппаратные средства, информационное обеспечение, информация);
- Служащих (например, персонал организации, субподрядчики, персонал сторонних организаций);
- Условия осуществления производственной деятельности (например, здания, оборудование);
- Деловую деятельность (операции).
2. Идентификация активов.
При идентификации активов необходимо учитывать, что любая система информационных технологий включает в себя не только аппаратные средства и программное обеспечение, но и оборудование для обеспечения связи, данные,
© Васильева О.В., 2012 г.
программно-аппаратные средства, документы, продукцию организации, услуги, фонды, конфиденциальность и доверие при оказании услуг, оборудование, обеспечивающее необходимые условия работы организации.
3. Оценка активов и установление зависимости между активами.
Основным фактором в определении риска является идентификация и оценка активов, проведенные на основе учета деловых интересов организации.
Наиболее рациональной является качественная оценка ценности информационного актива со стороны владельца. Качественная шкала оценки может использовать такие слова, как «незначительный», «низкий», «средний», «высокий», «критический», под которыми подразумевается определенный интервал количественной шкалы оценки. Каждая организация устанавливает собственные границы ущербов, определяемых как "незначительные" и "критичные" или может выдвинуть собственные критерии оценки, исходя из важности конкретных проблем для своей деятельности.
Следует также выявить виды зависимости одних активов от других, поскольку наличие таких видов зависимостей может оказать влияние на оценку активов.
4.Оценка угроз.
Угрозы могут иметь природное или техногенное происхождение, могут быть случайными или преднамеренными. Типовые перечни угроз приведены в приложениях к стандартам ISO 27005, BS 7799-3 и РС БР ИББС 2.2.
Исходные данные для оценки угроз следует получать от владельцев или пользователей активов, служащих отделов кадров, специалистов по разработке оборудования и информационным технологиям, а также лиц, отвечающих за реализацию защитных мер в организации.
Обязательно при анализе угроз нужно учитывать:
- Частоту появления угрозы (как часто она может возникать согласно статистическим, опытным и другим данным);
- Мотивацию, возможности и ресурсы, необходимые потенциальному нарушителю и, возможно, имеющиеся в его распоряжении;
- географические факторы (наличие поблизости химических или нефтеперерабатывающих предприятий, возможность возникновения экстремальных погодных условий), а также факторов, которые могут вызвать ошибки у персонала (выход из строя оборудования) и послужить причиной реализации случайной угрозы.
После завершения оценки угроз составляют перечень идентифицированных угроз, активов или групп активов, подверженных этим угрозам, а также определяют степень вероятности реализации угроз с разбивкой на группы высокой, средней и низкой вероятности.
5. Оценка уязвимости.
В процессе оценки уязвимости происходит идентификация уязвимостей, в которых могут быть реализованы возможные угрозы, а также оценка вероятного уровня слабости (легкость реализации угрозы).
Важно оценить, насколько велика степень уязвимости или насколько легко ее можно использовать. Степень уязвимости следует оценивать по отношению к каждой угрозе, которая может использовать эту уязвимость в конкретной ситуации.
После завершения оценки уязвимостей должен быть составлен перечень уязвимостей и проведена оценка степени вероятности возможной реализации отмеченных уязвимостей, например "высокая", "средняя" или "низкая".
6. Идентификация существующих/планируемых защитных мер.
Использование идентифицированных, после рассмотрения результатов анализа
риска информационной безопасности, защитных мер должно проводиться с учетом уже существующих или планируемых защитных мер. Необходимо убедиться, что
использованные раннее способы обеспечения информационной безопасности удовлетворяют используемым на данный момент требованиям и являются совместимыми.
7. Оценка рисков
Величина риска определяется ценностью подвергающихся риску активов, вероятностью реализации угроз, способных оказать негативное воздействие на деловую активность.
Существует ряд подходов к измерению рисков, наиболее распространенные:
Оценка по двум факторам:
РИСК = P происшествия * ЦЕНА ПОТЕРИ;
Оценка по трем факторам:
РИСК = P угрозы * Р уязвимости * ЦЕНА ПОТЕРИ; (переменные являются количественными величинами)
Однако, вне зависимости от использованного способа оценки измерения риска результатом оценки прежде всего должно стать составление перечня оцененных рисков для каждого возможного случая раскрытия, изменения, ограничения доступности и разрушения информации в рассматриваемой системе информационных технологий. Составленный перечень оцененных рисков затем используют при идентификации рисков, на которые следует обращать внимание в первую очередь при выборе защитных мер. Метод оценки рисков должен быть повторяемым и прослеживаемым.
Литература
1. Управление информационными рисками. Экономически оправданная безопасность / Петренко С. А., Симонов С. В. - М.: Компания АйТи ; ДМК Пресс, 2004. -384 с.: ил. - (Информационные технологии для инженеров).
2. Национальный стандарт Российской Федерации. Методы и средства обеспечения безопасности. ГОСТ Р ИСО/МЭК ТО 13335-3-2007 .
3. Microsoft Solutions for Security and Compliance and Microsoft Security Center of Excellence. 2006 Microsoft Corporation.
4. Национальный стандарт Российской Федерации. Практические правила управления информационной безопасностью. ГОСТ Р ИСО/МЭК 17799-2005.
