ВУЗ: Не указан
Категория: Не указан
Дисциплина: Не указана
Добавлен: 08.11.2023
Просмотров: 300
Скачиваний: 4
ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.
4.4.3. Методика управления рисками, предлагаемая Майкрософт
Ниже представлено краткое описание подхода к управлению рис- ками, предлагаемого корпорацией Майкрософт. Данное описание бази- руется на материалах «Руководства по управлению рисками» [20].
Управление рисками рассматривается как одна из составляющих общей программы управления, предназначенной для руководства компаний и позволяющей контролировать ведение бизнеса и прини- мать обоснованные решения.
153
Рис. 4.7. Процесс управления рисками безопасности, предлагаемый корпорацией Майкрософт
Процесс управления рисками безопасности, предлагаемый
Майкрософт, включает следующие четыре этапа (рис. 4.7):
Этап «оценка рисков» включает в себя следующие мероприятия:
- планирование сбора данных: обсуждение основных условий успешной реализации и подготовка рекомендаций;
- cбор данных о рисках: описание процесса сбора и анализа дан- ных;
- выделение наиболее приоритетных рисков: подробное описание шагов по качественной и количественной оценке рисков.
Этап «поддержка принятия решений»:
- определение функциональных требований: определение функци- ональных требований для снижения рисков;
- выбор возможных решений для контроля: описание подхода к выбору решений по нейтрализации риска;
- экспертиза решения: проверка предложенных элементов кон- троля на соответствие функциональным требованиям;
- оценка снижения риска: оценка снижения подверженности воз- действию или вероятности рисков;
- оценка стоимости решения: оценка прямых и косвенных затрат, связанных с решениями по нейтрализации риска;
154
- выбор стратегии нейтрализации риска: определение наиболее экономически эффективного решения по нейтрализации риска путем анализа соотношения затрат и получаемого результата.
Этап «реализация контроля» включает мероприятия по разверты- ванию и использованию решений для контроля (например, внедрение новых средств защиты), снижающих риск для организации:
- поиск целостного подхода: включение персонала, процессов и технологий в решение по нейтрализации риска.
- организация по принципу многоуровневой защиты: упорядочение решений по нейтрализации риска в рамках предприятия.
Этап «оценка эффективности программы» предполагает прове- дение анализа эффективности процесса управления рисками и провер- ки того, обеспечивают ли элементы контроля надлежащий уровень безопасности:
- разработка системы показателей рисков: оценка уровня и изме- нения риска.
- оценка эффективности программы: оценка программы управле- ния рисками для выявления возможностей усовершенствования.
В руководстве [20] особо отмечается, что термины «управление рисками» и «оценка рисков» не являются взаимозаменяемыми. Под управлением рисками понимаются общие мероприятия по снижению риска в рамках организации до приемлемого уровня. Управление рис- ками представляет собой непрерывный процесс, но производимые оценки чаще всего делаются для годичного интервала. Под оценкой рисков понимается процесс выявления и приоритизации рисков для бизнеса, являющийся составной частью управления рисками.
При описании риска делается указание на то, какое влияние он оказывает на бизнес, и насколько вероятно данное событие. Компо- ненты, описывающие риск, изображены на рис. 4.8.
На начальном этапе проведения оценки рискам присваиваются значения в соответствии со шкалой: «высокий», «средний» и «низ-
155 кий». После этого для выявленных наиболее существенных рисков проводится количественная оценка.
Рис. 4.8. Компоненты «полной формулировки» риска
Подробно предлагаемая Майкрософт методика оценки рисков будет рассмотрена в разделе 4.5.5. Перед внедрением в организации процесса управления рисками безопасности необходимо проверить
«уровень зрелости» организации (табл. 4.1).
Организациям, в которых отсутствуют формальные политики или процессы, относящиеся к управлению рисками безопасности, бу- дет очень трудно сразу внедрить все аспекты рассматриваемого про- цесса. Если окажется, что уровень зрелости является достаточно низ- ким, рассматриваемый процесс можно внедрять последовательными этапами на протяжении нескольких месяцев (например, начав с пи- лотного проекта в отдельном подразделении). Продемонстрировав эффективность процесса управления рисками безопасности на приме- ре пилотного проекта, группа управления рисками безопасности мо- жет перейти к внедрению данного процесса в других подразделениях, постепенно охватывая всю организацию.
156
Т а б л и ц а 4 . 1
Уровни зрелости управления рисками безопасности
Уровень Состояние
Определение
0
Отсутству- ет
Политика или процесс не документированы. Ра- нее организация не знала о деловых рисках, свя- занных с управлением рисками, и не рассматри- вала данный вопрос
1
Узкоспе- циализиро- ванный
Некоторые члены организации признают значи- мость управления рисками, однако операции по управлению рисками являются узкоспециализи- рованными. Политики и процессы в организации не документированы, процессы не являются пол- ностью повторяемыми. В результате проекты по управлению рисками являются хаотичными и не- координируемыми, а получаемые результаты не измеряются и не подвергаются аудиту
2
Повторяе- мый
Организации известно об управлении рисками.
Процесс управления рисками является повторяе- мым, но развит слабо. Процесс документирован не полностью, однако соответствующие опера- ции выполняются регулярно, и организация стремится внедрить всеобъемлющий процесс управления рисками с привлечением высшего руководства. В организации не проводится фор- мальное обучение и информирование по управ- лению рисками; ответственность за выполнение соответствующих мероприятий возложена на от- дельных сотрудников
3
Наличие определен- ного про- цесса
Организация приняла формальное решение об интенсивном внедрении управления рисками для управления программой защиты информа- ции. В организации разработан базовый процесс с четко определенными целями и документиро- ванными процессами достижения и оценки ре- зультатов. Проводится обучение всего персонала основам управления рисками. Организация ак- тивно внедряет документированные процессы управления рисками
157
Окончание табл. 4.1
Уровень Состояние
Определение
4
Управляе- мый
На всех уровнях организации имеется глубокое понимание управления рисками. В организации существуют процедура управления рисками и четко определенный процесс, широко распро- странена информация об управлении рисками, доступно подробное обучение, существуют начальные формы измерений показателей эффек- тивности. Программе управления рисками выде- лен достаточный объем ресурсов, результаты управления рисками оказывают положительное влияние на работу многих подразделений органи- зации, а группа управления рисками безопасно- сти может постоянно совершенствовать свои процессы и средства. В организации используют- ся некоторые технологические средства, помога- ющие в управлении рисками, однако большая часть (если не подавляющее большинство) про- цедур оценки рисков, определения элементов контроля и анализа выгод и затрат выполняется вручную
5
Оптимизи- рованный
Организация выделила на управление рисками безопасности значительные ресурсы, а сотрудни- ки пытаются прогнозировать, какие проблемы могут встретиться в течение следующих месяцев и лет, и каким образом их нужно будет решать.
Процесс управления рисками глубоко изучен и в значительной степени автоматизирован путем применения различных средств (разработанных в организации или приобретенных у сторонних разработчиков). При возникновении проблем в системе безопасности выявляется основная при- чина возникшей проблемы, и предпринимаются необходимые действия для снижения риска ее повторного возникновения. Сотрудники органи- зации могут проходить обучение, обеспечиваю- щее различные уровни подготовки
158
4.5. МЕТОДИКИ И ПРОГРАММНЫЕ
ПРОДУКТЫ ДЛЯ ОЦЕНКИ РИСКОВ
В данном разделе будут приведены краткие описания ряда рас- пространенных методик анализа рисков. Их можно разделить на:
- методики, использующие оценку риска на качественном уровне
(например, по шкале «высокий», «средний», «низкий»). К таким методикам, в частности, относится FRAP;
- количественные методики (риск оценивается через числовое зна- чение, например размер ожидаемых годовых потерь). К этому классу относится методика RiskWatch;
- методики, использующие смешанные оценки (такой подход ис- пользуется в CRAMM, методике Майкрософт и т. д.).
4.5.1. Методика CRAMM
Это одна из первых методик анализа рисков в сфере ИБ — рабо- та над ней была начата в середине 80-х гг. центральным агентством по компьютерам и телекоммуникациям (CCTA) Великобритании.
В основе метода CRAMM лежит комплексный подход к оценке рисков, сочетающий количественные и качественные методы анализа.
Метод является универсальным и подходит как для крупных, так и для малых организаций, как правительственного, так и коммерческого сектора. Версии программного обеспечения CRAMM, ориентирован- ные на разные типы организаций, отличаются друг от друга своими базами знаний (авторами методики они называются профилями, англ.
«profiles»). Для коммерческих организаций имеется Коммерческий профиль (Commercial Profile), для правительственных организаций —
Правительственный профиль (Government profile). Правительствен- ный вариант профиля также позволяет проводить аудит на соответ- ствие требованиям американского стандарта ITSEC («Оранжевая кни- га»).
Исследование ИБ системы с помощью СRAMM проводится в три стадии [21, 22, 23].
159
На первой стадии анализируется все, что касается идентифика- ции и определения ценности ресурсов системы. Она начинается с ре- шения задачи определения границ исследуемой системы: собираются сведения о конфигурации системы и о том, кто отвечает за физиче- ские и программные ресурсы, кто входит в число пользователей си- стемы, как они ее применяют или будут применять.
Проводится идентификация ресурсов: физических, программ- ных и информационных, содержащихся внутри границ системы. Каж- дый ресурс необходимо отнести к одному из предопределенных клас- сов. Затем строится модель информационной системы с позиции ИБ.
Для каждого информационного процесса, имеющего, по мнению пользователя, самостоятельное значение и называемого пользователь- ским сервисом, строится дерево связей используемых ресурсов. По- строенная модель позволяет выделить критичные элементы.
Ценность физических ресурсов в CRAMM определяется стои- мостью их восстановления в случае разрушения.
Ценность данных и программного обеспечения определяется в следующих ситуациях:
- недоступность ресурса в течение определенного периода време- ни;
- разрушение ресурса — потеря информации, полученной со вре- мени последнего резервного копирования, или ее полное разру- шение;
- нарушение конфиденциальности в случаях несанкционированно- го доступа штатных сотрудников или посторонних лиц;
- модификация — рассматривается для случаев мелких ошибок персонала (ошибки ввода), программных ошибок, преднамерен- ных ошибок;
- ошибки, связанные с передачей информации: отказ от доставки, недоставка информации, доставка по неверному адресу.
Для оценки возможного ущерба CRAMM рекомендует исполь- зовать следующие параметры:
160
- ущерб репутации организации;
- нарушение действующего законодательства;
- ущерб для здоровья персонала;
- ущерб, связанный с разглашением персональных данных отдель- ных лиц;
- финансовые потери от разглашения информации;
- финансовые потери, связанные с восстановлением ресурсов;
- потери, связанные с невозможностью выполнения обязательств;
- дезорганизация деятельности.
Для данных и программного обеспечения выбираются приме- нимые к данной ИС критерии, дается оценка ущерба по шкале со зна- чениями от 1 до 10.
В описаниях CRAMM в качестве примера приводится в [21] та- кая шкала оценки по критерию «Финансовые потери, связанные с восстановлением ресурсов»:
- 2 балла — менее $ 1000;
- 6 баллов — от $ 1000 до $ 10 000;
- 8 баллов — от $ 10 000 до $ 100 000;
- 10 баллов — свыше $ 100 000.
При низкой оценке по всем используемым критериям (3 балла и ниже) считается, что рассматриваемая система требует базового уровня защиты (для этого уровня не требуется подробной оценки угроз ИБ) и вторая стадия исследования пропускается.
На второй стадии анализа рассматривается все, что относится к идентификации и оценке уровней угроз для групп ресурсов и их уяз- вимостей. В конце стадии заказчик получает идентифицированные и оцененные уровни рисков для своей системы. На этой стадии оцени- ваются зависимость пользовательских сервисов от определенных групп ресурсов и существующий уровень угроз и уязвимостей, вы- числяются уровни рисков и анализируются результаты.
Ресурсы группируются по типам угроз и уязвимостей. Напри- мер, в случае существования угрозы пожара или кражи в качестве
161 группы ресурсов разумно рассмотреть все ресурсы, находящиеся в одном месте (серверный зал, комната средств связи и т. д.). Оценка уровней угроз и уязвимостей производится на основе исследования косвенных факторов.
Программное обеспечение CRAMM для каждой группы ресур- сов и каждого из 36 типов угроз генерирует список вопросов, допус- кающих однозначный ответ. Уровень угроз оценивается, в зависимо- сти от ответов, как очень высокий, высокий, средний, низкий и очень низкий. Уровень уязвимости оценивается, в зависимости от ответов, как высокий, средний и низкий.
На основе этой информации рассчитываются уровни рисков в дискретной шкале с градациями от 1 до 7. Полученные уровни угроз, уязвимостей и рисков анализируются и согласовываются с заказчи- ком.
CRAMM объединяет угрозы и уязвимости в матрице риска. Рас- смотрим, как получается эта матрица, и что каждый из уровней риска означает.
Т а б л и ц а 4 . 2
Шкала оценки уровней угрозы (частота возникновения)
Описание
Значение инцидент происходит в среднем не чаще, чем каж- дые 10 лет очень низкий
(very low) инцидент происходит в среднем один раз в 3 года низкий (low) инцидент происходит в среднем раз в год средний (medium) инцидент происходит в среднем один раз в четыре месяца высокий (high) инцидент происходит в среднем раз в месяц очень высокий
(very high)
Основной подход для решения этой проблемы состоит в рас- смотрении [12]:
- уровня угрозы (шкала приведена в табл. 4.2);
- уровня уязвимости (шкала приведена в табл. 4.3);
162
- размера ожидаемых финансовых потерь (пример приведен в табл. 4.4).
Т а б л и ц а 4 . 3
Шкала оценки уровня уязвимости
(вероятность успешной реализации угрозы)
Описание
Значение
В случае возникновения инцидента, вероятность развития событий по наихудшему сценарию мень- ше 0,33 низкий (low)
В случае возникновения инцидента, вероятность развития событий по наихудшему сценарию от
0,33 до 0,66 средний (medium)
В случае возникновения инцидента, вероятность развития событий по наихудшему сценарию выше
0,66 высокий (high)
Т а б л и ц а 4 . 4
Матрица ожидаемых годовых потерь
0,1
0,1
0,1
0,34
0,34
0,34
1
1
1
3,33
3,33
3,33
10
10
10
0,1
0,5
1
0,1
0,5
1
0,1
0,5
1
0,1
0,5
1
0,1 0,5 1
1
1000
10 50
…
10 4
2
10000
100
…
…
3
30000
3×10 2
4
10
5
10 3
5
3×10
5
3×10 3
6
10
6
10 4
7
3×10
6
3×10 4
8
10
7
10 5
9
3×10
7
3×10 5
10
10
8
10 6
10 9
Исходя из оценок стоимости ресурсов защищаемой ИС, оценок угроз и уязвимостей, определяются «ожидаемые годовые потери». В табл. 4.4 приведен пример матрицы оценки ожидаемый потерь [24]. В ней второй столбец слева содержит значения стоимости ресурса, верхняя строка заголовка таблицы — оценку частоты возникновения угрозы в течение года (уровня угрозы), нижняя строка заголовка — оценку вероятности успеха реализации угрозы (уровня уязвимости).
Результат получается путем перемножения указанных оценок.
Ниже представлено краткое описание подхода к управлению рис- ками, предлагаемого корпорацией Майкрософт. Данное описание бази- руется на материалах «Руководства по управлению рисками» [20].
Управление рисками рассматривается как одна из составляющих общей программы управления, предназначенной для руководства компаний и позволяющей контролировать ведение бизнеса и прини- мать обоснованные решения.
153
Рис. 4.7. Процесс управления рисками безопасности, предлагаемый корпорацией Майкрософт
Процесс управления рисками безопасности, предлагаемый
Майкрософт, включает следующие четыре этапа (рис. 4.7):
Этап «оценка рисков» включает в себя следующие мероприятия:
- планирование сбора данных: обсуждение основных условий успешной реализации и подготовка рекомендаций;
- cбор данных о рисках: описание процесса сбора и анализа дан- ных;
- выделение наиболее приоритетных рисков: подробное описание шагов по качественной и количественной оценке рисков.
Этап «поддержка принятия решений»:
- определение функциональных требований: определение функци- ональных требований для снижения рисков;
- выбор возможных решений для контроля: описание подхода к выбору решений по нейтрализации риска;
- экспертиза решения: проверка предложенных элементов кон- троля на соответствие функциональным требованиям;
- оценка снижения риска: оценка снижения подверженности воз- действию или вероятности рисков;
- оценка стоимости решения: оценка прямых и косвенных затрат, связанных с решениями по нейтрализации риска;
154
- выбор стратегии нейтрализации риска: определение наиболее экономически эффективного решения по нейтрализации риска путем анализа соотношения затрат и получаемого результата.
Этап «реализация контроля» включает мероприятия по разверты- ванию и использованию решений для контроля (например, внедрение новых средств защиты), снижающих риск для организации:
- поиск целостного подхода: включение персонала, процессов и технологий в решение по нейтрализации риска.
- организация по принципу многоуровневой защиты: упорядочение решений по нейтрализации риска в рамках предприятия.
Этап «оценка эффективности программы» предполагает прове- дение анализа эффективности процесса управления рисками и провер- ки того, обеспечивают ли элементы контроля надлежащий уровень безопасности:
- разработка системы показателей рисков: оценка уровня и изме- нения риска.
- оценка эффективности программы: оценка программы управле- ния рисками для выявления возможностей усовершенствования.
В руководстве [20] особо отмечается, что термины «управление рисками» и «оценка рисков» не являются взаимозаменяемыми. Под управлением рисками понимаются общие мероприятия по снижению риска в рамках организации до приемлемого уровня. Управление рис- ками представляет собой непрерывный процесс, но производимые оценки чаще всего делаются для годичного интервала. Под оценкой рисков понимается процесс выявления и приоритизации рисков для бизнеса, являющийся составной частью управления рисками.
При описании риска делается указание на то, какое влияние он оказывает на бизнес, и насколько вероятно данное событие. Компо- ненты, описывающие риск, изображены на рис. 4.8.
На начальном этапе проведения оценки рискам присваиваются значения в соответствии со шкалой: «высокий», «средний» и «низ-
155 кий». После этого для выявленных наиболее существенных рисков проводится количественная оценка.
Рис. 4.8. Компоненты «полной формулировки» риска
Подробно предлагаемая Майкрософт методика оценки рисков будет рассмотрена в разделе 4.5.5. Перед внедрением в организации процесса управления рисками безопасности необходимо проверить
«уровень зрелости» организации (табл. 4.1).
Организациям, в которых отсутствуют формальные политики или процессы, относящиеся к управлению рисками безопасности, бу- дет очень трудно сразу внедрить все аспекты рассматриваемого про- цесса. Если окажется, что уровень зрелости является достаточно низ- ким, рассматриваемый процесс можно внедрять последовательными этапами на протяжении нескольких месяцев (например, начав с пи- лотного проекта в отдельном подразделении). Продемонстрировав эффективность процесса управления рисками безопасности на приме- ре пилотного проекта, группа управления рисками безопасности мо- жет перейти к внедрению данного процесса в других подразделениях, постепенно охватывая всю организацию.
156
Т а б л и ц а 4 . 1
Уровни зрелости управления рисками безопасности
Уровень Состояние
Определение
0
Отсутству- ет
Политика или процесс не документированы. Ра- нее организация не знала о деловых рисках, свя- занных с управлением рисками, и не рассматри- вала данный вопрос
1
Узкоспе- циализиро- ванный
Некоторые члены организации признают значи- мость управления рисками, однако операции по управлению рисками являются узкоспециализи- рованными. Политики и процессы в организации не документированы, процессы не являются пол- ностью повторяемыми. В результате проекты по управлению рисками являются хаотичными и не- координируемыми, а получаемые результаты не измеряются и не подвергаются аудиту
2
Повторяе- мый
Организации известно об управлении рисками.
Процесс управления рисками является повторяе- мым, но развит слабо. Процесс документирован не полностью, однако соответствующие опера- ции выполняются регулярно, и организация стремится внедрить всеобъемлющий процесс управления рисками с привлечением высшего руководства. В организации не проводится фор- мальное обучение и информирование по управ- лению рисками; ответственность за выполнение соответствующих мероприятий возложена на от- дельных сотрудников
3
Наличие определен- ного про- цесса
Организация приняла формальное решение об интенсивном внедрении управления рисками для управления программой защиты информа- ции. В организации разработан базовый процесс с четко определенными целями и документиро- ванными процессами достижения и оценки ре- зультатов. Проводится обучение всего персонала основам управления рисками. Организация ак- тивно внедряет документированные процессы управления рисками
157
Окончание табл. 4.1
Уровень Состояние
Определение
4
Управляе- мый
На всех уровнях организации имеется глубокое понимание управления рисками. В организации существуют процедура управления рисками и четко определенный процесс, широко распро- странена информация об управлении рисками, доступно подробное обучение, существуют начальные формы измерений показателей эффек- тивности. Программе управления рисками выде- лен достаточный объем ресурсов, результаты управления рисками оказывают положительное влияние на работу многих подразделений органи- зации, а группа управления рисками безопасно- сти может постоянно совершенствовать свои процессы и средства. В организации используют- ся некоторые технологические средства, помога- ющие в управлении рисками, однако большая часть (если не подавляющее большинство) про- цедур оценки рисков, определения элементов контроля и анализа выгод и затрат выполняется вручную
5
Оптимизи- рованный
Организация выделила на управление рисками безопасности значительные ресурсы, а сотрудни- ки пытаются прогнозировать, какие проблемы могут встретиться в течение следующих месяцев и лет, и каким образом их нужно будет решать.
Процесс управления рисками глубоко изучен и в значительной степени автоматизирован путем применения различных средств (разработанных в организации или приобретенных у сторонних разработчиков). При возникновении проблем в системе безопасности выявляется основная при- чина возникшей проблемы, и предпринимаются необходимые действия для снижения риска ее повторного возникновения. Сотрудники органи- зации могут проходить обучение, обеспечиваю- щее различные уровни подготовки
158
4.5. МЕТОДИКИ И ПРОГРАММНЫЕ
ПРОДУКТЫ ДЛЯ ОЦЕНКИ РИСКОВ
В данном разделе будут приведены краткие описания ряда рас- пространенных методик анализа рисков. Их можно разделить на:
- методики, использующие оценку риска на качественном уровне
(например, по шкале «высокий», «средний», «низкий»). К таким методикам, в частности, относится FRAP;
- количественные методики (риск оценивается через числовое зна- чение, например размер ожидаемых годовых потерь). К этому классу относится методика RiskWatch;
- методики, использующие смешанные оценки (такой подход ис- пользуется в CRAMM, методике Майкрософт и т. д.).
4.5.1. Методика CRAMM
Это одна из первых методик анализа рисков в сфере ИБ — рабо- та над ней была начата в середине 80-х гг. центральным агентством по компьютерам и телекоммуникациям (CCTA) Великобритании.
В основе метода CRAMM лежит комплексный подход к оценке рисков, сочетающий количественные и качественные методы анализа.
Метод является универсальным и подходит как для крупных, так и для малых организаций, как правительственного, так и коммерческого сектора. Версии программного обеспечения CRAMM, ориентирован- ные на разные типы организаций, отличаются друг от друга своими базами знаний (авторами методики они называются профилями, англ.
«profiles»). Для коммерческих организаций имеется Коммерческий профиль (Commercial Profile), для правительственных организаций —
Правительственный профиль (Government profile). Правительствен- ный вариант профиля также позволяет проводить аудит на соответ- ствие требованиям американского стандарта ITSEC («Оранжевая кни- га»).
Исследование ИБ системы с помощью СRAMM проводится в три стадии [21, 22, 23].
159
На первой стадии анализируется все, что касается идентифика- ции и определения ценности ресурсов системы. Она начинается с ре- шения задачи определения границ исследуемой системы: собираются сведения о конфигурации системы и о том, кто отвечает за физиче- ские и программные ресурсы, кто входит в число пользователей си- стемы, как они ее применяют или будут применять.
Проводится идентификация ресурсов: физических, программ- ных и информационных, содержащихся внутри границ системы. Каж- дый ресурс необходимо отнести к одному из предопределенных клас- сов. Затем строится модель информационной системы с позиции ИБ.
Для каждого информационного процесса, имеющего, по мнению пользователя, самостоятельное значение и называемого пользователь- ским сервисом, строится дерево связей используемых ресурсов. По- строенная модель позволяет выделить критичные элементы.
Ценность физических ресурсов в CRAMM определяется стои- мостью их восстановления в случае разрушения.
Ценность данных и программного обеспечения определяется в следующих ситуациях:
- недоступность ресурса в течение определенного периода време- ни;
- разрушение ресурса — потеря информации, полученной со вре- мени последнего резервного копирования, или ее полное разру- шение;
- нарушение конфиденциальности в случаях несанкционированно- го доступа штатных сотрудников или посторонних лиц;
- модификация — рассматривается для случаев мелких ошибок персонала (ошибки ввода), программных ошибок, преднамерен- ных ошибок;
- ошибки, связанные с передачей информации: отказ от доставки, недоставка информации, доставка по неверному адресу.
Для оценки возможного ущерба CRAMM рекомендует исполь- зовать следующие параметры:
160
- ущерб репутации организации;
- нарушение действующего законодательства;
- ущерб для здоровья персонала;
- ущерб, связанный с разглашением персональных данных отдель- ных лиц;
- финансовые потери от разглашения информации;
- финансовые потери, связанные с восстановлением ресурсов;
- потери, связанные с невозможностью выполнения обязательств;
- дезорганизация деятельности.
Для данных и программного обеспечения выбираются приме- нимые к данной ИС критерии, дается оценка ущерба по шкале со зна- чениями от 1 до 10.
В описаниях CRAMM в качестве примера приводится в [21] та- кая шкала оценки по критерию «Финансовые потери, связанные с восстановлением ресурсов»:
- 2 балла — менее $ 1000;
- 6 баллов — от $ 1000 до $ 10 000;
- 8 баллов — от $ 10 000 до $ 100 000;
- 10 баллов — свыше $ 100 000.
При низкой оценке по всем используемым критериям (3 балла и ниже) считается, что рассматриваемая система требует базового уровня защиты (для этого уровня не требуется подробной оценки угроз ИБ) и вторая стадия исследования пропускается.
На второй стадии анализа рассматривается все, что относится к идентификации и оценке уровней угроз для групп ресурсов и их уяз- вимостей. В конце стадии заказчик получает идентифицированные и оцененные уровни рисков для своей системы. На этой стадии оцени- ваются зависимость пользовательских сервисов от определенных групп ресурсов и существующий уровень угроз и уязвимостей, вы- числяются уровни рисков и анализируются результаты.
Ресурсы группируются по типам угроз и уязвимостей. Напри- мер, в случае существования угрозы пожара или кражи в качестве
161 группы ресурсов разумно рассмотреть все ресурсы, находящиеся в одном месте (серверный зал, комната средств связи и т. д.). Оценка уровней угроз и уязвимостей производится на основе исследования косвенных факторов.
Программное обеспечение CRAMM для каждой группы ресур- сов и каждого из 36 типов угроз генерирует список вопросов, допус- кающих однозначный ответ. Уровень угроз оценивается, в зависимо- сти от ответов, как очень высокий, высокий, средний, низкий и очень низкий. Уровень уязвимости оценивается, в зависимости от ответов, как высокий, средний и низкий.
На основе этой информации рассчитываются уровни рисков в дискретной шкале с градациями от 1 до 7. Полученные уровни угроз, уязвимостей и рисков анализируются и согласовываются с заказчи- ком.
CRAMM объединяет угрозы и уязвимости в матрице риска. Рас- смотрим, как получается эта матрица, и что каждый из уровней риска означает.
Т а б л и ц а 4 . 2
Шкала оценки уровней угрозы (частота возникновения)
Описание
Значение инцидент происходит в среднем не чаще, чем каж- дые 10 лет очень низкий
(very low) инцидент происходит в среднем один раз в 3 года низкий (low) инцидент происходит в среднем раз в год средний (medium) инцидент происходит в среднем один раз в четыре месяца высокий (high) инцидент происходит в среднем раз в месяц очень высокий
(very high)
Основной подход для решения этой проблемы состоит в рас- смотрении [12]:
- уровня угрозы (шкала приведена в табл. 4.2);
- уровня уязвимости (шкала приведена в табл. 4.3);
162
- размера ожидаемых финансовых потерь (пример приведен в табл. 4.4).
Т а б л и ц а 4 . 3
Шкала оценки уровня уязвимости
(вероятность успешной реализации угрозы)
Описание
Значение
В случае возникновения инцидента, вероятность развития событий по наихудшему сценарию мень- ше 0,33 низкий (low)
В случае возникновения инцидента, вероятность развития событий по наихудшему сценарию от
0,33 до 0,66 средний (medium)
В случае возникновения инцидента, вероятность развития событий по наихудшему сценарию выше
0,66 высокий (high)
Т а б л и ц а 4 . 4
Матрица ожидаемых годовых потерь
0,1
0,1
0,1
0,34
0,34
0,34
1
1
1
3,33
3,33
3,33
10
10
10
0,1
0,5
1
0,1
0,5
1
0,1
0,5
1
0,1
0,5
1
0,1 0,5 1
1
1000
10 50
…
10 4
2
10000
100
…
…
3
30000
3×10 2
4
10
5
10 3
5
3×10
5
3×10 3
6
10
6
10 4
7
3×10
6
3×10 4
8
10
7
10 5
9
3×10
7
3×10 5
10
10
8
10 6
10 9
Исходя из оценок стоимости ресурсов защищаемой ИС, оценок угроз и уязвимостей, определяются «ожидаемые годовые потери». В табл. 4.4 приведен пример матрицы оценки ожидаемый потерь [24]. В ней второй столбец слева содержит значения стоимости ресурса, верхняя строка заголовка таблицы — оценку частоты возникновения угрозы в течение года (уровня угрозы), нижняя строка заголовка — оценку вероятности успеха реализации угрозы (уровня уязвимости).
Результат получается путем перемножения указанных оценок.