Файл: Конспект лекций профессиональная образовательная программа.docx
ВУЗ: Не указан
Категория: Не указан
Дисциплина: Не указана
Добавлен: 09.11.2023
Просмотров: 394
Скачиваний: 3
ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.
Например, для базовой оценки рисков достаточно 3-уровневой шкалы оценки критичности - низкий, средний и высокий уровни.
При выборе шкалы важно учитывать следующее:
Следовательно, в этом вопросе нужно найти «золотую середину», чтобы и точность не очень пострадала, и сложность не превышала допустимых пределов.
Кроме этого, следует иметь в виду, что для расчета информационных рисков достаточно примерных значений критичности активов: не обязательно оценивать их с точностью до денежной единицы. Однако денежное выражение критичности все равно необходимо.
Рассмотрим подробнее принципы оценки критичности каждого указанного актива.
Заметим, что процесс категорирования активов должен подчиняться четким документированным процедурам компании. Аудиторам сертификационного органа будет недостаточно формального документа, отражающего результаты категорирования. От владельцев активов требуется, чтобы они могли объяснить, какие методики они использовали при оценке, на основании каких данных были получены результаты оценки.
Оценка защищенности информационной системы
Очевидно, что для анализа информационных рисков необходимо оценить не только критичность активов, но и уровень их защищенности.
В процессе оценки защищенности информационной системы определяются угрозы, действующие на активы, а также уязвимости информационной системы, в которой обрабатываются активы и которые могут привести к реализации угроз. Угрозы и уязвимости рассматриваются только во взаимосвязи друг с другом (т. к. Инцидент - событие, указывающее на действительную, мнимую или вероятную реализацию угрозы, возникает в случае появления комплиментарной пары «угроза-уязвимость»). Уязвимость, через которую невозможно реализовать ни одну из угроз, не имеет смысла. Аналогично, угроза, которую невозможно реализовать ввиду отсутствия уязвимости, также неактуальна.
Не вызывает сомнения, что различные угрозы и уязвимости имеют разное значение (разный вес) для информационной системы. Например, злоумышленник скорее решит воспользоваться открытой дверью, чем открытым окном, если офис организации расположен на семнадцатом этаже 34-этажного здания (однако совсем исключать вторую возможность не стоит). Следовательно, необходимо определить, какие угрозы и уязвимости наиболее актуальны, а какие менее значимы, или, другими словами, определить вероятность реализации угрозы через уязвимость. Вероятность реализации уязвимостей (как и любая другая вероятность) определяется в пределах от 0 до 1 (или от 0 до 100 %).
Угрозы, уязвимости, а также их вероятности определяются в результате проведения технологического аудита защищенности информационной системы организации. Такой аудит может быть выполнен как специалистами организации (так называемый, внутренний аудит), так и сторонними консультантами (внешний аудит).
Оценка информационных рисков заключается в расчете рисков, который выполняется с учетом сведений о критичности активов, а также вероятностей реализации уязвимостей.
С количественной точки зрения классическая формула оценки уровня риска есть произведение вероятности реализации определенной угрозы (использующей некоторые уязвимые места), на величину возможного ущерба: R=Р(V) *D, где R - информационный риск; D - критичность актива (ущерб); Р(V) - вероятность реализации уязвимости.
Результаты оценки рисков, как правило, представляются в «Отчете об оценке информационных рисков компании».
Обработка информационных рисков - это этап, в процессе которого определяется, какие действия по отношению к рискам требуется выполнить в компании.
Основными способами обработки рисков являются:
Принятие рисков осуществляется в том случае, если уровень рисков признается приемлемым, то есть компания не считает целесообразным применять какие-либо меры по отношению к этим рискам и готова понести ущерб.
Уклонение от рисков это полное устранение источника риска.
Передача рисков — перенесение ответственности за риск на третьи лица (например, поставщика оборудования или страховую компанию) без устранения источника риска.
Снижение рисков - это выбор и внедрение мер по снижению вероятности нанесения ущерба.
В процессе обработки рисков сначала требуется определить, какие из них требуют дальнейшей обработки, а какие можно принять. Как правило, это решается с помощью оценки приемлемого уровня риска. Риски, равные или ниже приемлемого, можно принять. Очевидно, что для рисков, превышающих приемлемый уровень, требуется выбрать дальнейшие меры по обработке. Приемлемый уровень риска определяется руководством компании или специальной группой, в которую входят руководители и главные финансисты компании. Например, если руководство компании декларирует, что низкий уровень риска считается приемлемым, то дальнейшие действия по обработке рисков определяются только для средних и высоких уровней риска. Причем, средний и
высокий уровни риска требуется снизить до низкого (то есть до приемлемого) уровня.
В случае, когда в компании наблюдается большой разброс значений риска (как правило, это может возникнуть, если критичность активов была определена в денежных единицах, а не уровнях), информационные риски можно разбить на категории и определять приемлемый уровень для каждой из них отдельно. Это вызвано тем, что снижать различные значения рисков до одного заданного значения не всегда целесообразно (часто для снижения высоких рисков до заданного уровня необходимы неоправданно большие затраты).
По результатам данного этапа требуется составить «Отчет об обработке информационных рисков компании», который подробно описывает способы обработки рисков. Кроме этого, составляется «План снижения рисков», где четко описываются конкретные меры по снижению рисков, сотрудники, ответственные за выполнение каждого положения плана, сроки выполнения плана. Данный документ содержит перечень первоочередных мероприятий по снижению уровней рисков, а также цели и средства управления, направленные на снижение рисков, с указанием:
В «закрытом» контуре модель нарушителя и угроз строится с учетом обеспечения следующей архитектуры приоритетов базовых услуг безопасности 1) конфиденциальность, 2) целостность и 3) доступность активов «закрытого» контура.
Под нарушителем понимается человек или группа лиц, имеющая своей целью нанесение целью нанесения ущерба пользователям ИС в целом путем преодоления (нарушения) целевых функций, реализуемых подсистемой защиты информации «закрытого» контура ИС и нанесением удара на конфиденциальность, доступность и целостность «закрытого» контура.
Нарушителем может быть как физическое лицо, так и некоторый процесс, выполняющийся на вычислительных средствах «закрытого» контура. Все физические лица, имеющие доступ к ресурсам ИС, могут быть отнесены к следующим категориям:
При выборе шкалы важно учитывать следующее:
-
чем меньше количество уровней, тем ниже точность оценки; -
чем больше количество уровней, тем выше сложность оценки (то есть сложно определить разницу между, скажем, 7-м и 8-м уровнем 10-ти уровне вой шкалы).
Следовательно, в этом вопросе нужно найти «золотую середину», чтобы и точность не очень пострадала, и сложность не превышала допустимых пределов.
Кроме этого, следует иметь в виду, что для расчета информационных рисков достаточно примерных значений критичности активов: не обязательно оценивать их с точностью до денежной единицы. Однако денежное выражение критичности все равно необходимо.
Рассмотрим подробнее принципы оценки критичности каждого указанного актива.
-
Информационные активы (или виды информации) оцениваются с точки зрения нанесения компании ущерба от их раскрытия, модификации или недоступности в течение определенного времени. -
Программное обеспечение, материальные ресурсы и сервисы оцениваются, как правило, с точки зрения их доступности или работоспособности. То есть требуется определить, какой ущерб понесет компания при нарушении функционирования данных активов. Например, нарушение системы кондиционирования в течение трех суток приведет к отказу серверов компании, к ним будет нарушен доступ, и вследствие этого компания понесет убытки. -
Сотрудники компании с точки зрения конфиденциальности и целостности оцениваются, учитывая их доступ к информационным ресурсам с правами на чтение и на модификацию. Доступность сотрудников оценивается с точки зрения их отсутствия на рабочем месте. Другими словами, оценивается, какой ущерб понесет компания при отсутствии сотрудника в течение определенного периода времени. Здесь важно учесть опыт сотрудника, его квалификацию, выполнение им каких-либо специфических операций. -
Репутация компании оценивается в связи с информационными ресурсами: какой ущерб репутации компании будет нанесен в случае нарушения безопасности информации компании.
Заметим, что процесс категорирования активов должен подчиняться четким документированным процедурам компании. Аудиторам сертификационного органа будет недостаточно формального документа, отражающего результаты категорирования. От владельцев активов требуется, чтобы они могли объяснить, какие методики они использовали при оценке, на основании каких данных были получены результаты оценки.
- 1 2 3 4 5 6 7 8 9 10
Оценка защищенности информационной системы
Очевидно, что для анализа информационных рисков необходимо оценить не только критичность активов, но и уровень их защищенности.
В процессе оценки защищенности информационной системы определяются угрозы, действующие на активы, а также уязвимости информационной системы, в которой обрабатываются активы и которые могут привести к реализации угроз. Угрозы и уязвимости рассматриваются только во взаимосвязи друг с другом (т. к. Инцидент - событие, указывающее на действительную, мнимую или вероятную реализацию угрозы, возникает в случае появления комплиментарной пары «угроза-уязвимость»). Уязвимость, через которую невозможно реализовать ни одну из угроз, не имеет смысла. Аналогично, угроза, которую невозможно реализовать ввиду отсутствия уязвимости, также неактуальна.
Не вызывает сомнения, что различные угрозы и уязвимости имеют разное значение (разный вес) для информационной системы. Например, злоумышленник скорее решит воспользоваться открытой дверью, чем открытым окном, если офис организации расположен на семнадцатом этаже 34-этажного здания (однако совсем исключать вторую возможность не стоит). Следовательно, необходимо определить, какие угрозы и уязвимости наиболее актуальны, а какие менее значимы, или, другими словами, определить вероятность реализации угрозы через уязвимость. Вероятность реализации уязвимостей (как и любая другая вероятность) определяется в пределах от 0 до 1 (или от 0 до 100 %).
Угрозы, уязвимости, а также их вероятности определяются в результате проведения технологического аудита защищенности информационной системы организации. Такой аудит может быть выполнен как специалистами организации (так называемый, внутренний аудит), так и сторонними консультантами (внешний аудит).
-
Оценка информационных рисков
Оценка информационных рисков заключается в расчете рисков, который выполняется с учетом сведений о критичности активов, а также вероятностей реализации уязвимостей.
С количественной точки зрения классическая формула оценки уровня риска есть произведение вероятности реализации определенной угрозы (использующей некоторые уязвимые места), на величину возможного ущерба: R=Р(V) *D, где R - информационный риск; D - критичность актива (ущерб); Р(V) - вероятность реализации уязвимости.
Результаты оценки рисков, как правило, представляются в «Отчете об оценке информационных рисков компании».
-
Обработка информационных рисков (выбор критериев принятия рисков, подготовка плана обработки рисков)
Обработка информационных рисков - это этап, в процессе которого определяется, какие действия по отношению к рискам требуется выполнить в компании.
Основными способами обработки рисков являются:
-
принятие рисков; -
уклонение от рисков; -
передача рисков; -
снижение рисков.
Принятие рисков осуществляется в том случае, если уровень рисков признается приемлемым, то есть компания не считает целесообразным применять какие-либо меры по отношению к этим рискам и готова понести ущерб.
Уклонение от рисков это полное устранение источника риска.
Передача рисков — перенесение ответственности за риск на третьи лица (например, поставщика оборудования или страховую компанию) без устранения источника риска.
Снижение рисков - это выбор и внедрение мер по снижению вероятности нанесения ущерба.
В процессе обработки рисков сначала требуется определить, какие из них требуют дальнейшей обработки, а какие можно принять. Как правило, это решается с помощью оценки приемлемого уровня риска. Риски, равные или ниже приемлемого, можно принять. Очевидно, что для рисков, превышающих приемлемый уровень, требуется выбрать дальнейшие меры по обработке. Приемлемый уровень риска определяется руководством компании или специальной группой, в которую входят руководители и главные финансисты компании. Например, если руководство компании декларирует, что низкий уровень риска считается приемлемым, то дальнейшие действия по обработке рисков определяются только для средних и высоких уровней риска. Причем, средний и
высокий уровни риска требуется снизить до низкого (то есть до приемлемого) уровня.
В случае, когда в компании наблюдается большой разброс значений риска (как правило, это может возникнуть, если критичность активов была определена в денежных единицах, а не уровнях), информационные риски можно разбить на категории и определять приемлемый уровень для каждой из них отдельно. Это вызвано тем, что снижать различные значения рисков до одного заданного значения не всегда целесообразно (часто для снижения высоких рисков до заданного уровня необходимы неоправданно большие затраты).
По результатам данного этапа требуется составить «Отчет об обработке информационных рисков компании», который подробно описывает способы обработки рисков. Кроме этого, составляется «План снижения рисков», где четко описываются конкретные меры по снижению рисков, сотрудники, ответственные за выполнение каждого положения плана, сроки выполнения плана. Данный документ содержит перечень первоочередных мероприятий по снижению уровней рисков, а также цели и средства управления, направленные на снижение рисков, с указанием:
-
лиц, ответственных за реализацию данных мероприятий и средств; -
сроков реализации мероприятий и приоритетов их выполнения; -
ресурсов для реализации таких мероприятий; -
уровней остаточных рисков после внедрения мероприятий и средств управления.
-
Модели нарушителя в ИС-
Модель нарушителя в «закрытом» контуре
-
В «закрытом» контуре модель нарушителя и угроз строится с учетом обеспечения следующей архитектуры приоритетов базовых услуг безопасности 1) конфиденциальность, 2) целостность и 3) доступность активов «закрытого» контура.
Под нарушителем понимается человек или группа лиц, имеющая своей целью нанесение целью нанесения ущерба пользователям ИС в целом путем преодоления (нарушения) целевых функций, реализуемых подсистемой защиты информации «закрытого» контура ИС и нанесением удара на конфиденциальность, доступность и целостность «закрытого» контура.
Нарушителем может быть как физическое лицо, так и некоторый процесс, выполняющийся на вычислительных средствах «закрытого» контура. Все физические лица, имеющие доступ к ресурсам ИС, могут быть отнесены к следующим категориям: