Файл: 1. Теоретические основы рисков информационной безопасности 1 Сущность и способы оценки информационной безопасности.rtf
Добавлен: 30.11.2023
Просмотров: 133
Скачиваний: 3
ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.
Содержание
Введение
1. Теоретические основы рисков информационной безопасности
1.1 Сущность и способы оценки информационной безопасности
1.2 Методы оценки информационных рисков
1.3 Показатели и алгоритм расчета рисков по угрозе информационной безопасности
2. Расчет информационных рисков на примере сервера Web торговой компании
Заключение
Список сокращенных обозначений
Список использованных источников
Введение
В настоящее время организация эффективной системы защиты информационной системы становится критически важным стратегическим фактором развития любой компании. По сути, информация является одним из ключевых элементов бизнеса. При этом под информацией понимаются не только статические информационные ресурсы (базы данных, текущие настройки оборудования и другие), но и динамические информационные процессы обработки данных.
Главной целью любой системы защиты является обеспечение устойчивого функционирования объекта, предотвращение угроз его безопасности, защита законных интересов организации от противоправных посягательств, недопущение хищения финансовых средств, разглашения, утраты, утечки, искажения и уничтожения служебной информации, обеспечение нормальной производственной деятельности всех подразделений.
Информационная среда организации, вне зависимости от своего состава, должна предусматривать систему защиты. Однако затраты на обеспечение высокого уровня безопасности могут быть неоправданны. Нахождение разумного компромисса и выбор приемлемого уровня защиты при допустимых затратах является важным условием постановки задачи обеспечения ИБ. Для решения этого вопроса необходимо проводить анализ рисков ИБ, позволяющий оценить существующий уровень защищенности ресурсов организации. Значение риска, являющееся произведением вероятности реализации угрозы по отношению к защищаемому ресурсу на ущерб от реализации данной угрозы, служит показателем полноты, комплексности и эффективности системы ИБ организации, а также позволяет выявить ее слабые места. При этом возникает ряд трудностей с интерпретацией экономических показателей для области ИБ. В связи с этим, изучение данной темы представляется актуальным.
Объектом исследования являются информационные риски, а предметом - расчет рисков информационной безопасности.
Цель работы - изучение методики расчета рисков информационной безопасности.
Реализация намеченной цели потребовала постановки и решения следующих задач, определивших логику и концепцию исследования:
¾ рассмотреть теоретические основы рисков информационной безопасности;
¾ изучить показатели и алгоритм расчета рисков по угрозе информационной безопасности;
¾ провести расчет информационных рисков на примере Web-сервера торговой компании.
информационный безопасность риск сервер
1. Теоретические основы рисков информационной безопасности
.1 Сущность и способы оценки информационной безопасности
Организации, бизнес которых во многом зависит от информационной сферы, для достижения целей бизнеса должны поддерживать на необходимом уровне систему обеспечения ИБ (СОИБ). СОИБ представляет собой совокупность аппаратно-программных, технических и организационных защитных мер, функционирующих под управлением СМИБ и процессов осознания ИБ, инициирующих и поддерживающих деятельность по менеджменту ИБ.
Критерии оценки - это все то, что позволяет установить значения оценки для объекта оценки. В качестве критериев оценки ИБ могут использоваться требования ИБ, процедуры ИБ, сочетание требований и процедур ИБ, уровень инвестиций, затрат на ИБ.
К свидетельствам оценки ИБ относятся записи, изложение фактов или любая информация, которая имеет отношение к критериям оценки ИБ и может быть проверена. Такими свидетельствами оценки ИБ могут быть доказательства выполняемой и выполненной деятельности по обеспечению ИБ в виде отчетных, нормативных, распорядительных документов, результатов опросов, наблюдений.
Модель оценки ИБ определяет сферу оценки, отражающую контекст оценки ИБ в рамках критерия оценки ИБ, отображение и преобразование оценки в параметры объекта оценки, а также устанавливает показатели, обеспечивающие оценку ИБ в сфере оценки.
Оценка ИБ заключается в выработке оценочного суждения относительно пригодности (зрелости) процессов обеспечения ИБ, адекватности используемых защитных мер или целесообразности (достаточности) инвестиций (затрат) для обеспечения необходимого уровня ИБ на основе измерения и оценивания критических элементов (факторов) объекта оценки.
В общем виде процесс проведения оценки ИБ представлен основными компонентами процесса: контекст, свидетельства, критерии и модель оценки.
Общий вид процесса оценки ИБ организации представлен на Рис. 1.
Рис. 1. - Общий вид процесса оценки ИБ организации
Возможны и другие цели проведения оценки ИБ:
¾ определение степени соответствия установленным критериям отдельных областей обеспечения ИБ, процессов обеспечения ИБ, защитных мер;
¾ выявление влияния критических элементов (факторов) и их сочетания на ИБ организации;
¾ сравнение зрелости различных процессов обеспечения ИБ и сравнение степени соответствия различных защитных мер установленным требованиям. [1]
В зависимости от выбранного для оценки ИБ критерия можно разделить способы оценки ИБ организации на оценку по эталону, риск-ориентированную оценку и оценку по экономическим показателям.
Классификация способов оценок информационной безопасности организации представлена на Рис. 2.
Рис. 2 - Способы оценки ИБ организации
Способ оценки ИБ по эталону сводится к сравнению деятельности и мер по обеспечению ИБ организации с требованиями, закрепленными в эталоне. По сути дела проводится оценка соответствия СОИБ организации установленному эталону. Под оценкой соответствия ИБ организации установленным критериям понимается деятельность, связанная с прямым или косвенным определением выполнения или невыполнения соответствующих требований ИБ в организации. С помощью оценки соответствия ИБ измеряется правильность реализации процессов системы обеспечения ИБ организации и идентифицируются недостатки такой реализации. [2]
Основные этапы оценки информационной безопасности по эталону включают выбор эталона и формирование на его основе критериев оценки ИБ, сбор свидетельств оценки и измерение критических элементов (факторов) объекта оценки, формирование оценки ИБ.
Риск-ориентированная оценка ИБ организации представляет собой способ оценки, при котором рассматриваются риски ИБ, возникающие в информационной сфере организации, и сопоставляются существующие риски ИБ и принимаемые меры по их обработке. В результате должна быть сформирована оценка способности организации эффективно управлять рисками ИБ для достижения своих целей.
Основные этапы риск-ориентированной оценки информационной безопасности включают идентификацию рисков ИБ, определение адекватных процессов менеджмента рисков и ключевых индикаторов рисков ИБ, формирование на их основе критериев оценки ИБ, сбор свидетельств оценки и измерение риск-факторов, формирование оценки ИБ.
Способ оценки ИБ на основе экономических показателей оперирует понятными для бизнеса аргументами о необходимости обеспечения и совершенствования ИБ. Для проведения оценки в качестве критериев эффективности СОИБ используются, например, показатели совокупной стоимости владения.
Под показателем совокупной стоимости владения понимается сумма прямых и косвенных затрат на внедрение, эксплуатацию и сопровождение СОИБ.
Под прямыми затратами понимаются все материальные затраты, такие как покупка оборудования и программного обеспечения, трудозатраты соответствующих категорий сотрудников.
Косвенными являются все затраты на обслуживание СОИБ, а также потери от произошедших инцидентов. Сбор и анализ статистики по структуре прямых и косвенных затрат проводится, как правило, в течение года. Полученные данные оцениваются по ряду критериев с показателями совокупной стоимости владения аналогичных организаций отрасли.
Оценка на основе показателя совокупной стоимости владения позволяет оценить затраты на информационную безопасность и сравнить ИБ организации с типовым профилем защиты, а также управлять затратами для достижения требуемого уровня защищенности.
Основные этапы оценки эффективности СОИБ на основе модели TCO включают сбор данных о текущем уровне совокупной стоимости владения, анализ областей обеспечения ИБ, выбор сравнимой модели совокупной стоимости владения в качестве критерия оценки, сравнение показателей с критерием оценки, формирование оценки ИБ. [3]
Однако этот способ оценки требует создания общей информационной базы данных об эффективности СОИБ организаций схожего бизнеса и постоянной поддержки базы данных в актуальном состоянии. Такое информационное взаимодействие организаций, как правило, не соответствует целям бизнеса. Поэтому оценка ИБ на основе показателя совокупной стоимости владения практически не применяется.
.2 Методы оценки информационных рисков
Информационные риски - это опасность возникновения убытков или ущерба в результате применения компанией информационных технологий.
Иными словами, IT-риски связаны с созданием, передачей, хранением и использованием информации с помощью электронных носителей и иных средств связи. риски делятся на две категории:
¾ риски, вызванные утечкой информации и использованием ее конкурентами или сотрудниками в целях, которые могут повредить бизнесу;
¾ риски технических сбоев работы каналов передачи информации, которые могут привести к убыткам.
Работа по минимизации IT-рисков заключается в предупреждении несанкционированного доступа к данным, а также аварий и сбоев оборудования.
Процесс минимизации IT-рисков рассматривается комплексно: сначала выявляются возможные проблемы, а затем определяется, какими способами их можно решить.
Сейчас используются различные методы оценки информационных рисков отечественных компаний и управления ими.
Оценка информационных рисков компании может быть выполнена в соответствии со следующим планом:
¾ идентификация и количественная оценка информационных ресурсов компании, значимых для бизнеса;
¾ оценивание возможных угроз;
¾ оценивание существующих уязвимостей;
¾ оценивание эффективности средств обеспечения информационной безопасности.
Риски характеризуют опасность, которая может угрожать компонентам корпоративной информационной системы.
Информационные риски компании зависят от:
¾ показателей ценности информационных ресурсов;
¾ вероятности реализации угроз для ресурсов;
¾ эффективности существующих или планируемых средств обеспечения информационной безопасности.
Цель оценивания рисков состоит в определении характеристик рисков корпоративной информационной системы и ее ресурсов.
После оценки рисков можно выбрать средства, обеспечивающие желаемый уровень информационной безопасности компании. При оценивании рисков учитываются такие факторы, как ценность ресурсов, значимость угроз и уязвимостей, эффективность имеющихся и планируемых средств защиты.
Возможность реализации угрозы для некоторого ресурса компании оценивается вероятностью ее реализации в течение заданного отрезка времени. При этом вероятность того, что угроза реализуется, определяется следующими основными факторами: