Файл: Учебник для вузов В. Г. Олифер, Н. А. Олифер 2е изд. Спб. Питер 2009 669 с ил. Межсетевое экранирование учеб пособие О. Р. Лапонина М. Интернет Ун т Информ. Технологий бином. Лаб знаний 2007 343 с ил.pdf
ВУЗ: Не указан
Категория: Не указан
Дисциплина: Не указана
Добавлен: 09.01.2024
Просмотров: 152
Скачиваний: 1
ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.
4.1. Кто действительно разбирается в управлении рисками?
В действительности людей, которые понимают как управлять рисками, очень мало
(в том числе и за рамками вопросов безопасности). В информационной безопасности часто концентрируются на приложениях, устройствах, протоколах, вирусах и т.д. Эти детали безусловно должны быть учтены в процессе управления рисками, но они не должны быть в центре внимания при управлении рисками. Управление рисками в целом значительно важнее отдельных технических мер.
Безопасность - задача бизнеса. Однако бизнес работает, чтобы зарабатывать деньги, а не только чтобы быть безопасным. Бизнес часто обращает внимание на безопасность только тогда, когда появляются реальные угрозы основной деятельности - потеря репутации и клиентов из-за утечки информации, ущерб в результате вирусной атаки и т.д. Специалисты по информационной безопасности должны понимать эти угрозы, но гораздо важнее, чтобы они понимали как можно рассчитать риски этих угроз и предоставить карту рисков руководителям бизнеса.
Чаще всего бюджет является ограниченным, а количество уязвимостей - нет. В этом случае необходимо сконцентрироваться на наиболее критичных уязвимостях, устранение которых даст реальную отдачу для бизнеса.
4.2. Политика управления информационными рисками
Полноценное управление рисками требует полноценной поддержки высшего руководства, документированного процесса поддержки миссии организации, IRM- политики и IRM-группы.
IRM-политика должна быть частью общей политики управления рисками компании. IRM-политика должна быть отражена и в организационной политике безопасности компании. В IRM-политике должны учитываться следующие аспекты:
• Цели IRM-группы
• Уровень риска, который компания приняла для себя как приемлемый
• Формальные процессы выявления рисков
• Связь между IRM-политикой и процессами стратегического планирования компании
• Обязанности, связанные с IRM, и роли, необходимые для их выполнения
• Связь между рисками и внутренним контролем
• Подходы к изменению поведения сотрудников и распределения ресурсов с учетом анализа рисков
• Связь между рисками и целевыми показателями и бюджетами
• Ключевые показатели для мониторинга эффективности защитных мер IRM- политика предоставляет инфраструктуру для процессов и процедур управления рисками компании. Она должна охватывать все вопросы информационной безопасности, начиная от подбора персонала и инсайдерских угроз, заканчивая физической безопасностью и межсетевыми экранами. Она должна предоставлять механизм передачи информации о рисках от IRM-группы высшему руководству, а также механизм принятия решений о необходимости снижения рисков высшим руководством.
23 4.3. Группа управления рисками (IRM-группа)
В зависимости от размеров компании и бюджета безопасности компания может иметь одного или нескольких сотрудников, ответственных за IRM (IRM-группу).
Основная цель IRM-группы - обеспечить защиту компании наиболее выгодным
(экономически) и эффективным способом. Эта цель может быть достигнута только при наличии следующих компонентов:
• Установленный высшим руководством приемлемый уровень риска
• Документированные процессы и процедуры оценки рисков
• Процедуры выявления и снижения рисков
• Адекватные ресурсы и бюджет, предоставленные высшим руководством
• Планы действий при возникновении непредвиденных обстоятельств (для тех областей, оценка которых указывает на необходимость таких планов)
• Тренинги по вопросам безопасности для всех сотрудников, использующих информационные активы
• Возможность расширения (развития) группы в отдельных областях, в случае необходимости
• Учет и выполнение требований законодательства и регуляторов
• Разработка метрик и показателей эффективности, позволяющих измерить и управлять различными видами рисков
• Возможность выявления и оценки новых рисков при изменениях в компании или окружении
• Интеграция IRM и процессов управления изменениями компании, чтобы изменения не приводили к появлению новых уязвимостей
В большинстве случаев, в IRM-группу включают не отдельных, специально нанятых, сотрудников, а тех, которые уже работают в компании и выполняют другие задачи. В таких случаях совершенно необходима поддержка высшего руководства для надлежащего распределения ресурсов.
Как и в любой другой команде, IRM-группе нужен лидер. Он должен заниматься только этим вопросом (либо, в крупных компаниях, он должен уделять этому 50-70% рабочего времени). Руководство должно выделить этому человеку адекватный бюджет, в случае необходимости обеспечить профессиональную подготовку, наличие инструментов для успешного анализа рисков.
5. Анализ рисков
Анализ рисков, который на самом деле представляет собой инструмент для управления рисками, является методом выявления уязвимостей и угроз, оценки возможного воздействия, что позволяет выбирать адекватные защитные меры именно для тех систем и процессов, в которых они необходимы. Анализ рисков позволяет сделать безопасность экономически эффективной, актуальной, своевременной и способной реагировать на угрозы. Он также помогает компании приоритезировать список рисков, определить и обосновать разумную стоимость защитных мер.
Анализ рисков имеет четыре основные цели:
• Идентификация активов и их ценности для компании
• Идентификация угроз и уязвимостей
• Количественная оценка вероятности и влияния на бизнес этих потенциальных угроз
• Обеспечение экономического баланса между ущербом от воздействия угроз и стоимостью контрмер
Анализ рисков позволяет сравнить годовую стоимость защитных мер с потенциальным ущербом. Годовая стоимость защитных мер не должна превышать
24
потенциальный годовой ущерб. Также, анализ рисков позволяет связать программу безопасности с целями и требованиями бизнеса компании, что крайне важно для успеха и в том, и в другом.
Перед началом работы по выявлению и анализу рисков важно понять цель данной работы, ее объем и ожидаемый результат. Следует учитывать, что попытка проанализировать все риски во всех областях за один раз может оказаться невыполнимой.
Одной из первых задач группы анализа рисков является подготовка детального отчета по стоимости активов. Высшее руководство должно проанализировать этот отчет и определить сферу деятельности для IRM-проекта (объем работы), исключив из него те активы, которые не важны на данном этапе. При определении объема работ следует также учитывать бюджет проекта, а также требования законодательства. В ходе обсуждений с руководством, все участники должны иметь ясное представление о ценности обеспечения
AIC-триады (доступность, целостность и конфиденциальность) и ее непосредственной связи с потребностями бизнеса.
Анализ рисков должен осуществляться при поддержке и управлении со стороны высшего руководства. Только в этом случае он будет успешным. Руководство должно определить цели и масштабы анализа, назначить членов группы для проведения оценки, а также выделить необходимое время и средства для проведения этой работы. Крайне важно, чтобы высшее руководство внимательно отнеслось к результатам проведенной оценки.
5.1. Группа анализа рисков
Для наиболее эффективного анализа рисков, компания должна включить в состав группы анализа рисков сотрудников большинства (или всех) своих подразделений, что необходимо для выявления и учета всех рисков. Членами группы могут быть руководители подразделений, разработчики приложений, ИТ-персонал - любые ключевые сотрудники ключевых подразделений компании. Это совершенно необходимо, т.к. группа, состоящая только из ИТ-специалистов, не сможет выявить множество рисков (например, риски, связанные с работой бухгалтерии). Желательно в состав группы включать руководителей подразделений, а не рядовых сотрудников, которые могут не представлять себе работу всего подразделения в целом и, соответственно, не могут выявить все угрозы.
Для этого целесообразно установить соответствующий минимальный уровень должности для члена группы.
Если по какой-либо причине компания не может включить в группу сотрудников из различных подразделений, необходимо, как минимум, организовать проведение интервью с ключевыми сотрудниками каждого подразделения.
При анализе рисков следует задавать следующие вопросы: Что случится при реализации угрозы? Какими могут быть потенциальные последствия? Как часто это может происходить?
Какой уровень достоверности ответов на первые три вопроса? Большинство такой информации собирается в ходе внутренних исследований, интервью, собраний рабочих групп.
Владельцы рисков
Один из наиболее важных вопросов – кто в компании владеет рисками? Ответить на него непросто, т.к. это зависит от ситуации и от того, о каких рисках идет речь. Высшее руководство владеет рисками, связанными с процессом функционирования компании, но оно может переложить их на ответственных за хранение данных или бизнес- подразделения для проведения определенных работ, и на это время они должны выполнять отдельные обязанности владельцев рисков. Конечно, риски в конечном итоге всегда остаются у высшего руководства и оно должно быть уверено, что делегированная
25
работа выполняется понятными методами, в процессе нее учитываются существующие риски и предпринимаются действия по их минимизации.
5.2. Ценность информации и активов
Ценность информации опредляется трудоемкостью ее подготовки (сбора), стоимостью ее поддержки (сопровождения), величиной возможного ущерба в случае ее потери или уничтожения, стоимостью, которую другие лица (конкуренты, злоумышленники) готовы заплатить за нее, а также величиной возможных последствий и штрафов, в случае ее утраты (утечки). Без проведения оценки информации невозможно адекватно оценить целесообразность затрат денег и ресурсов на ее защиту. Ценность информации обязательно должна учитываться при выборе защитных мер.
5.3. Определение стоимости и ценности
Оценка актива может проводиться как количественными, так и качественными методами.
Фактическая стоимость актива определяется на основании стоимости его приобретения, разработки и поддержки. Ценность актива определяется его значением, которое он имеет для владельцев, уполномоченных и неуполномоченных пользователей.
Некоторая информация является важной для компании и ей присваивается гриф конфиденциальности.
Например, стоимость сервера составляет $4000, но это не является его ценностью, учитываемой при оценке рисков. Ценность определяется затратами на его замену или ремонт, потерями из-за снижения производительности, ущербом от повреждения или утраты хранящихся на нем данных. Именно это будет определять ущерб для компании в случае повреждения или утраты сервера по той или иной причине.
Следующие вопросы должны быть учтены при определении ценности активов:
• Затраты на получение или разработку актива
• Затраты на поддержку и защиту актива
• Ценность актива для владельцев и пользователей
• Ценность актива для злоумышленников (конкурентов)
• Ценность интеллектуальной собственности, использованной при разработке актива
• Цена, которую другие готовы заплатить за актив
• Затраты на замену актива при утрате
• Операционная и производственная деятельность, которая зависит от доступности актива
• Ответственность в случае компрометации актива
• Польза и роль актива в компании
Понимание ценности актива является первым шагом к пониманию того, какие средства и механизмы безопасности должны использоваться для его защиты. Ценность актива определяет стоимость защитных мер, которые следует использовать для его защиты.
Определение стоимости активов полезно для компании по целому ряду причин, включая следующие:
• Для проведения анализа затраты/выгоды (cost/benefit analyse)
• Для выбора конкретных контрмер и защитных средств
• Для определения необходимого уровня страхового покрытия
• Для понимания, чем именно рискует компания
• Для выполнения требований законодательства, регуляторов, соблюдения должной заботы (due care)
26
Активы могут быть материальным (компьютеры, оборудование, материалы) или нематериальные (репутация, данные, интеллектуальная собственность). Обычно трудно оценить количественно ценность нематериальных активов (например, репутации), которая может меняться с течением времени.
5.4. Идентификация угроз
Как было сказано ранее, риск - это вероятность того, что источник угрозы воспользуется уязвимостью, что приведет к негативному воздействию на бизнес.
Существует множество видов источников угрозы, которые могут использовать разные типы уязвимостей, что может привести к определенным угрозам. Некоторые примеры рисков показаны в таблице 2.
Таблице 2 – Пример идентификации рисков
Источники угрозы
Может использовать эту уязвимость
В результате возникает угроза
Вирус
Отсутствие антивирусного
ПО
Заражение вирусом
Хакер
Большое количество служб, запущенных на сервере
Несанкционированный доступ к конфиденциальной информации
Пользователи
Неверно настроенный параметр операционной системы
Неисправность системы
Пожар
Отсутствие системы пожаротушения
Здание и компьютеры повреждены, возможны человеческие жертвы
Сотрудник
Отсутствие обучения, требований или контроля
Общий доступ к критичной информации
Внесение изменений во вводимую информацию и выводимую из приложений обработки данных
Подрядчик
Слабые механизмы контроля доступа
Утечка конфиденциальной информации
Атакующий
Плохо написанное приложение
Нестрогие настройки межсетевого экрана
Проведение атаки
«переполнение буфера»
Проведение DoS-атаки
Нарушитель
Отсутствие охраны
Похищение компьютеров и других устройств
Существуют и другие, гораздо более сложные для выявления виды угроз, которые могут произойти в компьютерной среде. Эти угрозы связаны с ошибками в приложениях и ошибками пользователей. Однако, при надлежащей организации контроля и аудита действий пользователей их ошибки (умышленные или случайные) выявить существенно проще.
После выявления уязвимостей и связанных с ними угроз должны быть проанализированы последствия их использования, т.е. риски потенциального ущерба.
Ущерб может быть связан с повреждением данных или систем (объектов), несанкционированным разглашением конфиденциальной информации, снижением производительности работы и т.д. При проведении анализа рисков, группа должна также рассмотреть вероятный отложенный ущерб (delayed loss), который может произойти по
В действительности людей, которые понимают как управлять рисками, очень мало
(в том числе и за рамками вопросов безопасности). В информационной безопасности часто концентрируются на приложениях, устройствах, протоколах, вирусах и т.д. Эти детали безусловно должны быть учтены в процессе управления рисками, но они не должны быть в центре внимания при управлении рисками. Управление рисками в целом значительно важнее отдельных технических мер.
Безопасность - задача бизнеса. Однако бизнес работает, чтобы зарабатывать деньги, а не только чтобы быть безопасным. Бизнес часто обращает внимание на безопасность только тогда, когда появляются реальные угрозы основной деятельности - потеря репутации и клиентов из-за утечки информации, ущерб в результате вирусной атаки и т.д. Специалисты по информационной безопасности должны понимать эти угрозы, но гораздо важнее, чтобы они понимали как можно рассчитать риски этих угроз и предоставить карту рисков руководителям бизнеса.
Чаще всего бюджет является ограниченным, а количество уязвимостей - нет. В этом случае необходимо сконцентрироваться на наиболее критичных уязвимостях, устранение которых даст реальную отдачу для бизнеса.
4.2. Политика управления информационными рисками
Полноценное управление рисками требует полноценной поддержки высшего руководства, документированного процесса поддержки миссии организации, IRM- политики и IRM-группы.
IRM-политика должна быть частью общей политики управления рисками компании. IRM-политика должна быть отражена и в организационной политике безопасности компании. В IRM-политике должны учитываться следующие аспекты:
• Цели IRM-группы
• Уровень риска, который компания приняла для себя как приемлемый
• Формальные процессы выявления рисков
• Связь между IRM-политикой и процессами стратегического планирования компании
• Обязанности, связанные с IRM, и роли, необходимые для их выполнения
• Связь между рисками и внутренним контролем
• Подходы к изменению поведения сотрудников и распределения ресурсов с учетом анализа рисков
• Связь между рисками и целевыми показателями и бюджетами
• Ключевые показатели для мониторинга эффективности защитных мер IRM- политика предоставляет инфраструктуру для процессов и процедур управления рисками компании. Она должна охватывать все вопросы информационной безопасности, начиная от подбора персонала и инсайдерских угроз, заканчивая физической безопасностью и межсетевыми экранами. Она должна предоставлять механизм передачи информации о рисках от IRM-группы высшему руководству, а также механизм принятия решений о необходимости снижения рисков высшим руководством.
23 4.3. Группа управления рисками (IRM-группа)
В зависимости от размеров компании и бюджета безопасности компания может иметь одного или нескольких сотрудников, ответственных за IRM (IRM-группу).
Основная цель IRM-группы - обеспечить защиту компании наиболее выгодным
(экономически) и эффективным способом. Эта цель может быть достигнута только при наличии следующих компонентов:
• Установленный высшим руководством приемлемый уровень риска
• Документированные процессы и процедуры оценки рисков
• Процедуры выявления и снижения рисков
• Адекватные ресурсы и бюджет, предоставленные высшим руководством
• Планы действий при возникновении непредвиденных обстоятельств (для тех областей, оценка которых указывает на необходимость таких планов)
• Тренинги по вопросам безопасности для всех сотрудников, использующих информационные активы
• Возможность расширения (развития) группы в отдельных областях, в случае необходимости
• Учет и выполнение требований законодательства и регуляторов
• Разработка метрик и показателей эффективности, позволяющих измерить и управлять различными видами рисков
• Возможность выявления и оценки новых рисков при изменениях в компании или окружении
• Интеграция IRM и процессов управления изменениями компании, чтобы изменения не приводили к появлению новых уязвимостей
В большинстве случаев, в IRM-группу включают не отдельных, специально нанятых, сотрудников, а тех, которые уже работают в компании и выполняют другие задачи. В таких случаях совершенно необходима поддержка высшего руководства для надлежащего распределения ресурсов.
Как и в любой другой команде, IRM-группе нужен лидер. Он должен заниматься только этим вопросом (либо, в крупных компаниях, он должен уделять этому 50-70% рабочего времени). Руководство должно выделить этому человеку адекватный бюджет, в случае необходимости обеспечить профессиональную подготовку, наличие инструментов для успешного анализа рисков.
5. Анализ рисков
Анализ рисков, который на самом деле представляет собой инструмент для управления рисками, является методом выявления уязвимостей и угроз, оценки возможного воздействия, что позволяет выбирать адекватные защитные меры именно для тех систем и процессов, в которых они необходимы. Анализ рисков позволяет сделать безопасность экономически эффективной, актуальной, своевременной и способной реагировать на угрозы. Он также помогает компании приоритезировать список рисков, определить и обосновать разумную стоимость защитных мер.
Анализ рисков имеет четыре основные цели:
• Идентификация активов и их ценности для компании
• Идентификация угроз и уязвимостей
• Количественная оценка вероятности и влияния на бизнес этих потенциальных угроз
• Обеспечение экономического баланса между ущербом от воздействия угроз и стоимостью контрмер
Анализ рисков позволяет сравнить годовую стоимость защитных мер с потенциальным ущербом. Годовая стоимость защитных мер не должна превышать
24
потенциальный годовой ущерб. Также, анализ рисков позволяет связать программу безопасности с целями и требованиями бизнеса компании, что крайне важно для успеха и в том, и в другом.
Перед началом работы по выявлению и анализу рисков важно понять цель данной работы, ее объем и ожидаемый результат. Следует учитывать, что попытка проанализировать все риски во всех областях за один раз может оказаться невыполнимой.
Одной из первых задач группы анализа рисков является подготовка детального отчета по стоимости активов. Высшее руководство должно проанализировать этот отчет и определить сферу деятельности для IRM-проекта (объем работы), исключив из него те активы, которые не важны на данном этапе. При определении объема работ следует также учитывать бюджет проекта, а также требования законодательства. В ходе обсуждений с руководством, все участники должны иметь ясное представление о ценности обеспечения
AIC-триады (доступность, целостность и конфиденциальность) и ее непосредственной связи с потребностями бизнеса.
Анализ рисков должен осуществляться при поддержке и управлении со стороны высшего руководства. Только в этом случае он будет успешным. Руководство должно определить цели и масштабы анализа, назначить членов группы для проведения оценки, а также выделить необходимое время и средства для проведения этой работы. Крайне важно, чтобы высшее руководство внимательно отнеслось к результатам проведенной оценки.
5.1. Группа анализа рисков
Для наиболее эффективного анализа рисков, компания должна включить в состав группы анализа рисков сотрудников большинства (или всех) своих подразделений, что необходимо для выявления и учета всех рисков. Членами группы могут быть руководители подразделений, разработчики приложений, ИТ-персонал - любые ключевые сотрудники ключевых подразделений компании. Это совершенно необходимо, т.к. группа, состоящая только из ИТ-специалистов, не сможет выявить множество рисков (например, риски, связанные с работой бухгалтерии). Желательно в состав группы включать руководителей подразделений, а не рядовых сотрудников, которые могут не представлять себе работу всего подразделения в целом и, соответственно, не могут выявить все угрозы.
Для этого целесообразно установить соответствующий минимальный уровень должности для члена группы.
Если по какой-либо причине компания не может включить в группу сотрудников из различных подразделений, необходимо, как минимум, организовать проведение интервью с ключевыми сотрудниками каждого подразделения.
При анализе рисков следует задавать следующие вопросы: Что случится при реализации угрозы? Какими могут быть потенциальные последствия? Как часто это может происходить?
Какой уровень достоверности ответов на первые три вопроса? Большинство такой информации собирается в ходе внутренних исследований, интервью, собраний рабочих групп.
Владельцы рисков
Один из наиболее важных вопросов – кто в компании владеет рисками? Ответить на него непросто, т.к. это зависит от ситуации и от того, о каких рисках идет речь. Высшее руководство владеет рисками, связанными с процессом функционирования компании, но оно может переложить их на ответственных за хранение данных или бизнес- подразделения для проведения определенных работ, и на это время они должны выполнять отдельные обязанности владельцев рисков. Конечно, риски в конечном итоге всегда остаются у высшего руководства и оно должно быть уверено, что делегированная
25
работа выполняется понятными методами, в процессе нее учитываются существующие риски и предпринимаются действия по их минимизации.
5.2. Ценность информации и активов
Ценность информации опредляется трудоемкостью ее подготовки (сбора), стоимостью ее поддержки (сопровождения), величиной возможного ущерба в случае ее потери или уничтожения, стоимостью, которую другие лица (конкуренты, злоумышленники) готовы заплатить за нее, а также величиной возможных последствий и штрафов, в случае ее утраты (утечки). Без проведения оценки информации невозможно адекватно оценить целесообразность затрат денег и ресурсов на ее защиту. Ценность информации обязательно должна учитываться при выборе защитных мер.
5.3. Определение стоимости и ценности
Оценка актива может проводиться как количественными, так и качественными методами.
Фактическая стоимость актива определяется на основании стоимости его приобретения, разработки и поддержки. Ценность актива определяется его значением, которое он имеет для владельцев, уполномоченных и неуполномоченных пользователей.
Некоторая информация является важной для компании и ей присваивается гриф конфиденциальности.
Например, стоимость сервера составляет $4000, но это не является его ценностью, учитываемой при оценке рисков. Ценность определяется затратами на его замену или ремонт, потерями из-за снижения производительности, ущербом от повреждения или утраты хранящихся на нем данных. Именно это будет определять ущерб для компании в случае повреждения или утраты сервера по той или иной причине.
Следующие вопросы должны быть учтены при определении ценности активов:
• Затраты на получение или разработку актива
• Затраты на поддержку и защиту актива
• Ценность актива для владельцев и пользователей
• Ценность актива для злоумышленников (конкурентов)
• Ценность интеллектуальной собственности, использованной при разработке актива
• Цена, которую другие готовы заплатить за актив
• Затраты на замену актива при утрате
• Операционная и производственная деятельность, которая зависит от доступности актива
• Ответственность в случае компрометации актива
• Польза и роль актива в компании
Понимание ценности актива является первым шагом к пониманию того, какие средства и механизмы безопасности должны использоваться для его защиты. Ценность актива определяет стоимость защитных мер, которые следует использовать для его защиты.
Определение стоимости активов полезно для компании по целому ряду причин, включая следующие:
• Для проведения анализа затраты/выгоды (cost/benefit analyse)
• Для выбора конкретных контрмер и защитных средств
• Для определения необходимого уровня страхового покрытия
• Для понимания, чем именно рискует компания
• Для выполнения требований законодательства, регуляторов, соблюдения должной заботы (due care)
26
Активы могут быть материальным (компьютеры, оборудование, материалы) или нематериальные (репутация, данные, интеллектуальная собственность). Обычно трудно оценить количественно ценность нематериальных активов (например, репутации), которая может меняться с течением времени.
5.4. Идентификация угроз
Как было сказано ранее, риск - это вероятность того, что источник угрозы воспользуется уязвимостью, что приведет к негативному воздействию на бизнес.
Существует множество видов источников угрозы, которые могут использовать разные типы уязвимостей, что может привести к определенным угрозам. Некоторые примеры рисков показаны в таблице 2.
Таблице 2 – Пример идентификации рисков
Источники угрозы
Может использовать эту уязвимость
В результате возникает угроза
Вирус
Отсутствие антивирусного
ПО
Заражение вирусом
Хакер
Большое количество служб, запущенных на сервере
Несанкционированный доступ к конфиденциальной информации
Пользователи
Неверно настроенный параметр операционной системы
Неисправность системы
Пожар
Отсутствие системы пожаротушения
Здание и компьютеры повреждены, возможны человеческие жертвы
Сотрудник
Отсутствие обучения, требований или контроля
Общий доступ к критичной информации
Внесение изменений во вводимую информацию и выводимую из приложений обработки данных
Подрядчик
Слабые механизмы контроля доступа
Утечка конфиденциальной информации
Атакующий
Плохо написанное приложение
Нестрогие настройки межсетевого экрана
Проведение атаки
«переполнение буфера»
Проведение DoS-атаки
Нарушитель
Отсутствие охраны
Похищение компьютеров и других устройств
Существуют и другие, гораздо более сложные для выявления виды угроз, которые могут произойти в компьютерной среде. Эти угрозы связаны с ошибками в приложениях и ошибками пользователей. Однако, при надлежащей организации контроля и аудита действий пользователей их ошибки (умышленные или случайные) выявить существенно проще.
После выявления уязвимостей и связанных с ними угроз должны быть проанализированы последствия их использования, т.е. риски потенциального ущерба.
Ущерб может быть связан с повреждением данных или систем (объектов), несанкционированным разглашением конфиденциальной информации, снижением производительности работы и т.д. При проведении анализа рисков, группа должна также рассмотреть вероятный отложенный ущерб (delayed loss), который может произойти по