Процесс оценки рисков

Оценка риска — основной процесс в методологии управления риском. Риск является функцией вероятности того, что данный источник угроз осуществит частную потенциальную уязвимость, и результирующего влияния нежелательного события на органи­зацию.

Взаимоотношения между компонентами оценки риска пред­ставлены на рис. Для определения вероятности будущих нежелательных собы­тий угрозы для ИТ системы должны быть рассмотрены вместе с потенциальными уязвимостями и привязаны к местоположению в ИТ системе. Влияние связано с величиной ущерба, который может быть вызван угрозой, реализующей уязвимость. Уровень влияния определяется потенциальным предназначением влияния, и ему присваивается относительное значение для ИТ ресурса и ресурсов, на которые оно воздействует (т.е. критичность и чув­ствительность ИТ компонентов и данных).

Общая оценка риска включает в себя следующие шаги:

1) характеристика системы;

2) идентификация угроз;

3) идентификация уязвимостей;

4) анализ средств защиты (контроля);

5) определение вероятностей (ранжирование частот появления);

6) анализ влияния;

7) определение риска;

8) рекомендации по средствам защиты (контролю);

результирующая документация.

Характеристика системы. Она включает в себя описание систе­мы, системных компонентов, элементов системы, пользователей и т. п. В нее также включают расположение частей (подразделе­ний) организации, основные информационные потоки, класси­фикацию информации и другую необходимую информацию, ко­торая может использоваться на следующих шагах.

Идентификация угроз. Источник угроз - это или намеренное и методическое исследование цели в поисках уязвимостей, или си­туация и метод, которые случайно приводят к уязвимости.

Источник угроз определяется как любое обстоятельство или событие, которые потенциально могут нанести ущерб ИТ систе­ме.

Для определения системных уязвимостей рекомендуют исполь­зование источников угроз, результатов тестирования системной безопасности, разработку контрольного списка требований по безопасности.

Типы уязвимостей и методологии их определения обычно за­висят от природы ИТ системы и фазы ее жизненного цикла: если ИТ система еще не спроектирована, то поиск уязвимо­стей концентрируется на организационной ПБ, планируемых про­цедурах безопасности, определении системных требований и ана­лизе документов поставщиков продуктов безопасности;

• если ИТ система уже применяется, то идентификация долж­на быть расширена для включения дополнительной информации,

такой, например, как соответствие свойств безопасности, опи­санных в документации по безопасности, результатам сертифика­ционных тестов и испытаний;

• если ИТ система функционирует, то процесс идентифика­ции уязвимостей должен включать в себя анализ свойств безопа­сности ИТ системы и контроля безопасности (технического и про­цедурного), используемого для защиты системы.

Идентификация уязвимостей. Технические и нетехнические уязвимости, ассоциированные с обрабатывающим оборудовани­ем ИТ системы, могут быть идентифицированы посредством при­менения технологий сбора информации. Другим существенным источником данных по уязвимостям является Интернет. Часто в сети разработчиками публикуются известные системные уязви­мости вместе со средствами их устранения.

Могут применяться и другие документированные источники, например:

• результаты предыдущих оценок риска;

• отчеты аудита ИТ системы, отчеты о системных аномалиях, отчеты с обзорами безопасности, отчеты о системных тестах и оценках;

• списки уязвимостей, например, из баз данных уязвимостей;

• информационные бюллетени по безопасности;

• информационные бюллетени изготовителей;

• коммерческие компании, выполняющие функции информа­ционного аудита безопасности;

• анализ безопасности системного ПО;

• тестирование системной безопасности.

Для оценки реального наличия уязвимостей могут применять­ся методы тестирования (включая системное тестирование) для идентификации системных уязвимостей в зависимости от крити­чности ИТ системы и доступных ресурсов (т.е. выделенного бюд­жета, доступной технологии, наличия квалифицированного пер­сонала для осуществления тестирования). Методы тестирования включают в себя:

• средства автоматического сканирования уязвимостей;

• тесты и оценка безопасности;

• тесты на проникновение.

Средства автоматического сканирования уяз­вимостей используются для сканирования групп хостов или сети на известные уязвимые службы. Необходимо заметить, что некоторые потенциальные уязвимости, определенные таким ав­томатическим средством, могут не представлять реальных уязви­мостей в контексте реального системного оборудования органи­зации.

Тестирование и оценка безопасности могут быть использованы для идентификации уязвимостей во время процес­са оценки риска. Они включают в себя разработку и выполнение плана тестирования (т.е. разработку программных средств тестов, тестовые процедуры, ожидаемые результаты тестов). Назначение тестирования - протестировать эффективность контроля безо­пасности в ИТ системе, т.е. как он применен в операционном оборудовании. Цель - удостовериться, что прикладной контроль удовлетворяет спецификациям безопасности для ПО и аппарату­ры. Кроме того, оценивается то, как прикладной контроль согла­совывается с существующими требованиями (например, стандар­тами).

Тесты на проникновение могут использоваться для оценки контроля безопасности и уверенности в том, что разли­чные аспекты ИТ системы защищены. Тесты на проникновение могут использоваться для оценки способности ИТ системы про­тивостоять попыткам нарушения системной безопасности. Их це­лью является тестирование ИТ системы с точки зрения третьей стороны для идентификации потенциальных отказов защитных систем ИТ системы.

На основе анализа уязвимостей составляется список систем­ных уязвимостей, которые могут быть вызваны потенциальными источниками угроз.

Анализ средств защиты (контроля). Целью этого шага являет­ся анализ применяемых или планируемых к применению средств защиты (контроля) в организации для минимизации или устра­нения вероятности уязвимости, реализуемой источником угроз.

Определение вероятностей (ранжирование частот появления). Для получения общей оценки вероятности, которая показывает веро­ятность того, что потенциальная уязвимость может быть реализо­вана внутри конструкции ассоциированного с угрозой оборудо­вания, могут быть рассмотрены следующие факторы:

• движущая сила (мотивация) и способность источника угроз;

• природа уязвимости;

• существование и эффективность текущего контроля.
Поскольку получение количественных данных вероятностей

затруднено, обычно используются нечеткие шкалы. Например, ве­роятность того, что потенциальная уязвимость может быть реали­зована данным источником угроз, может быть описана как высо­кая, средняя и низкая.

Выходом данного шага являются ранжированные оценки ча­стот появления.

Анализ влияния. При проведении анализа влияния цель состо­ит в определении нежелательного влияния успешной реализа­ции уязвимостей угрозами. Для этого необходимо получить сле­дующую информацию:

• миссия системы (т.е. процессы, осуществляемые ИТ системой);

• критичность системы и данных (т.е. значение или важность системы для организации);

• чувствительность системы и данных.

Степень влияния также оценивается нечеткой шкалой.

Определение риска. Назначение этого шага - оценить уровень риска ИТ системы. Определение риска для частной пары угроза - уязвимость может быть выражена как функция:

• от вероятности того, что данный источник угроз пытается реализовать данную уязвимость;

• величины влияния при удачной реализации источником уг­роз уязвимости;

• достаточности планируемого или существующего контроля для уменьшения или устранения риска.

Для измерения риска используются шкалы риска и матрица уров­ней риска. В матрице уровней риска окончательное определение за­дачи риска получается умножением уровней частоты (классов) ве­роятностей угроз на степень влияния угроз. Такая матрица показы­вает, как общие классы риска могут быть определены на основе входов из категорий вероятности угрозы и влияния угрозы (табл.).

Данная матрица (3x3) является матрицей оценок угроз (высо­кой, средней, низкой) и влияния угрозы (высокое, среднее, низ­кое). В зависимости от требований организации и числа градаций желаемой оценки риска можно использовать матрицы 4x4 или 5x5. Например, в матрицу 5x5 могут быть добавлены следующие значения:

• для вероятности угрозы — очень низкая, очень высокая;

• для влияния угрозы — очень низкая, очень высокая.

Это позволит получить очень низкий и очень высокий уровни риска. Очень высокий уровень риска может требовать выключения системы или остановки всех средств интеграции ИТ системы.

Пример, приведенный в табл. 1.5, показывает, как получаются общие уровни риска. Определение этих уровней риска или классов может

быть в значительной степени субъективным. Логиче­ское обоснование может быть проведено в терминах вероятно­стей, присвоенных каждому уровню вероятности угрозы, и значе­ния, присвоенного каждому уровню влияния. Например, присво­ить вероятность для уровня угрозы высокий — 1,0; для среднего — 0,5; для низкого — 0,1. Для значений влияния: для высокого — 100; для среднего — 50; для низкого — 10.

Рекомендации по средствам защиты (контроля). На основе мат­рицы уровней рисков выбираются средства защиты (контроля), которые могут уменьшить или устранить идентифицированный риск. Целью этих рекомендаций является уменьшение уровня риска ИТ системе и ее данным до допустимого уровня. Рекомендации по сред­ствам защиты (контроля) являются результатом процесса оценки риска и дают исходные данные для процесса уменьшения риска, во время которого оценивается рекомендуемый процедурный и тех­нический контроль безопасности, назначаются приоритеты и вы­полняются планы покупки и внедрения различных средств.

Необходимо отметить, что не все рекомендуемые меры контро­ля могут быть применены для уменьшения потерь. Для определе­ния конкретных мер, которые требуются и соответствуют опреде­ленной организации, применяется анализ затрат и результатов (cost/benefit analysis). Данный анализ применяется к рекомендуе­мым средствам защиты, чтобы продемонстрировать, что стоимость применения контроля может быть оправдана снижением уровня риска. Дополнительно должны быть учтены такие влияния реко­мендуемых опций, как операционное влияние (т.е. влияние на про­изводительность системы) и осуществимость (т.е. выполнение тех­нических требований, пользовательская приемлемость).

В результате выполнения этого шага разрабатываются рекомен­дации по средствам защиты (контроля) и альтернативные реше­ния для уменьшения риска.

Результирующая документация. После выполнения оценки риска (источники угроз и уязвимости идентифицированы, риск оценен, рекомендации по контролю подготовлены) результаты должны быть представлены в виде официального отчета. Соответствующий отчет по оценке риска описывает угрозы, уязвимости, измерения риска и дает рекомендации по применению средств защиты (кон­троля).

Дата добавления: 2014-01-15; Просмотров: 4293; Нарушение авторских прав?; Мы поможем в написании вашей работы!