Уменьшение рисков

После получения результатов анализа рисков основной зада­чей является разделение рисков на приемлемые и неприемлемые. Если риск является неприемлемым, то необходимо применять процедуры его уменьшения. Процесс уменьшения риска включает в себя установление приоритетов отдельным составляющим об­щей оценки риска, оценку и применение соответствующих умень­шающих риск рекомендованных средств защиты (контроля). По­скольку устранение всех рисков обычно невозможно или непрак­тично, обязанностью администрации является выполнение анализа затрат и результатов и применение наиболее соответствующих средств защиты для уменьшения риска до допустимого уровня, характеризующегося минимальным нежелательным влиянием на ресурсы и миссию организации.

В общем случае уменьшение риска может быть достигнуто по­средством применения одной или комбинации следующих опера­ций уменьшения риска:

• принятие риска (принять потенциальный риск и продолжать
функционирование ИТ системы или применить средства защиты
для уменьшения риска до допустимого уровня);

• уклонение от риска (уклониться от риска, устранив причину риска и (или) последствий, т.е. отказаться от определенных фун­кций системы или выключать систему, когда идентифицируется риск);

• ограничение риска (ограничить риск применением средств
защиты, которые минимизируют нежелательное влияние реали­зации уязвимости угрозой, т.е. использовать поддерживающие, предупредительные или обнаруживающие средства);

• планирование риска (управлять риском, разрабатывая план
уменьшения риска, который устанавливает приоритеты, приме­няет и поддерживает средства защиты);

• исследования и подтверждения (уменьшить риск потерь под­тверждением уязвимости или дефекта и применением исследова­тельских средств защиты для устранения уязвимости); передача риска (передать риск, используя другие варианты для компенсации потерь, такие, например, как покупка страховки).

При принятии решения для уменьшения риска должны быть рассмотрены цели и миссия организации. Может оказаться не­практичным рассматривать все идентифицированные риски, по­этому должны быть установлены приоритеты для пар угроза - уяз­вимость, которые имеют потенциальную возможность оказывать наибольшее влияние на миссию или ущерб. Кроме того, при за­щите миссии организации и ее ИТ систем (поскольку каждая орга­низация имеет уникальное оборудование и решает свои задачи) варианты, используемые для уменьшения риска, и методы, ис­пользуемые для применения средств защиты, могут варьировать­ся. Наилучшим подходом является использование соответствую­щих технологий, в число которых входят использование средств защиты различных производителей, соответствующие варианты уменьшения риска и нетехнические административные меры.

Общая схема процесса уменьшения риска приведена на рис. Соответствующие точки применения действий средств защиты на рисунке помечены словом «да».

Рассмотрим правила, которые являются руководством по дей­ствиям уменьшения риска от преднамеренных угроз:

1) когда уязвимость (или дефект, слабость) существует — при­менить технику передачи (assurance) для уменьшения вероятнос­ти реализации уязвимости;

2) когда уязвимость может быть осуществлена — применить уровневую защиту, специальное проектирование архитектуры и
административные средства для минимизации риска или предуп­реждения его;

3) когда затраты атакующего меньше, чем потенциальный вы­игрыш - применить защиту для уменьшения мотивации атакую­щего так, чтобы увеличить затраты атакующего (т.е. использовать такие средства, которые ограничивают то, к чему может иметь доступ пользователь, и значительно уменьшают выигрыш атаку­ющего);

4) когда потери (убытки) очень велики — применить принци­пы конструирования, архитектуру, техническую и нетехническую защиту для ограничения степени влияния атаки и, таким обра­зом, уменьшить потенциал потерь.

Такая стратегия, за исключением третьего пункта, также при­менима для уменьшения риска, возрастающего в результате аппа­ратных или непреднамеренных человеческих угроз (т.е. ошибок системы или пользователей).

Как правило, основным методом снижения риска является применение соответствующих средств защиты (контроля). При этом необходимо применять следующее правило: «В первую очередь рассматривать наибольший риск, стремясь к значительному умень­шению риска при минимальной стоимости и минимальном влия­нии на другие свойства рассматриваемого объекта».

Для уменьшения риска используется следующая методология, описывающая подход к применению средств защиты.

Шаг 1 — присвоить приоритеты действиям. Базируясь на уров­нях риска, представленных в отчете по оценке риска, расставить приоритеты действиям. При применении к ресурсам наивысший приоритет должен быть дан значениям риска с неприемлемо боль­шими рангами (т.е. риску присвоен очень высокий или высокий уровень). Эти пары угроза—уязвимость будут требовать немедлен­ных корректирующих действий для защиты интересов и миссии организации. Выход шага 1 — ранжированные (от высокого до низкого) риски.

Шаг 2 — оценить рекомендуемые варианты защиты. Рекомен­дованные в результате процесса оценки риска средства защиты могут быть неподходящими и неосуществимыми для определен­ной организации и ИТ системы. Во время этого шага анализиру­ется их осуществимость (т. е. совместимость с существующими сред­ствами и системами, возможность принятия пользователями) и эффективность (т.е. степень защиты и уровень уменьшения рис­ка) рекомендованных средств защиты. Цель — выбрать наиболее подходящие средства для минимизации риска. Выход шага 2 — список подходящих средств защиты (контроля).

Шаг 3 — провести анализ затрат и результатов. Анализ выпол­няется для помощи руководству в принятии решения и иденти­фикации эффективной стоимости средств. Выход шага 3 — анализ затрат и результатов, описывающий стоимость и результаты при­менения (или не применения) средств защиты.

Шаг 4 — выбрать средства защиты. На основе анализа затрат и результатов управление организации определяет средства защиты для уменьшения риска для миссии организации на основе крите­рия стоимость—эффективность. Выбранные средства должны ком­бинировать технические, операционные и управляющие средства­ми элементы, чтобы обеспечить адекватную защиту ИТ системы и организации. Выход шага 4 — список выбранных средств.

Шаг 5 — назначить ответственных. Идентифицируются подхо­дящие персоны (из числа внутреннего персонала или с привлече­нием внешних организаций), которые имеют соответствующий опыт и знания в применении выбранных средств защиты, и на­значаются ответственными. Выход шага 5 — список ответственных персон.

Шаг 6 — разработать план реализации защиты. На этом шаге разрабатывается план реализации (применения) средств защиты (план действий). Этот план, как минимум, должен содержать сле­дующую информацию:

• риски (пары угроза —уязвимость) и соответствующие уровни риска (выход отчета оценки риска);

• рекомендуемые средства защиты (из отчета оценки риска);

• приоритеты действий (с приоритетами, данными с учетом очень высокого и высокого уровней риска);

• выбранные и планируемые к применению средства защиты
(определенные на основе осуществимости, эффективности и вы­игрыша для организации и стоимости);

• требуемые ресурсы для применения выбранных планируемых средств;

• списки ответственных команд и персонала;

• начальная дата применения;

• назначенная дата завершения применения;

• требуемые средства и необходимое обслуживание.

Этот план расставляет приоритеты действиям по применению
средств защиты и составлен от даты начала до даты конца. Он
поможет упростить процесс уменьшения риска. Выход шага 6 —
план применения средств защиты. •

Шаг 7 — применить выбранные средства защиты. В зависимо­сти от индивидуальной ситуации применение средств защиты может уменьшить уровень риска, но не уничтожить его. Выход шага 7 — остаточный риск.

При применении рекомендованных средств для уменьшения риска организация должна рассмотреть технические, управлен­ческие и операционные средства защиты или их комбинацию, чтобы обеспечить максимальную эффективность защиты для сво­ей ИТ системы и организации. Средства защиты, используемые надлежащим образом, могут защитить, ограничить или остано­вить ущерб источника угроз.

Остаточный риск. Применение средств защиты не гарантирует уничтожение риска, более того, это в принципе невозможно. По­этому всегда остается какой-то уровень риска, называемый оста­точным риском. Цель процесса уменьшения риска и состоит в по­лучении остаточного риска, который допустим для выполнения миссии организации. Общая схема получения остаточного риска показана на рис.

Организация может анализировать оценку уменьшения риска в результате применения новых или усовершенствованных средств защиты в терминах уменьшения вероятности угрозы или влияния — двух параметров, которые определяют уменьшение уровня риска миссии организации (рис.).

Для получения допустимого остаточного риска организация может использовать новые или усовершенствованные средства защиты, которые уменьшают риск посредством:

• удаления некоторых системных уязвимостей (дефектов и сла­бостей) путем уменьшения числа возможных пар источник угро­зы—уязвимость;

• добавления специальных нацеленных средств для уменьше­ния способности и мотивации источника угроз. Например, если определено, что стоимость инсталляции и поддержки дополни­тельного ПО безопасности для отдельного компьютера, храняще­го чувствительную информацию, слишком высока для организации, то

может быть применен усиленный административный и физический контроль, чтобы затруднить физический доступ к данному компьютеру;

• уменьшения величины нежелательного влияния (например,
ограничение степени уязвимости или модификация взаимоотношений между ИТ системой и миссией организации).

Вычисление и оценивание риска. Тенденции развития организа­ций показывают, что их компьютерные сети непрерывно расши­ряются и обновляются, компоненты сетей и ИТ меняются и до­полняются, прикладное ПО заменяется или обновляется новыми версиями. Кроме того, изменения затрагивают персонал органи­зации и соответственно политику безопасности. Эти изменения означают, что появляются новые риски, а риски, ранее подверг­шиеся уменьшению, снова становятся значительными. Поэтому процесс управления рисками должен быть непрерывным и эво­люционирующим.

В США процесс оценки риска обычно повторяется каждые 3 года государственными органами (ОМ В Circular A-130). Управление рис­ком должно интегрироваться с жизненным циклом ИТ системы, потому что это является хорошей практикой и поддержкой выпол­нения бизнеса организацией. Периодическое проведение процесса оценки риска позволит гибко и быстро реагировать на изменения в ИТ системе и обслуживающем оборудовании. Для успешного выпол­нения своей миссии организация должна иметь соответствующую программу управления риском.

Пример содержания результирующего отчета

Рассмотрим примерную структуру отчета оценки риска.
1. Введение: •

• цель;

• масштабы данной оценки риска.

Описание системных компонент, элементов, пользователей, расположение частей организации и другие детали системы, вклю­ченные в рассмотрение для оценки риска.

2. Подход к оценке риска — кратко описывается подход, ис­пользуемый для оценки риска:

• участники (т.е. члены команды оценки риска);

• техника, используемая для сбора информации;

• разработка и описание шкалы рисков (т.е. 3x3, 4x4 или 5x5
матрицы уровней риска).

3. Характеристика системы — характеризуются система, вклю­чая аппаратуру (серверы, маршрутизаторы, коммутаторы), про­граммное обеспечение (приложения, ОС, протоколы), систем­ные интерфейсы (коммуникационные каналы), данные (хранимые, передаваемые и обрабатываемые), и пользователи системы.
Приводятся диаграммы связности или схемы системных входов и выходов для очерчивания границ оценки риска.

4. Ведомость угроз — собираются и перечисляются потенциальные источники угроз и ассоциированные с ними действия, соот­ветствующие оцениваемой системе.

5. Результаты оценки риска — перечисляются все рассматри­ваемые утверждения (пары угроза—уязвимость). Каждое утверж­дение должно включать в себя:

• номер утверждения и краткое описание (например, «Утверж­дение 1: пароли системных пользователей могут быть подобраны или взломаны»);

• обсуждение источников пар угроз —уязвимостей;

• идентификация существующих средств защиты;

• обсуждение частоты появления и оценок влияния (высокая,
средняя, низкая);

• обсуждение анализа и оценки влияния (высокое, среднее,
низкое влияние);

• ранжирование риска на основе матрицы уровней риска (вы­сокий, средний, низкий уровень риска);

• рекомендуемые средства или альтернативные варианты для
уменьшения риска.

6. Заключение — сводка утверждений, ассоциированных уров­ней риска, рекомендации и любые комментарии, сведенные в таблицу для удобства пользования руководством организации и облегчения применения рекомендованных средств во время про­цесса уменьшения риска.

Дата добавления: 2014-01-15; Просмотров: 4288; Нарушение авторских прав?; Мы поможем в написании вашей работы!