Понятие оценки рисков

Оценка рисков нарушения безопасности информационных систем является неотъемлемой частью процесса обеспечения информационной безопасности. Информационные системы зачастую являются важнейшим звеном в цепи процессов функционирования коммерческих организаций, и нарушения информационной безопасности зачастую приводят к серьезным потерям.

Риск ¾ возможность/вероятность того, что угроза через уязвимость (уязвимости) ресурсов приведет к потере или повреждению ресурсов.

Угроза ¾ любое событие, действующая сила или стечение обстоятельств, способное оказывать негативное воздействие на систему.

Уязвимость ¾ недостаток (слабая сторона) ресурса или группы ресурсов, которая может быть использована для осуществления угрозы.

Информационный риск ¾ возможность/вероятность причинения ущерба организации в результате нарушения конфиденциальности, целостности или доступности информации.

Анализ рисков (risk analysis) ¾ процесс идентификации рисков безопасности, определения их величины и источников.

Определение риска (risk evaluation) ¾ процесс сопоставления предполагаемого риска с заданными критериями оценки риска для определения значимости риска.

Оценка рисков (risk assessment) ¾ процесс анализа и определения рисков.

Управление рисками (risk management) ¾ процесс сопоставления идентифицированных и оцененных рисков, выгод/потерь при применении/неприменении мер безопасности и выработка политики безопасности и стратегии дальнейшего обеспечения безопасности, отвечающего задачам организации.

Управление рисками ¾ процесс идентификации и оценки рисков, а также принятия мер для снижения уровня риска до приемлемого уровня.

Меры безопасности ¾ деятельность, процедура или механизм, снижающий степень риска.

Остаточный риск ¾ риск, сохранившийся после применения мер безопасности.

Оценка рисков как этап обеспечения безопасности получила распространение с развитием опасных производств химической и атомной промышленности в середине прошлого века. Однако, "классические" методы оценки рисков (FMEA, FTA, HAZOP) плохо применимы к информационным системам, в силу того, что современные информационные системы, помимо прочего:

· Превосходят по масштабам и сложности любые технологические процессы.

· Зачастую содержат компоненты, удаленные на значительные расстояния.

· Подвержены широкому спектру информационных воздействий, характеризующихся высокой скоростью, интенсивностью и трудностью определения вредоносного воздействия среди прочих.

Принципиально другой подход к оценке рисков – экономический. Данный подход направлен на денежную оценку возможных потерь ресурсов. Но и в экономическом ключе информационные риски трудно оценивать в комплексе в силу нематериальной ценности целого ряда составляющих информационной системы, возможно рассмотрение лишь отдельных аспектов (например, анализ затрат и выгод)

Данные обстоятельства привели к появлению ряда специализированных методик оценки рисков информационной безопасности. Существующие методики направлены на адаптацию существующих методов оценки рисков к задачам информационной безопасности и не ограничиваются собственно оценкой рисков, рассматривая весь процесс управления рисками.

Этапы процесса управления рисками:

1. Установление границ исследования

Данный этап направлен на определение границ исследования с целью минимизации излишних действий.

2. Анализ рисков

Анализ рисков, как будет рассмотрено в дальнейшем, включает в себя определение ресурсов, угроз, уязвимостей и мер безопасности

3. Определение рисков

Определение рисков направлено на получение значения степени подверженности ресурса риску.

4. Выбор мер безопасности

На данном этапе определяются меры безопасности, направленные на снижение риска

5. Принятие риска

На данном этапе рассматривается вопрос о приемлемости риска после применения мер безопасности.

6. Составление политики безопасности

Политика безопасности, полученная в результате данного этапа, содержит детальное описание, и обоснование необходимых мер безопасности.

7. Составление плана безопасности

На финальном этапе происходит составление итогового заключения по проведенному исследованию. Результатом является характеристика исследованной системы, и рекомендации по обеспечению безопасности системы на основе полученных данных.

Этапы процесса оценки рисков:

1. Идентификация ресурсов

Под ресурсом понимается материальное или нематериальное имущество, которому организация-владелец присваивает финансовую ценность и обеспечивает его безопасность.

Под ресурсами понимается все, что имеет ценность для организации, эксплуатирующей информационную систему, не только сами данные (информация) и элементы информационной системы, напрямую подверженные информационным угрозам, но и персонал, и активы организации, в том числе и активы нематериальные, такие как имидж и доверие заинтересованных сторон.

Результатом данного этапа является перечисление всевозможных ресурсов системы.

2. Определение / классификация ресурсов и зависимостей между ними

После идентификации и перечисления ресурсы подлежат определению и оценке. Оценка ресурса зависит от применяемого метода оценки рисков. Связанные между собой ресурсы оцениваются в зависимости от степени их связи и ценности остальных ресурсов.

В результате данного этапа должны быть перечислены все возможные ресурсы и значения их ценности по ее составляющим.

3. Определение угроз

Процесс определения и классификации угроз включает в себя этапы определения источника и объекта угрозы, а так же возможности и вероятности осуществления угрозы. При этом должны приниматься в расчет природа угрозы, и дополнительные факторы, различные для различных типов угроз (географические для природных, социальные для злонамеренных и т.п.)

В результате данного этапа должен быть представлен список возможных угроз, ресурсов, им подверженных, и вероятность осуществления угроз по отношению к ресурсу.

4. Определение уязвимостей

Определение уязвимостей включает в себя обнаружение и классификацию слабостей в защите всех прямых и косвенных элементов информационной системы с учетом тесной связи самих защищаемых объектов и систем защиты.

Результат ¾ возможность реализации угрозы для конкретного ресурса через конкретную уязвимость.

5. Определение мер безопасности

На данном этапе производится определение существующих или планируемых мер безопасности, и проверка их на совместимость. Результат ¾ список всех мер безопасности, их осуществления и текущего состояния.

6. Определение рисков

Цель данного этапа ¾ получить оценку значения риска, которому подвергается информационная система и ее ресурсы, для дальнейшего использования этой информации для принятия мер безопасности.

Для сбора сведений об информационной системе на разных этапах процесса оценки рисков могут использоваться следующие методы:

· Вопросники. Они могут касаться, прежде всего, административных и процедурных регуляторов безопасности, существующих или планируемых. Вопросники распространяются среди административного и технического персонала, проектирующего и/или обслуживающего систему.

· Интервью. Беседы проводятся с административным и техническим персоналом и концентрируются на темах эксплуатации и управления.

· Просмотр документации. Политика безопасности, нормативные документы, техническая документация, предыдущие отчеты по оценке рисков, оценка критичности ресурсов, результаты аудита и тестирования, планы безопасности и т.п. – ценный источник информации о существующих и планируемых мерах безопасности, о степени критичности и чувствительности систем и данных.

· Применение инструментов автоматического сканирования. Программные и аппаратные инструменты автоматического обнаружения и анализа защищенности, позволяют эффективно собирать системную информацию, строить карту информационной системы, получать профили отдельных узлов системы и подсистем.

Дата добавления: 2014-11-20; Просмотров: 839; Нарушение авторских прав?; Мы поможем в написании вашей работы!