Качественные методы оценки рисков

Определение рисков

Определение уязвимостей

Идентификация уязвимостей может выполняться с помощью средств анализа защищенности и путем анализа общедоступных источников соответствующей информации. В специфических случаях требуется привлечение специальных знаний об особенностях системы и ее конфигурации.

Определение уязвимостей включает нахождение слабых сторон окружающей среды, самой организации, технических и административных процедур, персонала, руководства, аппаратного, программного обеспечения и линий связи информационной системы которые могут быть использованы источником угрозы для причинения вреда ресурсам и организации, ими владеющей.

Однако присутствие уязвимости само по себе не является источником опасности, так как для нанесения ущерба системе должна существовать угроза, использующая данную уязвимость. Однако, уязвимости, которым не соответствует ни одной известной угрозы, также должны контролироваться.

При определении уязвимостей применяется составление деревьев (графов) атак. Граф (дерево) атаки – это направленный граф, вершины которого соответствуют стадиям атаки, а ребра – переходам между стадиями; с каждым ребром связывается время, требующееся на успешное проведение очередной стадии атаки либо затраты, необходимые злоумышленнику для преодоления очередной ступени защиты.

Категоризация уязвимостей каждого элемента системы по типу атаки необходимо для того, чтобы связать с каждым ребром графа атаки набор уязвимостей, делающих переход по данному ребру возможным. Дерево атак может быть использовано и для количественного анализа системы, если связать с его узлами/ребрами/поддеревьями определенные количественные показатели.

В оценке рисков ключевую роль играет собственно анализ рисков как процесс сопоставления найденных компонентов риска c целью нахождения практически применимых характеристик риска. Анализ конкретного риска для данного ресурса или группы ресурсов может сводиться к определению в некоторой форме степени подверженности ресурса риску либо качественной / количественной характеристике возможного ущерба.

Анализ рисков в целом оперирует значениями:

· ценность ресурса (Asset Value, AV)

· вероятность осуществления угрозы (Likelihood, L)

· величина воздействия на ресурс (Impact, I)

· показатель уязвимости (Vulnerability, V)

· величина угрозы (Threat, T)

· меры безопасности (Safeguards, S)

Качественный анализ рисков ставит задачу получения некоторого сравнительного значения величины подверженности риску данного элемента системы среди прочих, что позволило бы в дальнейшем выработать оптимальную стратегию минимизации риска.

Входные данные для качественного анализа определяются при сопоставлении необходимого параметра используемой шкале оценки. На практике лица, ответственные за обеспечение функционирования элемента системы или ресурса на различных уровнях выбирают наиболее точно описывающее данный элемент/ресурс значение параметра.

Результат качественного анализа рисков ¾ численное значение ¾ приоритет (относительная величина) риска имеет смысл лишь при сопоставлении его по качественной шкале аналогичным параметрам для других частей системы. Так, например, величина риска может составлять от 0 до 100 баллов, где значение от 0 до 10 баллов принимается "низким", от 10 до 25 ¾ "средним", а от 25 до 100 ¾ "высоким", и элементы с "высоким" риском признаются приоритетными при принятии мер по снижению риска.

Для расчетов при качественном анализе широко применяются матрицы рисков. Матрица рисков представляет собой таблицу для функции двух аргументов, где координатные оси соответствуют входным параметрам, а границы ячеек ¾ используемым шкалам значений входных параметров. Результирующее значение для каждой ячейки оценивается по заданной шкале.

В матрицах рисков аналогичным способом могу вычисляться и другие показатели ¾ критичность, и т.д.

Дата добавления: 2014-11-20; Просмотров: 474; Нарушение авторских прав?; Мы поможем в написании вашей работы!