Меню Рубрики

Как провести анализ рисков информационной безопасности

Цель практической работы, изучение методики и программного инструментария для анализа и оценки рисков информационной безопасности на примере методики СО ВІТ и программного инструментария Согаз.

Для выполнения практической работы на компьютере необходимо запустить программу из папки: Исполняемые модули/2_Лнализ рисков информационной безопасности.

Типы рисков — классификация рисков по источнику или их природе. Примером могут служить риски, связанные с нарушением законодательных актов, использованием той или иной технологии, нарушением бизнес-процессов.

Приемлемый уровень риска — его пороговое значение. Риски ниже приемлемого уровня или равные ему должны быть приняты руководством компании, а оставшиеся — минимизированы.

Стандарт управления рисками — схема, позволяющая определить, каким образом компания добивается снижения тех или иных рисков, какие механизмы при этом она использует, в каких случаях и как происходит принятие рисков или их снижение.

Матрица ИТ-рисков — таблица, представляющая собой картину рисков, «снимок» величин ИТ-рисков на момент проведения оценки.

Владелец процессов оценки рисков — ответственный за все процессы и мероприятия, из которых состоит управление рисками.

План работ по снижению рисков — методология управления рисками, содержащая правила разработки рекомендаций для снижения рисков, а собственно план должен включать в себя задачи по улучшению процессов оценки рисков.

Политики и процедуры — утвержденные корпоративные правила. Политики и процедуры определяют, каким образом должно осуществляться управление рисками на различных уровнях иерархии компании.

Обновление величин рисков — механизм, позволяющий на регулярной основе проводить оценку рисков и отслеживать их динамику, поскольку величины рисков постоянно находятся в движении, что может обеспечивать появление новых рисков.

Глобальный и системный уровни оценки ПТ-рисков — уровни, на которые методология оценки ИТ-рисков должна разделять свои задачи. Системный уровень — это уровень оборудования и операционной системы, базы данных, приложения, в то время как глобальный — это уровень организации процессов.

Резюме для руководителя — оповещение, которое должно быть включено в методологию управления ИТ-рисками и преследует цель донести до руководства своевременную и точную информацию для управления компанией.

Стратегия управления ИТ-рисками — методология управления рисками, предусматривающая способы управления рисками, например исключение (обход), снижение, принятие и страхование.

Определение компонентов риска — материальные и нематериальные активы, степень их защищенности, ценность, угрозы, потенциальный ущерб и вероятность реализации угроз.

Области рисков — бизнес-риски, нарушение законодательства, коммерческие, технологические и та область рисков, которая связана с человеческим фактором.

Обновление матрицы рисков — проведение компанией повторных оценок величин рисков на регулярной основе для принятия адекватных мер по управлению ИТ-рисками, поскольку последние обладают свойством меняться во времени по величине.

Количественная оценка — величины рисков, выражающиеся в цифрах, например, в деньгах, времени простоя сервера, упущенной выгоде.

Качественная оценка — величины рисков, характеризующиеся относительно, например, риск «высокий», «средний», «низкий».

Независимое мнение — обращение компании к услугам третьих лиц для проверки эффективности некоторых процессов.

Возврат инвестиций — процедура, используемая руководством компании для оценки эффективности инвестиций.

Баланс способов управления — набор мер по снижению рисков, имеющий минимально возможную стоимость, которая достигается путем рационального сочетания предотвращающих, выявляющих, корректирующих и восстанавливающих способов управления.

Управление конфликтами — процесс выявления и решения возникающих время от времени конфликтов (например, сетевой экран может блокировать трафик Интернет-приложения).

Мониторинг используемых способов управления — наблюдение за примененным способом управления с целью достижения его эффективности.

Процедура реагирования на инциденты — анализ происходящих событий и вынесение решений по этому поводу. Инциденты могут представлять собой негативные или позитивные события, например, действия хакера, обнаруженные одним из способов управления, могут дать столько же полезной информации для составления плана по минимизации рисков, сколько и успешное проникновение злоумышленника.

Согласование плана работ по снижению рисков — своевременное устранение обнаруженных недостатков в плане работ по минимизации рисков. Согласование необходимо, чтобы достичь уверенности в том, что план включает только правильные мероприятия.

Анализ рисков, как составляющая аудита информационной безопасности

Целью анализа рисков, связанных с эксплуатацией информационных систем (ИС), является оценка угроз (т.е. условий и факторов, которые могут стать причиной нарушения целостности системы, ее конфиденциальности, а также облегчить несанкционированный доступ к ней) и уязвимостей (слабых мест в защите, которые делают возможной реализацию угрозы), а также определение комплекса контрмер, обеспечивающего достаточный уровень защищенности ИС. При оценивании рисков учитываются многие факторы: ценность ресурсов, значимость угроз, уязвимостей, эффективность имеющихся и планируемых средств защиты и многое другое.

Процесс управления направлен на определение событий, которые могут оказать влияние на организацию, и на управление связанным с этими событиями риском. При этом обеспечивается контроль над допустимым уровнем риска при разумной гарантии достижения целей организации. Управление рисками организации представляет собой непрерывный процесс, охватывающий всю организацию, осуществляется сотрудниками на всех уровнях организации (советом директоров, менеджерами и другими сотрудниками), используется при разработке и формировании стратегии, применяется во всей организации, на каждом ее уровне и в каждом подразделении и включает анализ портфеля рисков на уровне организации.

К мерам по управлению ИТ-рисками относятся: разработка нормативных документов; обеспечение физической безопасности и безопасности ИС; разграничение доступа к ресурсам компании; контроль состояния корпоративной ИС. Во-первых, определяется объект защиты — проводится инвентаризация информационных активов, оценивается их критичность для бизнес-процессов компании. Во-вторых, решается, от чего осуществляется защита. Для этого анализируются присущие системе уязвимости, определяется степень их критичности — вероятность того, что они могут быть реализованы.

Далее внедряются контрмеры, анализируется их результативность и принимается решение — оптимизировать или оставлять работать. Необходимо отслеживать изменения, происходящие как в ИС, так и в окружающей среде, чтобы своевременно вносить соответствующие коррективы.

Применение дополнительных мер по защите, позволяющих обеспечить приемлемую для организации величину риска (например, защитить и/или ограничить доступ в Интернет), дает возможность минимизировать или предупредить возможные риски.

Возможная последовательность шагов по предупреждению и минимизации рисков:

  • 1) на этапе создания корпоративного стандарта управления рисками разрабатывается стандарт, который устанавливает процедуры по управлению рисками;
  • 2) на этапе оценки рисков выполняются процедуры выявления факторов рисков и оценки их значимости, по сути — анализ вероятности того, что произойдут определенные нежелательные события, которые отрицательно повлияют на достижение целей проекта. Оценка рисков включает их идентификацию, анализ, оценку, а также методы снижения рисков или уменьшения связанных с ними неблагоприятных последствий;
  • 3) назначается лицо, ответственное за все процессы и мероприятия по управлению рисками. В большинстве организаций это владелец активов, руководство компании;
  • 4) этап обработки рисков предполагает использование одной из следующих стратегий: избежать, передать (страхование, аутсорсинг), минимизировать, принять;
  • 5) в процессе мониторинга, идентификации и переоценки рисков для каждого из них следует определить и документировать события, которые можно отслеживать для того, чтобы понять, удалось ли избежать наступления риска, либо минимизировать последствия наступившего риска. Для каждого риска должны быть выполнены все действия, предусмотренные планом смягчения последствий риска;
  • 6) этап совершенствования методологии и оценки остаточных рисков предполагает реагирование на инциденты с последующим анализом происходящих событий.

Несмотря на повышение интереса к управлению рисками используемые в настоящее время методики относительно неэффективны, поскольку этот процесс во многих компаниях осуществляется каждым подразделением независимо. Централизованный контроль (или надзор) над их действиями зачастую отсутствует, что исключает возможность реализации единого и целостного подхода к управлению рисками во всей организации.

В настоящее время используются два варианта подхода к анализу рисков — базовый и полный. Выбор зависит от оценки собственниками ценности своих информационных ресурсов и возможных последствий нарушения режима информационной безопасности. В простейшем случае собственники информационных ресурсов могут не оценивать эти параметры. Подразумевается, что ценность ресурсов с точки зрения организации не является чрезмерно высокой. В этом случае анализ рисков производится по упрощенной схеме: рассматривается стандартный набор наиболее распространенных угроз без оценки их вероятности и обеспечивается минимальный или базовый уровень информационной безопасности.

Полный вариант анализа рисков применяется в случае повышенных требований к информационной безопасности. В отличие от базового варианта, в том или ином виде оцениваются ресурсы, характеристики рисков и уязвимостей. Как правило, проводится анализ соотношения стоимость/эффективность нескольких вариантов защиты.

Таким образом, при проведении полного анализа рисков необходимо:

  • • определить ценность ресурсов;
  • • добавить к стандартному набору список угроз, актуальных для исследуемой НС;
  • • оценить вероятность угроз;
  • • определить уязвимость ресурсов;
  • • предложить решение, обеспечивающее необходимый уровень информационной безопасности.

В ИС с повышенными требованиями к информационной безопасности при выполнении полного анализа рисков приходится решать ряд сложных проблем, заключающихся в том, как определить ценность ресурсов, как составить полный список угроз и оценить их параметры, как правильно выбрать эффективные контрмеры.

Риск характеризует опасность, которой может подвергаться система и использующая ее организация.

Степень риска зависит от ряда факторов:

  • — ценности ресурсов;
  • — вероятности реализации угроз;
  • — простоты использования уязвимости для реализации угроз;
  • — существующих или планируемых к внедрению средств обеспечения информационной безопасности, которые уменьшают число уязвимостей, вероятность возникновения угроз и возможность негативных воздействий.

Определение ценности ресурсов

Ресурсы обычно подразделяются на несколько классов.

Пример классификации ресурсов и стоимостная их оценка приведены на рис. 2.1.

Для каждого класса необходима своя методика определения ценности элементов, помогающая выбрать подходящий набор критериев. Эти критерии служат для описания потенциального ущерба,

Рис. 2.1. Классификация и определение ценности ресурсов

связанного с нарушением конфиденциальности и целостности ИС, уровня ее доступности.

Физические ресурсы оцениваются по стоимости их замены или восстановления их работоспособности. Качественные оценки стоимостных величин затем преобразуются в ранговую шкалу, которая может использоваться также и для оценок информационных ресурсов. Программные ресурсы оцениваются тем же способом, что и физические, на основе определения затрат на их приобретение или восстановление.

Кроме критериев, учитывающих финансовые потери, коммерческие организации могут применять критерии, отражающие:

  • — ущерб репутации организации;
  • — неприятности, связанные с нарушением действующего законодательства;
  • — ущерб для здоровья персонала;
  • — ущерб, связанный с разглашением персональных данных отдельных лиц;
  • — финансовые потери от разглашения информации;
  • — финансовые потери, связанные с восстановлением ресурсов;
  • — потери, связанные с невозможностью выполнения обязательств;
  • — ущерб от дезорганизации деятельности.

Очевидно, что процесс оценивания потерь по приведенным критериям часто носит субъективный характер.

Могут использоваться и другие критерии в зависимости от основной деятельности организации.

Оценка характеристик факторов риска

Ресурсы должны быть проанализированы по величине оценки воздействия возможных атак (спланированных действий внутренних или внешних злоумышленников) и различных нежелательных событий естественного происхождения. Кроме того, необходимо идентифицировать уязвимости — слабые места в системе защиты, которые делают возможной реализацию угроз.

Вероятность угрозы повышается при наличии следующих факторов:

  • — привлекательность ресурса (этот показатель учитывается при рассмотрении угрозы умышленного происхождения);
  • — возможность использования ресурса для получения дохода (показатель учитывается при рассмотрении угрозы умышленного происхождения);
  • — простота использования уязвимости при проведении атаки.

Технология анализа рисков

Существует множество методик анализа рисков. Некоторые из них основаны на достаточно простых табличных методах и не предполагают применения специализированного программного инструментария, другие, наоборот, его используют.

В табличных методах можно наглядно отразить связь факторов негативного воздействия (показателей ресурсов) и вероятностей реализации угроз с учетом показателей уязвимостей.

Подобные методы сводятся к нескольким несложным шагам. Вот пример одного из таких методов.

На первом шаге оценивается негативное воздействие (показатель ресурса) по заранее определенной шкале (скажем, от 1 до 5) для каждого ресурса, которому угрожает опасность.

На втором шаге по той же шкале оценивается вероятность реализации каждой угрозы.

На третьем шаге вычисляется показатель риска. В простейшем варианте методики это делается путем умножения. Однако необходимо помнить, что операция умножения определена для количественных шкал.

На четвертом шаге угрозы ранжируются по значениям их фактора риска.

В настоящее время на рынке существует около двух десятков программных продуктов для анализа рисков: от простейших, ориентированных на базовый уровень безопасности, до сложных и дорогостоящих, позволяющих реализовать полный вариант анализа рисков и выбрать комплекс контрмер требуемой эффективности.

Читайте также:  Как срезать ноготь для анализа на грибок

Программные средства, необходимые для полного анализа рисков, строятся с использованием структурных методов системного анализа и проектирования (Structured Systems Analysis and Design, SSADM) и представляют собой инструментарий для выполнения следующих операций:

  • — построение модели ИС с позиции информационной безопасности;
  • — оценка ценности ресурсов;
  • — составление списка угроз и уязвимостей, оценка их характеристик;
  • — выбор контрмер и анализа их эффективности;
  • — анализ вариантов построения защиты;
  • — документирование (генерация отчетов).

Примерами программных продуктов этого класса являются CRAMM (разработчик — компания Logica, Великобритания), MARION (разработчик CLUSIF, Франция), Risk Watch (США).

Обязательным элементом этих продуктов является база данных, содержащая информацию по инцидентам в области информационной безопасности, позволяющая оценить риски и уязвимости, эффективность различных вариантов контрмер в определенной ситуации.

источник

Одним из важнейших аспектов реализации политики ИБ является анализ угроз, оценка их достоверности и тяжести вероятных последствий. Реально риск появляется там, где есть вероятность осуществления угрозы, при этом величина риска прямо пропорциональна величине этой вероятности (рис. 4.11).

Суть деятельности по управлению рисками состоит в том, чтобы оценить их размер, выработать меры по уменьшению и создать механизм контроля того, что остаточные риски не выходят за приемлемые ограничения. Таким образом, управление рисками включает в себя два вида деятельности: оценка рисков и выбор эффективных и экономичных защитных и регулирующих механизмов. Процесс управления рисками можно подразделить на следующие этапы [Галатенко В. А., 2006]:

  • идентификация активов и ценности ресурсов, нуждающихся в защите;
  • выбор анализируемых объектов и степени детальности их рассмотрения;
  • анализ угроз и их последствий, определение слабостей в защите;
  • классификация рисков, выбор методологии оценки рисков и проведение оценки;
  • выбор, реализация и проверка защитных мер;
  • оценка остаточного риска.

Рис. 4.11.Неопредленнось как основа формирования риска

Политика ИБ включает разработку стратегии управления рисками разных классов.

Краткий перечень наиболее распространенных угроз приводился выше (см. п. 17.2). Целесообразно выявлять не только сами угрозы, но и источники их возникновения — это поможет правильно оценить риск и выбрать соответствующие меры нейтрализации. Например, нелегальный вход в систему повышает риск подбора пароля или подключения к сети неавторизованного пользователя или оборудования.

Очевидно, что для противодействия каждому способу нелегального входа нужны свои механизмы безопасности. После идентификации угрозы необходимо оценить вероятность ее осуществления и размер потенциального ущерба.

Оценивая тяжесть ущерба, необходимо иметь в виду не только непосредственные расходы на замену оборудования или восстановление информации, но и более отдаленные, в частности подрыв репутации компании, ослабление её позиций на рынке и т. п.

После проведения идентификации и анализа угроз, их возможных последствий имеется несколько подходов к управлению: оценка риска, уменьшение риска, уклонение от риска, изменение характера риска, принятие риска, выработка корректирующих мероприятий (рис. 4.12).

Рис. 4.12.Схема управления рисками

При идентификации активов и информационных ресурсов — тех ценностей, которые нужно защитить — следует учитывать не только компоненты информационной системы, но и поддерживающую инфраструктуру, персонал, а также нематериальные ценности, в том числе текущий рейтинг и репутацию компании. Тем не менее, одним из главных результатов процесса идентификации активов является получение детальной информационной структуры организации и способов ее использования.

Выбор анализируемых объектов и степень детальности их рассмотрения — следующий шаг в оценке рисков. Для небольшой организации допустимо рассматривать всю информационную инфраструктуру, для крупной — следует сосредоточиться на наиболее важных (критичных) сервисах. Если важных сервисов много, то выбираются те из них, риски для которых заведомо велики или неизвестны. Если информационной основой организации является локальная сеть, то в число аппаратных объектов следует включить компьютеры, периферийные устройства, внешние интерфейсы, кабельное хозяйство и активное сетевое оборудование.

К программным объектам следует отнести операционные системы (сетевая, серверные и клиентские), прикладное программное обеспечение, инструментальные средства, программы управления сетью и отдельными подсистемами. Важно зафиксировать в каких узлах сети хранится программное обеспечение, где и как используется. Третьим видом информационных объектов являются данные, которые хранятся, обрабатываются и передаются по сети. Следует классифицировать данные по типам и степени конфиденциальности, выявить места их хранения и обработки, а также способы доступа к ним. Все это важно для оценки рисков и последствий нарушений информационной безопасности.

Оценка рисков производится на основе накопленных исходных данных и оценки степени определенности угроз. Вполне допустимо применить такой простой метод, как умножение вероятности осуществления угрозы на величину предполагаемого ущерба. Если для вероятности и ущерба использовать трехбалльную шкалу, то возможных произведений будет шесть: 1, 2, 3, 4, 6 и 9. Первые два результата можно отнести к низкому риску, третий и четвертый — к среднему, два последних — к высокому. По этой шкале можно оценивать приемлемость рисков.

Если какие-либо риски оказались недопустимо высокими, необходимо реализовать дополнительные защитные меры. Для ликвидации или уменьшения слабости, сделавшей опасную угрозу реальной, можно применять несколько механизмов безопасности, отличающихся эффективностью и невысокой стоимостью. Например, если велика вероятность нелегального входа в систему, можно ввести длинные пароли, задействовать программу генерации паролей или закупить интегрированную систему аутентификации на основе интеллектуальных карт. Если имеется вероятность умышленного повреждения серверов различного назначения, что грозит серьезными последствиями, можно ограничить физический доступ персонала в серверные помещения и усилить их охрану.

Технология оценки рисков должна сочетать формальные метрики и формирование реальных количественных показатели для оценки. С их помощью необходимо ответить на два вопроса: приемлемы ли существующие риски, и если нет, то какие защитные средства экономически выгодно использовать.

Рис. 4.13.Схема оценки и снижения рисков

Методология снижения рисков. Многие риски можно существенно уменьшить путем использования простых и недорогих контрмер. Например, грамотное (регламентированное) управление доступом снижает риск несанкционированного вторжения. От некоторых классов рисков можно уклониться — вынесение Web-сервера организации за пределы локальной сети позволяет избежать риска несанкционированного доступа в локальную сеть со стороны Web-клиентов. Некоторые риски не могут быть уменьшены до малой величины, однако после реализации стандартного набора контрмер их можно принять, постоянно контролируя остаточную величину риска (рис. 4.13).

Оценка стоимости защитных мер должна учитывать не только прямые расходы на закупку оборудования и/или программного обеспечения, но и расходы на внедрение новинки, обучение и переподготовку персонала. Эту стоимость можно выразить в некоторой шкале и затем сопоставить ее с разностью между вычисленным и приемлемым риском. Если по этому показателю средство защиты оказывается экономически выгодным, его можно принять к дальнейшему рассмотрению.

Рис. 4.14.Итерационный процесс управления рисками

Контроль остаточных рисков в обязательном порядке включается в текущий контроль системы ИБ. Когда намеченные меры приняты, необходимо проверить их действенность — убедиться, что остаточные риски стали приемлемыми. В случае систематического повышения остаточных рисков необходимо проанализировать допущенные ошибки и немедленно принять корректирующие меры.

Управление рисками является многоступенчатым итерационным процессом (рис. 4.14).

Практически все его этапы связаны между собой, и по завершении почти любого из них может выявиться необходимость возврата к предыдущему. Так, при идентификации активов может возникнуть понимание, что выбранные границы анализа следует расширить, а степень детализации — увеличить. Особенно труден первичный анализ, когда многократные возвраты к началу неизбежны. Управление рисками — типичная оптимизационная задача, принципиальная трудность состоит в её грамотной постановке на уровне высшего менеджмента, сочетании оптимальных методик и описания исходных данных (рис. 4.15).

Рис. 4.15.Формирование деятельности по управлению ИТ-рисками

Методологии «Оценка рисков» (Risk Assessment) и «Управление рисками» (Risk Management) стали неотъемлемой составляющей деятельности в области обеспечения непрерывности бизнеса (Business Continuity) и информационной безопасности (Information Security). Программа реализации ИБ и наборы политик базируются на совокупности системных действий и практических шагов (рис. 4.16-рис. 4.19).

Рис. 4.16.Совокупности системных действий и практических шагов (1)

Рис. 4.17.Совокупности системных действий и практических шагов (2)

Рис. 4.18.Совокупности системных действий и практических шагов (3)

Рис. 4.19.Совокупности системных действий и практических шагов (4)

Подготовлено и активно используются более десятка различных международных стандартов и спецификаций, детально регламентирующих процедуры управления информационными рисками: ISO 15408: 1999 («Common Criteria for Information Technology Security Evaluation»), ISO 17799:2002 («Code of Practice for Information Security Management»), NIST 80030, SAS 78/94, COBIT.

Методика и инструментальное средство RA Software Tool основаны на требованиях международных стандартов ISO 17999 и ISO 13335 (части 3 и 4), а также на требованиях руководств Британского национального института стандартов (BSI) — PD 3002 («Руководство по оценке и управлению рисками»), PD 3003 («Оценка готовности компании к аудиту в соответствии с BS 7799»), PD 3005 («Руководство по выбору системы защиты»).

На практике такие методики управления рисками позволяют:

  • создавать модели информационных активов компании с точки зрения безопасности;
  • классифицировать и оценивать ценности активов;
  • составлять списки наиболее значимых угроз и уязвимостей безопасности;
  • ранжировать угрозы и уязвимости безопасности;
  • оценивать и отрабатывать риски;
  • разрабатывать корректирующие меры;
  • обосновывать средства и меры контроля рисков;
  • оценивать эффективность/стоимость различных вариантов защиты;
  • формализовать и автоматизировать процедуры оценивания и управления рисками.

Отработка рисков включает в себя ряд важных этапов, которые в обязательном порядке включаются в плановую работу по обеспечению информационной безопасности (рис. 4.20).

Применение соответствующих программных средств позволяет уменьшить трудоемкость проведения анализа рисков и выбора контрмер. В настоящее время разработано более десятка программных продуктов для анализа и управления рисками базового уровня безопасности. Примером достаточно простого средства является программный пакет BSS (Baseline Security Survey, UK).

Программные продукты более высокого класса: CRAMM (компания Insight Consulting Limited, UK), Risk Watch, COBRA (Consultative Objective and Bi-Functional Risk Analysis), Buddy System. Наиболее популярный из них — CRAMM (Complex Risk Analysis and Management Method), реализующий метод анализа и контроля рисков. Существенным достоинством метода является возможность проведения детального исследования в сжатые сроки с полным документированием результатов.

Рис. 4.20.Этапы отработка риска

В основе методов, подобных CRAMM, лежит комплексный подход к оценке рисков, сочетающий количественные и качественные методы анализа. Метод является универсальным и подходит как для больших, так и для мелких организаций, как правительственного, так и коммерческого сектора.

К сильным сторонам метода CRAMM относится следующее:

  • CRAMM является хорошо структурированным и широко опробованным методом анализа рисков, позволяющим получать реальные практические результаты;
  • программный инструментарий CRAMM может использоваться на всех стадиях проведения аудита безопасности ИС;
  • в основе программного продукта лежит достаточно объемная база знаний по контрмерам в области информационной безопасности, базирующаяся на рекомендациях стандарта BS 7799;
  • гибкость и универсальность метода CRAMM позволяет использовать его для аудита ИС любого уровня сложности и назначения;
  • CRAMM можно использовать в качестве инструмента для разработки плана непрерывности бизнеса и политик информационной безопасности организации;
  • CRAMM может использоваться в качестве средства документирования механизмов безопасности ИС.

Для коммерческих организаций имеется коммерческий профиль стандартов безопасности (Commercial Profile), для правительственных организаций — правительственный (Government Profile). Правительственный вариант профиля, также позволяет проводить аудит на соответствие требованиям американского стандарта TCSEC («Оранжевая книга»).

Не нашли то, что искали? Воспользуйтесь поиском:

источник

Пример таблицы интегральных показателей ущерба, рассчитанных по величинам материального ущерба и степени влияния события риска на репутацию

На основе интегральных показателей ущерба и показателей вероятности наступления событий риска рассчитываются величины имеющихся информационных рисков:

Вероятность наступления события риска
Ущерб

Пример таблицы величин риска, рассчитанных по показателям ущерба и вероятности наступления события риска

После определения величин рисков информационной безопасности эксперты ARinteg разрабатывают детальные рекомендации по их минимизации, которые включают все необходимые организационные и технические меры.

Тема 24. Методы защиты информации.

Общие понятия информационной безопасности.

Виды угроз информационной безопасности.

Определение и классификация вирусов.

Средства и методы защиты информации.

Антивирусная защита.

Криптографическая защита.

Общие понятия информационной безопасности.

В последние годы большое внимание уделяется вопросам защиты информации, накапливаемой, хранимой и обрабатываемой как в отдельных компьютерах, так и построенных на их основе вычислительных системах. При этом под защитой информации понимается создание совокупности средств, методов и мероприятий, предназначенных для предупреждения искажения, уничтожения и несанкционированного использования защищаемой информации.

Основными факторами, способствующими повышению уязвимости информации, являются:

— постоянно возрастающие объемы обрабатываемых данных;

— сосредоточение в единых базах данных информации различного назначения и принадлежности;

— резкое расширение круга пользователей, имеющих непосредственный доступ к ресурсам вычислительной системы;

— расширение использования компьютерных сетей, в частности глобальной сети Интернет, по которым передаются большие объемы информации государственного, военного, коммерческого и частного характера и т.д.

Учитывая эти факты, защита информации в процессе ее сбора, хранения, обработки и передачи приобретает исключительно важное значение.

Введем ряд определений, используемых при описании средств и методов защиты информации в системах автоматизированной обработки, построенных на основе средств вычислительной техники.

Компьютерная система (КС) – организационно-техническая система, представляющую совокупность следующих взаимосвязанных компонентов:

— технические средства обработки и передачи данных;

— методы и алгоритмы обработки в виде соответствующего программного обеспечения;

— данные – информация на различных носителях и находящаяся в процессе обработки;

— конечные пользователи – персонал и пользователи, использующие КС с целью удовлетворения информационных потребностей;

— объект доступа, или объект, – любой элемент КС, доступ к которому может быть произвольно ограничен (файлы, устройства, каналы);

— субъект доступа, или субъект, – любая сущность, способная инициировать выполнение операций над объектом (пользователи, процессы).

Информационная безопасность – состояние КС, при котором она способна противостоять дестабилизирующему воздействию внешних и внутренних информационных угроз и при этом не создавать таких угроз для элементов самой КС и внешней среды.

Под безопасностью информации понимается защищенность информации от нежелательного (для соответствующих субъектов информационных отношений) ее разглашения (нарушения конфиденциальности), искажения (нарушения целостности), утраты или снижения степени доступности информации, а также незаконного ее тиражирования.

Под уязвимостью информации понимается подверженность информации воздействию различных дестабилизирующих факторов, которые могут привести к нарушению ее конфиденциальности, целостности, доступности, или неправомерному ее тиражированию.

Конфиденциальность информации – свойство информации быть доступной только ограниченному кругу конечных пользователей и иных субъектов доступа, прошедших соответствующую проверку и допущенных к ее использованию.

Целостность информации – свойство сохранять свою структуру и содержание в процессе хранения, использования и передачи.

Достоверность информации – свойство, выражаемое в строгой принадлежности информации субъекту, который является ее источником.

Доступность информации – свойство системы, в которой циркулирует информация, характеризующееся способностью обеспечивать своевременный беспрепятственный доступ к информации субъектов, имеющих на это надлежащие полномочия.

Санкционированный доступ к информации – доступ с выполнением правил разграничения доступа к информации.

Несанкционированный доступ (НСД) – доступ с нарушением правил разграничения доступа субъекта к информации, с использованием штатных средств (программного или аппаратного обеспечения), предоставляемых КС.

Правила разграничения доступа – регламентация прав доступа субъекта к определенному компоненту системы.

Идентификация – это присвоение пользователю уникального обозначения для проверки его соответствия.

Аутентификация – установление подлинности пользователя для проверки его соответствия.

Угроза информационной безопасности КС – возможность воздействия на информацию, обрабатываемую КС, с целью ее искажения, уничтожения, копирования или блокирования, а также возможность воздействия на компоненты КС, приводящие к сбою их функционирования.

Атака КС – действия злоумышленника, предпринимаемые с целью обнаружения уязвимости КС и получения несанкционированного доступа к информации.

Безопасная, или защищенная, КС – КС, снабженная средствами защиты для противодействия угрозам безопасности.

Комплекс средств защиты – совокупность аппаратных и программных средств, обеспечивающих информационную безопасность.

Политика безопасности – совокупность норм и правил, регламентирующих работу средств защиты от заданного множества угроз.

Дискреционная модель разграничения доступа – способ разграничения доступа субъектов к объектам, при котором права доступа задаются некоторым перечнем прав доступа субъекта к объекту.

При реализации представляет собой матрицу, строками которой являются субъекты, а столбцами – объекты; элементы матрицы характеризуют набор прав доступа.

Полномочная (мандатная) модель разграничения доступа – способ разграничения доступа субъектов к объектам, при котором каждому объекту ставится в соответствие уровень секретности, а каждому субъекту уровень доверия к нему. Субъект может получить доступ к объекту, если его уровень доверия не меньше уровня секретности объекта.

Виды угроз информационной безопасности.

Все угрозы безопасности информации в информационных системах принято делить на активные и пассивные.

Пассивные угрозы направлены в основном на несанкционированное использование информационных ресурсов ИС, не оказывая при этом влияния на ее функционирование, несанкционированный доступ к базам данных, прослушивание каналов связи и т.д.

Активные угрозы имеют целью нарушение нормального функционирования ИС путем целенаправленного воздействия на ее компоненты. К активным угрозам относятся, например, вывод из строя компьютера или его операционной системы, искажение сведений в банке данных, разрушение ПО компьютеров, нарушение работы линий связи и т.д. Источником активных угроз могут быть действия взломщиков, вредоносные программы и т.п.

Умышленные угрозы подразделяются также на внутренние (возникающие внутри управляемой организации) и внешние.

Внутренние угрозы чаще всего определяются социальной напряженностью и тяжелым моральным климатом в организации.

Внешние угрозы могут вызываться злонамеренными действиями конкурентов, экономическими условиями и другими причинами (например, даже стихийными бедствиями). По данным зарубежной литературы, широкое распространение получил промышленный шпионаж – это наносящие ущерб владельцу коммерческой тайны незаконные сбор, присвоение и передача сведений, составляющих коммерческую тайну, лицом, не уполномоченным на это ее владельцем.

К основным угрозам безопасности информации и нормального функционирования ИС относятся:

— утечка конфиденциальной информации;

— несанкционированное использование информационных ресурсов;

— ошибочное использование информационных ресурсов;

— несанкционированный обмен информацией между абонентами;

— нарушение информационного обслуживания;

— незаконное использование привилегий.

Утечка конфиденциальной информации – это бесконтрольный выход конфиденциальной информации за пределы ИС или круга лиц, которым она была доверена по службе или стала известна в процессе работы. Данная утечка может быть следствием:

— разглашения конфиденциальной информации;

— ухода информации по различным, главным образом техническим, каналам;

— несанкционированного доступа к конфиденциальной информации различными способами.

К разглашению информации ее владельцем или обладателем ведут умышленные или неосторожные действия должностных лиц и пользователей, которым соответствующие сведения в установленном порядке были доверены по службе.

Возможен бесконтрольный уход конфиденциальной информации по визуально-оптическим, акустическим, электромагнитном и другим каналам.

Несанкционированный доступ – это противоправное преднамеренное овладение конфиденциальной информацией лицом, не имеющим права доступа к охраняемым сведениям.

Наиболее распространенными путями несанкционированного доступа к информации являются:

— перехват электронных излучений;

— применение подслушивающих устройств (закладок);

— перехват акустических излучений;

— чтение остаточной информации в памяти системы после выполнения санкционированных запросов;

— копирование носителей информации с преодолением защиты;

— маскировка под зарегистрированного пользователя;

— маскировка под запросы системы;

— использование программных ловушек;

— использование недостатков языков программирования и операционных систем;

— незаконное подключение к аппаратуре и линиям связи специально разработанных аппаратных средств, обеспечивающих доступ к информации;

— злоумышленный вывод из строя механизмов защиты;

— расшифровка специальными программами зашифрованной информации;

Перечисленные пути несанкционированного доступа требуют достаточно больших технических знаний и соответствующих аппаратных или программных разработок со стороны взломщика.

Однако есть и достаточно примитивные пути несанкционированного доступа:

— хищение носителей информации и документальных отходов;

— склонение к сотрудничеству со стороны взломщика;

Любые способы утечки конфиденциальной информации могут привести к значительному материальному и моральному ущербу как для организации, где функционирует ИС, так и для ее пользователей.

Менеджерам следует помнить, что довольно большая часть причин и условий, создающих предпосылки и возможность неправомерного овладения конфиденциальной информацией, возникает из-за элементарных недоработок руководителей предприятий и их сотрудников.

Например, к причинам и условиям, создающим предпосылки для утечки коммерческих секретов, могут относиться:

— недостаточное знание работниками предприятия правил защиты конфиденциальной информации и непонимание необходимости их тщательного соблюдения;

— использование неаттестованных технических средств обработки конфиденциальной информации;

— слабый контроль за соблюдением правил защиты информации правовыми, организационными и инженерно-техническими мерами;

— текучесть кадров, в том числе владеющих сведениями, составляющими коммерческую тайну;

— другие варианты, организационных недоработок, в результате которых виновниками утечки информации являются люди – сотрудники ИС и ИТ.

Большинство из перечисленных технических путей несанкционированного доступа поддаются надежной блокировке при правильно разработанной и реализуемой на практике системе обеспечения безопасности.

Но борьба с информационными инфекциями представляет значительные трудности, так как существует и постоянно разрабатывается огромное множество вредоносных программ, направленных на порчу информации в БД и ПО компьютеров. Большое число разновидностей этих программ не позволяет разработать постоянных и надежных средств защиты против них.

Компрометация информации (один из видов информационных инфекций).

Реализуется, как правило, посредством несанкционированных изменений в базе данных, в результате чего ее потребитель вынужден либо отказаться от нее, либо предпринимать дополнительные усилия для выявления изменений и восстановления истинных сведений. В случае использования скомпрометированной информации потребитель подвергается опасности принятия неверных решений со всеми вытекающими отсюда последствиями.

Несанкционированное использование информационных ресурсов имеет самостоятельное значение, так как может нанести большой ущерб управляемой системе (вплоть до полного выхода ИТ из строя) или ее абонентам. Для предотвращения этих явлений проводятся идентификация и аутентификация.

Ошибочное использование информационных ресурсов, будучи санкционированным, тем не менее может привести к разрушению, утечке или компрометации указанных ресурсов. Данная угроза чаще всего является следствием ошибок, имеющихся в ПО ИТ.

Несанкционированный обмен информацией между абонентами может привести к получению одним из них сведений, доступ к которым ему запрещен. Последствия – те же, что и при несанкционированном доступе.

Кроме того, существует ряд случайных угроз информации, таких как проявление ошибок программно-аппаратных средств, некомпетентное использование, настройка или неправомерное отключение средств защиты персоналом службы безопасности, неправомерное включение оборудования или изменение режимов работы устройств и программ, неумышленная порча носителей информации, пересылка данных по ошибочному адресу и т.д.

Базовый (baseline) анализ рисков – анализ рисков, проводимый в соответствии с требованиями базового уровня защищенности. Прикладные методы анализа рисков, ориентированные на данный уровень, обычно не рассматривают ценность ресурсов и не оценивают эффективность контрмер. Методы данного класса применяются в случаях, когда к информационной системе не предъявляется повышенных требований в области ИБ. Полный (full) анализ рисков – анализ рисков для информационных систем, предъявляющих повышенные требования в области ИБ. Включает в себя определение ценности информационных ресурсов, оценку угроз и уязвимостей, выбор адекватных контрмер, оценку их эффективности. При анализе рисков, ожидаемый ущерб в случае реализации угроз, сравнивается с затратами на меры и средства защиты, после чего принимается решение в отношении оцениваемого риска, который может быть:  снижен, например, за счет внедрения средств и механизмов защиты, уменьшающих ве- роятность реализации угрозы или коэффициент разрушительности;  устранен за счет отказа от использования подверженного угрозе ресурса;  перенесен , например, застрахован, в результате чего в случае реализации угрозы без- опасности, потери будет нести страховая компания, а не владелец ресурса;  принят . Наиболее трудоемким является процесс оценки рисков, который условно можно разделить на следующие этапы: идентификация риска; анализ риска; оценивание риска 1 .

На рисунке 1 схематично изображен процесс оценки рисков информационной безопасности.

Рисунок 1 − Процесс оценки рисков информационной безопасности Идентификация риска заключается в составлении перечня и описании элементов риска: объектов защиты, угроз, уязвимостей. Принято выделять следующие типы объектов защиты: информационные активы; программное обеспечение; физические активы; сервисы; люди, а также их квалификации, навыки и опыт; нематериальные ресурсы, такие как репутация и имидж организации. Как правило, на практике рассматривают первые три группы. Остальные объекты защиты не рассматриваются в силу сложности их оценки.

На этапе идентификации рисков так же выполняется идентификация угроз и уязвимостей. В качестве исходных данных для этого используются результаты аудитов; данные об инцидентах информационной безопасности; экспертные оценки пользователей, специалистов по информационной безопасности, ИТ-специалистов и внешних консультантов.

1 ГОСТ Р ИСО/МЭК 13335-1-2006 «Информационная технология. Методы и средства обеспечения безопасности. Часть 1. Концепция и модели менеджмента безопасности информационных и телекоммуникационных технологий».

Образовательные ресурсы и технологии  2015’1(9)

Made with FlippingBook flipbook maker

Компетентность пользователей является обязательным условием для успешного обеспечения информационной безопасности, а также позволяет гарантировать, что средства контроля работают должным образом. Пользователи не могут следовать политике, которую они не знают или не понимают. Не зная о рисках, связанных с информационными ресурсами организации, они не могут видеть необходимости исполнения политики, разработанной с целью уменьшения рисков.

Непрерывное обучение пользователей и других сотрудников на примере рисков и соответствующих политик

Руководящая группа должна обеспечить стратегию постоянного обучения сотрудников, так или иначе влияющих на информационную безопасность организации. Группа должна сосредоточить усилия на всеобщем понимании рисков, связанных с информацией, обрабатываемой в организации, а также политиках и методах (средствах) контроля, направленных на уменьшение этих рисков

Руководящая группа должна использовать разнообразные методы обучения и поощрения (стимулирования) чтобы сделать политику организации доступной и обучить пользователей. Стоит избегать встреч, проводимых раз в год со всеми сотрудниками организации, напротив обучение лучше проводить в небольших группах сотрудников.

Как и любой вид деятельности, информационная безопасность подлежит контролю и периодической переоценке, чтобы гарантировать адекватность (соответствие) политик и средств (методов) контроля поставленным целям.

Контролировать факторы, влияющие на риски и указывающие на эффективность информационной безопасности

Контроль должен быть сосредоточен, прежде всего, на (1) наличии средств и методов контроля и их использования, направленного на уменьшение рисков и (2) оценке эффективности программы и политик информационной безопасности, улучшающих понимание пользователей и сокращающих количество инцидентов. Такие проверки предусматривают тестирование средств (методов) контроля, оценку их соответствия политикам организации, анализ инцидентов безопасности, а также другие индикаторы эффективности программы информационной безопасности. Эффективность работы руководящей группы может быть оценена, основываясь, например, на следующих показателях (но, не ограничиваясь ими):

число проведенных тренингов и встреч;

число выполненных оценок риска (рисков);

число сертифицированных специалистов;

отсутствие инцидентов, затрудняющих работу сотрудников организации;

снижение числа новых проектов, внедренных с задержкой из-за проблем информационной безопасности;

полное соответствие или согласованные и зарегистрированные отклонения от минимальных требований информационной безопасности;

снижение числа инцидентов, влекущих за собой несанкционированный доступ, потерю или искажение информации.

Использовать полученные результаты для координации будущих усилий и повышения ответственности менеджмента

Контроль, безусловно, позволяет привести организацию в соответствие с принятыми политикам информационной безопасности, однако полные выгоды от контроля не будут достигнуты, если полученные результаты не используются для улучшения программы обеспечения информационной безопасности. Анализ результатов контроля предоставляет специалистам в области информационной безопасности и менеджерам бизнес-подразделений средства (1) переоценки ранее идентифицированных рисков, (2) определения новых проблемных участков, (3) переоценки достаточности и уместности существующих средств и методов контроля (управления) и действий по обеспечению информационной безопасности, (4) определения потребностей в новых средствах и механизмах контроля, (5) переадресации контрольных усилий (контролирующих действий). Кроме того, результаты могут использоваться для оценки деятельности бизнес-менеджеров, ответственных за понимание и уменьшение рисков в бизнес-подразделениях.

Отслеживать новые методы и средства контроля

Важно гарантировать, что (1) специалисты в области информационной безопасности не «отстают» от разрабатываемых методов и инструментов (приложений) и располагают самой последней информацией об уязвимости информационных систем и приложений, (2) высший менеджмент гарантирует, что располагает для этого необходимыми ресурсами.

Развитие программы информационной безопасности, соответствующей основным принципам, описанным в этом документе – первый и основной шаг организации на пути построения эффективной системы информационной безопасности. Таким образом, организация должна непрерывно (1) исследовать и оценивать риски информационной безопасности, влияющие на бизнес-процессы, (2) установить централизованное управление информационной безопасностью, (3) установить политики, стандарты, и средства (механизмы) контроля (управления), направленные на уменьшение этих рисков, (4) содействовать осведомленности и пониманию, описанной проблемы среди сотрудников, и (5) оценивать соответствие и повышать эффективность.

В документе не зря упомянута «руководящая группа». Это в России практикуется подход направленный на создание подразделения (зачастую очень большого), решающего вопросы ИБ. Как показывает практика эти люди дублируют функции сотрудников ИТ подразделений, в любом случае, выполняющих функции ИБ. За рубежом, напротив, работу координирует менеджер (офицер безопасности) — административный и методологический центр управления ИБ. За риски отвечают менеджеры подразделений, они же делигируют функции управления ИБ подразделениям ИТ. В результате — эффективная и понятная система, с ясными ответственностью и обязанностями, и, что немаловажно — экономия денег.

Оценка рисков занимает центральное место в системе управления информационной безопасностью.

На рисунке 1 показана роль процесса оценки рисков в структуре процессов информационной безопасности.

Рисунок 1. Роль процесса оценки рисков в структуре процессов информационной безопасности

Необходимость проведения оценки рисков определена в российских и международных стандартах по информационной безопасности (ГОСТ Р ИСО/МЭК 17799:2005, CRAMM, ISO 27001:2013) и нормативных документах государственных органов РФ (например, документах ФСТЭК России по защите персональных данных и ключевых систем информационной инфраструктуры).

Под риском понимается неопределенность, предполагающая возможность ущерба, связанного с нарушением ИБ. Оценка рисков – это процесс, охватывающий индетификацию риска, анализ риска и сравнительную оценку риска.

Анализ рисков включает следующие обязательные этапы:

  • идентификация ресурсов;
  • идентификация бизнес-требований и требований законодательства, применимых к идентифицированным ресурсам;
  • оценивание идентифицированных ресурсов с учетом выявленных бизнес требований и требований законодательства, а также последствий нарушения их конфиденциальности, целостности и доступности;
  • идентификация значимых угроз и уязвимостей идентифицированных ресурсов;
  • оценка вероятности реализации идентифицированных угроз и уязвимостей.

Оценивание рисков включает:

  • вычисление риска;
  • оценивание риска по заранее определенной шкале рисков.

Оценка рисков является эффективным механизмом управления информационной безопасностью в компании, позволяющим:

  • идентифицировать и оценить существующие информационные активы компании;
  • оценить необходимость внедрения средств защиты информации;
  • оценить эффективность уже внедренных средств защиты информации.

Типовой проект по оценке рисков информационной безопасности, предлагаемый нашей компанией включает следующие стадии:

1. Подготовка проекта – определение границ проведения оценки рисков, согласование сроков проведения, определение привлекаемых специалистов со стороны Заказчика;

2. Начало проекта – получение исходных данных от Заказчика, изучение бизнес-целей компании и отраслевых особенностей, составление карты активов;

3. Проведение обследования, включающего сбор следующей информации:

  • об организационных мероприятиях – изучение политик, положений, инструкций, программ и результатов обучения сотрудников, проведение интервьюирования ответственных сотрудников Заказчика, наблюдение за работой сотрудников Заказчика;
  • о технических средствах – инструментальный анализ информационной инфраструктуры, изучение документов, описывающих работу технических средств, изучение существующих настроек технических средств;
  • о физической безопасности – осмотр помещений, анализ существующих процедур и применяемых средств обеспечения физической безопасности.

4. Построение модели угроз

  • актуальность и полнота составленной модели угроз безопасности информации является определяющим условием успешной и достоверной оценки рисков;
  • модель угроз безопасности информации является уникальной для каждой компании;
  • при построении модели угроз безопасности информации используются каталоги угроз, например CRAMM или BSI. Полученный перечень угроз может дополняться, угрозами, описанными в методических документах регулирующих органов, например ФСТЭК России и ФСБ России, и отраслевых регуляторов, например Банк России;
  • составленный перечень угроз дополняется угрозами, выявленными при проведении обследования Заказчика.

5. Анализ рисков, включающий:

  • оценку активов на основе информации, полученной на этапах начала проекта и проведения обследования. Оценка активов может быть как количественная, так и качественная;
  • оценку уязвимостей, выявленных в ходе проведения обследования. Оценка уязвимостей может проводиться с использованием различных методик, например CVSS;
  • оценку угроз, включенных в модель угроз. Под оценкой угроз понимается вычисление вероятности возникновения угрозы;
  • расчет рисков по качественной или количественной методике;
  • ранжирование рисков с целью определения очередности обработки рисков.

6. Разработка плана обработки рисков – выбор оптимальных защитных мер, оценка их стоимости и эффективности, разработка предложений по принятию, избеганию или передачи части рисков;

7. Презентация результатов оценки рисков руководству компании и техническому персоналу.

В период глобальной компьютеризации и интернетизации, который сейчас переживает современное общество, все типы предприятий становятся зависимыми от информационных систем. Это делает их уязвимыми к угрозам различного характера. Поэтому, оценивание рисков информационной безопасности предприятия и создание его собственной политики информационной безопасности должны стоять на высоких позициях в списке бизнес–приоритетов собственников.

Целью исследования является обоснование необходимости управления рисками, а также проведение анализа методов оценивания рисков для формирования политики информационной безопасности малых предприятий.

В настоящий момент корпоративные сети предприятий считаются наиболее уязвимыми с точки зрения безопасности во всей их инфраструктуре. Рассмотрим стандартную схему корпоративной сети предприятия на примере интернет–магазина (рис.1).

Рисунок 1 – Структурная схема малого предприятия

Как следует из ее архитектуры и методов использования, определение границ безопасности для нее практически невозможно, так как предприятие использует сеть для хранения данных, пользуется связями типа peer–to–peer, ведет переписку с помощью мгновенных сообщений, имеет удаленный доступ, а также клиентские сервисы. Поэтому, для обеспечения ИБ данного предприятия необходимо выработать некие стандартные подходы.

По словам Петренко С.А. [1], независимо от размера компании и ее конкретных информационных систем, усилия для обеспечения режима безопасности информации состоят из следующих этапов:

  • определение политики информационной безопасности;
  • установление границ, которые предназначены для поддержки режима информационной безопасности;
  • оценка рисков;
  • выбор контрмер и управления рисками;
  • выбор элементов управления в целях обеспечения режима информационной безопасности;
  • сертификация систем управления информационной безопасностью на соответствие стандартам безопасности.

Набор минимальных требований, к режиму информационной безопасности, перечисленных в стандартах ISO 17799 (международный стандарт), BSI (Германия), NIST 800–30 (США), составляет основу информационной безопасности. Этого набора, как правило, достаточно для целого ряда стандартных проектов малого бизнеса. В его рамках можно использовать особые стандарты и спецификации, которые имеют минимальный перечень наиболее вероятных угроз, таких как вирусы, несанкционированный доступ, и другие.

Для выполнения более специфических требований к безопасности необходимо разрабатывать индивидуальный, повышенный режим безопасности [2]. Этот режим предусматривает стратегии работы с рисками разных классов, в которых реализуются следующие подходы:

  • снижение рисков: многие риски могут быть снижены за счет использования простых и дешевых контрмер;
  • неприятие риска: некоторые классы риска можно избежать с помощью выведения веб–сервера организации за пределы локальной сети;
  • изменение характера риска: если невозможно уклониться от риска или уменьшить его, то лучше застраховать уязвимый объект;
  • принятие риска: специалист должен знать остаточную ценность риска из–за невозможности сведения его к малой величине.

В результате, принимая во внимание все вышеперечисленные моменты, возможно создать достаточно эффективную систему риск–менеджмента для предприятия.

Существует большое количество программ, для оценки рисков безопасности. Например, RA2 art of Risk, vsRisk, RiskWatch, COBRA, РискМенеджер, и многие другие.

С точки зрения использования таких программ в сфере малого бизнеса наилучших результатов с меньшими материальными затратами можно достичь с помощью методик OCTAVE–S и CRAMM.

Методы OCTAVE основаны на практических критериях OCTAVE, которые являются стандартными подходами для оценки ИБ. Данная методика реализуется вручную, без использования программных средств. Аналитическая команда, состоящая из 3–5 человек, рассматривает риски организационных активов в их соотношении с целями бизнеса. Конечным результатом метода является организацонно–направленная стратегия безопасности и план по смягчению последствий нарушений ИБ [3, 4].

В отличие от OCTAVE, CRAMM–CCTA Risk Analysis & Management реализуется с помощью специализированного программного обеспечения, которое можно настроить для различных отраслей. Текущая версия CRAMM 5 соответствует BS 7799 (ISO 17799).

Анализ рисков по методу CRAMM состоит из идентификации и расчета рисков на основе оценок определенных ресурсов, уязвимостей, угроз и ресурсов. Управление рисками с помощью CRAMM помогает выявить и выбрать контрмеры для снижения рисков предприятий рассматриваемых структур до приемлемого уровня [5].

Согласно проведенному исследованию, информационная безопасность является чрезвычайно важным фактором корректного функционирования малого предприятия. Для его поддержания функционирования компании необходимо систематически проводить оценку рисков, анализ рисковых ситуаций, либо полный аудит предприятия.

Применение различных методов оценивания рисков в рамках риск–менеджмента позволяет обезопасить собственников предприятия от заранее предусмотренных рисков, а также способствует выработке методики защиты, отражения и принятия неучтенных рисков. Рассматриваемые подходы и приемы можно распространить на все типы предприятий малого бизнеса.

источник

Популярные записи

Виды экономического анализа какой прогноз
Простата анализ какие надо сдать
Медкнижка какие анализы сдавать 2017
К чаадаеву анализ какой жанр
Как сделать сравнительный анализ законодательства
Как здают анализ на желочный
Как сделать выводы из анализа
Как собрать анализ мочи беременной