Без темы
<<  Анализ регионального развития. Лекция по дисциплине «Региональное управление» Анализ стихотворения М.Ю.Лермонтова «Родина»  >>
Анализ рисков
Анализ рисков
На этапе анализа рисков определяется возможность понести убытки из-за
На этапе анализа рисков определяется возможность понести убытки из-за
Анализ рисков: определения и постановки задачи
Анализ рисков: определения и постановки задачи
Уровень 1. "Анархия"
Уровень 1. "Анархия"
Уровень 2. " Фольклор"
Уровень 2. " Фольклор"
Уровень 3. " Стандарты"
Уровень 3. " Стандарты"
Уровень 3. " Стандарты"
Уровень 3. " Стандарты"
Уровень 4. " Измеряемый"
Уровень 4. " Измеряемый"
Уровень 5. " Оптимизируемый"
Уровень 5. " Оптимизируемый"
На первом уровне
На первом уровне
На втором уровне
На втором уровне
Для данного уровня зрелости организации типичными являются локальные
Для данного уровня зрелости организации типичными являются локальные
На третьем уровне
На третьем уровне
продолжение Технология управления режимом информационной безопасности
продолжение Технология управления режимом информационной безопасности
На четвертом уровне
На четвертом уровне
На пятом уровне
На пятом уровне
Распределение организаций по их подходам к вопросам информационной
Распределение организаций по их подходам к вопросам информационной
Какие критерии используются организациями для оценки системы
Какие критерии используются организациями для оценки системы
Выводы:
Выводы:
Современные концепции управления рисками
Современные концепции управления рисками
Многие зарубежные национальные институты стандартов, организации,
Многие зарубежные национальные институты стандартов, организации,
Концепция управления рисками MITRE
Концепция управления рисками MITRE
Реализация концепции управления рисками на практике
Реализация концепции управления рисками на практике
Идентификация рисков
Идентификация рисков
Примером является Германский стандарт BSI, в котором имеется каталог
Примером является Германский стандарт BSI, в котором имеется каталог
Оценивание рисков
Оценивание рисков
Шкалы и критерии, по которым измеряются риски
Шкалы и критерии, по которым измеряются риски
В методиках анализа рисков, как правило, используются субъективные
В методиках анализа рисков, как правило, используются субъективные
Объективные и субъективные вероятности
Объективные и субъективные вероятности
Объективные и субъективные вероятности
Объективные и субъективные вероятности
Три этапа получение оценок субъективной вероятности
Три этапа получение оценок субъективной вероятности
Второй этап: Получение оценок Состоит в применении метода, выбранного
Второй этап: Получение оценок Состоит в применении метода, выбранного
Третий этап: Этап анализа полученных оценок Этап состоит в
Третий этап: Этап анализа полученных оценок Этап состоит в
Измерение рисков
Измерение рисков
Оценка рисков по двум факторам
Оценка рисков по двум факторам
Вариант использования качественных величин (наиболее часто
Вариант использования качественных величин (наиболее часто
Определяется субъективная шкала серьезности происшествий N
Определяется субъективная шкала серьезности происшествий N
определяется субъективная шкала серьезности происшествий S (Serious) —
определяется субъективная шкала серьезности происшествий S (Serious) —
Для оценки рисков определяется шкала из трех значений: Низкий риск
Для оценки рисков определяется шкала из трех значений: Низкий риск
Шкалы факторов риска и сама таблица могут быть определены иначе, иметь
Шкалы факторов риска и сама таблица могут быть определены иначе, иметь
Оценка рисков по трем факторам
Оценка рисков по трем факторам
Вероятность происшествия зависит от уровней (вероятностей) угроз и
Вероятность происшествия зависит от уровней (вероятностей) угроз и
Пример
Пример
Таблица
Таблица
Для оценки угроз и уязвимостей используются различные методы, в основе
Для оценки угроз и уязвимостей используются различные методы, в основе
Один из возможных подходов к разработке подобных методик(оценке уровня
Один из возможных подходов к разработке подобных методик(оценке уровня
Во-первых, должен быть собран весьма обширный материал о происшествиях
Во-первых, должен быть собран весьма обширный материал о происшествиях
Наиболее распространенным в настоящее время является подход,
Наиболее распространенным в настоящее время является подход,
Пример реализации подхода, основанного на учете различных факторов
Пример реализации подхода, основанного на учете различных факторов
Для оценки уязвимостей выбраны следующие косвенные факторы: Количество
Для оценки уязвимостей выбраны следующие косвенные факторы: Количество
Оценка угрозы (Ответьте на вопросы)
Оценка угрозы (Ответьте на вопросы)
Оценка угрозы (Ответьте на вопросы)
Оценка угрозы (Ответьте на вопросы)
Оценка угрозы (Ответьте на вопросы)
Оценка угрозы (Ответьте на вопросы)
Оценка угрозы (Ответьте на вопросы)
Оценка угрозы (Ответьте на вопросы)
Оценка угрозы (Ответьте на вопросы)
Оценка угрозы (Ответьте на вопросы)
Оценка угрозы (Ответьте на вопросы)
Оценка угрозы (Ответьте на вопросы)
Оценка угрозы (Ответьте на вопросы)
Оценка угрозы (Ответьте на вопросы)
итоги Степень угрозы при количестве баллов:
итоги Степень угрозы при количестве баллов:
Оценка уязвимости (Ответьте на вопросы)
Оценка уязвимости (Ответьте на вопросы)
Оценка уязвимости (Ответьте на вопросы)
Оценка уязвимости (Ответьте на вопросы)
Оценка уязвимости (Ответьте на вопросы)
Оценка уязвимости (Ответьте на вопросы)
Оценка уязвимости (Ответьте на вопросы)
Оценка уязвимости (Ответьте на вопросы)
Оценка уязвимости (Ответьте на вопросы)
Оценка уязвимости (Ответьте на вопросы)
итоги Степень уязвимости при количестве баллов:
итоги Степень уязвимости при количестве баллов:
Возможности подхода, основанного на учете различных факторов и границы
Возможности подхода, основанного на учете различных факторов и границы
Подобные методики, как правило, разрабатываются для организаций
Подобные методики, как правило, разрабатываются для организаций
Выбор допустимого уровня риска Два подхода
Выбор допустимого уровня риска Два подхода
Первый подход выбора допустимого уровня риска
Первый подход выбора допустимого уровня риска
Второй подход выбора допустимого уровня риска
Второй подход выбора допустимого уровня риска
Выбор контрмер и оценка их эффективности
Выбор контрмер и оценка их эффективности
Подобные классификаторы позволяют автоматически выбирать и предлагать
Подобные классификаторы позволяют автоматически выбирать и предлагать
Заключение
Заключение
Используются различные технологии анализа рисков
Используются различные технологии анализа рисков
В настоящее время на рынке имеется ПО, реализующее различные методики
В настоящее время на рынке имеется ПО, реализующее различные методики

Презентация: «Анализ рисков». Автор: лена. Файл: «Анализ рисков.ppt». Размер zip-архива: 153 КБ.

Анализ рисков

содержание презентации «Анализ рисков.ppt»
СлайдТекст
1 Анализ рисков

Анализ рисков

Уровни зрелости Современные концепции уровней зрелости Оценивание рисков Измерение рисков

2 На этапе анализа рисков определяется возможность понести убытки из-за

На этапе анализа рисков определяется возможность понести убытки из-за

нарушения режима информационной безопасности организации, детализируются характеристики (или составляющие) рисков для информационных ресурсов и технологий. Результаты анализа используются при выборе средств защиты, оценке эффективности существующих и проектируемых подсистем информационной безопасности.

3 Анализ рисков: определения и постановки задачи

Анализ рисков: определения и постановки задачи

Под управлением рисками понимается процесс идентификации и уменьшения рисков, которые могут воздействовать на информационную систему.

Основным фактором, определяющим отношение организации к вопросам информационной безопасности, является степень ее зрелости. Выделяется 5 уровней зрелости (модель предложена Carnegie Mellon University ).

4 Уровень 1. "Анархия"

Уровень 1. "Анархия"

Признаки: Сотрудники сами определяют, что хорошо, а что плохо Затраты и качество не прогнозируются Отсутствует контроль измерений Высшее руководство плохо представляет собой реальное положение дел

Характеристика организации в области информационной безопасности: Политика в области ИБ неформализована , руководство не занимается этими вопросами. Обеспечением ИБ сотрудники могут заниматься по своей инициативе, в соответствии со своим пониманием задачи.

5 Уровень 2. " Фольклор"

Уровень 2. " Фольклор"

Признаки: Выявлена определенная повторяемость организационных процессов Опыт организации представлен в виде преданий корпоративной мифологии Знания накапливаются в виде личного опыта сотрудников и пропадают при их увольнении

Характеристика организации в области информационной безопасности: На уровне руководства существует определенное понимание задач обеспечения ИБ, но оно не ставит задач формализации процедур защиты информации. Существует стихийно сложившееся процедуры обеспечения ИБ, их полнота и эффективность не анализируются.

6 Уровень 3. " Стандарты"

Уровень 3. " Стандарты"

Признаки: корпоративная мифология записана на бумаге процессы повторяемы и не зависят от личных качеств исполнителей информация о процессах для измерения эффективности не собирается наличие формализованного описания процессов не означает, что они работают организация начинает адаптировать свой опыт к специфике бизнеса производится анализ знаний и умений сотрудников с целью определения необходимого уровня компетентности вырабатывается стратегия развития компетентности Далее

7 Уровень 3. " Стандарты"

Уровень 3. " Стандарты"

Характеристика организации в области информационной безопасности: Руководство осознает задачи в области ИБ. В организации имеется документация (возможно не полная), относящаяся к политике ИБ. Руководство заинтересовано в исполнении стандартов в области ИБ, оформление документации в соответствии с ними. Осознается задача управления режимами ИБ на всех стадиях жизненного цикла информационной технологии.

8 Уровень 4. " Измеряемый"

Уровень 4. " Измеряемый"

Признаки: Процессы измеряемы и стандартизованы Характеристика организации в области информационной безопасности: Имеется полный комплект документов, относящихся к обеспечению режима ИБ, оформленный в соответствии с каким-либо стандартом. Действующие инструкции соблюдаются, документы служат руководством к действию соответствующих должностных лиц. Регулярно проводится внутренний (и возможно внешний аудит) в области ИБ. Руководство уделяет должное внимание ИБ, в частности имеет адекватное представление относительно существующих уровней угроз и уязвим остей потенциальных потерях в случае возможных инцидентов.

9 Уровень 5. " Оптимизируемый"

Уровень 5. " Оптимизируемый"

Признаки: фокус на повторяемости и измеряемости вся информация о функционировании процессов фиксируется Характеристика организации в области информационной безопасности: Руководство заинтересовано в количественной оценке существующих рисков, готово нести ответственность за выбор определенных уровней остаточных рисков, ставит оптимизированные задачи построения системы защиты информации

10 На первом уровне

На первом уровне

Проблема руководством формально не ставится. Но это не значит, что она не решается сотрудниками по собственной инициативе, и возможно эффективно. Тем не менее, с точки зрения руководства организации, находящейся на первом уровне зрелости, задачи обеспечения режима информационной безопасности, как правило, неактуальны. Несмотря на это, организации могут быть вполне жизнеспособными.

Проблема обеспечения режима информационной безопасности будет ставиться и решаться для организаций, находящихся на разных уровнях развития, по-разному.

11 На втором уровне

На втором уровне

Проблема обеспечения информационной безопасности решается неформально, на основе постепенно сложившейся практики. Комплекс мер (организационных и программно-технических) позволяет защититься от наиболее вероятных угроз. Вопрос относительно эффективности защиты не ставится. Постепенно складывается неформальный список актуальных для организации классов рисков, который постепенно пополняется. Руководство организации, как правило, считает вопросы информационной безопасности не приоритетными.

12 Для данного уровня зрелости организации типичными являются локальные

Для данного уровня зрелости организации типичными являются локальные

(не связанные с другими этапами жизненного цикла технологии) постановки задачи анализа рисков, когда считается достаточным перечислить актуальные для данной информационной системы классы рисков и возможно описать модель нарушителя, а задача анализа вариантов контрмер, их эффективность, управление рисками, как правило, не считается актуальной.

13 На третьем уровне

На третьем уровне

в организации считается целесообразным следовать в той или иной мере стандартам и рекомендациям, обеспечивающим базовый уровень информационной безопасности (например, ISO 17799), вопросам документирования уделяется должное внимание. Задача анализа рисков считается руководством актуальной. Анализ рисков рассматривается как один из элементов технологии управления режимом информационной безопасности на всех стадиях жизненного цикла. Понятие риска включает несколько аспектов: вероятность, угроза, уязвимость, иногда стоимость. Один из вариантов определения риска (определенного класса) в этом случае: вероятность возникновения инцидента в результате того, что имеющаяся уязвимость (определенного класса) будет способствовать реализации угрозы (определенного класса). Далее

14 продолжение Технология управления режимом информационной безопасности

продолжение Технология управления режимом информационной безопасности

включает следующие элементы: Документирование информационной системы организации с позиции информационной безопасности. Категорирование информационных ресурсов с позиции руководства организации. Определение возможного воздействия различного рода происшествий в области безопасности на информационную технологию. Анализ рисков. Технология управление рисками на всех этапах жизненного цикла. Аудит в области информационной безопасности.

15 На четвертом уровне

На четвертом уровне

для руководства организации актуальны вопросы измерения параметров, характеризующих режим информационной безопасности. На этом уровне руководство осознанно принимает на себя ответственность за выбор определенных величин остаточных рисков (которые остаются всегда). Риски, как правило, оцениваются по нескольким критериям (не только стоимостным). Технология управления режимом информационной безопасности остается прежней, но на этапе анализа рисков применяются количественные методы, позволяющие оценить параметры остаточных рисков, эффективность различных вариантов контрмер.

16 На пятом уровне

На пятом уровне

ставятся и решаются различные варианты оптимизационных задач в области обеспечения режима информационной безопасности. Примеры постановок задач: Выбрать вариант подсистемы информационной безопасности, оптимизированной по критерию стоимость/эффективность при заданном уровне остаточных рисков. Выбрать вариант подсистемы информационной безопасности, при котором минимизируются остаточные риски при фиксированной стоимости подсистемы безопасности. Выбрать архитектуру подсистемы информационной безопасности с минимальной стоимостью владения на протяжении жизненного цикла при определенном уровне остаточных рисков.

17 Распределение организаций по их подходам к вопросам информационной

Распределение организаций по их подходам к вопросам информационной

безопасности

Рисунок 1. Контролируют ли в Вашей организации инциденты в области информационной безопасности?

18 Какие критерии используются организациями для оценки системы

Какие критерии используются организациями для оценки системы

информационной безопасности (если они используются)?

Критерии оценки защищенности информации: Корпоративные стандарты (собственная разработка) 43 Замечания аудиторов 40 Стандарты лучшей мировой практики (например, BS7799/ISO17799) 29 Число инцидентов в области безопасности 22 Финансовые потери в результате инцидентов 22 Расходы на ИБ 16 Эффективность в достижении поставленных целей 14

19 Выводы:

Выводы:

Более половины организаций относятся к первому или второму уровню зрелости и не заинтересованы в проведении анализа рисков. Организации третьего уровня зрелости (около 40% общего числа, в Украине - меньше), использующие (или планирующие использовать) какие-либо подходы к оценке системы информационной безопасности, применяют стандартные рекомендации и руководства, относящиеся к базовому уровню информационной безопасности. Эти организации используют или планируют использовать систему управления рисками базового уровня (или ее элементы) на всех стадиях жизненного цикла информационной технологии. Организации, относящиеся к четвертому и пятому уровням зрелости, составляющие в настоящее время не более 7% от общего числа (в Украине - меньше), используют разнообразные "углубленные" методики анализа рисков, обладающие дополнительными возможностями по сравнению с методиками базового уровня. Такого рода дополнения, обеспечивающие возможность количественного анализа и оптимизации подсистемы информационной безопасности в различной постановке, в официальных руководствах не регламентируются.

20 Современные концепции управления рисками

Современные концепции управления рисками

Наличие системы управления рисками (Risk Management) является обязательным компонентом общей системы обеспечения информационной безопасности на всех этапах жизненного цикла. Организации, начиная с третьего уровня зрелости, применяют какой-либо вариант системы управления рисками.

21 Многие зарубежные национальные институты стандартов, организации,

Многие зарубежные национальные институты стандартов, организации,

специализирующиеся в решении комплексных проблем информационной безопасности предложили схожие концепции управления информационными рисками. Например: концепции Британского стандарта BS 7799; концепции Германского BSI. концепции, опубликованные национальным институтом стандартов США (NIST) и организацией MITRE

22 Концепция управления рисками MITRE

Концепция управления рисками MITRE

Организация MITRE бесплатно распространяет простейший инструментарий на базе электронной таблицы, предназначенный для использования на этапе идентификации и оценки рисков, выбора возможных контрмер — "Risk Matrix". Риск не разделяется на составляющие части (угрозы и уязвимости), что в некоторых случаях может оказаться более удобным с точки зрения владельцев информационных ресурсов. Например, весьма распространено построение модели нарушителя с прямой экспертной оценкой рисков. По этой причине простейшие методики и инструменты типа "Risk Matrix" наиболее востребованы в настоящее время на рынке.

23 Реализация концепции управления рисками на практике

Реализация концепции управления рисками на практике

Невозможно предложить единую, приемлемую для всех, универсальную методику, соответствующую некоторой концепции управления рисками. Рассмотрим типичные вопросы, возникающие при реализации концепции управления рисками и возможные подходы к их решению.

24 Идентификация рисков

Идентификация рисков

В любой методике необходимо идентифицировать риски, например — их составляющие (угрозы и уязвимости). Естественным требованием к списку является его полнота. Сложность задачи составления списка и доказательство его полноты зависит от того, какие требования предъявляются к детализации списка. На базовом уровне безопасности (третий уровень зрелости организации) специальных требований к детализации классов, как правило, не предъявляется и достаточно использовать какой-либо подходящий в данном случае стандартный список классов рисков.

25 Примером является Германский стандарт BSI, в котором имеется каталог

Примером является Германский стандарт BSI, в котором имеется каталог

угроз применительно к различным элементам информационной технологии. Оценка величины рисков не рассматривается. Списки классов рисков содержатся в некоторых руководствах, в специализированном ПО анализа рисков. Достоинством подобных списков является их полнота: классов, как правило, немного (десятки), они достаточно широкие и заведомо покрывают всё существующее множество рисков. Недостаток — сложность оценки уровня риска и эффективности контрмер для широкого класса, поскольку подобные расчеты удобнее проводить по более узким (конкретным) классам рисков. К примеру, класс рисков "неисправность маршрутизатора" может быть разбит на множество подклассов, включающих возможные виды неисправности (уязвимости) ПО конкретного маршрутизатора и неисправности оборудования.

26 Оценивание рисков

Оценивание рисков

Рассмотрим следующие аспекты: Шкалы и критерии, по которым можно измерять риски. Оценку вероятностей событий. Технологии измерения рисков.

27 Шкалы и критерии, по которым измеряются риски

Шкалы и критерии, по которым измеряются риски

Шкалы могут быть прямыми (естественными) или косвенными (производными). Для измерения рисков не существует естественной шкалы. Риски можно оценивать по объективным либо субъективным критериям Примером объективного критерия является вероятность выхода из строя какого-либо оборудования, например, ПК за определенный промежуток времени. Примером субъективного критерия является оценка владельцем информационного ресурса риска выхода из строя ПК. Для этого обычно разрабатывается качественная шкала с несколькими градациями, например: низкий, средний, высокий уровень.

28 В методиках анализа рисков, как правило, используются субъективные

В методиках анализа рисков, как правило, используются субъективные

критерии, измеряемые в качественных шкалах, поскольку: Оценка должна отражать субъективную точку зрения владельца информационных ресурсов. Должны быть учтены различные аспекты, не только технические, а и организационные, психологические, и т.д. Субъективные шкалы могут быть количественными и качественными, но на практике, как правило, используются качественные шкалы с 3-7 градациями.

29 Объективные и субъективные вероятности

Объективные и субъективные вероятности

ОБЪЕКТИВНАЯ Под объективной (иногда называемой физической) вероятностью понимается относительная частота появления какого-либо события в общем объеме наблюдений или отношение числа благоприятных исходов к общему их количеству. Объективная вероятность возникает при анализе результатов большого числа наблюдений, имевших место в прошлом, а также как следствия из моделей, описывающих некоторые процессы.

30 Объективные и субъективные вероятности

Объективные и субъективные вероятности

СУБЪЕКИВНАЯ Субъективная вероятность - мера уверенности некоторого человека или группы людей в том, что данное событие в действительности будет иметь место. Наиболее часто субъективная вероятность представляет собой вероятностную меру, полученную экспертным путем. Субъективная вероятность увязывается с системой предпочтений лица, принимающего решения, и в с функцией полезности, отражающей его предпочтения на множестве альтернатив.

31 Три этапа получение оценок субъективной вероятности

Три этапа получение оценок субъективной вероятности

Первый этап: Подготовительный Во время этого этапа формируется объект исследования — множество событий, проводится предварительный анализ свойств этого множества (устанавливается зависимость или независимость событий, дискретность или непрерывность случайной величины, порождающей данное множество событий). На основе такого анализа выбирается один из подходящих методов получения субъективной вероятности. Производится подготовка эксперта или группы экспертов, ознакомление их с методом и проверка понимания поставленной задачи экспертами.

32 Второй этап: Получение оценок Состоит в применении метода, выбранного

Второй этап: Получение оценок Состоит в применении метода, выбранного

на первом этапе. Результатом этого этапа является набор чисел, который отражает субъективный взгляд эксперта или группы экспертов на вероятность того или иного события, однако далеко не всегда может считаться окончательно полученным распределением, поскольку может быть противоречивым.

Три этапа получение оценок субъективной вероятности

33 Третий этап: Этап анализа полученных оценок Этап состоит в

Третий этап: Этап анализа полученных оценок Этап состоит в

исследовании результатов опроса. Если вероятности, полученные от экспертов, не согласуются с аксиомами вероятности, то на это обращается внимание экспертов и производится уточнение ответов с целью их соответствия аксиомам.

Три этапа получение оценок субъективной вероятности

34 Измерение рисков

Измерение рисков

Существует ряд подходов к измерению рисков. Наиболее распространенные: Оценка по двум факторам; Оценка по трем факторам.

35 Оценка рисков по двум факторам

Оценка рисков по двум факторам

В простейшем случае используется оценка двух факторов: вероятность происшествия и тяжесть возможных последствий. РИСК = Pпроисшествия * ЦЕНА ПОТЕРИ Если переменные являются количественными величинами, то риск - это оценка математического ожидания потерь. Если переменные являются качественными величинами, то метрическая операция умножения не определена. Таким образом, в явном виде эта формула использоваться не должна. 1

36 Вариант использования качественных величин (наиболее часто

Вариант использования качественных величин (наиболее часто

встречающаяся ситуация). Определяется субъективная шкала вероятностей событий A — Событие практически никогда не происходит. B — Событие случается редко. C — Вероятность события за рассматриваемый промежуток времени — около 0.5. D — Скорее всего событие произойдет. E — Событие почти обязательно произойдет.

37 Определяется субъективная шкала серьезности происшествий N

Определяется субъективная шкала серьезности происшествий N

(Negligible) — Воздействием можно пренебречь. Mi (Minor) — Незначительное происшествие: последствия легко устранимы, затраты на ликвидацию последствий не велики, воздействие на информационную технологию - незначительно. Mo (Moderate) — Происшествие с умеренными ре зультатами: ликвидация последствий не связана с крупными затратами, воздействие на информационную технологию не велико и не затрагивает критически важные задачи.

38 определяется субъективная шкала серьезности происшествий S (Serious) —

определяется субъективная шкала серьезности происшествий S (Serious) —

Происшествие с серьезными последствиями: ликвидация последствий связана со значительными затратами, воздействие на информационные технологии ощутимо, воздействует на выполнение критически важных задач. C (Critical) — Происшествие приводит к невозможности решения критически важных задач.

39 Для оценки рисков определяется шкала из трех значений: Низкий риск

Для оценки рисков определяется шкала из трех значений: Низкий риск

Средний риск Высокий риск При разработке (использовании) методик оценки рисков необходимо учитывать следующие особенности: Значения шкал должны быть четко определены (словесное описание) и пониматься одинаково всеми участниками процедуры экспертной оценки. Требуются обоснования выбранной таблицы.

40 Шкалы факторов риска и сама таблица могут быть определены иначе, иметь

Шкалы факторов риска и сама таблица могут быть определены иначе, иметь

другое число градаций.

Таблица . Определение риска в зависимости от двух факторов

41 Оценка рисков по трем факторам

Оценка рисков по трем факторам

В зарубежных методиках, рассчитанных на более высокие требования, чем базовый уровень, используется модель оценки риска с тремя факторами: Угроза — совокупность условий и факторов, которые могут стать причиной нарушения целостности, доступности, конфиденциальности информации. Уязвимость — слабость в системе защиты, которая делает возможным реализацию угрозы. Цена потери 1

42 Вероятность происшествия зависит от уровней (вероятностей) угроз и

Вероятность происшествия зависит от уровней (вероятностей) угроз и

уязвимостей: Рпроисшествия = Ругрозы * Руязвимости РИСК = Pугрозы * Руязвим. * ЦЕНАпотери Данное выражение можно рассматривать как математическую формулу, если используются количественные шкалы, либо как формулировку общей идеи, если хотя бы одна из шкал — качественная. В последнем случае используются различного рода табличные методы для определения риска в зависимости от трех факторов.

43 Пример

Пример

Показатель риска измеряется в шкале от 1 до 8 со следующими определениями уровней риска: риск практически отсутствует. Теоретически возможны ситуации, при которых событие наступает, но на практике это случается редко, а потенциальный ущерб сравнительно невелик. риск очень мал. События подобного рода случались достаточно редко, кроме того, негативные последствия сравнительно невелики. ? риск очень велик. Событие скорее всего наступит, и последствия будут чрезвычайно тяжелыми.

44 Таблица

Таблица

Определение риска в зависимости от трех факторов

45 Для оценки угроз и уязвимостей используются различные методы, в основе

Для оценки угроз и уязвимостей используются различные методы, в основе

которых могут лежать: Экспертные оценки. Статистические данные. Учет факторов, влияющих на уровни угроз и уязвимостей.

Технология оценки угроз и уязвимостей

46 Один из возможных подходов к разработке подобных методик(оценке уровня

Один из возможных подходов к разработке подобных методик(оценке уровня

уязвимости) — накопление статистических данных о реально случившихся происшествиях, анализ и классификация их причин, выявление факторов, от которых они зависят. На основе этой информации можно оценить угрозы и уязвимости в других информационных системах.

47 Во-первых, должен быть собран весьма обширный материал о происшествиях

Во-первых, должен быть собран весьма обширный материал о происшествиях

в этой области. Во-вторых, применение этого подхода оправдано далеко не всегда. Если информационная система достаточно крупная (содержит много элементов, расположена на обширной территории), имеет давнюю историю, то подобный подход, скорее всего, применим. Если система сравнительно невелика, использует новейшие элементы технологии (для которых пока нет достоверной статистики), оценки угроз и уязвимостей могут оказаться недостоверными.

Практические сложности в реализации подхода накопления статистических данных

48 Наиболее распространенным в настоящее время является подход,

Наиболее распространенным в настоящее время является подход,

основанный на учете различных факторов, влияющих на уровни угроз и уязвимостей. Такой подход позволяет абстрагироваться от малосущественных технических деталей, учесть не только программно-технические, но и иные аспекты.

49 Пример реализации подхода, основанного на учете различных факторов

Пример реализации подхода, основанного на учете различных факторов

Рассмотрение для одного из классов рисков: "Использование чужого идентификатора сотрудниками организации ("маскарад")". Для оценки угроз выбраны косвенные факторы: Статистика по зарегистрированным инцидентам. Тенденции в статистке по подобным нарушениям. Наличие в системе информации, представляющей интерес для потенциальных внутренних или внешних нарушителей. Моральные качества персонала. Возможность извлечь выгоду из изменения обрабатываемой в системе информации. Наличие альтернативных способов доступа к информации. Статистика по подобным нарушениям в других информационных системах организации

50 Для оценки уязвимостей выбраны следующие косвенные факторы: Количество

Для оценки уязвимостей выбраны следующие косвенные факторы: Количество

рабочих мест (пользователей) в системе. Размер рабочих групп. Осведомленность руководства о действиях сотрудников (разные аспекты). Характер используемого на рабочих местах оборудования и ПО. Полномочия пользователей. По косвенным факторам предложены вопросы и несколько фиксированных вариантов ответов, которые "стоят" определенное количество баллов. Итоговая оценка угрозы и уязвимости данного класса определяется путем суммирования баллов.

51 Оценка угрозы (Ответьте на вопросы)

Оценка угрозы (Ответьте на вопросы)

Сколько раз за последние 3 года сотрудники организации пытались получить несанкционированный доступ к хранящейся в информационной системе информации с использованием прав других пользователей? Варианты ответов а) Ни разу — 0 б) Один или два раза — 10 в) В среднем раз в год — 20 г) В среднем чаще одного раза в год — 30 д) Неизвестно — 10

52 Оценка угрозы (Ответьте на вопросы)

Оценка угрозы (Ответьте на вопросы)

Какова тенденция в статистике такого рода попыток несанкционированного проникновения в информационную систему? Варианты ответов а) К возрастанию — 10 б) Оставаться постоянной — 0 в) К снижению — -10 Хранится ли в информационной системе информация (например, личные дела), которая может представлять интерес для сотрудников организации и побуждать их к попыткам несанкционированного доступа к ней? Варианты ответов а) Да — 5 б) Нет — 0

53 Оценка угрозы (Ответьте на вопросы)

Оценка угрозы (Ответьте на вопросы)

Известны ли случаи нападения, угроз, шантажа, давления на сотрудников со стороны посторонних лиц? Варианты ответов а) Да — 10 б) Нет — 0 Хранится ли в информационной системе информация, несанкционированное изменение которой может принести прямую выгоду сотрудникам? Варианты ответов а) Да — 5 б) Нет — 0

54 Оценка угрозы (Ответьте на вопросы)

Оценка угрозы (Ответьте на вопросы)

Существуют ли среди персонала группы лиц или отдельные лица с недостаточно высокими моральными качествами? Варианты ответов а) Нет, все сотрудники отличаются высокой честностью и порядочностью — 0 б) Существуют группы лиц и отдельные личности с недостаточно высокими моральными качествами, но это вряд ли может спровоцировать их на несанкционированное использование системы — 5 в) Существуют группы лиц и отдельные личности с настолько низкими моральными качествами, что это повышает вероятность несанкционированного использования системы сотрудниками — 10

55 Оценка угрозы (Ответьте на вопросы)

Оценка угрозы (Ответьте на вопросы)

Предусмотрена ли в информационной системе поддержка пользователей, обладающих техническими возможностями совершить действия, описанные в пункте 5? Варианты ответов а) Да — 5 б) Нет — 0 Существуют ли другие способы просмотра информации, позволяющие злоумышленнику добраться до нее более простыми методами, чем с использованием "маскарада"? Варианты ответов а) Да — -10 б) Нет — 0

56 Оценка угрозы (Ответьте на вопросы)

Оценка угрозы (Ответьте на вопросы)

Существуют ли другие способы несанкционированного изменения информации, позволяющие злоумышленнику достичь желаемого результата более простыми методами, чем с использованием "маскарада"? Варианты ответов а) Да — -10 б) Нет — 0

57 Оценка угрозы (Ответьте на вопросы)

Оценка угрозы (Ответьте на вопросы)

Сколько раз за последние 3 года сотрудники пытались получить несанкционированный доступ к информации, хранящейся в других подобных системах в вашей организации? Варианты ответов Ни разу — 0 Один или два раза — 5 В среднем раз в год — 10 В среднем чаще одного раза в год — 15 Неизвестно — 10

58 итоги Степень угрозы при количестве баллов:

итоги Степень угрозы при количестве баллов:

До 9 — Очень низкая От 10 до 19 — Низкая От 20 до 29 — Средняя От 30 до 39 — Высокая 40 и более — Очень высокая

59 Оценка уязвимости (Ответьте на вопросы)

Оценка уязвимости (Ответьте на вопросы)

Сколько людей имеют право пользоваться информационной системой? Варианты ответов а) От 1 до 10 — 0 б) От 11 до 50 — 4 в) От 51 до 200 — 10 г) От 200 до 1000 — 14 д) Свыше 1000 — 20 Будет ли руководство осведомлено о том, что люди, работающие под их началом, ведут себя необычным образом? Варианты ответов а) Да — 0 б) Нет — 10

60 Оценка уязвимости (Ответьте на вопросы)

Оценка уязвимости (Ответьте на вопросы)

Какие устройства и программы доступны пользователям? Варианты ответов Только терминалы или сетевые контроллеры, ответственные за предоставление и маршрутизацию информации, но не за передачу данных — -5 Только стандартные офисные устройства и программы и управляемые с помощью меню подчиненные прикладные программы — 0 Пользователи могут получить доступ к операционной системе, но не к компиляторам — 5 Пользователи могут получить доступ к компиляторам — 10

61 Оценка уязвимости (Ответьте на вопросы)

Оценка уязвимости (Ответьте на вопросы)

Возможны ли ситуации, когда сотрудникам, предупрежденным о предстоящем сокращении или увольнении, разрешается логический доступ к информационной системе? Варианты ответов а) Да — 10 б) Нет — 0 Каковы в среднем размеры рабочих групп сотрудников пользовательских подразделений, имеющих доступ к информационной системе? Варианты ответов а) Менее 10 человек — 0 б) От 11 до 20 человек — 5 в) Свыше 20 человек — 10

62 Оценка уязвимости (Ответьте на вопросы)

Оценка уязвимости (Ответьте на вопросы)

Станет ли факт изменения хранящихся в информационной системе данных очевидным сразу для нескольких человек (в результате чего его будет очень трудно скрыть)? Варианты ответов а) Да — 0 б) Нет — 10 Насколько велики официально предоставленные пользователям возможности по просмотру всех хранящихся в системе данных? Варианты ответов а) Официальное право предоставлено всем пользователям — -2 б) Официальное право предоставлено некоторым пользователям — 0

63 Оценка уязвимости (Ответьте на вопросы)

Оценка уязвимости (Ответьте на вопросы)

Насколько необходимо пользователям знать всю информацию, хранящуюся в системе? Варианты ответов Всем пользователям необходимо знать всю информацию — -4 Отдельным пользователям необходимо знать лишь относящуюся к ним информацию — 0

64 итоги Степень уязвимости при количестве баллов:

итоги Степень уязвимости при количестве баллов:

До 9 — Низкая От 10 до 19 — Средняя 20 и более — Высокая

65 Возможности подхода, основанного на учете различных факторов и границы

Возможности подхода, основанного на учете различных факторов и границы

его применимости.

Достоинством данного подхода является возможность учета множества косвенных факторов (не только технических). Методика проста и дает владельцу информационных ресурсов ясное представление, каким образом получается итоговая оценка и что надо изменить, чтобы улучшить оценки.

Недостатки: Косвенные факторы зависят от сферы деятельности организации, а также от иных обстоятельств. То есть, методика всегда требует подстройки под конкретный объект. А доказательство полноты выбранных косвенных факторов и правильности их весовых коэффициентов (задача сложная) решается экспертными методами

66 Подобные методики, как правило, разрабатываются для организаций

Подобные методики, как правило, разрабатываются для организаций

определенного профиля (ведомств), апробируются и затем используются в качестве ведомственного стандарта. По такому пути пошли и разработчики CRAMM, создав около десятка версий метода для разных ведомств (министерство иностранных дел, вооруженные силы и т.д.). Оценки рисков и уязвимостей в рассмотренном примере являются качественными величинами. Однако подобными методами могут быть получены и количественные оценки, необходимые при расчете остаточных рисков, решении оптимизационных задач

67 Выбор допустимого уровня риска Два подхода

Выбор допустимого уровня риска Два подхода

Выбор допустимого уровня риска связан с затратами на реализацию подсистемы информационной безопасности. Первый подход типичен для базового уровня безопасности. Второй подход применяется при обеспечении повышенного уровня безопасности.

68 Первый подход выбора допустимого уровня риска

Первый подход выбора допустимого уровня риска

Уровень остаточных рисков не принимается во внимание. Затраты на программно-технические средства защиты и организационные мероприятия, необходимые для соответствия информационной системы спецификациям базового уровня (антивирусное ПО, криптографическая защита, системы резервного копирования, системы контроля доступа) являются обязательными, целесообразность их использования не обсуждается. Дополнительные затраты (если такой вопрос будет поставлен по результатам проведения аудита ИБ либо по инициативе службы безопасности) должны находиться в разумных пределах и не превышать 5-15% средств, которые тратятся на поддержание работы информационной системы.

69 Второй подход выбора допустимого уровня риска

Второй подход выбора допустимого уровня риска

Собственник информационных ресурсов должен сам выбирать допустимый уровень остаточных рисков и нести ответственность за свой выбор. Наиболее распространенным является анализ стоимость/эффективность различных вариантов защиты, примеры постановок задач: Стоимость подсистемы безопасности должна составлять не более 20% от стоимости информационной системы. Найти вариант контрмер, максимально снижающих уровень интегральный рисков. Уровень рисков по всем классам не должен превышать "очень низкий уровень". Найти вариант контрмер с минимальной стоимостью.

70 Выбор контрмер и оценка их эффективности

Выбор контрмер и оценка их эффективности

В случае постановок оптимизационных задач важно правильно выбрать комплекс контрмер (перечислить возможные варианты) и оценить его эффективность.

Система защиты строится комплексно, включает контрмеры разных уровней (административные, организационные, программно-технические). Для облегчения выбора комплекса контрмер в различных методиках используются таблицы, в которых классам угроз ставятся в соответствие возможные контрмеры.

71 Подобные классификаторы позволяют автоматически выбирать и предлагать

Подобные классификаторы позволяют автоматически выбирать и предлагать

конкретные варианты контрмер, возможных для рассматриваемой информационной системы. Владелец информационных ресурсов может отбирать из них приемлемые. Следующий шаг — оценка эффективности контрмер. Задача оценки эффективности контрмер является не менее сложной, чем оценка рисков.

72 Заключение

Заключение

В организациях, достигнувших определенной степени зрелости, проведение анализа рисков и управление рисками на всех стадиях жизненного цикла информационной технологии являются обязательными элементами в системе мероприятий по обеспечению режима информационной безопасности.

73 Используются различные технологии анализа рисков

Используются различные технологии анализа рисков

Разработка методик анализа рисков связана с рядом методологических сложностей. Наибольшую сложность представляют: Разработка корректных процедур измерения рисков. Построение модели информационной технологии с системных позиций, учитывающей разноплановые факторы, относящиеся к организационному, процедурному, программно-техническому уровням, а также их взаимосвязи.

74 В настоящее время на рынке имеется ПО, реализующее различные методики

В настоящее время на рынке имеется ПО, реализующее различные методики

анализа рисков. Это ПО можно использовать в качестве инструментария аналитика. Однако одного "лучшего" универсального метода не существует, в каждом случае требуется выбирать подходящее ПО и настраивать его в соответствии со спецификой объекта исследования. По этой причине "бумажные" методики весьма распространены. В России (в Украине?) технологии анализа рисков и управления рисками начали применяться на практике. Многие фирмы, специализирующиеся в вопросах информационной безопасности, предлагают услуги в этой области. Однако объективно оценить качество используемых методик, качество проведенных исследований сложно, поскольку отечественных стандартов (типа BS 7799) в этой области не существует.

«Анализ рисков»
http://900igr.net/prezentacija/bez_uroka/analiz-riskov-171364.html
cсылка на страницу
Урок

Без урока

1 тема
Слайды