Понятие угрозы, уязвимости, риска, определение эффективности сзи через риск

где - величина остаточных рисков до реализации контрмеры, - величина остаточных рисков после реализации контрмеры. То есть если уровень снижения риска при внедрении контрмеры С1 равен DR1, а при внедрении С2 равен DR2, то С1 эффективнее С2, если DR1>DR2

Эффективность контрмеры с учетом затратной составляющей можно определить через коэффициент возврата инвестиций ROI.

где СКонтрмеры – величина затрат на реализацию контрмеры. Большему ROI соответствуют более эффективные контрмеры.

Более правильно -

Введение меры риска позволяет также ставить перед специалистами по ИБ различные оптимизационные задачи, разрабатывать соответствующие им стратегии управления рисками. Например:

- выбрать вариант подсистемы информационной безопасности, оптимизированной по критерию «стоимость-эффективность» при заданном уровне остаточных рисков;

- выбрать вариант подсистемы информационной безопасности, при котором минимизируются остаточные риски при фиксированной стоимости подсистемы безопасности;

- выбрать архитектуру подсистемы ИБ с минимальной стоимостью владения на протяжении жизненного цикла при установленном уровне остаточных рисков.

ЭТАПЫ УПРАВЛЕНИЯ РИСКАМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

Большинство технологий управления рисками ИБ организаций включают в себя следующие этапы:

1. Идентификацию рисков.

2. Оценивание (измерение) рисков.

3. Анализ рисков (с выбором допустимого уровня рисков).

4. Управление рисками, направленное на их снижение.

Технология управления рисками – это непрерывный циклический процесс (непрерывно повторяются этапы 1-4-1).

ОЦЕНКА РИСКОВ ИБ

В методике оценке рисков NIST SP 800-30 «Risk Management Guide for Information Technology Systems» методология оценки рисков ИБ разложена на девять основных шагов:

Шаг 1 – Определение характеристик системы (сбор информации о системе).

Шаг 2 – Определение уязвимостей.

Шаг 3 – Определение угроз.

Шаг 4 – Анализ мер безопасности.

Шаг 5 – Определение вероятности.

Шаг 6 – Анализ влияния.

Шаг 7 – Определение риска.

Шаг 8 – Выработка рекомендаций.

Шаг 9 – Документирование результатов.

Шаги 2,3,4 и 6 могут выполняться параллельно, по выполнению действий Шага 1.

3.2. Определение характеристик системы

В анализе рисков информационной безопасности первоочередным шагом является определение масштабов обследования. На этом шаге определяются границы информационной системы, включающие в себя ресурсы и информацию.

Лицо или лица, которые выполняют оценку рисков, сначала должны произвести сбор информации о системе, которая обычно классифицируется следующим образом (такая же информация собирается и на предварительной стадии перед проведением аудита ИБ).

- Аппаратное обеспечение;

- Программное обеспечение;

- Взаимодействие системы (например, внешние и внутренние связи);

- Данные и информация;

- Лица, которые поддерживают и используют ИС;

- Назначение системы (например, бизнес-процессы, которые выполняются ИС);

- Критичность информационных ресурсов (конфиденциальность, целостность, доступность, ценность или важность системы для организации); Например, одно дело – информация КТ, другое дело – не КТ или наоборот, гостайна.

- Функциональные требования ИС;

ОЦЕНКА РИСКОВ ИБ

- Пользовательские роли (например, пользователи системы, которые обеспечивают техническую поддержку информационной системы; пользователи приложений, которые используют информационную систему для выполнения своих служебных функций);

- Политики безопасности системы, которые управляют (регулируют) ИС (организационные политики, федеральные требования, законы, практики отрасли);

- Архитектура безопасности системы;

- Текущая сетевая топология (например, сетевая диаграмма);

- Безопасность механизмов, которые обеспечивают доступность, целостность и конфиденциальности данных и системы;

- Информационные потоки, принадлежащие ИС (например, связи системы, входные и выходные данные системы);

- Технические механизмы, которые используются в ИС (например, встроенные или дополнительные продукты защиты, которые поддерживают идентификацию и аутентификацию, дискреционный и мандатный контроль доступа, аудит, защиту остаточной информации, методы шифрования);

- Механизмы управления, используемые в ИС (например, правила управления, планирование безопасности);

- Операционные механизмы, используемые в ИС (например, безопасность персонала, восстановительные операции - резервирование, отработка непрерывности функционирования и восстановление; поддержка системы; внешнее хранилище; процедуры создания и удаления учетных записей пользователей; механизмы разделения пользовательских функций таких как, привилегированный пользовательский доступ против обычного пользовательского доступа);

- Среда физической безопасности ИС (например, средства физической безопасности, политики безопасности центра данных);

ОЦЕНКА РИСКОВ ИБ

- Безопасность среды ИС (пример, механизмы контроля влажности, воды, энергии, выбросов, температуры и химических веществ).

Для систем в фазе проектирования, информация может быть получена из проектной документации. Для ИС находящихся в стадии разработки – необходимо определить ключевые правила и атрибуты безопасности, планируемые для внедрения. Проектная документация системы и планы безопасности системы могут содержать множество полезной информации о безопасности ИС, которая находится в разработке.

Для функционирующей ИС, важны данные о технологических процессах, включая данные по конфигурации системы, связность, документированные и недокументированные процедуры и практики. Поэтому описание системы может основываться на описании схемы безопасности обеспечиваемой нижележащей инфраструктурой или будущими планами безопасности ИС.