Понятие угрозы, уязвимости, риска, определение эффективности сзи через риск
где - величина остаточных рисков до реализации контрмеры, - величина остаточных рисков после реализации контрмеры. То есть если уровень снижения риска при внедрении контрмеры С1 равен DR1, а при внедрении С2 равен DR2, то С1 эффективнее С2, если DR1>DR2
Эффективность контрмеры с учетом затратной составляющей можно определить через коэффициент возврата инвестиций ROI.
где СКонтрмеры – величина затрат на реализацию контрмеры. Большему ROI соответствуют более эффективные контрмеры.
Более правильно -
Введение меры риска позволяет также ставить перед специалистами по ИБ различные оптимизационные задачи, разрабатывать соответствующие им стратегии управления рисками. Например:
- выбрать вариант подсистемы информационной безопасности, оптимизированной по критерию «стоимость-эффективность» при заданном уровне остаточных рисков;
- выбрать вариант подсистемы информационной безопасности, при котором минимизируются остаточные риски при фиксированной стоимости подсистемы безопасности;
- выбрать архитектуру подсистемы ИБ с минимальной стоимостью владения на протяжении жизненного цикла при установленном уровне остаточных рисков.
ЭТАПЫ УПРАВЛЕНИЯ РИСКАМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
Большинство технологий управления рисками ИБ организаций включают в себя следующие этапы:
1. Идентификацию рисков.
2. Оценивание (измерение) рисков.
3. Анализ рисков (с выбором допустимого уровня рисков).
4. Управление рисками, направленное на их снижение.
Технология управления рисками – это непрерывный циклический процесс (непрерывно повторяются этапы 1-4-1).
ОЦЕНКА РИСКОВ ИБ
В методике оценке рисков NIST SP 800-30 «Risk Management Guide for Information Technology Systems» методология оценки рисков ИБ разложена на девять основных шагов:
Шаг 1 – Определение характеристик системы (сбор информации о системе).
Шаг 2 – Определение уязвимостей.
Шаг 3 – Определение угроз.
Шаг 4 – Анализ мер безопасности.
Шаг 5 – Определение вероятности.
Шаг 6 – Анализ влияния.
Шаг 7 – Определение риска.
Шаг 8 – Выработка рекомендаций.
Шаг 9 – Документирование результатов.
Шаги 2,3,4 и 6 могут выполняться параллельно, по выполнению действий Шага 1.
3.2. Определение характеристик системы
В анализе рисков информационной безопасности первоочередным шагом является определение масштабов обследования. На этом шаге определяются границы информационной системы, включающие в себя ресурсы и информацию.
Лицо или лица, которые выполняют оценку рисков, сначала должны произвести сбор информации о системе, которая обычно классифицируется следующим образом (такая же информация собирается и на предварительной стадии перед проведением аудита ИБ).
- Аппаратное обеспечение;
- Программное обеспечение;
- Взаимодействие системы (например, внешние и внутренние связи);
- Данные и информация;
- Лица, которые поддерживают и используют ИС;
- Назначение системы (например, бизнес-процессы, которые выполняются ИС);
- Критичность информационных ресурсов (конфиденциальность, целостность, доступность, ценность или важность системы для организации); Например, одно дело – информация КТ, другое дело – не КТ или наоборот, гостайна.
- Функциональные требования ИС;
ОЦЕНКА РИСКОВ ИБ
- Пользовательские роли (например, пользователи системы, которые обеспечивают техническую поддержку информационной системы; пользователи приложений, которые используют информационную систему для выполнения своих служебных функций);
- Политики безопасности системы, которые управляют (регулируют) ИС (организационные политики, федеральные требования, законы, практики отрасли);
- Архитектура безопасности системы;
- Текущая сетевая топология (например, сетевая диаграмма);
- Безопасность механизмов, которые обеспечивают доступность, целостность и конфиденциальности данных и системы;
- Информационные потоки, принадлежащие ИС (например, связи системы, входные и выходные данные системы);
- Технические механизмы, которые используются в ИС (например, встроенные или дополнительные продукты защиты, которые поддерживают идентификацию и аутентификацию, дискреционный и мандатный контроль доступа, аудит, защиту остаточной информации, методы шифрования);
- Механизмы управления, используемые в ИС (например, правила управления, планирование безопасности);
- Операционные механизмы, используемые в ИС (например, безопасность персонала, восстановительные операции - резервирование, отработка непрерывности функционирования и восстановление; поддержка системы; внешнее хранилище; процедуры создания и удаления учетных записей пользователей; механизмы разделения пользовательских функций таких как, привилегированный пользовательский доступ против обычного пользовательского доступа);
- Среда физической безопасности ИС (например, средства физической безопасности, политики безопасности центра данных);
ОЦЕНКА РИСКОВ ИБ
- Безопасность среды ИС (пример, механизмы контроля влажности, воды, энергии, выбросов, температуры и химических веществ).
Для систем в фазе проектирования, информация может быть получена из проектной документации. Для ИС находящихся в стадии разработки – необходимо определить ключевые правила и атрибуты безопасности, планируемые для внедрения. Проектная документация системы и планы безопасности системы могут содержать множество полезной информации о безопасности ИС, которая находится в разработке.
Для функционирующей ИС, важны данные о технологических процессах, включая данные по конфигурации системы, связность, документированные и недокументированные процедуры и практики. Поэтому описание системы может основываться на описании схемы безопасности обеспечиваемой нижележащей инфраструктурой или будущими планами безопасности ИС.