Подходы и методология оценки рисков информационной безопасности

В ISO/IEC 27005:2008 предлагаются два основных подхода к оценке риска информационной безопасности — высокоуровневая и детальная оценки риска.

Высокоуровневая оценка риска информационной безопасности дает возможность определения приоритетов и хронологии действий. По разным причинам (например из-за бюджетных ограничесний) одновременная реализация всех средств контроля может быть невозможна, и могут рассматриваться только наиболее критичные риски посредством процесса обработки риска. Также может быть преждевременно начинать детальный менеджмент риска, если реализация предусматривается только в течение года или двух. Для достижения этой цели высокоуровневая оценка может начаться с высокоуровневой оценки последствий, а не с систематического анализа угроз, уязвимостей, активов и последствий.

Другой причиной начать с высокоуровневой оценки является синхронизация с другими планами, связанными с менеджментом изменений (или обеспечением непрерывности бизнеса). Например, нелогично обеспечивать полную защиту информационной системы или приложения, если планируется в ближайшем будущем привлечь для работы с ними внешние ресурсы, хотя все же, возможно, стоит выполнить связанную с риском оценку, чтобы определить вопрос договора о привлечении внешних ресурсов.

Особенности итерации высокоуровневой оценки риска могут включать следующее:

  • — высокоуровневая оценка риска может иметь дело с более глобальным рассмотрением организации и ее информационных систем, когда технологические аспекты рассматриваются как независимые от вопросов, связанных с бизнесом. В результате этого анализ контекста больше сосредотачивается на эксплуатационной и бизнес-среде, чем на технологических компонентах;
  • — при использовании высокоуровневой оценки риска может рассматриваться более ограниченный перечень угроз и уязвимостей, распределенных по определенных сферам, или, для ускорения процесса, можно сосредотачиваться на сценариях риска или нападений вместо их элементов;
  • — риски, представленные в высокоуровневой оценке риска, часто являются более общими сферами риска, чем конкретно идентифицированными рисками. Когда сценарии или угрозы распределяются по сферам, обработка риска предлагает списки средств контроля (средств защиты) для каждой сферы. Мероприятия, связанные с обработкой риска, затем пытаются, прежде всего, предложить и выбрать общие средства контроля, являющиеся действенными во всей системе;
  • — поскольку при использовании высокоуровневой оценки риска редко рассматриваются технологические детали, она более уместна для обеспечения организационных и нетехнических средств контроля, а также общих аспектов менеджмента технических средств контроля или основных и распространенных технических защитных мер, таких как резервное копирование и антивирусные программы.

Преимущества высокоуровневой оценки риска:

  • — включение первоначального простого подхода, вероятно, должно получить одобрение программы оценки риска;
  • — должна появиться возможность построения стратегической картины для разработки программы обеспечения безопасности организации, т.е. она будет действовать как хорошая помощь в планировании;
  • — ресурсы и денежные средства могут быть применены там, где они наиболее полезны, и информационные системы и сети, больше всего нуждающиеся в защите, будут рассмотрены первыми.

Поскольку первоначальные анализы риска выполняются на высоком уровне и потенциально являются менее точными, единственный возможный недостаток состоит в том, что некоторые бизнес- процессы или системы могут не быть идентифицированы как нуждающиеся во вторичной, детальной оценке риска. Этого можно избежать, если существует адекватная информация обо всех аспектах организации, ее информации и системах, включая информацию, полученную в результате оценивания инцидентов информационной безопасности.

При использовании высокоуровневой оценки риска рассматривается ценность для бизнеса информационных активов и риски с точки зрения бизнеса организации. В первой точке принятия решения (смотри рисунок) несколько факторов помогают в определении того, является ли высокоуровневая оценка адекватной для обработки риска; эти факторы могут включать следующее:

  • — бизнес-цели, которые должны быть достигнуты посредством использования различных информационных активов;
  • — степень зависимости бизнеса организации от каждого информационного актива, т.е. являются ли функции, которые организация считает критичными для своего выживания или эффективного ведения бизнеса, зависящими от каждого актива или от конфиденциальности, целостности, доступности, неотказуемости, учетности, подлинности и надежности информации, хранящейся и обрабатываемой в данном активе;
  • — уровень инвестиций в каждый информационный актив, с точки зрения разработки, поддержки или замены актива;
  • — информационные активы, которым организация напрямую присваивает ценность.

Когда эти факторы оценены, решение становится проще. Если цели актива крайне важны для ведения бизнеса организации или если активы имеют высокий уровень риска, то для конкретного информационного актива (или его части) должна быть проведена вторая итерация, детальная оценка риска.

Здесь применяется следующее общее правило: если отсутствие информационной безопасности может привести к существенным неблагоприятным последствиям для организации, ее бизнес-процессов или ее активов, то необходима вторая итерация оценки риска на более детальном уровне для идентификации потенциальных рисков.

Детальная оценка риска информационной безопасности включает в себя тщательную идентификацию и определение ценности активов, оценку угроз этим активам и оценку уязвимостей. Результаты этих мероприятий потом используются для оценки рисков, а затем для идентификации оправданных средств защиты и механизмов безопасности.

Детальная последовательность действий обычно требует значительного времени, усилий и компетентности и поэтому может быть наиболее пригодной для информационных систем с высоким уровнем риска.

Таким образом, анализ (идентификация и измерение) риска может быть осуществлен с различной степенью детализации в зависимости от критичности активов, распространенности известных уязвимостей и прежних инцидентов, касавшихся организации.

Методология измерения риска может быть качественной или количественной, или их комбинацией, в зависимости от обстоятельств. На практике качественная оценка часто используется первой для получения общих сведений об уровне риска и выявления основных значений рисков. Позднее может возникнуть необходимость в осуществлении более специфичного или количественного анализа основных значений рисков, поскольку обычно выполнение качественного анализа по сравнению с количественным является менее сложным и менее затратным.

Рассмотрим более подробно особенности методологии измерения риска с использованием качественной или количественной оценки риска.

В качественной оценке используют шкалу квалификации атрибутов для описания величины возможных последствий (например, низкий, средний и высокий) и вероятности возникновения этих последствий. Преимущество качественной оценки заключается в простоте ее понимания всем соответствующим персоналом, а недостатком является зависимость от субъективного выбора шкалы. Такие шкалы могут быть адаптированы или скорректированы таким образом, чтобы удовлетворять требованиям обстоятельств, а для разных рисков могут использоваться разные описания.

Качественную оценку можно использовать: как начальную деятельность по тщательной проверке для идентификации рисков, требующих более детального анализа; там, где этот вид анализа является соответствующим для принятия решения; там, где числовые данные или ресурсы являются неадекватными для количественной оценки. Качественный анализ должен использовать фактическую информацию и доступные данные.

В количественной оценке используют шкалу с числовыми значениями (а не описательные шкалы, используемые в качественной оценке) и последствий, и вероятности инцидентов (реализации угроз), применяя данные из различных источников. Качество анализа зависит от точности и полноты числовых значений и от обоснованности используемых моделей. В большинстве случаев при количественной оценке используют фактические данные за прошлый период, обеспечивая преимущество в том, что она может быть напрямую связана с целями информационной безопасности и проблемами организации. Недостатки количественного подхода могут проявляться тогда, когда фактические проверяемые данные недоступны, поэтому создается иллюзия ценности и точности оценки риска.

Способ выражения вероятности и последствий и способы их объединения для получения сведений об уровне риска изменяются в соответствии с видом риска и целью, для которой должны использоваться выходные данные оценки риска. Неопределенность и изменяемость последствий и вероятности следует учитывать при анализе.

Последствия могут оцениваться несколькими методами, включая использование количественных, например денежных, и качественных мер (которые могут быть основаны на использовании таких прилагательных, как «умеренные» или «серьезные») или их комбинации. Для оценки вероятности возникновения угрозы должны быть установлены временные рамки, в течение которых актив будет обладать ценностью или нуждаться в защите. На вероятность возникновения конкретной угрозы оказывает влияние следующее:

  • — привлекательность актива или возможное воздействие — применимо при рассмотрении умышленной угрозы со стороны персонала;
  • — простота преобразования, использующего уязвимость, актива в вознаграждение — применимо при рассмотрении умышленной угрозы со стороны персонала;
  • — технические возможности действующего фактора угрозы — применимо при рассмотрении умышленной угрозы со стороны персонала;
  • — чувствительность уязвимости к использованию — применимо к уязвимостям технического и нетехнического характера.

Возможный подход к количественной оценке (измерению) уровня риска основывается на следующем количественном выражении и объединении вероятности и последствий — результирующего влияния нежелательного события на организацию.

Тем или иным способом получают сведения о частоте возникновения рассматриваемого нежелательного события (за какой-то фиксированный период) и вероятности успешной реализации угрозы. Последствия (влияние) связаны с величиной ущерба, который может быть вызван угрозой, реализующей уязвимость. Размер ущерба от реализации угрозы в отношении информационного или иного актива зависит от его стоимости и степени разрушительности воздействия на актив. Последний фактор учитывается в виде коэффициента разрушительности (как правило, указанный коэффициент лежит в диапазоне от 0 до 1.

Таким образом, получаем формулу для оценки риска в виде эквивалентной стоимости ущерба от нежелательного события, представимую в виде произведения:

141

Суммарный риск определяется как математическое ожидание ущерба, то есть как сумма приведенных выше произведений для всех нежелательных событий (по существу как сумма произведений вероятностей каждого из нежелательных событий на величины потерь от них).

Многие методы используют таблицы и объединяют субъективные и эмпирические меры. Несколько примеров, основанных на использовании табличных методов, приведено ниже.

 
Посмотреть оригинал
< Пред   СОДЕРЖАНИЕ   ОРИГИНАЛ     След >