Multivarijantna analiza rizika informacijske sigurnosti. Pristupi i metode

Pošaljite svoj dobar rad u bazu znanja je jednostavno. Upotrijebite obrazac u nastavku

Studenti, diplomski studenti, mladi znanstvenici koji koriste bazu znanja u svom studiju i radu bit će vam jako zahvalni.

Slični dokumenti

Priroda bankarstva. Pojam i razlozi nastanka bankarskih rizika. Opis glavnih bankarskih rizika. Osnovne metode minimiziranja bankarskih troškova. Analiza minimiziranja bankarskih rizika na primjeru Halyk Bank of Kazakhstan JSC.

seminarski rad, dodan 06.12.2008


Pojam sistemskih rizika u bankarskom sektoru, kriteriji za njihovu identifikaciju i procjenu. Glavne klasifikacijske značajke grupiranja bankarskih rizika. Utjecaj sistemskih rizika na stabilnost, stabilnost, pouzdanost i ravnotežu bankarskog sektora.

sažetak, dodan 22.02.2017


Problemi procjene i smanjenja rizika u poslovanju poslovnih banaka. Implementacija skoring modela za ocjenu kreditne sposobnosti klijenata banke. Povećanje resursa stvaranjem novog depozita "Uspjeh". Izdavanje kredita osiguranih vrijednosnim papirima.

rad, dodan 21.01.2015


Metodološke osnove za izgradnju sustava za osiguranje informacijske sigurnosti kreditnih institucija. Analiza i definiranje prijetnji zaštićenim resursima. Metoda analize prijetnji informacijskoj sigurnosti centra za obradu podataka OJSC "Volga-Credit Bank".

rad, dodan 07.05.2014


Funkcije i sastav vlastitih i posuđenih sredstava kreditne institucije. Studija resursne baze ruskih poslovnih banaka. Analiza temeljnog kapitala, depozita, dužničkih obveza CJSC "UniCredit Bank". Problemi privlačenja financijskih sredstava.

seminarski rad, dodan 20.02.2013


Bankarski rizici. Razina bankovnog rizika. Klasifikacija rizika u bankarstvu. Sustav optimizacije bankovnog rizika. Bankarski sustav Rusije - glavni trendovi i perspektive razvoja.

sažetak, dodan 28.09.2006


Karakteristike banke JSC "UniCredit Bank". Struktura i dinamika imovine i obveza bilance. Faktorska analiza prihoda i rashoda od kamata iz poslovanja s vrijednosnim papirima. Analiza solventnosti, financijske stabilnosti banke i perspektiva njezina razvoja.

seminarski rad dodan 21.03.2016

NRU ITMO, ***** @ *** kom

Akademski voditelj - doktor znanosti, profesor, NRU ITMO, ***** @

napomena

U članku su razmotrene metode za proračun rizika informacijske sigurnosti, napravljena je usporedba s naznakom kritičnih nedostataka. Predstavljen je prijedlog korištenja vlastite metode procjene rizika.

Ključne riječi: rizik, informacijski sustav, informacijska sigurnost, metoda izračuna rizika, procjena rizika, informacijska imovina.

Uvod

Sustav upravljanja rizikom informacijske sigurnosti (IS) hitna je zadaća u svim fazama kompleksa informacijske sigurnosti. Istodobno, nemoguće je unaprijed upravljati rizicima bez njihove procjene, što se pak mora izvesti na neki način. U fazi procjene rizika najzanimljivije su formule i ulazni podaci za izračun vrijednosti rizika. Članak analizira nekoliko različitih metoda za izračun rizika te predstavlja vlastitu metodologiju. Cilj rada je izvesti formulu za izračun rizika informacijske sigurnosti koja omogućuje dobivanje niza stvarnih rizika i procjenu gubitaka u novčanom smislu.

Rizik informacijske sigurnosti u klasičnom obliku definira se kao funkcija tri varijable:

vjerojatnost prijetnje; vjerojatnost ranjivosti (nesigurnosti); potencijalni utjecaj.

Ako se bilo koja od ovih varijabli približi nuli, ukupni rizik također teži nuli.

Metode procjene rizika

ISO / IEC 27001. Što se tiče metodologije za izračun vrijednosti rizika, navodi se da odabrana metodologija treba osigurati da procjene rizika daju usporedive i ponovljive rezultate. Istodobno, standard ne daje konkretnu formulu za izračun.

NIST 800-30 nudi klasičnu formulu za izračun rizika:

gdje je R vrijednost rizika;

P (t) je vjerojatnost realizacije IS prijetnje (koristi se mješavina kvalitativnih i kvantitativnih ljestvica);

S - stupanj utjecaja prijetnje na imovinu (cijena imovine na kvalitativnoj i kvantitativnoj ljestvici).

Kao rezultat toga, vrijednost rizika se izračunava u relativnim jedinicama, koje se mogu rangirati prema stupnju važnosti za postupak upravljanja rizikom informacijske sigurnosti.

GOST R ISO / IEC DO 7. Proračun rizika, za razliku od standarda NIST 800-30, temelji se na tri čimbenika:

R = P (t) * P (v) * S,

gdje je R vrijednost rizika;

P (t) je vjerojatnost realizacije prijetnje IS-a;

P (v) je vjerojatnost ranjivosti;

S je vrijednost imovine.

Kao primjer vrijednosti vjerojatnosti P (t) i P (v), dana je kvalitativna skala s tri razine: niska, srednja i visoka. Za procjenu vrijednosti imovine S, numeričke vrijednosti su prikazane u rasponu od 0 do 4. Usporedbu kvalitativnih vrijednosti trebala bi izvršiti organizacija u kojoj se procjenjuju rizici informacijske sigurnosti.

BS 7799. Razina rizika izračunava se uzimajući u obzir tri pokazatelja - vrijednost resursa, razinu prijetnje i stupanj ranjivosti. S povećanjem vrijednosti ova tri parametra rizik se povećava, pa se formula može predstaviti na sljedeći način:

R = S * L (t) * L (v),

gdje je R vrijednost rizika;

S je vrijednost imovine/resursa;

L (t) - razina opasnosti;

L (v) - razina / stupanj ranjivosti.

U praksi se izračun rizika IS-a provodi prema tablici pozicioniranja vrijednosti razine prijetnje, stupnja vjerojatnosti iskorištavanja ranjivosti i vrijednosti imovine. Vrijednost rizika može se mijenjati u rasponu od 0 do 8, kao rezultat toga, za svako sredstvo dobiva se popis prijetnji s različitim vrijednostima rizika. Standard također nudi ljestvicu za rangiranje rizika: niski (0-2), srednji (3-5) i visoki (6-8), što vam omogućuje da odredite najkritičnije rizike.

STO BR IBBS. Prema standardu, procjena stupnja mogućnosti realizacije prijetnje informacijskoj sigurnosti vrši se na kvalitativnoj i kvantitativnoj ljestvici, neostvariva prijetnja - 0%, prosjek - od 21% do 50% itd. - kvantitativno ljestvica, odnosno minimalna je 0,5% kapitala banke, visoka - od 1,5% do 3% kapitala banke.

Za provođenje kvalitativne procjene rizika informacijske sigurnosti koristi se tablica korespondencije između ozbiljnosti posljedica i vjerojatnosti realizacije prijetnje. Ako je potrebno napraviti kvantitativnu procjenu, tada se formula može predstaviti kao:

gdje je R vrijednost rizika;

P (v) je vjerojatnost realizacije prijetnje IS-a;

S je vrijednost imovine (težina posljedica).

Predložena metoda

Uzimajući u obzir sve navedene metode procjene rizika u smislu izračuna vrijednosti rizika informacijske sigurnosti, vrijedi napomenuti da se izračun rizika vrši korištenjem vrijednosti prijetnji i vrijednosti imovine. Značajan nedostatak je procjena vrijednosti imovine (iznos štete) u obliku uvjetnih vrijednosti. Uvjetne vrijednosti nemaju mjerne jedinice primjenjive u praksi, a posebno nisu novčani ekvivalent. Kao rezultat toga, to ne daje stvarnu ideju o razini rizika koji se može prenijeti na stvarnu imovinu zaštićenog objekta.

Stoga se predlaže podijeliti postupak izračuna rizika u dvije faze:

1. Izračun vrijednosti tehničkog rizika.

2. Proračun potencijalne štete.

Pod tehničkim rizikom podrazumijeva se vrijednost rizika informacijske sigurnosti, koji se sastoji od vjerojatnosti implementacije prijetnji i iskorištavanja ranjivosti svake komponente informacijske infrastrukture, uzimajući u obzir razinu njihove povjerljivosti, integriteta i dostupnosti. Za prvu fazu imamo sljedeće 3 formule:

Rc = Kc * P (T) * P (V), Ri = Ki * P (T) * P (V),

Ra = Ka * P (T) * P (V),

gdje je Rc vrijednost rizika povjerljivosti;

Ri je vrijednost rizika integriteta;

Ra je vrijednost rizika dostupnosti;

Ks - koeficijent povjerljivosti informacijskog sredstva;

Ki je faktor integriteta informacijskog sredstva;

Ka je koeficijent dostupnosti informacijskog sredstva;

P (T) je vjerojatnost realizacije prijetnje;

P (V) je vjerojatnost iskorištavanja ranjivosti.

Korištenje ovog algoritma omogućit će detaljniju procjenu rizika, nakon što se na izlazu dobije bezdimenzionalna vrijednost vjerojatnosti rizika kompromitiranja svake informacijske imovine zasebno.

Nakon toga, moguće je izračunati vrijednost štete, za to se koristi prosječna vrijednost rizika svake informacijske imovine i iznos potencijalnih gubitaka:

gdje je L vrijednost štete;

Rav - prosječna vrijednost rizika;

S - gubici (u novčanom smislu).

Predložena metodologija omogućuje ispravnu procjenu vrijednosti rizika informacijske sigurnosti i izračun novčanih gubitaka u slučaju sigurnosnih incidenata.

Književnost

1. ISO / IEC 27001. Međunarodna norma sadrži zahtjeve za informacijsku sigurnost za stvaranje, razvoj i održavanje sustava upravljanja informacijskom sigurnošću. 20-ih godina.

2. GOST R ISO / IEC DO 7. Nacionalni standard Ruske Federacije. Metode i sredstva osiguranja sigurnosti. Dio 3. Metode upravljanja sigurnošću informacijske tehnologije. Moskva. 20-ih godina.

3. BS 7799-2: 2005 Specifikacija sustava upravljanja sigurnošću informacija. Engleska. 20-ih godina.

4. RS BR IBBS-2.2-200. Osiguravanje informacijske sigurnosti organizacija u bankarskom sustavu Ruske Federacije. Metode za procjenu rizika narušavanja informacijske sigurnosti. Moskva. 20-ih godina.

5. Vodič za upravljanje rizicima za sustave informacijske tehnologije. Preporuke Nacionalnog instituta za standarde i tehnologiju. SAD. 20-ih godina.

6. Elektronički izvor Wikipedia, članak "Rizik".

Poznato je da je rizik vjerojatnost prijetnje informacijskoj sigurnosti. U klasičnom smislu, procjena rizika uključuje procjenu prijetnji, ranjivosti i štete nastale tijekom njihove provedbe. Analiza rizika sastoji se u modeliranju slike nastanka ovih najnepovoljnijih stanja uzimajući u obzir sve moguće čimbenike koji određuju rizik kao takav. S matematičke točke gledišta, kada se analiziraju rizici, takvi se čimbenici mogu smatrati ulaznim parametrima.

Navedimo ove parametre:
1) sredstva - ključne komponente infrastrukture sustava uključene u poslovni proces i koje imaju određenu vrijednost;
2) prijetnje, čija je provedba moguća kroz iskorištavanje ranjivosti;
3) ranjivosti - slabost u sredstvima zaštite uzrokovana pogreškama ili nesavršenostima u procedurama, dizajnu, implementaciji, koje se mogu koristiti za prodor u sustav;
4) šteta, koja se procjenjuje uzimajući u obzir troškove vraćanja sustava u prvobitno stanje nakon mogućeg incidenta informacijske sigurnosti.

Dakle, prvi korak u provođenju multivarijantne analize rizika je identifikacija i klasifikacija analiziranih ulaznih parametara. Zatim je potrebno provesti gradaciju svakog parametra prema razinama značajnosti (na primjer: visoka, srednja, niska). U završnoj fazi modeliranja vjerojatnog rizika (koja prethodi primanju brojčanih podataka o razini rizika), identificirane prijetnje i ranjivosti povezuju se s određenim komponentama IT infrastrukture (takva veza može podrazumijevati npr. analizu rizika s i bez obzira na dostupnost obrane sustava, vjerojatnost da će sustav biti kompromitiran zbog nerazmotrenih čimbenika itd.). Prođimo kroz proces modeliranja rizika korak po korak. Da bismo to učinili, prije svega, obratimo pozornost na imovinu tvrtke.

Popis imovine poduzeća
(KARAKTERIZACIJA SUSTAVA)

Prije svega, potrebno je utvrditi što je vrijedna imovina poduzeća sa stajališta informacijske sigurnosti. Standard ISO 17799, koji detaljno opisuje postupke za sustav upravljanja sigurnošću informacija, identificira sljedeće vrste imovine:
... informacijski resursi (baze podataka i datoteke podataka, ugovori i sporazumi, dokumentacija sustava, informacije o istraživanju, dokumentacija, materijali za obuku itd.);
... softver;
... materijalna imovina (računalna oprema, telekomunikacije i sl.);
... usluge (telekomunikacijske usluge, sustavi za održavanje života, itd.);
... zaposlenici tvrtke, njihove kvalifikacije i iskustvo;
... nematerijalna sredstva (ugled i imidž poduzeća).

Potrebno je utvrditi koja povreda informacijske sigurnosti koje imovine može naštetiti tvrtki. U tom slučaju, imovina će se smatrati vrijednom i morat će se uzeti u obzir prilikom analize informacijskih rizika. Popis je sastavljanje popisa vrijedne imovine tvrtke. Obično ovaj postupak provode vlasnici imovine. Pojam "vlasnik" definira osobe ili strane koje imaju odgovornosti odobrene od strane uprave tvrtke za upravljanje stvaranjem, razvojem, održavanjem, korištenjem i zaštitom imovine.

U postupku kategorizacije imovine potrebno je procijeniti kritičnost imovine za poslovne procese tvrtke, odnosno, drugim riječima, utvrditi koliku će štetu poduzeće pretrpjeti u slučaju narušavanja informacijske sigurnosti imovine. Ovaj proces je najteži, jer vrijednost imovine utvrđuje se na temelju stručnih procjena njihovih vlasnika. Tijekom ove faze često se vode rasprave između konzultanata za razvoj sustava upravljanja i vlasnika imovine. To pomaže vlasnicima imovine razumjeti kako odrediti vrijednost imovine sa stajališta informacijske sigurnosti (u pravilu je proces određivanja kritičnosti imovine nov i netrivijalan za vlasnika). Osim toga, razvijaju se različite tehnike vrednovanja za vlasnike imovine. Konkretno, takve metodologije mogu sadržavati specifične kriterije (relevantne za danu tvrtku) koje treba uzeti u obzir prilikom procjene kritičnosti.

Procjena kritičnosti imovine

Procjena kritičnosti imovine vrši se prema tri parametra: povjerljivost, integritet i dostupnost. Oni. treba napraviti procjenu štete koju će poduzeće pretrpjeti ako se naruši povjerljivost, integritet ili dostupnost imovine. Procjena kritičnosti imovine može se izvršiti u novčanim jedinicama i razinama. Međutim, s obzirom na činjenicu da su za analizu informacijskih rizika potrebne vrijednosti u novčanim jedinicama, u slučaju procjene kritičnosti imovine u razinama, treba odrediti procjenu svake razine u novcu.

Prema mjerodavnoj klasifikaciji NIST-a koja je uključena u VODIČ ZA UPRAVLJANJE RIZICIMA ZA SUSTAVE INFORMACIJSKE TEHNOLOGIJE, kategorizaciji i procjeni prijetnji prethodi izravna identifikacija njihovih izvora. Dakle, prema gornjoj klasifikaciji, mogu se identificirati glavni izvori prijetnji, uključujući:
... prirodne prijetnje (potresi, poplave itd.);
... prijetnje koje dolaze od osobe (neovlašteni pristup, mrežni napadi, korisničke pogreške itd.);
... prijetnje koje je stvorio čovjek (nesreće raznih vrsta, nestanci struje, kemijsko onečišćenje itd.).

Gornja klasifikacija može se detaljnije kategorizirati.
Dakle, prema gore navedenoj klasifikaciji NIST-a, neovisne kategorije izvora ljudskih prijetnji uključuju:
- hakeri;
- kriminalne strukture;
- teroristi;
- tvrtke koje se bave industrijskom špijunažom;
- insajderi.
Svaka od navedenih prijetnji, pak, mora biti detaljna i ocijenjena na ljestvici važnosti (na primjer: niska, srednja, visoka).

Očito, analizu prijetnji treba razmatrati u bliskoj vezi s ranjivostima sustava koji ispitujemo. Cilj ove faze upravljanja rizicima je sastaviti popis mogućih ranjivosti sustava i kategorizirati te ranjivosti na temelju njihove "jačine". Dakle, prema svjetskoj praksi, gradacija ranjivosti može se podijeliti na razine: kritična, visoka, srednja, niska. Razmotrimo ove razine detaljnije:

1. Kritična razina opasnosti. Ova razina ozbiljnosti uključuje ranjivosti koje omogućuju udaljeno kompromitiranje sustava bez dodatne izloženosti ciljnom korisniku i koje se trenutno aktivno iskorištavaju. Ova razina opasnosti podrazumijeva da je eksploatacija u javnoj domeni.

2. Visok stupanj opasnosti. Ova razina ozbiljnosti uključuje ranjivosti koje omogućuju kompromitiranje udaljenog sustava. U pravilu ne postoji javno dostupan exploit za takve ranjivosti.

3. Srednji stupanj opasnosti. Ova razina ozbiljnosti uključuje ranjivosti koje omogućuju daljinsko uskraćivanje usluge, neovlašteni pristup podacima ili proizvoljno izvršavanje koda kroz izravnu interakciju korisnika (na primjer, kroz ranjivu aplikaciju koja se povezuje sa zlonamjernim poslužiteljem).

4. Niska razina opasnosti. Ova razina uključuje sve ranjivosti koje se iskorištavaju lokalno, kao i ranjivosti koje je teško iskoristiti ili koje imaju minimalan utjecaj (na primjer, XSS, uskraćivanje usluge za klijentsku aplikaciju).

Izvor za sastavljanje takvog popisa / popisa ranjivosti trebao bi biti:
... javno dostupni redovito objavljeni popisi ranjivosti (na primjer: www.securitylab.ru);
... popis ranjivosti koji je objavio proizvođač softvera (na primjer: www.apache.org);
... rezultati testa penetracije (na primjer: www.site-sec.com);
... analiza izvješća skenera ranjivosti (koju provodi sigurnosni administrator unutar tvrtke).

Općenito, ranjivosti se mogu klasificirati na sljedeći način:
... Ranjivosti OS i softvera (pogreške koda) koje su otkrili proizvođač ili neovisni stručnjaci (u vrijeme pisanja ovog teksta, ukupan broj otkrivenih ranjivosti dosegao je oko ~ 1900 - to uključuje ranjivosti objavljene u "bugtracks" na xakep.ru, securitylab, milw0rm.com i securityfocus .com).
... Ranjivosti sustava povezane s pogreškama u administraciji (postavke web poslužitelja ili PHP-a neprikladne okolini, portovi s ranjivim uslugama koji nisu zatvoreni vatrozidom, itd.).
... Ranjivosti čiji izvori mogu biti incidenti koji nisu obuhvaćeni sigurnosnom politikom, kao i prirodni događaji. Prelijevanje međuspremnika izvrstan je primjer uobičajene ranjivosti OS-a i softvera. Usput rečeno, velika većina postojećih exploit-a implementira klasu ranjivosti prekoračenja međuspremnika.

Numeričke metode procjene rizika

Najjednostavnija procjena informacijskog rizika sastoji se u izračunu rizika koji se provodi uzimajući u obzir informacije o kritičnosti imovine, kao i vjerojatnosti realizacije ranjivosti.
Klasična formula za procjenu rizika:
R = D * P (V), gdje je R informacijski rizik;
D je kritičnost sredstva (šteta);
P (V) je vjerojatnost realizacije ranjivosti.
Jedan primjer praktične provedbe gornjeg pristupa određivanju razina rizika je matrica rizika koju je predložio NIST.

Svaki od mogućih ulaznih parametara (na primjer, ranjivost, prijetnja, imovina i šteta) opisuje se vlastitom funkcijom članstva, uzimajući u obzir odgovarajući koeficijent.

Procjena rizika nejasne logike

Mehanizmi procjene rizika temeljeni na nejasnoj logici uključuju slijed faza, od kojih svaka koristi rezultate prethodne faze. Redoslijed ovih koraka obično je sljedeći:
... Unošenje pravila programiranja u obliku pravila proizvodnje ("IF, ... THEN"), koja odražavaju odnos između razine ulaznih podataka i razine rizika na izlazu.
... Postavljanje funkcije članstva ulaznih varijabli (kao primjer - korištenjem specijaliziranih programa poput "Fuzyy logic" - u ovom primjeru koristili smo MatLab).
... Dobivanje primarnog rezultata evaluacije ulaznih varijabli.
... Fuzzifikacija procjena ulaznih varijabli (pronalaženje specifičnih vrijednosti funkcija pripadnosti).
... Agregacija (podrazumijeva provjeru istinitosti uvjeta transformiranjem funkcija članstva kroz neizrazu konjunkciju i neizrazu disjunkciju).
... Aktiviranje zaključaka (pronalaženje težinskih koeficijenata za svako od pravila i funkcije istinitosti).
... Akumulacija zaključaka (pronalaženje funkcije pripadnosti za svaku od izlaznih varijabli).
... Defazifikacija (pronalaženje jasnih vrijednosti izlaznih varijabli).

Dakle, u gornjem primjeru (Tablica 1.1.), zapravo je razmatran dvoparametarski algoritam za procjenu rizika s trorazinskim skalama ulaznih parametara. pri čemu:
... za ulazne vrijednosti i rizik postavljene su trorazinske ljestvice na kojima su definirani nejasni pojmovi (koji odgovaraju "velikim", "prosječnim" i "niskim" vrijednostima varijabli - vidi sliku 1);
... značaj svih pravila logičkog zaključivanja je isti (sve težine pravila proizvodnje jednake su jedinici).

Riža. 1. Trapezoidne funkcije članstva trostupanjske ljestvice "ranjivosti"

Očito je da dvoparametarski algoritam koji uključuje unos dvije ulazne varijable ne može dati objektivan rezultat analize rizika, posebno uzimajući u obzir mnoge čimbenike – ulazne varijable, koje, inače, odražavaju stvarnu sliku procjene rizika IS-a.

Četveroparametarski algoritam

Pretpostavimo da je uz pomoć proizvodnih pravila neizrazite logike potrebno reproducirati mehanizam zaključivanja uzimajući u obzir četiri ulazne varijable. Takve varijable u ovom slučaju su:
... imovina;
... ranjivost;
... prijetnja (ili bolje rečeno, njezina vjerojatnost);
... šteta.

Svaka od navedenih ulaznih varijabli ocjenjuje se prema vlastitoj ljestvici. Dakle, pretpostavimo da su na temelju preliminarne analize dobivene neke procjene ulaznih varijabli (slika 2.):

Riža. 2. Unos varijabilnih procjena i mehanizam zaključivanja

Koristeći najjednostavniji primjer, razmotrite vrstu pravila proizvodnje za određeni slučaj s tri razine:

Riža. 3. Pravila proizvodnje četveroparametarskog algoritma

Grafičko sučelje Fuzzy Logic Toolbox u ovom slučaju omogućuje pregled grafova ovisnosti o riziku o vjerojatnosti prijetnje i, sukladno tome, drugim ulaznim varijablama.

Slika 4. Ovisnost rizika o vjerojatnosti prijetnje

Riža. 5. Ovisnost rizika o šteti

Glatki i monoton graf "krivulje zaključivanja" ukazuje na dostatnost i dosljednost korištenih pravila zaključivanja. Vizualni grafički prikaz omogućuje procjenu primjerenosti svojstava mehanizma zaključivanja zahtjevima. U ovom slučaju, "krivulja zaključivanja" ukazuje da je preporučljivo koristiti mehanizam zaključivanja samo u području vrijednosti niske vjerojatnosti, t.j. s vjerojatnošću manjom od 0,5. Kako možete objasniti takvu "blokadu" u vrijednostima s vjerojatnošću većom od 0,5? Vjerojatno zato što korištenje ljestvice s tri razine, u pravilu, utječe na osjetljivost algoritma u području velikih vrijednosti vjerojatnosti.

Pregled nekih višefaktorskih alata za analizu rizika

Prilikom provođenja potpune analize rizika, uzimajući u obzir mnoge čimbenike, potrebno je riješiti niz teških problema:
... Kako odrediti vrijednost resursa?
... Kako sastaviti potpuni popis prijetnji informacijskoj sigurnosti i procijeniti njihove parametre?
... Kako odabrati prave protumjere i procijeniti njihovu učinkovitost?
Za rješavanje ovih problema postoje posebno dizajnirani alati izgrađeni korištenjem strukturnih metoda analize i projektiranja sustava (SSADM - Structured Systems Analysis and Design), koji omogućuju:
- izgradnja modela IS-a sa stajališta IS-a;
- metode procjene vrijednosti resursa;
- alati za sastavljanje popisa prijetnji i procjenu njihove vjerojatnosti;
- odabir protumjera i analiza njihove učinkovitosti;
- analiza mogućnosti zaštite građevine;
- dokumentacija (generacija izvješća).
Trenutno na tržištu postoji nekoliko softverskih proizvoda ove klase. Najpopularniji od njih je CRAMM. U nastavku ćemo ukratko razgovarati o tome.

CRAMM metoda

Godine 1985. Središnja računalna i telekomunikacijska agencija Ujedinjenog Kraljevstva (CCTA) počela je istraživati ​​postojeće metode analize informacijske sigurnosti kako bi preporučila metode prikladne za korištenje u vladinim agencijama uključenim u obradu neklasificiranih, ali kritičnih informacija. Nijedna od gore navedenih metoda nije uspjela. Stoga je razvijena nova metoda koja zadovoljava zahtjeve CCTA. Nazvana je CRAMM - CCTA Risk Analysis and Control Method. Zatim se pojavilo nekoliko verzija metode, usmjerene na zahtjeve Ministarstva obrane, civilnih državnih institucija, financijskih institucija i privatnih organizacija. Jedna od verzija - "komercijalni profil" - je komercijalni proizvod. Trenutno je CRAMM, sudeći po broju linkova na internetu, najčešća metoda za analizu i kontrolu rizika. Analiza rizika uključuje identifikaciju i izračun razina rizika (mjera) na temelju procjena dodijeljenih resursima, prijetnjama i ranjivostima resursa. Kontrola rizika sastoji se od identificiranja i odabira protumjera za smanjenje rizika na prihvatljivu razinu. Formalna metoda koja se temelji na ovom konceptu trebala bi osigurati da zaštita pokriva cijeli sustav i da postoji povjerenje da:

Identificirani su svi mogući rizici;
... identificiraju se ranjivosti resursa i procjenjuju njihove razine;
... identificiraju se prijetnje i procjenjuju njihove razine;
... protumjere su učinkovite;
... troškovi povezani s informacijskom sigurnošću su opravdani.

Oleg Boytsev, voditelj odjela "Cerber Security // Security Analysis of Your Site"

Trenutno se koriste različite metode za procjenu i upravljanje informacijskim rizicima poduzeća. Procjena informacijskog rizika tvrtke može se provesti u skladu sa sljedećim planom:

1) Identifikacija i kvantitativna procjena informacijskih resursa poduzeća koji su značajni za poslovanje.

2) Procjena mogućih prijetnji.

3) Procjena postojećih ranjivosti.

4) Procjena učinkovitosti alata za informacijsku sigurnost.

Pretpostavlja se da su poslovno kritični ranjivi informacijski resursi tvrtke u opasnosti ako im postoje prijetnje. Drugim riječima, rizici karakteriziraju opasnost koja može ugroziti komponente korporativnog informacijskog sustava. Istodobno, informacijski rizici tvrtke ovise o:

Pokazatelji vrijednosti informacijskih resursa;

Vjerojatnost provedbe prijetnji resursima;

Učinkovitost postojećih ili planiranih alata za informacijsku sigurnost.

Svrha procjene rizika je utvrditi karakteristike rizika korporativnog informacijskog sustava i njegovih resursa. Nakon procjene rizika, možete odabrati sredstva koja osiguravaju željenu razinu informacijske sigurnosti za tvrtku. Prilikom procjene rizika uzimaju se u obzir čimbenici kao što su vrijednost resursa, značaj prijetnji i ranjivosti te učinkovitost postojećih i planiranih obrana. Mogućnost prijetnje određenom resursu poduzeća procjenjuje se vjerojatnošću njezine realizacije u određenom vremenskom razdoblju. Istodobno, vjerojatnost realizacije prijetnje određena je sljedećim glavnim čimbenicima:

Privlačnost resursa (uzima se u obzir pri razmatranju prijetnje od namjernog ljudskog utjecaja);

Sposobnost korištenja resursa za stvaranje prihoda (također u slučaju prijetnje od namjernog ljudskog utjecaja);

Tehničke mogućnosti provedbe prijetnje u slučaju namjernog ljudskog utjecaja;

Lakoća s kojom se ranjivost može iskoristiti.

Trenutno je upravljanje informacijskim rizikom jedno od najrelevantnijih i najdinamičnije razvijajućih područja strateškog i operativnog upravljanja u području informacijske sigurnosti. Njegova je glavna zadaća objektivno identificirati i procijeniti informacijske rizike poduzeća koji su najvažniji za poslovanje, kao i adekvatnost kontrola rizika koje se koriste za povećanje učinkovitosti i profitabilnosti gospodarskih aktivnosti poduzeća. Stoga se pod pojmom "upravljanje informacijskim rizikom" obično podrazumijeva sustavni proces identifikacije, kontrole i ublažavanja informacijskih rizika tvrtki u skladu s određenim ograničenjima ruskog regulatornog okvira u području zaštite informacija i vlastite korporativne sigurnosne politike. Smatra se da kvalitetno upravljanje rizicima omogućuje korištenje alata za kontrolu rizika i zaštitu informacija koji su optimalni u smislu učinkovitosti i troškova, adekvatni trenutnim ciljevima i zadacima poslovanja tvrtke.

Nije tajna da se danas sve više povećava ovisnost uspješnog poslovanja domaćih tvrtki o korištenim organizacijskim mjerama i tehničkim sredstvima kontrole i smanjenja rizika. Za učinkovito upravljanje informacijskim rizicima razvijene su posebne metode, na primjer, metode međunarodnih standarda ISO 15408, ISO 17799 (BS7799), BSI; kao i nacionalne norme NIST 80030, SAC, COSO, SAS 55/78 i neke druge slične njima. Sukladno ovim metodama, upravljanje informacijskim rizikom svake tvrtke pretpostavlja sljedeće. Prvo, definiranje glavnih ciljeva i zadataka zaštite informacijske imovine tvrtke. Drugo, stvaranje učinkovitog sustava za procjenu i upravljanje informacijskim rizicima. Treće, izračun skupa detaljnih ne samo kvalitativnih, već i kvantitativnih procjena rizika koje su adekvatne navedenim poslovnim ciljevima. Četvrto, korištenje posebnih alata za procjenu i upravljanje rizicima.

Tehnike upravljanja rizicima kvalitete

Visokokvalitetne tehnike upravljanja rizicima usvojene su u tehnološki razvijenim zemljama od strane velike vojske unutarnjih i vanjskih IT revizora. Ove su tehnike prilično popularne i relativno jednostavne, a razvijaju se u pravilu na temelju zahtjeva međunarodne norme ISO 177992002.

Standard ISO 17799 sadrži dva dijela.

Prvi dio: Praktične smjernice za upravljanje informacijskom sigurnošću, 2002., definira glavne aspekte organiziranja režima informacijske sigurnosti u poduzeću: Sigurnosna politika. Organizacija zaštite. Klasifikacija i upravljanje informacijskim resursima. Upravljanje osobljem. Fizičko osiguranje. Administracija računalnih sustava i mreža. Kontroliranje pristupa sustavima. Razvoj i održavanje sustava. Planiranje nesmetanog rada organizacije. Provjera usklađenosti sustava sa zahtjevima IS-a.

Dio 2: Specifikacije, 2002., bavi se istim aspektima u smislu certificiranja sustava informacijske sigurnosti tvrtke da ispunjava zahtjeve standarda. S praktične točke gledišta, ovaj dio je alat za IT revizora i omogućuje vam brzo provođenje interne ili eksterne revizije informacijske sigurnosti bilo koje tvrtke.

Kvalitativne metodologije upravljanja rizikom temeljene na zahtjevima ISO 17999 uključuju metodologije COBRA i RA softverskog alata. Pogledajmo na brzinu navedene tehnike.

Ova tehnika omogućuje izvođenje u automatiziranom načinu rada najjednostavnije opcije za procjenu informacijskih rizika za bilo koju tvrtku. Za to se predlaže korištenje posebnih elektroničkih baza znanja i postupaka zaključivanja usmjerenih na zahtjeve ISO 17799. Bitno je da se, po želji, popis zahtjeva koje treba uzeti u obzir može dopuniti raznim zahtjevima domaćih regulatornih tijela , na primjer, zahtjevi smjernica (RD) Državnog tehničkog povjerenstva pri predsjedniku Ruske Federacije.

Metodologija COBRA predstavlja zahtjeve standarda ISO 17799 u obliku tematskih upitnika (kontrolnih lista) na koje treba odgovoriti tijekom procjene rizika informacijske imovine i elektroničkih poslovnih transakcija poduzeća ( riža. 1. - Primjer tematske zbirke COBRA pitanja). Nadalje, uneseni odgovori se automatski obrađuju, te se pomoću odgovarajućih pravila zaključivanja generira konačno izvješće s aktualnim procjenama informacijskih rizika tvrtke i preporukama za njihovo upravljanje.

RA softverski alat

Metodologija i istoimeni alat RA Software Tool ( riža. 2. - Glavni moduli metodologije RA softverskog alata) temelje se na zahtjevima međunarodnih standarda ISO 17999 i ISO 13335 (3. i 4. dio), kao i na zahtjevima nekih smjernica Britanskog nacionalnog instituta za standarde (BSI), na primjer, PD 3002 (Procjena rizika i upravljanje Vodič), PD 3003 (Tvrtka za ocjenu spremnosti za reviziju u skladu s BS 7799), PD 3005 (Vodič za odabir sustava zaštite) itd.

Ova metodologija omogućuje procjenu informacijskih rizika (moduli 4 i 5) u skladu sa zahtjevima ISO 17799, a po želji i u skladu s detaljnijim specifikacijama smjernice PD 3002 Britanskog instituta za standarde.

Kvantitativne tehnike upravljanja rizikom

Drugu skupinu tehnika upravljanja rizicima čine kvantitativne tehnike, čija je relevantnost posljedica potrebe rješavanja različitih optimizacijskih problema koji se često javljaju u stvarnom životu. Bit ovih zadataka svodi se na pronalaženje jedinog optimalnog rješenja od mnogih postojećih. Primjerice, potrebno je odgovoriti na sljedeća pitanja: "Kako, ostajući u okviru odobrenog godišnjeg (tromjesečnog) proračuna za informacijsku sigurnost, postići maksimalnu razinu zaštite informacijske imovine tvrtke?" ili "Koju od alternativa za izgradnju korporativne informacijske sigurnosti (zaštićena WWW stranica ili korporativna e-pošta) odabrati, uzimajući u obzir poznata ograničenja poslovnih resursa tvrtke?" Za rješavanje ovih problema razvijaju se metode i tehnike za kvantitativnu procjenu i upravljanje rizicima temeljene na strukturnim i, rjeđe, objektno orijentiranim metodama analize i projektiranja sustava (SSADM - Structured Systems Analysis and Design). U praksi, ove tehnike upravljanja rizicima omogućuju vam: stvaranje modela informacijske imovine tvrtke sa sigurnosnog stajališta; Klasificirati i procijeniti vrijednost imovine; Sastaviti popise najznačajnijih prijetnji i sigurnosnih ranjivosti; rangirati sigurnosne prijetnje i ranjivosti; Obrazložiti sredstva i mjere kontrole rizika; Procijeniti učinkovitost/cijenu različitih opcija zaštite; Formalizirajte i automatizirajte postupke procjene i upravljanja rizikom.

Jedna od najpoznatijih tehnika u ovoj klasi je CRAMM tehnika.

prvo je izrađena metoda, a potom i istoimena metoda CRAMM (analiza i kontrola rizika), koja zadovoljava zahtjeve CCTA. Zatim se pojavilo nekoliko verzija metodologije, usmjerenih na zahtjeve različitih vladinih i trgovačkih organizacija i struktura. Jedna od verzija "komercijalnog profila" naširoko se proširila na tržištu informacijske sigurnosti.

Glavni ciljevi CRAMM metodologije su: Formalizacija i automatizacija postupaka analize i upravljanja rizicima; Optimizacija troškova sredstava kontrole i zaštite; Sveobuhvatno planiranje i upravljanje rizicima u svim fazama životnog ciklusa informacijskih sustava; Smanjenje vremena utrošenog na razvoj i održavanje korporativnog informacijskog sigurnosnog sustava; Obrazloženje učinkovitosti predloženih mjera zaštite i kontrola; Upravljanje promjenama i incidentima; Podrška kontinuitetu poslovanja; Brzo donošenje odluka o pitanjima upravljanja sigurnošću itd.

Upravljanje rizikom u SRAMM metodologiji provodi se u nekoliko faza (slika 3.).

U prvoj fazi pokretanja - "Inicijacija" - određuju se granice istraživanog informacijskog sustava poduzeća, sastav i struktura njegovih glavnih informacijskih sredstava i transakcija.

U fazi identifikacije i vrednovanja resursa - "Identifikacija i vrednovanje imovine" - sredstva se jasno identificiraju i utvrđuje njihova vrijednost. Izračun troška informacijske imovine nedvosmisleno vam omogućuje da odredite potrebu i dostatnost predloženih sredstava kontrole i zaštite.

U fazi procjene prijetnji i ranjivosti - "Procjena prijetnji i ranjivosti" - identificiraju se i procjenjuju prijetnje i ranjivosti informacijske imovine tvrtke.

Faza analize rizika - "Analiza rizika" - omogućuje vam da dobijete kvalitativne i kvantitativne procjene rizika.

U fazi upravljanja rizicima - "Upravljanje rizicima" - predlažu se mjere i sredstva za smanjenje ili izbjegavanje rizika.

Pogledajmo mogućnosti CRAMM-a koristeći sljedeći primjer. Neka se procijene informacijski rizici za sljedeći korporativni informacijski sustav (slika 4).

U ovoj shemi ćemo uvjetno izdvojiti sljedeće elemente sustava: radna mjesta na koja operateri unose informacije koje dolaze iz vanjskog svijeta; poslužitelj pošte na koji se informacije primaju od udaljenih mrežnih čvorova putem Interneta; poslužitelj za obradu na kojem je instaliran DBMS; backup poslužitelj; radna mjesta tima za brzo reagiranje; radna stanica administratora sigurnosti; Radna stanica DB administratora.

Sustav radi na sljedeći način. Podaci uneseni s korisničkih radnih stanica i primljeni na poslužitelj pošte šalju se na poslužitelj za obradu podataka tvrtke. Zatim se podaci šalju na radna mjesta tima za brzo reagiranje i tamo se donose odgovarajuće odluke.

Provedimo sada analizu rizika korištenjem CRAMM metodologije i predložimo neke načine kontrole i upravljanja rizicima koji su adekvatni ciljevima i zadacima poslovanja tvrtke.

Određivanje granica studija. Faza započinje rješavanjem problema određivanja granica proučavanog sustava. Za to se prikupljaju sljedeće informacije: Odgovoran za fizičke i softverske resurse; tko je korisnik i kako korisnici jesu ili će koristiti sustav; sistemska konfiguracija. Primarne informacije prikupljaju se kroz razgovore s voditeljima projekta, voditeljima korisnika ili drugim zaposlenicima.

Identifikacija resursa i izgradnja modela sustava sa stajališta informacijske sigurnosti. Provodi se identifikacija resursa: materijala, softvera i informacija sadržanih u granicama sustava. Svaki resurs mora biti dodijeljen jednoj od unaprijed definiranih klasa. Klasifikacija fizičkih resursa data je u dodatku. Zatim se izgrađuje model informacijskog sustava sa stajališta informacijske sigurnosti. Za svaki informacijski proces, koji s korisničke točke gledišta ima neovisno značenje i naziva se korisničkim servisom (EndUserService), gradi se stablo poveznica korištenih resursa. U ovom primjeru bit će samo jedna takva usluga (slika 5). Konstruirani model omogućuje isticanje kritičnih elemenata.

Vrijednost resursa. Tehnika vam omogućuje da odredite vrijednost resursa. Ovaj je korak potreban u cjelovitoj analizi rizika. Vrijednost fizičkih resursa u ovoj metodi određena je troškom njihove obnove u slučaju uništenja. Vrijednost podataka i softvera utvrđuje se u sljedećim situacijama: nedostupnost resursa u određenom vremenskom razdoblju; uništenje resursa - gubitak informacija primljenih od posljednje sigurnosne kopije ili njegovo potpuno uništenje; kršenje povjerljivosti u slučajevima neovlaštenog pristupa članova osoblja ili neovlaštenih osoba; modifikacija se razmatra za slučajeve manjih pogrešaka osoblja (unosne pogreške), programske pogreške, namjerne pogreške; pogreške vezane uz prijenos informacija: odbijanje dostave, nedostavljanje informacija, dostava na pogrešnu adresu. Za procjenu moguće štete predlaže se korištenje sljedećih kriterija: šteta po ugled organizacije; kršenje važećeg zakonodavstva; oštećenje zdravlja osoblja; šteta povezana s otkrivanjem osobnih podataka pojedinaca; financijski gubici od otkrivanja informacija; financijski gubici povezani s obnavljanjem resursa; gubici povezani s nemogućnošću ispunjavanja obveza; neorganiziranost aktivnosti.

Zadani skup kriterija koristi se u komercijalnoj verziji metode (Standardni profil). U drugim verzijama, agregat će biti drugačiji, na primjer, u verziji koja se koristi u vladinim agencijama dodaju se parametri koji odražavaju područja kao što su nacionalna sigurnost i međunarodni odnosi.

Za podatke i softver odabiru se kriteriji primjenjivi na zadani IS, a šteta se procjenjuje na ljestvici od 1 do 10.

Na primjer, ako podaci sadrže pojedinosti komercijalno povjerljivih (kritičnih) informacija, stručnjak koji provodi istraživanje postavlja pitanje: kako neovlašteni pristup neovlaštenih osoba tim informacijama može utjecati na organizaciju?

Moguć je sljedeći odgovor: neuspjeh u nekoliko parametara od gore navedenih odjednom, a svaki aspekt treba detaljnije razmotriti i dodijeliti najvišu moguću ocjenu.

Zatim se razvijaju skale za odabrani sustav parametara. Mogli bi izgledati ovako.

Oštećenje ugleda organizacije: 2 - negativna reakcija pojedinih dužnosnika, javnih osoba; 4 - kritika u medijima, koja nema širok odjek u javnosti; 6 - negativna reakcija određenih zastupnika Dume i Vijeća Federacije; 8 - kritike u medijima, koje imaju posljedice u obliku velikih skandala, saborskih saslušanja, velikih inspekcija itd.; 10 - negativna reakcija na razini predsjednika i Vlade.

Šteta po zdravlje osoblja: 2 - minimalna šteta (posljedice nisu povezane s hospitalizacijom ili dugotrajnim liječenjem); 4 - oštećenje srednje veličine (liječenje je potrebno za jednog ili više zaposlenika, ali nema dugoročnih negativnih posljedica); 6 - ozbiljne posljedice (produljena hospitalizacija, invalidnost jednog ili više zaposlenika); 10 - gubitak života.

Financijski gubici povezani s obnavljanjem resursa: 2 - manje od 1000 $; 6 - od 1000 do 10 000 dolara; 8 - od 10.000 dolara do 100.000 dolara; 10 - preko 100.000 dolara.

Neorganiziranost aktivnosti zbog nedostupnosti podataka: 2 - nedostatak pristupa informacijama do 15 minuta; 4 - nedostatak pristupa informacijama do 1 sat; 6 - nedostatak pristupa informacijama do 3 sata; 8 - nedostatak pristupa informacijama od 12 sati; 10 - nedostatak pristupa informacijama dulje od jednog dana.

U ovoj fazi može se pripremiti nekoliko vrsta izvješća (granice sustava, model, određivanje vrijednosti resursa). Ako su vrijednosti resursa niske, može se koristiti osnovna obrambena opcija. U tom slučaju, istraživač može prijeći iz ove faze izravno u fazu analize rizika. Međutim, kako bi se na odgovarajući način objasnio potencijalni utjecaj bilo koje prijetnje, ranjivosti ili kombinacije prijetnji i ranjivosti na visokim razinama, trebalo bi koristiti skraćenu verziju Faze procjene prijetnje i ranjivosti. To vam omogućuje da razvijete učinkovitiji sustav za zaštitu podataka tvrtke.

U fazi procjene prijetnji i ranjivosti procjenjuju se ovisnosti korisničkih usluga o određenim skupinama resursa te postojeća razina prijetnji i ranjivosti.

Nadalje, imovina tvrtke grupirana je prema prijetnjama i ranjivostima. Primjerice, u slučaju prijetnje požarom ili krađom, razumno je sve resurse koji se nalaze na jednom mjestu smatrati grupom resursa (poslužiteljska soba, komunikacija soba itd.).

U tom slučaju, procjena razina prijetnji i ranjivosti može se provesti na temelju neizravnih čimbenika ili na temelju izravnih procjena stručnjaka. U prvom slučaju, CRAMM softver za svaku grupu resursa i svaki od njih generira popis pitanja koja omogućuju nedvosmislen odgovor ( riža. 8. -Procjena razine sigurnosne prijetnje neizravnim čimbenicima).

Razina prijetnji ocjenjuje se, ovisno o odgovorima, kao: vrlo visoka; visoka; prosjek; kratak; vrlo nisko.

Razina ranjivosti ocjenjuje se, ovisno o odgovorima, kao: visoka; prosjek; kratak; nedostaje.

Moguće je korigirati rezultate ili koristiti druge metode procjene. Na temelju ovih informacija, razine rizika se izračunavaju na diskretnoj ljestvici s stupnjevanjem od 1 do 7 (faza analize rizika). Nastale razine prijetnji, ranjivosti i rizika analiziraju se i dogovaraju s korisnikom. Tek tada se može pristupiti završnoj fazi metode.

Upravljanje rizicima. Glavni koraci faze upravljanja rizicima prikazani su na Sl. 9.

U ovoj fazi CRAMM generira nekoliko opcija za protumjere koje su primjerene identificiranim rizicima i njihovoj razini. Protumjere su kategorizirane u skupine i podskupine prema sljedećim kategorijama: Sigurnost na razini mreže. Pružanje fizičke sigurnosti. Osiguranje prateće infrastrukture. Sigurnosne mjere na razini administratora sustava.

Kao rezultat ove faze, generira se nekoliko vrsta izvješća.

Dakle, razmatrana metoda analize i upravljanja rizicima u potpunosti je primjenjiva u ruskom kontekstu, unatoč činjenici da se pokazatelji sigurnosti od neovlaštenog pristupa informacijama i zahtjevi za zaštitu informacija razlikuju u ruskim RD i stranim standardima. Posebno je korisno koristiti alate poput CRAMM metode pri provođenju analize rizika informacijskih sustava s povećanim zahtjevima u području informacijske sigurnosti. To omogućuje dobivanje razumnih procjena postojećih i prihvatljivih razina prijetnji, ranjivosti i učinkovitosti zaštite.

Metoda MethodWare

MethodWare je razvio vlastitu metodologiju procjene rizika i upravljanja te je objavio niz povezanih alata. Ti alati uključuju Operational Risk Builder i Risk Advisor softver za analizu i upravljanje rizikom. Metodologija je u skladu s australskim/novozelandskim standardom upravljanja rizikom (AS/NZS 4360: 1999) i standardom ISO17799. Softver za upravljanje životnim ciklusom informacijske tehnologije prema CobiT Advisor 3rd Edition (Revizija) i CobiT 3rd Edition Management Advisor. CobiT vodiči stavljaju značajan naglasak na analizu i upravljanje rizicima. Softver za automatizaciju izrade raznih upitnika Questionnaire Builder.

Pogledajmo na brzinu mogućnosti Risk Advisora. Ovaj softver pozicioniran je kao alat za analitičara ili menadžera u području informacijske sigurnosti. Implementirana je tehnika koja omogućuje postavljanje modela informacijskog sustava s pozicije informacijske sigurnosti, prepoznavanje rizika, prijetnji, gubitaka kao posljedica incidenata. Glavne faze rada su: opis konteksta, identifikacija rizika, procjena prijetnji i potencijalne štete, razvoj kontrolnih radnji i izrada plana oporavka i hitnih situacija. Pogledajmo pobliže navedene korake. Opis rizika. Matrica rizika je postavljena ( riža. 10. - Identifikacija i definiranje rizika u Savjetniku za rizik) na temelju nekog predloška. Rizici se procjenjuju na kvalitativnoj skali i dijele na prihvatljive i neprihvatljive ( riža. 11. - Razdvajanje rizika na prihvatljive i neprihvatljive u Savjetniku za rizik). Zatim se odabiru kontrolne radnje (protumjere) uzimajući u obzir prethodno utvrđeni sustav kriterija, učinkovitost protumjera i njihovu cijenu. Troškovi i učinkovitost također se ocjenjuju na ljestvicama kvalitete.

Opis prijetnji. Na početku se formira lista prijetnji. Prijetnje se klasificiraju na određeni način, zatim se opisuje odnos između rizika i prijetnji. Opis je također napravljen na kvalitativnoj razini i omogućuje vam da zabilježite njihov odnos.

Opis gubitaka. Opisani su događaji (posljedice) povezani s kršenjem režima informacijske sigurnosti. Gubici se procjenjuju u odabranom sustavu kriterija.

Analiza rezultata. Kao rezultat izgradnje modela, možete generirati detaljno izvješće (oko 100 odjeljaka), pogledati na ekranu skupne opise u obliku grafariska.

Razmatrana metodologija omogućuje automatizaciju različitih aspekata upravljanja rizicima poduzeća. Istodobno, procjene rizika su dane na kvalitativnim ljestvicama. Detaljna analiza čimbenika rizika nije data. Snaga razmatrane metodologije je sposobnost opisivanja različitih odnosa, adekvatno uvažavanje brojnih čimbenika rizika i značajno niži intenzitet rada u odnosu na CRAMM.

Zaključak

Suvremene metode i tehnologije upravljanja informacijskim rizicima omogućuju procjenu postojeće razine rezidualnih informacijskih rizika u domaćim tvrtkama. To je osobito važno u slučajevima kada se pred informacijskim sustavom tvrtke nameću povećani zahtjevi u području informacijske sigurnosti i kontinuiteta poslovanja.Danas postoji niz metoda analize rizika, uključujući korištenje CASE alata, prilagođenih za korištenje u domaćim uvjetima. . Bitno je da dobro obavljena analiza informacijskih rizika omogući komparativnu analizu “isplativosti” različitih opcija zaštite, odabir adekvatnih protumjera i kontrola te procjenu razine preostalih rizika. Osim toga, alati za analizu rizika temeljeni na suvremenim bazama znanja i postupcima zaključivanja omogućuju izgradnju strukturnih i objektno orijentiranih modela informacijske imovine tvrtke, modela prijetnji i modela rizika povezanih s pojedinačnim informacijama i poslovnim transakcijama te stoga identificiranje takve informacijske imovine poduzeća. tvrtku.rizik narušavanja sigurnosti koji je kritičan, odnosno neprihvatljiv. Takvi alati pružaju priliku za izgradnju različitih modela zaštite informacijske imovine poduzeća, usporedbu različitih opcija za komplekse mjera zaštite i kontrole prema kriteriju "isplativost", kao i praćenje usklađenosti sa zahtjevima za organizaciju režima informacijske sigurnosti. domaće tvrtke.

Pitanja praktične primjene analize rizika u procesima upravljanja informacijskom sigurnošću, kao i opći problemi samog procesa analize rizika informacijske sigurnosti.

U procesu upravljanja bilo kojim područjem djelovanja potrebno je razviti svjesne i učinkovite odluke čije donošenje pomaže u postizanju određenih ciljeva. Prema našem mišljenju, adekvatna odluka može se donijeti samo na temelju činjenica i analize uzročno-posljedičnih veza. Naravno, u nekim slučajevima odluke se donose i na intuitivnoj razini, ali kvaliteta intuitivne odluke uvelike ovisi o iskustvu menadžera, a u manjoj mjeri i o uspješnom spletu okolnosti.

Kako bismo ilustrirali koliko je složen proces donošenja utemeljene i relevantne odluke, navest ćemo primjer iz područja upravljanja informacijskom sigurnošću (IS). Uzmimo tipičnu situaciju: voditelj odjela za informacijsku sigurnost treba razumjeti u kojim smjerovima se kretati kako bi učinkovito radio svoju glavnu funkciju - osiguravanje informacijske sigurnosti organizacije. S jedne strane, sve je vrlo jednostavno. Postoji niz standardnih pristupa rješavanju sigurnosnih problema: zaštita perimetra, zaštita od insajdera, zaštita od okolnosti više sile. I postoji mnogo proizvoda koji vam omogućuju da riješite ovaj ili onaj problem (kako biste se zaštitili od ove ili one prijetnje).

Međutim, postoji mali "ali". Stručnjaci za informacijsku sigurnost suočeni su s činjenicom da je izbor proizvoda različitih klasa vrlo širok, informacijska infrastruktura organizacije vrlo velika, broj potencijalnih meta napada uljeza velik, a aktivnosti odjela organizacije su heterogena i ne može se ujediniti. Istodobno, svaki stručnjak odjela ima svoje mišljenje o prioritetu područja djelovanja, što odgovara njegovoj specijalizaciji i osobnim prioritetima. A provedbom jednog tehničkog rješenja ili izradom jednog propisa ili uputstva u velikoj organizaciji nastaje mali projekt sa svim atributima projektnih aktivnosti: planiranje, proračun, odgovorne osobe, rokovi itd.

Dakle, fizički se nije moguće svugdje i od svega braniti, prvo, a, drugo, nema smisla. Što u ovom slučaju može učiniti voditelj odjela za informacijsku sigurnost?

Prvo, možda neće učiniti ništa do prvog ozbiljnog incidenta. Drugo, pokušati implementirati bilo koji općeprihvaćeni standard informacijske sigurnosti. Treće, vjerujte marketinškim materijalima proizvođača i integratora softvera i hardvera ili savjetnika za informacijsku sigurnost. Međutim, postoji još jedan način.

Definiranje ciljeva upravljanja informacijskom sigurnošću

Možete pokušati - uz pomoć menadžmenta i zaposlenika organizacije - razumjeti što stvarno treba zaštititi i od koga. Od tog trenutka počinju specifične aktivnosti na spoju tehnologije i glavnog poslovanja, a to se sastoji u određivanju smjera djelovanja i (ako je moguće) ciljnog stanja informacijske sigurnosti, koje će se istovremeno formulirati i poslovno i terminološki. informacijske sigurnosti.

Proces analize rizika je alat pomoću kojeg možete odrediti ciljeve upravljanja informacijskom sigurnošću, procijeniti glavne kritične čimbenike koji negativno utječu na ključne poslovne procese tvrtke te razviti informirane, učinkovite i razumne odluke za njihovo kontroliranje ili minimiziranje.

U nastavku ćemo vam reći koji se zadaci rješavaju u okviru analize rizika informacijske sigurnosti kako bi se dobili navedeni rezultati i kako se ti rezultati postižu u okviru analize rizika.

Identifikacija i vrednovanje imovine

Cilj upravljanja informacijskom sigurnošću je očuvanje povjerljivosti, integriteta i dostupnosti informacija. Pitanje je samo kakvu informaciju treba zaštititi i što učiniti da se osigura njihova sigurnost (slika 1.).

Svako upravljanje temelji se na svijesti o situaciji u kojoj se događa. U smislu analize rizika, svijest o stanju izražava se u popisu i procjeni imovine organizacije i njenog okruženja, odnosno svega onoga što osigurava obavljanje poslovnih aktivnosti. Sa stajališta analize rizika informacijske sigurnosti, glavna imovina izravno uključuje informacije, infrastrukturu, osoblje, imidž i ugled tvrtke. Bez popisa imovine na poslovnoj razini nemoguće je odgovoriti na pitanje što točno treba zaštititi. Vrlo je važno razumjeti koje se informacije obrađuju u organizaciji i gdje se obrađuju.

U velikoj modernoj organizaciji, broj informacijskih sredstava može biti vrlo velik. Ako su aktivnosti organizacije automatizirane korištenjem ERP sustava, onda možemo reći da gotovo svaki materijalni objekt koji se koristi u ovoj aktivnosti odgovara nekom informacijskom objektu. Stoga je primarni zadatak upravljanja rizicima identificirati najznačajniju imovinu.

Nemoguće je riješiti ovaj problem bez uključivanja menadžera glavnog smjera aktivnosti organizacije, srednje i najviše razine. Optimalna situacija je kada najviši menadžment organizacije osobno postavlja najkritičnija područja djelovanja za koja je iznimno važno osigurati informacijsku sigurnost. Mišljenje najvišeg menadžmenta o prioritetima u osiguravanju informacijske sigurnosti vrlo je važno i dragocjeno u procesu analize rizika, ali ga u svakom slučaju treba razjasniti prikupljanjem informacija o kritičnosti imovine na srednjoj razini menadžmenta tvrtke. Istodobno, preporučljivo je provesti daljnju analizu upravo u područjima poslovanja koje odredi najviši menadžment. Primljene informacije se obrađuju, agregiraju i prosljeđuju najvišem menadžmentu radi sveobuhvatne procjene situacije (ali o tome kasnije).

Informacije se mogu identificirati i lokalizirati na temelju opisa poslovnih procesa, unutar kojih se informacija smatra jednom od vrsta resursa. Zadatak je donekle pojednostavljen ako je organizacija usvojila pristup reguliranju poslovnih aktivnosti (na primjer, u cilju upravljanja kvalitetom i optimizacije poslovnih procesa). Formalizirani opisi poslovnih procesa pružaju dobro polazište za popis imovine. Ako nema opisa, sredstva možete identificirati na temelju informacija dobivenih od ljudi u organizaciji. Nakon što je imovina identificirana, potrebno je utvrditi njihovu vrijednost.

Utvrđivanje vrijednosti informacijske imovine u kontekstu cijele organizacije istovremeno je najznačajnije i najteže. Upravo procjena informacijske imovine omogućit će voditelju odjela za informacijsku sigurnost da odabere glavna područja aktivnosti za osiguranje informacijske sigurnosti.

Vrijednost imovine izražava se u iznosu gubitka koje je pretrpjela organizacija u slučaju kršenja sigurnosti imovine. Određivanje vrijednosti je problematično jer u većini slučajeva menadžeri u organizaciji ne mogu odmah odgovoriti na pitanje što se događa ako, na primjer, informacije o kupovnoj cijeni pohranjene na datotečnom poslužitelju odu konkurentu. Umjesto toga, u većini slučajeva menadžeri organizacije nikada nisu razmišljali o takvim situacijama.

No, ekonomska učinkovitost procesa upravljanja informacijskom sigurnošću uvelike ovisi o razumijevanju onoga što treba zaštititi i koji će napori biti potrebni za to, budući da je u većini slučajeva količina truda izravno proporcionalna količini utrošenog novca i operativnim troškovima. . Upravljanje rizicima omogućuje vam da odgovorite na pitanje gdje možete riskirati, a gdje ne. U slučaju informacijske sigurnosti, pojam “rizik” znači da se u određenom području ne mogu uložiti značajni napori u zaštiti informacijske imovine, a da istovremeno, u slučaju sigurnosne povrede, organizacija neće pretrpjeti značajne gubici. Ovdje možemo povući analogiju s klasama zaštite automatiziranih sustava: što su rizici značajniji, zahtjevi za zaštitu trebaju biti stroži.

Da biste utvrdili posljedice sigurnosne povrede, morate imati informacije o zabilježenim incidentima slične prirode ili provesti analizu scenarija. Analiza scenarija ispituje uzročne veze između događaja sigurnosti imovine i posljedica tih događaja na poslovne aktivnosti organizacije. Posljedice scenarija treba procijeniti više ljudi, iterativno ili promišljeno. Treba napomenuti da se razvoj i procjena ovakvih scenarija ne mogu u potpunosti odvojiti od stvarnosti. Uvijek treba imati na umu da scenarij mora biti vjerojatan. Kriteriji i ljestvice za određivanje vrijednosti individualni su za svaku organizaciju. Na temelju rezultata analize scenarija mogu se dobiti informacije o vrijednosti imovine.

Ako se identificira imovina i utvrdi njihova vrijednost, može se reći da su ciljevi osiguranja informacijske sigurnosti djelomično utvrđeni: utvrđuju se objekti zaštite i važnost njihovog održavanja u stanju informacijske sigurnosti za organizaciju. Možda ostaje samo utvrditi od koga se treba braniti.

Analiza izvora problema

Nakon što odredite ciljeve upravljanja informacijskom sigurnošću, trebali biste analizirati probleme koji vas sprječavaju u približavanju ciljnom stanju. Na ovoj razini proces analize rizika svodi se na informacijsku infrastrukturu i tradicionalne koncepte informacijske sigurnosti – uljezi, prijetnje i ranjivosti (slika 2.).

Model uljeza

Za procjenu rizika nije dovoljno uvesti standardni model prekršitelja koji razdvaja sve prekršitelje prema vrsti pristupa imovini i znanju o strukturi imovine. Ovo razdvajanje pomaže u određivanju koje prijetnje mogu biti usmjerene na imovinu, ali ne daje odgovor na pitanje mogu li se te prijetnje u načelu ostvariti.

U procesu analize rizika potrebno je procijeniti motiviranost prekršitelja u provedbi prijetnji. U ovom slučaju prekršitelj ne znači apstraktnog vanjskog hakera ili insajdera, već stranu zainteresiranu za stjecanje koristi narušavanjem sigurnosti imovine.

Preporučljivo je dobiti početne informacije o modelu prekršitelja, kao iu slučaju izbora početnih područja aktivnosti informacijske sigurnosti, od najvišeg menadžmenta, koji ima predodžbu o poziciji organizacije na tržištu, koji ima informacije o konkurentima i koje metode utjecaja se od njih mogu očekivati. Informacije potrebne za izradu modela uljeza mogu se dobiti i iz specijaliziranih istraživanja o prekršajima u području računalne sigurnosti u području poslovanja za koje se provodi analiza rizika. Pravilno dizajniran model uljeza nadopunjuje ciljeve IS-a identificirane tijekom procjene imovine organizacije.

Model prijetnje

Razvoj modela prijetnji i identificiranje ranjivosti neraskidivo su povezani s inventarom okruženja informacijske imovine organizacije. Same informacije se ne pohranjuju niti obrađuju. Pristup joj je omogućen korištenjem informacijske infrastrukture koja automatizira poslovne procese organizacije. Važno je razumjeti kako su informacijska infrastruktura organizacije i informacijska imovina povezani. Sa stajališta upravljanja informacijskom sigurnošću, važnost informacijske infrastrukture može se utvrditi tek nakon utvrđivanja odnosa između informacijske imovine i infrastrukture. U slučaju da su procesi održavanja i upravljanja informacijskom infrastrukturom u organizaciji regulirani i transparentni, prikupljanje informacija potrebnih za prepoznavanje prijetnji i procjenu ranjivosti uvelike je pojednostavljeno.

Razvoj modela prijetnji posao je za stručnjake za informacijsku sigurnost koji imaju dobru ideju o tome kako uljez može dobiti neovlašteni pristup informacijama kršenjem sigurnosnog perimetra ili korištenjem metoda društvenog inženjeringa. Prilikom razvoja modela prijetnje može se govoriti io scenarijima kao uzastopnim koracima prema kojima se prijetnje mogu implementirati. Rijetko se događa da se prijetnje implementiraju u jednom koraku iskorištavanjem jedne ranjivosti u sustavu.

Model prijetnje trebao bi uključivati ​​sve prijetnje identificirane iz povezanih procesa upravljanja informacijskom sigurnošću, kao što su upravljanje ranjivostima i incidentima. Treba imati na umu da će prijetnje morati biti rangirane jedna u odnosu na drugu prema razini vjerojatnosti njihove provedbe. Za to je u procesu izrade modela prijetnje za svaku prijetnju potrebno naznačiti najznačajnije čimbenike čije postojanje utječe na njezinu provedbu.

Identificiranje ranjivosti

Sukladno tome, nakon razvoja modela prijetnji, potrebno je identificirati ranjivosti u okruženju imovine. Identifikacija i procjena ranjivosti može se izvesti kao dio drugog procesa upravljanja informacijskom sigurnošću – revizije. Ne treba zaboraviti da je za provođenje revizije IS-a potrebno razviti kriterije provjere. A kriteriji provjere mogu se razviti upravo na temelju modela prijetnje i modela uljeza.

Na temelju rezultata razvoja modela prijetnje, modela uljeza i identifikacije ranjivosti, možemo reći da su identificirani razlozi koji utječu na postizanje ciljnog stanja informacijske sigurnosti organizacije.

Procjena rizika

Identificiranje i procjena imovine, razvoj modela uljeza i modela prijetnje, prepoznavanje ranjivosti su standardni koraci koje treba opisati u svakoj metodologiji analize rizika. Svi gore navedeni koraci mogu se izvesti s različitim razinama kvalitete i detalja. Vrlo je važno razumjeti što i kako se može učiniti s ogromnom količinom akumuliranih informacija i formaliziranih modela. Smatramo da je ovo pitanje najvažnije, a korištena metoda analize rizika trebala bi dati odgovor na njega.

Dobivene rezultate potrebno je vrednovati, agregirati, klasificirati i prikazati. Budući da se šteta utvrđuje u fazi identifikacije i procjene imovine, potrebno je procijeniti vjerojatnost rizičnih događaja. Kao iu slučaju procjene imovine, procjena vjerojatnosti može se dobiti na temelju statistike o incidentima čiji se uzroci podudaraju s razmatranim prijetnjama IS-a ili metodom predviđanja - na temelju vaganja čimbenika koji odgovaraju razvijenom modelu prijetnje .

Dobra praksa za procjenu vjerojatnosti bila bi klasificiranje ranjivosti prema odabranom skupu čimbenika koji karakteriziraju lakoću iskorištavanja ranjivosti. Predviđanje vjerojatnosti prijetnji provodi se na temelju svojstava ranjivosti i skupina prekršitelja iz kojih prijetnje potječu.

Primjer sustava za klasifikaciju ranjivosti je CVSS standard – uobičajeni sustav bodovanja ranjivosti. Treba napomenuti da je u procesu identificiranja i procjene ranjivosti vrlo važno stručno iskustvo stručnjaka za informacijsku sigurnost koji vrše procjenu rizika, te korišteni statistički materijali i izvješća o ranjivostima i prijetnjama u području informacijske sigurnosti.

Veličinu (razinu) rizika treba odrediti za sve identificirane i podudarne skupove prijetnji imovine. Istodobno, iznos štete i vjerojatnost ne bi trebali biti nužno izraženi u apsolutnim novčanim izrazima i postocima; štoviše, rezultate u pravilu nije moguće prikazati u ovom obliku. Razlog tome su metode koje se koriste za analizu i procjenu rizika informacijske sigurnosti: analiza scenarija i predviđanje.

Odlučivanje

Što se može učiniti s dobivenom ocjenom?

Prije svega, potrebno je izraditi jednostavno i jasno izvješće o analizi rizika, čija će glavna svrha biti prezentacija prikupljenih informacija o značaju i strukturi rizika informacijske sigurnosti u organizaciji. Izvješće treba dostaviti najvišem rukovodstvu organizacije. Česta je pogreška višem rukovodstvu prezentirati međurezultate umjesto zaključaka. Bez sumnje, svi zaključci moraju biti potkrijepljeni argumentima - svi međuizračuni moraju biti priloženi izvješću.

Radi jasnoće izvješća, rizici se moraju klasificirati u poslovnim uvjetima poznatim organizaciji, slični rizici moraju biti agregirani. Općenito, klasifikacija rizika može biti višestruka. S jedne strane govorimo o rizicima informacijske sigurnosti, s druge - o rizicima narušavanja ugleda ili gubitka klijenta. Klasificirani rizici moraju se rangirati prema njihovoj vjerojatnosti nastanka i njihovoj važnosti za organizaciju.

Izvješće o analizi rizika odražava sljedeće informacije:

• najproblematičnija područja informacijske sigurnosti u organizaciji;
• utjecaj prijetnji IS-a na cjelokupnu strukturu rizika organizacije;
• primarni smjerovi djelovanja IS odjela za poboljšanje učinkovitosti održavanja IS-a.

Na temelju izvješća o analizi rizika, voditelj odjela informacijske sigurnosti može izraditi plan rada odjela za srednjoročno razdoblje i utvrditi proračun na temelju prirode mjera potrebnih za smanjenje rizika. Napominjemo da ispravno sastavljeno izvješće o analizi rizika omogućuje voditelju odjela informacijske sigurnosti da pronađe zajednički jezik s najvišim menadžmentom organizacije i riješi hitne probleme vezane uz upravljanje informacijskom sigurnošću (slika 3).

Politika tretmana rizika

Vrlo važno pitanje je politika upravljanja rizicima organizacije. Politika definira pravila postupanja s rizicima. Na primjer, politika može navesti da prvo treba ublažiti rizike gubitka ugleda i da se ublažavanje rizika srednje ozbiljnosti koji nisu potvrđeni incidentima informacijske sigurnosti odgađa do kraja čekanja. Politiku upravljanja rizicima može odrediti korporativna jedinica za upravljanje rizicima.

Politika tretmana rizika može razjasniti pitanja osiguranja rizika i restrukturiranja djelatnosti u slučaju da potencijalni rizici prijeđu prihvatljivu razinu. Ako politika nije definirana, redoslijed rada na smanjenju rizika trebao bi se temeljiti na principu maksimalne učinkovitosti, ali bi ga ipak trebao odrediti najviši menadžment.

Hajde da rezimiramo

Analiza rizika je prilično naporan postupak. U procesu analize rizika potrebno je koristiti metodološke materijale i alate. Međutim, to nije dovoljno za uspješnu provedbu ponovljivog procesa; druga važna komponenta su propisi o upravljanju rizicima. Može biti samodostatna i utjecati samo na rizike informacijske sigurnosti ili se može integrirati u cjelokupni proces upravljanja rizicima u organizaciji.

U proces analize rizika uključeni su brojni strukturni odjeli organizacije: odjeli koji vode glavne smjerove njezinih aktivnosti, odjel za upravljanje informacijskom infrastrukturom, odjel za upravljanje informacijskom sigurnošću. Osim toga, za uspješno provođenje analize rizika i učinkovito korištenje njezinih rezultata potrebno je uključiti najviše rukovodstvo organizacije, čime se osigurava interakcija između strukturnih odjela.

Samo metodologija analize rizika ili specijalizirani alat za procjenu rizika informacijske sigurnosti nije dovoljan. Postoji potreba za postupcima za identifikaciju imovine, utvrđivanje značaja imovine, razvoj modela uljeza i prijetnji, identificiranje ranjivosti, agregiranje i klasifikaciju rizika. U različitim organizacijama svi navedeni postupci mogu se značajno razlikovati. Ciljevi i opseg analize rizika informacijske sigurnosti također utječu na zahtjeve za procese povezane s analizom rizika.

Primjena metode analize rizika za upravljanje informacijskom sigurnošću zahtijeva od organizacije dovoljnu razinu zrelosti na kojoj će biti moguće implementirati sve procese potrebne u okviru analize rizika.

Upravljanje rizicima omogućuje strukturiranje aktivnosti odjela informacijske sigurnosti, pronalaženje zajedničkog jezika s najvišim menadžmentom organizacije, procjenu učinkovitosti odjela informacijske sigurnosti i opravdavanje odluka o izboru specifičnih tehničkih i organizacijskih mjera zaštite za najviše rukovodstvo. .

Proces analize rizika je kontinuiran, budući da ciljevi najviše razine informacijske sigurnosti mogu ostati nepromijenjeni dugo vremena, a informacijska infrastruktura, metode obrade informacija i rizici povezani s korištenjem IT-a se stalno mijenjaju.

Odjel informacijske sigurnosti i organizacija u cjelini, u slučaju strukturiranja svojih aktivnosti kroz kontinuiranu analizu rizika, dobivaju sljedeće vrlo značajne prednosti:

• identificiranje ciljeva upravljanja;
• definiranje metoda upravljanja;
• učinkovitost upravljanja temeljena na donošenju informiranih i pravovremenih odluka.

U vezi s upravljanjem rizicima i informacijskom sigurnošću potrebno je napomenuti još nekoliko točaka.

Analiza rizika, upravljanje incidentima i revizija informacijske sigurnosti međusobno su neraskidivo povezani, budući da su ulazi i izlazi navedenih procesa povezani. Razvoj i provedba procesa upravljanja rizicima treba se provoditi s obzirom na upravljanje incidentima i reviziju IS-a.

Uspostavljeni proces analize rizika obvezan je zahtjev standarda STO-BR IBBS-1.0-2006 za osiguranje informacijske sigurnosti u bankarskom sektoru.

Postavljanje procesa analize rizika potrebno je organizaciji ako se odluči proći certifikaciju za usklađenost sa zahtjevima međunarodne norme ISO/IEC 27001:2005.

Uspostavljanje režima zaštite poslovnih tajni i osobnih podataka neraskidivo je povezano s analizom rizika, budući da svi navedeni procesi koriste slične metode za identifikaciju i procjenu imovine, razvoj modela uljeza i modela prijetnje.