Dërgoni punën tuaj të mirë në bazën e njohurive është e thjeshtë. Përdorni formularin e mëposhtëm
Studentët, studentët e diplomuar, shkencëtarët e rinj që përdorin bazën e njohurive në studimet dhe punën e tyre do t'ju jenë shumë mirënjohës.
Dokumente të ngjashme
Natyra e aktiviteteve bankare. Koncepti dhe shkaqet e rreziqeve bankare. Karakteristikat e rreziqeve kryesore bankare. Metodat bazë për minimizimin e shpenzimeve bankare. Analiza e minimizimit të rreziqeve bankare duke përdorur shembullin e Halyk Bank of Kazakhstan SHA.
puna e kursit, shtuar 12/06/2008
Koncepti i rreziqeve sistemike në sektorin bankar, kriteret e identifikimit dhe vlerësimit të tyre. Kriteret bazë të klasifikimit për grupimin e rreziqeve bankare. Ndikimi i rreziqeve sistemike në stabilitetin, stabilitetin, besueshmërinë dhe balancën e sektorit bankar.
abstrakt, shtuar 22.02.2017
Probleme të vlerësimit dhe reduktimit të rreziqeve në veprimtarinë e bankave tregtare. Prezantimi i një modeli pikëzimi për vlerësimin e aftësisë kreditore të klientëve të bankave. Rritja e burimeve duke krijuar një depozitë të re "Sukses". Lëshimi i kredive të siguruara me letra me vlerë.
tezë, shtuar 21.01.2015
Baza metodologjike për ndërtimin e një sistemi për garantimin e sigurisë së informacionit të institucioneve të kreditit. Analiza dhe identifikimi i kërcënimeve ndaj burimeve të mbrojtura. Metoda për analizimin e kërcënimeve për sigurinë e informacionit të qendrës së përpunimit të të dhënave të OJSC Volga-Credit Bank.
tezë, shtuar 05/07/2014
Funksionet dhe përbërja e fondeve të veta dhe të huazuara të një institucioni krediti. Studimi i bazës së burimeve të bankave tregtare ruse. Analiza e kapitalit aksionar, depozitave, detyrimeve të borxhit të UniCredit Bank CJSC. Problemet e tërheqjes së burimeve financiare.
puna e kursit, shtuar 20.02.2013
Rreziqet në aktivitetet bankare. Niveli i rreziqeve bankare. Klasifikimi i rreziqeve në banka. Sistemi i optimizimit të rrezikut bankar. Sistemi bankar rus - tendencat kryesore dhe perspektivat e zhvillimit.
abstrakt, shtuar 28.09.2006
Karakteristikat e bankës SH.A. "UniCredit Bank". Struktura dhe dinamika e aktiveve dhe detyrimeve të bilancit. Analiza faktoriale e të ardhurave dhe shpenzimeve nga interesi nga transaksionet me letrat me vlerë. Analiza e aftësisë paguese të bankës, stabiliteti financiar dhe perspektivat për zhvillimin e saj.
puna e kursit, shtuar 21.03.2016
NRU ITMO, *****@***com
Mbikëqyrës shkencor - Doktor i Shkencave Teknike, Profesor NRU ITMO, *****@
shënim
Artikulli diskuton metodat për llogaritjen e rrezikut të sigurisë së informacionit dhe bën një krahasim që tregon mangësi kritike. Është paraqitur një propozim për të përdorur metodën tonë të vlerësimit të rrezikut.
Fjalë kyçe: rreziku, sistemi i informacionit, siguria e informacionit, metoda e llogaritjes së riskut, vlerësimi i riskut, aktivi i informacionit.
Prezantimi
Sistemi i menaxhimit të rrezikut të sigurisë së informacionit (IS) është një detyrë urgjente në të gjitha fazat e kompleksit të sigurisë së informacionit. Në të njëjtën kohë, është e pamundur të menaxhohen rreziqet pa i vlerësuar ato, gjë që nga ana tjetër duhet të bëhet duke përdorur ndonjë metodë. Në fazën e vlerësimit të rrezikut, interesi më i madh është drejtpërdrejt në formulat dhe të dhënat hyrëse për llogaritjen e vlerës së rrezikut. Artikulli analizon disa metoda të ndryshme për llogaritjen e rrezikut dhe paraqet metodologjinë e tij. Qëllimi i punës është të nxjerrë një formulë për llogaritjen e rrezikut të sigurisë së informacionit, e cila na lejon të marrim një sërë rreziqesh aktuale dhe të vlerësojmë humbjet në terma monetarë.
Rreziku i sigurisë së informacionit në formën e tij klasike përkufizohet si funksion i tre variablave:
- gjasat e një kërcënimi; gjasat e cenueshmërisë (pasigurisë); ndikimi i mundshëm.
Nëse ndonjë prej këtyre variablave i afrohet zeros, rreziku total gjithashtu i afrohet zeros.
Metodat e vlerësimit të rrezikut
ISO/IEC 27001 Për sa i përket metodologjisë për llogaritjen e vlerës së rrezikut, ai thekson se metodologjia e zgjedhur duhet të sigurojë që vlerësimet e rrezikut të prodhojnë rezultate të krahasueshme dhe të riprodhueshme. Megjithatë, standardi nuk ofron një formulë specifike llogaritëse.
NIST 800-30 ofron një formulë klasike të llogaritjes së rrezikut:
ku R është vlera e rrezikut;
P(t) - probabiliteti i realizimit të një kërcënimi të sigurisë së informacionit (përdoret një përzierje e shkallëve cilësore dhe sasiore);
S është shkalla e ndikimit të kërcënimit mbi aktivin (çmimi i aktivit në shkallë cilësore dhe sasiore).
Si rezultat, vlera e rrezikut llogaritet në njësi relative, të cilat mund të renditen sipas shkallës së rëndësisë për procedurën e menaxhimit të rrezikut të sigurisë së informacionit.
GOST R ISO/IEC TO 7. Llogaritja e rrezikut, ndryshe nga standardi NIST 800-30, bazohet në tre faktorë:
R = P(t) * P(v) * S,
ku R është vlera e rrezikut;
P(t) - probabiliteti i zbatimit të një kërcënimi të sigurisë së informacionit;
P(v) - probabiliteti i cenueshmërisë;
S është vlera e aktivit.
Si shembull i vlerave të probabilitetit P(t) dhe P(v), jepet një shkallë cilësore me tre nivele: e ulët, e mesme dhe e lartë. Për të vlerësuar vlerën e aktivit S, vlerat numerike paraqiten në rangun nga 0 në 4. Krahasimi i vlerave cilësore me to duhet të bëhet nga organizata në të cilën vlerësohen rreziqet e sigurisë së informacionit.
BS 7799. Niveli i rrezikut llogaritet duke marrë parasysh tre tregues - vlerën e burimit, nivelin e kërcënimit dhe shkallën e cenueshmërisë. Ndërsa vlerat e këtyre tre parametrave rriten, rreziku rritet, kështu që formula mund të paraqitet si më poshtë:
R = S * L(t) * L(v),
ku R është vlera e rrezikut;
S është vlera e aktivit/burimit;
L(t) - niveli i kërcënimit;
L(v) - niveli/shkalla e cenueshmërisë.
Në praktikë, llogaritja e rreziqeve të sigurisë së informacionit bëhet sipas një tabele të vlerave të pozicionimit të nivelit të kërcënimit, shkallës së probabilitetit të shfrytëzimit të cenueshmërisë dhe vlerës së aktivit. Vlera e rrezikut mund të ndryshojë nga 0 në 8, duke rezultuar në një listë kërcënimesh me vlera të ndryshme rreziku për çdo aktiv. Standardi ofron gjithashtu një shkallë të renditjes së rrezikut: e ulët (0-2), e mesme (3-5) dhe e lartë (6-8), e cila ju lejon të përcaktoni rreziqet më kritike.
STO BR IBBS. Sipas standardit, vlerësimi i shkallës së mundësisë së realizimit të një kërcënimi të sigurisë së informacionit kryhet në shkallë cilësore-sasiore, kërcënimi i parealizuar është 0%, kërcënimi mesatar është nga 21% në 50%, etj. Përcaktimi Ashpërsia e pasojave për lloje të ndryshme të aseteve të informacionit propozohet gjithashtu të vlerësohet duke përdorur shkallën cilësore-sasiore, pra minimale - 0.5% e kapitalit të bankës, e lartë - nga 1.5% në 3% të kapitalit të bankës.
Për të kryer një vlerësim cilësor të rreziqeve të sigurisë së informacionit, përdoret një tabelë e korrespondencës midis ashpërsisë së pasojave dhe mundësisë së realizimit të kërcënimit. Nëse është e nevojshme të bëhet një vlerësim sasior, formula mund të paraqitet si:
ku R është vlera e rrezikut;
P(v) - probabiliteti i zbatimit të një kërcënimi të sigurisë së informacionit;
S është vlera e aktivit (ashpërsia e pasojave).
Metoda e sugjeruar
Duke marrë parasysh të gjitha metodat e mësipërme të vlerësimit të rrezikut në drejtim të llogaritjes së vlerës së rrezikut të sigurisë së informacionit, vlen të theksohet se përllogaritja e rrezikut është bërë duke përdorur vlerën e kërcënimeve dhe vlerën e aktivit. Një pengesë e rëndësishme është vlerësimi i vlerës së aseteve (sasia e dëmit) në formën e vlerave të kushtëzuara. Vlerat konvencionale nuk kanë njësi matëse të zbatueshme në praktikë, në veçanti, ato nuk janë një ekuivalent monetar. Si rezultat, kjo nuk jep një ide reale për nivelin e rrezikut që mund të transferohet në asetet reale të objektit të mbrojtur.
Kështu, propozohet që procedura e llogaritjes së rrezikut të ndahet në dy faza:
1. Llogaritja e vlerës së rrezikut teknik.
2. Llogaritja e dëmit të mundshëm.
Rreziku teknik kuptohet si vlera e rrezikut të sigurisë së informacionit që konsiston në gjasat që kërcënimet të realizohen dhe dobësitë e secilit komponent të infrastrukturës së informacionit që shfrytëzohet, duke marrë parasysh nivelin e konfidencialitetit, integritetit dhe disponueshmërisë së tyre. Për fazën e parë kemi 3 formulat e mëposhtme:
Rc = Kc * P(T) * P(V), Ri = Ki * P(T) * P(V),
Ra = Ka * P(T) * P(V),
ku Rс është vlera e rrezikut të konfidencialitetit;
Ri - vlera e rrezikut të integritetit;
Ra - vlera e rrezikut të disponueshmërisë;
Kс - koeficienti i konfidencialitetit të një aktivi informacioni;
Ki është koeficienti i integritetit të aktivit të informacionit;
Ka është koeficienti i disponueshmërisë së një aktivi informacioni;
P(T) - probabiliteti i zbatimit të kërcënimit;
P(V) - probabiliteti i shfrytëzimit të cenueshmërisë.
Përdorimi i këtij algoritmi do të bëjë të mundur që të bëhet një vlerësim më i detajuar i rrezikut, duke marrë në dalje një vlerë pa dimension të probabilitetit të rrezikut të komprometimit të çdo aktivi informacioni veç e veç.
Më pas, është e mundur të llogaritet vlera e dëmit; për këtë, përdoret vlera mesatare e rrezikut të çdo aktivi informacioni dhe sasia e humbjeve të mundshme:
ku L është vlera e dëmit;
Rav - vlera mesatare e rrezikut;
S - humbje (në terma monetarë).
Metodologjia e propozuar ju lejon të vlerësoni saktë vlerën e rrezikut të sigurisë së informacionit dhe të llogaritni humbjet monetare në rast të incidenteve të sigurisë.
Letërsia
1. ISO/IEC 27001. Standardi ndërkombëtar përmban kërkesa në fushën e sigurisë së informacionit për ngritjen, zhvillimin dhe mirëmbajtjen e një sistemi të menaxhimit të sigurisë së informacionit. 20s.
2. GOST R ISO/IEC TO 7. Standardi kombëtar i Federatës Ruse. Metodat dhe mjetet për të garantuar sigurinë. Pjesa 3. Metodat e menaxhimit të sigurisë së teknologjisë së informacionit. Moska. 20s.
3. BS 7799-2:2005 Specifikimi i sistemit të menaxhimit të sigurisë së informacionit. Anglia. 20s.
4. RS BR IBBS-2.2-200. Sigurimi i sigurisë së informacionit të organizatave të sistemit bankar të Federatës Ruse. Metodologjia për vlerësimin e rreziqeve të shkeljeve të sigurisë së informacionit. Moska. 20s.
5. Udhëzues për Menaxhimin e Riskut për Sistemet e Teknologjisë së Informacionit. Rekomandimet e Institutit Kombëtar të Standardeve dhe Teknologjisë. SHBA. 20s.
6. Burimi elektronik Wikipedia, artikulli “Rreziku”.
Dihet se rreziku është mundësia e shfaqjes së një kërcënimi për sigurinë e informacionit. Në këndvështrimin klasik, vlerësimi i rrezikut përfshin një vlerësim të kërcënimeve, dobësive dhe dëmeve të shkaktuara nga zbatimi i tyre. Analiza e riskut konsiston në modelimin e modelit të shfaqjes së këtyre kushteve më të pafavorshme duke marrë parasysh të gjithë faktorët e mundshëm që përcaktojnë rrezikun si të tillë. Nga pikëpamja matematikore, kur analizohen rreziqet, faktorë të tillë mund të konsiderohen si parametra hyrës.
Le të rendisim këto parametra:
1) asetet - komponentët kryesorë të infrastrukturës së sistemit që janë të përfshirë në procesin e biznesit dhe kanë një vlerë të caktuar;
2) kërcënimet, zbatimi i të cilave është i mundur nëpërmjet shfrytëzimit të një cenueshmërie;
3) dobësitë - një dobësi në masat e sigurisë të shkaktuara nga gabimet ose papërsosmëritë në procedura, dizajn, zbatim, të cilat mund të përdoren për të depërtuar në sistem;
4) dëmi që vlerësohet duke marrë parasysh kostot e rikthimit të sistemit në gjendjen e tij origjinale pas një incidenti të mundshëm të sigurisë së informacionit.
Pra, hapi i parë në kryerjen e analizës së rrezikut me shumë faktorë është identifikimi dhe klasifikimi i parametrave hyrës të analizuar. Më pas, është e nevojshme të klasifikohet çdo parametër sipas niveleve të rëndësisë (për shembull: i lartë, i mesëm, i ulët). Në fazën përfundimtare të modelimit të rrezikut të mundshëm (që i paraprin marrjes së të dhënave numerike mbi nivelin e rrezikut), kërcënimet dhe dobësitë e identifikuara lidhen me komponentë të veçantë të infrastrukturës së TI-së (një lidhje e tillë mund të nënkuptojë, për shembull, analizën e rrezikut me dhe pa duke marrë parasysh disponueshmërinë e masave të sigurisë së sistemit, gjasat që sistemi të komprometohet për shkak të faktorëve të pa llogaritur, etj.). Le të hedhim një vështrim hap pas hapi në procesin e modelimit të rrezikut. Për ta bërë këtë, para së gjithash, le t'i kushtojmë vëmendje aseteve të kompanisë.
Inventari i aseteve të kompanisë
(KARAKTERIZIMI I SISTEMIT)
Para së gjithash, është e nevojshme të përcaktohet se cili është një aktiv i vlefshëm i kompanisë nga pikëpamja e sigurisë së informacionit. Standardi ISO 17799, i cili përshkruan në detaje procedurat e sistemit të menaxhimit të sigurisë së informacionit, dallon llojet e mëposhtme të aseteve:
. burimet e informacionit (bazat e të dhënave dhe dosjet, kontratat dhe marrëveshjet, dokumentacioni i sistemit, informacioni kërkimor, dokumentacioni, materialet e trajnimit, etj.);
. softuer;
. asetet e prekshme (pajisje kompjuterike, telekomunikacion, etj.);
. shërbimet (shërbimet e telekomunikacionit, sistemet e mbështetjes së jetës, etj.);
. punonjësit e kompanisë, kualifikimet dhe përvoja e tyre;
. burimet e paprekshme (reputacioni dhe imazhi i kompanisë).
Është e nevojshme të përcaktohet se cilat shkelje të sigurisë së informacionit të cilat asete mund të shkaktojnë dëme në kompani. Në këtë rast, aktivi do të konsiderohet i vlefshëm dhe do të duhet të merret parasysh kur analizohen rreziqet e informacionit. Inventari konsiston në përpilimin e një liste të aseteve të vlefshme të kompanisë. Në mënyrë tipike, ky proces kryhet nga pronarët e aseteve. Koncepti "pronar" përcakton personat ose palët që kanë përgjegjësi, të miratuara nga drejtuesit e kompanisë, për të menaxhuar krijimin, zhvillimin, mirëmbajtjen, përdorimin dhe mbrojtjen e aseteve.
Në procesin e kategorizimit të aktiveve, është e nevojshme të vlerësohet kritika e aktiveve për proceset e biznesit të shoqërisë ose, me fjalë të tjera, të përcaktohet se çfarë dëmi do të pësojë kompania në rast të shkeljes së sigurisë së informacionit të aktiveve. Ky proces është më i vështiri sepse... vlera e aseteve përcaktohet në bazë të vlerësimeve të ekspertëve të pronarëve të tyre. Gjatë kësaj faze, shpesh zhvillohen diskutime ndërmjet konsulentëve të projektimit të sistemit të menaxhimit dhe pronarëve të aseteve. Kjo i ndihmon pronarët e aseteve të kuptojnë se si të përcaktojnë vlerën e aseteve nga perspektiva e sigurisë së informacionit (zakonisht, procesi i përcaktimit të kritikës së aseteve është i ri dhe jo i parëndësishëm për pronarin). Përveç kësaj, teknika të ndryshme vlerësimi janë duke u zhvilluar për pronarët e aseteve. Në veçanti, metoda të tilla mund të përmbajnë kritere specifike (të rëndësishme për një kompani të caktuar) që duhet të merren parasysh kur vlerësohet kritika.
Vlerësimi i kritikës së aseteve
Kriticiteti i aseteve vlerësohet bazuar në tre parametra: konfidencialiteti, integriteti dhe disponueshmëria. ato. duhet të vlerësohet dëmi që do të pësojë kompania nëse cenohet konfidencialiteti, integriteti ose disponueshmëria e aseteve. Vlerësimi i kriticitetit të aktiveve mund të bëhet në njësi monetare dhe në nivele. Megjithatë, duke qenë se analiza e rreziqeve të informacionit kërkon vlera në njësi monetare, në rastin e vlerësimit të kritikitetit të aktiveve në nivele, është e nevojshme të përcaktohet vlerësimi i çdo niveli në para.
Sipas klasifikimit autoritar NIST të përfshirë në UDHËZUESIN E MENAXHIMIT TË RREZIKUT PËR SISTEMET E TEKNOLOGJISË INFORMATIVE, kategorizimit dhe vlerësimit të kërcënimeve paraprihet nga identifikimi i drejtpërdrejtë i burimeve të tyre. Kështu, sipas klasifikimit të mësipërm, mund të identifikohen burimet kryesore të kërcënimeve, duke përfshirë:
. kërcënimet me origjinë natyrore (tërmete, përmbytje, etj.);
. kërcënimet që vijnë nga njerëzit (qasja e paautorizuar, sulmet në rrjet, gabimet e përdoruesve, etj.);
. kërcënime me origjinë të shkaktuar nga njeriu (aksidente të llojeve të ndryshme, ndërprerje të energjisë elektrike, ndotje kimike, etj.).
Klasifikimi i mësipërm mund të kategorizohet më tej në më shumë detaje.
Kështu, sipas klasifikimit të përmendur NIST, kategoritë e pavarura të burimeve të kërcënimeve me origjinë nga njerëzit përfshijnë:
- hakerat;
- strukturat kriminale;
- terroristët;
- kompanitë që merren me spiunazh industrial;
- të brendshëm.
Secili nga kërcënimet e listuara, nga ana tjetër, duhet të detajohet dhe vlerësohet në një shkallë të rëndësisë (për shembull: i ulët, i mesëm, i lartë).
Natyrisht, analiza e kërcënimit duhet të konsiderohet në lidhje të ngushtë me dobësitë e sistemit që po studiojmë. Detyra e kësaj faze të menaxhimit të rrezikut është të përpilojë një listë të dobësive të mundshme të sistemit dhe t'i kategorizojë këto dobësi duke marrë parasysh "forcën" e tyre. Kështu, sipas praktikës globale, gradimi i dobësive mund të ndahet në nivele: Kritike, e lartë, e mesme, e ulët. Le t'i shohim këto nivele më në detaje:
1. Niveli kritik i rrezikut. Ky nivel rreziku përfshin dobësi që lejojnë kompromisin në distancë të një sistemi pa ndikim shtesë nga përdoruesi i synuar dhe aktualisht janë duke u shfrytëzuar në mënyrë aktive. Ky nivel rreziku nënkupton që shfrytëzimi është i disponueshëm publikisht.
2. Shkalla e lartë e rrezikut. Ky nivel rreziku përfshin dobësi që lejojnë kompromisin në distancë të sistemit. Si rregull, nuk ka asnjë shfrytëzim të disponueshëm publikisht për dobësi të tilla.
3. Shkalla mesatare e rrezikut. Ky nivel ashpërsie përfshin dobësi që lejojnë mohimin në distancë të shërbimit, aksesin e paautorizuar në të dhëna ose ekzekutimin e kodit arbitrar përmes ndërveprimit të drejtpërdrejtë të përdoruesit (për shembull, përmes një aplikacioni të cenueshëm që lidhet me një server me qëllim të keq).
4. Niveli i ulët i rrezikut. Ky nivel përfshin të gjitha dobësitë e shfrytëzuara në nivel lokal, si dhe dobësitë që janë të vështira për t'u shfrytëzuar ose që kanë ndikim minimal (për shembull, XSS, mohimi i shërbimit të aplikacionit të klientit).
Burimi për përpilimin e një liste/liste të tillë dobësish duhet të jetë:
. listat publike, të publikuara rregullisht të dobësive (për shembull: www.securitylab.ru);
. një listë të dobësive të publikuara nga prodhuesi i softuerit (për shembull: www.apache.org);
. rezultatet e testit të depërtimit (si shembull: www.site-sec.com);
. analiza e raporteve të skanerit të cenueshmërisë (e kryer nga administratori i sigurisë brenda kompanisë).
Në përgjithësi, dobësitë mund të klasifikohen si më poshtë:
. Dobësitë e sistemit operativ dhe softuerit (gabimet e kodit) të zbuluara nga prodhuesi ose ekspertë të pavarur (në kohën e shkrimit, numri i përgjithshëm i dobësive të zbuluara arriti në rreth 1900 - këtu përfshiheshin dobësitë e publikuara në "gjurmët e gabimeve" në xakep.ru, securitylab, milw0rm .com dhe securityfocus .com).
. Dobësitë e sistemit që lidhen me gabimet e administrimit (cilësimet e papërshtatshme të serverit të uebit ose PHP për mjedisin, portet me shërbime të cenueshme që nuk mbyllen nga muri i zjarrit, etj.).
. Dobësitë, burimet e të cilave mund të jenë incidente që nuk mbulohen nga politika e sigurisë, si dhe ngjarje natyrore. Një shembull kryesor i një dobësie të zakonshme OS dhe softuerësh është tejmbushja e buferit. Nga rruga, shumica dërrmuese e shfrytëzimeve ekzistuese aktualisht zbatojnë një klasë të dobësive të tejmbushjes së tamponit.
Metodat numerike për vlerësimin e rrezikut
Vlerësimi më i thjeshtë i rreziqeve të informacionit përfshin llogaritjen e rreziqeve, i cili kryhet duke marrë parasysh informacionin në lidhje me kritikitetin e aktiveve, si dhe mundësinë e realizimit të dobësive.
Formula klasike e vlerësimit të rrezikut:
R=D*P(V), ku R është rrezik informacioni;
D - kritika e asetit (dëm);
P(V) - probabiliteti i zbatimit të cenueshmërisë.
Një shembull i një zbatimi praktik të qasjes së mësipërme për përcaktimin e niveleve të rrezikut është matrica e rrezikut e propozuar nga NIST.
| Gjasat e kërcënimit-kërcënimi (probabiliteti i tij) | Dëmtimi i ndikimit | ||
| E ulët - 10 | E mesme -50 | E lartë (e lartë) -100 | |
| E lartë (e lartë) - 1 | E ulët 10x1=10 | Mesatare 50x1=50 | E lartë 100x1=100 |
| E mesme - 0,5 | E ulët 10x0.5=5 | Mesatare 50x0.5=25 | Mesatare 100x0.5=50 |
| E ulët - 0.1 | E ulët 10x0.1=1 | E ulët 50x0.1=5 | E ulët 100x0.1=10 |
| Niveli i rrezikut: i lartë (50 deri në 100); E mesme (nga 10 në 50); E ulët (nga 1 në 10). | |||
Secili prej parametrave të mundshëm të hyrjes (për shembull, cenueshmëria, kërcënimi, pasuria dhe dëmi) përshkruhet nga funksioni i anëtarësimit duke marrë parasysh koeficientin përkatës.
Vlerësimi i rrezikut bazuar në logjikën fuzzy
Mekanizmat e vlerësimit të rrezikut të bazuar në logjikën fuzzy përfshijnë një sekuencë fazash, secila prej të cilave përdor rezultatet e fazës së mëparshme. Sekuenca e këtyre fazave është zakonisht si më poshtë:
. Vendosja e rregullave të programimit në formën e rregullave të prodhimit (“NËSE,… PASTAJ”), duke pasqyruar marrëdhënien midis nivelit të të dhënave hyrëse dhe nivelit të rrezikut në output.
. Vendosja e funksionit të anëtarësimit të variablave hyrëse (si shembull - duke përdorur programe të specializuara si "Logic Fuzyy" - në këtë shembull kemi përdorur MatLab).
. Marrja e rezultatit parësor të vlerësimeve të variablave hyrës.
. Fazifikimi i vlerësimeve të variablave hyrës (gjetja e vlerave specifike të funksioneve të anëtarësimit).
. Agregimi (nënkupton kontrollimin e së vërtetës së kushteve duke transformuar funksionet e anëtarësimit përmes lidhjes fuzzy dhe disjunksionit fuzzy).
. Aktivizimi i përfundimeve (gjetja e koeficientëve të peshës për secilën prej rregullave dhe funksioneve të së vërtetës).
. Akumulimi i përfundimeve (gjetja e funksionit të anëtarësimit për secilën nga variablat e prodhimit).
. Defuzifikim (gjetja e vlerave të qarta të variablave të daljes).
Pra, në shembullin e mësipërm (Tabela 1.1.), u konsiderua në të vërtetë një algoritëm i vlerësimit të rrezikut me dy parametra me shkallë tre nivelesh të parametrave hyrës. ku:
. për sasitë e hyrjes dhe rrezikun, u specifikuan shkallët me tre nivele në të cilat u përcaktuan termat e paqartë (që korrespondojnë me vlerat "të larta", "të mesme" dhe "të ulëta" të variablave - shih Fig. 1);
. rëndësia e të gjitha rregullave të konkluzionit logjik është e njëjtë (të gjithë koeficientët e peshimit të rregullave të prodhimit janë të barabartë me një).
Oriz. 1. Funksionet e anëtarësimit trapezoid të një shkalle "vulnerabiliteti" me tre nivele
Është e qartë se një algoritëm me dy parametra që përfshin futjen e dy variablave hyrëse nuk mund të sigurojë një rezultat objektiv të analizës së rrezikut, veçanërisht duke marrë parasysh shumë faktorë - variablat hyrës, të cilët, nga rruga, pasqyrojnë pamjen reale të vlerësimit të rrezikut të sigurisë së informacionit. .
Algoritmi me katër parametra
Le të supozojmë se, duke përdorur rregullat e prodhimit të logjikës fuzzy, është e nevojshme të riprodhohet mekanizmi i konkluzionit, duke marrë parasysh katër variabla hyrëse. Variabla të tillë në këtë rast janë:
. asetet;
. cenueshmëria;
. kërcënimi (ose më mirë, gjasat e tij);
. dëmtimi.
Secila nga variablat hyrëse të listuara vlerësohet në shkallën e vet. Pra, le të supozojmë se, bazuar në një analizë paraprake, janë marrë disa vlerësime të variablave hyrëse (Fig. 2.):
Oriz. 2. Inputi i vlerësimeve të variablave dhe mekanizmi i prodhimit
Duke përdorur një shembull të thjeshtë, le të shqyrtojmë llojin e rregullave të prodhimit për një rast të caktuar me një shkallë me tre nivele:
Oriz. 3. Rregullat e prodhimit të algoritmit me katër parametra
Në këtë rast, ndërfaqja grafike Fuzzy Logic Toolbox ju lejon të shikoni grafikët e varësisë së rrezikut nga probabiliteti i një kërcënimi dhe, në përputhje me rrethanat, variabla të tjera hyrëse.
Fig.4. Varësia e rrezikut nga probabiliteti i kërcënimit
Oriz. 5. Varësia e rrezikut nga dëmi
Një grafik i qetë dhe monoton i varësisë së "lakores së konkluzionit" tregon mjaftueshmërinë dhe qëndrueshmërinë e rregullave të konkluzionit të përdorura. Një paraqitje e qartë grafike ju lejon të vlerësoni përshtatshmërinë e vetive të mekanizmit të prodhimit për të përmbushur kërkesat. Në këtë rast, "kurba e konkluzionit" tregon se mekanizmi i konkluzionit këshillohet të përdoret vetëm në rajonin e vlerave të probabilitetit të ulët, d.m.th. nëse probabiliteti është më i vogël se 0.5. Si mund të shpjegohet një "bllokim" i tillë në vlera me një probabilitet më të madh se 0.5? Ndoshta sepse përdorimi i një shkalle me tre nivele, si rregull, ndikon në ndjeshmërinë e algoritmit në rajonin e vlerave të probabilitetit të lartë.
Rishikimi i disa mjeteve të analizës së rrezikut me shumë faktorë
Kur kryeni një analizë të plotë të rrezikut, duke marrë parasysh shumë faktorë, ka një sërë problemesh komplekse për t'u zgjidhur:
. Si të përcaktohet vlera e burimeve?
. Si të përpiloni një listë të plotë të kërcënimeve të sigurisë së informacionit dhe të vlerësoni parametrat e tyre?
. Si të zgjidhni kundërmasat e duhura dhe të vlerësoni efektivitetin e tyre?
Për të zgjidhur këto probleme, ekzistojnë mjete të zhvilluara posaçërisht të ndërtuara duke përdorur metoda strukturore të analizës dhe projektimit të sistemeve (SSADM - Analiza dhe Dizajni i Sistemeve të Strukturuara), të cilat ofrojnë:
- ndërtimi i një modeli IS nga pikëpamja e IS;
- metodat për vlerësimin e vlerës së burimeve;
- mjetet për përpilimin e listës së kërcënimeve dhe vlerësimin e gjasave të tyre;
- përzgjedhja e kundërmasave dhe analiza e efektivitetit të tyre;
- analiza e opsioneve për ndërtimin e mbrojtjes;
- dokumentacioni (gjenerimi i raporteve).
Aktualisht ka disa produkte softuerike të kësaj klase në treg. Më i popullarizuari prej tyre është CRAMM. Le ta shohim shkurtimisht më poshtë.
Metoda CRAMM
Në vitin 1985, Agjencia e Kompjuterëve dhe Telekomunikacionit në Mbretërinë e Bashkuar (CCTA) filloi të hulumtonte teknikat ekzistuese të analizës së sigurisë së informacionit për të rekomanduar metoda të përshtatshme për përdorim në agjencitë qeveritare që trajtojnë informacione të paklasifikuara por të ndjeshme. Asnjë nga metodat e konsideruara nuk funksionoi. Prandaj, u zhvillua një metodë e re për të përmbushur kërkesat e CCTA. Quhet CRAMM - CCTA Risk Analysis and Control Method. Pastaj u shfaqën disa versione të metodës, të përqendruara në kërkesat e Ministrisë së Mbrojtjes, agjencive qeveritare civile, institucioneve financiare dhe organizatave private. Një nga versionet - "profili komercial" - është një produkt komercial. Aktualisht, CRAMM është, duke gjykuar nga numri i lidhjeve në internet, metoda më e zakonshme e analizës dhe kontrollit të rrezikut. Analiza e rrezikut përfshin identifikimin dhe llogaritjen e niveleve (masave) të rrezikut bazuar në rezultatet e caktuara për burimet, kërcënimet dhe dobësitë e burimeve. Kontrolli i rrezikut konsiston në identifikimin dhe përzgjedhjen e kundërmasave për të reduktuar rreziqet në një nivel të pranueshëm. Një metodë formale e bazuar në këtë koncept duhet të sigurojë që mbrojtja mbulon të gjithë sistemin dhe ka besim se:
Të gjitha rreziqet e mundshme janë identifikuar;
. dobësitë e burimeve janë identifikuar dhe nivelet e tyre janë vlerësuar;
. identifikohen kërcënimet dhe vlerësohen nivelet e tyre;
. kundërmasat janë efektive;
. kostot që lidhen me sigurinë e informacionit janë të justifikuara.
Oleg Boytsev, kreu i "Cerber Security // Analiza e Sigurisë së Faqes suaj"
Aktualisht, përdoren metoda të ndryshme për të vlerësuar dhe menaxhuar rreziqet e informacionit të kompanive. Një vlerësim i rreziqeve të informacionit të një kompanie mund të kryhet në përputhje me planin e mëposhtëm:
1) Identifikimi dhe vlerësimi sasior i burimeve të informacionit të kompanisë që janë të rëndësishme për biznesin.
2) Vlerësimi i kërcënimeve të mundshme.
3) Vlerësimi i dobësive ekzistuese.
4) Vlerësimi i efektivitetit të mjeteve të sigurisë së informacionit.
Supozohet se burimet e cenueshme të informacionit kritik të biznesit të kompanisë janë në rrezik nëse ekzistojnë ndonjë kërcënim kundër tyre. Me fjalë të tjera, rreziqet karakterizojnë rrezikun që mund të kërcënojë komponentët e një sistemi informacioni të korporatës. Në të njëjtën kohë, rreziqet e informacionit të kompanisë varen nga:
Treguesit e vlerës së burimeve të informacionit;
Probabiliteti i kërcënimeve ndaj burimeve;
Efektiviteti i mjeteve ekzistuese ose të planifikuara të sigurisë së informacionit.
Qëllimi i vlerësimit të rrezikut është të përcaktojë karakteristikat e rrezikut të një sistemi informacioni të korporatës dhe burimet e tij. Pas vlerësimit të rreziqeve, ju mund të zgjidhni mjete që ofrojnë nivelin e dëshiruar të sigurisë së informacionit për kompaninë. Gjatë vlerësimit të rreziqeve, merren parasysh faktorë të tillë si vlera e burimeve, rëndësia e kërcënimeve dhe dobësive, dhe efektiviteti i mjeteve ekzistuese dhe të planifikuara të mbrojtjes. Mundësia e zbatimit të një kërcënimi për një burim të caktuar të kompanisë vlerësohet nga probabiliteti i zbatimit të tij brenda një periudhe të caktuar kohore. Në këtë rast, gjasat që kërcënimi të realizohet përcaktohet nga faktorët kryesorë të mëposhtëm:
Atraktiviteti i burimit (merret parasysh kur merret parasysh kërcënimi nga ndikimi i qëllimshëm njerëzor);
Aftësia për të përdorur një burim për të gjeneruar të ardhura (gjithashtu në rast të një kërcënimi nga ndikimi i qëllimshëm njerëzor);
Aftësitë teknike për të zbatuar një kërcënim me ndikim të qëllimshëm njerëzor;
Shkalla e lehtësisë me të cilën mund të shfrytëzohet një cenueshmëri.
Aktualisht, menaxhimi i rrezikut të informacionit është një nga fushat më të rëndësishme dhe më dinamike në zhvillim të menaxhimit strategjik dhe operacional në fushën e sigurisë së informacionit. Detyra e saj kryesore është të identifikojë dhe vlerësojë në mënyrë objektive rreziqet më të rëndësishme të informacionit të biznesit të kompanisë, si dhe përshtatshmërinë e kontrolleve të rrezikut të përdorura për të rritur efikasitetin dhe përfitimin e aktiviteteve ekonomike të kompanisë. Prandaj, termi "menaxhimi i rrezikut të informacionit" zakonisht i referohet një procesi sistematik të identifikimit, kontrollit dhe zvogëlimit të rreziqeve të informacionit të kompanive në përputhje me disa kufizime të kuadrit rregullator rus në fushën e mbrojtjes së informacionit dhe politikës së tyre të sigurisë së korporatës. Besohet se menaxhimi i rrezikut me cilësi të lartë lejon përdorimin e kontrolleve të rrezikut dhe masave të sigurisë së informacionit që janë optimale për sa i përket efikasitetit dhe kostos dhe janë adekuate për qëllimet dhe objektivat aktuale të biznesit të kompanisë.
Nuk është sekret që sot ka një rritje të gjerë të varësisë së aktiviteteve të suksesshme të biznesit të kompanive vendase nga masat organizative dhe mjetet teknike të kontrollit dhe reduktimit të rrezikut të përdorura. Për menaxhimin efektiv të rrezikut të informacionit, janë zhvilluar metoda të veçanta, për shembull, metodat e standardeve ndërkombëtare ISO 15408, ISO 17799 (BS7799), BSI; si dhe standardet kombëtare NIST 80030, SAC, COSO, SAS 55/78 dhe disa të tjera të ngjashme me to. Në përputhje me këto metoda, menaxhimi i rrezikut të informacionit të çdo kompanie supozon sa vijon. Së pari, përcaktimi i qëllimeve dhe objektivave kryesore të mbrojtjes së aseteve të informacionit të kompanisë. Së dyti, krijimi i një sistemi efektiv për vlerësimin dhe menaxhimin e rreziqeve të informacionit. Së treti, llogaritja e një grupi vlerësimesh të detajuara, jo vetëm cilësore, por edhe sasiore të rrezikut që janë adekuate për qëllimet e deklaruara të biznesit. Së katërti, përdorimi i mjeteve të veçanta të vlerësimit dhe menaxhimit të rrezikut.
Teknikat e menaxhimit të rrezikut të cilësisë
Teknika të menaxhimit të rrezikut me cilësi të lartë janë adoptuar në vendet e zhvilluara teknologjikisht nga një ushtri e madhe audituesish të brendshëm dhe të jashtëm të IT. Këto teknika janë mjaft të njohura dhe relativisht të thjeshta, dhe zhvillohen, si rregull, bazuar në kërkesat e standardit ndërkombëtar ISO 177992002.
Standardi ISO 17799 përmban dy pjesë.
Pjesa 1: Rekomandime praktike për menaxhimin e sigurisë së informacionit, 2002, përcakton aspektet kryesore të organizimit të një regjimi të sigurisë së informacionit në një kompani: Politika e Sigurisë. Organizimi i mbrojtjes. Klasifikimi dhe menaxhimi i burimeve të informacionit. Menaxhimi i personelit. Siguria fizike. Administrimi i sistemeve dhe rrjeteve kompjuterike. Kontrolli i hyrjes në sistem. Zhvillimi dhe mirëmbajtja e sistemeve. Planifikimi i funksionimit të qetë të organizatës. Kontrollimi i sistemit për pajtueshmërinë me kërkesat e sigurisë së informacionit.
Pjesa 2: Specifikimi, 2002, shqyrton të njëjtat aspekte nga pikëpamja e certifikimit të regjimit të sigurisë së informacionit të një kompanie për përputhjen me kërkesat e standardit. Nga pikëpamja praktike, kjo pjesë është një mjet për auditorin e IT dhe ju lejon të kryeni shpejt një auditim të brendshëm ose të jashtëm të sigurisë së informacionit të çdo kompanie.
Metodat e menaxhimit të rrezikut të cilësisë bazuar në kërkesat e ISO 17999 përfshijnë metodat COBRA dhe RA Software Tool. Le të shohim shkurtimisht këto teknika.
Kjo teknikë ju lejon të kryeni automatikisht versionin më të thjeshtë të vlerësimit të rreziqeve të informacionit të çdo kompanie. Për ta bërë këtë, propozohet përdorimi i bazave të veçanta të njohurive elektronike dhe procedurave të konkluzioneve logjike të fokusuara në kërkesat e ISO 17799. Është e rëndësishme që, nëse dëshirohet, lista e kërkesave të marra në konsideratë mund të plotësohet me kërkesa të ndryshme të autoriteteve rregullatore vendase. , për shembull, kërkesat e dokumenteve drejtuese (RD) të Komisionit Teknik Shtetëror nën Presidentin e Federatës Ruse.
Metodologjia COBRA paraqet kërkesat e standardit ISO 17799 në formën e pyetësorëve tematikë (lista kontrolli), të cilave duhet t'u jepet përgjigje gjatë vlerësimit të rrezikut të aseteve të informacionit të kompanisë dhe transaksioneve elektronike të biznesit ( oriz. 1. - Shembull i një koleksioni tematik të pyetjeve COBRA). Më pas, përgjigjet e futura përpunohen automatikisht dhe duke përdorur rregullat e duhura të konkluzionit logjik, gjenerohet një raport përfundimtar me vlerësimet aktuale të rreziqeve të informacionit të kompanisë dhe rekomandimet për menaxhimin e tyre.
RA Software Tool
Metodologjia dhe Mjeti Softuer RA me të njëjtin emër ( oriz. 2. - Modulet kryesore të metodologjisë RA Software Tool) bazohen në kërkesat e standardeve ndërkombëtare ISO 17999 dhe ISO 13335 (pjesët 3 dhe 4), si dhe në kërkesat e disa udhëzimeve të Institutit Britanik të Standardeve (BSI), për shembull PD 3002 (Udhëzues për Vlerësimin dhe Menaxhimin e Riskut) , PD 3003 (Shoqëria e vlerësimit të gatishmërisë për auditim në përputhje me BS 7799), PD 3005 (Udhëzues për zgjedhjen e sistemeve të sigurisë) etj.
Kjo metodologji mundëson që vlerësimet e rrezikut të informacionit (modulet 4 dhe 5) të kryhen në përputhje me kërkesat e ISO 17799, dhe opsionalisht në përputhje me specifikimet më të detajuara të udhëzuesit të Institutit Britanik të Standardeve PD 3002.
Teknikat sasiore të menaxhimit të rrezikut
Grupi i dytë i teknikave të menaxhimit të rrezikut përbëhet nga teknika sasiore, rëndësia e të cilave përcaktohet nga nevoja për të zgjidhur probleme të ndryshme optimizimi që shpesh lindin në jetën reale. Thelbi i këtyre problemeve zbret në gjetjen e një zgjidhjeje të vetme optimale nga shumë ato ekzistuese. Për shembull, është e nevojshme t'i përgjigjemi pyetjeve të mëposhtme: "Si, duke qëndruar brenda buxhetit të miratuar vjetor (tremujor) për sigurinë e informacionit, mund të arrijmë nivelin maksimal të sigurisë për asetet e informacionit të kompanisë?" ose "Cilën nga alternativat për ndërtimin e mbrojtjes së informacionit të korporatës (një sajt i sigurt WWW ose Email i korporatës) duhet të zgjedh, duke marrë parasysh kufizimet e njohura të burimeve të biznesit të kompanisë?" Për të zgjidhur këto probleme, po zhvillohen metoda dhe teknika për vlerësimin sasior dhe menaxhimin e rrezikut bazuar në metodat strukturore dhe, më rrallë, të orientuara nga objektet e analizës dhe dizajnit të sistemit (SSADM - Analiza dhe Dizajni i Sistemeve të Strukturuara). Në praktikë, teknika të tilla të menaxhimit të rrezikut ju lejojnë: Të krijoni modele të aseteve të informacionit të kompanisë nga pikëpamja e sigurisë; Klasifikimi dhe vlerësimi i vlerave të aseteve; Përpiloni lista të kërcënimeve dhe dobësive më të rëndësishme të sigurisë; Renditja e kërcënimeve dhe dobësive të sigurisë; Të arsyetojë mjetet dhe masat e kontrollit të rrezikut; Vlerësoni efektivitetin / koston e opsioneve të ndryshme të mbrojtjes; Formalizoni dhe automatizoni procedurat e vlerësimit dhe menaxhimit të rrezikut.
Një nga teknikat më të famshme të kësaj klase është teknika CRAMM.
Fillimisht u krijua një metodë dhe më pas teknika CRAMM (Risk Analysis and Control) me të njëjtin emër, e cila përputhet me kërkesat e CCTA. Më pas u shfaqën disa versione të metodologjisë, të përqendruara në kërkesat e organizatave dhe strukturave të ndryshme qeveritare dhe tregtare. Një version i "profilit komercial" është bërë i përhapur në tregun e sigurisë së informacionit.
Qëllimet kryesore të metodologjisë CRAMM janë: Formalizimi dhe automatizimi i procedurave të analizës dhe menaxhimit të riskut; Optimizimi i kostove për pajisjet e kontrollit dhe mbrojtjes; Planifikimi gjithëpërfshirës dhe menaxhimi i rrezikut në të gjitha fazat e ciklit jetësor të sistemeve të informacionit; Reduktimi i kohës për zhvillimin dhe mirëmbajtjen e një sistemi të sigurisë së informacionit të korporatës; Arsyetimi i efektivitetit të masave dhe kontrolleve të propozuara mbrojtëse; Menaxhimi i ndryshimeve dhe incidenteve; Mbështetje për vazhdimësinë e biznesit; Vendimmarrja e menjëhershme për çështjet e menaxhimit të sigurisë, etj.
Menaxhimi i riskut në metodologjinë CRAMM kryhet në disa faza (Fig. 3).
Në fazën e parë të fillimit - "Fillimi" - përcaktohen kufijtë e sistemit të informacionit të kompanisë në studim, përbërja dhe struktura e aktiveve dhe transaksioneve kryesore të informacionit të saj.
Në fazën e identifikimit dhe vlerësimit të burimeve - “Identifikimi dhe vlerësimi i pasurive” - aktivet identifikohen qartë dhe përcaktohet vlera e tyre. Llogaritja e kostos së aseteve të informacionit ju lejon të përcaktoni qartë nevojën dhe mjaftueshmërinë e mjeteve të propozuara të kontrollit dhe mbrojtjes.
Në fazën e vlerësimit të kërcënimeve dhe dobësive - "Vlerësimi i kërcënimit dhe vulnerabilitetit" - identifikohen dhe vlerësohen kërcënimet dhe dobësitë e aseteve të informacionit të kompanisë.
Faza e analizës së rrezikut - "Analiza e rrezikut" - ju lejon të merrni vlerësime cilësore dhe sasiore të rrezikut.
Në fazën e menaxhimit të rrezikut - "Menaxhimi i rrezikut" - propozohen masa dhe mjete për të zvogëluar ose shmangur rrezikun.
Le të shohim aftësitë e CRAMM duke përdorur shembullin e mëposhtëm. Le të vlerësohen rreziqet e informacionit të sistemit të mëposhtëm të informacionit të korporatës (Fig. 4).
Në këtë diagram, me kusht do të theksojmë elementët e mëposhtëm të sistemit: stacionet e punës ku operatorët futin informacione që vijnë nga bota e jashtme; një server poste në të cilin informacioni merret nga nyjet e largëta të rrjetit nëpërmjet internetit; serveri i përpunimit në të cilin është instaluar DBMS; server rezervë; vendet e punës të ekipit të reagimit të shpejtë; administratori i sigurisë në vendin e punës; administratori i bazës së të dhënave në vendin e punës.
Sistemi funksionon si më poshtë. Të dhënat e futura nga stacionet e punës të përdoruesit dhe të marra në serverin e postës dërgohen në serverin e përpunimit të të dhënave të korporatës. Më pas të dhënat shkojnë në vendet e punës të ekipit të reagimit operacional dhe aty merren vendimet e duhura.
Le të bëjmë tani një analizë rreziku duke përdorur teknikën CRAMM dhe të propozojmë disa mjete kontrolli dhe menaxhimi të rrezikut që janë adekuate për qëllimet dhe objektivat e biznesit të kompanisë.
Përcaktimi i kufijve të studimit. Faza fillon me zgjidhjen e problemit të përcaktimit të kufijve të sistemit në studim. Për këtë qëllim, mblidhet informacioni i mëposhtëm: përgjegjësit për burimet fizike dhe softuerike; kush janë përdoruesit dhe si përdorin ose do ta përdorin përdoruesit sistemin; konfigurimin e sistemit. Informacioni parësor mblidhet përmes bisedave me menaxherët e projektit, menaxherët e përdoruesve ose punonjës të tjerë.
Identifikimi i burimeve dhe ndërtimi i një modeli sistemi nga pikëpamja e sigurisë së informacionit. Identifikimi i burimeve kryhet: materiali, softueri dhe informacioni që përmbahen brenda kufijve të sistemit. Çdo burim duhet t'i caktohet njërës prej klasave të paracaktuara. Klasifikimi i burimeve fizike jepet në shtojcë. Pastaj ndërtohet një model i sistemit të informacionit nga pikëpamja e sigurisë së informacionit. Për çdo proces informacioni që ka kuptim të pavarur nga pikëpamja e përdoruesit dhe quhet shërbim përdoruesi (EndUserService), ndërtohet një pemë e lidhjeve të burimeve të përdorura. Në shembullin në shqyrtim do të ketë një shërbim të vetëm të ngjashëm (Fig. 5). Modeli i ndërtuar na lejon të identifikojmë elementet kritike.
Vlera e burimeve. Teknika ju lejon të përcaktoni vlerën e burimeve. Ky hap është i detyrueshëm në një analizë të plotë të rrezikut. Vlera e burimeve fizike në këtë metodë përcaktohet nga kostoja e restaurimit të tyre në rast shkatërrimi. Vlera e të dhënave dhe softuerit përcaktohet në situatat e mëposhtme: mungesa e burimeve për një periudhë të caktuar kohore; shkatërrimi i burimeve - humbja e informacionit të marrë që nga rezervimi i fundit ose shkatërrimi i plotë i tij; shkelje e konfidencialitetit në rastet e aksesit të paautorizuar nga anëtarët e stafit ose personat e paautorizuar; modifikimi konsiderohet për rastet e gabimeve të vogla të personelit (gabimet në hyrje), gabimet e softuerit, gabimet e qëllimshme; gabimet që lidhen me transferimin e informacionit: refuzimi i dorëzimit, mosdorëzimi i informacionit, dërgimi në adresën e gabuar. Për të vlerësuar dëmet e mundshme, propozohet të përdoren kriteret e mëposhtme: dëmtimi i reputacionit të organizatës; shkelje e legjislacionit aktual; dëmtimi i shëndetit të personelit; dëmtimi i lidhur me zbulimin e të dhënave personale të individëve; humbje financiare nga zbulimi i informacionit; humbjet financiare që lidhen me rikuperimin e burimeve; humbjet që lidhen me pamundësinë për të përmbushur detyrimet; çorganizimi i aktiviteteve.
Grupi i dhënë i kritereve përdoret në versionin komercial të metodës (profili standard). Versionet e tjera do të kenë një përzierje të ndryshme, si versioni qeveritar që shton dimensione për të pasqyruar fusha të tilla si siguria kombëtare dhe çështjet ndërkombëtare.
Për të dhënat dhe softuerin, zgjidhen kriteret e zbatueshme për një IS të caktuar dhe dëmi vlerësohet në një shkallë me vlera nga 1 në 10.
Për shembull, nëse të dhënat përmbajnë detaje të informacionit komercialisht konfidencial (kritik), eksperti që kryen hulumtimin shtron pyetjen: si mund të ndikojë në organizatë qasja e paautorizuar në këtë informacion nga persona të paautorizuar?
Një përgjigje e mundshme është: një dështim në disa nga parametrat e listuar më sipër, secili aspekt duhet të konsiderohet më në detaje dhe të caktohet vlerësimi më i lartë i mundshëm.
Pastaj zhvillohen shkallët për sistemin e përzgjedhur të parametrave. Mund të duken kështu.
Dëmtimi i reputacionit të organizatës: 2 - reagim negativ i zyrtarëve individualë, figurave publike; 4 - kritika në media që nuk ka një reagim të gjerë publik; 6 - reagim negativ i deputetëve individualë të Dumës, Këshillit të Federatës; 8 - kritika në media, që sjell pasoja në formën e skandaleve të mëdha, seancave dëgjimore parlamentare, inspektimeve të mëdha etj.; 10 - reagim negativ në nivel të Presidentit dhe Qeverisë.
Dëmtimi i shëndetit të personelit: 2 - dëmtime minimale (pasojat nuk shoqërohen me shtrimin në spital ose trajtimin afatgjatë); 4 - dëmtime të mesme (trajtimi është i nevojshëm për një ose më shumë punonjës, por nuk ka pasoja negative afatgjata); 6 - pasoja të rënda (shtrim afatgjatë në spital, paaftësi e një ose më shumë punonjësve); 10 - humbje jete.
Humbjet financiare të lidhura me rikuperimin e burimeve: 2 - më pak se 1000 dollarë; 6 - nga 1000 dollarë në 10,000 dollarë; 8 - nga 10,000 dollarë në 100,000 dollarë; 10 - mbi 100,000 dollarë.
Çorganizimi i aktiviteteve për shkak të mungesës së të dhënave: 2 - mungesa e aksesit në informacion deri në 15 minuta; 4 - mungesa e aksesit në informacion deri në 1 orë; 6 - mungesa e aksesit në informacion deri në 3 orë; 8 - mungesa e aksesit në informacion për 12 orë; 10 - mungesa e aksesit në informacion për më shumë se një ditë.
Në këtë fazë mund të përgatiten disa lloje raportesh (kufijtë e sistemit, modeli, përcaktimi i vlerës së burimit). Nëse vlerat e burimeve janë të ulëta, mund të përdoret opsioni bazë i mbrojtjes. Në këtë rast, studiuesi mund të kalojë nga kjo fazë drejtpërdrejt në fazën e analizës së rrezikut. Megjithatë, për të trajtuar në mënyrë adekuate ndikimin e mundshëm të çdo kërcënimi, cenueshmërie ose kombinimi të kërcënimeve dhe dobësive që janë në nivele të larta, duhet të përdoret një version i shkurtuar i fazës së vlerësimit të kërcënimit dhe cenueshmërisë. Kjo na lejon të zhvillojmë një sistem më efektiv për mbrojtjen e informacionit të kompanisë.
Në fazën e vlerësimit të kërcënimeve dhe dobësive, vlerësohen varësitë e shërbimeve të përdoruesve nga grupe të caktuara burimesh dhe niveli ekzistues i kërcënimeve dhe dobësive.
Në vijim, asetet e kompanisë grupohen për sa i përket kërcënimeve dhe dobësive. Për shembull, në rast të një kërcënimi zjarri ose vjedhjeje, është e arsyeshme të konsiderohen të gjitha burimet e vendosura në një vend (dhoma e serverit, dhoma e komunikimit, etj.) si një grup burimesh.
Në të njëjtën kohë, vlerësimi i niveleve të kërcënimeve dhe dobësive mund të bëhet në bazë të faktorëve indirekt ose në bazë të vlerësimeve të drejtpërdrejta të ekspertëve. Në rastin e parë, softueri CRAMM gjeneron për secilin grup burimesh dhe secilin prej tyre një listë pyetjesh të cilave mund t'u përgjigjet pa mëdyshje ( oriz. 8. -Vlerësimi i nivelit të kërcënimit të sigurisë bazuar në faktorë indirekt).
Niveli i kërcënimeve vlerësohet, në varësi të përgjigjeve, si: shumë i lartë; i lartë; mesatare; i shkurtër; shumë e ulët.
Niveli i cenueshmërisë vlerësohet, në varësi të përgjigjeve, si: i lartë; mesatare; i shkurtër; mungon.
Është e mundur të korrigjohen rezultatet ose të përdoren metoda të tjera vlerësimi. Bazuar në këtë informacion, nivelet e rrezikut llogariten në një shkallë diskrete me gradime nga 1 në 7 (faza e analizës së rrezikut). Nivelet rezultuese të kërcënimeve, dobësive dhe rreziqeve analizohen dhe bien dakord me klientin. Vetëm pas kësaj mund të vazhdoni në fazën përfundimtare të metodës.
Menaxhimi i rreziqeve. Hapat kryesorë të fazës së menaxhimit të rrezikut janë paraqitur në Fig. 9.
Në këtë fazë, CRAMM gjeneron disa opsione për kundërmasa që janë adekuate për rreziqet e identifikuara dhe nivelet e tyre. Kundërmasat ndahen në grupe dhe nëngrupe në këto kategori: Sigurimi i sigurisë në nivel rrjeti. Sigurimi i sigurisë fizike. Sigurimi i sigurisë së infrastrukturës mbështetëse. Masat e sigurisë në nivelin e administratorit të sistemit.
Si rezultat i kësaj faze, gjenerohen disa lloje raportesh.
Kështu, metodologjia e konsideruar për analizën dhe menaxhimin e rrezikut është plotësisht e zbatueshme në kushtet ruse, pavarësisht nga fakti se treguesit e sigurisë nga qasja e paautorizuar në informacion dhe kërkesat për mbrojtjen e informacionit ndryshojnë në standardet ruse RD dhe të huaja. Duket veçanërisht e dobishme të përdoren mjete të tilla si metoda CRAMM gjatë kryerjes së analizës së rrezikut të sistemeve të informacionit me kërkesa të shtuara në fushën e sigurisë së informacionit. Kjo ju lejon të merrni vlerësime të arsyeshme të niveleve ekzistuese dhe të pranueshme të kërcënimeve, dobësive dhe efektivitetit të mbrojtjes.
MethodWare
MethodWare ka zhvilluar metodologjinë e vet të vlerësimit dhe menaxhimit të rrezikut dhe ka nxjerrë një sërë mjetesh të lidhura. Këto mjete përfshijnë: Softuerin e analizës dhe menaxhimit të rrezikut Operacional Risk Builder dhe Risk Advisor. Metodologjia përputhet me Standardin e Menaxhimit të Riskut Australian/Zelandën e Re (AS/NZS 4360:1999) dhe ISO17799. Softueri i menaxhimit të ciklit jetësor të teknologjisë së informacionit në përputhje me CobiT Advisor 3rd Edition (Audit) dhe CobiT 3rd Edition Management Advisor. Udhëzimet e CobiT vendosin një theks të rëndësishëm në analizën dhe menaxhimin e rrezikut. Softuer për automatizimin e ndërtimit të pyetësorëve të ndryshëm Ndërtuesi i pyetësorëve.
Le të hedhim një vështrim të shpejtë në veçoritë e Risk Advisor. Ky softuer pozicionohet si një paketë mjetesh për një analist ose menaxher në fushën e sigurisë së informacionit. Është zbatuar një teknikë që ju lejon të vendosni një model të një sistemi informacioni nga këndvështrimi i sigurisë së informacionit, për të identifikuar rreziqet, kërcënimet dhe humbjet si rezultat i incidenteve. Fazat kryesore të punës janë: përshkrimi i kontekstit, identifikimi i rreziqeve, vlerësimi i kërcënimeve dhe dëmeve të mundshme, zhvillimi i veprimeve të kontrollit dhe zhvillimi i një plani rikuperimi dhe veprimi në situata emergjente. Le t'i shikojmë këto hapa në më shumë detaje. Përshkrimi i rreziqeve. Matrica e rrezikut është vendosur ( oriz. 10. - Identifikimi dhe përcaktimi i rreziqeve në Risk Advisor) bazuar në disa shabllone. Rreziqet vlerësohen në një shkallë cilësore dhe ndahen në të pranueshme dhe të papranueshme ( oriz. 11. - Ndarja e rreziqeve në të pranueshme dhe të papranueshme në Risk Advisor). Më pas zgjidhen veprimet e kontrollit (kundërmasat) duke marrë parasysh sistemin e kritereve të regjistruara më parë, efektivitetin e kundërmasave dhe koston e tyre. Kostoja dhe efektiviteti vlerësohen gjithashtu në shkallë cilësore.
Përshkrimi i kërcënimeve. Së pari, formohet një listë e kërcënimeve. Kërcënimet klasifikohen në një mënyrë të caktuar, pastaj përshkruhet marrëdhënia midis rreziqeve dhe kërcënimeve. Përshkrimi është bërë gjithashtu në nivel cilësor dhe na lejon të regjistrojmë marrëdhëniet e tyre.
Përshkrimi i humbjeve. Përshkruhen ngjarjet (pasojat) që lidhen me shkeljen e regjimit të sigurisë së informacionit. Humbjet vlerësohen në sistemin e përzgjedhur të kritereve.
Analiza e rezultateve. Si rezultat i ndërtimit të modelit, mund të gjeneroni një raport të detajuar (rreth 100 seksione) dhe të shikoni përshkrimet e grumbulluara në ekran në formën e grafikëve.
Metodologjia e konsideruar ju lejon të automatizoni aspekte të ndryshme të menaxhimit të rrezikut të kompanisë. Në këtë rast, vlerësimet e rrezikut jepen në shkallë cilësore. Një analizë e detajuar e faktorëve të rrezikut nuk është dhënë. Fuqia e metodologjisë së konsideruar është aftësia për të përshkruar marrëdhënie të ndryshme, konsiderata adekuate e shumë faktorëve të rrezikut dhe intensiteti dukshëm më i ulët i punës në krahasim me CRAMM.
konkluzioni
Metodat dhe teknologjitë moderne për menaxhimin e rrezikut të informacionit bëjnë të mundur vlerësimin e nivelit ekzistues të rreziqeve të informacionit të mbetur në kompanitë vendase. Kjo është veçanërisht e rëndësishme në rastet kur i vihen kërkesa të shtuara sistemit të informacionit të kompanisë në fushën e mbrojtjes së informacionit dhe vazhdimësisë së biznesit.Sot ekzistojnë një sërë teknikash të analizës së riskut, duke përfshirë përdorimin e mjeteve CASE, të përshtatura për përdorim në kushte shtëpiake. . Është e rëndësishme që një analizë e cilësisë së lartë të rreziqeve të informacionit të lejojë një analizë krahasuese të "efektivitetit-kostos" të opsioneve të ndryshme të mbrojtjes, zgjedhjen e kundërmasave dhe kontrolleve adekuate dhe vlerësimin e nivelit të rreziqeve të mbetura. Për më tepër, mjetet e analizës së rrezikut të bazuara në bazat moderne të njohurive dhe procedurat e konkluzionit bëjnë të mundur ndërtimin e modeleve strukturore dhe të orientuara nga objekti të aseteve të informacionit të një kompanie, modeleve të kërcënimit dhe modeleve të rrezikut që lidhen me informacionin individual dhe transaksionet e biznesit dhe, për rrjedhojë, të identifikojnë një kompani të tillë. asetet e informacionit rreziku i shkeljes së sigurisë është kritik, domethënë i papranueshëm. Mjete të tilla ofrojnë mundësinë për të ndërtuar modele të ndryshme për mbrojtjen e aseteve të informacionit të një kompanie, për të krahasuar opsione të ndryshme për grupet e masave të mbrojtjes dhe kontrollit duke përdorur kriterin e "efektivitetit dhe kostos", si dhe monitorojnë përputhjen me kërkesat për organizimin e një regjimi të sigurisë së informacionit për një kompani vendase.
Çështje të zbatimit praktik të analizës së riskut në proceset e menaxhimit të sigurisë së informacionit, si dhe çështje të përgjithshme të procesit të vetë analizës së riskut të sigurisë së informacionit.
Në procesin e menaxhimit të çdo fushe të veprimtarisë, është e nevojshme të zhvillohen vendime të ndërgjegjshme dhe efektive, miratimi i të cilave ndihmon në arritjen e qëllimeve të caktuara. Sipas mendimit tonë, një vendim adekuat mund të merret vetëm në bazë të fakteve dhe analizave të marrëdhënieve shkak-pasojë. Sigurisht, në një numër rastesh, vendimet merren në një nivel intuitiv, por cilësia e një vendimi intuitiv varet shumë nga përvoja e menaxherit dhe, në një masë më të vogël, nga një kombinim i suksesshëm i rrethanave.
Për të ilustruar se sa kompleks është procesi i marrjes së një vendimi të bazuar dhe realist, do të japim një shembull nga fusha e menaxhimit të sigurisë së informacionit (IS). Le të marrim një situatë tipike: drejtuesi i departamentit të sigurisë së informacionit duhet të kuptojë se në cilat drejtime të lëvizë në mënyrë që të zhvillojë në mënyrë efektive funksionin e tij kryesor - sigurimin e sigurisë së informacionit të organizatës. Nga njëra anë, gjithçka është shumë e thjeshtë. Ekzistojnë një sërë qasjesh standarde për zgjidhjen e problemeve të sigurisë: mbrojtja e perimetrit, mbrojtja nga personat e brendshëm, mbrojtja nga rrethanat e forcës madhore. Dhe ka shumë produkte që ju lejojnë të zgjidhni këtë apo atë problem (mbroni veten nga ky apo ai kërcënim).
Sidoqoftë, ekziston një "por" i vogël. Specialistët e departamentit të sigurisë së informacionit përballen me faktin se zgjedhja e produkteve të klasave të ndryshme është shumë e gjerë, infrastruktura e informacionit të organizatës është shumë e gjerë, numri i objektivave të mundshëm të sulmeve nga ndërhyrës është i madh dhe aktivitetet e departamenteve të organizatës janë heterogjene dhe nuk mund të unifikohen. Në të njëjtën kohë, çdo specialist i departamentit ka mendimin e tij për përparësinë e fushave të veprimtarisë, që korrespondon me specializimin e tij dhe prioritetet personale. Dhe zbatimi i një zgjidhjeje teknike ose zhvillimi i një rregulloreje ose udhëzimi në një organizatë të madhe rezulton në një projekt të vogël me të gjitha atributet e aktivitetit të projektit: planifikim, buxhet, përgjegjësi, afate etj.
Kështu, për të mbrojtur veten kudo dhe nga gjithçka, së pari, nuk është fizikisht e mundur, dhe së dyti, nuk ka kuptim. Çfarë mund të bëjë kreu i departamentit të sigurisë së informacionit në këtë rast?
Së pari, ai mund të mos bëjë asgjë deri në incidentin e parë të madh. Së dyti, përpiquni të zbatoni disa standarde përgjithësisht të pranuara të sigurisë së informacionit. Së treti, besoni materialet e marketingut të prodhuesve dhe integruesve apo konsulentëve të softuerit dhe harduerit në fushën e sigurisë së informacionit. Megjithatë, ka një mënyrë tjetër.
Përcaktimi i objektivave të menaxhimit të sigurisë së informacionit
Mund të përpiqeni - me ndihmën e menaxhmentit dhe punonjësve të organizatës - të kuptoni se çfarë në të vërtetë duhet të mbrohet dhe nga kush. Nga ky moment, aktivitetet specifike fillojnë në kryqëzimin e teknologjisë dhe biznesit kryesor, i cili konsiston në përcaktimin e drejtimit të aktivitetit dhe (nëse është e mundur) gjendjen e synuar të mbështetjes së sigurisë së informacionit, i cili do të formulohet njëkohësisht në terma biznesi dhe në terma të siguria e informacionit.
Procesi i analizës së rrezikut është një mjet me të cilin mund të përcaktoni qëllimet e menaxhimit të sigurisë së informacionit, të vlerësoni faktorët kryesorë kritikë që ndikojnë negativisht në proceset kryesore të biznesit të kompanisë dhe të zhvilloni zgjidhje të informuara, efektive dhe të justifikuara për t'i kontrolluar ose minimizuar ato.
Më poshtë do të përshkruajmë se cilat detyra zgjidhen si pjesë e analizës së rrezikut të sigurisë së informacionit për të marrë rezultatet e listuara dhe si arrihen këto rezultate si pjesë e analizës së rrezikut.
Identifikimi dhe vlerësimi i pasurisë
Qëllimi i menaxhimit të sigurisë së informacionit është ruajtja e konfidencialitetit, integritetit dhe disponueshmërisë së informacionit. Pyetja e vetme është se çfarë lloj informacioni duhet të mbrohet dhe çfarë përpjekjesh duhet të bëhen për të garantuar sigurinë e tij (Fig. 1).
Çdo menaxhim bazohet në vetëdijen për situatën në të cilën ndodh. Për sa i përket analizës së rrezikut, ndërgjegjësimi për situatën shprehet në inventarizimin dhe vlerësimin e aseteve të organizatës dhe mjedisit të tyre, domethënë gjithçka që siguron zhvillimin e aktiviteteve të biznesit. Nga pikëpamja e analizës së rrezikut të sigurisë së informacionit, asetet kryesore përfshijnë informacionin, infrastrukturën, personelin, imazhin dhe reputacionin e kompanisë. Pa një inventar të aseteve në nivelin e aktivitetit të biznesit, është e pamundur t'i përgjigjemi pyetjes se çfarë saktësisht duhet të mbrohet. Është e rëndësishme të kuptohet se çfarë informacioni përpunohet brenda një organizate dhe ku përpunohet.
Në një organizatë të madhe moderne, numri i aseteve të informacionit mund të jetë shumë i madh. Nëse aktivitetet e një organizate janë të automatizuara duke përdorur një sistem ERP, atëherë mund të themi se pothuajse çdo objekt material i përdorur në këtë aktivitet korrespondon me një lloj objekti informacioni. Prandaj, detyra kryesore e menaxhimit të rrezikut është të identifikojë asetet më të rëndësishme.
Është e pamundur të zgjidhet ky problem pa përfshirjen e menaxherëve të veprimtarisë kryesore të organizatës, të nivelit të mesëm dhe të lartë. Situata optimale është kur menaxhmenti i lartë i organizatës përcakton personalisht fushat më kritike të veprimtarisë, për të cilat është jashtëzakonisht e rëndësishme të sigurohet siguria e informacionit. Opinioni i menaxhmentit të lartë në lidhje me prioritetet në ofrimin e sigurisë së informacionit është shumë i rëndësishëm dhe i vlefshëm në procesin e analizës së riskut, por në çdo rast ai duhet të qartësohet duke mbledhur informacione për kritikën e aseteve në nivelin mesatar të menaxhimit të kompanisë. Në të njëjtën kohë, këshillohet që të kryhen analiza të mëtejshme pikërisht në fushat e veprimtarisë së biznesit të përcaktuara nga menaxhmenti i lartë. Informacioni i marrë përpunohet, grumbullohet dhe i transmetohet menaxhmentit të lartë për një vlerësim gjithëpërfshirës të situatës (por më shumë për këtë më vonë).
Informacioni mund të identifikohet dhe lokalizohet bazuar në një përshkrim të proceseve të biznesit në të cilat informacioni konsiderohet si një nga llojet e burimeve. Detyra thjeshtohet disi nëse organizata ka adoptuar një qasje për rregullimin e aktiviteteve të biznesit (për shembull, për qëllime të menaxhimit të cilësisë dhe optimizimit të proceseve të biznesit). Përshkrimet e formalizuara të proceseve të biznesit janë një pikënisje e mirë për inventarin e aseteve. Nëse nuk ka përshkrime, mund të identifikoni asetet bazuar në informacionin e marrë nga punonjësit e organizatës. Pasi të jenë identifikuar asetet, duhet të përcaktohet vlera e tyre.
Puna e përcaktimit të vlerës së aseteve të informacionit në të gjithë organizatën është më e rëndësishmja dhe komplekse. Është vlerësimi i aseteve të informacionit që do t'i lejojë drejtuesit të departamentit të sigurisë së informacionit të zgjedhë fushat kryesore të veprimtarisë për të garantuar sigurinë e informacionit.
Vlera e një aktivi shprehet nga shuma e humbjeve që një organizatë do të pësojë në rast të një shkeljeje të sigurisë së aktivit. Përcaktimi i vlerës është problematik, sepse në shumicën e rasteve, menaxherët e organizatës nuk mund t'i përgjigjen menjëherë pyetjes se çfarë do të ndodhte nëse, për shembull, informacioni rreth çmimeve të blerjes të ruajtura në një server skedari shkon te një konkurrent. Ose më mirë, në shumicën e rasteve, menaxherët organizativ nuk kanë menduar kurrë për situata të tilla.
Por efikasiteti ekonomik i procesit të menaxhimit të sigurisë së informacionit varet kryesisht nga vetëdija se çfarë duhet të mbrohet dhe çfarë përpjekjesh do të kërkojë kjo, pasi në shumicën e rasteve sasia e përpjekjeve të aplikuara është drejtpërdrejt proporcionale me sasinë e parave të shpenzuara dhe shpenzimet operative. Menaxhimi i rrezikut ju lejon t'i përgjigjeni pyetjes se ku mund të rrezikoni dhe ku jo. Në rastin e sigurisë së informacionit, termi "rrezik" do të thotë se në një fushë të caktuar është e mundur të mos bëhen përpjekje të konsiderueshme për mbrojtjen e aseteve të informacionit dhe në të njëjtën kohë, në rast të një shkeljeje të sigurisë, organizata nuk do të vuajë. humbje të konsiderueshme. Këtu mund të bëjmë një analogji me klasat e mbrojtjes së sistemeve të automatizuara: sa më të rëndësishme të jenë rreziqet, aq më të rrepta duhet të jenë kërkesat e mbrojtjes.
Për të përcaktuar pasojat e një shkeljeje të sigurisë, ose duhet të keni informacion për incidente të regjistruara të një natyre të ngjashme, ose të bëni një analizë skenari. Analiza e skenarit shqyrton marrëdhëniet shkak-pasojë midis ngjarjeve të sigurisë së aseteve dhe pasojave të këtyre ngjarjeve në aktivitetet e biznesit të organizatës. Pasojat e skenarëve duhet të vlerësohen nga disa njerëz, në mënyrë të përsëritur ose me qëllim. Duhet theksuar se zhvillimi dhe vlerësimi i skenarëve të tillë nuk mund të shkëputet plotësisht nga realiteti. Duhet të mbani mend gjithmonë se skenari duhet të jetë i mundshëm. Kriteret dhe shkallët për përcaktimin e vlerës janë individuale për çdo organizatë. Bazuar në rezultatet e analizës së skenarit, mund të merret informacion për vlerën e aseteve.
Nëse identifikohen asetet dhe përcaktohet vlera e tyre, mund të themi se qëllimet e sigurimit të sigurisë së informacionit janë përcaktuar pjesërisht: përcaktohen objektet e mbrojtjes dhe rëndësia e mbajtjes së tyre në një gjendje sigurie informacioni për organizatën. Ndoshta gjithçka që mbetet është të përcaktohet se nga kush duhet të mbrohet.
Analiza e burimeve të problemeve
Pas përcaktimit të qëllimeve të menaxhimit të sigurisë së informacionit, duhet të analizoni problemet që ju pengojnë t'i afroheni shtetit të synuar. Në këtë nivel, procesi i analizës së rrezikut zbret në infrastrukturën e informacionit dhe konceptet tradicionale të sigurisë së informacionit - ndërhyrës, kërcënime dhe dobësi (Fig. 2).
Modeli i ndërhyrës
Për të vlerësuar rreziqet, nuk mjafton të prezantohet një model standard i shkelësit që i ndan të gjithë shkelësit sipas llojit të aksesit në aktiv dhe njohurive për strukturën e aktivit. Kjo ndarje ndihmon në përcaktimin se cilat kërcënime mund të drejtohen ndaj një aktivi, por nuk i përgjigjet pyetjes nëse këto kërcënime, në parim, mund të realizohen.
Në procesin e analizës së rrezikut, është e nevojshme të vlerësohet motivimi i shkelësve në zbatimin e kërcënimeve. Në këtë rast, dhunuesi nuk nënkupton një haker abstrakt të jashtëm ose të brendshëm, por një palë e interesuar për të përfituar përfitime duke cenuar sigurinë e një aseti.
Këshillohet që informacioni fillestar për modelin e shkelësit, si në rastin e zgjedhjes së drejtimeve fillestare të aktiviteteve të sigurisë së informacionit, të merret nga menaxhmenti i lartë, i cili kupton pozicionin e organizatës në treg, ka informacion për konkurrentët dhe cilat metoda të ndikimit mund të jenë. pritet prej tyre. Informacioni i nevojshëm për të zhvilluar një model të një ndërhyrës mund të merret gjithashtu nga kërkimet e specializuara mbi shkeljet e sigurisë kompjuterike në fushën e biznesit për të cilën po kryhet analiza e rrezikut. Një model ndërhyrës i zhvilluar siç duhet plotëson objektivat e sigurisë së informacionit të përcaktuara gjatë vlerësimit të aseteve të organizatës.
Modeli i kërcënimit
Zhvillimi i një modeli kërcënimi dhe identifikimi i dobësive janë të lidhura pazgjidhshmërisht me një inventar të mjedisit të aseteve të informacionit të organizatës. Informacioni në vetvete nuk ruhet apo përpunohet. Qasja në të sigurohet duke përdorur një infrastrukturë informacioni që automatizon proceset e biznesit të organizatës. Është e rëndësishme të kuptohet se si infrastruktura e informacionit dhe asetet e informacionit të një organizate janë të lidhura me njëra-tjetrën. Nga këndvështrimi i menaxhimit të sigurisë së informacionit, rëndësia e infrastrukturës së informacionit mund të përcaktohet vetëm pasi të përcaktohet marrëdhënia midis aseteve të informacionit dhe infrastrukturës. Nëse proceset për mirëmbajtjen dhe funksionimin e infrastrukturës së informacionit në një organizatë janë të rregulluara dhe transparente, mbledhja e informacionit të nevojshëm për të identifikuar kërcënimet dhe për të vlerësuar dobësitë thjeshtohet shumë.
Zhvillimi i një modeli kërcënimi është një punë për profesionistët e sigurisë së informacionit të cilët kanë një kuptim të mirë se si një sulmues mund të fitojë akses të paautorizuar në informacion duke shkelur perimetrin e sigurisë ose duke përdorur metoda të inxhinierisë sociale. Kur zhvilloni një model kërcënimi, mund të flisni edhe për skenarë si hapa vijues sipas të cilëve mund të realizohen kërcënimet. Shumë rrallë ndodh që kërcënimet të zbatohen në një hap duke shfrytëzuar një pikë të vetme të cenueshme në sistem.
Modeli i kërcënimit duhet të përfshijë të gjitha kërcënimet e identifikuara përmes proceseve të lidhura me menaxhimin e sigurisë së informacionit, të tilla si menaxhimi i cenueshmërisë dhe incidenteve. Duhet mbajtur mend se kërcënimet do të duhet të renditen në raport me njëri-tjetrin sipas nivelit të mundësisë së zbatimit të tyre. Për ta bërë këtë, në procesin e zhvillimit të një modeli kërcënimi për secilin kërcënim, është e nevojshme të tregohen faktorët më domethënës, ekzistenca e të cilëve ndikon në zbatimin e tij.
Identifikimi i cenueshmërisë
Prandaj, pas zhvillimit të një modeli kërcënimi, është e nevojshme të identifikohen dobësitë në mjedisin e aseteve. Identifikimi dhe vlerësimi i dobësive mund të kryhet si pjesë e një procesi tjetër të menaxhimit të sigurisë së informacionit - auditimit. Këtu nuk duhet të harrojmë se për të kryer një auditim të sigurisë së informacionit është e nevojshme të zhvillohen kriteret e verifikimit. Dhe kriteret e verifikimit mund të zhvillohen bazuar në modelin e kërcënimit dhe modelin e ndërhyrës.
Bazuar në rezultatet e zhvillimit të një modeli kërcënimi, një modeli ndërhyrës dhe identifikimit të dobësive, mund të themi se janë identifikuar arsyet që ndikojnë në arritjen e gjendjes së synuar të sigurisë së informacionit të organizatës.
Vlerësimi i rrezikut
Identifikoni dhe vlerësoni asetet, zhvilloni një model kundërshtar dhe një model kërcënimi dhe identifikoni dobësitë - të gjitha këto janë hapa standardë që duhet të përshkruhen në çdo metodologji të analizës së rrezikut. Të gjithë hapat e mësipërm mund të kryhen me nivele të ndryshme cilësie dhe detajesh. Është shumë e rëndësishme të kuptohet se çfarë dhe si mund të bëhet me një sasi të madhe informacioni të grumbulluar dhe modele të formalizuara. Sipas mendimit tonë, kjo pyetje është më e rëndësishmja, dhe përgjigjen për të duhet ta japë metodologjia e përdorur e analizës së rrezikut.
Rezultatet e marra duhet të vlerësohen, grumbullohen, klasifikohen dhe shfaqen. Meqenëse dëmi përcaktohet në fazën e identifikimit dhe vlerësimit të pasurisë, është e nevojshme të vlerësohet probabiliteti i ngjarjeve të rrezikut. Ashtu si në rastin e vlerësimit të pasurisë, një vlerësim probabiliteti mund të merret bazuar në statistikat e incidenteve, shkaqet e të cilave përkojnë me kërcënimet e sigurisë së informacionit në shqyrtim, ose me metodën e parashikimit - bazuar në faktorët e peshimit që korrespondojnë me modelin e zhvilluar të kërcënimit.
Një praktikë e mirë për vlerësimin e gjasave do të ishte klasifikimi i dobësive sipas një grupi të përzgjedhur faktorësh që karakterizojnë lehtësinë e shfrytëzimit të dobësive. Parashikimi i mundësisë së kërcënimeve kryhet në bazë të veçorive të cenueshmërisë dhe grupeve të shkelësve nga të cilët vijnë kërcënimet.
Një shembull i një sistemi klasifikimi të cenueshmërisë është standardi CVSS - sistemi i përbashkët i vlerësimit të cenueshmërisë. Duhet theksuar se në procesin e identifikimit dhe vlerësimit të dobësive, përvoja eksperte e specialistëve të sigurisë së informacionit që kryejnë vlerësimet e rrezikut dhe materialet dhe raportet statistikore të përdorura për dobësitë dhe kërcënimet në fushën e sigurisë së informacionit janë shumë të rëndësishme.
Madhësia (niveli) i rrezikut duhet të përcaktohet për të gjitha grupet e identifikuara dhe korresponduese të kërcënimeve të aseteve. Në të njëjtën kohë, shuma e dëmit dhe probabiliteti nuk duhet të shprehen në terma dhe përqindje absolute monetare; Për më tepër, si rregull, nuk është e mundur të paraqiten rezultatet në këtë formë. Arsyeja për këtë janë metodat e përdorura për të analizuar dhe vlerësuar rreziqet e sigurisë së informacionit: analiza e skenarit dhe parashikimi.
Vendimmarrja
Çfarë mund të bëni me rezultatin e vlerësimit?
Para së gjithash, duhet të hartoni një raport të thjeshtë dhe vizual të analizës së rrezikut, qëllimi kryesor i të cilit do të jetë prezantimi i informacionit të mbledhur në lidhje me rëndësinë dhe strukturën e rreziqeve të sigurisë së informacionit në organizatë. Raporti duhet t'i paraqitet menaxhmentit të lartë të organizatës. Një gabim i zakonshëm është prezantimi i rezultateve të ndërmjetme tek menaxhmenti i lartë në vend të konkluzioneve. Pa dyshim, të gjitha përfundimet duhet të mbështeten me argumente - të gjitha llogaritjet e ndërmjetme duhet t'i bashkëngjiten raportit.
Për qartësi të raportit, rreziqet duhet të klasifikohen në terma biznesi të njohur për organizatën, dhe rreziqe të ngjashme duhet të agregohen. Në përgjithësi, klasifikimi i rreziqeve mund të jetë i shumëanshëm. Nga njëra anë, ne po flasim për rreziqet e sigurisë së informacionit, nga ana tjetër - për rreziqet e dëmtimit të reputacionit ose humbjes së një klienti. Rreziqet e klasifikuara duhet të renditen sipas mundësisë së shfaqjes së tyre dhe rëndësisë për organizatën.
Raporti i analizës së rrezikut pasqyron informacionin e mëposhtëm:
- fushat më problematike të sigurimit të informacionit në organizatë;
- ndikimi i kërcënimeve të sigurisë së informacionit në strukturën e përgjithshme të rrezikut të organizatës;
- fushat prioritare të veprimtarisë së departamentit të sigurisë së informacionit për të përmirësuar efikasitetin e mbështetjes së sigurisë së informacionit.
Bazuar në raportin e analizës së rrezikut, drejtuesi i departamentit të sigurisë së informacionit mund të hartojë një plan pune të departamentit për një periudhë afatmesme dhe të caktojë një buxhet bazuar në natyrën e aktiviteteve të nevojshme për të reduktuar rreziqet. Vini re se një raport i analizës së rrezikut i përpiluar saktë i lejon drejtuesit të departamentit të sigurisë së informacionit të gjejë një gjuhë të përbashkët me menaxhmentin e lartë të organizatës dhe të zgjidhë problemet urgjente që lidhen me menaxhimin e sigurisë së informacionit (Fig. 3).
Politika e trajtimit të rrezikut
Një çështje shumë e rëndësishme është politika e menaxhimit të rrezikut të organizatës. Politika përcakton rregullat për trajtimin e rrezikut. Për shembull, politika mund të thotë që së pari duhet të zbuten rreziqet e reputacionit, ndërsa zbutja e rreziqeve të rëndësisë mesatare që nuk konfirmohen nga incidentet e sigurisë së informacionit shtyhet në fund të radhës. Politikat e menaxhimit të rrezikut mund të përcaktohen nga njësia e menaxhimit të rrezikut të korporatës.
Një politikë e trajtimit të rrezikut mund të shpjegojë çështjet e sigurimit të rrezikut dhe ristrukturimit të aktiviteteve në rast se rreziqet e mundshme tejkalojnë një nivel të pranueshëm. Nëse politika nuk është e përcaktuar, atëherë sekuenca e reduktimit të rrezikut duhet të bazohet në parimin e efikasitetit maksimal, por gjithsesi duhet të përcaktohet nga menaxhmenti i lartë.
Le ta përmbledhim
Analiza e rrezikut është një procedurë mjaft intensive e punës. Në procesin e analizës së rrezikut, duhet të përdoren materiale dhe mjete metodologjike. Megjithatë, kjo nuk mjafton për të zbatuar me sukses një proces të përsëritshëm; Një komponent tjetër i rëndësishëm janë rregulloret e menaxhimit të rrezikut. Ai mund të jetë i vetë-mjaftueshëm dhe të adresojë vetëm rreziqet e sigurisë së informacionit, ose mund të integrohet me procesin e përgjithshëm të menaxhimit të rrezikut në organizatë.
Procesi i analizës së rrezikut përfshin shumë ndarje strukturore të organizatës: divizione që udhëheqin drejtimet kryesore të aktiviteteve të saj, divizionin e menaxhimit të infrastrukturës së informacionit dhe divizionin e menaxhimit të sigurisë së informacionit. Për më tepër, për të kryer me sukses një analizë të rrezikut dhe për të përdorur në mënyrë efektive rezultatet e saj, është e nevojshme të përfshihet menaxhmenti i lartë i organizatës, duke siguruar kështu ndërveprimin midis divizioneve strukturore.
Nuk mjaftojnë vetëm teknikat e analizës së rrezikut ose mjetet e specializuara për vlerësimin e rreziqeve të sigurisë së informacionit. Kërkohen procedura për të identifikuar asetet, për të përcaktuar rëndësinë e aseteve, për të zhvilluar modele të ndërhyrësve dhe kërcënimeve, për të identifikuar dobësitë dhe për të grumbulluar dhe klasifikuar rreziqet. Në organizata të ndryshme, të gjitha procedurat e listuara mund të ndryshojnë ndjeshëm. Qëllimet dhe shtrirja e analizës së rrezikut të sigurisë së informacionit gjithashtu ndikojnë në kërkesat për proceset që lidhen me analizën e rrezikut.
Përdorimi i metodës së analizës së rrezikut për menaxhimin e sigurisë së informacionit kërkon që organizata të ketë një nivel të mjaftueshëm pjekurie në të cilën do të jetë e mundur të zbatohen të gjitha proceset e nevojshme brenda kornizës së analizës së rrezikut.
Menaxhimi i rrezikut ju lejon të strukturoni aktivitetet e departamentit të sigurisë së informacionit, të gjeni një gjuhë të përbashkët me menaxhmentin e lartë të organizatës, të vlerësoni efektivitetin e departamentit të sigurisë së informacionit dhe të justifikoni vendimet për zgjedhjen e masave specifike të mbrojtjes teknike dhe organizative për menaxhmentin e lartë. .
Procesi i analizës së rrezikut është i vazhdueshëm, pasi qëllimet e nivelit të lartë të sigurisë së informacionit mund të mbeten të pandryshuara për një kohë të gjatë, por infrastruktura e informacionit, metodat e përpunimit të informacionit dhe rreziqet që lidhen me përdorimin e TI po ndryshojnë vazhdimisht.
Departamenti i sigurisë së informacionit dhe organizata në tërësi, kur strukturojnë aktivitetet e saj përmes analizës së vazhdueshme të rrezikut, marrin përfitimet e mëposhtme shumë domethënëse:
- identifikimi i qëllimeve të menaxhimit;
- përcaktimi i metodave të menaxhimit;
- efikasiteti i menaxhimit bazuar në marrjen e vendimeve të informuara dhe në kohë.
Ka disa pika të tjera për t'u theksuar në lidhje me menaxhimin e rrezikut dhe menaxhimin e sigurisë së informacionit.
Analiza e rrezikut, menaxhimi i incidenteve dhe auditimi i sigurisë së informacionit janë të lidhura pazgjidhshmërisht me njëra-tjetrën, pasi hyrjet dhe daljet e proceseve të listuara janë të lidhura. Zhvillimi dhe zbatimi i procesit të menaxhimit të rrezikut duhet të kryhet duke pasur parasysh menaxhimin e incidenteve dhe auditimeve të IS.
Procesi i vendosur i analizës së rrezikut është një kërkesë e detyrueshme e standardit STO-BR IBBS-1.0-2006 për të garantuar sigurinë e informacionit në sektorin bankar.
Krijimi i një procesi të analizës së rrezikut është i nevojshëm për një organizatë nëse ka vendosur t'i nënshtrohet certifikimit për përputhjen me kërkesat e standardit ndërkombëtar ISO/IEC 27001:2005.
Vendosja e një regjimi për mbrojtjen e sekreteve tregtare dhe të dhënave personale është i lidhur pazgjidhshmërisht me analizën e rrezikut, pasi të gjitha këto procese përdorin metoda të ngjashme për identifikimin dhe vlerësimin e aseteve, zhvillimin e një modeli ndërhyrës dhe një model kërcënimi.
