Файл: В. Б. Кравченко (директор Института информационных наук и технологий безопасности Российского государственного гуманитарного университета).pdf
ВУЗ: Не указан
Категория: Не указан
Дисциплина: Не указана
Добавлен: 02.02.2024
Просмотров: 682
Скачиваний: 0
ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.
СОДЕРЖАНИЕ
ского регламента «О безопасности информационных технологий»
[41].
6.
Оценка риска. Значение риска от реализации угрозы опре
деляется как функция вероятности возникновения ущерба жизни или здоровью граждан, имуществу физических или юридических лиц, государственному или муниципальному имуществу, который может быть нанесен в результате невыполнения функций, возла
гаемых на ИТ, и нарушения условий ее эксплуатации. Значение риска нарушения безопасности ИТ определяется как максималь
ное значение риска из рисков для всех рассмотренных угроз без
опасности ИТ.
Оценка рисков может быть выполнена различными способами в зависимости от выбранной методологии оценки. Целью оценки является получение ответа на два вопроса: приемлемы ли суще
ствующие риски и, если нет, то какие защитные средства эконо
мически выгодно использовать. Значит, оценка должна быть ко
личественной, допускающей сопоставление с заранее выбранны
ми границами допустимости и расходами на реализацию новых регуляторов безопасности.
Так, в целях оценки рисков часто используются табличные методы [24]. В простейшем случае используется субъективная оцен
ка двух факторов: вероятности угрозы и величины ущерба. Двух
факторная оценка моделирует ситуацию отсутствия у предприя
тия какой-либо КСЗИ. В этом случае реализованная угроза ведет к нанесению ущерба объекту ИБ.
При наличии КСЗИ модель риска должна учитывать способ
ность системы противодействовать реализации угрозы. Для этого модель может быть дополнена фактором уязвимости КСЗИ, а риск должен учитывать вероятность преодоления КСЗИ при реализа
ции угрозы. Поэтому вероятность нанесения ущерба уже не равна вероятности реализации угрозы и может быть определена по фор
муле: Рут = Ругр Ру, где Рущ, Лтр, Ру — соответственно вероятности ущерба, угрозы и уязвимости. Тогда риск R определяется по фор
муле: R = Рутр Ру U, где U — величина ущерба.
Рассмотренный ранее экспертно-лингвистический подход к оценке рисков нарушения И Б сопряжен с рядом трудностей прак
тической реализации: малочисленностью экспертов соответствую
щей квалификации, значительной нечеткостью оценок и др. Вслед
ствие этого весьма интересен экспертно-аналитический метод, понижающий требования к квалификации экспертов, а также не
четкость и трудоемкость оценок. В соответствии с этим методом относительным показателем величины ущерба является фактор подверженности воздействию (ФП) — процент потери, который может нанести конкретному активу реализованная угроза.
Наличие значений ценности актива и ФП позволяет опреде
лить величину ущерба, который может быть нанесен объекту при
[41].
6.
Оценка риска. Значение риска от реализации угрозы опре
деляется как функция вероятности возникновения ущерба жизни или здоровью граждан, имуществу физических или юридических лиц, государственному или муниципальному имуществу, который может быть нанесен в результате невыполнения функций, возла
гаемых на ИТ, и нарушения условий ее эксплуатации. Значение риска нарушения безопасности ИТ определяется как максималь
ное значение риска из рисков для всех рассмотренных угроз без
опасности ИТ.
Оценка рисков может быть выполнена различными способами в зависимости от выбранной методологии оценки. Целью оценки является получение ответа на два вопроса: приемлемы ли суще
ствующие риски и, если нет, то какие защитные средства эконо
мически выгодно использовать. Значит, оценка должна быть ко
личественной, допускающей сопоставление с заранее выбранны
ми границами допустимости и расходами на реализацию новых регуляторов безопасности.
Так, в целях оценки рисков часто используются табличные методы [24]. В простейшем случае используется субъективная оцен
ка двух факторов: вероятности угрозы и величины ущерба. Двух
факторная оценка моделирует ситуацию отсутствия у предприя
тия какой-либо КСЗИ. В этом случае реализованная угроза ведет к нанесению ущерба объекту ИБ.
При наличии КСЗИ модель риска должна учитывать способ
ность системы противодействовать реализации угрозы. Для этого модель может быть дополнена фактором уязвимости КСЗИ, а риск должен учитывать вероятность преодоления КСЗИ при реализа
ции угрозы. Поэтому вероятность нанесения ущерба уже не равна вероятности реализации угрозы и может быть определена по фор
муле: Рут = Ругр Ру, где Рущ, Лтр, Ру — соответственно вероятности ущерба, угрозы и уязвимости. Тогда риск R определяется по фор
муле: R = Рутр Ру U, где U — величина ущерба.
Рассмотренный ранее экспертно-лингвистический подход к оценке рисков нарушения И Б сопряжен с рядом трудностей прак
тической реализации: малочисленностью экспертов соответствую
щей квалификации, значительной нечеткостью оценок и др. Вслед
ствие этого весьма интересен экспертно-аналитический метод, понижающий требования к квалификации экспертов, а также не
четкость и трудоемкость оценок. В соответствии с этим методом относительным показателем величины ущерба является фактор подверженности воздействию (ФП) — процент потери, который может нанести конкретному активу реализованная угроза.
Наличие значений ценности актива и ФП позволяет опреде
лить величину ущерба, который может быть нанесен объекту при
реализации конкретной угрозы. В качестве показателя ущерба можно использовать ожидание единичной потери (ОЕП), кото
рое представляется выражением: ОЕП = ЦАФП, где ЦА — цен
ность актива; ФП — фактор подверженности воздействию опре
деленной угрозы.
Ожидаемые за год финансовые потери актива от одной опре
деленной угрозы характеризуются показателем «ожидание еже
годной потери» (ОГП). Для определения ОГП также используется понятие «частота реализации угрозы» (ЧР) — ожидаемое число реализаций у-й угрозы по отношению к /-у объекту ИБ. Тогда
ОГП = ОЕП ЧР. Из этой формулы видно, что понятие «ожида
ние ежегодной потери» близко к понятию «риск».
При проведении оценок необходимо учитывать следующие обстоятельства. Рисковые события имеют разную частоту прояв
ления: некоторые случаи могут происходить раз в несколько лет или десятилетий, а другие — ежедневно или много раз в день.
Естественно, такими временными интервалами трудно опериро
вать. Например, в табл. 6.4 оцениваемый период имеет значения: неделя, месяц и т.д. Удобнее работать с временными интервала
ми, кратными 10. Тогда три года, можно считать, приближенно равны 1 ООО дням. Это позволяет оценивать события как с низ
кой, так и высокой вероятностью возникновения.
Кроме того, при анализе риска точное знание частоты реали
зации угрозы не принципиально (восемь или двенадцать случаев в год). Поэтому для упрощения анализа достаточно иметь оценку с точностью до порядка, т. е. частоту fj представлять численно крат
ной 10. Тогда при оценке частоты возникновения 1 раз в 300 лет, можно считать fj= 1. Иные значения установленной зависимости представлены в табл. 6.5.
Аналогичные рассуждения можно привести в отношении ущер
ба: не существенна разница при оценке ущерба между величина
ми 1 100000 руб. или 1 200000 руб. Поэтому можно полагать, что при величине ущерба 100 руб. Щ - 1. Иные значения этого логи
ческого правила представлены в табл. 6.6.
Таблица 6.5.
Возможная шкала частоты угроз
Частота
1/300
лет
1/30
лет
1/3
года
1/100
дней
1/10
дней i/i день
10/1
день
100/1
день
/
1 2
3 4
5 6
7 8
Таблица 6.6.
Возможная шкала ущерба
Руб.
100 1000 10000 100000 1000000 10000000 100000000 1000000000
и
1 2
3 4
5 6
7 8
рое представляется выражением: ОЕП = ЦАФП, где ЦА — цен
ность актива; ФП — фактор подверженности воздействию опре
деленной угрозы.
Ожидаемые за год финансовые потери актива от одной опре
деленной угрозы характеризуются показателем «ожидание еже
годной потери» (ОГП). Для определения ОГП также используется понятие «частота реализации угрозы» (ЧР) — ожидаемое число реализаций у-й угрозы по отношению к /-у объекту ИБ. Тогда
ОГП = ОЕП ЧР. Из этой формулы видно, что понятие «ожида
ние ежегодной потери» близко к понятию «риск».
При проведении оценок необходимо учитывать следующие обстоятельства. Рисковые события имеют разную частоту прояв
ления: некоторые случаи могут происходить раз в несколько лет или десятилетий, а другие — ежедневно или много раз в день.
Естественно, такими временными интервалами трудно опериро
вать. Например, в табл. 6.4 оцениваемый период имеет значения: неделя, месяц и т.д. Удобнее работать с временными интервала
ми, кратными 10. Тогда три года, можно считать, приближенно равны 1 ООО дням. Это позволяет оценивать события как с низ
кой, так и высокой вероятностью возникновения.
Кроме того, при анализе риска точное знание частоты реали
зации угрозы не принципиально (восемь или двенадцать случаев в год). Поэтому для упрощения анализа достаточно иметь оценку с точностью до порядка, т. е. частоту fj представлять численно крат
ной 10. Тогда при оценке частоты возникновения 1 раз в 300 лет, можно считать fj= 1. Иные значения установленной зависимости представлены в табл. 6.5.
Аналогичные рассуждения можно привести в отношении ущер
ба: не существенна разница при оценке ущерба между величина
ми 1 100000 руб. или 1 200000 руб. Поэтому можно полагать, что при величине ущерба 100 руб. Щ - 1. Иные значения этого логи
ческого правила представлены в табл. 6.6.
Таблица 6.5.
Возможная шкала частоты угроз
Частота
1/300
лет
1/30
лет
1/3
года
1/100
дней
1/10
дней i/i день
10/1
день
100/1
день
/
1 2
3 4
5 6
7 8
Таблица 6.6.
Возможная шкала ущерба
Руб.
100 1000 10000 100000 1000000 10000000 100000000 1000000000
и
1 2
3 4
5 6
7 8
Как было показано, ожидание ежегодной потери (ОГП) — ре
зультат реализации угрозы и частоты ее возникновения. Исходя из значений / и /, значение ОГП можно определить по следующей
10/+/_3 формуле: ОГП = —
Необходимо отметить, что оценку ущерба при реализации уг
розы наиболее квалифицированно может провести руководство предприятия или пользователь информации. Оценку вероятности реализации угрозы целесообразно проводить силами специалис
тов по ИБ или ИТ-персонала.
Ранжирование рисков производится для формирования реше
ний по противодействию угрозам, причем целесообразно оценить степень опасности каждой угрозы. Эту задачу удобно решать на основе таблицы рисков, которая представляет собой матрицу уг
роз и поставленных им в соответствие рисков.
Множество количественно оцененных рисков позволяет по
строить стек (последовательность убывающих значений) рисков.
Таблица и стек рисков могут быть использованы для анализа с целью выявления угроз (уязвимостей), которые обеспечивают наи
больший вклад в значение интегрального риска. Именно на эти угрозы направляется в первую очередь риск-менеджмент.
Выбор допустимого уровня риска связан с затратами на реа
лизацию КСЗИ. Вследствие этого кроме метода уменьшения мак
симального риска на 25 — 30 % могут быть использованы иные под
ходы, в частности обеспечение так называемого базового и повы
шенного уровней ИБ.
При идентификации активов, т.е. тех ценностей, которые орга
низация пытается защитить, следует, конечно, учитывать не толь
ко компоненты информационной системы, но и поддерживаю
щую инфраструктуру, персонал, а также нематериальные ценно
сти, такие как репутация компании. Тем не менее одним из глав
ных результатов процесса идентификации активов является полу
чение детальной информационной структуры организации и спо
собов ее (структуры) использования.
Этапы, предшествующие анализу угроз, можно считать подго
товительными, поскольку, строго говоря, они впрямую не связа
ны с рисками. Риск появляется там, где есть угрозы [5]. Краткий перечень наиболее распространенных угроз был приведен выше.
Как правило, наличие той или иной угрозы является следствием слабостей в защите информационной системы, которые в свою очередь объясняются отсутствием некоторых сервисов безопасно
сти или недостатками в реализующих их защитных механизмах.
Первый шаг в анализе угроз — их идентификация. Анализи
руемые виды угроз следует выбрать из соображений здравого смыс
ла (оставив вне поля зрения, например, землетрясения или захват
организации террористами), но в пределах выбранных видов про
вести максимально полное рассмотрение.
Целесообразно выявлять не только сами угрозы, но и источни
ки их возникновения, что поможет в выборе дополнительных средств защиты. Например, нелегальный вход в систему может стать следствием воспроизведения начального диалога, подбора пароля или подключения к сети неавторизованного оборудования.
Очевидно, для противодействия каждому из перечисленных спо
собов нелегального входа нужны свои механизмы безопасности.
После идентификации угрозы необходимо оценить вероят
ность ее осуществления. Допустимо использовать при этом трех
балльную шкалу: 1 — низкая, 2 — средняя, 3 — высокая вероят
ность. Кроме вероятности осуществления важен размер потен
циального ущерба. Например, пожары бывают нечасто, но ущерб от каждого из них, как правило, велик. Тяжесть ущерба также можно оценить по трехбалльной шкале.
Если какие-либо риски оказались недопустимо высокими, не
обходимо реализовать дополнительные защитные меры. Оцени
вая стоимость защитных мер, следует учитывать не только пря
мые расходы на закупку оборудования и/или программ, но и рас
ходы на внедрение новинки, в частности, на обучение и перепод
готовку персонала.
Когда намеченные меры приняты, надо проверить их действен
ность, т.е. убедиться, что остаточные риски стали приемлемыми.
Если это на самом деле так, значит, все в порядке и можно спо
койно намечать дату ближайшей переоценки. В противном слу
чае придется проанализировать допущенные ошибки и немедлен
но провести повторный сеанс управления рисками [5].
6 .5 . Обеспечение безопасности информации
в непредвиденных ситуациях
Согласно [41], к обеспечению защиты информации в непред
виденных ситуациях предъявляются следующие требования:
• наличие плана действий в непредвиденных ситуациях, пери
одически проверяемого и обновляемого;
• проведение обучения действиям в непредвиденных ситуаци
ях;
• выделение мест резервного хранения информации;
• предусмотреть резервирование телекоммуникационных сер
висов (услуг);
• разработать требования к резервному копированию инфор
мации;
• разработать требования по восстановлению ИТ.
вести максимально полное рассмотрение.
Целесообразно выявлять не только сами угрозы, но и источни
ки их возникновения, что поможет в выборе дополнительных средств защиты. Например, нелегальный вход в систему может стать следствием воспроизведения начального диалога, подбора пароля или подключения к сети неавторизованного оборудования.
Очевидно, для противодействия каждому из перечисленных спо
собов нелегального входа нужны свои механизмы безопасности.
После идентификации угрозы необходимо оценить вероят
ность ее осуществления. Допустимо использовать при этом трех
балльную шкалу: 1 — низкая, 2 — средняя, 3 — высокая вероят
ность. Кроме вероятности осуществления важен размер потен
циального ущерба. Например, пожары бывают нечасто, но ущерб от каждого из них, как правило, велик. Тяжесть ущерба также можно оценить по трехбалльной шкале.
Если какие-либо риски оказались недопустимо высокими, не
обходимо реализовать дополнительные защитные меры. Оцени
вая стоимость защитных мер, следует учитывать не только пря
мые расходы на закупку оборудования и/или программ, но и рас
ходы на внедрение новинки, в частности, на обучение и перепод
готовку персонала.
Когда намеченные меры приняты, надо проверить их действен
ность, т.е. убедиться, что остаточные риски стали приемлемыми.
Если это на самом деле так, значит, все в порядке и можно спо
койно намечать дату ближайшей переоценки. В противном слу
чае придется проанализировать допущенные ошибки и немедлен
но провести повторный сеанс управления рисками [5].
6 .5 . Обеспечение безопасности информации
в непредвиденных ситуациях
Согласно [41], к обеспечению защиты информации в непред
виденных ситуациях предъявляются следующие требования:
• наличие плана действий в непредвиденных ситуациях, пери
одически проверяемого и обновляемого;
• проведение обучения действиям в непредвиденных ситуаци
ях;
• выделение мест резервного хранения информации;
• предусмотреть резервирование телекоммуникационных сер
висов (услуг);
• разработать требования к резервному копированию инфор
мации;
• разработать требования по восстановлению ИТ.
В плане действий в непредвиденных ситуациях должны быть определены ответственные лица и выполняемые ими действия при восстановлении ИТ после сбоя или отказа. Он должен быть рас
смотрен соответствующими должностными лицами, утвержден, размножен в необходимом количестве и направлен лицам, ответ
ственным за действия в непредвиденных ситуациях. План необ
ходимо периодически пересматривать и обновлять с учетом изме
нений в ИТ или проблем, возникших в результате проверки или реализации плана.
Периодическая проверка плана действий в непредвиденных ситуациях проводится с использованием соответствующих тестов
(проверочных последовательностей действий) с целью оценки эффективности плана и готовности персонала к выполнению дей
ствий, предписанных планом. Соответствующие должностные лица изучают результаты проверки плана действий в непредвиденных ситуациях и (при необходимости) инициируют корректировку плана. В наиболее критичных АС проверка плана действий в не
предвиденных ситуациях проводится на дублирующем объекте и с использованием автоматизированных средств.
Обучение персонала действиям в непредвиденных ситуациях заключается в подготовке (с установленной периодичностью — переподготовке) персонала по вопросам его роли, ответственно
сти и обязанностей при осуществлении действий в непредвиден
ных ситуациях. В процессе подготовки должны моделироваться соответствующие события, что поможет в будущем персоналу эффективно выполнить требуемые от него действия при возник
новении кризисных ситуаций. При этом желательно использо
вать автоматизированные средства для обеспечения более полной и реалистичной среды обучения.
На предприятии должны быть идентифицированы места ре
зервного хранения информации и решены административные воп
росы хранения резервных копий информации. Места резервного хранения информации пространственно (географически) отделяют
ся от основных мест хранения информации, чтобы не подвергать ее тем же самым опасностям. Место резервного хранения информа
ции должно быть сформировано таким образом, чтобы обеспе
чить своевременное и эффективное выполнение операций восста
новления. В случае сбоя или аварии определяются потенциаль
ные проблемы доступности мест резервного хранения информа
ции и конкретные действия по восстановлению доступности.
В организации должны быть определены резервные места об
работки информации и решены соответствующие административ
ные вопросы для выполнения критически важных задач вплоть до восстановления возможностей ИТ по обработке информации. Ре
зервные места для обработки информации пространственно (гео
графически) отделяются от основных мест обработки, чтобы не
подвергать их тем же самым опасностям. Устанавливаются потен
циальные проблемы доступности резервных мест обработки ин
формации в случае сбоя или аварии и обеспечиваются конкрет
ные действия по восстановлению доступности. При использова
нии резервных мест обработки информации учитываются уста
новленные приоритеты обслуживания. Организация резервного места обработки информации должна обеспечить минимально требуемые эксплуатационные возможности.
На предприятии должны быть идентифицированы основные и резервные телекоммуникационные сервисы и решены админист
ративные вопросы использования последних для осуществления критически важных задач на период восстановления доступности основных телекоммуникационных сервисов ИТ. При использова
нии основных и резервных телекоммуникационных сервисов учи
тываются установленные приоритеты обслуживания. Для крити
чески важных систем поставщики основных и резервных теле
коммуникационных сервисов соответствующим образом отделя
ются друг от друга, чтобы не подвергаться одним и тем же самым опасностям, а также они должны иметь соответствующие планы действий в непредвиденных ситуациях.
В организации должны создаваться (с установленной перио
дичностью) резервные копии информации пользовательского и системного уровня (включая системную информацию о состоя
нии) и храниться резервные копии информации в защищенном месте. Необходимо тестирование резервных копий информации для того, чтобы удостовериться в надежности используемых но
сителей и целостности информации. Резервированную информа
цию следует выборочно использовать для восстановления функ
ций ИТ как часть проверки плана действий в непредвиденных ситуациях. В наиболее важных системах резервные копии кри
тичной информации и программного обеспечения хранятся в не
сгораемом контейнере, который располагают вне зоны размеще
ния остальной информации и программного обеспечения ИТ.
В организации должны быть разработаны механизмы и под
держивающие их процедуры, необходимые для восстановления ИТ после сбоя или отказа. Восстановление ИТ после сбоя или отказа следует использовать как часть проверки плана действий в не
предвиденных ситуациях.
циальные проблемы доступности резервных мест обработки ин
формации в случае сбоя или аварии и обеспечиваются конкрет
ные действия по восстановлению доступности. При использова
нии резервных мест обработки информации учитываются уста
новленные приоритеты обслуживания. Организация резервного места обработки информации должна обеспечить минимально требуемые эксплуатационные возможности.
На предприятии должны быть идентифицированы основные и резервные телекоммуникационные сервисы и решены админист
ративные вопросы использования последних для осуществления критически важных задач на период восстановления доступности основных телекоммуникационных сервисов ИТ. При использова
нии основных и резервных телекоммуникационных сервисов учи
тываются установленные приоритеты обслуживания. Для крити
чески важных систем поставщики основных и резервных теле
коммуникационных сервисов соответствующим образом отделя
ются друг от друга, чтобы не подвергаться одним и тем же самым опасностям, а также они должны иметь соответствующие планы действий в непредвиденных ситуациях.
В организации должны создаваться (с установленной перио
дичностью) резервные копии информации пользовательского и системного уровня (включая системную информацию о состоя
нии) и храниться резервные копии информации в защищенном месте. Необходимо тестирование резервных копий информации для того, чтобы удостовериться в надежности используемых но
сителей и целостности информации. Резервированную информа
цию следует выборочно использовать для восстановления функ
ций ИТ как часть проверки плана действий в непредвиденных ситуациях. В наиболее важных системах резервные копии кри
тичной информации и программного обеспечения хранятся в не
сгораемом контейнере, который располагают вне зоны размеще
ния остальной информации и программного обеспечения ИТ.
В организации должны быть разработаны механизмы и под
держивающие их процедуры, необходимые для восстановления ИТ после сбоя или отказа. Восстановление ИТ после сбоя или отказа следует использовать как часть проверки плана действий в не
предвиденных ситуациях.
1 ... 10 11 12 13 14 15 16 17 ... 41