- •Глава 1. Общие положения
- •1.1. Основные понятия
- •1.1.1. Терминология и определения в публикациях на русском языке
- •1.1.2. Терминология и определения на английском языке
- •1.2. Обзор процесса управления рисками информационной безопасности
- •Конец первой или последующих итераций
- •1.3. Основные критерии в управлении рисками
- •Глава 2. Оценка риска информационной безопасности
- •2.1. Общее описание оценки риска информационной безопасности
- •2.2. Анализ риска
- •2.3. Оценивание рисков
- •2.3.1. Шкалы и критерии, по которым измеряются риски
- •2.3.2. Объективные и субъективные вероятности
- •2.3.3. Получение оценок субъективной вероятности
- •2.4. Измерение рисков
- •2.4.1. Оценка рисков по двум факторам
- •2.4.2. Разделение рисков на приемлемые и неприемлемые
- •2.4.3 Оценка рисков по трем факторам
- •2.5. Оценка последствий
- •2.6. Установление значений уровня рисков
- •Глава 3. Методы оценки информационных рисков
- •3.1. Высокоуровневая оценка риска информационной безопасности
- •3.2. Детальная оценка риска информационной безопасности
- •3.3.1. Оценка субъективной вероятности
- •3.3.2. Классификация методов получения субъективной вероятности
- •3.3.3. Методы получения субъективной вероятности
- •3.3.4. Методы оценок непрерывных распределений
- •3.3.5. Агрегирование субъективных вероятностей
- •3.3.6. Методы теории полезности
- •3.3.6.1. Постановка задачи выбора в условиях риска
- •3.3.6.2. Необходимые сведения из теории полезности
- •3.3.6.3. Применение методов теории полезности
- •3.3.6.4. Классификация функций полезности по склонности к риску
- •3.3.6.5. Многомерные функции полезности
- •3.3.6.6. Порядок построения многомерной функции полезности
- •3.3.6.7. Проверка допущений о независимости
- •Глава 4. Обработка риска информационной безопасности
- •4.1. Общее описание обработки риска
- •4.2. Снижение риска
- •4.3. Сохранение риска
- •4.4. Предотвращение риска
- •4.5. Перенос риска
- •4.6. Принятие риска информационной безопасности
- •Глава 5. Коммуникация риска информационной безопасности
- •Глава 6. Мониторинг и переоценка риска информационной безопасности
- •6.1. Мониторинг и переоценка факторов риска
- •6.2. Мониторинг, анализ и улучшение менеджмента риска
- •Заключение
- •Библиографический список
- •Оглавление
- •Глава 1. Общие положения 6
- •Глава 2. Оценка риска информационной безопасности 23
- •Глава 3. Методы оценки информационных рисков 55
- •Глава 4. Обработка риска информационной безопасности 88
- •Глава 5. Коммуникация риска информационной безопасности 97
- •Глава 6. Мониторинг и переоценка риска информационной безопасности 99
- •394026 Воронеж, Московский просп., 14
1.1.2. Терминология и определения на английском языке
Определения взяты из глоссария [334] и даются в переводе.
Риск (risk):
ожидаемые потери или возможный результат реализации угрозы при существовании уязвимости и определенных обстоятельств или событий, приводящих к реализации угрозы;
возможность того, что определенная угроза реализуется из-за наличия определенной уязвимости системы;
вероятность потерь в результате того, что определенная угроза при наличии уязвимости реализуется и приведет к негативным последствиям;
возможность потери из-за одной или более угроз для информационных ресурсов (не путать с финансовым или деловым риском);
ситуация, в которой существует уязвимость и потенциальный нарушитель имеет возможность и желание воспользоваться ею;
возможность того, что специфическая уязвимость будет использована;
потенциал, присущий данной угрозе из-за наличия уязвимости информационных ресурсов. При реализации этого потенциала организации может быть причинен вред;
вероятность того, что специфическая угроза будет выполнена из-за наличия специфической уязвимости системы.
Анализ риска (risk analysis):
процесс идентификации рисков, определения их величины и выделения областей, требующих защиты. Анализ риска - часть управления рисками;
систематический процесс оценки величины рисков.
Оценка риска (risk assessment):
процесс идентификации информационных ресурсов системы и угроз этим ресурсам, а также возможных потерь (то есть потенциал потери), основанный на оценке частоты возникновения событий и размере ущерба. Рекомендуется перед введением новых информационных ресурсов выбрать контрмеры, позволяющие минимизировать возможные потери;
составление списка рисков, ранжированных по цене и критичности. Список позволяет определить, где контрмеры должны примениться в первую очередь. Обычно невозможно предложить контрмеры, снижающие все аспекты рисков до нуля, так что некоторые остаточные риски сохраняются даже после того, как все доступные (по цене) контрмеры были приняты;
изучение уязвимостей, угроз, вероятности, возможных потерь и теоретической эффективности контрмер. Определить ожидаемые потери и установить степень их приемлемости позволяет процесс оценки угроз и уязвимости, описываемый в общедоступной методике, ставшей стандартом де-факто;
процесс, который включает идентификацию риска, анализ риска, оценку риска; оценка угроз, воздействия на уязвимости информационных ресурсов и информационных процессов, а также вероятности их возникновения.
Идентификация риска - процесс идентификации рисков, при котором рассматриваются цели, угрозы и уязвимость как основа для дальнейшего анализа.
Управление рисками (risk management):
процесс идентификации, управления, устранения или уменьшения вероятности событий, способных негативно воздействовать на ресурсы системы;
процесс, включающий идентификацию, управление и устранение или уменьшение вероятности событий, которые могут затрагивать информационные ресурсы системы;
процесс идентификации, управления и уменьшения рисков безопасности, потенциально имеющих возможность воздействовать на информационную систему, при условии приемлемой стоимости средств защиты;
процесс идентификации, управления, устранения или уменьшения вероятности событий, которые в состоянии негативно воздействовать на системные ресурсы системы. Этот процесс содержит анализ риска, анализ параметра «стоимость-эффективность», выбор, построение и испытание подсистемы безопасности и исследование всех аспектов безопасности;
процесс идентификации, управления, устранения или уменьшении потенциального воздействия возможных происшествий. Цель процедуры управлении риском состоит в том, чтобы уменьшить риски до уровней, одобренных ЬЛЛ (Designated Approving Authority - лицо, уполномоченное выбрать уровни рисков).
Учет рисков (risk treatment) - процесс планирования системы управления рисками, основанный на оценке рисков.
Уязвимость (vulnerability):
слабость в защите, которая может стать объектом воздействия (например, из-за неверно проведенного анализа, планирования или реализации системы защиты);
слабость в информационной системе или составляющая (например, системные процедуры защиты, аппаратная реализация или внутренние средства управления), способная привести к реализации негативных событий, связанных с информацией;
слабость в процедурах защиты, проектировании информационной системы, реализации системы, внутренней системе управления и т.д., которая в состоянии способствовать нарушению политики информационной безопасности;
недостатки или бреши на этапе проектирования информационной системы, ее реализации или управления ею, которые могут стать причиной нарушении политики информационной безопасности;
слабость защиты в объекте потенциальной атаки (например, из-за недоработок на стадиях анализа, проектирования, построении системы или эксплуатации);
существование слабости, ошибок проектирования или построения системы, из-за которых возможно наступление неожиданного, нежелательного события, компрометирующего систему ИБ, сеть, приложения или протоколы;
слабость в информационной системе или компонентах (например, в процедурах обеспечения безопасности на системном уровне, проектных решениях на аппаратном уровне, системах управления), с помощью которых можно реализовать угрозу, связанную с информационными ресурсами;
слабость в процедурах обеспечении безопасности, системном проекте, системе управления и т.д., способная случайно или преднамеренно вызвать нарушение политики ИБ. Свойство или слабость в процедурах обеспечении информационной безопасности, системе управления техническими средствами или физической защите, способствующие реализации угрозы [57];
слабость ресурса или группы ресурсов информационной системы, помогающая реализовать угрозу;
слабость в аппаратных средствах, программном обеспечении и потоках данных, которые составляют систему обработки информации. Слабости в автоматизированных системах обеспечения ИБ на программно-техническом уровне, системе административного управления, размещении оборудования и т.д., которые могут способствовать реализации угроз несанкционированного доступа к информации или привести к нарушениям в критически важном процессе обработки информации [70].
Анализ уязвимости (vulnerability analysis):
систематически проводимая экспертиза информационной системы, позволяющая определять адекватность мер защиты целям и задачам организации, идентифицировать погрешности в построении защиты, собрать исходные данные, чтобы оценить эффективность предложенных мер защиты и подтвердить действенность таких мер после их реализации;
систематически проводимая экспертиза информационной системы, предоставляющая возможность определить адекватность мер защиты целям и задачам организации, идентифицировать погрешности в построении защиты, собрать исходные данные для оценки эффективности предложенных мер защиты.
Объект оценки (Target of Evaluation (TOE)):
отдельные элементы и результаты работы информационной системы или вся система в целом, включая администратора, пользовательскую документацию и руководства, которая является объектом оценки;
отдельные элементы и результаты работы информационной системы или вся система, рассматриваемая на предмет оценки защищенности.
Оценка уязвимости (vulnerability assessment):
аспект оценки эффективности защиты объекта оценки (TOE), а именно: определение, могла ли уязвимость в объекте оценки на практике компрометировать (поставить под угрозу) его защиту;
оценка уязвимости, которая заключается в восприимчивости исследуемой системы к определенному виду атаки и возможности агента осуществить нападение.
Угроза (threat):
действие или событие, способное нанести ущерб безопасности;
последовательность обстоятельств и событий, позволяющих человеку или другому агенту воспользоваться уязвимостью информационной системы и причинить ущерб информационным ресурсам;
любое обстоятельство или события, которые в состоянии причинить вред информационной системе в виде разрушения, раскрытия, модификации данных или отказа в обслуживании;
потенциал нарушения режима безопасности, существующий, если складываются обстоятельства, производятся определенные действия или происходят события, способные нарушить режим безопасности и причинить вред;
опасность, которая может иметь место в случае использования уязвимости.