- •Введение
- •1. Методы управления рисками
- •1.1. Общая характеристика процесса управления рисками
- •1.2. Качественные методики управления рисками
- •1.2.1. Методика cobra
- •1.2.2. Методика ra Software Tool
- •1.3. Количественные методики управления рисками
- •1.3.1. Метод cramm
- •1.3.2. Метод RiskWatch
- •1.3.3. Метод гриф
- •1.3.4. Метод octave
- •1.3.5. Метод mitre
- •2. Стандарты в области оценки и управления рисками
- •2.1. Гост р исо/мэк 17799-2005
- •2.2. Стандарт СоbiТ
- •2.3. Стандарт score
- •2.4. Стандарт SysTrust
- •2.5. Анализ руководства по анализу и управлению рисками nist 800-30 (сша)
- •3. Методы анализа рисков на основе экспертных оценок и аппарата теории нечетких множеств
- •3.1. Классификация методов получения субъективной вероятности
- •3.2. Методы получения субъективной вероятности
- •3.3. Методы оценок непрерывных распределений
- •3.4. Некоторые рекомендации
- •4. Меры риска систем на основе вероятностных параметров и характеристик ущерба
- •4.1. Аналитический подход к расчету параметров рисков для компонентов систем
- •4.2. Расчет параметров риска для компонент систем
- •4.3. Алгоритмическое обеспечение риск-анализа систем в диапазоне ущербов
- •4.4. Оценка рисков сложных систем на основе параметров рисков их компонентов
- •4.4. Интегральная оценка риска системы, ущерб которых имеет гамма-распределение
- •5. Исследование движения параметров риска при изменении параметров атаки
- •5.1. Построение матрицы чувствительности рисков системы
- •5.1.1. Анализ чувствительности модели информационного риска системы к изменению параметров риска
- •5.2. Разработка динамических моделей рисков систем при изменении параметров атак
- •5.2.1. Уравнение движения вероятностной модели информационного риска системы относительно параметров риска
- •5.2.2. Исследование влияния функций чувствительности информационного риска на его движение
- •Заключение
- •Библиографический список
- •394026 Воронеж, Московский просп., 14
2.4. Стандарт SysTrust
Стандарт SysTrust был разработан Американским институтом сертифицированных публичных бухгалтеров (AICPA) и Канадским институт общественных бухгалтеров (CICA), для проведения ИТ-аудита, который является дополнением к финансовому аудиту.
Спецификация SysTrust [92] в настоящее время достаточно широко используется аудиторскими компаниями, традиционно выполняющими финансовый аудит для своих клиентов и предлагающих услугу аудита информационных технологий в качестве дополнения к финансовому аудиту.
Основная идея состоит в том, что использование надежных и безопасных информационных технологий до определенной степени гарантирует надежность финансовой отчетности организации. Результаты информационного аудита в некоторых случаях позволяют проводить финансовый аудит в сокращенном варианте. В стандарте SysTrust ИТКС оценивается в терминах ее доступности, безопасности, целостности и эксплуатационной надежности. Под доступностью традиционно понимается возможность системы обработки информации предоставлять информационные сервисы в любых режимах функционирования и при любых нагрузках, предусмотренных условиями ее эксплуатация, с задержками, не превышающими установленные требования. Под безопасностью понимается защищенность системы обработки информации от физического и логического несанкционированного доступа. Под целостностью понимается возможность системы обработки информации обеспечить сохранение таких свойств обрабатываемой в системе информации как полнота, точность, актуальность, своевременность и аутентичность. Эксплуатационная надежность системы обработки информации определяется возможностью изменения конфигурации и обновления системы для обеспечения таких ее свойств как доступность, безопасность и целостность.
2.5. Анализ руководства по анализу и управлению рисками nist 800-30 (сша)
Лабораторией информационной технологии (ITL) Национального института стандартов и технологии (NIST) США были разработаны и представлены рекомендации в руководстве по анализу и управлению рисками NIST 800-30. Предлагаемая методология оценки рисков разбивается на 9 этапов (табл. 2.1). В каждом этапе на основе логики связей из определенной входной информации получается выходная [70].
Вероятность реализации угрозы и уровень воздействия оцениваются по шкале: «высокая», «средняя», «низкая». Оценка рисков осуществляется на основе компиляции полученных оценок: вероятности реализации угрозы и уровня воздействия. Каждому уровню по шкале ставиться в соответствие некое число. Также оговариваются значения уровней рисков. Этот процесс предлагается осуществлять с помощью матрицы рисков (табл. 2.2).
После построения матрицы рисков осуществляется описание уровней риска. Причем, согласно руководству, значения уровней риска должны выражать величину ущерба ИС от воздействия, если данная уязвимость была бы использована источником угрозы, и направления деятельности должностных лиц ИС для каждого уровня риска.
Таблица 2.1
Методология оценки рисков стандарта NIST 800-30
Этапы |
Входная информация |
Выходная информация |
1. Характеристика системы |
Аппаратные средства, программное обеспечение, системные интерфейсы, данные и информация, персонал, назначение системы
|
Границы системы, Функции системы, Важность системы и данных |
2. Идентификация угрозы |
Известные системные нападения, данные спецслужб, средств массовой информации |
Перечень угроз |
3. Идентификация уязвимости |
Отчеты предыдущей оценки рисков, все результаты аудита, требования по защите, результаты испытаний |
Перечень уязвимостей |
4. Анализ мероприятий защиты |
Текущие мероприятия защиты, планируемые мероприятия защиты |
Перечень мероприятий защиты |
5. Определение вероятности использования уязвимости |
Мотивация источника угрозы, возможности угрозы, характер уязвимости, мероприятия защиты |
Оценка вероятности реализации угрозы |
Продолжение табл. 2.1 |
||
Этапы |
Входная информация |
Выходная информация |
6. Анализ воздейст-вия (потеря целост-ности, доступности, конфиденциальности) |
Оценка критичных ресурсов, критичных данных, важности информации |
Оценка воздействия |
7. Определение рисков |
Вероятность реализации угрозы, величина воздействия, адекватность запланированных или текущих мероприятий защиты |
Риски и связанные с ним уровни рисков |
8. Рекомендации по мероприятиям защиты |
|
Рекомендованные мероприятия защиты |
9. Итоговые документы |
|
Отчет по оценки рисков |
Таблица 2.2
Пример матрицы уровней рисков
Вероятность реализации угрозы |
Уровень воздействия |
||
|
Высокий (100) |
Средний (50) |
Низкий (10) |
Высокая (1.0) |
Высокий 100 х 1.0 = 100 |
Средний 50 х 1.0 = 50 |
Низкий 10 х 1.0 = 10 |
Средняя (0.5) |
Средний 100 х 0.5 = 50 |
Средний 50 х 0.5 = 25 |
Низкий 10 х 0.5 = 5 |
Низкая (0.1) |
Низкий 100 х 0.1 = 10 |
Низкий 50 х 0.1 = 5 |
Низкий 10 х 0.1 = 1 |
Далее предлагается подход снижения риска, который включает: расположение по приоритетам, оценку и осуществление рекомендованных в процессе оценки рисков мероприятий защиты. Должностным лицам ИС, участвующим в процессе оценки и нейтрализации рисков, на основе подхода «наибольшая эффективность - наименьшая стоимость», необходимо определить мероприятия защиты для снижения риска до приемлемого уровня. В руководстве также предлагаются некоторые стратегии и методы снижения рисков [70].