- •Введение
- •1. Методы управления рисками
- •1.1. Общая характеристика процесса управления рисками
- •1.2. Качественные методики управления рисками
- •1.2.1. Методика cobra
- •1.2.2. Методика ra Software Tool
- •1.3. Количественные методики управления рисками
- •1.3.1. Метод cramm
- •1.3.2. Метод RiskWatch
- •1.3.3. Метод гриф
- •1.3.4. Метод octave
- •1.3.5. Метод mitre
- •2. Стандарты в области оценки и управления рисками
- •2.1. Гост р исо/мэк 17799-2005
- •2.2. Стандарт СоbiТ
- •2.3. Стандарт score
- •2.4. Стандарт SysTrust
- •2.5. Анализ руководства по анализу и управлению рисками nist 800-30 (сша)
- •3. Методы анализа рисков на основе экспертных оценок и аппарата теории нечетких множеств
- •3.1. Классификация методов получения субъективной вероятности
- •3.2. Методы получения субъективной вероятности
- •3.3. Методы оценок непрерывных распределений
- •3.4. Некоторые рекомендации
- •4. Меры риска систем на основе вероятностных параметров и характеристик ущерба
- •4.1. Аналитический подход к расчету параметров рисков для компонентов систем
- •4.2. Расчет параметров риска для компонент систем
- •4.3. Алгоритмическое обеспечение риск-анализа систем в диапазоне ущербов
- •4.4. Оценка рисков сложных систем на основе параметров рисков их компонентов
- •4.4. Интегральная оценка риска системы, ущерб которых имеет гамма-распределение
- •5. Исследование движения параметров риска при изменении параметров атаки
- •5.1. Построение матрицы чувствительности рисков системы
- •5.1.1. Анализ чувствительности модели информационного риска системы к изменению параметров риска
- •5.2. Разработка динамических моделей рисков систем при изменении параметров атак
- •5.2.1. Уравнение движения вероятностной модели информационного риска системы относительно параметров риска
- •5.2.2. Исследование влияния функций чувствительности информационного риска на его движение
- •Заключение
- •Библиографический список
- •394026 Воронеж, Московский просп., 14
1.2. Качественные методики управления рисками
Качественные методики управления рисками приняты на вооружение в технологически развитых странах. Эти методики достаточно популярны, относительно просты, и разработаны, как правило, на основе требований международного стандарта ISO 17799-2002. История развития данного стандарта началась в 1993 году, когда Министерство торговли Великобритании опубликовало пособие, посвященное практическим аспектам обеспечения информационной безопасности (ИБ). Пособие оказалось настолько удачным, что его стали использовать администраторы безопасности многих организаций. Позже доработанная версия этого пособия была принята в качестве британского стандарта BS 7799 "Практические правила управления информационной безопасностью" (1995). Стандарт стали применять на добровольной основе не только в Великобритании, но и в других странах. В 1998 году вышла вторая часть стандарта, посвященная вопросам аудита информационной безопасности. В 2000 году был принят международный стандарт ISO 17799, в основу которого был положен BS 7799. В сентябре 2002 года основные положения ISO 17799 были пересмотрены и дополнены с учетом развития современных информационных технологий и требований к организации режима ИБ. Сегодня это наиболее распространенный стандарт во всем мире среди организаций и предприятий, которые используют подобные стандарты на добровольной основе.
Стандарт ISO 17799 содержит две части.
В Части 1: Практические рекомендации по управлению информационной безопасностью, 2002 г., определены основные аспекты организации режима информационной безопасности в компании:
Политика безопасности.
Организация защиты.
Классификация и управление информационными ресурсами.
Управление персоналом.
Физическая безопасность.
Администрирование компьютерных систем и сетей.
Управление доступом к системам.
Разработка и сопровождение систем.
Планирование бесперебойной работы организации.
Проверка системы на соответствие требованиям ИБ.
Часть 2: Спецификации, 2002 г., рассматривает эти же аспекты с точки зрения сертификации режима информационной безопасности компании на соответствие требованиям стандарта. С практической точки зрения эта часть является инструментом для аудитора и позволяет оперативно проводить внутренний или внешний аудит информационной безопасности любой компании.
К качественным методикам управления рисками на основе требований ISO 17999 относятся методики COBRA и RA Software Tool. Данные методики рассмотрены в 3.2.1 и 3.2.2.
1.2.1. Методика cobra
Во второй половине 90-х годов компания C & A Systems Security Ltd. разработала методику и соответствующий инструментарий для анализа и управления информационными рисками под названием COBRA. Эта методика позволяет выполнить в автоматизированном режиме простейший вариант оценивания информационных рисков любой компании. Для этого предлагается использовать специальные электронные базы знаний и процедуры логического вывода, ориентированные на требования ISO 17799. Существенно, что при желании перечень учитываемых требований можно дополнить различными требованиями, например, требованиями руководящих документов (РД) Гостехкомиссии при Президенте РФ.
Методика COBRA представляет требования стандарта ISO 17799 в виде тематических вопросников (check list’s), на которые следует ответить в ходе оценки рисков информационных активов и электронных бизнес-транзакций компании. Пример тематического сборника вопросов COBRA представлен в Приложении 7.
Далее введенные ответы автоматически обрабатываются, и с помощью соответствующих правил логического вывода формируется итоговый отчет c текущими оценками информационных рисков компании, а также рекомендациями по их управлению.