- •Введение
- •1. Методы управления рисками
- •1.1. Общая характеристика процесса управления рисками
- •1.2. Качественные методики управления рисками
- •1.2.1. Методика cobra
- •1.2.2. Методика ra Software Tool
- •1.3. Количественные методики управления рисками
- •1.3.1. Метод cramm
- •1.3.2. Метод RiskWatch
- •1.3.3. Метод гриф
- •1.3.4. Метод octave
- •1.3.5. Метод mitre
- •2. Стандарты в области оценки и управления рисками
- •2.1. Гост р исо/мэк 17799-2005
- •2.2. Стандарт СоbiТ
- •2.3. Стандарт score
- •2.4. Стандарт SysTrust
- •2.5. Анализ руководства по анализу и управлению рисками nist 800-30 (сша)
- •3. Методы анализа рисков на основе экспертных оценок и аппарата теории нечетких множеств
- •3.1. Классификация методов получения субъективной вероятности
- •3.2. Методы получения субъективной вероятности
- •3.3. Методы оценок непрерывных распределений
- •3.4. Некоторые рекомендации
- •4. Меры риска систем на основе вероятностных параметров и характеристик ущерба
- •4.1. Аналитический подход к расчету параметров рисков для компонентов систем
- •4.2. Расчет параметров риска для компонент систем
- •4.3. Алгоритмическое обеспечение риск-анализа систем в диапазоне ущербов
- •4.4. Оценка рисков сложных систем на основе параметров рисков их компонентов
- •4.4. Интегральная оценка риска системы, ущерб которых имеет гамма-распределение
- •5. Исследование движения параметров риска при изменении параметров атаки
- •5.1. Построение матрицы чувствительности рисков системы
- •5.1.1. Анализ чувствительности модели информационного риска системы к изменению параметров риска
- •5.2. Разработка динамических моделей рисков систем при изменении параметров атак
- •5.2.1. Уравнение движения вероятностной модели информационного риска системы относительно параметров риска
- •5.2.2. Исследование влияния функций чувствительности информационного риска на его движение
- •Заключение
- •Библиографический список
- •394026 Воронеж, Московский просп., 14
2. Стандарты в области оценки и управления рисками
2.1. Гост р исо/мэк 17799-2005
До недавнего времени в РФ в области стандартизации организационных основ информационной безопасности (ИБ) существовал определенный пробел, так как затрагивались в основном отдельные аспекты рисков бизнес-процессов [10,11]. Среди международных организационных стандартов общепризнанными в области информационной безопасности являются [7]:
ИСО/МЭК 17799:2005 Информационная технология. Практические правила управления информационной безопасностью;
ИСО/МЭК 27001:2005 Информационные технологии. Методы защиты. Системы менеджмента защиты информации. Требования.
В основе указанных стандартов лежит британский стандарт BS 7799-95, принятый Объединенным Техническим Комитетом ISO/IEC JTC 1, учрежденным Международной организацией стандартизации и Международной электротехнической комиссией.
В декабре 2005 г. появился британский стандарт BS 7799-3:2005 Системы управления ИБ. Руководство по управлению рисками ИБ. По своей сути стандарт ISO/IEC 17799:2005 является практическим руководством по созданию системы обеспечения ИБ организации и определяет 133 регулятора ИБ (меры, средства, механизмы, контрмеры), сгруппированные по 11 разделам. Стандарт может стать основой для разработки, например, корпоративной политики безопасности или торгового соглашения между компаниями. Поскольку он носит сугубо рекомендательный характер, экспертиза организаций по нему не предусматривается.
Стандарт ISO 17799 является основой для проведения любых работ в области информационной безопасности, в том числе и анализа рисков ИБ [7,17].
Согласно этому стандарту оценка риска это систематическое рассмотрение:
0 ущерба, который, предположительно, может явиться результатом нарушения безопасности, принимая во внимание возможные последствия потери конфиденциальности, целостности или доступности информации и других активов;
реальной вероятности такого нарушения, проявляющегося в свете превалирующих угроз, уязвимостей и средств управления, применяемых в настоящее время.
Результаты оценки рисков помогут направить и определить соответствующее действие по управлению и приоритеты по управлению рисками информационной безопасности, и по реализации выбранных средств управления, для защиты от этих рисков. Может потребоваться, чтобы процесс оценки рисков и выбор средств управления выполнялся неоднократно для того, чтобы охватить различные части организации или части отдельных информационных систем.
Стратегии анализа рисков основываются на нескольких подходах [7,12].
Базовый подход. Метод заключается в выборе некоторого набора защитных мер, с целью достижения базового уровня защиты для всех систем. Отметим положительные качества этого метода:
сокращение ресурсов для анализа рисков. Необходимо рассмотреть стандартный набор распространенных угроз безопасности без оценки вероятностей этих угроз;
уменьшение времени, затраченное на анализ рисков;
базовые защитные меры могут быть адаптированы для многих систем без большого усилия. Если большое количество систем организации действует в общей среде, то базовые защитные меры могут дать рентабельное решение.
Базовый подход анализа рисков ИБ имеет свои недостатки:
если базовый уровень установлен слишком высоко, то безопасность для систем может оказаться слишком дорогой или слишком ограниченной, а если базовый уровень слишком низок, то может быть недостаток безопасности для некоторых систем;
возможны трудности в управлении изменениями, связанными с безопасностью. Например, если система модернизирована, то может быть трудно, оценить, являются ли первоначальные базовые защитные меры все еще достаточными.
Неформальный подход. Метод состоит в проведении неформального, прагматического анализа рисков для всех систем. Неформальный подход не основан на структурных методах, а использует знание и опыт личностей. Если внутренняя экспертиза безопасности недоступна, то внешние консультанты могут сделать этот анализ. Преимуществом данного метода является то, что он не требует дополнительных навыков, что выгодно для небольших организаций.
Имеются несколько недостатков:
без структурного подхода возрастает вероятность упущения некоторых рисков и близких к ним проблем;
в силу неформальности этого подхода на результаты могут повлиять субъективные представления и предубеждения исследователя;
выбранные защитные меры недостаточно обоснованы, следовательно, расходы на соответствующие защитные средства будет трудно оправдать;
управление изменениями, связанными с безопасностью, затруднено без повторных пересмотров состояния безопасности.
Детальный анализ рисков. Третий вариант состоит в проведении детального анализа рисков для всех систем. Детальный анализ рисков включает определение и оценку активов, оценки уровней угроз для этих активов и уязвимости этих активов. Эти входные данные используются для оценки рисков. Анализ рисков поддерживает определение, выбор и принятие защитных мер, обоснованных определенными рисками для активов, и приводит эти риски к приемлемому уровню, определенному управлением. Детальный анализ рисков может быть процессом с очень большим потреблением ресурсов, и поэтому нуждается в осторожном установлении границ и постоянном внимании управления.
Преимущества этого метода состоят в следующем:
уровень безопасности определяется соответствующими потребностями безопасности каждой системы;
управление изменениями, связанными с безопасностью, может извлекать выгоду из дополнительной информации, полученной от детального анализа рисков.
Главный недостаток этого варианта состоит в том, что требуется значительное количество времени, усилий и опыта для получения жизнеспособных результатов.
Смешанный подход. Четвертый вариант заключается в том, что он сначала определяет те системы, которые находятся в высокой степени риска или являются критичными для функционирования бизнеса, используя подход анализа рисков высокого уровня. На основе этих результатов системы делятся на те, которые требуют детального анализа рисков для достижения соответствующей защиты, и те, для которых базовая защита является достаточной. Этот метод комбинация лучших вариантов, описанных выше. Следовательно, он обеспечивает хороший баланс между уменьшением времени и усилий, потраченных на определение защитных мер, при обеспечении соответствующей защиты всех систем.
Преимущества этого варианта состоят в следующем:
возможно формирование непосредственного стратегического образа программы безопасности организации, который может использоваться как хорошая помощь планированию;
ресурсы могут применяться там, где наиболее выгодно, а системы, которые, вероятно, имеют риски высокой степени, могут быть рассмотрены в первую очередь.
Во многих случаях этот вариант предлагает наиболее эффективный по стоимости подход и рекомендуется для анализа рисков.