- •Условные сокращения
- •Введение
- •1. Менеджмент риска информационной безопасности
- •1.1. Основные термины и определения
- •1.2. Система менеджмента информационной безопасности
- •1.3. Менеджмент риска информационной безопасности
- •Конец первой и последующих итераций
- •1.3.1. Установление контекста
- •1.3.2. Оценка риска нарушения информационной безопасности
- •1.3.2.1. Анализ риска
- •1.3.2.1.1. Идентификация риска
- •1. Определение (идентификация) активов
- •Реестр информационных ресурсов Компании
- •2. Определение угроз
- •Определение существующих мер и средств контроля и управления
- •Выявление уязвимостей
- •5. Определение последствий
- •1.3.2.1.2. Установление значения риска (количественная оценка риска)
- •1.3.2.2. Оценивание риска
- •1.3.3. Обработка риска
- •1) Снижение риска
- •2) Сохранение риска
- •Предотвращение риска
- •Перенос риска
- •1.3.4. Принятие риска
- •1.3.5. Коммуникация риска
- •1.3.6. Мониторинг и переоценка риска
- •1.4. Стандарты в области управления информационными рисками
- •1.5. Инструментальные средства для управления рисками
- •1.5.9. Гриф 2006
- •1.5.10. АванГард
- •1.6. Контрольные вопросы
- •2. Математические основы принятия решений при управлении рисками
- •2.1. Основные понятия и обобщенная классификация задач принятия решений
- •2.2. Формальное описание моделей принятия решений
- •2.3. Методы экспертных оценок
- •2.3.1. Методологические основы и предпосылки применения методов экспертных оценок
- •2.3.2. Основные типы шкал
- •2.3.3. Методы проведение экспертизы
- •2.3.4. Качественные экспертные оценки
- •2.3.5. Этапы работ по организации экспертной оценки
- •2.3.6. Отбор экспертов и их характеристика
- •2.3.7. Методы опроса экспертов
- •2.3.8. Методы обработки экспертной информации, оценка компетентности и согласованности мнений экспертов
- •2.4. Детерминированные модели и методы принятия решений
- •2.4.1. Постановка многокритериальных задач принятия решений
- •2.4.2. Характеристики приоритета критериев. Нормализация критериев
- •2.4.3. Принципы оптимальности в задачах принятия решений
- •2.4.4. Постановка задач оптимизации на основе комбинирования принципов оптимальности
- •2.4.5. Теория полезности. Аксиоматические методы многокритериальной оценки
- •2.4.6. Метод аналитической иерархии
- •2.4.7. Методы порогов несравнимости электра
- •2.5. Статистические модели и методы принятия решений в условиях неопределенности
- •2.5.1. Статистическая модель однокритериального принятия решений в условиях неопределенности
- •2.5.2. Построение критериев оценки и выбора решений для первой ситуации априорной информированности лпр
- •2.5.2.1. Критерий Байеса-Лапласа
- •2.5.2.2. Критерий минимума среднего квадратического отклонения функции полезности или функции потерь
- •2.5.2.3. Критерий максимизации вероятности распределения функции полезности
- •2.5.2.4. Модальный критерий
- •2.5.2.5. Критерий минимума энтропии математического ожидания функции полезности
- •2.5.2.6. Критерий Гермейера
- •2.5.2.7. Комбинированный критерий. Объединение критериев Байеса-Лапласа и среднего квадратического отклонения функции полезности (потерь)
- •2.5.3. Построение критериев оценки и выбора решений для второй ситуации априорной информированности лпр
- •2.5.3.1. Максиминный критерий Вальда
- •2.5.3.2. Критерии минимаксного риска Сэвиджа
- •2.5.4. Построение критериев оценки и выбора решений для третьей ситуации априорной информированности лпр
- •2.5.4.1. Критерий Гурвица
- •2.5.4.2. Критерий Ходжеса-Лемана
- •2.5.5. Пример оценки отдельных характеристик качества информационной системы в условиях неопределенности
- •2.5.6. Статистическая модель многокритериального принятия решений на основе принципов оптимальности в условиях неопределенности
- •2.5. Методы оптимизации
- •2.7. Контрольные вопросы
- •Заключение
- •Приложение Справочные данные
- •Библиографический список
- •Оглавление
- •394026 Воронеж, Московский просп., 14
Определение существующих мер и средств контроля и управления
Во избежание лишней работы или расходов, например, при дублировании мер и средств контроля и управления, необходимо определить существующие меры и средства контроля и управления. Один из способов количественной оценки действия мер и средств контроля и управления – выявить, как оно снижает вероятность возникновения угрозы, затрудняет использование уязвимости и возможности влияния инцидента. Меры и средства контроля и управления, которые планируется реализовать в соответствии с планами реализации обработки риска, должны быть определены тем же самым способом, который уже был реализован.
На данном этапе должен быть определен перечень всех существующих и планируемых мер и средств контроля и управления, их нахождение и состояние использования.
Выявление уязвимостей
Выявление уязвимостей включает выявление слабых мест, которые могут быть использованы источником угрозы для причинения вреда активам.
Уязвимости могут быть выявлены в следующих областях:
организация работ;
процессы и процедуры;
установившийся порядок управления;
персонал;
физическая среда;
конфигурация информационной системы;
аппаратные средства, программное обеспечение и аппаратура связи;
зависимость от внешних сторон.
Наличие уязвимости само по себе не наносит ущерба, поскольку необходимо наличие угрозы, которая сможет воспользоваться ею. Для уязвимости, которой не соответствует определенная угроза, может не потребоваться внедрение средства контроля и управления, но она должна осознаваться и подвергаться мониторингу на предмет изменений.
Примеры уязвимостей и методы их оценки приведены в приложении D ГОСТ Р ИСО/МЭК 27005-2010 [18].
Уязвимости, так же как и угрозы, могут быть оценены по трехуровневой качественной шкале. Значение уровня уязвимости показывает, насколько вероятно успешное осуществление угрозы с использованием данной уязвимости в случае, если эта угроза будет реализовываться. Соответствующие качественные уровни уязвимости могут быть определены, например, следующим образом:
В – вероятно. Уязвимость легко использовать, и существует слабая защита или зашита вообще отсутствует. Вероятность успешной реализации угрозы ~ 0,9 - 1.
С – возможно. Уязвимость может быть использована, но существует определенная защита. Вероятность успешной реализации угрозы ~ 0.5.
Н – маловероятно. Уязвимость сложно использовать, и существует хорошая защита. Вероятность успешной реализации угрозы ~ 0 – 0.1.
Оценка вероятности угроз и величины уязвимостей заносится в табл. 1.11. Эти данные могут и сразу заносится в реестр информационных рисков, минуя промежуточную таблицу.
Следует обратить внимание на то, что в таблице оценки угроз и уязвимостей фигурируют группы угроз и группы уязвимостей, а оценка вероятности является суммарной оценкой вероятностей всех угроз и всех связанных с ними уязвимостей.
Таблица 1.11
Результаты оценки угроз и уязвимостей (фрагмент)
№ |
Группы угроз |
Уязвимости |
Вероятность угроз |
Уровень уязвимости |
Механизмы контроля |
1 |
НСД к ресурсам ЛВС компании со стороны внутренних злоумышленников. Маскарад, использование чужих пользовательских идентификаторов, раскрытие паролей и другой аутентификационной информации |
Слабые пароли, отсутствие парольной политики. Наличие внутренних уязвимостей, обусловленных несвоевре-менным обновлением ОС, Мониторинг действий пользователей не производится |
С |
В |
Корректное управление доступом. Низкая квалификация пользователей для осуществления НСД |
2 |
НСД к ресурсам ЛВС компании со стороны внешних злоумышленников. Маскарад, использование чужих пользовательских идентификаторов, раскрытие паролей и другой аутентификациионной информации |
Отсутствуют последние обновления на корпоративном файерволле. Единственный защитный барьер. Наличие внутренних уязвимостей, обусловленных несвоевременным обновлением ОС. Отсутствие системы обнаружения вторжений (IDS) |
В |
С |
Хорошая защита периметра. Отсутствие известных уязвимостей |
При оценке величины группы уязвимостей взвешиваются все найденные слабости защиты, способствующие успешному осуществлению угроз, и все существующие механизмы контроля, затрудняющие осуществление этих угроз. Суммарный уровень группы уязвимостей определяется путем сложения уровней всех идентифицированных уязвимостей и вычитания из них уровней всех идентифицированных механизмов контроля, при этом действенность (уровень) механизма контроля определяется по такому же принципу, как и уровень уязвимости:
В – высокий уровень контроля. Маловероятно, что такой механизм контроля удастся обойти. Вероятность обхода (преодоления) механизма контроля ~ 0 – 0.1.
С – средний уровень контроля. Механизм контроля обеспечивает определенную защиту, однако есть возможность его обойти, затратив определенные усилия. Вероятность обхода (преодоления) механизма контроля ~ 0.5.
Н – низкий уровень контроля. Такой механизм контроля незначительным образом уменьшает уязвимости активов, и его довольно просто обойти. Вероятность обхода (преодоления) механизма контроля ~ 0.9 – 1.
Для определения итогового уровня уязвимости, рассматриваемой для конкретной группы угроз, обычно используются экспертные оценки. На правую чашу весов кладутся механизмы контроля, палевую — уязвимости. Если сильно перевешивают уязвимости, тогда итоговый уровень будет высоким. Если существенный перевес на стороне механизмов контроля, которые способны нивелировать все имеющиеся уязвимости, тогда итоговый уровень уязвимости будет низким. Если между механизмами контроля и уязвимостями наблюдается примерный паритет, тогда итоговый уровень уязвимости оценивается как средний.
Таким образом, результатом данного шага должен перечень уязвимостей, связанных с активами, угрозами и мерами и средствами контроля и управления; перечень уязвимостей, не связанных с выявленной угрозой, подлежащей рассмотрению.