Анализ методов оценки рисков информационной безопасности

Современным информационным системам доверяют решение самых разнообразных и важных задач: автоматизированное управление технологическими процессами и промышленными предприятиями, автоматизацию деятельности банков, финансовых бирж, страховых компаний, торговых компаний и т.д. Растут масштабы и сложность корпоративных систем. Важность задачи обеспечения безопасности корпоративных информационных ресурсов осознана как руководством компаний, так и клиентами. Уже недостаточно ограничиваться защитой отдельных сегментов информационной системы.

Требования информационной безопасности должны быть направлены на обеспечение оптимального режима функционирования информационной системы в целом.

Построение практически любой системы информационной безопасности должно начинаться с анализа рисков. Прежде чем проектировать систему информационной безопасности, необходимо точно определить, какие угрозы существуют для данной информационной системы, насколько они потенциально опасны.

Грамотный учет существующих угроз и уязвимостей информационной системы, выполненный на этой основе анализ рисков закладывают основу для выбора решений с необходимым уровнем информационной безопасности при минимальных затратах.

Анализ и управление рисками применяется для оценки угроз, уязвимостей и рисков информационный системы, а также определения контрмер, обеспечивающих достаточный уровень защищенности этой информационной системы.

Метод CORAS использует модель UML (унифицированный язык моделирования – язык графического описания для объектного моделирования в области разработки программного обеспечения). Для документирования промежуточных результатов и для того, чтобы представить полные заключения об анализе рисков информационной безопасности, используются специальные диаграммы CORAS, которые встроены в UML.

Метод CORAS – это компьютеризированный инструмент, который поддерживает документирование, создание отчетов о результатах анализа путем моделирования риска.

Все работы относительно рисков проводятся посредством следующих процедур:

1) подготовительные мероприятия – сбор общих сведений об объекте анализа;

2) представление клиентом объектов, которые необходимо проанализировать;

3) детализированное описание задачи аналитиком;

4) проверка корректности и полноты документация, представленной для анализа;

5) мероприятия по выявлению рисков, (осуществляется, например, в форме семинара) возглавляемые аналитиками;

6) оценка вероятностей и последствий инцидентов информационной безопасности;

7) выявление приемлемых рисков и рисков, которые должны быть представлены на дальнейшую оценку для возможного устранения;

8) устранение угроз, с целью сокращения вероятности и / или последствий инцидентов в области информационной безопасности.

В методе CRAMM анализ рисков осуществляет идентификацию и вычисление уровней (мер) рисков основываясь на оценках, присвоенных ресурсам, уязвимостям и угрозам ресурсов.

Контроль рисков заключается в идентификации и выборе контрдействий, позволяющих понизить риски до требуемого уровня.

Основанный на этой концепции формальный метод  позволяет убедиться, что защита охватывает всю систему и создает уверенность в том, что:

  • все существующие риски определены;
  • уязвимости идентифицированы и оценены их уровни;
  • угрозы определены и их уровни оценены;
  • контрмеры показывают себя эффективно;
  • расходы, связанные с информбезопасностью, оправданы.

Исследование состояния информбезопасности системы с применением метода CRAMM осуществляется в три стадии:

1) на стадии №1 производится определение ценности защищаемых ресурсов. По завершению стадии заказчик исследования должен знать, хватает ли для защиты системы возможностей базового уровня защиты с традиционными функциями безопасности, или стоит провести более детальный анализ;

2) на второй рассматриваются вопросы, относящиеся к оценке уровней угроз для групп ресурсов и их уязвимостей. В конце этой стадии заказчик получает для своей системы идентифицированные и оцененные уровни рисков;

3) на третьей стадии производится поиск адекватных противомер. Фактически это поиск варианта системы безопасности, который лучшим образом удовлетворит требования заказчика. В конце данной стадии заказчик будет знать, как следует улучшить систему для уклонения от риска, а также  какие специальные меры противодействия ведут к снижению и минимизации остальных рисков.

Метод OCTAVE – это метод оперативной оценки критических угроз, активов и уязвимостей. Методика подразумевает создание группы анализа, которая изучает безопасность. Группа анализа (ГА) включает сотрудников бизнес-подразделений, эксплуатирующих систему, и сотрудников отдела информационных технологий.

Метод OCTAVE – это трехэтапный подход оценки рисков информационной безопасности.

На первой стадии осуществляется оценка организационных аспектов. Во время выполнения этой стадии ГА определяет критерии (показатели) оценки ущерба (неблагоприятных последствий), которые позже будут использоваться при оценке рисков. Здесь же осуществляется определение наиболее важных организационных ресурсов и оценка текущего состояния практики обеспечения безопасности в организации.

На завершающем этапе первой стадии определяются требования безопасности, и строится профиль угроз для каждого критического ресурса.

На второй стадии проводится высокоуровневый анализ ИТ-инфраструктуры организации, при этом обращается внимание на степень, с которой вопросы безопасности решаются и поддерживаются подразделениями и сотрудниками, отвечающими за эксплуатацию инфраструктуры.

На третьей стадии проводится разработка стратегии обеспечения безопасности и плана защиты информации.

Этот этап складывается из определения и анализа рисков и разработки стратегии обеспечения безопасности и плана сокращения рисков. В процессе определения и анализа рисков оценивают ущерб от реализации угроз, устанавливают вероятностные критерии оценки угроз, оценивают вероятность реализации угроз.

В процессе разработки стратегии обеспечения безопасности и плана сокращения рисков:

  • описывают текущую стратегию безопасности,
  • выбирают подходы сокращения рисков,
  • разрабатывают план сокращения рисков,
  • определяют изменения в стратегии обеспечения безопасности,
  • определяют перспективные направления обеспечения безопасности.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Этот сайт использует Akismet для борьбы со спамом. Узнайте как обрабатываются ваши данные комментариев.

%d такие блоггеры, как: