Методы выявления и оценки информационных рисков

Основные подходы к анализу рисков. Методология анализа рисков в информационных системах, применяемые подходы и обеспечение, оценка характеристик факторов. Определение ценности ресурсов. Метод CRAMM: сущность, содержание, особенности и условия применения.

Рубрика Менеджмент и трудовые отношения
Вид реферат
Язык русский
Дата добавления 27.11.2011
Размер файла 16,1 K

Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже

Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.

Размещено на http://www.allbest.ru/

Размещено на http://www.allbest.ru/

Реферат

Методы выявления и оценки информационных рисков

Введение

Понятие риска является фундаментальным для любой области человеческой деятельности. Чем бы мы ни занимались, всегда есть вероятность того, что цели нашей деятельности по тем или иным причинам не будут достигнуты. Таким образом, под риском понимается возможность понести ущерб. На протяжении всей нашей жизни мы постоянно вполне осознанно или подсознательно занимаемся оценкой различных рисков: переходя через дорогу, обменивая рубли на доллары или вставляя дискету в дисковод.

В сфере информационной безопасности оценка рисков играет такую же первостепенную роль, как и во всех других областях человеческой деятельности. Из-за неадекватной оценки рисков, связанных с осуществлением угроз информационной безопасности в современном высокотехнологичном обществе, государство, организации и отдельные личности несут весьма ощутимый ущерб, подсчитать который вряд ли кому-либо удастся.

Основные подходы к анализу рисков

Основой управления информационной безопасностью предприятия является анализ рисков. Фактически риск представляет собой интегральную оценку того, насколько эффективно существующие средства защиты способны противостоять информационным атакам.

Обычно выделяют две основные группы методов расчёта рисков безопасности. Первая группа позволяет установить уровень риска путём оценки степени соответствия определённому набору требований по обеспечению информационной безопасности. В качестве источников таких требований могут выступать:

• Нормативно-правовые документы предприятия, касающиеся вопросов информационной безопасности;

• Требования действующего российского законодательства - руководящие документы ФСТЭК (Гостехкомиссии), СТР-К, требования ФСБ РФ, ГОСТы и др.;

• Рекомендации международных стандартов - ISO 17799, OCTAVE, CoBIT и др.;

• Рекомендации компаний-производителей программного и аппаратного обеспечения - Microsoft, Oracle, Cisco и др.

Вторая группа методов оценки рисков информационной безопасности базируется на определении вероятности реализации атак, а также уровней их ущерба. В данном случае значение риска вычисляется отдельно для каждой атаки и в общем случае представляется как произведение вероятности проведения атаки на величину возможного ущерба от этой атаки. Значение ущерба определяется собственником информационного ресурса, а вероятность атаки вычисляется группой экспертов, проводящих процедуру аудита.

Методы первой и второй группы могут использовать количественные или качественные шкалы для определения величины риска информационной безопасности. В первом случае риск и все его параметры выражаются в числовых значениях. Так, например, при использовании количественных шкал вероятность проведения атаки может выражаться числом в интервале, а ущерб атаки может задаваться в виде денежного эквивалента материальных потерь, которые может понести организация в случае успешного проведения атаки. При использовании качественных шкал числовые значения заменяются на эквивалентные им понятийные уровни. Каждому понятийному уровню в этом случае будет соответствовать определённый интервал количественной шкалы оценки. Количество уровней может варьироваться в зависимости от применяемых методик оценки рисков.

Таким образом, при проведении полного анализа рисков необходимо:

• определить ценность ресурсов;

• добавить к стандартному набору список угроз, актуальных для исследуемой информационной системы;

• оценить вероятность угроз;

• определить уязвимость ресурсов;

• предложить решение, обеспечивающее необходимый уровень ИБ.

В процессе анализа рисков информационной безопасности могут использоваться специализированные программные комплексы, позволяющие автоматизировать процесс анализа исходных данных и расчёта значений рисков. Примерами таких комплексов являются «Гриф» и «Кондор» (компании «Digital Security»), британский CRAMM (компания Insight Consulting, подразделение Siemens), американский RiskWatch (компания RiskWatch), а также «АванГард» (Института Системного Анализа РАН).

риск информационный система ценность

Методология анализа рисков в ИС

При выполнении полного анализа рисков приходится решать ряд сложных проблем: как определить ценность ресурсов? как составить полный список угроз ИБ и оценить их параметры? как правильно выбрать эффективные контрмеры?

Процесс анализа рисков делится на несколько этапов:

• идентификация информационных ресурсов;

• выбор критериев оценки и определение потенциального негативного воздействия на ресурсы и приложения;

• оценка угроз;

• оценка уязвимостей;

• оценка рисков;

• оценка эффективности существующих и предполагаемых средств обеспечения информационной безопасности.

На основе анализа рисков выбираются средства, обеспечивающие режим ИБ. Ресурсы, значимые для бизнеса и имеющие определенную степень уязвимости, подвергаются риску, если по отношению к ним существует какая-либо угроза. При оценке рисков учитываются потенциальное негативное воздействие от нежелательных происшествий и показатели значимости рассматриваемых уязвимостей и угроз.

Риск характеризует опасность, которой может подвергаться система и использующая ее организация.

Степень риска зависит от ряда факторов:

• ценности ресурсов;

• вероятности реализации угроз;

• простоты использования уязвимости для реализации угроз;

• существующих или планируемых к внедрению средств обеспечения ИБ, которые уменьшают число уязвимостей, вероятность возникновения угроз и возможность негативных воздействий.

Определение ценности ресурсов

Ресурсы обычно подразделяются на несколько классов - например, физические, программные ресурсы, данные. Для каждого класса необходима своя методика определения ценности элементов, помогающая выбрать подходящий набор критериев. Эти критерии служат для описания потенциального ущерба, связанного с нарушением конфиденциальности и целостности ИС, уровня ее доступности.

Физические ресурсы оцениваются с точки зрения стоимости их замены или восстановления работоспособности. Эти стоимостные величины затем преобразуются в ранговую (качественную) шкалу, которая используется также для информационных ресурсов. Программные ресурсы оцениваются тем же способом, что и физические, на основе определения затрат на их приобретение или восстановление.

Если для информационного ресурса существуют особенные требования к конфиденциальности или целостности (например, если исходный текст имеет высокую коммерческую ценность), то оценка этого ресурса производится по той же схеме, т.е. в стоимостном выражении.

Кроме критериев, учитывающих финансовые потери, коммерческие организации могут применять критерии, отражающие:

• ущерб репутации организации;

• неприятности, связанные с нарушением действующего законодательства;

• ущерб для здоровья персонала;

• ущерб, связанный с разглашением персональных данных отдельных лиц;

• финансовые потери от разглашения информации;

• финансовые потери, связанные с восстановлением ресурсов;

• потери, связанные с невозможностью выполнения обязательств;

• ущерб от дезорганизации деятельности.

Могут использоваться и другие критерии в зависимости от профиля организации. К примеру, в правительственных учреждениях прибегают к критериям, отражающим специфику национальной безопасности и международных отношений.

Оценка характеристик факторов риска

Ресурсы должны быть проанализированы с точки зрения оценки воздействия возможных атак (спланированных действий внутренних или внешних злоумышленников) и различных нежелательных событий естественного происхождения. Такие потенциально возможные события будем называть угрозами безопасности. Кроме того, необходимо идентифицировать уязвимости - слабые места в системе защиты, которые делают возможной реализацию угроз.

Вероятность того, что угроза реализуется, определяется следующими основными факторами:

• привлекательностью ресурса (этот показатель учитывается при рассмотрении угрозы умышленного воздействия со стороны человека);

• возможностью использования ресурса для получения дохода (показатель учитывается при рассмотрении угрозы умышленного воздействия со стороны человека);

• простотой использования уязвимости при проведении атаки.

Технология анализа рисков

Существует множество методик анализа рисков. Некоторые из них основаны на достаточно простых табличных методах и не предполагают применения специализированного ПО, другие, наоборот, его используют.

В табличных методах можно наглядно отразить связь факторов негативного воздействия (показателей ресурсов) и вероятностей реализации угрозы с учетом показателей уязвимостей.

Подобные методы сводятся к нескольким несложным шагам. Вот пример одного из таких методов.

На первом шаге оценивается негативное воздействие (показатель ресурса) по заранее определенной шкале (скажем, от 1 до 5) для каждого ресурса, которому угрожает опасность.

На втором - по той же шкале оценивается вероятность реализации каждой угрозы.

На третьем шаге вычисляется показатель риска. В простейшем варианте методики это делается путем умножения. Однако необходимо помнить, что операция умножения определена для количественных шкал. Должна быть разработана методика оценки показателей рисков применительно к конкретной организации.

На четвертом шаге угрозы ранжируются по значениям их фактора риска.

Применение каких-либо инструментальных средств не является обязательным, однако позволяет уменьшить трудоемкость анализа рисков и выбора контрмер. В настоящее время на рынке есть около двух десятков программных продуктов для анализа рисков: от простейших, ориентированных на базовый уровень безопасности, до сложных и дорогостоящих, позволяющих реализовать полный вариант анализа рисков и выбрать комплекс контрмер требуемой эффективности.

Программные средства, необходимые для полного анализа рисков, строятся с использованием структурных методов системного анализа и проектирования (SSADM, Structured Systems Analysis and Design) и представляют собой инструментарий для выполнения следующих операций:

1. построения модели ИС с позиции ИБ;

2. оценки ценности ресурсов;

3. составления списка угроз и уязвимостей, оценки их характеристик;

4. выбора контрмер и анализа их эффективности;

5. анализа вариантов построения защиты;

6. документирования (генерация отчетов).

Примерами программных продуктов этого класса являются CRAMM (разработчик - компания Insight Consulting, подразделение Siemens, Великобритания), RiskWatch (США), «Гриф» и «Кондор» (компании «Digital Security») и другие.

Обязательным элементом этих продуктов является база данных, содержащая информацию по инцидентам в области ИБ, позволяющая оценить риски и уязвимости, эффективность различных вариантов контрмер в определенной ситуации.

Метод CRAMM

Метод CRAMM (the UK Goverment Risk Analysis and Managment Method) был разработан Службой безопасности Великобритании (UK Security Service) по заданию Британского правительства и взят на вооружение в качестве государственного стандарта. Он используется, начиная с 1985 года, правительственными и коммерческими организациями Великобритании. К настоящему моменту CRAMM приобрел популярность во всем мире. Фирма Insight Consulting Limited занимается разработкой и сопровождением одноименного программного продукта, реализующего метод CRAMM.

Метод CRAMM выбран нами для более детального рассмотрения и это не случайно. В настоящее время CRAMM - это довольно мощный и универсальный инструмент, позволяющий, помимо анализа рисков, решать также и ряд других аудиторских задач, включая:

• проведение обследования ИС и выпуск сопроводительной документации на всех этапах его проведения;

• проведение аудита в соответствии с требованиями Британского правительства, а также стандарта BS 7799:1995 - Code of Practice for Information Security Management BS7799;

• разработку политики безопасности и плана обеспечения непрерывности бизнеса.

В основе CRAMM, в котором сочетаются количественные и качественные методы анализа, лежит комплексный подход к оценке рисков. Метод является универсальным и подходит как для больших, так и для мелких организаций, как правительственного, так и коммерческого сектора. Версии программного обеспечения CRAMM, ориентированные на разные типы организаций, отличаются друг от друга своими базами знаний (profiles). Для коммерческих организаций имеется коммерческий профиль (Commercial Profile), для правительственных организаций - правительственный профиль (Government profile). Правительственный вариант профиля, также позволяет проводить аудит на соответствие требованиям американского стандарта ITSEC («Оранжевая книга»).

Грамотное использование метода CRAMM позволяет получать очень хорошие результаты, наиболее важным из которых, пожалуй, является возможность экономического обоснования расходов организации на обеспечение информационной безопасности и непрерывности бизнеса. Экономически обоснованная стратегия управления рисками позволяет, в конечном итоге, экономить средства, избегая неоправданных расходов.

CRAMM предполагает разделение всей процедуры на три последовательных этапа. Задачей первого этапа является ответ на вопрос: «Достаточно ли для защиты системы применения средств базового уровня, реализующих традиционные функции безопасности, или необходимо проведение более детального анализа?» На втором этапе производится идентификация рисков и оценивается их величина. На третьем этапе решается вопрос о выборе адекватных контрмер.

Методика CRAMM для каждого этапа определяет набор исходных данных, последовательность мероприятий, анкеты для проведения интервью, списки проверки и набор отчетных документов.

Если по результатам проведения первого этапа, установлено, что уровень критичности ресурсов является очень низким и существующие риски заведомо не превысят некоторого базового уровня, то к системе предъявляется минимальный набор требований безопасности. В этом случае большая часть мероприятий второго этапа не выполняется, а осуществляется переход к третьему этапу, на котором генерируется стандартный список контрмер для обеспечения соответствия базовому набору требований безопасности.

На втором этапе производится анализ угроз безопасности и уязвимостей. Исходные данные для оценки угроз и уязвимостей аудитор получает от уполномоченных представителей организации в ходе соответствующих интервью. Для проведения интервью используются специализированные опросники.

На третьем этапе решается задача управления рисками, состоящая в выборе адекватных контрмер. Решение о внедрении в систему новых механизмов безопасности и модификации старых принимает руководство организации, учитывая связанные с этим расходы, их приемлемость и конечную выгоду для бизнеса. Задачей аудитора является обоснование рекомендуемых контрмер для руководства организации.

Вывод

Выбор качественного или количественного подходов к оценке рисков, определяется характером бизнеса организации и уровнем его информатизации, т.е. важностью для него информационных активов, а также уровнем зрелости организации. Эффективность процесса управления рисками ИБ определяется точностью и полнотой анализа и оценки факторов риска, а также эффективностью используемых в организации механизмов принятия управленческих решений и контроля их исполнения.

Размещено на Allbest.ru


Подобные документы

  • Изучение сути инвестиций и инвестиционных рисков. Источники информации, необходимой для оценки рисков. Определение критериев и способов их анализа. Разработка мероприятий по снижению рисков и их мониторинг. Экспертный метод оценки инвестиционных рисков.

    контрольная работа [40,7 K], добавлен 04.10.2014

  • Оценка риска как обязательный структурный элемент процесса анализа инвестиционных проектов. Общее понятие и классификация рисков. Методы оценки вероятности возникновения рисков. Оценка внутрифирменных рисков. Мероприятия по снижению уровня рисков.

    контрольная работа [203,2 K], добавлен 08.08.2013

  • Теория, основные понятия, черты и сущность рисков. Метод качественного и количественного анализа в оценке возможных убытков; способы локализации, диверсификации и компенсации. Проблемы и перспективы развития риск-менеджмента на российских предприятиях.

    курсовая работа [90,3 K], добавлен 01.05.2011

  • Понятия и классификация финансовых рисков. Сущность, функции и содержание риск-менеджмента. Оценка финансовых рисков и возможные способы оценки степени финансового риска в компании. Особенности выбора стратегии и методов решения управленческих задач.

    курсовая работа [46,0 K], добавлен 02.10.2010

  • Понятие фактора, вида рисков и потерь от наступления рисковых событий. Оценка эффективности действий по минимизации рисков. Анализ проектных рисков, их классификация и идентификация. Управление рисками на примере долевого строительства жилого дома.

    контрольная работа [49,7 K], добавлен 03.12.2014

  • Рассмотрение системы управления рисками, применяемой таможенными органами РФ. Инструменты, используемые при оценке рисков. Индикаторы риска и меры, направленные на минимизацию рисков. Особенности оценки рисков и анализа рисков в таможенной сфере.

    презентация [733,3 K], добавлен 03.04.2018

  • Сущность и содержание бизнес-процессов. Методы оценки на предприятии информационных ресурсов. Характеристика деятельности предприятия ОАО "Нижнекамскшина". Анализ системы управления качеством и оценка уровня обеспеченности информационных ресурсов.

    дипломная работа [514,6 K], добавлен 30.06.2014

  • Сущность и содержание риск-менеджмента, классификация рисков. Главные особенности качественной и количественной оценки. Локализация и диссипация риска. Системность, непрерывность, комплексность, целенаправленность как основные принципы управления.

    контрольная работа [32,3 K], добавлен 20.12.2013

  • Проблемы идентификации предпринимательских рисков. Идентификация рисков: риск как "возможность", как "опасность" и как "неопределенность". Оценки рисков на основе информационной и аналитической работы экспертов. Моделирование ситуаций, финансовый анализ.

    контрольная работа [53,4 K], добавлен 16.06.2010

  • Определение и значение рисков в менеджменте, их классификация и методы управления. Организационно-экономическая характеристика мебельной фабрики. Анализ факторов и причин возникновения риска, особенности принятия решений в условиях неопределенности.

    курсовая работа [474,2 K], добавлен 08.01.2011

Работы в архивах красиво оформлены согласно требованиям ВУЗов и содержат рисунки, диаграммы, формулы и т.д.
PPT, PPTX и PDF-файлы представлены только в архивах.
Рекомендуем скачать работу.