Анализ рисков
Анализ рисков - это то, с чего должно начинаться построение любой системы информационной безопасности. Он включает в себя мероприятия по обследованию безопасности АС, целью которого является определение того какие ресурсы и от каких угроз надо защищать, а также в какой степени те или иные ресурсы нуждаются в защите. Определение набора адекватных контрмер осуществляется в ходе управления рисками. Ниже раскрываются сущность и содержание мероприятий по анализу и управлению рисками.
Риск определяется вероятностью причинения ущерба и величиной ущерба, наносимого ресурсам АС, в случае осуществления угрозы безопасности.
Анализ рисков состоит в том, чтобы выявить существующие риски и оценить их величину (дать им количественную оценку). Его можно разделить на несколько последовательных этапов:
- Идентификация ключевых ресурсов АС;
- Определение важности тех или иных ресурсов;
- Идентификация существующих угроз безопасности и уязвимостей, делающих возможным осуществление угроз;
- Вычисление рисков, связанных с осуществлением угроз безопасности.
Идентификация ресурсов
Ресурсы АС делятся на три категории:
- Информационные ресурсы;
- Программное обеспечение;
- Технические средства (файловые серверы, рабочие станции, мосты, маршрутизаторы и т. п.).
В каждой категории ресурсы можно разделить на классы и подклассы. Необходимо идентифицировать только те ресурсы, которые определяют функциональность АС и существенны с точки зрения обеспечения безопасности.
Оценка стоимости ресурсов
Важность (или стоимость) ресурса определяется величиной ущерба, наносимого в случае нарушения конфиденциальности, целостности или доступности этого ресурса. В ходе оценки стоимости ресурсов определяется величина возможного ущерба для каждой категории ресурсов:
- Данные были раскрыты, изменены, удалены или стали недоступны;
- Аппаратура была повреждена или разрушена;
- Нарушена целостность ПО.
Идентификации и определение уровня угроз безопасности
Типичные угрозы безопасности включают в себя:
- локальные и удаленные атаки на ресурсы АС;
- стихийные бедствия;
- ошибки персонала;
- сбои в работе АС, вызванные ошибками в ПО или неисправностями аппаратуры.
Под уровнем угрозы понимается вероятность ее осуществления.
Идентификация и оценка уязвимостей
Оценка уязвимостей предполагает определение вероятности успешного осуществления угроз безопасности. Успешное осуществление угрозы означает нанесение ущерба ресурсам АС. Наличие уязвимостей в АС обуславливается слабостями защиты.
Таким образом вероятность нанесения ущерба определяется вероятностью осуществления угрозы и величиной уязвимости.
Вычисление рисков
Уровень риска определяется на основе стоимости ресурса, уровня угрозы и величины уязвимости. С увеличением стоимости ресурса, уровня угрозы и величины уязвимости возрастает и уровень риска. На основе оценки уровня рисков определяются требования безопасности.
Управление рисками
Задача управления рисками включает выбор и обоснование выбора контрмер, позволяющих снизить уровни рисков до приемлемой величины. Управление рисками включает в себя оценку стоимости реализации контрмер, которая должна быть меньше величины возможного ущерба. Разница между стоимостью реализации контрмер и величиной возможного ущерба должна быть тем больше, чем меньше вероятность причинения ущерба.
Контрмеры могут уменьшать уровни рисков различными способами:
- уменьшая вероятность осуществления угроз безопасности;
- ликвидируя уязвимости или уменьшая их величину;
- уменьшая величину возможного ущерба;
- выявление атак и других нарушений безопасности;
- способствуя восстановлению ресурсов АС, которым был нанесен ущерб.
____________
По материалам -
Отправить статью в социальные сети, на печать, e-mail и в другие сервисы:
