Проект "ИТ-Защита"

Анализ рисков

Анализ рисков - это то, с чего должно начинаться построение любой системы информационной безопасности. Он включает в себя мероприятия по обследованию безопасности АС, целью которого является определение того какие ресурсы и от каких угроз надо защищать, а также в какой степени те или иные ресурсы нуждаются в защите. Определение набора адекватных контрмер осуществляется в ходе управления рисками. Ниже раскрываются сущность и содержание мероприятий по анализу и управлению рисками.

Риск определяется вероятностью причинения ущерба и величиной ущерба, наносимого ресурсам АС, в случае осуществления угрозы безопасности.

Анализ рисков состоит в том, чтобы выявить существующие риски и оценить их величину (дать им количественную оценку). Его можно разделить на несколько последовательных этапов:

  • Идентификация ключевых ресурсов АС;
  • Определение важности тех или иных ресурсов;
  • Идентификация существующих угроз безопасности и уязвимостей, делающих возможным осуществление угроз;
  • Вычисление рисков, связанных с осуществлением угроз безопасности.

Идентификация ресурсов

Ресурсы АС делятся на три категории:

  • Информационные ресурсы;
  • Программное обеспечение;
  • Технические средства (файловые серверы, рабочие станции, мосты, маршрутизаторы и т. п.).

В каждой категории ресурсы можно разделить на классы и подклассы. Необходимо идентифицировать только те ресурсы, которые определяют функциональность АС и существенны с точки зрения обеспечения безопасности.

Оценка стоимости ресурсов

Важность (или стоимость) ресурса определяется величиной ущерба, наносимого в случае нарушения конфиденциальности, целостности или доступности этого ресурса. В ходе оценки стоимости ресурсов определяется величина возможного ущерба для каждой категории ресурсов:

  • Данные были раскрыты, изменены, удалены или стали недоступны;
  • Аппаратура была повреждена или разрушена;
  • Нарушена целостность ПО.

Идентификации и определение уровня угроз безопасности

Типичные угрозы безопасности включают в себя:

  • локальные и удаленные атаки на ресурсы АС;
  • стихийные бедствия;
  • ошибки персонала;
  • сбои в работе АС, вызванные ошибками в ПО или неисправностями аппаратуры.

Под уровнем угрозы понимается вероятность ее осуществления.

Идентификация и оценка уязвимостей

Оценка уязвимостей предполагает определение вероятности успешного осуществления угроз безопасности. Успешное осуществление угрозы означает нанесение ущерба ресурсам АС. Наличие уязвимостей в АС обуславливается слабостями защиты.

Таким образом вероятность нанесения ущерба определяется вероятностью осуществления угрозы и величиной уязвимости.

Вычисление рисков

Уровень риска определяется на основе стоимости ресурса, уровня угрозы и величины уязвимости. С увеличением стоимости ресурса, уровня угрозы и величины уязвимости возрастает и уровень риска. На основе оценки уровня рисков определяются требования безопасности.

Управление рисками

Задача управления рисками включает выбор и обоснование выбора контрмер, позволяющих снизить уровни рисков до приемлемой величины. Управление рисками включает в себя оценку стоимости реализации контрмер, которая должна быть меньше величины возможного ущерба. Разница между стоимостью реализации контрмер и величиной возможного ущерба должна быть тем больше, чем меньше вероятность причинения ущерба.

Контрмеры могут уменьшать уровни рисков различными способами:

  • уменьшая вероятность осуществления угроз безопасности;
  • ликвидируя уязвимости или уменьшая их величину;
  • уменьшая величину возможного ущерба;
  • выявление атак и других нарушений безопасности;
  • способствуя восстановлению ресурсов АС, которым был нанесен ущерб.

____________

По материалам - http://www.globaltrust.ru/index.htm





Отправить статью в социальные сети, на печать, e-mail и в другие сервисы:

Комментарии

Нет комментариев

Еще нет комментариев.

RSS лента комментариев к этой записи.

Извините, комментирование на данный момент закрыто.