Анализ мероприятий процесса оценки информационной безопасности

Исходя из этого, выделяют следующие основные факторы риска ИБ: возможность реализации угрозы, возможность использования уязвимости, ущерб от реализации угрозы. Для оценки уровня рисков ИБ необходимо оценить значения данных факторов риска. В случае качественной оценки рисков ИБ данные факторы оцениваются на качественных шкалах, в случае количественной оценки рисков ИБ – на непрерывных числовых интервалах.
1.2. Основные методы качественной оценки рисков ИБ
Метод NIST SP 800-30 [5] достаточно хорошо описывает общий подход к решению задачи оценки рисков ИБ и включает в себя 9 основных шагов:
1.Определение характеристик системы.
2.Определение уязвимостей.
3.Определение угроз.
4.Анализ мер безопасности.
5.Определение вероятности.
6.Анализ влияния.
7.Определение риска.
8.Выработка рекомендаций.
9.Документирование результатов.
В приложениях данного документа представлены достаточно хорошо проработанная классификация угроз и их источников, уязвимостей, представлены контрольные вопросы.
Метод OCTAVE [6] был разработан координационным центром CERT и достаточно часто используется для внутренней оценки рисков ИБ организациями. Метод OCTAVE предполагает организацию работ по оценке рисков в несколько этапов (фаз). Каждая фаза включает в себя несколько процессов, которые в свою очередь включают в себя ряд симпозиумов. На симпозиумах происходит обсуждение важных вопросов, выработка стратегии работы.
Фаза 1 предполагает построение профиля угрозы на основе активов. Команда анализа определяет, какие активы организации являются самыми важными для организации, и определяют, что делается в настоящее время для защиты данных активов.
Фаза 2 предполагает идентификацию уязвимостей инфраструктуры. Для каждого из выбранных на фазе 1 активов определяются ключевые компоненты информационных систем. Команда анализа исследует эти ключевые компоненты на наличие уязвимостей (организационных, технологических, технических, программных, связанных с человеческим фактором).
Фаза 3 предполагает разработку стратегии защиты и планов по уменьшению рисков информационной безопасности. Команда анализа идентифицирует все угрозы информационной безопасности, определяет возможный ущерб от реализации каждой угрозы, создает критерии оценки рисков информационной безопасности, по которым строится профиль риска для каждого критического актива. На основе этого вырабатывается стратегия защиты и планы по уменьшению рисков.
Метод OCTAVE использует каталог защитных мер и профиль угрозы, а в ходе оценки рисков строится профиль актива. Профили угроз представляют собой деревья, вид которых зависит от источника угроз.
Метод CRAMM [4] был разработан Агентством по компьютерам и телекоммуникациям Великобритании и используется в качестве государственного стандарта. В настоящее время существует несколько версий метода, ориентированных на требования Министерства обороны, гражданских государственных учреждений, финансовых структур, частных организаций. На первом этапе метода CRAMM строится модель активов информационной системы.
Данная модель описывает взаимодействие между информационными, программными и техническими активами. Далее определяется ценность активов исходя из возможного ущерба, которая организация может понести в результате их компрометации. На втором этапе метода CRAMM производится трехфакторная оценка рисков ИБ.
При этом производится идентификация и оценка вероятности угроз, оценка величины уязвимостей и определение рисков для каждой тройки элементов «актив-угроза-уязвимость». Оценка рисков производится без учета реализованных контрмер. На третьем этапе метода CRAMM определяется набор мер безопасности, направленных на минимизацию полученных рисков. Производится сравнение рекомендуемых и существующих контрмер. CRAMM имеет обширную базу, содержащую описание около 1000 примеров реализации подсистем защиты для различных компьютерных систем. Данные примеры можно использовать в качестве шаблонов.
Кроме этого, существует множество отраслевых и корпоративных стандартов оценки рисков ИБ, которые, как правило, используют качественные подходы в силу удобства их применения. К данным стандартам можно отнести:
•PC БР ИББС-2.2-2009 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации».
•СТО Газпром 4.2-3-003-2009 «Система обеспечения информационной безопасности ОАО «Газпром». Анализ и оценка рисков».
ГЛАВА 2. АНАЛИЗ МЕТОДОВ И ЭТАПЫ ОЦЕНКИ РИСКОВ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
2.1. Основные методы количественной оценки рисков ИБ