ВОПРОС 2 МЕТОДОЛОГИЯ АНАЛИЗА РИСКОВ В ИНФОРМАЦИОННЫХ СИСТЕМАХ
Использование АС связано с определенной совокупностью рисков, под которыми понимается стоимостные выражения событий (обычно вероятностных), ведущих к потерям. Если риск не приемлем, то необходимо предпринять защитные меры, не превышающие по стоимости возможный ущерб.
Анализ риска главным образом необходим для следующего:
· выявления уязвимости АС и ее системы защиты,
· определения необходимых и достаточных затрат на ОБИ,
· выбора конкретных мер, методов, средств и систем защиты,
· повышения информированности и компетентности персонала АС.
В целом, периодический анализ риска необходим для планирования компромисса между степенью безопасности АС и ее качественными характеристиками, как-то: стоимость, производительность, функциональность, удобство работы, масштабируемость, совместимость и др.
Работа по анализу риска состоит в том, чтобы оценить величину рисков, выработать меры по их уменьшению и затем убедиться, что риски заключены в приемлемые рамки. Алгоритм анализа риска представлен на рисунке 6.1.
Анализ риска — процесс нелинейный и взаимосвязанный. Практически все его этапы связаны между собой, и по завершении почти любого из них может выявиться необходимость возврата к предыдущему.
Выбор анализируемых объектов и степени детализации
Выбор методологии оценки рисков
Идентификация активов
Реализация и проверка выбранных мер
Оценка остаточного риска
В настоящее время используются четыре подхода к анализу рисков. Они характеризуются в основном глубиной проведения анализа исходных данных и их выбор зависит от оценки ценности информационных ресурсов и возможных последствий нарушения режима информационной безопасности.
Базовый анализ рисков. Данный метод обычно не рассматривает ценность ресурсов и не оценивает эффективность контрмер. Методы данного класса применяются в случаях, когда к информационной системе не предъявляется повышенных требований в области информационной безопасности. Он заключается в использовании некоторого унифицированного набора требований к безопасности для всех систем одновременно. Средства защиты, определяемые посредством базового метода, как правило, реализуются с помощью штатных средств защиты информации, предоставляемых общесистемным программным обеспечением, а также соответствующими продуктами, предоставляемыми специализированными организациями.
Экспертный метод включает в себя проведение неформального, прагматического анализа риска и обычно не требует много ресурсов и времени. Метод не является систематическим или структурированным, а основан на знании или опыте эксперта. Данный метод не является эффективным для анализа риска в большинстве случаев.
Метод детального (полного) анализа – анализ рисков для информационных систем, предъявляющих повышенные требования в области информационной безопасности (более высокие, чем базовый уровень защищенности). Включает в себя определение ценности информационных ресурсов, оценку угроз и уязвимости, выбор адекватных контрмер, оценку их эффективности.
Метод комбинированного анализа рисков представляет собой сочетание нескольких рассмотренных методов.
Для того, чтобы дифференцированно подойти к выбору методов анализа риска, первоначально необходимо провести классификацию АС. Исходными данными для такой классификации являются:
- назначение АС;
- степень зависимости организации от АС (насколько функции, которые организация считает критичными для совей нормальной и эффективной работы, зависят от АС);
-уровня капиталовложений в АС, ее разработку, сопровождение, замену;
- непосредственной ценности для организации как ее собственности.
(См. Оков стр 83)
При проведении детального (полного) анализа риска необходимо:
1. Определить ценность ресурсов.
2. К стандартному набору добавить список угроз, актуальных для исследуемой информационной системы.
3. Оценить вероятность угроз.
4. Определить уязвимость ресурсов.
5. Выработка решений, обеспечивающих необходимый уровень информационной безопасности.
Риск характеризует опасность, которой может подвергаться система и использующая ее организация.
Степень риска зависит от следующих показателей:
1. Показателей ценности ресурсов.
2. Вероятности реализации угроз.
3. Простоты использования уязвимости при возникновении угроз.
4. Существующих или планируемых к внедрению средств обеспечения безопасности информации, которые уменьшают уязвимости, сокращают возникновение угроз и негативных воздействий.
Определение ценности ресурсов.
Основу процесса анализа риска составляет определение: что надо защищать, от кого и как. Для этого выявляются активы (компоненты АС), нуждающиеся в защите. Некоторые активы (например, технические и программные средства) идентифицируются очевидным образом. Про некоторые активы (люди, расходные материалы) часто забывают. При идентификации активов могут быть затронуты и нематериальные ценности, способные, однако, пострадать от нарушения режима безопасности, например: репутация компании, моральный климат в коллективе.
Выбор методологии оценки рисков