Читайте также:
|
Облік вимог часу, інтенсифікація наукових досліджень в різних сферах людських знань, стрімкий розвиток сучасних інформаційних і комп'ютерних технологій істотно випереджають темпи розробки рекомендаційної і нормативно-правової бази керівних документів, що діють на території Росії в області інформаційної безпеки. Положення посилюється і тією обставиною, що вимоги до оцінки рівня безпеки корпоративної інформаційної системи безперервно змінюються і підвищуються. В зв'язку з цим виникають питання розробки критеріїв оцінки ефективності захисту методів і методик оцінки інформаційних ризиків підприємства. Експансія інформаційних технологій у виробництво і управління сучасних організацій зумовлюють зростання інформаційних інфраструктур організацій, що частенько призводить до неструктурованого гетерогенного характеру комп'ютерних мереж і є основою неконтрольованого зростання уязвимостей, а також до збільшення можливостей несанкціонованого доступу до інформації. Практика використання окремих рішень по забезпеченню інформаційної безпеки показує, що не завжди враховується фундаментальна проблема достатність і ефективність систем захисту з точки зору користувача. При впровадженні різних засобів захисту необхідно визначити баланс між можливим збитком від несанкціонованого просочування інформації і розміром вкладень, які витрачені для забезпечення захищеності інформаційних ресурсів.
Одним з найбільш важливих міркувань при виборі методики оцінки ризику є те, що отримані результати мають бути ефективні при реалізації забезпечення системи захисту інформації. Використання складної методики, що вимагає точних початкових даних і має на виході неоднозначні результати, навряд чи допоможе створити ефективний захист. Мета оцінки ризику полягає в тому, щоб визначити ризик просочування інформації з корпоративної мережі підприємства. Процес оцінки ризику проводиться в два етапи. На першому етапі визначають межі мережі для аналізу і детальну конфігурацію корпоративної мережі, т. е. визначається модель комп'ютерної мережі підприємства. На другому етапі проводиться аналіз ризику. Аналіз ризику розбивається на ідентифікацію цінностей, загроз і вразливих місць, оцінку вірогідності і вимір ризику. Показники ресурсів, значущості загроз і уязвимостей, ефективності засобів захисту можуть бути визначені як кількісними методами, наприклад, при визначенні вартісних характеристик, так і якісними, наприклад, що враховують штатні або надзвичайно небезпечні дії зовнішнього середовища.
Нині відома безліч табличних методів оцінки інформаційних ризиків компанії. Ці методи оцінювання ризиків рекомендовані міжнародними стандартами інформаційної безпеки, головним чином ISO 17799(BS 7799). Істотно, що в цих рекомендованих методах кількісні показники існуючих або пропонованих фізичних ресурсів компанії оцінюються з точки зору вартості їх заміни або відновлення працездатності ресурсу. А існуючі або передбачувані програмні ресурси оцінюються так само, як і фізичні, т. е. за допомогою визначення витрат на їх придбання або відновлення.
Найбільше поширення серед методик оцінки ризиків отримала методика "матриці ризиків". Це досить проста методика аналізу ризиків. В процесі оцінки експертами визначаються вірогідність виникнення кожного ризику і розмір пов'язаних з ним втрат(вартість ризику). Причому оцінювання робиться за шкалою з трьома градаціями: " високою", " середньою", " низькою". На базі оцінок для окремих ризиків виставляється оцінка системі в цілому(у вигляді клітини в такій же матриці), а самі риски ранжируються. Ця методика дозволяє швидко і коректно зробити оцінку. Але, на жаль, дати інтерпретацію отриманих результатів не завжди можливо.
Крім того, в цій області розроблений механізм отримання оцінок ризиків на основі нечіткої логіки, який дозволяє замінити наближені табличні методи грубої оцінки ризиків сучасним математичним методом, адекватним даному завданню. Механізм оцінювання ризиків на основі нечіткої логіки по суті є експертною системою, в якій базу знань складають правила, що відбивають логіку взаємозв'язку вхідних величин і ризику. У простому випадку це " таблична" логіка, в загальному випадку складніша логіка, що відбиває реальні взаємозв'язки, які можуть бути формалізовані за допомогою продукційних правил виду "Якщо..., то". Крім того, механізм нечіткої логіки вимагає формування оцінок ключових параметрів і представлення їх у вигляді нечітких змінних. При цьому необхідно враховувати безліч джерел інформації і якість самої інформації. У загальному випадку це досить складне завдання. Проте у кожному конкретному випадку можуть бути знайдені і формально обгрунтовані її рішення.
Можна виділити наступні підходи розробників програмних засобів аналізу ризиків до рішення поставленої завдання:
- отримання оцінок ризиків тільки на якісному рівні;
- виведення кількісних оцінок ризиків на базі якісних, отриманих від експертів;
- отримання точних кількісних оцінок для кожного з ризиків;
- отримання оцінок механізмом нечіткої логіки.
Цінність інструментального засобу аналізу ризиків визначається в першу чергу тією методикою, яка покладена в його основу. Нині певну популярність здобули такі програмні продукти, як Risk Watch(США), CRAMM(Великобританія), COBRA(Великобританія), " Авангард"(Росія), ТРИФ(Росія), КОНДОР+ (Росія) і ряд інших. Ці програмні продукти базуються на різних підходах до аналізу ризиків і рішення різних аудиторських завдань. Зупинимося дещо детальніше на аналізі цих продуктів.
Дата добавления: 2015-11-14; просмотров: 103 | Нарушение авторских прав
| <== предыдущая страница | | | следующая страница ==> |
| Нейронні мережі і перспективна обчислювальна техніка. | | | Табличні методи оцінки ризиків компанії. |