Читайте также:
|
На практике часто возникает задача более глубокого расчёта информационных рисков (ожидаемого вероятностного ущерба), поэтому разработана методология оценки рисков по трём факторам:
· Вероятность реализации угрозы (угроза);
· Вероятность наличия уязвимости (уязвимость);
· Цена ожидаемых потерь
Два подхода:
1) Количественный на основе: Pриск=Pугр.*Pуязв.*Спотерь.
2) Качественный на основе таблично-экспертного подхода:
| Цена потерь (ущерб) (степень серьёзности происшествия) | Уровень угрозы | ||||||||
| Низкий | Средний | Высокий | |||||||
| Уровень уязвимости | Уровень уязвимости | Уровень уязвимости | |||||||
| Н | С | В | Н | С | В | Н | С | В | |
| Незначительный | |||||||||
| Несущественный | |||||||||
| Умеренный | |||||||||
| Серьёзный | |||||||||
| Критический |
Выходной параметр показателя риска измеряется в данном подходе по шкале от 0 до 8 с уровнями риска:
0 – риск отсутствует;
1 – Риск практически отсутствует, теоретически возможны ситуации, когда такие ситуации наступают, а потенциальный ущерб невелик;
2 – Риск очень мал, вероятность возникновения низка, потенциальный ущерб невелик;
8 – Риск очень велик, события, скорее всего наступят, а ущерб будет очень тяжёлым.
возможно сделать 4-ый фактор сделать модель 4D
Анализ информационных рисков позволяет на основании проведённых расчётов определить (обосновать) допустимые значения вероятностного ущерба (рисков) в рассматриваемой ситуации
Анализ проводится в след последовательности:
· Выбор анализируемых инф. объектов и степень их детализации
· Выбор ХЪ целесообразных методик оценки информационных рисков
· Идентификация активов
· Анализ информационных угроз и уязвимостей для рассматриваемых информационных объектов
· Реализация вычислительной процедуры по оценке рисков
· Выбор мероприятий по ЗИ
· Реализации и проверка эффективности выбранных мер по ЗИ
· Оценка остаточного риска
Существуют подходы анализа информационных рисков
· Статистический анализ (на основе учёта выявленных статистических данных - эмпирики)
· Анализ целесообразности затрат, с использованием метода ТСО
· Аналитический подход по мат. формулам
· Экспертные оценки
· Сравнительный метод
На первом этапе анализа рисков выбираются анализируемые объекты и обосновывается деятельность их рассмотрения (на основе принципа разумной достаточности)
Как правило для анализа с большей детализацией выбираются более важные объекты информационной безопасности, а также новые или модифицированные информационные объектов предприятия
На втором этапе выбирается количественная или качественная методика оценки рисков
На практике используют наиболее простые и наглядные методы расчёта, как правило построенные на теории вероятности
На третьем этапе происходит идентификация активов предусматривает прежде всего технические и программные средства обработки информации, а также люди
Основные категории активов информационных объектов
Персонал (кукловодство, пользователи, обслуживающий персонал)
Аппаратное обеспечение
Программное обеспечение
Информационное обеспечение (данные)
Документации
Расходные материалы
Результатом идентификации активов является построение информационной модели обработки закрытой информации на предприятии
Анализ угроз
На основании анализа угроз по указанным активам осуществляется их ранжирование по степеням возможного ущерба. При этом выявляются источники (нарушители), уязвимые места. И возможные информационные атаки.
Применительно к АС предприятия рассматриваются угрозы:
Нелегальное ознакомление
Несанкционированное уничтожение и модификация
Отказ в обслуживании
Этап оценки рисков предусматривает на практике последовательность действий:
· Экспертная оценка событий (труднопредсказуемых угроз)
· Использование выбранной методики оценки
· Анализ полученных оценок информационных рисков
· Формулирование общих направлений целесообразных мер по ЗИ
· В качестве методики оценки рисков на предприятии используется:
· Методика определения рисков по 3-х бальной шкале
· Метолика определения рисков с учётом потенциальных угроз и их последствий
· Статистическая оценка событий
· Метолика использования аналитических моделей, формульных зависимостей
· и т.д
· Методика оценки рисков на основе многофакторных испытаний
Соответствующие меры по ЗИ в интересах снижения инф рисков должны предусматривать:
Комплекс мер организационных, технических и тд
Управление информационными рисками – процесс выявления, оценки и снижения (минимизации) информационных рисков
Управление информационными рисками реализуется на практике на всех стадиях жизненного цикла защищаемой информационной системы (технологии):
· Предпроектная стадия создания информационной системы (технологии), при этом выявляются основные классы информационных рисков для будущей ИС
· Непосредственное проектирование ИС, выявляются информационных рисков вытекающие из особенности архитектуры, разрабатываемой ИС
· Построение, создание ИС (монтаж, настройка, конфигурирование) Идентифицируются все классы информационных рисков до начала функционирования ИС
· Функционирование ИС (технологии)
При этом осуществляется периодическая оценка информационных рисков с учётом ХЪ происходящих изменений и конфигурации
· Прекращение функционирование ИС, включая и утилизацию
Дата добавления: 2015-11-30; просмотров: 45 | Нарушение авторских прав