Читайте также:
|
|
В этом примере особое внимание уделяется последствиям инцидентов ИБ (сценариям инцидентов) и определению того, каким системам следует отдавать предпочтение. Это выполняется путем оценки двух значений - для каждого актива и риска, комбинация которых будет определять баллы для каждого актива. Когда суммируются все баллы активов системы, определяется мера риска для этой системы.
Сначала каждому активу присваивается ценность. Это значение связано с возможными неблагоприятными последствиями, которые могут возникать, если актив находится под угрозой. Эта ценность присваивается активу для каждого случая возникновения соответствующей активу угрозы. Потом оценивается значение вероятности. Оно оценивается исходя из комбинации степени вероятности возникновения угрозы и простоты использования уязвимости (см. таблицу Е.3, выражающую вероятность осуществления сценария инцидентов).
Таблица Е.3 - Оценка ценности для степени вероятности и возможных последствий рисков
Уровни угрозы | Низкая | Средняя | Высокая | ||||||
Уровни уязвимости | Н | С | В | Н | С | В | Н | С | В |
Значение степени вероятности |
Затем, находя пересечение линий значения ценности актива и значения степени вероятности в таблице Е.4, присваиваются баллы активу/угрозе. Баллы актива/угрозы подсчитываются, чтобы получить итоговые баллы для актива. Эта цифра может использоваться для проведения различий между активами, составляющими часть системы.
Таблица Е.4 - Ценности актива и значения степени вероятности
Значение степени вероятности | Ценность актива | ||||
Окончательный шаг заключается в подсчете всех итоговых баллов активов системы, чтобы получить баллы системы. Эта цифра может использоваться для проведения различий между системами и определения того, защите какой системы следует отдавать предпочтение.
В последующих примерах все значения выбраны случайно.
Предположим, что система С имеет три актива: А1, А2 и A3. Также предположим, что существуют две угрозы У1 и У2, применимые к системе С. Пусть ценность актива А1 будет 3, допустим также, что ценность актива А2 равна 2, а ценность актива A3 равна 4.
Если для А1 и У1 степень вероятности угрозы низкая, а простота использования уязвимости средняя, то значение степени вероятности равно 1 (см. таблицу Е.3).
Баллы для актива/угрозы А1/У1 могут быть выведены из таблицы Е.4 на пересечении линий ценности актива 3 и значения степени вероятности 1, т.е. равные 4. Аналогичным образом, пусть для А1/У2 степень вероятности угрозы будет средней, а простота использования уязвимости будет высокой, что даст для А1/У2 значение 6.
Теперь могут быть вычислены итоговые баллы актива А1У, т.е. равные 10. Итоговые баллы актива вычисляются для каждого актива и применимой угрозы. Итоговые баллы системы вычисляются путем суммирования А1У + А2У + А3У, что дает СУ.
Различные системы могут сравниваться для установления приоритетов, а также различных активов в пределах одной системы.
Приведенные выше примеры показаны с точки зрения информационных систем, однако аналогичный подход может быть применен и к бизнес-процессам.
Приложение F
(справочное)
Дата добавления: 2015-11-14; просмотров: 57 | Нарушение авторских прав
<== предыдущая страница | | | следующая страница ==> |
Е.2. Детальная оценка риска информационной безопасности | | | Музеи Беларуси в досоветский период: историко-краеведческий аспект |