Откройте актуальную версию документа прямо сейчас
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.
Приложение Е
(справочное)
Типология методов анализа риска
Анализ риска состоит из следующих этапов, приведенных в настоящем приложении, а также в ИСО/МЭК ТО 13335-4:
- идентификация и оценка активов (оценка возможного негативного воздействия на деловую деятельность);
- оценка угроз;
- оценка уязвимых мест;
- оценка существующих и планируемых средств защиты;
- оценка риска.
На заключительном этапе анализа риска должна быть проведена суммарная оценка риска. Как было установлено ранее (см. приложение В), активы, имеющие ценность и характеризующиеся определенной степенью уязвимости, всякий раз подвергаются риску в присутствии угроз. Оценка риска представляет собой оценку соотношения потенциальных негативных воздействий на деловую деятельность в случае нежелательных инцидентов и уровня оцененных угроз и уязвимых мест. Риск фактически является мерой незащищенности системы и связанной с ней организации. Величина риска зависит от;
- ценности активов;
- угроз и связанной с ними вероятности возникновения опасного для активов события;
- легкости реализации угроз в уязвимых местах с оказанием нежелательного воздействия;
- существующих или планируемых средств защиты, снижающих степень уязвимости, угроз и нежелательных воздействий.
Задача анализа риска состоит в определении и оценке рисков, которым подвергается система информационных технологий и ее активы, с целью определения и выбора целесообразных и обоснованных средств обеспечения безопасности. При оценке рисков рассматривают несколько различных его аспектов, включая воздействие опасного события и его вероятность.
Воздействие может быть оценено несколькими способами, в том числе количественно (в денежных единицах) и качественно (оценка может быть основана на использовании для сравнения прилагательных типа умеренное или серьезное), или их комбинацией. Для оценки воздействия необходимо рассчитать вероятность появления угрозы, время ее существования, время сохранения ценности актива и целесообразность защиты актива. На вероятность появления угрозы оказывают влияние следующие факторы:
- привлекательность актива - применяют при рассмотрении угрозы намеренного воздействия людей;
- доступность актива для получения материального вознаграждения - применяют при рассмотрении угрозы намеренного воздействия людей;
- технические возможности создателя угрозы - применяют при рассмотрении угрозы намеренного воздействия людей;
- вероятность возникновения угрозы;
- возможность использования уязвимых мест - применяют к уязвимым местам как технического, так и нетехнического характера.
Многие методы предлагают использование таблиц и различных комбинаций субъективных и эмпирических мер. В настоящее время нельзя говорить о правильном или неправильном методе анализа риска. Важно, чтобы организация пользовалась наиболее удобным и внушающим доверие методом, приносящим воспроизводимые результаты. Ниже приведены несколько примеров методов, основанных на применении таблиц:
Примеры
1 Матрица с заранее определенными значениями
В методах анализа риска такого типа фактические или предполагаемые физические активы оценивают на основе стоимости их замены или восстановления (то есть количественно). Затем эти количественные оценки преобразуют в шкалу качественных оценок, которая используется применительно к активам данных (см. ниже). Фактические или предполагаемые программные активы оценивают так же, как и физические активы с определением стоимости их покупки или восстановления, а затем эти количественные оценки преобразуют в шкалу качественных оценок, которая используется применительно к активам данных. Кроме того, если выяснится, что к конкретному прикладному программному обеспечению существуют свои внутренние требования по конфиденциальности или целостности (например, если исходный код сам является коммерческой тайной), то его оценивают тем же способом, что и активы данных.
Значения ценности активов данных определяют интервьюированием избранных сотрудников, занятых в сфере деловой деятельности ("владельцев данных"), которые могут высказывать компетентные суждения относительно данных, определять ценность и чувствительность данных, находящихся в использовании или подлежащих хранению или обработке с обеспечением доступа к ним. Такие интервью облегчают оценку ценности и чувствительности активов данных с учетом самых неблагоприятных вариантов развития событий, которые можно ожидать, руководствуясь разумными основаниями, и которые могут оказать негативное воздействие на деловую деятельность вследствие несанкционированных раскрытия информации, модификации, изменения смысла переданной информации, недоступности информации в различные периоды времени и уничтожения информации.
Оценку проводят на основе рекомендаций по оценке активов данных, которые охватывают:
- личную безопасность;
- персональные данные;
- обязанности соблюдать требования законов и подзаконных актов;
- правовое принуждение;
- коммерческие и экономические интересы;
- финансовые потери / нарушение нормального хода работ;
- общественный порядок;
- политику ведения бизнеса и деловых операций;
- потерю репутации.
Рекомендации облегчают определение значений на числовой шкале (например от 1 до 4), которая предусмотрена для матрицы, используемой в качестве примера (см. таблицу 1), позволяя, таким образом, использовать там, где возможно, количественные, а там, где невозможно, - логические и качественные оценки, например при оценивании степени угрозы для жизни людей.
Важным является также составление пар вопросников по каждому типу угрозы для каждой группы активов, к которым относится данный тип угрозы, что обеспечит возможность оценки уровней угроз (вероятности возникновения угроз) и уровней уязвимости (легкости реализации угроз в уязвимых местах с оказанием нежелательного воздействия). За ответ на каждый вопрос начисляют очки. Очки накапливают с использованием базы знаний и сравнивают с рангами, что позволяет определить уровни угроз (например по шкале с диапазоном уровней от "высокого" до "низкого") и соответственно уровни уязвимости (см. приведенную ниже матрицу), применительно к различным уровням воздействия. Ответы на вопросы, содержащиеся в вопросниках, получают в результате интервьюирования технических специалистов, персонала организации и специалистов по эксплуатации помещений, а также на основе физического обследования мест размещения аппаратуры и проверки состояния документации.
Типы учитываемых угроз распределяют по следующим группам: намеренные несанкционированные действия людей, действия сил природы, ошибки людей и сбои в оборудовании, программном обеспечении или линии связи.
Ценности активов, а также уровни угроз и уязвимости, соответствующие каждому типу воздействия вводят в матрицу для определения каждого сочетания соответствующих мер риска по шкале от 1 до 8. Значения величин размещают в матрице в структурированной форме в соответствии с таблицей 1.
Таблица 1
Ценность актива |
Уровень угрозы |
||||||||
Низкий |
Средний |
Высокий |
|||||||
Уровень уязвимости |
Уровень уязвимости |
Уровень уязвимости |
|||||||
Н |
С |
В |
Н |
С |
В |
Н |
С |
В |
|
0 |
0 |
1 |
2 |
1 |
2 |
3 |
2 |
3 |
4 |
1 |
1 |
2 |
3 |
2 |
3 |
4 |
3 |
4 |
5 |
2 |
2 |
3 |
4 |
3 |
4 |
5 |
4 |
5 |
6 |
3 |
3 |
4 |
5 |
4 |
5 |
6 |
5 |
6 |
7 |
4 |
4 |
5 |
6 |
5 |
6 |
7 |
6 |
7 |
8 |
Обозначение: Н - низкий, С - средний, В - высокий. |
Для каждого актива рассматривают уязвимые места и соответствующие им угрозы. Если имеются уязвимые места без соответствующей угрозы или угрозы без соответствующего уязвимого места, то считают, что в данное время риск отсутствует (необходимо проявлять осторожность на случай возможного изменения ситуации!). Затем идентифицируют соответствующий ряд матрицы по ценности актива, а соответствующую колонку - по степени угрозы и уязвимости. Например, если ценность актива равна 3, угрозу характеризуют как "высокую", а уязвимость - как "низкую", мера риска равна 5. Предположим, что ценность актива равна 2; при оценке, например угрозы модификации актива, угрозу характеризуют как "низкую", а уязвимость - как "высокую". В этом случае мера риска будет равна 4. Размер матрицы с точки зрения числа категорий, характеризующих степень угрозы, степень уязвимости и ценность актива выбирают в зависимости от потребностей организации. Дополнительные колонки и ряды дают дополнительное число мер риска. Ценность настоящего метода состоит в ранжировании соответствующих рисков.
2 Ранжирование угроз по мерам риска
Для установления пошаговой взаимозависимости между факторами воздействия (ценность актива) и вероятностью возникновения угрозы (с учетом аспектов уязвимости) может использоваться матрица или таблица (см. таблицу 2). Первый шаг - оценка воздействия (ценности актива) по заранее определенной шкале, например от 1 до 5, для каждого подвергаемого угрозе актива (колонка b в таблице 2). Второй шаг - оценка вероятности возникновения угрозы по заранее определенной шкале, например от 1 до 5, для каждой угрозы (колонка с в таблице 2). Третий шаг - расчет мер риска умножением результатов первых двух шагов (b - с). Теперь можно проранжировать опасности по значению коэффициента "подверженности воздействиям". В таблице 2 цифрой 1 обозначены самое малое воздействие и самая низкая вероятность возникновения угрозы.
Таблица 2
Дескриптор угроз
а |
Оценка воздействия (ценности актива) b |
Вероятность возникновения угрозы с |
Мера риска
d |
Ранг угрозы
е |
Угроза А |
5 |
2 |
10 |
2 |
Угроза В |
2 |
4 |
8 |
3 |
Угроза С |
3 |
5 |
15 |
1 |
Угроза D |
1 |
3 |
3 |
5 |
Угроза Е |
4 |
1 |
4 |
4 |
Угроза F |
2 |
4 |
8 |
3 |
Как показано выше, такой метод позволяет сравнивать и ранжировать по приоритетности разные угрозы с различными воздействиями и вероятности возникновения угрозы. В некоторых случаях необходимо соотнести используемые в этой процедуре эмпирические шкалы с денежными единицами.
3 Оценка частоты появления и возможного ущерба, связанного с рисками
В настоящем примере основное внимание уделяется воздействию нежелательных инцидентов и определению систем, которым следует предоставить приоритет. Для этого оценивают по два значения для каждого актива и риска, которые в разных комбинациях определяют оценку каждого актива. Вычисляют сумму оценок всех активов данной системы и определяют меру риска для данной системы информационных технологий.
Прежде всего определяют ценность каждого актива. Ценность актива связана с возможным повреждением актива, которому угрожают, и назначается для каждой угрозы, которой может подвергнуться данный актив.
Затем определяют значение частоты. Частоту оценивают по сочетанию вероятности возникновения угрозы и легкости возникновения угроз в уязвимых местах (см. таблицу 3).
Таблица 3
Частота |
Уровень угрозы |
||||||||
"Низкий" |
"Средний" |
"Высокий" |
|||||||
Уровень уязвимости |
Уровень уязвимости |
Уровень уязвимости |
|||||||
Н |
С |
В |
Н |
С |
В |
Н |
С |
В |
|
0 |
1 |
2 |
1 |
2 |
3 |
2 |
3 |
4 |
Затем по таблице 4 определяют оценки по активам/угрозам, находя пересечение колонки ценности актива и строки частоты. Оценки по активам/угрозам суммируют и определяют общую оценку актива. Эта оценка может быть использована для определения различий между активами, образующими часть системы.
Таблица 4
Частота |
Ценность актива |
||||
0 |
1 |
2 |
3 |
4 |
|
0 |
0 |
1 |
2 |
3 |
4 |
1 |
1 |
2 |
3 |
4 |
5 |
2 |
2 |
3 |
4 |
5 |
6 |
3 |
3 |
4 |
5 |
6 |
7 |
4 |
4 |
5 |
6 |
7 |
8 |
Последний шаг состоит в вычислении суммы оценок всех активов системы для определения оценки системы. Эта оценка может быть использована для определения различий между системами, а также для определения средств защиты системы, которые следует использовать в первую очередь.
В приведенных ниже примерах все значения величин выбраны случайным образом.
Предположим, что в системе S имеется три актива: А1, А2 и A3. Предположим также, что данная система может подвергаться двум угрозам: Т1 и Т2. Пусть ценность актива А1 будет равна 3, ценность актива А2 - 2 и ценность актива A3 - 4.
Если для сочетания актива А1 и угрозы Т1 вероятность возникновения угрозы мала, а легкость возникновения угрозы в уязвимых местах имеет среднее значение, то частота будет равна 1 (см. таблицу 3).
Оценка сочетания актива А1 и угрозы Т1 может быть взята по таблице 4 на пересечении колонки "ценность актива", равной 3, и строки "частота", равной 1. В данном случае эта оценка будет равна 4. Аналогично принимают для оценки сочетания актива А1 и угрозы Т2 среднюю вероятность возникновения угрозы и высокую легкость возникновения угрозы в уязвимых местах. Тогда оценка сочетания актива А1 и угрозы Т2 будет равна 6.
Затем вычисляют значение общей оценки А1Т, которая будет равна 10. Общую оценку активов рассчитывают для каждого актива и применимой угрозы. Общую оценку системы ST определяют по сумме А1Т + А2Т + А3Т.
Теперь можно сопоставить различные системы и различные активы внутри одной системы и установить приоритеты.
4 Разграничение между допустимыми и недопустимыми рисками
Другой способ измерения рисков состоит только в разграничении допустимых и недопустимых рисков. Предпосылка заключается в том, что меры рисков используют лишь для ранжирования областей по срочности принятия необходимых мер, что может быть достигнуто с затратой меньших усилий.
В соответствии с таким подходом применяемая матрица уже не содержит числовых значений, а только буквы Т (для допустимых рисков) и N (для недопустимых рисков). Так, например, матрица, используемая для метода 3, может быть преобразована в матрицу по таблице 5.
Таблица 5
Частота |
Ценность актива |
||||
0 |
1 |
2 |
3 |
4 |
|
0 |
Т |
Т |
Т |
Т |
N |
1 |
Т |
Т |
Т |
N |
N |
2 |
Т |
Т |
N |
N |
N |
3 |
Т |
N |
N |
N |
N |
4 |
N |
N |
N |
N |
N |
Эта матрица, как и предыдущие, приведена только в качестве примера. Обозначение границы между допустимыми и недопустимыми рисками - на усмотрение пользователя.
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.