 |
Оценивание уровней рисков
|
|
|
|
Рассмотрим пример метода, построенного на использовании таблиц и учитывающего только стоимостные характеристики ресурсов.
Ценность физических ресурсов оценивается с точки зрения стоимости их замены или восстановления работоспособности (то есть количественных показателей). Эти стоимостные величины затем преобразуются в качественную шкалу, которая используется также для информационных ресурсов. Програм-мные ресурсы оцениваются тем же способом, что и физические, исходя из затрат на их приобретение или восстановление.
Если для информационного ресурса существуют особенные требования к конфиденциальности или целостности (например, если исходный текст имеет высокую коммерческую ценность), то оценка этого ресурса производится по той же схеме, то есть в стоимостном выражении.
Количественные показатели информационных ресурсов оцениваются на основании опросов сотрудников компании (владельцев информации) — тех, кто может оценить ценность информации, определить ее характеристики и степень критичности. На основе результатов опроса производится оценивание показателей и степени критичности информационных ресурсов для наихудшего варианта развития событий. Рассматривается потенциальное воздействие на бизнес-процесс при возможном несанкционированном ознакомлении с информацией, изменении информации, отказе от выполнения обработки информации, недоступности на различные сроки и разрушении.
Далее разрабатывается система показателей в балльных шкалах (пример — четырехбалльная шкала (от 0 до 4), приведенная ниже). Таким образом, количественные показатели используются там, где это допустимо и оправданно, а качественные — там, где количественные оценки невозможны, например при угрозе человеческой жизни.
|
|
|
По каждой группе ресурсов, связанной с данной угрозой, оценивается уровень последней (вероятность реализации) и степень уязвимости (легкость, с которой реализованная угроза способна привести к негативному воздействию). Оценивание производится в качественных шкалах.
Например, уровень угроз и уровень уязвимостей можно оценить по шкале «высокий-средний-низкий». Информацию собирают, опрашивая сотрудников, занимающихся техническими вопросами, и анализируя документацию.
Пример.
Уровни риска определяются тремя параметрами: ценностью ресурса, уровнями угрозы и уязвимости.
Каждому значению уровня риска должно быть поставлено в соответствие описание, позволяющее однозначно его трактовать разным людям и понимать, где проходит граница между значениями.
Например, показатель риска измеряется в шкале от 0 до 8 со следующими определениями уровней риска:
1 — риск практически отсутствует. Теоретически возможны ситуации, при которых событие наступает, но на практике это случается редко, а потенциальный ущерб сравнительно невелик.
2 — риск очень мал. События подобного рода случались достаточно редко, кроме того, негативные последствия сравнительно невелики.
......
8 — риск очень велик. Событие скорее всего наступит, и последствия будут чрезвычайно тяжелыми.
Пример матрицы приводится в табл. 7.4.
Таблица 7.4. Пример матрицы
| Ценность рессурса | Уровень угрозы | ||||||||
| Низкий | Средний | Высокий | |||||||
| Уровни уязвимостей | Уровни уязвимостей | Уровни уязвимостей | |||||||
| Н | С | В | Н | С | В | Н | С | В | |
Для каждого ресурса рассматриваются относящиеся к нему уязвимые места и соответствующие им угрозы. Если уязвимость существует, но нет связанной с ней угрозы или существует угроза, не связанная с какими-либо уязвимыми местами, то в такой ситуации рисков нет. Однако надо иметь в виду, что в дальнейшем ситуация может измениться.
|
|
|
Каждая строка в матрице определяется показателем ресурса, а каждый столбец — степенью опасности угрозы и уязвимости. Например, ресурс имеет ценность 3, угроза имеет степень «высокая», а уязвимость — степень «низкая». Показатель риска в данном случае будет равен 5. В случае, когда ресурс имеет ценность 2, например для модификации, уровень угрозы низкий, а уязвимости, напротив, высокий, показатель риска окажется равен 4.
Размер матрицы, учитывающей количество степеней угроз и уязвимостей, категорий ресурсов, может быть другим и определяется конкретной организацией.
После того как оценивание рисков было выполнено первый раз, его результаты обычно сохраняют в базе данных. В дальнейшем проводить повторное оценивание будет значительно легче.
Разделение рисков на приемлемые и не приемлемые
Другой способ оценивания рисков состоит в разделении их только на приемлемые и не приемлемые. Подход основывается на том, что количественные показатели рисков используются только для их упорядочивания и определения первоочередных действий. Но этого можно достичь и с меньшими затратами.
Матрица, используемая в данном подходе, содержит не числа, а только символы Д (риск допустим) и Н (риск не допустим). Например, может быть использована матрица, представленная в табл.7.5.
Таблица 7.5. Пример матрицы
| Показатель ресурса | Показатель частоты | ||||
| Д | Д | Д | Д | Н | |
| Д | Д | Д | Н | Н | |
| Д | Д | Н | Н | Н | |
| Д | Н | Н | Н | Н | |
| Н | Н | Н | Н | Н |
Вопрос о том, как провести границу между приемлемыми и не приемлемыми рисками, остается на усмотрении пользователя.
Лекция 8. Процедурный уровень информационной безопасности
Основные классы мер процедурного уровня
Перейдем к рассмотрению мер безопасности, которые ориентированы на людей, а не на технические средства. Именно люди формируют режим информационной безопасности, и они же оказываются главной угрозой, поэтому "человеческий фактор" заслуживает особого внимания.
|
|
|
В российских компаниях накоплен богатый опыт регламентирования и реализации процедурных (организационных) мер, однако дело в том, что они пришли из "докомпьютерного" прошлого, поэтому требуют переоценки.
Следует осознать ту степень зависимости от компьютерной обработки данных, в которую попало современное общество. Без всякого преувеличения можно сказать, что необходима информационная гражданская оборона. Спокойно, без нагнетания страстей нужно разъяснять обществу не только преимущества, но и опасности, связанные с использованием информационных технологий. Акцент следует делать не на военной или криминальной стороне дела, а на гражданских аспектах, связанных с поддержанием нормального функционирования аппаратного и программного обеспечения, то есть концентрироваться на вопросах доступности и целостности данных.
На процедурном уровне можно выделить следующие классы мер:
· управление персоналом;
· физическая защита;
· поддержание работоспособности;
· реагирование на нарушения режима безопасности;
· планирование восстановительных работ.
|
|
|
