• Analýza rizik informační bezpečnosti v bankovním sektoru na příkladu „unicredit banky“. Vícerozměrná analýza rizik informační bezpečnosti. Přístupy a metody

    Jak správně posoudit rizika informační bezpečnosti – náš recept

    Úkol hodnotit rizika informační bezpečnosti je dnes odbornou veřejností vnímán nejednoznačně a má to několik důvodů. Za prvé, neexistuje žádný zlatý standard nebo uznávaný přístup. Četné standardy a metodiky, i když jsou si obecně podobné, se v detailech výrazně liší. Použití té či oné metody závisí na oblasti a předmětu hodnocení. Ale výběr správné metody může být problém, pokud mají účastníci procesu hodnocení odlišný výkon o něm a jeho výsledcích.

    Za druhé, hodnocení rizik informační bezpečnosti je čistě odborným úkolem. Analýza rizikových faktorů (jako je poškození, hrozba, zranitelnost atd.) prováděná různými odborníky často poskytuje různé výsledky. Nedostatečná reprodukovatelnost výsledků hodnocení vyvolává otázku spolehlivosti a užitečnosti získaných dat. Lidská přirozenost je taková, že abstraktní odhady, zejména ty, které se týkají pravděpodobnostních jednotek měření, jsou lidmi vnímány různými způsoby. Stávající aplikované teorie navržené tak, aby zohledňovaly míru subjektivního vnímání člověka (např. prospektová teorie), komplikují již tak komplikovanou metodologii analýzy rizik a nepřispívají k její popularizaci.

    Za třetí, samotný postup hodnocení rizik ve svém klasickém smyslu, s rozkladem a inventarizací majetku, je velmi pracný úkol. Pokus o ruční analýzu pomocí běžných kancelářských nástrojů (jako jsou tabulky) se nevyhnutelně utopí v moři informací. Specializované softwarové nástroje určené ke zjednodušení jednotlivých fází analýzy rizik do určité míry usnadňují modelování, ale vůbec nezjednodušují sběr a systematizaci dat.

    A konečně samotná definice rizika v kontextu problému informační bezpečnosti ještě není vyřešena. Stačí se podívat na změny v terminologii v ISO Guide 73:2009 ve srovnání s verzí z roku 2002. Zatímco dříve bylo riziko definováno jako potenciál poškození v důsledku zneužití zranitelnosti hrozbou, nyní je to účinek odchylky od očekávaných výsledků. K podobným koncepčním změnám došlo v novém vydání ISO/IEC 27001:2013.

    Z těchto a řady dalších důvodů se k hodnocení rizik informační bezpečnosti přistupuje v nejlepším případě opatrně a v horším případě s velkou nedůvěrou. To diskredituje samotnou myšlenku řízení rizik, což vede k sabotáži tohoto procesu ze strany vedení a v důsledku toho ke vzniku mnoha incidentů, které jsou plné výročních analytických zpráv.

    Vzhledem k výše uvedenému, z jaké strany je lepší přistupovat k úkolu hodnocení rizik informační bezpečnosti?

    Svěží vzhled

    Informační bezpečnost se dnes stále více zaměřuje na obchodní cíle a je zabudována do obchodních procesů. K podobným metamorfózám dochází s hodnocením rizik – získává potřebný obchodní kontext. Jaká kritéria by měla splňovat moderní metodika hodnocení rizik IS? Je zřejmé, že by měl být dostatečně jednoduchý a univerzální, aby výsledky jeho aplikace byly věrohodné a užitečné pro všechny účastníky procesu. Vyjmenujme několik principů, na kterých by taková technika měla být založena:

    1. vyhnout se přílišným detailům;
    2. spoléhat na názor podniku;
    3. používat příklady;
    4. zvážit externí zdroje informace.

    Podstatu navržené metodiky nejlépe demonstruje praktický příklad. Zvažte úkol hodnocení rizik informační bezpečnosti v obchodní a výrobní společnosti. Kde to obvykle začíná? Z vymezení hranic posouzení. Pokud se hodnocení rizik provádí poprvé, hranice by měly zahrnovat hlavní obchodní procesy, které generují výnosy, a také procesy, které jim slouží.

    Pokud obchodní procesy nejsou zdokumentovány, lze o nich získat obecnou představu prozkoumáním organizační struktury a předpisů o odděleních, které obsahují popis cílů a záměrů.

    Po určení hranic hodnocení přejděme k identifikaci aktiv. V souladu s výše uvedeným budeme hlavní obchodní procesy považovat za agregovaná aktiva, čímž odložíme inventarizaci informačních zdrojů pro Další kroky(pravidlo 1). Je to dáno tím, že metodika zahrnuje postupný přechod od obecného ke konkrétnímu a na této úrovni detailu tyto údaje prostě nejsou potřeba.

    Rizikové faktory

    Budeme předpokládat, že jsme se rozhodli o skladbě oceňovaného majetku. Dále musíte identifikovat hrozby a zranitelná místa, která jsou s nimi spojena. Tento přístup je však použitelný pouze při provádění podrobné analýzy rizik, kdy jsou předmětem hodnocení objekty prostředí informačních aktiv. Nová verze ISO/IEC 27001:2013 přesunula těžiště hodnocení rizik z tradičních IT aktiv na informace a jejich zpracování. Vzhledem k tomu, že při současné úrovni podrobností uvažujeme o agregovaných obchodních procesech společnosti, stačí identifikovat pouze rizikové faktory vysoké úrovně, které jsou jim vlastní.

    Rizikový faktor je specifická charakteristika objektu, technologie nebo procesu, která je zdrojem problémů v budoucnosti. O přítomnosti rizika jako takového lze přitom hovořit pouze v případě, že problémy mají negativní dopad na výkonnost firmy. Je vytvořen logický řetězec:

    Úkol identifikace rizikových faktorů se tak redukuje na identifikaci neblahých vlastností a charakteristik procesů, které určují pravděpodobné rizikové scénáře, které Negativní vliv pro obchod. Pro zjednodušení jeho řešení využijeme obchodní model informační bezpečnosti vyvinutý sdružením ISACA (viz obr. 1):

    Rýže. 1. Obchodní model informační bezpečnosti

    Uzly modelu označují základní hybné síly jakékoli organizace: strategii, procesy, lidi a technologie a jeho hrany představují funkční vazby mezi nimi. V těchto žebrech se v podstatě koncentrují hlavní rizikové faktory. Jak je dobře vidět, rizika jsou spojena nejen s informačními technologiemi.

    Jak identifikovat rizikové faktory na základě výše uvedeného modelu? Je nutné do toho zapojit i podnikání (pravidlo 2). Obchodní jednotky si obvykle dobře uvědomují problémy, kterým při své práci čelí. Často se připomínají zkušenosti kolegů z branže. Tyto informace můžete získat položením správných otázek. Otázky týkající se personálu by měly být směrovány na lidské zdroje, technologické problémy na automatizaci (IT) a záležitosti obchodních procesů na příslušné obchodní jednotky.

    V úloze identifikace rizikových faktorů je výhodnější vycházet z problémů. Po identifikaci jakéhokoli problému je nutné určit jeho příčinu. V důsledku toho může být identifikován nový rizikový faktor. Hlavním problémem je zde nerolovat. Pokud například došlo k incidentu v důsledku protiprávního jednání zaměstnance, nebude rizikovým faktorem to, že zaměstnanec porušil ustanovení nějakého předpisu, ale to, že se jednání stalo možné. Předpokladem vzniku problému je vždy rizikový faktor.

    Aby personál lépe porozuměl tomu, na co se přesně ptá, je vhodné otázky doplnit příklady (pravidlo 3). Níže jsou uvedeny příklady několika rizikových faktorů vysoké úrovně, které mohou být společné mnoha podnikovým procesům:

    Personál:

    • Nedostatečná kvalifikace (okraj lidských faktorů na obr. 1)
    • Nedostatek zaměstnanců (vznik žeber)
    • Nízká motivace (kultura žeber)

    Procesy:

    • Častá změna vnějších požadavků (řídící hrana)
    • Nedostatečně vyvinutá automatizace procesů (Enabling & Support edge)
    • Kombinace rolí podle účinkujících (vznik žeber)

    Technologie:

    • Starší software (Eabling & Support edge)
    • Špatná uživatelská odpovědnost (omezená lidskými faktory)
    • Heterogenní IT prostředí (hrana architektury)

    Důležitou výhodou navržené metody hodnocení je možnost křížové analýzy, kdy dvě různá oddělení posuzují stejný problém z různých úhlů pohledu. S ohledem na tuto okolnost je velmi užitečné klást dotazovaným otázky typu: „Co si myslíte o problémech, které vaši kolegové identifikovali?“. Je to skvělý způsob, jak získat další známky a také upravit ty stávající. Pro upřesnění výsledku lze provést několik kol takového hodnocení.

    Dopad na podnikání

    Jak vyplývá z definice rizika, je charakterizováno mírou dopadu na obchodní výkonnost organizace. Pohodlným nástrojem, který vám umožní určit povahu dopadu scénářů implementace rizik na podnikání, je systém Balanced Scorecards. Aniž bychom zacházeli do podrobností, poznamenáváme, že Balanced Scorecards identifikuje 4 obchodní vyhlídky pro každou společnost, které spolu hierarchicky souvisí (viz obr. 2).

    Rýže. 2. Čtyři obchodní perspektivy Balanced Scorecard

    Ve vztahu k uvažované metodice lze riziko považovat za významné, pokud negativně ovlivňuje alespoň jednu z následujících tří podnikatelských perspektiv: finance, zákazníci a/nebo procesy (viz obr. 3).

    Rýže. 3. Klíčové ukazatele podnikání

    Například rizikový faktor „Nízká uživatelská odpovědnost“ může vést ke scénáři „Únik informací o zákazníkovi“. To zase ovlivní obchodní metriku počtu zákazníků.

    Pokud společnost vyvinula obchodní metriky, značně to zjednodušuje situaci. Kdykoli je možné sledovat dopad konkrétního rizikového scénáře na jeden nebo více obchodních ukazatelů, lze odpovídající rizikový faktor považovat za významný a výsledky jeho vyhodnocení by měly být zaznamenány v dotaznících. Čím výše v hierarchii obchodních metrik je dopad scénáře, tím větší je potenciální dopad na podnikání.

    Úkol analyzovat tyto důsledky je odborným úkolem, proto by měl být řešen se zapojením specializovaných obchodních jednotek (pravidlo 2). Pro dodatečnou kontrolu získaných odhadů je užitečné použít externí zdroje informací obsahující statistické údaje o velikosti ztrát v důsledku incidentů (pravidlo 4), například výroční zprávu Cost of Data Breach Study.

    Skóre pravděpodobnosti

    V konečné fázi analýzy je u každého identifikovaného rizikového faktoru, jehož dopad na podnikání lze určit, nutné posoudit pravděpodobnost scénářů s ním spojených. Na čem toto hodnocení závisí? Do značné míry z dostatku ochranných opatření zavedených ve společnosti.

    Zde je malé upozornění. Je logické předpokládat, že když byl problém identifikován, znamená to, že je stále aktuální. Realizovaná opatření přitom s největší pravděpodobností nestačí k narovnání předpokladů pro její vznik. O dostatečnosti protiopatření rozhodují výsledky hodnocení efektivity jejich aplikace např. pomocí systému metrik.

    Pro hodnocení můžete použít jednoduchou 3-úrovňovou stupnici, kde:

    3 - realizovaná protiopatření jsou obecně dostatečná;

    2 - protiopatření jsou implementována nedostatečně;

    1 - žádná protiopatření.

    Jako referenční knihy popisující protiopatření můžete použít specializované normy a směrnice, jako je CobiT 5, ISO / IEC 27002 atd. Každé protiopatření by mělo být spojeno s určitým rizikovým faktorem.

    Je důležité si uvědomit, že analyzujeme rizika spojená nejen s používáním IT, ale také s organizací interní informační procesy ve společnosti. Proto by měla být protiopatření zvažována šířeji. Ne nadarmo nová verze ISO/IEC 27001:2013 obsahuje klauzuli, že při volbě protiopatření je nutné použít jakékoli externí zdroje (pravidlo 4), a nikoli pouze přílohu A, která je v normě pro referenční účely.

    Velikost rizika

    Chcete-li určit konečnou hodnotu rizika, můžete použít nejjednodušší stůl(viz tabulka 1).

    Tab. 1. Matice hodnocení rizik

    V případě, že rizikový faktor ovlivňuje několik obchodních perspektiv, jako jsou „Zákazníci“ a „Finance“, jsou jejich ukazatele shrnuty. Dimenze škály, stejně jako přijatelné úrovně rizik IS, lze určit jakýmkoli pohodlným způsobem. Ve výše uvedeném příkladu jsou rizika s úrovněmi 2 a 3 považována za vysoká.

    V tomto okamžiku lze považovat první fázi hodnocení rizik za dokončenou. Konečná hodnota rizika spojeného s posuzovaným obchodním procesem je stanovena jako součet složených hodnot pro všechny identifikované faktory. Za vlastníka rizika lze považovat osobu odpovědnou ve společnosti za posuzovaný objekt.

    Výsledné číslo nám neříká, kolik peněz organizaci hrozí ztráta. Místo toho označuje oblast koncentrace rizik a povahu jejich dopadu na výkonnost podniku. Tyto informace jsou nezbytné, abychom se mohli dále zaměřit na nejdůležitější detaily.

    Detailní posouzení

    Hlavní výhodou této techniky je, že umožňuje provádět analýzu rizik informační bezpečnosti s požadovanou úrovní detailů. V případě potřeby můžete „propadnout“ do prvků modelu bezpečnosti informací (obr. 1) a podrobněji je zvážit. Například identifikací nejvyšší koncentrace rizika v okrajích souvisejících s IT můžete zvýšit úroveň detailů technologického uzlu. Jestliže dříve fungoval jako objekt hodnocení rizik samostatný podnikový proces, nyní se pozornost přesune na konkrétní informační systém a procesy jeho použití. Aby byla zajištěna požadovaná úroveň podrobností, může být vyžadován soupis informačních zdrojů.

    To vše platí i pro ostatní oblasti hodnocení. Když změníte detail uzlu Lidé, objekty hodnocení se mohou stát personální role nebo dokonce jednotliví zaměstnanci. Pro uzel Process to mohou být specifické pracovní zásady a postupy.

    Změnou úrovně detailů se automaticky změní nejen rizikové faktory, ale i použitelná protiopatření. Obojí bude specifičtější pro předmět hodnocení. Obecný přístup k provádění hodnocení rizik se však nezmění. Pro každý identifikovaný faktor bude nutné vyhodnotit:

    • míra dopadu rizika na obchodní vyhlídky;
    • dostatek protiopatření.

    Ruský syndrom

    Vydání normy ISO/IEC 27001:2013 postavilo mnoho ruských společností do obtížné pozice. Na jedné straně již vyvinuli určitý přístup k hodnocení rizik informační bezpečnosti, založený na klasifikaci informačních aktiv, hodnocení hrozeb a zranitelností. Národním regulátorům se podařilo vydat řadu předpisů podporujících tento přístup, například standard Bank of Russia, příkazy FSTEC. Na druhou stranu úkol hodnocení rizik je již dávno pro změnu a nyní je nutné upravit zavedený řád tak, aby vyhovoval starým i novým požadavkům. Ano, dnes je stále možné získat certifikaci podle normy GOST R ISO / IEC 27001:2006, která je shodná s předchozí verze ISO/IEC 27001, ale ne na dlouho.

    Výše zmíněná metodika analýzy rizik řeší tento problém. Kontrolou úrovně podrobností v hodnocení můžete zvážit aktiva a rizika v jakémkoli měřítku, od obchodních procesů až po jednotlivé informační toky. Tento přístup je také výhodný, protože umožňuje pokrýt všechna rizika na vysoké úrovni, aniž by něco chybělo. Zároveň společnost výrazně sníží mzdové náklady na další analýzy a nebude ztrácet čas detailním hodnocením nevýznamných rizik.

    Je třeba poznamenat, že čím podrobnější je oblast hodnocení, tím větší odpovědnost leží na expertech a tím větší je požadovaná kompetence, protože když se změní hloubka analýzy, změní se nejen rizikové faktory, ale také krajina použitelných protiopatření.

    Přes všechny pokusy o zjednodušení je analýza rizik informační bezpečnosti stále časově náročná a složitá. Vedoucí tohoto procesu má zvláštní odpovědnost. Mnoho věcí bude záviset na tom, jak kompetentně vybuduje přístup a jak se s úkolem vypořádá – od přidělení rozpočtu na bezpečnost informací až po udržitelnost podnikání.

    Je známo, že riziko je pravděpodobnost realizace hrozby pro informační bezpečnost. V klasickém pojetí zahrnuje hodnocení rizik hodnocení hrozeb, zranitelností a škod způsobených jejich implementací. Analýza rizik spočívá v modelování obrazu nástupu těchto nejnepříznivějších podmínek se zohledněním všech možných faktorů, které určují riziko jako takové. Z matematického hlediska lze v analýze rizik takové faktory považovat za vstupní parametry.

    Uveďme si tyto možnosti:
    1) aktiva – klíčové součásti systémové infrastruktury zapojené do obchodního procesu a mající určitou hodnotu;
    2) hrozby, jejichž implementace je možná prostřednictvím využití zranitelnosti;
    3) zranitelnosti – slabina v prostředcích ochrany způsobená chybami nebo nedokonalostmi v postupech, návrhu, implementaci, kterou lze využít k průniku do systému;
    4) škoda, která se odhaduje s ohledem na náklady na obnovu systému v výchozí stav po možném incidentu informační bezpečnosti.

    Prvním krokem při provádění vícerozměrné analýzy rizik je tedy identifikace a klasifikace analyzovaných vstupních parametrů. Dále je nutné seřadit každý parametr podle úrovní významnosti (například: vysoká, střední, nízká). V konečné fázi modelování pravděpodobného rizika (před přijetím číselných údajů o úrovni rizika) jsou identifikované hrozby a zranitelnosti propojeny s konkrétními komponentami IT infrastruktury (takové propojení může zahrnovat např. analýzu rizik s a bez zohlednění dostupnosti nástrojů ochrany systému, pravděpodobnosti, že systém bude kompromitován v důsledku nezvážených faktorů atd.). Pojďme si projít procesem modelování rizik krok za krokem. K tomu v prvé řadě věnujme pozornost majetku společnosti.

    Inventarizace majetku společnosti
    (CHARAKTERIZACE SYSTÉMU)

    Nejprve je nutné určit, co je cenným aktivem společnosti z hlediska informační bezpečnosti. Norma ISO 17799, která podrobně popisuje postupy pro systém řízení bezpečnosti informací, identifikuje následující typy aktiv:
    . informační zdroje (databáze a soubory, smlouvy a dohody, systémová dokumentace, výzkumné informace, dokumentace, školicí materiály atd.);
    . software;
    . peníze ( počítačové vybavení, telekomunikační prostředky atd.);
    . služby (telekomunikační služby, systémy podpory života atd.);
    . zaměstnanci společnosti, jejich kvalifikace a zkušenosti;
    . nehmotné zdroje (reputace a image firmy).

    Mělo by být stanoveno, které narušení bezpečnosti informací aktiv by mohlo společnost poškodit. V tomto případě bude aktivum považováno za cenné a bude nutné jej zohlednit při analýze informačních rizik. Inventarizace spočívá v sestavení seznamu hodnotného majetku společnosti. Tento proces zpravidla provádějí vlastníci aktiv. Pojem „vlastník“ definuje osoby nebo strany, které mají vedením společnosti schválené odpovědnosti řídit tvorbu, rozvoj, údržbu, užívání a ochranu majetku.

    V procesu kategorizace majetku je nutné posoudit kritičnost majetku pro obchodní procesy společnosti, nebo jinými slovy určit, jak velká škoda vznikne společnosti v případě narušení informační bezpečnosti majetku. Tento proces způsobuje největší potíže, protože. hodnota majetku je stanovena na základě znaleckých posudků jejich vlastníků. Během této fáze probíhají časté diskuse mezi konzultanty rozvoje systémů řízení a vlastníky aktiv. To pomáhá vlastníkům aktiv pochopit, jak určit hodnotu aktiv z hlediska informační bezpečnosti (proces určování kritičnosti aktiv je pro vlastníka zpravidla nový a netriviální). Kromě toho se pro vlastníky aktiv vyvíjejí různé metody oceňování. Tyto metodiky mohou zejména obsahovat specifická kritéria (relevantní pro danou společnost), která by měla být zohledněna při posuzování kritičnosti.

    Posouzení kritickosti aktiv

    Kritičnost aktiv se posuzuje ve třech dimenzích: důvěrnost, integrita a dostupnost. Tito. je nutné posoudit škodu, kterou společnost utrpí v případě porušení důvěrnosti, integrity nebo dostupnosti majetku. Kritičnost aktiv lze hodnotit v peněžních jednotkách a úrovních. S ohledem na skutečnost, že pro analýzu informačních rizik jsou potřebné hodnoty v peněžních jednotkách, je však v případě hodnocení kritičnosti aktiv v úrovních nutné určit hodnocení každé úrovně v penězích.

    Podle směrodatné klasifikace NIST obsažené v PŘÍRUČCE PRO ŘÍZENÍ RIZIK PRO SYSTÉMY INFORMAČNÍCH TECHNOLOGIÍ kategorizaci a hodnocení hrozeb předchází přímá identifikace jejich zdrojů. Takže podle výše uvedené klasifikace lze identifikovat hlavní zdroje hrozeb, mezi které patří:
    . hrozby přírodního původu (zemětřesení, povodně atd.);
    . lidské hrozby (neoprávněný přístup, síťové útoky, uživatelské chyby atd.);
    . hrozby technogenního původu (nehody různého druhu, výpadky elektřiny, chemické znečištění atd.).

    Výše uvedenou klasifikaci lze dále podrobněji kategorizovat.
    Mezi nezávislé kategorie zdrojů hrozeb pocházejících od člověka tedy podle zmíněné klasifikace NIST patří:
    - hackeři;
    - zločinecké struktury;
    - teroristé;
    - společnosti zabývající se průmyslovou špionáží;
    - zasvěcenci.
    Každá z uvedených hrozeb by měla být podrobně popsána a posouzena na škále významnosti (například: nízká, střední, vysoká).

    Je zřejmé, že analýza hrozeb by měla být zvažována v úzké souvislosti se zranitelností systému, který studujeme. Cílem tohoto kroku řízení rizik je vyjmenovat možná zranitelnost systému a kategorizovat je podle jejich „síly“. Gradaci zranitelností lze tedy podle celosvětové praxe rozdělit do úrovní: Kritická, Vysoká, Střední, Nízká. Podívejme se na tyto úrovně podrobněji:

    1. Kritická úroveň nebezpečí. Tato úroveň nebezpečí zahrnuje zranitelnosti, které umožňují kompromitaci vzdáleného systému bez dalšího dopadu ze strany cílového uživatele a jsou v současné době aktivně využívány. Tato úroveň závažnosti znamená, že zneužití je ve veřejné doméně.

    2. Vysoký stupeň nebezpečí. Tato úroveň závažnosti zahrnuje zranitelnosti, které umožňují kompromitaci vzdáleného systému. Zpravidla neexistuje žádný veřejně dostupný exploit pro takové zranitelnosti.

    3. Průměrný stupeň nebezpečí. Tato úroveň závažnosti zahrnuje zranitelnosti, které umožňují vzdálené odmítnutí služby, neoprávněný přístup k datům nebo spuštění libovolného kódu prostřednictvím přímé interakce uživatele (například prostřednictvím zranitelné aplikace připojující se ke škodlivému serveru).

    4. Nízká úroveň nebezpečí. Tato úroveň zahrnuje všechny zranitelnosti, které jsou zneužívány lokálně, i zranitelnosti, které je obtížné zneužít nebo které mají minimální dopad (například XSS, odmítnutí služby klientské aplikace).

    Zdroj pro sestavení takového seznamu/seznamu zranitelností by měl být:
    . veřejně dostupné pravidelně zveřejňované seznamy zranitelností (příklad: www.securitylab.ru);
    . seznam zranitelností zveřejněný výrobcem softwaru (například: www.apache.org);
    . výsledky penetračního testu (například: www.site-sec.com);
    . analýza zpráv o skeneru zranitelnosti (provádí bezpečnostní správce v rámci společnosti).

    Obecně lze zranitelnosti klasifikovat takto:
    . Zranitelnosti OS a softwaru (chyby v kódu) objevené výrobcem nebo nezávislými odborníky (v době psaní tohoto článku celkový počet zjištěných zranitelností dosahoval přibližně ~ 1900 – to zahrnuje zranitelnosti zveřejněné v „bugtracks“ na xakep.ru, securitylab, milw0rm. com a securityfocus .com).
    . Systémová zranitelnost spojená s chybami administrace (neadekvátní nastavení webového serveru nebo PHP pro prostředí, porty se zranitelnými službami neuzavřené firewallem atd.).
    . Zranitelnosti, jejichž zdrojem mohou být incidenty nepokryté bezpečnostní politikou, ale i spontánní události. Přetečení vyrovnávací paměti je ukázkovým příkladem běžné zranitelnosti operačního systému a softwaru. Mimochodem, drtivá většina aktuálně existujících exploitů implementuje třídu zranitelností pro přetečení bufferu.

    Numerické metody hodnocení rizik

    Nejjednodušší hodnocení informačních rizik spočívá ve výpočtu rizik, který se provádí s přihlédnutím k informacím o kritičnosti aktiv a také pravděpodobnosti zneužití zranitelnosti.
    Klasický vzorec pro hodnocení rizik:
    R=D*P(V), kde R je informační riziko;
    D - kritičnost aktiv (škoda);
    P(V) - pravděpodobnost implementace zranitelnosti.
    Jedním z příkladů praktické implementace výše uvedeného přístupu ke stanovení úrovně rizika je matice rizik navržená NIST.

    Threat Pravděpodobnost-hrozba (její pravděpodobnost)Poškození nárazem
    Nízká (nízká) - 10Střední (střední) -50Vysoká (vysoká) -100
    Vysoká (vysoká) - 1Nízká (nízká) 10x1=10Střední (střední) 50x1=50Vysoká (vysoká) 100x1=100
    Střední (střední) - 0,5Nízká (nízká) 10x0,5=5Střední (střední) 50x0,5=25Střední (střední) 100x0,5=50
    Nízká (nízká) - 0,1Nízká (nízká) 10x0,1=1Nízká (nízká) 50x0,1=5Nízká (nízká) 100x0,1=10
    Úroveň rizika: Vysoká (50 až 100); Střední (od 10 do 50); Nízká (od 1 do 10).

    Každý z možných vstupních parametrů (např. zranitelnost, hrozba, aktivum a poškození) je popsán svou členskou funkcí s přihlédnutím k odpovídajícímu koeficientu.

    Hodnocení rizik na základě fuzzy logiky

    Mechanismy hodnocení rizik založené na fuzzy logice zahrnují posloupnost fází, z nichž každá využívá výsledky předchozí fáze. Pořadí těchto kroků je obvykle následující:
    . Zadávání programových pravidel ve formě produkčních pravidel ("KDYŽ, ... PAK"), odrážejících vztah mezi úrovní vstupních dat a úrovní rizika na výstupu.
    . Nastavení funkce příslušnosti vstupních proměnných (jako příklad pomocí specializované programy jako "Fuzyy logic" - in tento příklad použili jsme MatLab).
    . Získání primárního výsledku odhadů vstupních proměnných.
    . Fuzzifikace odhadů vstupních proměnných (zjištění konkrétních hodnot funkcí příslušnosti).
    . Agregace (zahrnuje kontrolu pravdivosti podmínek transformací funkcí příslušnosti pomocí fuzzy konjunkce a fuzzy disjunkce).
    . Aktivace závěrů (zjištění váhových koeficientů pro každé z pravidel a pravdivostních funkcí).
    . Akumulace závěrů (zjištění funkce příslušnosti pro každou z výstupních proměnných).
    . Defuzzifikace (zjištění jasných hodnot výstupních proměnných).

    Ve výše uvedeném příkladu (tabulka 1.1.) byl tedy skutečně uvažován dvouparametrový algoritmus hodnocení rizik s tříúrovňovými stupnicemi vstupních parametrů. kde:
    . pro vstupní hodnoty a riziko byly nastaveny tříúrovňové škály, na kterých byly definovány fuzzy pojmy (odpovídají „velkým“, „středním“ a „nízkým“ hodnotám proměnných - viz obr. 1);
    . význam všech logických inferenčních pravidel je stejný (všechny váhové koeficienty produkčních pravidel se rovnají jedné).

    Rýže. 1. Funkce lichoběžníkového členství na třístupňové škále "zranitelnosti"

    Je zřejmé, že dvouparametrový algoritmus, který počítá se vstupem dvou vstupních proměnných, nemůže poskytnout objektivní výsledek analýzy rizik, zejména s přihlédnutím k mnoha faktorům – vstupním proměnným, které mimochodem odrážejí skutečný obraz rizika IS. Posouzení.

    Čtyřparametrový algoritmus

    Předpokládejme, že pomocí produkčních pravidel fuzzy logiky je nutné reprodukovat inferenční mechanismus s přihlédnutím ke čtyřem vstupním proměnným. V tomto případě se jedná o tyto proměnné:
    . aktiva;
    . zranitelnost;
    . hrozba (nebo spíše její pravděpodobnost);
    . poškození.

    Každá z uvedených vstupních proměnných je vyhodnocena na vlastní stupnici. Předpokládejme tedy, že na základě předběžné analýzy byly získány odhady vstupních proměnných (obr. 2):

    Rýže. 2. Zadávání odhadů proměnných a inferenční mechanismus

    Na nejjednodušším příkladu zvažte formu produkčních pravidel pro určitý případ s tříúrovňovou stupnicí:

    Rýže. 3. Produkční pravidla čtyřparametrového algoritmu

    Grafické rozhraní Fuzzy Logic Toolbox v tomto případě umožňuje zobrazit grafy závislosti rizika na pravděpodobnosti ohrožení a podle toho i další vstupní proměnné.

    Obr.4. Závislost rizika na pravděpodobnosti ohrožení

    Rýže. 5. Závislost rizika na poškození

    Hladký a monotónní graf závislosti „inferenční křivky“ ukazuje dostatečnost a konzistenci použitých inferenčních pravidel. Vizuální grafické znázornění umožňuje posoudit přiměřenost vlastností výstupního mechanismu požadavkům. V tomto případě "inferenční křivka" naznačuje, že je účelné použít inferenční mechanismus pouze v oblasti nízkých hodnot pravděpodobnosti, tzn. s pravděpodobností menší než 0,5. Jak lze vysvětlit takové „blokování“ v hodnotách s pravděpodobností větší než 0,5? Pravděpodobně proto, že použití tříúrovňové škály zpravidla ovlivňuje citlivost algoritmu v oblasti hodnot s vysokou pravděpodobností.

    Přehled některých nástrojů analýzy rizik založených na více faktorech

    Při provádění úplné analýzy rizik s přihlédnutím k mnoha faktorům je třeba vyřešit řadu složitých problémů:
    . Jak určit hodnotu zdrojů?
    . Jak skládat úplný seznam IS hrozby a vyhodnocovat jejich parametry?
    . Jak vybrat správná protiopatření a vyhodnotit jejich účinnost?
    K řešení těchto problémů existují speciálně vyvinuté nástroje postavené pomocí strukturálních metod systémové analýzy a návrhu (SSADM - Structured Systems Analysis and Design), které poskytují:
    - sestavení modelu IS z pohledu IS;
    - metody hodnocení hodnoty zdrojů;
    - nástroje pro sestavení seznamu hrozeb a posouzení jejich pravděpodobnosti;
    - výběr protiopatření a analýza jejich účinnosti;
    - analýza možností ochrany budov;
    - dokumentace (generování zprávy).
    V současné době je na trhu několik softwarových produktů této třídy. Nejoblíbenější z nich je CRAMM. Podívejme se na to krátce níže.

    metoda CRAM

    V roce 1985 začala britská Centrální počítačová a telekomunikační agentura (CCTA) studovat existující metody analýzy bezpečnosti informací s cílem doporučit metody vhodné pro použití ve vládních agenturách zapojených do zpracování neutajovaných, ale kritických informací. Žádná ze zvažovaných metod nefungovala. Proto byla vyvinuta nová metoda splňující požadavky CCTA. Jmenuje se CRAMM - CCTA Risk Analysis and Control Method. Poté se objevilo několik verzí metody zaměřené na požadavky ministerstva obrany, civilních vládních agentur, finančních institucí a soukromých organizací. Jedna z verzí - "komerční profil" - je komerční produkt. V současnosti je CRAMM, soudě podle počtu odkazů na internetu, nejběžnější metodou analýzy a kontroly rizik. Analýza rizik zahrnuje identifikaci a výpočet úrovní (míry) rizik na základě ratingů přidělených zdrojům, hrozbám a zranitelnostem zdrojů. Kontrola rizik spočívá v identifikaci a výběru protiopatření ke snížení rizik na přijatelnou úroveň. Formální metoda založená na tomto konceptu by měla zajistit, že ochrana pokryje celý systém a existuje jistota, že:

    Jsou identifikována všechna možná rizika;
    . jsou identifikovány zranitelnosti zdrojů a posouzena jejich úroveň;
    . jsou identifikovány hrozby a posouzena jejich úroveň;
    . protiopatření jsou účinná;
    . náklady spojené s informační bezpečností jsou oprávněné.

    Oleg Boytsev, vedoucí „Cerber Security//Analýza bezpečnosti vašeho webu“

    Problematika praktické aplikace analýzy rizik v procesech řízení informační bezpečnosti, jakož i obecná problematika samotného procesu analýzy rizik informační bezpečnosti.

    V procesu řízení jakékoli oblasti činnosti je nutné vyvinout vědomá a efektivní rozhodnutí, jejichž přijetí pomáhá dosáhnout určitých cílů. Adekvátní rozhodnutí lze podle našeho názoru učinit pouze na základě faktů a analýzy vztahů příčiny a následku. V některých případech se samozřejmě rozhoduje na intuitivní úrovni, ale kvalita intuitivního rozhodnutí velmi závisí na zkušenostech manažera a v menší míře na šťastné shodě okolností.

    Abychom ilustrovali, jak složitý je proces informovaného a realistického rozhodnutí, uveďme si příklad z oblasti řízení informační bezpečnosti (IS). Vezměme si typickou situaci: vedoucí oddělení informační bezpečnosti musí pochopit, kterými směry se má ubírat, aby mohl efektivně zpracovat svou hlavní funkci – zajištění informační bezpečnosti organizace. Na jednu stranu je vše velmi jednoduché. Existuje řada standardních přístupů k řešení bezpečnostních problémů: perimetrická ochrana, vnitřní ochrana, ochrana před vyšší mocí. A existuje mnoho produktů, které vám umožňují vyřešit konkrétní problém (chránit se před konkrétní hrozbou).

    Je tu však malé „ale“. Specialisté oddělení informační bezpečnosti se potýkají se skutečností, že výběr produktů různých tříd je velmi široký, informační infrastruktura organizace je velmi rozsáhlá, počet potenciálních cílů pro útoky narušitelů je velký a aktivity divize organizace jsou heterogenní a nelze je sjednotit. Každý specialista katedry má přitom svůj vlastní názor na prioritní oblasti činnosti odpovídající jeho specializaci a osobním prioritám. A zavedení jednoho technického řešení nebo vývoj jednoho předpisu nebo pokynu ve velké organizaci má za následek malý projekt se všemi atributy projektových činností: plánování, rozpočet, odpovědnost, termíny atd.

    Bránit se tedy všude a před vším není za prvé fyzicky možné a za druhé to nedává smysl. Co může v tomto případě dělat vedoucí oddělení IS?

    Za prvé, do prvního velkého incidentu nesmí nic dělat. Za druhé, pokuste se zavést nějaký obecně uznávaný standard pro poskytování informační bezpečnosti. Zatřetí důvěřujte marketingovým materiálům výrobců softwaru a hardwaru a integrátorům či konzultantům v oblasti informační bezpečnosti. Existuje však i jiný způsob.

    Definování cílů řízení informační bezpečnosti

    Můžete se pokusit – s pomocí vedení a zaměstnanců organizace – pochopit, co je skutečně potřeba chránit a před kým. Od tohoto okamžiku začíná na průsečíku technologií a core businessu konkrétní činnost, která spočívá v určení směru činnosti a (pokud možno) cílového stavu zajišťování informační bezpečnosti, který bude formulován jak v obchodních podmínkách, tak v podmínkách informační bezpečnost.

    Proces analýzy rizik je nástrojem, který lze použít k určení cílů řízení bezpečnosti informací, k posouzení hlavních kritických faktorů, které negativně ovlivňují klíčové podnikové procesy společnosti, ak vývoji vědomých, účinných a rozumných řešení k jejich kontrole nebo minimalizaci.

    Níže popíšeme, jaké úkoly se řeší v rámci analýzy rizik informační bezpečnosti pro získání uvedených výsledků a jak je těchto výsledků v rámci analýzy rizik dosaženo.

    Identifikace a oceňování majetku

    Účelem řízení bezpečnosti informací je zachovat důvěrnost, integritu a dostupnost informací. Jedinou otázkou je, jaký druh informací je třeba chránit a jaké úsilí je třeba vyvinout pro zajištění jejich bezpečnosti (obr. 1).

    Jakékoli řízení je založeno na uvědomění si situace, ve které se vyskytuje. Z hlediska analýzy rizik je informovanost o situaci vyjádřena inventarizací a hodnocením majetku organizace a jejího prostředí, tedy všeho, co zajišťuje výkon podnikatelské činnosti. Z hlediska analýzy rizik informační bezpečnosti patří mezi hlavní aktiva přímo informace, infrastruktura, personál, image a reputace společnosti. Bez inventarizace majetku na úrovni podnikatelské činnosti nelze odpovědět na otázku, co je potřeba chránit. Je velmi důležité porozumět tomu, jaké informace se v organizaci zpracovávají a kde se zpracovávají.

    Ve velké moderní organizaci může být počet informačních aktiv velmi velký. Pokud jsou činnosti organizace automatizovány pomocí ERP systému, pak můžeme říci, že téměř jakýkoli hmotný objekt použitý při této činnosti odpovídá některým informační objekt. Prvořadým úkolem řízení rizik je proto identifikovat nejvýznamnější aktiva.

    Bez zapojení manažerů hlavní činnosti organizace, středních i vrcholových manažerů, není možné tento problém vyřešit. Optimální je situace, kdy vrcholový management organizace osobně stanoví nejkritičtější oblasti činnosti, pro které je mimořádně důležité zajistit informační bezpečnost. Názor vrcholového managementu na priority při zajišťování bezpečnosti informací je v procesu analýzy rizik velmi důležitý a cenný, ale v každém případě by měl být vyjasněn sběrem informací o kritičnosti aktiv na střední úrovni řízení společnosti. Zároveň je vhodné provádět další analýzy právě v oblastech podnikatelské činnosti určených vrcholovým managementem. Přijaté informace jsou zpracovávány, agregovány a předávány vrcholovému managementu pro komplexní posouzení situace (ale o tom později).

    Informace lze identifikovat a lokalizovat na základě popisu obchodních procesů, ve kterých jsou informace považovány za jeden z typů zdrojů. Úkol je poněkud zjednodušen, pokud organizace přijala přístup k regulaci podnikání (například pro účely řízení kvality a optimalizace obchodních procesů). Formalizované popisy obchodních procesů jsou dobrým výchozím bodem pro inventarizaci majetku. Pokud nejsou žádné popisy, můžete aktiva identifikovat na základě informací získaných od zaměstnanců organizace. Jakmile jsou aktiva identifikována, je třeba určit jejich hodnotu.

    Práce na stanovení hodnoty informačních aktiv v kontextu celé organizace je nejvýznamnější a zároveň nejsložitější. Právě posuzování informačních aktiv umožní vedoucímu odboru informační bezpečnosti vybrat si hlavní oblasti činnosti k zajištění informační bezpečnosti.

    Hodnota aktiva je vyjádřena jako výše ztráty, kterou organizaci utrpí v případě porušení zabezpečení aktiva. Stanovení hodnoty je problematické, protože manažeři organizace ve většině případů nedokážou okamžitě odpovědět na otázku, co se stane, když např. informace o nákupních cenách uložené na souborový server půjde ke konkurenci. Nebo spíše, ve většině případů o takových situacích manažeři organizace nikdy nepřemýšleli.

    Ekonomická efektivita procesu řízení bezpečnosti informací však do značné míry závisí na povědomí o tom, co je třeba chránit a jaké úsilí k tomu bude zapotřebí, protože ve většině případů je vynaložené úsilí přímo úměrné množství vynaložených peněz a provozních prostředků. náklady. Řízení rizik vám umožňuje odpovědět na otázku, kde můžete riskovat a kde ne. V případě informační bezpečnosti pojem „riziko“ znamená, že v určité oblasti je možné nevyvíjet významné úsilí na ochranu informačního majetku a zároveň v případě narušení bezpečnosti organizace neutrpí značné ztráty. Zde můžete nakreslit analogii s třídami ochrany automatizované systémy: čím větší jsou rizika, tím přísnější by měly být požadavky na ochranu.

    K určení důsledků narušení bezpečnosti je třeba buď mít informace o zaznamenaných incidentech podobné povahy, nebo provést analýzu scénáře. Analýza scénářů zkoumá kauzální vztahy mezi událostmi narušení zabezpečení aktiv a dopadem těchto událostí na podnikání organizace. Důsledky scénářů by mělo být hodnoceno několika lidmi, iterativně nebo záměrně. Je třeba poznamenat, že vývoj a hodnocení takových scénářů nelze zcela oddělit od reality. Vždy je třeba pamatovat na to, že scénář musí být pravděpodobný. Kritéria a měřítka pro stanovení hodnoty jsou pro každou organizaci individuální. Na základě výsledků analýzy scénářů je možné získat informace o hodnotě aktiv.

    Pokud jsou aktiva identifikována a je určena jejich hodnota, lze říci, že cíle zajištění informační bezpečnosti jsou částečně stanoveny: jsou definovány předměty ochrany a význam jejich udržování ve stavu informační bezpečnosti pro organizaci. Možná zbývá jen určit, před kým je třeba chránit.

    Analýza zdroje problému

    Po definování cílů řízení informační bezpečnosti je nutné analyzovat problémy, které brání přiblížení se k cílovému stavu. Na této úrovni proces analýzy rizik sestupuje k informační infrastruktuře a tradičním konceptům informační bezpečnosti – narušitelé, hrozby a zranitelnosti (obr. 2).

    Model vetřelce

    Pro posouzení rizik nestačí zavést standardní model narušitele, který oddělí všechny narušitele podle typu přístupu k aktivu a znalostí o struktuře aktiv. Toto oddělení pomáhá určit, jaké hrozby lze aktivu směřovat, ale neodpovídá na otázku, zda lze tyto hrozby v zásadě realizovat.

    V procesu analýzy rizik je nutné posoudit motivaci narušitelů při realizaci hrozeb. Narušitelem zároveň není abstraktní externí hacker nebo zasvěcenec, ale strana, která má zájem získat výhody porušením zabezpečení aktiva.

    Prvotní informace o modelu narušitele, stejně jako v případě volby výchozích oblastí činnosti k zajištění informační bezpečnosti, by měly být získány od vrcholového managementu, který rozumí postavení organizace na trhu, má informace o konkurenci a jaké lze od nich očekávat způsoby ovlivňování. Informace potřebné k vytvoření modelu narušitele lze také získat ze specializovaných studií o porušení v oblasti počítačové bezpečnosti v obchodní oblasti, pro kterou se provádí analýza rizik. Dobře navržený model vetřelce doplňuje cíle zajištění bezpečnosti informací definované v hodnocení majetku organizace.

    Model ohrožení

    Vývoj modelu hrozeb a identifikace zranitelnosti jsou neoddělitelně spojeny s inventarizací prostředí informačních aktiv organizace. Informace samy o sobě nejsou ukládány ani zpracovávány. Přístup k němu je poskytován pomocí informační infrastruktury, která automatizuje obchodní procesy organizace. Je důležité pochopit, jak spolu souvisí informační infrastruktura a informační aktiva organizace. Z hlediska řízení bezpečnosti informací lze význam informační infrastruktury stanovit až po určení vztahu mezi informačními aktivy a infrastrukturou. V případě, že jsou procesy údržby a provozování informační infrastruktury v organizaci regulovány a transparentní, je sběr informací nezbytných pro identifikaci hrozeb a hodnocení zranitelnosti značně zjednodušen.

    Vývoj modelu hrozeb je práce pro bezpečnostní profesionály, kteří mají dobrou představu o tom, jak může narušitel získat neoprávněný přístup k informacím narušením ochranného perimetru nebo jednáním pomocí metod. sociální inženýrství. Při vývoji modelu hrozeb lze také hovořit o scénářích jako o postupných krocích, podle kterých lze hrozby implementovat. Velmi zřídka se stává, že jsou hrozby implementovány v jednom kroku využitím jediné zranitelnosti v systému.

    Model hrozeb by měl zahrnovat všechny hrozby identifikované jako výsledek souvisejících procesů řízení bezpečnosti informací, jako je řízení zranitelnosti a incidentů. Je třeba pamatovat na to, že hrozby bude nutné vzájemně seřadit podle úrovně pravděpodobnosti jejich implementace. K tomu je nutné v procesu vývoje modelu hrozby pro každou hrozbu označit nejvýznamnější faktory, jejichž existence ovlivňuje její implementaci.

    Identifikace zranitelnosti

    Po vytvoření modelu hrozeb je tedy nutné identifikovat zranitelná místa v prostředí aktiv. Identifikaci a posouzení zranitelnosti lze provést v rámci jiného procesu řízení bezpečnosti informací – auditu. Zde by se nemělo zapomínat, že pro provedení auditu IS je nutné vypracovat ověřovací kritéria. A ověřovací kritéria lze vyvinout právě na základě modelu hrozby a modelu narušitele.

    Podle výsledků vývoje modelu hrozeb, modelu vetřelce a identifikace zranitelností lze říci, že byly identifikovány důvody, které ovlivňují dosažení cílového stavu informační bezpečnosti organizace.

    Odhad rizika

    Identifikace a hodnocení aktiv, vývoj modelu útočníka a hrozeb, identifikace zranitelnosti jsou standardní kroky, které by měly být zahrnuty do jakékoli metodologie analýzy rizik. Všechny výše uvedené kroky lze provést pomocí různé úrovně kvalitu a detail. Je velmi důležité pochopit, co a jak lze dělat s obrovským množstvím nashromážděných informací a formalizovaných modelů. Tato otázka je podle našeho názoru nejdůležitější a použitá metodika analýzy rizik by na ni měla dát odpověď.

    Získané výsledky musí být vyhodnoceny, agregovány, klasifikovány a zobrazeny. Vzhledem k tomu, že škoda je stanovena ve fázi identifikace a hodnocení aktiv, je nutné posoudit pravděpodobnost rizikových událostí. Stejně jako v případě hodnocení aktiv lze hodnocení pravděpodobnosti získat na základě statistik o incidentech, jejichž příčiny se shodují s uvažovanými hrozbami IS, nebo předpovědní metodou - na základě vážení faktorů odpovídajících vyvinutému modelu hrozby.

    Osvědčeným postupem pro posouzení pravděpodobnosti by bylo klasifikovat zranitelnosti podle vybraného souboru faktorů, které charakterizují snadnost zneužití zranitelnosti. Předpovídání pravděpodobnosti hrozeb se již provádí na základě vlastností zranitelnosti a skupin narušitelů, od kterých hrozby pocházejí.

    Příkladem systému klasifikace zranitelnosti je standard CVSS – společný systém hodnocení zranitelnosti. Je třeba poznamenat, že v procesu identifikace a hodnocení zranitelnosti jsou velmi důležité odborné znalosti specialistů na informační bezpečnost, kteří provádějí hodnocení rizik, a statistické materiály a zprávy o zranitelnostech a hrozbách v oblasti informační bezpečnosti.

    Hodnota (úroveň) rizika by měla být určena pro všechny identifikované a vzájemně si odpovídající soubory „aktiva – hrozba“. Výše škody a pravděpodobnost přitom nemusí být vyjádřena v absolutních penězích a procentech; navíc zpravidla není možné výsledky v této podobě prezentovat. Důvodem jsou metody používané k analýze a hodnocení rizik informační bezpečnosti: analýza scénářů a prognózování.

    Rozhodování

    Co lze s výsledkem posouzení udělat?

    Nejprve by měla být vypracována jednoduchá a vizuální zpráva o analýze rizik, jejímž hlavním účelem bude prezentovat shromážděné informace o významu a struktuře rizik informační bezpečnosti v organizaci. Zpráva by měla být předložena vrcholovému vedení organizace. Častou chybou je předkládání průběžných výsledků vrcholovému vedení namísto závěrů. Všechny závěry musí být nepochybně podloženy argumenty – ke zprávě musí být připojeny všechny mezivýpočty.

    Pro přehlednost zprávy musí být rizika klasifikována v obchodních termínech známých organizaci, podobná rizika musí být agregována. Obecně může být klasifikace rizik mnohostranná. Na jedné straně se bavíme o rizicích informační bezpečnosti, na druhé o rizicích poškození dobrého jména či ztráty klienta. Klasifikovaná rizika musí být seřazena podle pravděpodobnosti jejich výskytu a jejich významu pro organizaci.

    Zpráva o analýze rizik odráží následující informace:

    • nejproblematičtější oblasti informační bezpečnosti v organizaci;
    • dopad hrozeb IS na celkovou strukturu rizik organizace;
    • prioritní oblasti činnosti oddělení IS ke zefektivnění podpory IS.

    Na základě zprávy o analýze rizik může vedoucí oddělení informační bezpečnosti vypracovat střednědobý plán práce oddělení a stanovit rozpočet podle charakteru činností nezbytných ke snížení rizik. Je třeba poznamenat, že správně vypracovaná zpráva o analýze rizik umožňuje vedoucímu oddělení informační bezpečnosti najít společnou řeč s vrcholovým vedením organizace a řešit naléhavé problémy související s řízením informační bezpečnosti (obr. 3).

    Politika léčby rizik

    Velmi důležitá otázka— politiku řízení rizik organizace. Politika definuje pravidla pro zacházení s riziky. Zásady mohou například říkat, že nejprve by měla být zmírněna reputační rizika, zatímco zmírňování středně závažných rizik, která nejsou potvrzena incidenty zabezpečení informací, je odloženo na konec fronty. Politiku řízení rizik může stanovit útvar řízení rizik společnosti.

    Politika ošetření rizik může vysvětlit problematiku pojištění rizik a restrukturalizaci činností v případě, že potenciální rizika překročí přijatelnou míru. Pokud politika není definována, pak by posloupnost práce na snižování rizik měla být založena na principu maximální efektivity, ale stále by ji mělo určovat vrcholové vedení.

    Shrnutí

    Analýza rizik je poměrně pracný postup. V procesu analýzy rizik by měly být použity metodické materiály a nástroje. To však nestačí k úspěšné implementaci opakovatelného procesu; Další jeho důležitou součástí je regulace řízení rizik. Může být soběstačný a ovlivňovat pouze rizika informační bezpečnosti, nebo může být integrován s celkovým procesem řízení rizik v organizaci.

    Do procesu analýzy rizik je zapojeno mnoho strukturálních divizí organizace: divize vedoucí hlavní směry její činnosti, divize řízení informační infrastruktury, divize řízení bezpečnosti informací. Pro úspěšné provedení analýzy rizik a efektivní využití jejích výsledků je navíc nutné zapojit vrcholové vedení organizace, a tím zajistit interakci mezi strukturálními jednotkami.

    Samotná metodika analýzy rizik nebo specializovaný nástroj pro hodnocení rizik informační bezpečnosti nestačí. Jsou zapotřebí postupy pro identifikaci aktiv, stanovení významnosti aktiv, vývoj modelů narušitelů a hrozeb, identifikaci zranitelných míst, agregaci a klasifikaci rizik. V různých organizacích se mohou všechny tyto postupy výrazně lišit. Cíle a rozsah analýzy rizik informační bezpečnosti ovlivňují také požadavky na doprovodné procesy analýzy rizik.

    Aplikace metody analýzy rizik pro řízení bezpečnosti informací vyžaduje, aby organizace měla dostatečnou úroveň vyspělosti, na které bude možné implementovat všechny procesy nezbytné v rámci analýzy rizik.

    Řízení rizik umožňuje strukturovat činnost oddělení informační bezpečnosti, najít společnou řeč s vrcholovým vedením organizace, vyhodnocovat efektivitu práce oddělení informační bezpečnosti a zdůvodňovat rozhodnutí o volbě konkrétních technických a organizačních ochranných opatření. vrcholovému managementu.

    Proces analýzy rizik je nepřetržitý, neboť nejvyšší cíle zajištění bezpečnosti informací mohou zůstat po dlouhou dobu neměnné a neustále se mění informační infrastruktura, metody zpracování informací a rizika spojená s používáním IT.

    Oddělení bezpečnosti informací a organizace jako celek získávají v případě strukturování svých činností průběžnou analýzou rizik tyto velmi významné výhody:

    • identifikace cílů managementu;
    • definice metod řízení;
    • účinnost řízení založená na přijímání informovaných a včasných rozhodnutí.

    V souvislosti s řízením rizik a řízením informační bezpečnosti je třeba poznamenat ještě několik bodů.

    Analýza rizik, řízení incidentů a audit IS jsou neoddělitelně propojeny, protože vstupy a výstupy uvedených procesů jsou propojeny. Vývoj a implementace procesu řízení rizik musí být prováděny s ohledem na řízení incidentů a audity bezpečnosti informací.

    Zavedený proces analýzy rizik je povinný požadavek standard STO-BR IBBS-1.0-2006 pro zajištění bezpečnosti informací v bankovním sektoru.

    Nastavení procesu analýzy rizik je pro organizaci nezbytné, pokud se rozhodla podstoupit certifikaci pro shodu s požadavky mezinárodní normy ISO/IEC 27001:2005.

    Zavedení režimu ochrany obchodního tajemství a osobních údajů je neoddělitelně spojeno s analýzou rizik, protože všechny tyto procesy používají podobné metody pro identifikaci a hodnocení majetku, vývoj modelu narušitele a modelu ohrožení.

    Proces analýzy a hodnocení rizik je jednou z klíčových fází nejznámějších metod budování systémů ochrany informací, jako je Symantec Lifecycle Security a metoda Microsoftu. Kromě toho existují specializované metody a softwarové produkty pro analýzu a hodnocení rizik, jako je CRAMM, FRAP, RiskWatch, GRIF atd. Uvedeme popis nejznámějších z nich, abychom si udělali správnou představu o vlastnosti každé z metod pro následný výběr nejvhodnější pro aplikaci.v bankovních společnostech.

    Přehled nejaktivněji používaných metod analýzy a hodnocení rizik informační bezpečnosti

    Symantec Lifecycle Security je model, který popisuje takový způsob organizace podnikového informačního bezpečnostního systému, který umožňuje systematicky řešit problémy související s ochranou informací a poskytuje možnost adekvátně vyhodnotit výsledek aplikace technických a organizačních prostředků a opatření na ochranu informací (Petrenko , 2009). Tato metodika zahrnuje sedm hlavních složek:

    1. bezpečnostní politiky, standardy, postupy a metriky;

    2. analýza rizik;

    3. strategický plán budování systému ochrany;

    4. výběr a implementace řešení;

    5. školení personálu;

    6. monitorování ochrany;

    7. vývoj metod reakce v případě incidentů a obnovy.

    Protože se tento článek zabývá problémem analýzy a hodnocení rizik informační bezpečnosti, zaměříme se na tuto fázi. životní cyklusŠPIČKA. Níže jsou uvedeny klíčové body procesu analýzy rizik modelu Symantec Lifecycle Security.

    1. Podrobná dokumentace podnikového počítačového systému s důrazem na popis aplikací kritických pro činnost podniku.

    2. Stanovení míry závislosti běžného fungování organizace na provozuschopnosti jednotlivých částí počítačová síť, konkrétních uzlů, z bezpečnosti uložených a zpracovávaných dat.

    3. Hledání zranitelností v počítačovém systému podniku.

    4. Hledání hrozeb, které lze implementovat ve vztahu k identifikovaným zranitelnostem.

    5. Vyhledávání a hodnocení rizik spojených s používáním počítačového systému podniku.

    Další známý způsob konstrukce integrovaný systém ochrana informací v podniku je metodika vyvinutá společností Microsoft. Zahrnuje model řízení rizik bezpečnosti informací společnosti. Celý cyklus řízení rizik lze rozdělit do čtyř hlavních fází.

    1. Hodnocení rizik.

    · Naplánujte sběr dat, prodiskutujte klíčové podmínky úspěšné implementace a připravte doporučení.

    · Sběr dat o rizicích a jejich dokumentace.

    · Stanovení významnosti rizik. Popis sledu činností pro kvalitativní a kvantitativní hodnocení rizik.

    2. Podpora rozhodování.

    Definice funkčních požadavků.

    · Výběr vhodných ovládacích prvků.

    · Ověření shody navržených ovládacích prvků s funkčními požadavky.

    · Posouzení zmírnění rizik.

    · Posouzení přímých a nepřímých nákladů spojených s implementací kontrolních prvků.

    Určení nákladově nejefektivnějšího efektivní řešení neutralizovat riziko analýzou přínosů a nákladů.

    3. Provádění kontroly. Nasazení a používání kontrol, které snižují riziko pro informační bezpečnost organizace.

    · Hledání holistického přístupu.

    · Organizace víceúrovňové ochrany.

    4. Vyhodnocení efektivity programu. Analýza účinnosti procesu řízení rizik, kontrola vybraných kontrol na dodržování požadované úrovně ochrany.

    · Rozvoj systému indikátorů rizik.

    · Posouzení účinnosti programu řízení rizik a identifikace příležitostí ke zlepšení.

    Obr. 1

    Pojďme se blíže podívat na první fázi. Je třeba poznamenat, že fáze kvalitativního hodnocení rizik jsou obvykle přibližně stejné: identifikace rizik IS, stanovení pravděpodobnosti výskytu každého z nich, stanovení hodnoty aktiv, která utrpí realizací konkrétního rizika, jakož i jako rozdělení popsaných rizik do skupin v závislosti na předem dohodnutém kritériu významnosti rizika a také na možnosti jeho přijetí. Takže v této metodě počáteční fáze rizikům jsou přiřazeny hodnoty podle stupnice: „vysoké“ (červená oblast), „významné“ (žlutá oblast), „střední“ (modrá oblast) a „nevýznamné“ (zelená oblast) (obr. 2). Poté, pokud je nutné identifikovat nejvýznamnější rizika a vypočítat finanční ukazatele, je provedeno kvantitativní hodnocení.


    Rýže. 2Matice pro tabulkové hodnocení rizik.

    Efektivní hodnocení vyžaduje shromáždit nejaktuálnější data o aktivech organizace, bezpečnostních hrozbách, zranitelnostech, aktuálním kontrolním prostředí a navrhovaných kontrolách. Dále je prováděn komplexní a vícestupňový proces analýzy a hodnocení rizik, v jehož důsledku získávají majitelé firem informace nejen o existujících rizicích, pravděpodobnosti jejich realizace, míře dopadu na činnost společnosti, ale také odhad očekávané roční ztráty (ALE).

    Zde také stojí za zmínku existence Microsoft Security Assessment Tool (MSAT), což je bezplatný software, který umožňuje „posoudit zranitelná místa v IT prostředí, poskytnout seznam prioritních problémů a seznam doporučení pro minimalizaci těchto hrozeb“.

    Proces analýzy zranitelnosti informační sítě se provádí zodpovězením více než 200 otázek „pokrývajících infrastrukturu, aplikace, operace a personál“. První série otázek je určena k určení obchodního modelu společnosti, na základě obdržených odpovědí nástroj vytvoří „Profil obchodního rizika (BRP)“. Na základě odpovědí na druhou sérii otázek je sestaven seznam zabezpečovacích prvků implementovaných společností v průběhu času. Společně tyto bezpečnostní kontroly „vytvářejí vrstvy ochrany a poskytují větší ochranu proti bezpečnostním hrozbám a konkrétním zranitelnostem“. Součet úrovní, které tvoří „systém kombinované obrany do hloubky“ se nazývá „index obrany do hloubky (DiDI)“. Poté jsou BRP a DiDI vzájemně porovnány za účelem měření distribuce hrozeb napříč oblastmi analýzy – infrastruktura, aplikace, operace a lidé.

    Tento odhad je určen pro použití ve středně velkých organizacích „s 50 až 1500 stolními počítači“. V důsledku jeho použití získává management společnosti obecné informace o stavu podnikového informačního bezpečnostního systému, pokrývající většinu „oblastí potenciálního rizika“, ale popsaný nástroj nemá poskytovat „hloubkovou analýzu specifické technologie nebo procesy."

    Metoda analýzy a řízení rizik CCTA (CRAMM) je jednou z prvních metod analýzy rizik v oblasti informační bezpečnosti. Metoda CRAMM je založena na integrovaném přístupu, který kombinuje kvantitativní a kvalitativní postupy hodnocení rizik.

    Studium informační bezpečnosti systému využívajícího CRAMM může být provedeno dvěma způsoby, sledujícími dva kvalitativně odlišné cíle: poskytnutí základní úrovně informační bezpečnosti a provedení kompletní analýzy rizik. Počet provedených fází práce závisí na úkolu, kterému čelí hodnotitelé rizik. Uveďme si všechny možnosti této techniky se zaměřením na okolnosti aplikace konkrétního rozborového postupu.

    První fáze je přípravná a povinná při stanovení kteréhokoli ze dvou možných cílů pro studium informační bezpečnosti systému. Během této fáze se hranice uvažovaného informační systém, jeho hlavní funkce, kategorie uživatelů a personál účastnící se studie.

    Ve druhé fázi se provádí analýza všeho, co souvisí s identifikací a určením hodnoty zdrojů uvažovaného systému: identifikují se fyzické, softwarové a informační zdroje umístěné v hranicích systému a poté se jsou distribuovány do předem vybraných tříd. Výsledkem je, že zákazník dobře rozumí stavu systému a může se rozhodnout, zda je nutná úplná analýza rizik. Pokud nestačí poskytnout klientovi základní úroveň informační bezpečnosti, je z pozice informační bezpečnosti postaven model informačního systému, který umožní zvýraznit ty nejkritičtější prvky.

    Ve třetí fázi, která se provádí pouze v případě, že je nezbytná úplná analýza rizik, se zvažuje vše, co souvisí s identifikací a hodnocením úrovní ohrožení skupin zdrojů a jejich zranitelností. V této fázi se posuzuje dopad určitých skupin zdrojů na výkon uživatelských služeb, zjišťuje se současná úroveň hrozeb a zranitelností, počítá se úroveň rizik a analyzují se výsledky. Výsledkem je, že zákazník obdrží identifikované a vyhodnocené úrovně rizik IS pro studovaný systém.

    Ve čtvrté fázi, pro každou skupinu zdrojů a každý z 36 typů hrozeb, software CRAMM vygeneruje seznam otázek, které vyžadují jednoznačnou odpověď. Stejně jako v případě metodologie společnosti Microsoft provádí CRAMM kvalitativní hodnocení rizik přiřazením úrovní ohrožení jedné nebo druhé kategorii v závislosti na obdržených odpovědích. Celkem existuje v této metodice pět kategorií úrovní ohrožení: „velmi vysoká“, „vysoká“, „střední“, „nízká“ a „velmi nízká“. Úroveň zranitelnosti zdroje je zase hodnocena v závislosti na odpovědích jako „vysoká“, „střední“ a „nízká“. Na základě těchto informací a také velikosti očekávaných finančních ztrát jsou vypočítány úrovně rizika na stupnici od 1 do 7, kombinované v matici hodnocení rizik (obr. 3).


    Obr.3

    Zde je třeba poznamenat, že metodu CRAMM lze právem zařadit mezi metodiku využívající jak kvalitativní, tak kvantitativní přístupy k analýze rizik informační bezpečnosti, neboť proces hodnocení zohledňuje míru očekávaných finančních ztrát z realizace rizik a výsledky jsou poskytnuto v bodech na stupnici od 1 do 7. Tato skutečnost výrazně zvyšuje hodnocení techniky CRAMM v očích odborníků v této oblasti.

    V poslední fázi studie, nazvané „Risk Management“ je proveden výběr adekvátních ovládacích prvků: software CRAMM vygeneruje několik možností protiopatření, které jsou adekvátní identifikovaným rizikům a jejich úrovním, z nichž se odvíjí optimální varianta bezpečnostního systému. vybrána tak, aby vyhovovala požadavkům zákazníka.

    Metodika „Facilitated Risk Analysis Process (FRAP)“ je modelem pro budování systému bezpečnosti informací, který zahrnuje kvalitativní analýzu rizik. Pojďme analyzovat tuto konkrétní složku metodologie, která nás zajímá. Níže jsou uvedeny hlavní kroky hodnocení rizik.

    1. V první fázi na základě údajů z průzkumu technická dokumentace, automatizovaná síťová analýza, seznam rizikových aktiv.

    2. Identifikace hrozeb. Při sestavování seznamu hrozeb můžete použít různé přístupy:

    Konvenční metoda. V tomto případě odborníci sestavují seznamy (checklisty) potenciálních hrozeb, z nichž jsou následně vybírány ty nejrelevantnější pro daný systém;

    · Statistické. Zde je provedena analýza statistik incidentů souvisejících s informační bezpečností tohoto IS a podobných a odhadnuta jejich průměrná četnost, poté jsou vyhodnoceny rizikové body;

    · " Brainstorm", kterou provádějí zaměstnanci společnosti. Rozdíl oproti první metodě je v tom, že se provádí bez zapojení externích odborníků.

    3. Po sestavení seznamu potenciálních hrozeb se shromažďují statistické údaje pro každý výskyt rizika: četnost konkrétní situace a také úroveň utrpěné škody. Na základě těchto hodnot odborníci vyhodnotí úroveň ohrožení z hlediska obou parametrů: pravděpodobnosti hrozby (vysoká pravděpodobnost, střední pravděpodobnost a nízká pravděpodobnost) a škody z ní (vysoký dopad, střední dopad a nízký dopad). Dále se v souladu s pravidlem specifikovaným maticí rizik (obr. 4) stanoví posouzení míry rizika:

    stupeň A - opatření směřující k eliminaci ohrožení (například zavedení GIS) je nutné přijmout okamžitě a v bez chyby;

    stupeň B - je nutné přijmout opatření směřující ke snížení rizika;

    stupeň C - je nutné monitorování situace;

    úroveň D - žádná akce tento moment není nutné.

    4. Jakmile jsou hrozby identifikovány a relativní rizika vyhodnocena, měl by být vypracován akční plán k odstranění rizika nebo jeho snížení na přijatelnou úroveň.

    5. Na konci hodnocení rizik by měly být výsledky podrobně zdokumentovány a převedeny do standardizovaného formátu. Tyto údaje mohou být použity při plánování dalších bezpečnostních postupů, rozpočtu na tyto postupy a podobně.


    Rýže. 4

    Risk Advisor je softwarový produkt vyvinutý společností MethodWare, který implementuje metodiku, která „umožňuje nastavit model informačního systému z pozice informační bezpečnosti, identifikovat rizika, hrozby, ztráty v důsledku incidentů“. Existuje pět hlavních fází práce:

    Popis kontextu. Nejprve je nutné vytvořit obecné schéma externích a interních informačních kontaktů organizace. Tento model je postaven v několika dimenzích a je dán následujícími parametry: strategické, organizační, obchodní cíle, řízení rizik, kritéria. Obrázek obecného kontextu z hlediska strategie popisuje silné stránky a slabé stránky organizace z hlediska externí kontakty. Zde se provádí klasifikace hrozeb spojených se vztahy s partnery, posuzují se rizika spojená s různými možnostmi rozvoje vnějších vztahů organizace. Popis kontextu v organizační dimenzi zahrnuje obraz vztahů uvnitř organizace, rozvojové strategie a vnitřní politiky. Rámec řízení rizik zahrnuje koncept informační bezpečnosti. Konečně v kontextu obchodních cílů a hodnotících kritérií popisuje, jak název napovídá, klíčové obchodní cíle a kvalitativní a kvantitativní kritéria, podle kterých je řízeno riziko.

    Popis rizik. Aby se usnadnil a standardizoval rozhodovací proces související s řízením rizik, musí být data o rizicích standardizována. V různé modely k formalizaci dostupných informací se používají různé šablony. V metodice, kterou popisujeme, je nastavena matice rizik, která zohledňuje nejen vlastní parametry těchto rizik, ale také informace o jejich vztazích s dalšími prvky. společný systém. Je třeba poznamenat, že rizika jsou zde posuzována spíše na kvalitativní než kvantitativní stupnici a jsou rozdělena pouze do dvou kategorií: přijatelná a podle toho nepřijatelná. Po tomto vyhodnocení je proveden výběr protiopatření a analýza nákladů a efektivity vybraných obran.

    Popis hrozeb. Nejprve je sestaven obecný seznam hrozeb. Poté jsou klasifikovány podle kvalitativní škály, jsou popsány vztahy mezi různými hrozbami a vztahy typu „hrozba-riziko“.

    Popis ztrát. V této fázi jsou popsány události spojené s incidenty informační bezpečnosti, poté jsou vyhodnocena rizika způsobená těmito událostmi.

    Analýza výsledků. Po sestavení modelu se vygeneruje podrobná zpráva (skládající se z více než 100 sekcí). Souhrnné popisy jsou spotřebiteli prezentovány ve formě grafu rizik.

    RiskWatch, stejně jako Microsoft, vyvinul vlastní analýzu rizik a metodiku hodnocení, která je implementována v řadě z nich softwarové nástroje. "V metodě RiskWatch jsou jako kritéria pro hodnocení a řízení rizik používány očekávané roční ztráty (Annual Loss Expectancy, ALE) a odhad návratnosti investic (ROI). vytvoření obranného systému." Proces analýzy rizik se skládá ze čtyř kroků.

    Na prvním stupni, který je v podstatě přípravný, je určen předmět studia: je uveden popis typu organizace, složení studovaného systému, základní požadavky v oblasti informační bezpečnosti atd. . Software RiskWatch nabízí široký výběr různých kategorií chráněných zdrojů, ztrát, hrozeb, zranitelností a ochranných opatření, z nichž analytik vybírá pouze ty, které se ve zkoumaném systému skutečně nacházejí. Kromě toho je možné přidávat nové prvky a opravovat stávající popisy.

    Ve druhé fázi je proveden podrobnější popis systému (jaké zdroje jsou v něm přítomny, jaké typy ztrát mohou nastat při realizaci rizika a jaké třídy incidentů lze rozlišit „porovnáním kategorie ztrát a kategorie zdrojů“). Existují dvě možnosti zadávání dat: ručně nebo importem z reportů generovaných při analýze zranitelností počítačové sítě v ní. K identifikaci možných slabin v systému se používá dotazník, který žádá o zodpovězení více než 600 otázek týkajících se kategorií zdrojů. Vzhledem k tomu, že společnosti z různých oborů činnosti mají své vlastní výjimečné vlastnosti, a také vzhledem k rychle se rozvíjejícímu trhu informační technologie, zdá se velmi rozumné a pohodlné mít možnost opravit otázky a vyloučit / přidat nové. Dále je určena frekvence implementace každé z hrozeb přítomných v systému, úroveň zranitelnosti a hodnota zdrojů. Na základě těchto informací je vypočítána efektivita využití určitých prvků řízení bezpečnosti informací.

    Ve třetí fázi se provádí kvantitativní hodnocení rizik. Prvním krokem je určit vztah mezi zdroji, ztrátami, hrozbami a zranitelnostmi identifikovanými během prvních dvou fází práce. Dále se pro každé riziko vypočítá matematické očekávání ztrát za rok pomocí následujícího vzorce:

    kde p je četnost výskytu hrozby během roku,

    v je cena ohroženého zdroje.

    Pokud například společnost stojí 100 000 USD za odstranění serveru na jednu hodinu a pravděpodobnost DDoS útoku za rok je 0,01, pak je očekávaná ztráta 1 000 USD. Kromě toho jsou modelovány scénáře „co když...“, ve kterých se uvažuje o podobných situacích s přihlédnutím k implementaci ochranných nástrojů. Porovnáním očekávaných ztrát s použitím kontrol a bez nich lze posoudit, jak efektivní bude provádění určitých ochranných opatření.

    V poslední fázi jsou generovány zprávy odlišné typy: "souhrny, úplné a souhrnné zprávy o prvcích popsaných v etapách 1 a 2, zpráva o nákladech na chráněné zdroje a očekávané ztráty z realizace hrozeb, zpráva o hrozbách a protiopatření, zpráva o výsledcích bezpečnostního auditu."

    Uvažovaný nástroj tak umožňuje nejen posoudit rizika, která podnik v současnosti má, ale také výhody, které může přinést zavedení fyzických, technických, softwarových a dalších prostředků a mechanismů ochrany. Připravené zprávy a grafy poskytují dostatečný materiál pro rozhodování o změně podnikového bezpečnostního systému. Kromě toho může být popsaný software vhodným základem pro vývoj vlastního, nejvhodnějšího pro konkrétní typ podniku (například úvěrové instituce), nástroje pro analýzu a hodnocení rizik informační bezpečnosti.

    GRIF je ruský komplexní nástroj pro analýzu a řízení rizik informačního systému organizace vyvinutý společností Digital Security. Princip fungování tohoto softwaru je založen na dvou koncepčně odlišných přístupech k hodnocení rizik informační bezpečnosti, nazvaných „model toku informací“ a „model hrozeb a zranitelností“. Podívejme se na každý z algoritmů samostatně.

    Model informačních toků se vyznačuje tím, že algoritmus pro analýzu a hodnocení rizik je založen na konstrukci modelu informačního systému organizace. Výpočet rizikových hodnot je založen na informacích o prostředcích ochrany zdrojů cennými informacemi, vztahu zdrojů mezi sebou, vlivu přístupových práv skupin uživatelů a organizačních protiopatření.

    V první fázi je nutné připravit kompletní popis architektury studované sítě, včetně informací o cenných zdrojích, jejich vztazích, skupinách uživatelů, nástrojích informační bezpečnosti atd. „Na základě zadaných dat lze sestavit kompletní model informační systém společnosti, na jehož základě bude provedena analýza bezpečnosti jednotlivých typů informací na zdroji.

    Pojďme k přímému popisu algoritmu. Hodnocení rizik se provádí samostatně pro každé připojení „skupina uživatelů – informace“ pro tři typy hrozeb: důvěrnost, integritu a dostupnost (u prvních dvou typů se výsledek počítá v procentech a u posledního v hodinách výpadku ). Samostatně se nastavují i ​​škody z implementace různých typů hrozeb, protože není vždy možné odhadnout komplexní ztráty. Klíčovými kritérii, která určují pravděpodobnost implementace konkrétní hrozby, jsou typy (lokální a/nebo vzdálené) a práva (čtení, zápis, mazání) uživatelského přístupu ke zdrojům, dostupnost přístupu k internetu, počet lidí v skupiny, používání antivirového softwaru, kryptografickými prostředky ochrana (obzvlášť důležitá pro vzdálený přístup) atd. Ve stejné fázi jsou určeny prostředky ochrany informací a vypočteny koeficienty „lokální bezpečnosti informací o zdroji, vzdáleného zabezpečení informací o zdroji a lokální bezpečnosti pracoviště skupiny uživatelů“. Minimální koeficient odráží skutečnou úroveň ochrany zdrojů, protože označuje nejzranitelnější místo v informačním systému. Pro získání konečné pravděpodobnosti realizace hrozby je nutné výsledný ukazatel vynásobit základní pravděpodobností realizace hrozby IS, která je vypočtena na základě metody expertního posouzení.

    V poslední fázi se hodnota výsledné konečné pravděpodobnosti vynásobí výší škody z realizace hrozby a vypočítá se riziko ohrožení bezpečnosti informací pro spojení „typ informace – skupina uživatelů“. Algoritmus pro výpočet hodnoty rizika pro hrozbu „odepření služby“ má drobné rozdíly, které se týkají především jednotek měření.

    Systém také umožňuje nastavit protiopatření, jejichž účinnost lze vyhodnotit vzorcem:

    kde E je účinnost provedení protiopatření,

    Riziko bez protiopatření,

    Riziko zohledňující protiopatření.

    V důsledku algoritmu obdrží zákazník následující informace.

    · „Riziko implementace u tří základních hrozeb pro daný typ informace.

    · Implementační riziko pro tři základní hrozby pro zdroj.

    · Implementační riziko celkem pro všechny hrozby pro zdroj.

    · Implementační riziko pro tři základní hrozby pro informační systém.

    · Implementační riziko pro všechny hrozby pro informační systém.

    · Implementační riziko pro všechny hrozby pro informační systém po nastavení protiopatření.

    Účinnost protiopatření.

    Účinnost komplexu protiopatření“.

    Model analýzy hrozeb a zranitelnosti popisuje jiný přístup k analýze a hodnocení rizik informační bezpečnosti. Vstupními informacemi je seznam zdrojů obsahující cenné informace, popis hrozeb, které ovlivňují jednotlivé zdroje, a zranitelnosti, jejichž prostřednictvím je možná implementace výše uvedených hrozeb. Pro každý typ zdrojových dat (s výjimkou zranitelností) je uveden stupeň kritičnosti. Představena je i pravděpodobnost realizace té či oné hrozby.

    Algoritmus může pracovat ve dvou režimech: výpočtem pravděpodobnosti jedné základní hrozby nebo rozložením odhadů na tři základní typy hrozeb. Uveďme fáze metody obecně pro oba režimy.

    1. Úroveň ohrožení pro konkrétní zranitelnost se vypočítá na základě závažnosti a pravděpodobnosti implementace hrozby prostřednictvím této zranitelnosti.

    2. Úroveň ohrožení napříč všemi zranitelnostmi se vypočítá sečtením úrovní ohrožení napříč konkrétními zranitelnostmi.

    3. Vypočítá se celková úroveň hrozeb pro zdroj.

    4. Vypočítá se riziko zdroje.

    5. Riziko se počítá podle informačního systému.

    Algoritmus analýzy a hodnocení rizik GRIF je vzorová metodika, která zohledňuje specifika struktury společnosti zákazníka a využívá dva různé přístupy k výpočtu rizikových hodnot. Každá z těchto dvou metod může být pro jednu firmu účinnější a pro jinou méně účinná. Metodika GRIF tak eliminuje možnost použití nevhodného algoritmu pro výpočet míry rizika a zaručuje dosažení optimálního výsledku.

    V praxi se používají kvantitativní a kvalitativní přístupy k hodnocení rizik IS. Jaký je jejich rozdíl?

    kvantitativní metoda

    Kvantitativní hodnocení rizik se používá v situacích, kdy lze zkoumané hrozby a rizika s nimi spojená porovnat s konečnými kvantitativními hodnotami vyjádřenými v penězích, procentech, čase, lidských zdrojích atd. Metoda umožňuje získat konkrétní hodnoty objektů hodnocení rizik při implementaci hrozeb informační bezpečnosti.

    Při kvantitativním přístupu jsou všem prvkům hodnocení rizik přiřazeny konkrétní a reálné kvantitativní hodnoty. Algoritmus pro získání těchto hodnot by měl být jasný a srozumitelný. Předmětem posouzení může být hodnota aktiva v peněžním vyjádření, pravděpodobnost realizace hrozby, škoda z realizace hrozby, cena ochranných opatření a podobně.

    Jak kvantifikovat rizika?

    1. Určete hodnotu informačních aktiv v peněžním vyjádření.

    2. Kvantitativní odhad potenciálních škod způsobených implementací každé hrozby ve vztahu ke každému informačnímu aktivu.

    Měli byste získat odpovědi na otázky „Jakou část hodnoty aktiva bude tvořit škoda z implementace každé hrozby?“, „Jaká je peněžní cena škody z jednoho incidentu během realizace této hrozby do toto aktivum?".

    3. Určete pravděpodobnost realizace každé z hrozeb IS.

    K tomu můžete využít statistická data, průzkumy mezi zaměstnanci a zainteresovanými stranami. V procesu stanovení pravděpodobnosti vypočítejte četnost výskytu incidentů souvisejících s implementací uvažované hrozby IS za kontrolní období (například za jeden rok).

    4. Určete celkovou potenciální škodu z každé hrozby ve vztahu ke každému aktivu za kontrolní období (po dobu jednoho roku).

    Hodnota se vypočítá vynásobením jednorázové škody z realizace hrozby četností realizace hrozby.

    5. Analyzujte přijatá data poškození pro každou hrozbu.

    Pro každou hrozbu je třeba učinit rozhodnutí: přijmout riziko, snížit riziko nebo riziko přenést.

    Přijmout riziko znamená rozpoznat ho, přijmout jeho možnost a nadále jednat jako dříve. Použitelné pro hrozby s nízkou škodou a nízkou pravděpodobností výskytu.

    Snížit riziko znamená zavádět další opatření a ochranné prostředky, provádět školení personálu atd. Tedy provádět promyšlenou práci na snížení rizika. Zároveň je nutné kvantifikovat účinnost dodatečných opatření a prostředků ochrany. Veškeré náklady, které organizaci vzniknou, od nákupu ochranných pomůcek až po uvedení do provozu (včetně instalace, konfigurace, školení, údržby atd.), by neměly přesáhnout výši škody z realizace hrozby.

    Přenést riziko znamená přesunout důsledky realizace rizika na třetí osobu, například pomocí pojištění.

    Jako výsledek kvantifikace musí být identifikována rizika:

    • hodnota aktiv v peněžním vyjádření;
    • kompletní seznam všech hrozeb IS se škodou z jednorázového incidentu pro každou hrozbu;
    • četnost implementace každé hrozby;
    • potenciální poškození z každé hrozby;
    • doporučené bezpečnostní kontroly, protiopatření a akce pro každou hrozbu.

    Kvantitativní analýza rizik bezpečnosti informací (příklad)

    Zvažte techniku ​​na příkladu webového serveru organizace, který se používá k prodeji konkrétního produktu. Kvantitativní jednouŠkodu způsobenou výpadkem serveru lze odhadnout jako součin průměrného potvrzení o nákupu a průměrného počtu zásahů za určitý časový interval rovnající se výpadku serveru. Řekněme, že náklady na jednorázové poškození v důsledku přímého selhání serveru budou 100 tisíc rublů.

    Nyní je potřeba odborně vyhodnotit, jak často může k takové situaci dojít (s přihlédnutím k intenzitě provozu, kvalitě napájení atd.). Například s ohledem na názory odborníků a statistické informace chápeme, že server může selhat až 2krát za rok.

    Vynásobením těchto dvou hodnot dostaneme to průměrný ročníškoda z implementace hrozby přímého selhání serveru je 200 tisíc rublů ročně.

    Tyto výpočty lze použít k odůvodnění volby ochranných opatření. Například zavedení systému nepřerušitelného napájení a záložního systému s celkovými náklady 100 tisíc rublů ročně minimalizuje riziko selhání serveru a bude zcela efektivním řešením.

    Kvalitativní metoda

    Bohužel ne vždy je možné získat konkrétní vyjádření předmětu hodnocení z důvodu velké nejistoty. Jak přesně vyhodnotit poškození dobrého jména společnosti, když se objeví informace o incidentu informační bezpečnosti, který pro ni nastal? V tomto případě se používá kvalitativní metoda.

    Kvalitativní přístup nepoužívá pro předmět hodnocení kvantitativní ani peněžní vyjádření. Místo toho je předmětu hodnocení přiřazen ukazatel seřazený na tříbodové (nízké, střední, vysoké), pětibodové nebo desetibodové škále (0 ... 10). Ke sběru dat pro kvalitativní hodnocení rizik se využívají průzkumy cílových skupin, rozhovory, dotazníky a osobní setkání.

    Kvalitativní analýza rizik informační bezpečnosti by měla být provedena se zapojením zaměstnanců se zkušenostmi a kompetencemi v oblasti, ve které jsou hrozby zvažovány.

    Jak provést kvalitativní hodnocení rizik:

    1. Určete hodnotu informačních aktiv.

    Hodnota aktiva může být určena úrovní kritičnosti (důsledků), kdy dojde k porušení bezpečnostních charakteristik (důvěrnost, integrita, dostupnost) informačního aktiva.

    2. Určete pravděpodobnost realizace hrozby ve vztahu k informačnímu aktivu.

    K posouzení pravděpodobnosti realizace hrozby lze použít třístupňovou kvalitativní škálu (nízká, střední, vysoká).

    3. Stanovit míru možnosti úspěšné realizace hrozby s přihlédnutím k aktuálnímu stavu informační bezpečnosti, realizovaným opatřením a prostředkům ochrany.

    K posouzení úrovně možnosti realizace hrozby lze také použít třístupňovou kvalitativní škálu (nízká, střední, vysoká). Hodnota schopnosti hrozby udává, do jaké míry je možné hrozbu úspěšně implementovat.

    4. Udělejte závěr o úrovni rizika na základě hodnoty informačního aktiva, pravděpodobnosti realizace hrozby a možnosti realizace hrozby.

    Pro určení míry rizika můžete použít pětibodovou nebo desetibodovou stupnici. Při určování úrovně rizika můžete použít referenční tabulky, které vám umožní pochopit, které kombinace ukazatelů (hodnota, pravděpodobnost, příležitost) vedou k jaké úrovni rizika.

    5. Analyzujte data získaná pro každou hrozbu a úroveň rizika pro ni získanou.

    Tým pro analýzu rizik často pracuje s konceptem „přijatelné úrovně rizika“. Jedná se o úroveň rizika, kterou je společnost ochotna přijmout (pokud má hrozba úroveň rizika menší nebo rovnou přijatelné, pak se nepovažuje za relevantní). Globálním úkolem v kvalitativním hodnocení je snížit rizika na přijatelnou úroveň.

    6. Vyvinout bezpečnostní opatření, protiopatření a akce pro každou aktuální hrozbu ke snížení úrovně rizika.

    Jakou metodu zvolit?

    Smyslem obou metod je pochopení skutečných rizik informační bezpečnosti společnosti, stanovení seznamu aktuálních hrozeb a také výběr účinných protiopatření a ochranných nástrojů. Každá metoda hodnocení rizik má své výhody a nevýhody.

    Kvantitativní metoda poskytuje vizuální reprezentaci v penězích předmětů hodnocení (škody, náklady), je však pracnější a v některých případech nepoužitelná.

    Kvalitativní metoda umožňuje provádět hodnocení rizik rychleji, ale hodnocení a výsledky jsou více subjektivní a neposkytují jasné pochopení škod, nákladů a přínosů implementace GIS.

    Výběr metody by měl být proveden na základě specifik konkrétní společnosti a úkolů přidělených specialistovi.

    Stanislav Šiljajev, Information Security Project Manager ve společnosti SKB Kontur

    Přečtěte si více: