Bankacılık sektöründeki bilgi güvenliği risklerinin "unicredit bank" örneği üzerinde analizi. Bilgi güvenliği risklerinin çok değişkenli analizi. Yaklaşımlar ve yöntemler

Bilgi güvenliği riskleri nasıl doğru bir şekilde değerlendirilir - tarifimiz

Günümüzde bilgi güvenliği risklerini değerlendirme görevi, uzmanlar topluluğu tarafından belirsiz bir şekilde algılanmaktadır ve bunun birkaç nedeni vardır. İlk olarak, altın standart veya kabul edilmiş bir yaklaşım yoktur. Çok sayıda standart ve metodoloji, genel olarak benzer olmakla birlikte, ayrıntılarda önemli ölçüde farklılık gösterir. Bir yöntemin veya diğerinin uygulanması, alana ve değerlendirme nesnesine bağlıdır. Ancak, değerlendirme sürecindeki katılımcılar sahipse, doğru yöntemi seçmek sorun olabilir. farklı performans ve sonuçları hakkında.

İkinci olarak, bilgi güvenliği risk değerlendirmesi tamamen uzman bir görevdir. Farklı uzmanlar tarafından yapılan risk faktörlerinin (hasar, tehdit, güvenlik açığı vb.) analizi genellikle farklı sonuçlar verir. Değerlendirme sonuçlarının yetersiz tekrarlanabilirliği, elde edilen verilerin güvenilirliği ve kullanışlılığı sorusunu gündeme getirir. İnsan doğası öyledir ki, soyut tahminler, özellikle olasılıksal ölçüm birimleriyle ilgili olanlar, insanlar tarafından farklı şekillerde algılanır. Bir kişinin öznel algısının ölçüsünü hesaba katmak için tasarlanmış mevcut uygulamalı teoriler (örneğin, beklenti teorisi), zaten karmaşık olan risk analizi metodolojisini karmaşıklaştırır ve popülerleşmesine katkıda bulunmaz.

Üçüncüsü, varlıkların ayrıştırılması ve envanterinin çıkarılmasıyla klasik anlamda risk değerlendirme prosedürünün kendisi çok zahmetli bir iştir. Yaygın ofis araçlarını (elektronik tablolar gibi) kullanarak manuel analiz yapmaya çalışmak, kaçınılmaz olarak bir bilgi denizinde boğulur. Risk analizinin bireysel aşamalarını basitleştirmek için tasarlanmış özel yazılım araçları, modellemeyi bir dereceye kadar kolaylaştırır, ancak verilerin toplanmasını ve sistematik hale getirilmesini hiçbir şekilde basitleştirmez.

Son olarak, bilgi güvenliği sorunu bağlamında riskin tanımı henüz kesinleşmemiştir. 2002 sürümüyle karşılaştırıldığında ISO Guide 73:2009'daki terminolojideki değişikliklere bakın. Daha önce risk, bir güvenlik açığının bir tehdit tarafından kullanılmasından kaynaklanan hasar potansiyeli olarak tanımlanırken, şimdi beklenen sonuçlardan sapmanın etkisidir. ISO/IEC 27001:2013'ün yeni baskısında da benzer kavramsal değişiklikler yapılmıştır.

Bunlar ve bir dizi başka nedenden dolayı, bilgi güvenliği risk değerlendirmeleri en iyi ihtimalle dikkatle ve en kötü ihtimalle büyük bir güvensizlikle ele alınır. Bu, bu sürecin yönetim tarafından sabote edilmesine ve sonuç olarak yıllık analitik raporlarla dolu çok sayıda olayın ortaya çıkmasına yol açan risk yönetimi fikrini gözden düşürür.

Yukarıdakiler göz önüne alındığında, bilgi güvenliği risklerini değerlendirme görevine hangi taraftan yaklaşmak daha iyidir?

taze bir görünüm

Günümüzde bilgi güvenliği giderek daha fazla iş hedeflerine odaklanıyor ve iş süreçlerine dahil ediliyor. Risk değerlendirmesinde de benzer metamorfozlar yaşanıyor - gerekli iş bağlamını elde ediyor. Modern bir BS risk değerlendirme metodolojisi hangi kriterleri karşılamalıdır? Açıkçası, uygulama sonuçlarının süreçteki tüm katılımcılar için güvenilir ve yararlı olması için yeterince basit ve evrensel olmalıdır. Böyle bir tekniğin dayanması gereken bir dizi ilkeyi seçelim:

1. aşırı ayrıntıdan kaçının;
2. işletmenin görüşüne güvenmek;
3. örnekler kullanın;
4. dikkate almak dış kaynaklar bilgi.

Önerilen metodolojinin özü, en iyi şekilde pratik bir örnekle gösterilir. Bir ticaret ve üretim şirketindeki bilgi güvenliği risklerini değerlendirme görevini düşünün. Genellikle nerede başlar? Değerlendirme sınırlarının tanımından. Risk değerlendirmesi ilk kez yapılıyorsa, sınırlar gelir getiren ana iş süreçlerini ve bunlara hizmet eden süreçleri içermelidir.

İş süreçleri belgelendirilmemişse, organizasyon yapısı ve amaç ve hedeflerin açıklamasını içeren bölümlerle ilgili düzenlemeler incelenerek bunlar hakkında genel bir fikir edinilebilir.

Değerlendirmenin sınırlarını belirledikten sonra varlıkların tanımlanmasına geçelim. Yukarıdakilere uygun olarak, bilgi kaynaklarının envanterini aşağıdakiler için erteleyerek ana iş süreçlerini toplu varlıklar olarak ele alacağız: sonraki adımlar(Kural 1). Bunun nedeni, metodolojinin genelden özele kademeli bir geçişi içermesidir ve bu ayrıntı düzeyinde, bu verilere ihtiyaç duyulmaz.

Risk faktörleri

Değerlemesi yapılan varlıkların bileşimine karar verdiğimizi varsayacağız. Ardından, bunlarla ilişkili tehditleri ve güvenlik açıklarını tanımlamanız gerekir. Ancak bu yaklaşım, yalnızca bilgi varlığı ortamının nesnelerinin değerlendirme nesnesi olduğu ayrıntılı bir risk analizi yapılırken uygulanabilir. ISO/IEC 27001:2013'ün yeni sürümü, risk değerlendirmesinin odağını geleneksel BT varlıklarından bilgi ve işlemeye kaydırmıştır. Mevcut ayrıntı düzeyinde, şirketin toplu iş süreçlerini dikkate aldığımız için, yalnızca bunlara içkin olan yüksek seviyeli risk faktörlerini belirlemek yeterlidir.

Risk faktörü, gelecekte sorun kaynağı olacak bir nesnenin, teknolojinin veya sürecin belirli bir özelliğidir. Aynı zamanda, ancak sorunların şirket performansı üzerinde olumsuz bir etkisi varsa, riskin varlığından söz edebiliriz. Mantıksal bir zincir oluşturulur:

Böylece, risk faktörlerini belirleme görevi, olası risk senaryolarını belirleyen süreçlerin talihsiz özelliklerini ve özelliklerini belirlemeye indirgenmiştir. Negatif etki iş için. Çözümünü basitleştirmek için, ISACA derneği tarafından geliştirilen bilgi güvenliği iş modelini kullanacağız (bkz. Şekil 1):

Pirinç. 1. Bilgi güvenliği iş modeli

Modelin düğümleri, herhangi bir organizasyonun temel itici güçlerini gösterir: strateji, süreçler, insanlar ve teknoloji ve kenarları, aralarındaki işlevsel bağlantıları temsil eder. Bu kaburgalarda temel olarak ana risk faktörleri yoğunlaşmıştır. Görüldüğü gibi, riskler sadece bilgi teknolojisi ile ilişkili değildir.

Yukarıdaki modele göre risk faktörleri nasıl belirlenir? İşi buna dahil etmek gerekir (kural 2). İş birimleri genellikle işlerinde karşılaştıkları sorunların farkındadır. Sektördeki meslektaşların deneyimleri sıklıkla hatırlanır. Doğru soruları sorarak bu bilgiye ulaşabilirsiniz. Personelle ilgili sorunlar İnsan Kaynaklarına, teknoloji sorunları Otomasyona (IT) ve iş süreci sorunları uygun iş birimlerine yönlendirilmelidir.

Risk faktörlerini belirleme görevinde sorunlardan başlamak daha uygundur. Herhangi bir sorunu belirledikten sonra, nedenini belirlemek gerekir. Sonuç olarak, yeni bir risk faktörü tanımlanabilir. Buradaki asıl zorluk, özellikle yuvarlanmamaktır. Örneğin, bir çalışanın hukuka aykırı eylemleri sonucunda bir olay meydana gelmişse, risk faktörü, çalışanın herhangi bir düzenleme hükmünü ihlal etmesi değil, eylemin kendisinin mümkün hale gelmesi olacaktır. Bir risk faktörü, bir sorunun ortaya çıkması için her zaman bir ön koşuldur.

Personelin kendilerine tam olarak ne sorulduğunu daha iyi anlaması için, soruların örneklerle birlikte verilmesi tavsiye edilir (kural 3). Aşağıda, birçok iş sürecinde ortak olabilecek bazı üst düzey risk faktörlerine örnekler verilmiştir:

Kadro:

• Yetersiz nitelikler (Şekil 1'deki İnsan Faktörlerinin kenarı)
• Çalışan eksikliği (kaburganın Ortaya Çıkışı)
• Düşük motivasyon (kaburga Kültürü)

Süreçler:

• Dış gereksinimlerin sık sık değişmesi (yönetici taraf)
• Az gelişmiş süreç otomasyonu (Etkinleştirme ve Destek ucu)
• Oyuncular tarafından rollerin birleştirilmesi (kaburganın Ortaya Çıkışı)

teknolojiler:

• Eski yazılım (Etkinleştirme ve Destek ucu)
• Zayıf kullanıcı hesap verebilirliği (İnsan Faktörleri avantajı)
• Heterojen BT ortamı (mimari uç)

Önerilen değerlendirme yönteminin önemli bir avantajı, iki farklı bölümün aynı sorunu farklı açılardan ele aldığı çapraz analiz olasılığıdır. Bu durumda görüşmecilere “Meslektaşlarınızın tespit ettiği sorunlar hakkında ne düşünüyorsunuz?” gibi sorular sormakta fayda var. Bu, ek notlar almanın yanı sıra mevcut notları ayarlamanın harika bir yoludur. Sonucu iyileştirmek için, böyle bir değerlendirmenin birkaç turu gerçekleştirilebilir.

iş üzerindeki etkisi

Risk tanımından da anlaşılacağı gibi, kuruluşun iş performansı üzerindeki etki derecesi ile karakterize edilir. Risk uygulama senaryolarının iş üzerindeki etkisinin doğasını belirlemenizi sağlayan kullanışlı bir araç, Balanced Scorecards sistemidir. Ayrıntılara girmeden, Dengeli Puan Kartlarının herhangi bir şirket için hiyerarşik bir şekilde ilişkili 4 iş beklentisi belirlediğini not ediyoruz (bkz. Şekil 2).

Pirinç. 2. Dengeli Puan Kartının Dört İş Perspektifi

Ele alınan metodoloji ile ilgili olarak, aşağıdaki üç iş perspektifinden en az birini olumsuz etkileyen bir risk önemli kabul edilebilir: finans, müşteriler ve/veya süreçler (bkz. Şekil 3).

Pirinç. 3. Temel iş göstergeleri

Örneğin, "Düşük kullanıcı sorumluluğu" risk faktörü, "Müşteri Bilgi Sızıntısı" senaryosuyla sonuçlanabilir. Buna karşılık, bu, müşteri sayısı iş metriğini etkileyecektir.

Bir şirket iş ölçümleri geliştirmişse, bu durumu büyük ölçüde basitleştirir. Belirli bir risk senaryosunun bir veya daha fazla iş göstergesi üzerindeki etkisini izlemek mümkün olduğunda, karşılık gelen risk faktörü önemli kabul edilebilir ve değerlendirmesinin sonuçları anketlere kaydedilmelidir. Bir senaryonun etkisi iş ölçütlerinin hiyerarşisinde ne kadar üstteyse, işletme üzerindeki potansiyel etkisi o kadar büyük olur.

Bu sonuçları analiz etme görevi uzman işidir, bu nedenle uzman iş birimlerinin katılımıyla çözülmelidir (kural 2). Elde edilen tahminlerin ek kontrolü için, olayların bir sonucu olarak kayıpların büyüklüğü hakkında istatistiksel veriler içeren harici bilgi kaynakları (kural 4), örneğin yıllık Veri İhlalinin Maliyeti Çalışması raporu kullanmak yararlıdır.

olasılık puanı

Analizin son aşamasında, işletme üzerindeki etkisi belirlenebilen tanımlanmış her bir risk faktörü için, onunla ilişkili senaryoların gerçekleşme olasılığının değerlendirilmesi gerekir. Bu değerlendirme neye bağlıdır? Büyük ölçüde, şirkette uygulanan koruyucu önlemlerin yeterliliğinden.

Burada küçük bir uyarı var. Sorun tanımlandığına göre, bunun hala geçerli olduğu anlamına geldiğini varsaymak mantıklıdır. Aynı zamanda, uygulanan önlemler büyük olasılıkla, gerçekleşmesi için ön koşulları dengelemek için yeterli değildir. Karşı önlemlerin yeterliliği, örneğin bir metrik sistem kullanılarak uygulamalarının etkinliğinin değerlendirilmesinin sonuçlarıyla belirlenir.

Değerlendirme için basit bir 3 seviyeli ölçek kullanabilirsiniz, burada:

3 - Uygulanan karşı önlemler genellikle yeterlidir;

2 - karşı önlemler yeterince uygulanmadı;

1 - karşı önlem yok.

Karşı önlemleri açıklayan referans kitapları olarak, CobiT 5, ISO / IEC 27002 vb. gibi özel standartları ve yönergeleri kullanabilirsiniz. Her karşı önlem, belirli bir risk faktörü ile ilişkilendirilmelidir.

Yalnızca BT kullanımıyla ilgili riskleri değil, aynı zamanda dahili organizasyonla ilgili riskleri de analiz ettiğimizi hatırlamak önemlidir. bilgi süreçlerişirkette. Bu nedenle, karşı önlemler daha geniş olarak düşünülmelidir. ISO/IEC 27001:2013'ün yeni sürümünün, karşı önlemleri seçerken, yalnızca standartta referans amacıyla bulunan Ek A'yı değil, herhangi bir dış kaynağı (kural 4) kullanmanın gerekli olduğuna dair bir madde içermesi boşuna değildir.

Riskin büyüklüğü

Nihai risk değerini belirlemek için kullanabilirsiniz en basit tablo(bkz. Tablo 1).

Sekme 1. Risk değerlendirme matrisi

Bir risk faktörünün "Müşteriler" ve "Finans" gibi çeşitli iş perspektiflerini etkilemesi durumunda, bunların göstergeleri özetlenir. Ölçeğin boyutu ve BS risklerinin kabul edilebilir seviyeleri herhangi bir uygun şekilde belirlenebilir. Yukarıdaki örnekte, 2. ve 3. seviye riskler yüksek kabul edilir.

Bu noktada risk değerlendirmesinin ilk aşaması tamamlanmış sayılabilir. Değerlendirilen iş süreciyle ilişkili riskin nihai değeri, tanımlanan tüm faktörler için bileşik değerlerin toplamı olarak belirlenir. Riskin sahibi, şirkette değerlendirilen nesneden sorumlu kişi olarak kabul edilebilir.

Ortaya çıkan rakam, kuruluşun ne kadar para kaybetme riski altında olduğunu bize söylemez. Bunun yerine, risklerin yoğunlaşma alanını ve iş performansı üzerindeki etkilerinin doğasını gösterir. Bu bilgi, en önemli ayrıntılara daha fazla odaklanmak için gereklidir.

detaylı değerlendirme

Bu tekniğin en büyük avantajı, istenilen detay seviyesinde bilgi güvenliği risk analizi yapmanıza olanak sağlamasıdır. Gerekirse, bilgi güvenliği modelinin (Şekil 1) unsurlarına "düşebilir" ve bunları daha ayrıntılı olarak düşünebilirsiniz. Örneğin, BT ile ilgili kenarlarda en yüksek risk konsantrasyonunu belirleyerek, Teknoloji düğümünün ayrıntı düzeyini artırabilirsiniz. Daha önce ayrı bir iş süreci bir risk değerlendirmesi nesnesi olarak hareket ettiyse, şimdi odak noktası belirli bir bilgi sistemine ve onun kullanım süreçlerine kayacaktır. Gerekli ayrıntı düzeyini sağlamak için, bilgi kaynaklarının bir envanteri gerekebilir.

Bütün bunlar diğer değerlendirme alanları için de geçerlidir. Kişiler düğümünün ayrıntısını değiştirdiğinizde, değerlendirme nesneleri personel rolleri ve hatta bireysel çalışanlar olabilir. İşlem düğümü için bunlar, belirli çalışma ilkeleri ve prosedürleri olabilir.

Ayrıntı seviyesinin değiştirilmesi, yalnızca risk faktörlerini değil, aynı zamanda geçerli karşı önlemleri de otomatik olarak değiştirecektir. Her ikisi de değerlendirme nesnesine daha spesifik hale gelecektir. Ancak, bir risk değerlendirmesi gerçekleştirmeye yönelik genel yaklaşım değişmeyecektir. Tanımlanan her faktör için aşağıdakilerin değerlendirilmesi gerekli olacaktır:

• iş beklentileri üzerindeki risk etkisinin derecesi;
• karşı önlemlerin yeterliliği.

Rus Sendromu

ISO/IEC 27001:2013 standardının yayınlanması birçok Rus şirketini zor durumda bıraktı. Bir yandan, bilgi varlıklarının sınıflandırılmasına, tehditlerin ve güvenlik açıklarının değerlendirilmesine dayalı olarak bilgi güvenliği risklerinin değerlendirilmesine yönelik belirli bir yaklaşım geliştirdiler. Ulusal düzenleyiciler, bu yaklaşımı destekleyen bir dizi düzenleme yayınlamayı başardılar, örneğin Rusya Merkez Bankası standardı, FSTEC emirleri. Öte yandan, risk değerlendirmesi görevinin değiştirilmesi için çok geç kalınmıştır ve artık hem eski hem de yeni gereklilikleri karşılamak için kurulu düzeni değiştirmek gerekmektedir. Evet, bugün GOST R ISO / IEC 27001:2006 standardına göre sertifika almak hala mümkün. önceki versiyon ISO/IEC 27001, ancak uzun sürmez.

Yukarıda tartışılan risk analizi metodolojisi bu konuyu ele almaktadır. Değerlendirmedeki ayrıntı düzeyini kontrol ederek, iş süreçlerinden bireysel bilgi akışlarına kadar her ölçekteki varlıkları ve riskleri değerlendirebilirsiniz. Bu yaklaşım aynı zamanda kullanışlıdır çünkü hiçbir şeyi kaçırmadan tüm üst düzey riskleri karşılamanıza olanak tanır. Aynı zamanda şirket, daha fazla analiz için işgücü maliyetlerini önemli ölçüde azaltacak ve önemsiz risklerin ayrıntılı bir değerlendirmesi için zaman kaybetmeyecektir.

Değerlendirme alanı ne kadar ayrıntılı olursa, uzmanların sorumluluğu o kadar büyük olur ve gereken yetkinlik de o kadar artar, çünkü analizin derinliği değiştiğinde sadece risk faktörleri değil, aynı zamanda uygulanabilir karşı önlemlerin manzarası da değişir.

Tüm basitleştirme girişimlerine rağmen, bilgi güvenliği risk analizi hala zaman alıcı ve karmaşıktır. Bu sürecin liderinin özel bir sorumluluğu vardır. Bilgi güvenliği için bütçe tahsisinden iş sürdürülebilirliğine kadar pek çok şey, yaklaşımı ne kadar yetkin bir şekilde geliştirdiğine ve görevle nasıl başa çıktığına bağlı olacaktır.

Riskin, bilgi güvenliğine yönelik bir tehdidin gerçekleşme olasılığı olduğu bilinmektedir. Klasik görüşte risk değerlendirmesi, tehditlerin, güvenlik açıklarının ve bunların uygulanmasından kaynaklanan hasarın değerlendirmesini içerir. Risk analizi, riski bu şekilde belirleyen tüm olası faktörleri hesaba katarak bu en elverişsiz koşulların başlangıcına ilişkin resmin modellenmesinden oluşur. Matematiksel bir bakış açısından, risk analizinde bu tür faktörler girdi parametreleri olarak kabul edilebilir.

Bu seçenekleri sıralayalım:
1) varlıklar - iş sürecinde yer alan ve belirli bir değere sahip olan sistem altyapısının temel bileşenleri;
2) bir güvenlik açığının kullanılması yoluyla uygulanması mümkün olan tehditler;
3) güvenlik açıkları - sisteme sızmak için kullanılabilecek prosedürler, tasarım, uygulamadaki hatalar veya kusurlardan kaynaklanan koruma araçlarındaki bir zayıflık;
4) sistemi geri yükleme maliyetleri dikkate alınarak tahmin edilen hasar başlangıç ​​hali olası bir bilgi güvenliği olayından sonra.

Dolayısıyla, çok değişkenli bir risk analizi yürütmenin ilk adımı, analiz edilen girdi parametrelerinin tanımlanması ve sınıflandırılmasıdır. Daha sonra, her bir parametreyi önem seviyelerine göre sıralamak gerekir (örneğin: yüksek, orta, düşük). Muhtemel risk modellemenin son aşamasında (risk seviyesinin sayısal verilerinin alınmasından önce), belirlenen tehditler ve güvenlik açıkları, BT altyapısının belirli bileşenleriyle ilişkilendirilir (bu tür bir bağlantı, örneğin, sistem koruma araçlarının mevcudiyeti, hesaba katılmayan faktörler nedeniyle sistemin tehlikeye girme olasılığı vb. dikkate alınarak veya dikkate alınmadan risk analizini içerebilir). Risk modelleme sürecini adım adım inceleyelim. Bunun için öncelikle şirketin varlıklarına dikkat edelim.

Şirket varlıklarının envanteri
(SİSTEM KARAKTERİZASYONU)

Öncelikle şirketin bilgi güvenliği açısından değerli bir varlığının ne olduğunun belirlenmesi gerekir. Bir bilgi güvenliği yönetim sistemi için prosedürleri ayrıntılı olarak açıklayan ISO 17799 standardı, aşağıdaki varlık türlerini tanımlar:
. bilgi kaynakları (veritabanları ve dosyalar, sözleşmeler ve anlaşmalar, sistem belgeleri, araştırma bilgileri, belgeler, eğitim materyalleri, vb.);
. yazılım;
. para ( bilgisayar donanımı, telekomünikasyon araçları vb.);
. hizmetler (telekomünikasyon hizmetleri, yaşam destek sistemleri, vb.);
. şirket çalışanları, nitelikleri ve deneyimleri;
. maddi olmayan kaynaklar (şirketin itibarı ve imajı).

Hangi varlık bilgi güvenliği ihlalinin şirkete zarar verebileceği belirlenmelidir. Bu durumda varlık değerli kabul edilecek ve bilgi risklerinin analizinde dikkate alınması gerekecektir. Envanter, şirketin değerli varlıklarının bir listesini derlemekten oluşur. Kural olarak, bu işlem varlıkların sahipleri tarafından gerçekleştirilir. "Sahip" kavramı, varlıkların oluşturulmasını, geliştirilmesini, bakımını, kullanımını ve korunmasını yönetmek için şirket yönetimi tarafından onaylanan sorumluluklara sahip kişi veya tarafları tanımlar.

Varlıkların sınıflandırılması sürecinde, varlıkların şirketin iş süreçleri açısından kritikliğinin değerlendirilmesi, bir başka deyişle varlıkların bilgi güvenliğinin ihlali durumunda şirketin ne kadar zarar göreceğinin belirlenmesi gerekmektedir. Bu süreç en büyük zorluğa neden olur, çünkü. varlıkların değeri, sahiplerinin uzman değerlendirmelerine göre belirlenir. Bu aşamada, yönetim sistemi geliştirme danışmanları ve varlık sahipleri arasında sık sık tartışmalar olur. Bu, varlık sahiplerinin bilgi güvenliği açısından varlıkların değerini nasıl belirleyeceklerini anlamalarına yardımcı olur (kural olarak, varlıkların kritikliğini belirleme süreci yenidir ve mal sahibi için önemsiz değildir). Ayrıca varlık sahipleri için çeşitli değerleme yöntemleri geliştirilmektedir. Özellikle, bu tür metodolojiler, kritiklik değerlendirilirken dikkate alınması gereken belirli kriterler (belirli bir şirketle ilgili) içerebilir.

Varlık Öncelik Değerlendirmesi

Varlık kritikliği üç boyutta değerlendirilir: gizlilik, bütünlük ve kullanılabilirlik. Onlar. varlıkların gizliliğinin, bütünlüğünün veya kullanılabilirliğinin ihlal edilmesi durumunda şirketin uğrayacağı zararın değerlendirilmesi gerekmektedir. Varlık kritikliği, para birimlerinde ve düzeylerde değerlendirilebilir. Ancak, bilgi risklerinin analizi için para birimi cinsinden değerlerin gerekli olduğu dikkate alındığında, varlıkların kritiklik derecelerinin seviyeler halinde değerlendirilmesi durumunda, para cinsinden her seviyenin değerlendirmesinin belirlenmesi gerekir.

BİLGİ TEKNOLOJİSİ SİSTEMLERİ İÇİN RİSK YÖNETİMİ KILAVUZU'nda yer alan yetkili NIST sınıflandırmasına göre, tehditlerin sınıflandırılması ve değerlendirilmesinden önce kaynaklarının doğrudan tanımlanması gelir. Bu nedenle, yukarıdaki sınıflandırmaya göre, aşağıdakiler dahil olmak üzere ana tehdit kaynakları tanımlanabilir:
. doğal kaynaklı tehditler (deprem, sel vb.);
. insan tehditleri (yetkisiz erişim, ağ saldırıları, kullanıcı hataları vb.);
. teknolojik kökenli tehditler (çeşitli kazalar, elektrik kesintileri, kimyasal kirlilik vb.).

Yukarıdaki sınıflandırma daha ayrıntılı olarak kategorize edilebilir.
Dolayısıyla, bahsedilen NIST sınıflandırmasına göre insanlardan kaynaklanan bağımsız tehdit kaynakları kategorileri şunları içerir:
- bilgisayar korsanları;
- suç yapıları;
- teröristler;
- endüstriyel casusluk yapan şirketler;
- içeridekiler.
Listelenen tehditlerin her biri, sırasıyla, ayrıntılandırılmalı ve önem derecesine göre değerlendirilmelidir (örneğin: düşük, orta, yüksek).

Açıkçası, tehdit analizi, incelediğimiz sistemin güvenlik açıklarıyla yakından bağlantılı olarak düşünülmelidir. Bu risk yönetimi adımının amacı, olası sistem güvenlik açıklarını listelemek ve bu güvenlik açıklarını "güçlerine" göre kategorize etmektir. Bu nedenle, küresel uygulamaya göre, güvenlik açıklarının derecesi seviyelere ayrılabilir: Kritik, Yüksek, Orta, Düşük. Bu seviyeleri daha ayrıntılı olarak inceleyelim:

1. Kritik tehlike seviyesi. Bu tehlike seviyesi, hedef kullanıcıdan ek bir etki olmaksızın uzak sistemin ele geçirilmesine izin veren ve şu anda aktif olarak istismar edilen güvenlik açıklarını içerir. Bu önem düzeyi, açıktan yararlanmanın kamu malı olduğu anlamına gelir.

2. Yüksek derecede tehlike. Bu önem düzeyi, uzak sistem güvenliğinin aşılmasına izin veren güvenlik açıklarını içerir. Kural olarak, bu tür güvenlik açıkları için genel kullanıma açık bir istismar yoktur.

3. Ortalama tehlike derecesi. Bu önem düzeyi, doğrudan kullanıcı etkileşimi yoluyla (örneğin, kötü amaçlı bir sunucuya bağlanan savunmasız bir uygulama aracılığıyla) uzaktan hizmet reddine, yetkisiz veri erişimine veya rastgele kod yürütülmesine olanak tanıyan güvenlik açıklarını içerir.

4. Düşük seviyede tehlike. Bu düzey, yerel olarak yararlanılan tüm güvenlik açıklarının yanı sıra yararlanılması zor veya minimum etkiye sahip güvenlik açıklarını (örneğin, XSS, istemci uygulaması hizmet reddi) içerir.

Böyle bir güvenlik açıkları listesini/listesini derlemek için kaynak şöyle olmalıdır:
. halka açık, düzenli olarak yayınlanan güvenlik açıkları listeleri (örnek olarak: www.securitylab.ru);
. yazılım üreticisi tarafından yayınlanan güvenlik açıklarının listesi (örneğin: www.apache.org);
. sızma testi sonuçları (örneğin: www.site-sec.com);
. güvenlik açığı tarayıcı raporlarının analizi (şirket içindeki güvenlik yöneticisi tarafından yürütülür).

Genel olarak güvenlik açıkları şu şekilde sınıflandırılabilir:
. Üretici veya bağımsız uzmanlar tarafından keşfedilen işletim sistemi ve yazılım güvenlik açıkları (kod hataları) (bu yazı yazıldığı sırada, keşfedilen güvenlik açıklarının toplam sayısı yaklaşık 1900'e ulaştı - buna xakep.ru, securitylab, milw0rm.com ve securityfocus.com'daki "bugtracks"ta yayınlanan güvenlik açıkları dahildir).
. Yönetim hatalarıyla ilişkili sistem güvenlik açıkları (ortam için yetersiz web sunucusu veya PHP ayarları, güvenlik duvarı tarafından kapatılmayan güvenlik açığı bulunan hizmetlere sahip bağlantı noktaları vb.).
. Kaynakları güvenlik politikasının kapsamadığı olaylar olabileceği gibi kendiliğinden gelişen olaylar da olabilen güvenlik açıkları. Arabellek taşması, yaygın bir işletim sistemi ve yazılım güvenlik açığının en iyi örneğidir. Bu arada, şu anda var olan istismarların büyük çoğunluğu arabellek taşmaları için bir güvenlik açığı sınıfı uyguluyor.

Risk değerlendirmesi için sayısal yöntemler

En basit bilgi riski değerlendirmesi, varlıkların kritikliği ve güvenlik açıkları olasılığı hakkındaki bilgiler dikkate alınarak gerçekleştirilen risk hesaplamasından oluşur.
Klasik risk değerlendirme formülü:
R=D*P(V), burada R bilgi riskidir;
D - varlık kritikliği (hasar);
P(V) - güvenlik açığının uygulanma olasılığı.
Risk düzeylerini belirlemeye yönelik yukarıdaki yaklaşımın pratik uygulamasına bir örnek, NIST tarafından önerilen risk matrisidir.

Muhtemel girdi parametrelerinin her biri (örneğin güvenlik açığı, tehdit, varlık ve hasar), karşılık gelen katsayı dikkate alınarak üyelik fonksiyonu tarafından tanımlanır.

Bulanık mantığa dayalı risk değerlendirmesi

Bulanık mantığa dayalı risk değerlendirme mekanizmaları, her biri bir önceki aşamanın sonuçlarını kullanan bir dizi aşama içerir. Bu adımların sırası genellikle aşağıdaki gibidir:
. Girdi verilerinin düzeyi ile çıktıdaki risk düzeyi arasındaki ilişkiyi yansıtan, üretim kuralları ("IF, ... THEN") biçiminde programlama kurallarının girilmesi.
. Giriş değişkenlerinin üyelik fonksiyonunu ayarlama (örnek olarak, özel programlar"Bulanık mantık" gibi - içinde bu örnek MatLab'ı kullandık).
. Girdi değişkenlerinin tahminlerinin birincil sonucunun elde edilmesi.
. Girdi değişkenlerinin tahminlerinin bulanıklaştırılması (üyelik fonksiyonlarının belirli değerlerinin bulunması).
. Toplama (bulanık birleşme ve bulanık ayrışma yoluyla üyelik fonksiyonlarını dönüştürerek koşulların doğruluğunun kontrol edilmesini içerir).
. Sonuçların etkinleştirilmesi (kuralların ve doğruluk fonksiyonlarının her biri için ağırlık katsayılarının bulunması).
. Sonuçların toplanması (çıktı değişkenlerinin her biri için üyelik fonksiyonunun bulunması).
. Durulaştırma (çıktı değişkenlerinin net değerlerinin bulunması).

Bu nedenle, yukarıdaki örnekte (Tablo 1.1.), gerçekte üç seviyeli girdi parametreleri ölçeğine sahip iki parametreli bir risk değerlendirme algoritması düşünülmüştür. burada:
. girdi değerleri ve risk için, bulanık terimlerin tanımlandığı üç seviyeli ölçekler ayarlandı ("büyük", "orta" ve "düşük" değişken değerlerine karşılık gelir - bkz. Şekil 1);
. tüm mantıksal çıkarım kurallarının önemi aynıdır (üretim kurallarının tüm ağırlık katsayıları bire eşittir).

Pirinç. 1. Üç seviyeli "kırılganlık" ölçeğinin yamuk üyelik fonksiyonları

İki girdi değişkeninin girişini sağlayan iki parametreli bir algoritmanın, özellikle birçok faktörü - bu arada IS risk değerlendirmesinin gerçek resmini yansıtan girdi değişkenleri - hesaba katarak objektif bir risk analizi sonucu sağlayamayacağı açıktır.

Dört Parametreli Algoritma

Bulanık mantık üretim kurallarının yardımıyla, dört girdi değişkenini hesaba katarak çıkarım mekanizmasını yeniden oluşturmanın gerekli olduğunu varsayalım. Bu durumda, bu değişkenler:
. varlıklar;
. güvenlik açığı;
. tehdit (veya daha doğrusu olasılığı);
. zarar.

Listelenen girdi değişkenlerinin her biri kendi ölçeğinde değerlendirilir. Dolayısıyla, ön analize dayalı olarak girdi değişkenlerinin bazı tahminlerinin elde edildiğini varsayalım (Şekil 2.):

Pirinç. 2. Değişken tahminlerinin girişi ve çıkarım mekanizması

En basit örneği kullanarak, üç seviyeli bir ölçekte belirli bir durum için üretim kurallarının biçimini düşünün:

Pirinç. 3. Dört parametreli algoritmanın üretim kuralları

Bu durumda Fuzzy Logic Toolbox'ın grafik arabirimi, riskin bir tehdit olasılığına ve buna bağlı olarak diğer girdi değişkenlerine bağımlılığının grafiklerini görüntülemenizi sağlar.

Şekil 4. Riskin tehdit olasılığına bağımlılığı

Pirinç. 5. Riskin hasara bağımlılığı

"Çıkarım eğrisinin" düzgün ve monoton bir bağımlılık grafiği, kullanılan çıkarım kurallarının yeterliliğini ve tutarlılığını gösterir. Görsel bir grafik sunum, çıktı mekanizmasının özelliklerinin gereksinimlere uygunluğunu değerlendirmenizi sağlar. Bu durumda, "çıkarım eğrisi", çıkarım mekanizmasının yalnızca düşük olasılık değerleri bölgesinde, yani 0,5'ten küçük bir olasılıkla. 0,5'ten büyük olasılıkla değerlerde böyle bir "blokaj" nasıl açıklanabilir? Muhtemelen, üç seviyeli bir ölçeğin kullanılması, kural olarak, yüksek olasılık değerleri bölgesinde algoritmanın hassasiyetini etkilediği için.

Birden çok faktöre dayalı bazı Risk Analizi Araçlarına genel bakış

Birçok faktörü hesaba katarak tam bir risk analizi gerçekleştirirken, çözülmesi gereken bir takım karmaşık problemler vardır:
. Kaynakların değeri nasıl belirlenir?
. nasıl oluşturulur tam liste IS tehditleri ve parametrelerini değerlendirmek?
. Doğru karşı önlemler nasıl seçilir ve etkinlikleri nasıl değerlendirilir?
Bu sorunları çözmek için, aşağıdakileri sağlayan yapısal sistem analizi ve tasarımı yöntemleri (SSADM - Yapısal Sistem Analizi ve Tasarımı) kullanılarak oluşturulmuş özel olarak geliştirilmiş araçlar vardır:
- IS açısından bir IS modeli oluşturmak;
- kaynakların değerini değerlendirme yöntemleri;
- bir tehdit listesi derlemek ve olasılıklarını değerlendirmek için araçlar;
- karşı önlemlerin seçimi ve etkinliklerinin analizi;
- bina koruma seçeneklerinin analizi;
- belgeler (rapor oluşturma).
Şu anda, piyasada bu sınıfa ait birkaç yazılım ürünü bulunmaktadır. Bunlardan en popüler olanı CRMM'dir. Aşağıda kısaca inceleyelim.

CRAM yöntemi

1985 yılında Birleşik Krallık Merkezi Bilgisayar ve Telekomünikasyon Ajansı (CCTA), sınıflandırılmamış ancak kritik bilgilerin işlenmesinde yer alan devlet kurumlarında kullanıma uygun yöntemler önermek için mevcut bilgi güvenliği analiz yöntemleri üzerine bir çalışma başlattı. Ele alınan yöntemlerin hiçbiri işe yaramadı. Bu nedenle, CCTA'nın gerekliliklerini karşılamak için yeni bir yöntem geliştirilmiştir. CRMM - CCTA Risk Analizi ve Kontrol Yöntemi olarak adlandırılır. Ardından, yöntemin Savunma Bakanlığı, sivil devlet kurumları, finans kurumları ve özel kuruluşların gereksinimlerine odaklanan birkaç versiyonu ortaya çıktı. Sürümlerden biri - "ticari profil" - ticari ürün. Şu anda, CRMM, İnternet'teki bağlantı sayısına bakılırsa, en yaygın risk analizi ve kontrol yöntemidir. Risk analizi, kaynaklara atanan derecelendirmelere, tehditlere ve kaynakların güvenlik açıklarına dayalı olarak risk düzeylerinin (ölçümlerinin) tanımlanmasını ve hesaplanmasını içerir. Risk kontrolü, riskleri kabul edilebilir bir düzeye indirmek için karşı önlemlerin belirlenmesi ve seçilmesinden oluşur. Bu konsepte dayalı resmi bir yöntem, korumanın tüm sistemi kapsamasını sağlamalıdır ve şu hususlara güven duyulmalıdır:

Tüm olası riskler tanımlanır;
. kaynak güvenlik açıkları belirlenir ve seviyeleri değerlendirilir;
. tehditler belirlenir ve seviyeleri değerlendirilir;
. karşı önlemler etkilidir;
. bilgi güvenliği ile ilgili maliyetler haklı.

Oleg Boytsev, "Cerber Security//Sitenizin Güvenlik Analizi" Başkanı

Bilgi güvenliği yönetimi süreçlerinde risk analizinin pratik uygulama sorunlarının yanı sıra bilgi güvenliği risk analizi sürecinin kendisinin genel sorunları.

Herhangi bir faaliyet alanını yönetme sürecinde, benimsenmesi belirli hedeflere ulaşılmasına yardımcı olan bilinçli ve etkili kararlar geliştirmek gerekir. Kanaatimizce, yeterli bir karar ancak gerçeklere ve neden-sonuç ilişkilerinin analizine dayanarak verilebilir. Elbette bazı durumlarda kararlar sezgisel düzeyde alınır, ancak sezgisel bir kararın kalitesi büyük ölçüde yöneticinin deneyimine ve daha az ölçüde de şanslı bir tesadüfe bağlıdır.

Bilgiye dayalı ve gerçekçi bir karar verme sürecinin ne kadar karmaşık olduğunu göstermek için bilgi güvenliği yönetimi (IS) alanından bir örnek verelim. Tipik bir durumu ele alalım: bilgi güvenliği departmanı başkanının, ana işlevini - kuruluşun bilgi güvenliğini sağlamak - etkin bir şekilde yerine getirmek için hangi yönlerde hareket etmesi gerektiğini anlaması gerekir. Bir yandan, her şey çok basit. Güvenlik sorunlarını çözmek için bir dizi standart yaklaşım vardır: çevre koruması, içeriden koruma, mücbir sebep koruması. Ve belirli bir sorunu çözmenize izin veren (kendinizi belirli bir tehditten korumak için) birçok ürün vardır.

Ancak, küçük bir "ama" var. Bilgi güvenliği departmanı uzmanları, çeşitli sınıflardan ürün seçiminin çok geniş olması, kuruluşun bilgi altyapısının çok büyük olması, ihlal edenlerin saldırıları için potansiyel hedeflerin sayısının fazla olması ve kuruluş bölümlerinin faaliyetlerinin heterojen olması ve birleştirilmemesi gerçeğiyle karşı karşıyadır. Aynı zamanda, bölümün her uzmanı, uzmanlık alanına ve kişisel önceliklerine karşılık gelen öncelikli faaliyet alanları hakkında kendi görüşüne sahiptir. Ve büyük bir kuruluşta tek bir teknik çözümün getirilmesi veya bir düzenlemenin veya talimatın geliştirilmesi, proje faaliyetlerinin tüm niteliklerini içeren küçük bir projeyle sonuçlanır: planlama, bütçe, sorumluluk, son tarihler vb.

Bu nedenle, kendinizi her yerde ve her şeyden korumak, öncelikle fiziksel olarak mümkün değildir ve ikincisi, hiçbir anlamı yoktur. Bilgi güvenliği departmanı başkanı bu durumda ne yapabilir?

Birincisi, ilk büyük olaya kadar hiçbir şey yapmayabilir. İkinci olarak, bilgi güvenliği sağlamak için genel kabul görmüş bazı standartları uygulamaya çalışın. Üçüncüsü, bilgi güvenliği alanındaki yazılım ve donanım üreticilerinin ve entegratörlerinin veya danışmanlarının pazarlama materyallerine güvenin. Ancak, başka bir yol var.

Bilgi güvenliği yönetimi hedeflerini tanımlama

Kuruluşun yönetiminin ve çalışanlarının yardımıyla gerçekten neyin ve kimden korunması gerektiğini anlamaya çalışabilirsiniz. Bu andan itibaren, hem iş açısından hem de bilgi güvenliği açısından formüle edilecek olan, faaliyet yönünün ve (mümkünse) bilgi güvenliği sağlamanın hedef durumunun belirlenmesinden oluşan, teknolojilerin ve ana işin kesiştiği noktada belirli bir faaliyet başlar.

Risk analizi süreci, bilgi güvenliği yönetiminin hedeflerini belirlemek, şirketin kilit iş süreçlerini olumsuz etkileyen ana kritik faktörleri değerlendirmek ve bunları kontrol etmek veya en aza indirmek için bilinçli, etkin ve makul çözümler geliştirmek için kullanılabilecek bir araçtır.

Aşağıda, listelenen sonuçları elde etmek için bilgi güvenliği risk analizinin bir parçası olarak hangi görevlerin çözüldüğünü ve bu sonuçların risk analizinin bir parçası olarak nasıl elde edildiğini açıklayacağız.

Varlıkların tanımlanması ve değerlemesi

Bilgi güvenliği yönetiminin amacı, bilginin gizliliğini, bütünlüğünü ve kullanılabilirliğini korumaktır. Tek soru, ne tür bilgilerin korunması gerektiği ve güvenliğini sağlamak için ne gibi çabalar gösterilmesi gerektiğidir (Şekil 1).

Herhangi bir yönetim, meydana geldiği durumun farkındalığına dayanır. Risk analizi açısından, durumun farkındalığı, kuruluşun varlıklarının ve çevrelerinin, yani ticari faaliyetlerin yürütülmesini sağlayan her şeyin envanterinde ve değerlendirilmesinde ifade edilir. Bilgi güvenliği risk analizi açısından bakıldığında, ana varlıklar doğrudan şirketin bilgisini, altyapısını, personelini, imajını ve itibarını içerir. Ticari faaliyet düzeyinde bir varlık envanteri olmadan, neyin korunması gerektiği sorusuna cevap vermek imkansızdır. Bir kuruluşta hangi bilgilerin işlendiğini ve nerede işlendiğini anlamak çok önemlidir.

Büyük ve modern bir kuruluşta bilgi varlıklarının sayısı çok fazla olabilir. Kuruluşun faaliyetleri bir ERP sistemi kullanılarak otomatikleştirilirse, bu faaliyette kullanılan hemen hemen her maddi nesnenin bazılarına karşılık geldiğini söyleyebiliriz. bilgi nesnesi. Bu nedenle, risk yönetiminin birincil görevi en önemli varlıkları belirlemektir.

Hem orta hem de üst düzey yöneticiler olmak üzere kuruluşun ana faaliyetinin yöneticilerinin katılımı olmadan bu sorunu çözmek imkansızdır. En uygun durum, kuruluşun üst yönetiminin kişisel olarak bilgi güvenliğini sağlamanın son derece önemli olduğu en kritik faaliyet alanlarını belirlemesidir. Üst yönetimin bilgi güvenliğinin sağlanmasındaki önceliklere ilişkin görüşü, risk analizi sürecinde çok önemli ve değerlidir, ancak her durumda şirket yönetiminin orta kademesindeki varlıkların kritikliği hakkında bilgi toplanarak netleştirilmesi gerekir. Aynı zamanda, tam olarak üst yönetim tarafından belirlenen ticari faaliyet alanlarında daha fazla analiz yapılması tavsiye edilir. Alınan bilgiler işlenir, toplanır ve durumun kapsamlı bir değerlendirmesi için üst yönetime iletilir (ancak daha sonra buna daha fazla değineceğiz).

Bilgi, kaynak türlerinden biri olarak kabul edilen iş süreçlerinin tanımına dayalı olarak tanımlanabilir ve yerelleştirilebilir. Kuruluş bir iş yönetmeliği yaklaşımı benimsemişse (örneğin, kalite yönetimi ve iş süreci optimizasyonu amacıyla) görev biraz basitleştirilir. Resmileştirilmiş iş süreci açıklamaları, varlık envanteri için iyi bir başlangıç ​​noktasıdır. Tanım yoksa, kuruluşun çalışanlarından alınan bilgilere dayanarak varlıkları tanımlayabilirsiniz. Varlıklar belirlendikten sonra, değerleri belirlenmelidir.

Tüm organizasyon bağlamında bilgi varlıklarının değerini belirleme işi hem en önemli hem de karmaşıktır. Bilgi güvenliği departmanı başkanının bilgi güvenliğini sağlamak için ana faaliyet alanlarını seçmesini sağlayacak bilgi varlıklarının değerlendirilmesidir.

Bir varlığın değeri, varlığın güvenliğinin ihlali durumunda kuruluşun uğrayacağı zararın miktarı olarak ifade edilir. Değeri belirlemek sorunludur, çünkü çoğu durumda bir kuruluşun yöneticileri, örneğin satın alma fiyatları hakkında bilgi depolanırsa ne olacağı sorusuna hemen cevap veremez. dosya sunucusu bir yarışmacıya gidecek. Daha doğrusu, çoğu durumda, kuruluşun yöneticileri bu tür durumları asla düşünmemiştir.

Ancak bilgi güvenliği yönetim sürecinin ekonomik verimliliği, büyük ölçüde neyin korunması gerektiğine ve bunun için hangi çabaların gerekli olacağına dair farkındalığa bağlıdır, çünkü çoğu durumda uygulanan çaba miktarı, harcanan para miktarı ve işletme maliyetleri ile doğru orantılıdır. Risk yönetimi, nerelerde risk alıp nerelerde alamazsınız sorusuna cevap vermenizi sağlar. Bilgi güvenliği söz konusu olduğunda “risk” terimi, belirli bir alanda bilgi varlıklarını korumak için önemli çabalar sarf etmemenin mümkün olduğu ve aynı zamanda bir güvenlik ihlali durumunda kuruluşun önemli kayıplara uğramaması anlamına gelir. Burada koruma sınıfları ile bir benzetme çizebilirsiniz. otomatik sistemler: riskler ne kadar büyükse, koruma gereklilikleri o kadar katı olmalıdır.

Bir güvenlik ihlalinin sonuçlarını belirlemek için, benzer nitelikteki kayıtlı olaylar hakkında bilgi sahibi olunması veya bir senaryo analizi yapılması gerekir. Senaryo analizi, varlık güvenliği ihlali olayları ile bu olayların bir kuruluşun işi üzerindeki etkisi arasındaki nedensel ilişkileri inceler. Senaryoların sonuçları, yinelemeli veya kasıtlı olarak birkaç kişi tarafından değerlendirilmelidir. Bu tür senaryoların geliştirilmesi ve değerlendirilmesinin gerçeklikten tamamen bağımsız olamayacağı unutulmamalıdır. Senaryonun olası olması gerektiği her zaman hatırlanmalı. Değeri belirlemeye yönelik kriterler ve ölçekler her kuruluş için ayrıdır. Senaryo analizi sonuçlarına göre varlıkların değeri hakkında bilgi edinilmesi mümkündür.

Varlıklar tanımlanır ve değerleri belirlenirse, bilgi güvenliğini sağlama hedeflerinin kısmen oluşturulduğunu söyleyebiliriz: koruma nesneleri ve bunları kuruluş için bilgi güvenliği durumunda tutmanın önemi tanımlanır. Belki de sadece kimden korunmaya ihtiyacı olduğunu belirlemek için kalır.

Sorun Kaynak Analizi

Bilgi güvenliği yönetiminin hedeflerini belirledikten sonra hedef duruma yaklaşmayı engelleyen problemlerin analiz edilmesi gerekmektedir. Bu seviyede, risk analizi süreci bilgi altyapısına ve geleneksel bilgi güvenliği kavramlarına - ihlal edenler, tehditler ve güvenlik açıkları - iner (Şekil 2).

davetsiz misafir modeli

Riskleri değerlendirmek için, tüm davetsiz misafirleri varlığa erişim türüne ve varlıkların yapısı hakkındaki bilgilere göre ayıran standart bir davetsiz misafir modeli getirmek yeterli değildir. Bu ayrım, bir varlığa hangi tehditlerin yöneltilebileceğini belirlemeye yardımcı olur, ancak bu tehditlerin prensipte gerçekleştirilip gerçekleştirilemeyeceği sorusuna cevap vermez.

Risk analizi sürecinde, tehditlerin uygulanmasında ihlal edenlerin motivasyonunun değerlendirilmesi gerekir. Aynı zamanda, ihlal eden kişinin soyut bir dış bilgisayar korsanı veya içeriden biri olması değil, bir varlığın güvenliğini ihlal ederek fayda elde etmekle ilgilenen bir taraf olması amaçlanır.

Bilgi güvenliğini sağlamak için ilk faaliyet alanlarının seçiminde olduğu gibi, davetsiz misafirin modeli hakkında ilk bilgiler, kuruluşun pazardaki konumunu anlayan, rakipler hakkında bilgi sahibi olan ve onlardan ne tür etki yöntemleri beklenebileceğini bilen üst yönetimden alınmalıdır. Bir davetsiz misafirin modelini geliştirmek için gerekli bilgiler, risk analizi yapılan iş alanındaki bilgisayar güvenliği alanındaki ihlallere ilişkin özel çalışmalardan da elde edilebilir. İyi tasarlanmış bir davetsiz misafir modeli, kuruluşun varlıklarının değerlendirilmesinde tanımlanan bilgi güvenliğini sağlama hedeflerini tamamlar.

Tehdit modeli

Bir tehdit modelinin geliştirilmesi ve güvenlik açıklarının belirlenmesi, kuruluşun bilgi varlığı ortamının bir envanteriyle ayrılmaz bir şekilde bağlantılıdır. Kendi başına bilgi saklanmaz veya işlenmez. Kuruluşun iş süreçlerini otomatikleştiren bilgi altyapısı kullanılarak erişim sağlanır. Bir kuruluşun bilgi altyapısı ile bilgi varlıklarının nasıl ilişkili olduğunu anlamak önemlidir. Bilgi güvenliği yönetimi açısından bakıldığında, bilgi altyapısının önemi ancak bilgi varlıkları ile altyapı arasındaki ilişkinin belirlenmesinden sonra kurulabilir. Bir kuruluşta bilgi altyapısının sürdürülmesi ve işletilmesi süreçlerinin düzenlenmiş ve şeffaf olması durumunda, tehditlerin tanımlanması ve güvenlik açıklarının değerlendirilmesi için gerekli bilgilerin toplanması büyük ölçüde basitleştirilir.

Bir tehdit modeli geliştirmek, bir davetsiz misafirin koruma çevresini ihlal ederek veya yöntemlerle hareket ederek bilgilere nasıl yetkisiz erişim sağlayabileceği konusunda iyi bir fikre sahip olan güvenlik profesyonellerinin işidir. sosyal mühendislik. Bir tehdit modeli geliştirirken, tehditlerin uygulanabileceği ardışık adımlar olarak senaryolardan da bahsedilebilir. Tehditlerin sistemdeki tek bir güvenlik açığından yararlanılarak tek adımda uygulanması çok nadiren gerçekleşir.

Tehdit modeli, güvenlik açığı ve olay yönetimi gibi ilgili bilgi güvenliği yönetimi süreçlerinin sonucu olarak tanımlanan tüm tehditleri içermelidir. Unutulmamalıdır ki, tehditler uygulanma olasılık düzeyine göre birbirlerine göre sıralanmalıdır. Bunu yapmak için, her tehdit için bir tehdit modeli geliştirme sürecinde, varlığının uygulanmasını etkileyen en önemli faktörleri belirtmek gerekir.

Güvenlik açığı tanımlama

Buna göre tehdit modeli geliştirdikten sonra varlık ortamındaki güvenlik açıklarının tespit edilmesi gerekmektedir. Güvenlik açıklarının belirlenmesi ve değerlendirilmesi, başka bir bilgi güvenliği yönetim süreci olan denetimin bir parçası olarak gerçekleştirilebilir. Burada bir BS denetimi yapabilmek için doğrulama kriterleri geliştirmek gerektiği unutulmamalıdır. Ve doğrulama kriterleri, yalnızca tehdit modeli ve ihlal eden model temelinde geliştirilebilir.

Tehdit modeli, saldırgan modeli geliştirme ve güvenlik açıklarını belirleme sonuçlarına göre, kuruluşun bilgi güvenliğinin hedef durumuna ulaşmasını etkileyen nedenlerin tespit edildiğini söyleyebiliriz.

Risk değerlendirmesi

Varlıkların belirlenmesi ve değerlendirilmesi, bir saldırgan ve tehdit modelinin geliştirilmesi, güvenlik açıklarının belirlenmesi, herhangi bir risk analizi metodolojisine dahil edilmesi gereken standart adımlardır. Yukarıdaki adımların tümü ile gerçekleştirilebilir farklı seviyeler kalite ve detay. Büyük miktarda birikmiş bilgi ve resmileştirilmiş modellerle neyin ve nasıl yapılabileceğini anlamak çok önemlidir. Kanaatimizce bu soru en önemlisidir ve kullanılan risk analizi metodolojisi buna cevap vermelidir.

Elde edilen sonuçlar değerlendirilmeli, toplanmalı, sınıflandırılmalı ve gösterilmelidir. Hasar, varlıkların tespiti ve değerlendirilmesi aşamasında belirlendiği için, risk olaylarının gerçekleşme olasılığının değerlendirilmesi gerekmektedir. Varlık değerlendirmesinde olduğu gibi, olasılık değerlendirmesi, nedenleri dikkate alınan IS tehditleriyle örtüşen olaylara ilişkin istatistiklere veya gelişmiş tehdit modeline karşılık gelen faktörlerin ağırlıklandırılmasına dayalı tahmin yöntemine dayalı olarak elde edilebilir.

Olasılığı değerlendirmek için iyi bir uygulama, güvenlik açıklarını, güvenlik açıklarından yararlanma kolaylığını karakterize eden seçilmiş bir dizi faktöre göre sınıflandırmak olacaktır. Tehdit olasılığının tahmini, güvenlik açığı özellikleri ve tehditlerin geldiği davetsiz misafir grupları temelinde halihazırda gerçekleştirilir.

Güvenlik açığı sınıflandırma sistemine bir örnek, CVSS standardı - ortak güvenlik açığı puanlama sistemidir. Açıkların belirlenmesi ve değerlendirilmesi sürecinde, risk değerlendirmesi yapan bilgi güvenliği uzmanlarının uzmanlığının ve bilgi güvenliği alanındaki güvenlik açıkları ve tehditlere ilişkin istatistiki materyallerin ve raporların çok önemli olduğunu belirtmek gerekir.

Tanımlanan ve birbirine karşılık gelen tüm "varlık - tehdit" kümeleri için riskin değeri (seviyesi) belirlenmelidir. Aynı zamanda, hasar miktarının ve olasılığının mutlak parasal terimlerle ve yüzdelerle ifade edilmesi zorunlu değildir; ayrıca kural olarak sonuçları bu formda sunmak mümkün değildir. Bunun nedeni, bilgi güvenliği risklerini analiz etmek ve değerlendirmek için kullanılan yöntemlerdir: senaryo analizi ve tahmin.

Karar verme

Değerlendirme sonucunda neler yapılabilir?

Öncelikle, temel amacı kuruluştaki bilgi güvenliği risklerinin önemi ve yapısı hakkında toplanan bilgileri sunmak olacak basit ve görsel bir risk analizi raporu geliştirilmelidir. Rapor kuruluşun üst yönetimine sunulmalıdır. Yaygın bir hata, sonuçlar yerine ara sonuçları üst yönetime sunmaktır. Kuşkusuz, tüm sonuçlar argümanlarla desteklenmelidir - tüm ara hesaplamalar rapora eklenmelidir.

Raporun anlaşılır olması için, riskler kuruluşun aşina olduğu ticari terimlerle sınıflandırılmalı, benzer riskler bir araya getirilmelidir. Genel olarak, risklerin sınıflandırılması çok yönlü olabilir. Bir yandan bilgi güvenliği risklerinden, diğer yandan itibarın zedelenmesi veya müşterinin kaybı risklerinden bahsediyoruz. Sınıflandırılmış riskler, gerçekleşme olasılıklarına ve kuruluş için önemlerine göre sıralanmalıdır.

Risk analizi raporu aşağıdaki bilgileri yansıtır:

• organizasyondaki bilgi güvenliğinin en sorunlu alanları;
• BS tehditlerinin kuruluşun genel risk yapısı üzerindeki etkisi;
• IS desteğinin etkinliğini artırmak için IS departmanının öncelikli faaliyet alanları.

Bilgi güvenliği departmanı başkanı, risk analizi raporuna dayanarak, departmanın orta vadeli çalışmaları için bir plan geliştirebilir ve riskleri azaltmak için gerekli faaliyetlerin niteliğine göre bir bütçe belirleyebilir. Doğru hazırlanmış bir risk analizi raporunun, bilgi güvenliği departmanı başkanının kuruluşun üst yönetimi ile ortak bir dil bulmasına ve bilgi güvenliği yönetimi ile ilgili acil sorunları çözmesine olanak sağladığına dikkat edilmelidir (Şekil 3).

Risk işleme politikası

Çok önemli soru— kuruluşun risk yönetimi politikası. Politika, riskleri ele alma kurallarını tanımlar. Örneğin, bir politika önce itibar risklerinin hafifletilmesi gerektiğini söylerken, bilgi güvenliği olayları tarafından onaylanmayan orta önemdeki risklerin azaltılması kuyruğun sonuna ertelenir. Risk yönetimi politikası, kurumsal risk yönetimi birimi tarafından belirlenebilir.

Risk işleme politikası, potansiyel risklerin kabul edilebilir seviyeyi aşması durumunda risk sigortası ve faaliyetlerin yeniden yapılandırılması konularını açıklayabilir. Politika tanımlanmamışsa, riskleri azaltmak için yapılacak işlerin sırası maksimum verimlilik ilkesine göre yapılmalı, ancak yine de üst yönetim tarafından belirlenmelidir.

Özetliyor

Risk analizi oldukça zahmetli bir prosedürdür. Risk analizi sürecinde metodolojik materyaller ve araçlar kullanılmalıdır. Ancak bu, tekrarlanabilir bir işlemi başarılı bir şekilde uygulamak için yeterli değildir; Bunun bir diğer önemli bileşeni de risk yönetimi yönetmeliğidir. Kendi kendine yeterli olabilir ve yalnızca bilgi güvenliği risklerini etkileyebilir veya kuruluştaki genel risk yönetimi süreciyle entegre edilebilir.

Kuruluşun birçok yapısal bölümü, risk analizi sürecine dahil olur: faaliyetlerinin ana yönlerini yöneten bölümler, bilgi altyapısı yönetimi bölümü, bilgi güvenliği yönetimi bölümü. Ayrıca risk analizinin başarılı bir şekilde yapılabilmesi ve sonuçlarının etkin bir şekilde kullanılabilmesi için kurumun üst yönetiminin sürece dahil edilmesi ve böylece yapısal birimler arasındaki etkileşimin sağlanması gerekmektedir.

Bilgi güvenliği risklerini değerlendirmek için tek başına bir risk analizi metodolojisi veya özel bir araç yeterli değildir. Varlıkları belirleme, varlıkların önemini belirleme, izinsiz giriş ve tehdit modelleri geliştirme, güvenlik açıklarını belirleme, riskleri toplama ve sınıflandırma prosedürlerine ihtiyaç vardır. Farklı kuruluşlarda, tüm bu prosedürler önemli ölçüde değişebilir. Bilgi güvenliği risk analizinin amaçları ve kapsamı, beraberindeki risk analizi süreçlerine yönelik gereklilikleri de etkiler.

Bilgi güvenliği yönetimi için risk analizi yönteminin uygulanması, kuruluşun, risk analizinin bir parçası olarak gerekli tüm süreçleri uygulayabileceği yeterli bir olgunluk düzeyine sahip olmasını gerektirir.

Risk yönetimi, bilgi güvenliği departmanının faaliyetlerini yapılandırmanıza, kuruluşun üst yönetimi ile ortak bir dil bulmanıza, bilgi güvenliği departmanının çalışmalarının etkinliğini değerlendirmenize ve belirli teknik ve organizasyonel koruma önlemlerinin seçimine ilişkin kararları üst yönetime gerekçelendirmenize olanak tanır.

Bilgi güvenliğini sağlamaya yönelik üst düzey hedefler uzun süre değişmeden kalabileceğinden ve bilgi altyapısı, bilgi işleme yöntemleri ve BT kullanımına bağlı riskler sürekli değiştiğinden risk analizi süreci süreklidir.

Bilgi güvenliği departmanı ve bir bütün olarak organizasyon, faaliyetlerini sürekli risk analizi yoluyla yapılandırma durumunda, aşağıdaki çok önemli avantajları elde eder:

• yönetim hedeflerinin belirlenmesi;
• yönetim yöntemlerinin tanımı;
• bilinçli ve zamanında kararlar almaya dayalı yönetim verimliliği.

Risk yönetimi ve bilgi güvenliği yönetimi ile bağlantılı olarak birkaç noktaya daha dikkat edilmelidir.

Listelenen süreçlerin girdileri ve çıktıları birbirine bağlı olduğundan, risk analizi, olay yönetimi ve BS denetimi ayrılmaz bir şekilde birbiriyle bağlantılıdır. Risk yönetimi sürecinin geliştirilmesi ve uygulanması, olay yönetimi ve bilgi güvenliği denetimleri gözetilerek yapılmalıdır.

Yerleşik risk analizi süreci, zorunlu ihtiyaç bankacılık sektöründe bilgi güvenliğini sağlamak için standart STO-BR IBBS-1.0-2006.

ISO/IEC 27001:2005 uluslararası standardının gerekliliklerine uygunluk için sertifika almaya karar veren bir kuruluş için bir risk analizi süreci oluşturmak gereklidir.

Ticari sırların ve kişisel verilerin korunmasına yönelik bir rejim oluşturmak, risk analizi ile ayrılmaz bir şekilde bağlantılıdır, çünkü tüm bu süreçler varlıkların tanımlanması ve değerlendirilmesi, izinsiz giriş modeli ve tehdit modeli geliştirilmesi için benzer yöntemler kullanır.

Risk analizi ve değerlendirme süreci, Symantec Lifecycle Security ve Microsoft yöntemi gibi bilgi koruma sistemleri oluşturmanın en iyi bilinen yöntemlerinin temel aşamalarından biridir. Ek olarak, CRAM, FRAP, RiskWatch, GRIF, vb. Gibi risk analizi ve değerlendirmesi için özel yöntemler ve yazılım ürünleri vardır. Bankacılık şirketlerinde kullanım için en uygun olanın daha sonra seçilmesi için yöntemlerin her birinin özellikleri hakkında doğru bir fikir edinmek için en ünlülerini açıklayacağız.

Bilgi güvenliği risklerini analiz etmek ve değerlendirmek için en aktif olarak kullanılan yöntemlere genel bakış

Symantec Lifecycle Security, bilgi korumasıyla ilgili sorunları sistematik olarak çözmenize izin veren ve teknik ve organizasyonel araçların ve bilgi koruma önlemlerinin uygulanmasının sonucunu yeterince değerlendirme fırsatı sağlayan bir kurumsal bilgi güvenliği sistemini organize etmenin bu yolunu tanımlayan bir modeldir (Petrenko, 2009). Bu metodoloji yedi ana bileşen içerir:

1. güvenlik politikaları, standartları, prosedürleri ve ölçümleri;

2. risk analizi;

3. bir koruma sistemi oluşturmak için stratejik plan;

4. çözümlerin seçimi ve uygulanması;

5. personel eğitimi;

6. koruma izleme;

7. olaylar ve kurtarma durumunda müdahale yöntemlerinin geliştirilmesi.

Bu makale, bilgi güvenliği risklerini analiz etme ve değerlendirme sorununu ele aldığından, bu aşamaya odaklanacağız. yaşam döngüsü NIB. Aşağıdakiler, Symantec Lifecycle Security modeli risk analizi sürecindeki önemli noktalardır.

1. Kuruluşun faaliyetleri için kritik olan uygulamaların açıklamasına vurgu yapılarak, kuruluş bilgisayar sisteminin ayrıntılı belgeleri.

2. Kuruluşun normal işleyişinin münferit parçaların hizmet verebilirliğine bağımlılık derecesinin belirlenmesi bilgisayar ağı, belirli düğümler, saklanan ve işlenen verilerin güvenliğinden.

3. İşletmenin bilgisayar sistemindeki güvenlik açıklarını arayın.

4. Tanımlanan güvenlik açıklarıyla ilgili olarak uygulanabilecek tehditleri arayın.

5. İşletmenin bilgisayar sisteminin kullanımıyla ilgili risklerin araştırılması ve değerlendirilmesi.

İyi bilinen başka bir inşaat yöntemi entegre sistem kuruluşta bilgi koruması, Microsoft tarafından geliştirilen bir metodolojidir. Bir şirket bilgi güvenliği risk yönetimi modeli içerir. Risk yönetimi döngüsünün tamamı dört ana aşamaya ayrılabilir.

1. Risk değerlendirmesi.

· Veri toplamayı planlayın, başarılı uygulama için temel koşulları tartışın ve tavsiyeler hazırlayın.

· Risklere ilişkin verilerin toplanması ve belgelenmesi.

· Risklerin öneminin belirlenmesi. Niteliksel ve niceliksel risk değerlendirmesi için eylem dizisinin açıklaması.

2. Karar desteği.

İşlevsel gereksinimlerin tanımı.

· Uygun kontrol elemanlarının seçimi.

· Fonksiyonel gerekliliklere uygunluk için önerilen kontrol elemanlarının doğrulanması.

· Risk azaltma değerlendirmesi.

· Kontrol unsurlarının uygulanmasıyla ilgili doğrudan ve dolaylı maliyetlerin değerlendirilmesi.

En uygun maliyetlinin belirlenmesi etkili çözüm fayda ve maliyetleri analiz ederek riski etkisiz hale getirmek.

3. Kontrolün uygulanması. Kuruluşun bilgi güvenliğine yönelik riski azaltan denetimlerin devreye alınması ve kullanılması.

· Bütüncül bir yaklaşım arayışı.

· Çok seviyeli koruma organizasyonu.

4. Programın etkinliğinin değerlendirilmesi. Risk yönetimi sürecinin etkinliğinin analizi, seçilen kontrollerin gerekli koruma düzeyine uygunluğunun kontrol edilmesi.

· Risk göstergeleri sisteminin geliştirilmesi.

· Risk yönetimi programının etkinliğinin değerlendirilmesi ve iyileştirme fırsatlarının belirlenmesi.

Şekil 1

İlk aşamaya daha yakından bakalım. Niteliksel bir risk değerlendirmesinin aşamalarının genellikle yaklaşık olarak aynı olduğuna dikkat edilmelidir: BS risklerini belirlemek, her birinin gerçekleşme olasılığını belirlemek, belirli bir riskin gerçekleşmesinden zarar görecek varlıkların değerini belirlemek ve riskin önemi için önceden kararlaştırılan kriterlere bağlı olarak tanımlanan risklerin gruplara dağılımı ve kabul etme olasılığı. Yani, bu yöntemde, İlk aşama riskler ölçeğe göre değerler atanır: "yüksek" (kırmızı alan), "önemli" (sarı alan), "orta" (mavi alan) ve "önemsiz" (yeşil alan) (Şekil 2). Bundan sonra, en önemli riskleri belirlemek ve finansal göstergeleri hesaplamak gerekirse, nicel bir değerlendirme yapılır.

Pirinç. Tablo risk değerlendirmesi için 2Matrix.

Etkili bir değerlendirme, kuruluşun varlıkları, güvenlik tehditleri, güvenlik açıkları, mevcut kontrol ortamı ve önerilen kontroller hakkında en güncel verilerin toplanmasını gerektirir. Ayrıca, işletme sahiplerinin yalnızca mevcut riskler, bunların uygulanma olasılığı, şirketin faaliyetleri üzerindeki etki düzeyleri hakkında değil, aynı zamanda beklenen yıllık kayıp (ALE) hakkında bir tahmin aldığı karmaşık ve çok aşamalı bir risk analizi ve değerlendirmesi süreci gerçekleştirilir.

Ayrıca, "BT ortamlarındaki güvenlik açıklarını değerlendirmenize, öncelikli sorunların bir listesini sağlamanıza ve bu tehditleri en aza indirmek için bir öneriler listesi sağlamanıza" olanak tanıyan ücretsiz bir yazılım olan Microsoft Güvenlik Değerlendirme Aracı'nın (MSAT) varlığından burada bahsetmeye değer.

Bir bilgi ağını güvenlik açıkları açısından analiz etme süreci, "altyapı, uygulamalar, operasyonlar ve personeli kapsayan" 200'den fazla sorunun yanıtlanmasıyla gerçekleştirilir. İlk soru dizisi, şirketin iş modelini belirlemek için tasarlanmıştır, alınan yanıtlara göre araç bir "İş Riski Profili (BRP)" oluşturur. İkinci soru dizisine verilen yanıtlara göre, şirketin zaman içinde uyguladığı önlemlerin bir listesi derlenir. Birlikte, bu güvenlik denetimleri "güvenlik tehditlerine ve belirli güvenlik açıklarına karşı daha fazla koruma sağlayan koruma katmanları oluşturur." "Kombine derinlemesine savunma sistemi"ni oluşturan seviyelerin toplamına "derinlemesine savunma indeksi (DiDI)" denir. Ardından BRP ve DiDI, tehditlerin altyapı, uygulamalar, operasyonlar ve insanlar gibi analiz alanlarındaki dağılımını ölçmek için birbirleriyle karşılaştırılır.

Bu tahmin, "50 ila 1500 masaüstüne sahip" orta ölçekli kuruluşlarda kullanılmak üzere tasarlanmıştır. Kullanımının bir sonucu olarak, şirket yönetimi, "potansiyel risk alanlarının" çoğunu kapsayan, kuruluşun bilgi güvenliği sisteminin durumu hakkında genel bilgiler alır, ancak açıklanan araç, "belirli teknolojilerin veya süreçlerin derinlemesine bir analizini" sağlamayı amaçlamaz.

CCTA Risk Analizi ve Yönetimi Metodu (CRMM), bilgi güvenliği alanındaki ilk risk analizi yöntemlerinden biridir. CRMM yöntemi, nicel ve nitel risk değerlendirme prosedürlerini birleştiren entegre bir yaklaşıma dayanmaktadır.

CRMM kullanan bir sistemin bilgi güvenliği çalışması, niteliksel olarak farklı iki hedefi izleyerek iki şekilde gerçekleştirilebilir: temel düzeyde bilgi güvenliği sağlamak ve eksiksiz bir risk analizi yapmak. Yürütülen işin aşamalarının sayısı, risk değerlendiricilerinin karşı karşıya olduğu göreve bağlıdır. Belirli bir analiz prosedürünün uygulama koşullarına odaklanarak bu tekniğin tüm olasılıklarını listeleyelim.

İlk aşama, sistemin bilgi güvenliğini incelemek için iki olası hedeften herhangi birini belirlerken hazırlık ve zorunludur. Bu aşamada, dikkate alınanların sınırları bilgi sistemi, ana işlevleri, kullanıcı kategorileri ve çalışmaya katılan personel.

İkinci aşamada, söz konusu sistemin kaynaklarının değerinin belirlenmesi ve belirlenmesi ile ilgili her şeyin bir analizi yapılır: sistemin sınırları içinde yer alan fiziksel, yazılım ve bilgi kaynakları belirlenir ve ardından bunlar önceden seçilmiş sınıflara dağıtılır. Sonuç olarak, müşteri sistemin durumu hakkında iyi bir anlayışa sahiptir ve tam bir risk analizinin gerekip gerekmediğine karar verebilir. İstemciye temel düzeyde bilgi güvenliği sağlamanın yeterli olmaması koşuluyla, bilgi güvenliği konumundan yola çıkarak en kritik unsurların öne çıkarılmasını sağlayacak bir bilgi sistemi modeli oluşturulur.

Yalnızca tam bir risk analizi gerekliyse gerçekleştirilen üçüncü aşamada, kaynak gruplarına yönelik tehdit düzeylerinin ve bunların güvenlik açıklarının tanımlanması ve değerlendirilmesine ilişkin her şey dikkate alınır. Bu aşamada, belirli kaynak gruplarının kullanıcı hizmetlerinin performansı üzerindeki etkisi değerlendirilir, mevcut tehdit ve güvenlik açıkları belirlenir, risk seviyeleri hesaplanır ve sonuçlar analiz edilir. Sonuç olarak müşteri, incelenmekte olan sistem için tanımlanmış ve değerlendirilmiş BS risk seviyeleri alır.

Dördüncü aşamada, her bir kaynak grubu ve 36 tehdit türünün her biri için CRMM yazılımı, kesin bir yanıt gerektiren soruların bir listesini oluşturur. Microsoft metodolojisinde olduğu gibi, CRMM, alınan yanıtlara bağlı olarak bir veya başka bir kategoriye tehdit seviyeleri atayarak niteliksel bir risk değerlendirmesi gerçekleştirir. Toplamda, bu metodolojide beş tehdit düzeyi kategorisi vardır: "çok yüksek", "yüksek", "orta", "düşük" ve "çok düşük". Buna karşılık kaynağın zafiyet düzeyi, verilen yanıtlara göre "yüksek", "orta" ve "düşük" olarak değerlendirilmektedir. Bu bilgilere ve beklenen mali kayıpların boyutuna dayanarak, risk seviyeleri bir risk değerlendirme matrisinde birleştirilmiş 1'den 7'ye kadar bir ölçekte hesaplanır (Şekil 3).

Şek. 3

Burada belirtmek gerekir ki, CRMM yöntemi haklı olarak bilgi güvenliği risk analizine hem nitel hem de nicel yaklaşımları kullanan bir yöntem olarak sınıflandırılabilir, çünkü değerlendirme süreci riskin gerçekleşmesinden beklenen finansal kayıpların düzeyini dikkate alır ve sonuçlar 1'den 7'ye kadar bir ölçekte sunulur. Bu gerçek, bu alandaki uzmanların gözünde CRMM yönteminin derecesini önemli ölçüde artırır.

Çalışmanın "Risk Yönetimi" olarak adlandırılan son aşamasında, uygun kontrol öğelerinin seçimi yapılır: CRMM yazılımı, müşterinin gereksinimlerini karşılayan en uygun güvenlik sistemi seçeneğinin seçildiği, belirlenen risklere ve seviyelerine uygun karşı önlemler için çeşitli seçenekler üretir.

"Kolaylaştırılmış Risk Analizi Süreci (FRAP)" metodolojisi, nitel bir risk analizi içeren bir bilgi güvenliği sistemi oluşturmaya yönelik bir modeldir. Metodolojinin bizi ilgilendiren bu özel bileşenini analiz edelim. Risk değerlendirmesinin ana adımları aşağıdadır.

1. İlk aşamada, anket verilerine dayalı olarak, teknik döküman, otomatik ağ analizi, risk altındaki varlıkları listeler.

2. Tehditlerin belirlenmesi. Bir tehdit listesi derlerken şunları kullanabilirsiniz: Farklı yaklaşımlar:

Geleneksel yöntem. Bu durumda, uzmanlar potansiyel tehditlere ilişkin listeler (kontrol listeleri) derler ve bu listelerden belirli bir sistem için en uygun olanların daha sonra seçildiği;

· İstatistiksel. Burada, bu IS ve benzerlerinin bilgi güvenliği ile ilgili olayların istatistiklerinin analizi yapılır ve ortalama sıklıkları tahmin edilir, ardından risk noktaları değerlendirilir;

· " beyin fırtınası", şirket çalışanları tarafından yürütülür. İlk yöntemden farkı, dış uzmanların katılımı olmadan yürütülmesidir.

3. Potansiyel tehditlerin bir listesini derledikten sonra, her bir risk oluşumu için istatistikler toplanır: belirli bir durumun sıklığı ve ayrıca maruz kalınan hasar seviyesi. Uzmanlar bu değerlere dayanarak tehdit seviyesini her iki parametre açısından değerlendirir: bir tehdidin olasılığı (Yüksek Olasılık, Orta Olasılık ve Düşük Olasılık) ve tehdidin verdiği hasar (Yüksek Etki, Orta Etki ve Düşük Etki). Ayrıca, risk matrisi tarafından belirtilen kurala göre (Şekil 4), risk seviyesinin değerlendirmesi belirlenir:

A seviyesi - tehdidi ortadan kaldırmayı amaçlayan önlemler (örneğin, GIS'in getirilmesi) derhal ve zamanında alınmalıdır. hatasız;

B seviyesi - riski azaltmaya yönelik önlemler almak gerekir;

C seviyesi - durumun izlenmesi gereklidir;

D seviyesi - içinde işlem yok şu an gerekli değil.

4. Tehditler belirlendikten ve ilgili riskler değerlendirildikten sonra, riski ortadan kaldırmak veya kabul edilebilir bir düzeye indirmek için bir eylem planı hazırlanmalıdır.

5. Risk değerlendirmesinin sonunda, sonuçlar ayrıntılı olarak belgelenmeli ve standartlaştırılmış bir formata çevrilmelidir. Bu veriler, daha fazla güvenlik prosedürleri, bu prosedürler için ayrılan bütçe vb. planlanırken kullanılabilir.

Pirinç. 4

Risk Danışmanı, MethodWare tarafından geliştirilen ve "bilgi güvenliği açısından bir bilgi sistemi modeli belirlemenize, riskleri, tehditleri, olaylar sonucu kayıpları belirlemenize olanak tanıyan" bir metodoloji uygulayan bir yazılım ürünüdür. İşin beş ana aşaması vardır:

Bağlamın açıklaması. Her şeyden önce, kuruluşun dış ve iç bilgi bağlantılarının genel bir şemasını oluşturmak gerekir. Bu model çeşitli boyutlarda oluşturulmuştur ve şu parametreler tarafından belirlenir: stratejik, organizasyonel, iş hedefleri, risk yönetimi, kriterler. Strateji açısından genel bağlamın resmi, güçlü yanları ve zayıf taraflar açısından organizasyon harici kişiler. Burada ortaklarla ilişkilerle ilgili tehditlerin sınıflandırılması yapılır, kuruluşun dış ilişkilerinin geliştirilmesi için çeşitli seçeneklerle ilgili riskler değerlendirilir. Örgütsel boyuttaki bağlamın tanımı, kuruluş içindeki ilişkilerin, gelişme stratejisinin ve iç politikanın bir resmini içerir. Risk yönetimi çerçevesi, bilgi güvenliği kavramını içerir. Son olarak, iş hedefleri ve değerlendirme kriterleri bağlamında, adından da anlaşılacağı gibi, temel iş hedeflerini ve riskin yönetildiği niteliksel ve niceliksel kriterleri açıklar.

Risklerin tanımı. Risk yönetimi ile ilgili karar verme sürecini kolaylaştırmak ve standart hale getirmek için risk verilerinin standartlaştırılması gerekmektedir. İÇİNDE farklı modeller mevcut bilgileri resmileştirmek için farklı şablonlar kullanılır. Tanımladığımız metodolojide, bu risklerin yalnızca kendi parametrelerini değil, aynı zamanda diğer unsurlarla olan ilişkileri hakkındaki bilgileri de dikkate alan bir risk matrisi belirlenir. ortak sistem. Burada risklerin niceliksel ölçekten ziyade niteliksel ölçekte değerlendirildiği ve yalnızca iki kategoriye ayrıldığı belirtilmelidir: kabul edilebilir ve buna göre kabul edilemez. Bu değerlendirmeden sonra, karşı önlemlerin seçimi ve seçilen savunmaların maliyet ve etkinliğinin analizi yapılır.

Tehditlerin açıklaması. Her şeyden önce, genel bir tehdit listesi derlenir. Daha sonra niteliksel bir ölçeğe göre sınıflandırılırlar, çeşitli tehditler arasındaki ilişkiler ve "tehdit-risk" tipi ilişkiler açıklanır.

Kayıpların açıklaması. Bu aşamada bilgi güvenliği olayları ile ilgili olaylar açıklanmakta ve sonrasında bu olayların neden olduğu riskler değerlendirilmektedir.

Sonuçların analizi. Modeli oluşturduktan sonra ayrıntılı bir rapor oluşturulur (100'den fazla bölümden oluşur). Toplu açıklamalar risk grafiği şeklinde tüketiciye sunulur.

RiskWatch, Microsoft gibi, kendi risk analizi ve değerlendirme metodolojisini geliştirmiştir ve bu metodoloji bir dizi uygulamasında uygulanmaktadır. yazılım araçları. "RiskWatch yöntemi, riskleri değerlendirmek ve yönetmek için kriter olarak Yıllık Kayıp Beklentisini (ALE) ve Yatırım Getirisi'ni (ROI) kullanır. RiskWatch yöntemi, güvenlik tehditlerinden kaynaklanan kayıpların oranının ve bir koruma sistemi oluşturma maliyetinin doğru bir nicel değerlendirmesine odaklanır." Risk analizi süreci dört adımdan oluşur.

Aslında hazırlık niteliğinde olan ilk aşamada, çalışmanın konusu belirlenir: organizasyon türü, incelenen sistemin bileşimi, bilgi güvenliği alanındaki temel gereksinimler vb. RiskWatch yazılımı, analistin yalnızca incelenmekte olan sistemde gerçekten mevcut olanları seçtiği korunan kaynaklar, kayıplar, tehditler, güvenlik açıkları ve koruma önlemleri kategorilerinden oluşan geniş bir yelpaze sunar. Ayrıca yeni öğeler eklemek ve mevcut açıklamaları düzeltmek mümkündür.

İkinci aşamada, sistemin daha ayrıntılı bir açıklaması yapılır (içinde hangi kaynaklar bulunur, risk gerçekleştiğinde ne tür kayıplar meydana gelebilir ve "kayıp kategorisi ile kaynak kategorisi karşılaştırılarak" hangi olay sınıfları ayırt edilebilir). Veri girmek için iki seçenek vardır: manuel olarak veya bir bilgisayar ağının güvenlik açıkları için analizi sırasında oluşturulan raporlardan içe aktararak. Sistemdeki olası zayıflıkları belirlemek için, kaynak kategorileriyle ilgili 600'den fazla soruya cevap verilmesini isteyen bir anket kullanılır. Farklı faaliyet alanlarından firmaların kendilerine has istisnai özelliklere sahip olması ve hızla gelişen pazar göz önüne alındığında, Bilişim Teknolojileri, soruları düzeltme ve yenilerini çıkarma / ekleme yeteneğine sahip olmak çok makul ve kullanışlı görünüyor. Ardından, sistemde bulunan tehditlerin her birinin uygulama sıklığı, güvenlik açığı düzeyi ve kaynakların değeri belirlenir. Bu bilgilere dayanarak, bilgi güvenliği kontrolünün belirli unsurlarını kullanmanın etkinliği hesaplanır.

Üçüncü aşamada, nicel bir risk değerlendirmesi yapılır. İlk adım, çalışmanın ilk iki aşamasında tanımlanan kaynaklar, kayıplar, tehditler ve güvenlik açıkları arasındaki ilişkiyi belirlemektir. Ayrıca, her risk için, yıl için matematiksel kayıp beklentisi aşağıdaki formül kullanılarak hesaplanır:

burada p, yıl boyunca bir tehdidin meydana gelme sıklığıdır,

v tehdit altındaki kaynağın maliyetidir.

Örneğin, bir şirkete bir saatliğine bir sunucuyu kapatmanın maliyeti 100.000 ABD Doları ise ve bir yılda bir DDoS saldırısı olasılığı 0,01 ise, beklenen kayıp 1.000 ABD Doları olur. Ayrıca, koruma araçlarının uygulanması dikkate alınarak benzer durumların ele alındığı "ya olursa ..." senaryoları modellenmiştir. Kontrollerin kullanıldığı ve kullanılmadığı beklenen kayıpları karşılaştırarak, belirli koruyucu önlemlerin uygulanmasının ne kadar etkili olacağı değerlendirilebilir.

Son aşamada raporlar oluşturulur. farklı şekiller: "1. ve 2. aşamalarda açıklanan unsurların özetleri, tam ve özet raporları, korunan kaynakların maliyeti ve tehditlerin uygulanmasından kaynaklanan beklenen kayıplar hakkında rapor, tehditler ve karşı önlemler hakkında rapor, güvenlik denetiminin sonuçları hakkında rapor."

Bu nedenle, söz konusu araç, yalnızca işletmenin şu anda sahip olduğu riskleri değerlendirmeye değil, aynı zamanda fiziksel, teknik, yazılım ve diğer koruma araç ve mekanizmalarının getirebileceği faydaları da değerlendirmeye olanak tanır. Hazırlanan raporlar ve grafikler, kurumsal güvenlik sisteminin değiştirilmesi konusunda kararlar almak için yeterli materyal sağlar. Ek olarak, açıklanan yazılım, bilgi güvenliği risklerini analiz etmek ve değerlendirmek için belirli bir işletme türü (örneğin, kredi kurumları) için en uygun kendi aracınızı geliştirmek için uygun bir temel olabilir.

GRIF, bir kuruluşun bilgi sisteminin risklerini analiz etmek ve yönetmek için Digital Security tarafından geliştirilen kapsamlı bir Rus aracıdır. Bu yazılımın çalışma prensibi, "bilgi akışı modeli" ve "tehditler ve güvenlik açıkları modeli" olarak adlandırılan bilgi güvenliği risk değerlendirmesi için kavramsal olarak farklı iki yaklaşıma dayanmaktadır. Algoritmaların her birini ayrı ayrı ele alalım.

Bilgi akışları modeli, riskleri analiz etme ve değerlendirme algoritmasının bir kuruluşun bilgi sistemi modelinin oluşturulmasına dayanması gerçeğiyle karakterize edilir. Risk değerlerinin hesaplanması, kaynakları değerli bilgilerle koruma araçları, kaynakların kendi aralarındaki ilişkisi, kullanıcı gruplarının erişim haklarının etkisi ve kurumsal karşı önlemler hakkındaki bilgilere dayanmaktadır.

İlk aşamada, değerli kaynaklar, bunların ilişkileri, kullanıcı grupları, bilgi güvenliği araçları vb. komple model kaynakla ilgili her tür bilginin güvenliğinin analizinin yapılacağı şirketin bilgi sistemi.

Algoritmanın doğrudan açıklamasına geçelim. Üç tür tehdit için her bir "kullanıcı grubu - bilgi" bağlantısı için ayrı ayrı risk değerlendirmesi yapılır: gizlilik, bütünlük ve kullanılabilirlik (ilk iki tür için sonuç yüzde olarak ve sonuncusu için - saat kesinti süresi olarak hesaplanır). Farklı türde tehditlerin uygulanmasından kaynaklanan hasar da ayrı ayrı belirlenir, çünkü karmaşık kayıpları tahmin etmek her zaman mümkün değildir. Belirli bir tehdidin uygulanma olasılığını belirleyen temel kriterler, kullanıcının kaynaklara erişiminin türleri (yerel ve/veya uzak) ve hakları (okuma, yazma, silme), İnternet erişiminin kullanılabilirliği, bir gruptaki kişi sayısı, virüsten koruma yazılımı kullanımı, kriptografik araçlar koruma (özellikle uzaktan erişim) vesaire. Aynı aşamada, bilgiyi koruma araçları belirlenir ve "kaynak üzerindeki bilgilerin yerel güvenliği, kaynak üzerindeki bilgilerin uzaktan güvenliği ve bir kullanıcı grubunun işyerinin yerel güvenliği" katsayıları hesaplanır. Minimum katsayı, gerçek kaynak koruma düzeyini yansıtır, çünkü bilgi sistemindeki en savunmasız yeri gösterir. Gerçekleşen bir tehdidin nihai olasılığını elde etmek için, ortaya çıkan gösterge, uzman değerlendirmeleri yöntemine göre hesaplanan, gerçekleşen bir IS tehdidinin temel olasılığı ile çarpılmalıdır.

Son aşamada, ortaya çıkan nihai olasılığın değeri, tehdidin uygulanmasından kaynaklanan hasar miktarı ile çarpılır ve "bilgi türü - kullanıcı grubu" bağlantısı için bir bilgi güvenliği tehdidi riski hesaplanır. "Hizmet reddi" tehdidi için risk değerini hesaplama algoritmasında, esas olarak ölçü birimleriyle ilgili olarak küçük farklılıklar vardır.

Sistem ayrıca, etkinliği aşağıdaki formülle değerlendirilebilecek karşı önlemler belirlemenize de olanak tanır:

burada E, karşı önlemin uygulanmasının etkinliğidir,

Önlemsiz risk,

Karşı önlemleri dikkate alan risk.

Algoritma sonucunda müşteri aşağıdaki bilgileri alır.

· "Bilgi türü için üç temel tehdidin uygulanma riski.

· Kaynağa yönelik üç temel tehdit için uygulama riski.

· Kaynağa yönelik tüm tehditler için toplam uygulama riski.

· Bilgi sistemine yönelik üç temel tehdit için uygulama riski.

· Bilgi sistemine yönelik tüm tehditler için uygulama riski.

· Karşı önlemler ayarlandıktan sonra bilgi sistemine yönelik tüm tehditler için uygulama riski.

Karşı tedbirin etkinliği.

Bir karşı önlem kompleksinin etkinliği".

Tehdit ve güvenlik açığı analizi modeli, bilgi güvenliği risklerinin analizine ve değerlendirilmesine yönelik başka bir yaklaşımı tanımlar. Girdi bilgileri, değerli bilgiler içeren kaynakların bir listesi, her bir kaynağı etkileyen tehditlerin bir açıklaması ve yukarıdaki tehditlerin uygulanmasının mümkün olduğu güvenlik açıklarıdır. Her tür kaynak veri için (güvenlik açıkları hariç), kritiklik derecesi belirtilir. Bunun veya bu tehdidin gerçekleşme olasılığı da tanıtılır.

Algoritma iki modda çalışabilir: bir temel tehdidin olasılığını hesaplayarak veya tahminleri üç temel tehdit türüne dağıtarak. Her iki mod için de yöntemin aşamalarını genel hatlarıyla sıralayalım.

1. Belirli bir güvenlik açığı için tehdit düzeyi, tehdidin bu güvenlik açığı aracılığıyla uygulanma olasılığına ve ciddiyetine göre hesaplanır.

2. Tüm güvenlik açıkları genelindeki tehdit düzeyi, belirli güvenlik açıkları genelindeki tehdit düzeylerinin toplanmasıyla hesaplanır.

3. Kaynak için genel tehdit düzeyi hesaplanır.

4. Kaynak riski hesaplanır.

5. Bilgi sistemine göre risk hesaplanır.

GRIF risk analizi ve değerlendirme algoritması, risk değerlerini hesaplamak için iki farklı yaklaşım kullanarak müşterinin şirket yapısının özelliklerini dikkate alan örnek bir metodolojidir. Bu iki yöntemin her biri bir firma için daha verimli, diğeri için daha az verimli olabilir. Böylece GRIF metodolojisi, risk düzeyini hesaplamak için uygun olmayan bir algoritma kullanma olasılığını ortadan kaldırarak optimal bir sonuca ulaşılmasını garanti eder.

Uygulamada, BS risk değerlendirmesi için nicel ve nitel yaklaşımlar kullanılmaktadır. Onların farkı nedir?

Sayısal metot

Kantitatif risk değerlendirmesi, incelenen tehditlerin ve ilişkili risklerin para, yüzde, zaman, insan kaynakları vb. cinsinden ifade edilen nihai kantitatif değerlerle karşılaştırılabileceği durumlarda kullanılır. Yöntem, bilgi güvenliği tehditlerinin uygulanmasında risk değerlendirme nesnelerinin belirli değerlerinin elde edilmesini sağlar.

Kantitatif bir yaklaşımla, risk değerlendirmesinin tüm unsurlarına spesifik ve gerçek kantitatif değerler atanır. Bu değerleri elde etmek için algoritma açık ve anlaşılır olmalıdır. Değerlendirmenin amacı, bir varlığın parasal olarak değeri, bir tehdidin gerçekleşme olasılığı, bir tehdidin gerçekleşmesinden kaynaklanan zarar, koruyucu önlemlerin maliyeti vb. olabilir.

Riskler nasıl ölçülür?

1. Bilgi varlıklarının değerini parasal olarak belirleyin.

2. Her bir bilgi varlığıyla ilgili olarak her bir tehdidin uygulanmasından kaynaklanan potansiyel zararı niceliksel olarak tahmin edin.

“Her bir tehdidin uygulanmasından doğan zarar varlığın değerinin ne kadarı olacak?”, “Bu tehdidin bu varlığa uygulanması sırasında tek bir olaydan kaynaklanan zararın parasal olarak maliyeti nedir?” sorularına yanıt almalısınız.

3. IS tehditlerinin her birinin uygulanma olasılığını belirleyin.

Bunu yapmak için istatistiksel verileri, çalışan ve paydaşlarla ilgili anketleri kullanabilirsiniz. Olasılığı belirleme sürecinde, kontrol süresi boyunca (örneğin, bir yıl boyunca) dikkate alınan IS tehdidinin uygulanmasıyla ilgili olayların meydana gelme sıklığını hesaplayın.

4. Kontrol süresi boyunca (bir yıl boyunca) her varlıkla ilgili olarak her tehdidin toplam potansiyel zararını belirleyin.

Değer, tehdidin uygulanmasından kaynaklanan tek seferlik zararın tehdidin uygulanma sıklığı ile çarpılmasıyla hesaplanır.

5. Her tehdit için alınan hasar verilerini analiz edin.

Her tehdit için bir karar verilmelidir: riski kabul edin, riski azaltın veya riski devredin.

Bir riski kabul etmek, onu tanımak, olasılığını kabul etmek ve eskisi gibi davranmaya devam etmek demektir. Düşük hasar ve düşük oluşma olasılığı olan tehditler için geçerlidir.

Riski azaltmak, ek önlemler ve koruma araçları getirmek, personel eğitimi yapmak vb. Anlamına gelir. Yani, riski azaltmak için kasıtlı çalışmalar yapmak. Aynı zamanda, ek önlemlerin ve koruma araçlarının etkinliğinin ölçülmesi de gereklidir. Koruyucu ekipmanın satın alınmasından işletmeye alınmasına (kurulum, konfigürasyon, eğitim, bakım vb. dahil) kadar kuruluş tarafından yapılan tüm masraflar, tehdidin uygulanmasından kaynaklanan zarar miktarını aşmamalıdır.

Riski devretmek, örneğin sigorta yardımı ile riskin gerçekleşmesinin sonuçlarını üçüncü bir tarafa kaydırmak anlamına gelir.

Sonuç olarak niceleme riskler tanımlanmalıdır:

• varlıkların parasal olarak değeri;
• her tehdit için tek seferlik bir olaydan hasar alan tüm IS tehditlerinin tam listesi;
• her bir tehdidin uygulama sıklığı;
• her tehdidin potansiyel zararı;
• her tehdit için önerilen güvenlik kontrolleri, karşı önlemler ve eylemler.

Nicel bilgi güvenliği risk analizi (örnek)

Belirli bir ürünü satmak için kullanılan bir kuruluşun web sunucusu örneğindeki tekniği düşünün. Nicel bir kere Bir sunucu kesintisinden kaynaklanan hasar, ortalama satın alma makbuzunun ve sunucunun kapalı kalma süresine eşit belirli bir zaman aralığındaki ortalama isabet sayısının ürünü olarak tahmin edilebilir. Diyelim ki doğrudan sunucu arızasından kaynaklanan bir kerelik hasarın maliyeti 100 bin ruble olacak.

Şimdi böyle bir durumun ne sıklıkta meydana gelebileceğini (çalışmanın yoğunluğunu, güç kaynağının kalitesini vb. dikkate alarak) uzman bir şekilde değerlendirmek gerekir. Örneğin uzmanların görüşleri ve istatistiksel bilgiler dikkate alındığında bir sunucunun yılda 2 defaya kadar arıza verebileceğini anlıyoruz.

Bu iki değeri çarparsak, şunu elde ederiz: ortalama yıllık doğrudan sunucu arızası tehdidinin uygulanmasından kaynaklanan hasar yılda 200 bin ruble.

Bu hesaplamalar, koruyucu önlemlerin seçimini gerekçelendirmek için kullanılabilir. Örneğin, yıllık toplam maliyeti 100 bin ruble olan kesintisiz güç kaynağı sistemi ve yedekleme sisteminin devreye alınması, sunucu arızası riskini en aza indirecek ve tamamen etkili bir çözüm olacaktır.

Kalitatif Yöntem

Ne yazık ki, büyük belirsizlik nedeniyle değerlendirme nesnesinin belirli bir ifadesini elde etmek her zaman mümkün değildir. Kendisi için meydana gelen bir bilgi güvenliği olayı hakkında bilgi ortaya çıktığında, bir şirketin itibarına verilen zararı nasıl doğru bir şekilde değerlendirebilirim? Bu durumda nitel bir yöntem uygulanır.

Nitel yaklaşım, değerlendirme nesnesi için nicel veya parasal ifadeler kullanmaz. Bunun yerine, değerlendirme nesnesine üç puanlık (düşük, orta, yüksek), beş puanlık veya on puanlık bir ölçekte (0 ... 10) sıralanan bir gösterge atanır. Niteliksel risk değerlendirmesi için veri toplamak amacıyla hedef grup anketleri, mülakatlar, anketler ve kişisel toplantılar kullanılır.

Tehditlerin değerlendirildiği alanda deneyime ve yetkinliğe sahip çalışanların katılımıyla bilgi güvenliği risklerinin niteliksel bir analizi yapılmalıdır.

Niteliksel bir risk değerlendirmesi nasıl yapılır:

1. Bilgi varlıklarının değerini belirleyin.

Bir varlığın değeri, bir bilgi varlığının güvenlik özellikleri (gizlilik, bütünlük, kullanılabilirlik) ihlal edildiğinde kritiklik düzeyi (sonuçlar) tarafından belirlenebilir.

2. Bilgi varlığıyla ilgili olarak gerçekleşen tehdidin olasılığını belirleyin.

Bir tehdidin gerçekleşme olasılığını değerlendirmek için üç seviyeli niteliksel bir ölçek (düşük, orta, yüksek) kullanılabilir.

3. Mevcut bilgi güvenliği durumunu, uygulanan önlemleri ve koruma araçlarını dikkate alarak tehdidin başarılı bir şekilde uygulanma olasılığının seviyesini belirleyin.

Bir tehdidin gerçekleşme olasılığının düzeyini değerlendirmek için üç düzeyli bir nitel ölçek (düşük, orta, yüksek) da kullanılabilir. Tehdit Yetenek Değeri, tehdidi başarılı bir şekilde uygulamanın ne kadar mümkün olduğunu gösterir.

4. Bilgi varlığının değerine, tehdidin gerçekleşme olasılığına ve tehdidin gerçekleşme olasılığına dayalı olarak risk düzeyi hakkında bir sonuca varın.

Risk düzeyini belirlemek için beş puanlık veya on puanlık bir ölçek kullanabilirsiniz. Risk seviyesini belirlerken, hangi gösterge kombinasyonlarının (değer, olasılık, fırsat) hangi risk seviyesine yol açtığını anlamanızı sağlayan referans tablolarını kullanabilirsiniz.

5. Her tehdit için elde edilen verileri ve bunun için elde edilen risk düzeyini analiz edin.

Genellikle risk analizi ekibi "kabul edilebilir risk düzeyi" kavramıyla çalışır. Bu, şirketin kabul etmeye istekli olduğu risk seviyesidir (tehdidin risk seviyesi kabul edilebilir veya kabul edilebilir seviyeye eşitse, ilgili olarak kabul edilmez). Niteliksel bir değerlendirmedeki genel görev, riskleri kabul edilebilir bir düzeye indirmektir.

6. Risk seviyesini azaltmak için mevcut her tehdide yönelik güvenlik önlemleri, karşı önlemler ve eylemler geliştirin.

Hangi yöntemi seçmeli?

Her iki yöntemin de amacı, şirketin bilgi güvenliğinin gerçek risklerini anlamak, mevcut tehditlerin listesini belirlemek ve etkili karşı önlemler ve koruma araçları seçmektir. Her risk değerlendirme yönteminin kendine göre avantajları ve dezavantajları vardır.

Nicel yöntem, değerlendirme nesnelerinin (hasar, maliyetler) para cinsinden görsel bir temsilini verir, ancak daha zahmetlidir ve bazı durumlarda uygulanamaz.

Niteliksel yöntem, risk değerlendirmesini daha hızlı yapmanızı sağlar, ancak değerlendirmeler ve sonuçlar daha özneldir ve GIS uygulamasının zararları, maliyetleri ve faydaları hakkında net bir anlayış sağlamaz.

Yöntem seçimi, belirli bir şirketin özelliklerine ve uzmana verilen görevlere göre yapılmalıdır.

Stanislav Shilyaev, SKB Kontur'da Bilgi Güvenliği Proje Yöneticisi