Оценка информационных рисков (количественная модель)

Осуществляется на основе экспертной оценки, либо анализа атак.

Параметры:

• ARO - годовая частота происшествия. Зависит от установленной системы защиты и от квалификации персонала.
• SLE - ожидаемый ущерб от одной успешно проведенной атаки.
• ALE - ожидаемый годовой ущерб (ALE = ARO * SLE).

Должны учитываться возможные стихийные бедствия, перебои в электропитании, статистика отказов оборудования.

Определение стоимости информационных активов:

1. Осязаемый актив: ПО, которое в результате атак приходит в негодность, аппаратная часть сетевое обеспечение.
2. Неосязаемые активы: затраты на работу по восстановлению всего, что пришло в негодность в результате атаки.

Оценка рисков:

1. Модель нарушителя - внутренние(А), внешние(В), классификация по степени опасности с указанием характеристик и возможностей каждой группы.
2. Идентификация угроз с указанием: ресурса, его ценности (AV), модели нарушителя, уязвимости ресурса (EF), вероятности реализации угрозы (ARO), ущерба от реализации угрозы (SLE), показателя риска (АLЕ).
3. Сам расчет стоимости риска и его вероятности (ALE = ARO * SLE, SLE = EF * AV). EF - показывает, в какой степени тот или иной ресурс уязвим по отношению к угрозе. Классификация угроз по степеням:

· Минимальная угроза.

· Средняя угроза - можно восстановить ресурсы.

· Максимальная угроза - ресурсы требуют полной замены после воздействия на них.

4. Определение методики управления рисками.

· Возможность принятия риска.

· Снижение в процессе управления

· Некоторые риски могут быть переданы - т.е. потенциальный ущерб перекладывается на страховщиков.

5. Управление рисками. Таблица снижения рисков с указанием: всех ресурсов, угроз для каждого, Начального риска, остаточного риска и % его снижения.

Современные методы и средства контроля информационных рисков.

CRAMM

Метод CRAMM (the UK Goverment Risk Analysis and Managment Method) был разработан Службой безопасности Великобритании (UK Security Service) по заданию Британского правительства и взят на вооружение в качестве государственного стандарта. Он используется, начиная с 1985 года, правительственными и коммерческими организациями Великобритании. К настоящему моменту CRAMM приобрел популярность во всем мире. Фирма Insight Consulting Limited занимается разработкой и сопровождением одноименного программного продукта, реализующего метод CRAMM.

В настоящее время CRAMM - это довольно мощный и универсальный инструмент, позволяющий, помимо анализа рисков, решать также и ряд других аудиторских задач, включая:

· проведение обследования ИС и выпуск сопроводительной документации на всех этапах его проведения;

· проведение аудита в соответствии с требованиями Британского правительства, а также стандарта BS 7799:1995 - Code of Practice for Information Security Management BS7799;

· разработку политики безопасности и плана обеспечения непрерывности бизнеса.

RAMM предполагает разделение всей процедуры на три последовательных этапа. Задачей первого этапа является ответ на вопрос: «Достаточно ли для защиты системы применения средств базового уровня, реализующих традиционные функции безопасности, или необходимо проведение более детального анализа?» На втором этапе производится идентификация рисков и оценивается их величина. На третьем этапе решается вопрос о выборе адекватных контрмер.

Методика CRAMM для каждого этапа определяет набор исходных данных, последовательность мероприятий, анкеты для проведения интервью, списки проверки и набор отчетных документов.

Если по результатам проведения первого этапа, установлено, что уровень критичности ресурсов является очень низким и существующие риски заведомо не превысят некоторого базового уровня, то к системе предъявляется минимальный набор требований безопасности. В этом случае большая часть мероприятий второго этапа не выполняется, а осуществляется переход к третьему этапу, на котором генерируется стандартный список контрмер для обеспечения соответствия базовому набору требований безопасности.

На втором этапе производится анализ угроз безопасности и уязвимостей. Исходные данные для оценки угроз и уязвимостей аудитор получает от уполномоченных представителей организации в ходе соответствующих интервью. Для проведения интервью используются специализированные опросники.

На третьем этапе решается задача управления рисками, состоящая в выборе адекватных контрмер. Решение о внедрении в систему новых механизмов безопасности и модификации старых принимает руководство организации, учитывая связанные с этим расходы, их приемлемость и конечную выгоду для бизнеса. Задачей аудитора является обоснование рекомендуемых контрмер для руководства организации.

К недостаткам метода CRAMM можно отнести следующее:

· Использование метода CRAMM требует специальной подготовки и высокой квалификации аудитора.

· CRAMM в гораздо большей степени подходит для аудита уже существующих ИС, находящихся на стадии эксплуатации, нежели чем для ИС, находящихся на стадии разработки.

· Аудит по методу CRAMM - процесс достаточно трудоемкий и может потребовать месяцев непрерывной работы аудитора.

· Программный инструментарий CRAMM генерирует большое количество бумажной документации, которая не всегда оказывается полезной на практике.

· CRAMM не позволяет создавать собственные шаблоны отчетов или модифицировать имеющиеся.

· Возможность внесения дополнений в базу знаний CRAMM недоступна пользователям, что вызывает определенные трудности при адаптации этого метода к потребностям конкретной организации.

· ПО CRAMM существует только на английском языке.

· Высокая стоимость лицензии.