Part 3. Techniques for the management of information technology security

2016-09-17

371

Обсуждений (0)

0.00 из 5.00 0 оценок

Методические рекомендации и указания к изучению дисциплины

SSSIB-3220 – Стандартизация и сертификация средств информационной безопасности

(для студентов специальности 5В100200-Системы информационной безопасности)

Алматы 2015 г.

НАЦИОНАЛЬНЫЙ СТАНДАРТ

Информационная технология

МЕТОДЫ И СРЕДСТВА ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ

Методы менеджмента безопасности информационных технологий

Information technology. Security techniques.

Part 3. Techniques for the management of information technology security

ПРИЛОЖЕНИЕ A

(справочное)

Примерный перечень вопросов, входящих

в состав политики безопасности информационных технологий организации

Содержание

1 Введение

1.1 Общий обзор

1.2 Область применения и цель политики обеспечения безопасности информационных технологий

2 Цели и принципы обеспечения безопасности

2.1 Цели

2.2 Принципы

3 Организация и инфраструктура безопасности

3.1 Ответственность

3.2 Основные направления политики обеспечения безопасности

3.3 Регистрация инцидентов нарушения безопасности

4 Анализ риска и стратегия менеджмента в области обеспечения безопасности ИТ

4.1 Введение

4.2 Менеджмент и анализ риска

4.3 Проверка соответствия мер обеспечения безопасности предъявляемым требованиям

5 Чувствительность информации и риски

5.1 Введение

5.2 Схема маркировки информации

5.3 Общий обзор информации в организации

5.4 Уровни ценности и чувствительности информации в организации

5.5 Общий обзор угроз, уязвимых мест и рисков

6 Безопасность аппаратно-программного обеспечения

6.1 Идентификация и аутентификация

6.2 Контроль доступа

6.3 Журнал учета использования ресурсов и аудит

6.4 Полное стирание

6.5 Программное обеспечение, нарушающее нормальную работу системы

6.6 Безопасность ПК

6.7 Безопасность компактных портативных компьютеров

7 Безопасность связи

7.1 Введение

7.2 Инфраструктура сетей

7.3 Интернет

7.4 Криптографическая аутентификация и аутентификация сообщений

8 Физическая безопасность

8.1 Введение

8.2 Размещение оборудования

8.3 Безопасность и защита зданий

8.4 Защита коммуникаций и систем обеспечения энергоносителями в зданиях

8.5 Защита вспомогательных служб

8.6 Несанкционированное проникновение в помещения

8.7 Доступность ПК и рабочих станций

8.8 Доступ к магнитным носителям информации

8.9 Защита персонала

8.10 Противопожарная защита

8.11 Защита от воды (жидкой среды)

8.12 Обнаружение опасностей и сообщение о них

8.13 Защита системы освещения

8.14 Защита оборудования от кражи

8.15 Защита окружающей среды

8.16 Управление услугами и техническим обслуживанием

9 Безопасность персонала

9.1 Введение

9.2 Условия найма персонала

9.3 Осведомленность и обучение персонала в области безопасности

9.4 Служащие

9.5 Контракты с лицами, проводящими самостоятельную работу

9.6 Привлечение третьих сторон

10 Безопасность документов и носителей информации

10.1 Введение

10.2 Безопасность документов

10.3 Хранение носителей информации

10.4 Ликвидация носителей информации

11 Обеспечение непрерывности деловой деятельности, включая планирование действий при чрезвычайных ситуациях и восстановлении после аварий, стратегии и план (планы)

11.1 Введение

11.2 Запасные варианты

11.3 Стратегия обеспечения бесперебойной работы организации

11.4 План (планы) обеспечения бесперебойной работы организации

12 Надомная работа

13 Политика аутсортинга

13.1 Введение

13.2 Требования безопасности

14 Управление изменениями

14.1 Обратная связь

14.2 Изменения в политике обеспечения безопасности

14.3 Статус документа

Приложение А Список руководств (рекомендаций) по обеспечению безопасности

Прилжение В Обязательные требования (законы и подзаконные акты)

Приложение С Вопросы, относящиеся к компетенции должностного лица из числа руководящего состава в области безопасности ИТ организации

Приложение D Вопросы, относящиеся к компетенции международных форумов с комитетов по обеспечению безопасности информационных технологий

Приложение Е Содержание политики обеспечения безопасности систем информационных технологий

ПРИЛОЖЕНИЕ B

(справочное)

Оценка активов

Оценка активов организации является важным этапом в общем процессе анализа риска. Ценность, определенная для каждого актива, должна выражаться способом, наилучшим образом соответствующим данному активу и юридическому лицу, ведущему деловую деятельность. Чтобы выполнить оценку активов, организация сначала должна провести инвентаризацию своих активов. Для обеспечения полного учета активов часто полезно сгруппировать их по типам, например, информационные активы, активы программного обеспечения, физические активы и услуги. Целесообразно также назначить "владельцев" активов, которые будут нести ответственность за определение их ценности.

Следующий этап - согласование масштабов оценки, которая должна быть произведена, и критериев определения конкретной стоимости активов. Из-за разнообразия активов большинства организаций весьма вероятно, что некоторые активы из тех, что могут быть оценены в денежных единицах, будут оцениваться в местной валюте, в то время как другие активы могут оцениваться по качественной шкале в диапазоне от "очень низкой" до "очень высокой" цены. Решение использовать количественную или качественную оценку принимает конкретная организация, но при этом выбранный тип оценки должен соответствовать подлежащим оценке активам. Для одного и того же актива могут быть использованы также оба типа оценки.

Типичными терминами, используемыми для качественной оценки ценности активов, являются: "пренебрежимо малая", "очень малая", "малая", "средняя", "высокая", "очень высокая", "имеющая критическое значение". Выбор и диапазон терминов, являющихся подходящими для данной организации, в значительной степени зависят от потребностей организации в безопасности, величины этой организации, а также других, специфичных для данной организации факторов.

Критерии, используемые в качестве основы для оценки ценности каждого актива, должны выражаться в однозначных (недвусмысленных) терминах. С этим часто бывают связаны наиболее сложные аспекты оценки активов, поскольку ценность некоторых из них приходится определять субъективно. Поэтому для определения ценности активов целесообразно привлекать достаточно большое число разных людей. Возможны следующие критерии определения ценности активов: первоначальная стоимость актива, стоимость его обновления или воссоздания. Ценность актива может также носить нематериальный характер, например, цена доброго имени или репутации компании.

Другой подход к оценке активов основывается на затратах, понесенных по причине утраты конфиденциальности, целостности или доступности вследствие происшедшего инцидента. Применение подобных оценок предоставляет три важных фактора ценности актива в дополнение к стоимости воссоздания актива, основанной на оценках потенциального ущерба или неблагоприятного воздействия на деловую деятельность в результате происшедшего инцидента нарушения безопасности с предполагаемым набором обстоятельств. Следует подчеркнуть, что этот подход учитывает ущерб и другие затраты, связанные с воздействием, которые являются необходимыми для введения соответствующих факторов при оценке риска.

Многие активы могут в процессе оценки иметь несколько присвоенных им ценностей. Например, бизнес-план может быть оценен на основе трудозатрат на его разработку или на введение данных, или ценности для конкурента. Весьма велика вероятность того, что значения этих ценностей будут значительно отличаться друг от друга. Присвоенная ценность актива может быть максимальной из всех возможных ценностей или суммой некоторых или всех возможных ценностей. При окончательном анализе необходимо тщательно определить итоговую ценность актива, поскольку от нее зависит объем ресурсов, необходимых для обеспечения защиты данного актива.

В конечном счете все оценки активов должны проводиться на основе общего подхода. Это может быть сделано при помощи следующих критериев, которые могут использоваться для оценки возможного ущерба от потери конфиденциальности, целостности или доступности активов:

- нарушение законов и/или подзаконных актов;

- снижение эффективности бизнеса;

- потеря престижа/негативное воздействие на репутацию;

- нарушение конфиденциальности личных данных;

- необеспеченность личной безопасности;

- негативный эффект с точки зрения обеспечения правопорядка;

- нарушение конфиденциальности коммерческой информации;

- нарушение общественного порядка;

- финансовые потери;

- нарушение деловых операций;

- угроза охране окружающей среды.

Перечисленные выше примеры критериев оценки могут быть использованы для оценки активов. Для выполнения оценок организация должна выбирать критерии, соответствующие типу ее деловой деятельности и установленным требованиям по обеспечению безопасности. Поэтому некоторые из вышеперечисленных критериев оценки могут оказаться неприменимыми, тогда как другие могут быть добавлены к данным критериям оценки.

После выбора подходящих критериев организация должна договориться о шкале оценки, которая будет использоваться во всей организации. Первым шагом должно быть установление числа используемых уровней. Правил для установления наиболее подходящего числа уровней не существует. Большее число уровней обеспечивает более высокую степень детализации, но иногда слишком тонкое дифференцирование затрудняет оценку активов организации. Обычно число уровней оценки находится в диапазоне от трех (например "малая", "средняя" и "высокая" ценность) до десяти при условии, что это совместимо с подходом организации к общему процессу оценки риска.

Кроме того, организация может устанавливать собственные пределы ценности активов (например "малая", "средняя" и "высокая"). Эти пределы должны быть оценены по выбранным критериям, например, возможные финансовые потери следует оценивать в денежных единицах, тогда как при оценке по критерию угрозы для личной безопасности оценка в денежных единицах окажется непригодной. В конечном счете организация сама должна решить, какой ущерб считать малым, а какой - большим. Ущерб, который может стать бедственным для маленькой организации, для очень крупной организации может быть сочтен малым или даже пренебрежимо малым.

ПРИЛОЖЕНИЕ C

(справочное)

Перечень типичных видов угроз

В настоящем приложении приведен перечень типичных видов угроз. Этот перечень можно использовать в процессе оценки угроз, вызванных одним или несколькими преднамеренными или случайными событиями, или событиями, связанными с окружающей средой и имеющими естественное происхождение. Угрозы, обусловленные преднамеренными действиями, обозначены в перечне буквой D, угрозы, обусловленные случайными действиями, - А и угрозы, обусловленные естественными причинами, - Е. Таким образом, буквой D обозначают все преднамеренные действия, объектами которых являются активы информационных технологий, буквой A - все совершаемые людьми действия, которые могут случайно нанести вред активам информационных технологий, буквой Е - инциденты, не основанные на действиях, совершаемых людьми.

Землетрясение	Е
Затопление	D, A, E
Ураган	Е
Попадание молнии	Е
Забастовка	D, A
Бомбовая атака	D, A
Применение оружия	D, A
Пожар	D, A
Намеренное повреждение	D
Неисправности в системе электроснабжения	A
Неисправности в системе водоснабжения	A
Неисправности в системе кондиционирования воздуха	D, A
Аппаратные отказы	A
Колебания напряжения	A, E
Экстремальные величины температуры и влажности	D, A, E
Воздействие пыли	E
Электромагнитное излучение	D, A, E
Статическое электричество	E
Кража	D
Несанкционированное использование носителей данных	D
Ухудшение состояния носителей данных	E
Ошибка обслуживающего персонала	D, A
Ошибка при обслуживании	D, A
Программные сбои	D, A
Использование программного обеспечения несанкционированными пользователями	D, A
Использование программного обеспечения несанкционированным способом	D, A
Нелегальное проникновение злоумышленников под видом санкционированных пользователей	D
Незаконное использование программного обеспечения	D, A
Вредоносное программное обеспечение	D, A
Незаконный импорт/экспорт программного обеспечения	D
Ошибка операторов	D, A
Ошибка при обслуживании	D, A
Доступ несанкционированных пользователей к сети	D
Использование сетевых средств несанкционированным способом	D
Технические неисправности сетевых компонентов	A
Ошибки передачи	A
Повреждение линий	D, A
Перегруженный трафик	D, A
Перехват информации	D
Несанкционированное проникновение к средствам связи	D
Анализ трафика	D
Направление сообщений по ошибочному адресу	A
Изменение маршрута направления сообщений	D
Изменение смысла переданной информации	D
Сбои в функционировании услуг связи (например, сетевых услуг)	D, A
Недостаточная численность персонала	A
Ошибки пользователей	D, A
Ненадлежащее использование ресурсов	D, A

ПРИЛОЖЕНИЕ D

(справочное)

Примеры общих уязвимостей

В настоящем приложении приведены примеры уязвимых мест применительно к различным объектам, требующим обеспечения безопасности, а также примеры угроз, которые могут возникнуть на конкретных объектах. Данные примеры могут оказаться полезными при оценке уязвимых мест. Следует отметить, что в некоторых случаях упомянутым выше уязвимым местам могут угрожать другие угрозы.

1 Среда и инфраструктура

Отсутствие физической защиты зданий, дверей и окон (возможна, например, угроза кражи).

Неправильное или халатное использование физических средств управления доступом в здания, помещения (возможна, например, угроза намеренного повреждения).

Нестабильная работа электросети (возможна, например, угроза колебаний напряжения).

Размещение в зонах возможного затопления (возможна, например, угроза затопления).

2 Аппаратное обеспечение

Отсутствие схем периодической замены (возможна, например, угроза ухудшения состояния запоминающей среды).

Подверженность колебаниям напряжения (возможна, например, угроза возникновения колебаний напряжения).

Подверженность температурным колебаниям (возможна, например, угроза возникновения экстремальных значений температуры).

Подверженность воздействию влаги, пыли, загрязнения (возможна, например, угроза запыления).

Чувствительность к воздействию электромагнитного излучения (возможна, например, угроза воздействия электромагнитного излучения).

Недостаточное обслуживание/неправильная инсталляция запоминающих сред (возможна, например, угроза возникновения ошибки при обслуживании).

Отсутствие контроля за эффективным изменением конфигурации (возможна, например, угроза ошибки операторов).

3 Программное обеспечение

Неясные или неполные технические требования к разработке средств программного обеспечения (возможна, например, угроза программных сбоев).

Отсутствие тестирования или недостаточное тестирование программного обеспечения (возможна, например, угроза использования программного обеспечения несанкционированными пользователями).

Сложный пользовательский интерфейс (возможна, например, угроза ошибки операторов).

Отсутствие механизмов идентификации и аутентификации, например, аутентификации пользователей (возможна, например, угроза нелегального проникновения злоумышленников под видом законных пользователей).

Отсутствие аудиторской проверки (возможна, например, угроза использования программного обеспечения несанкционированным способом).

Хорошо известные дефекты программного обеспечения (возможна, например, угроза использования программного обеспечения несанкционированными пользователями).

Незащищенные таблицы паролей (возможна, например, угроза нелегального проникновения злоумышленников под видом законных пользователей).

Плохое управление паролями (легко определяемые пароли, хранение в незашифрованном виде, недостаточно частая замена паролей).

Неправильное присвоение прав доступа (возможна, например, угроза использования программного обеспечения несанкционированным способом).

Неконтролируемая загрузка и использование программного обеспечения (возможна, например, угроза столкновения с вредоносным программным обеспечением).

Отсутствие регистрации конца сеанса при выходе с рабочей станции (возможна, например, угроза использования программного обеспечения несанкционированными пользователями).

Отсутствие эффективного контроля внесения изменений (возможна, например, угроза программных сбоев).

Отсутствие документации (возможна, например, угроза ошибки операторов).

Отсутствие резервных копий (возможна, например, угроза воздействия вредоносного программного обеспечения или пожара).

Списание или повторное использование запоминающих сред без надлежащего стирания записей (возможна, например, угроза использования программного обеспечения несанкционированными пользователями).

4 Коммуникации

Незащищенные линии связи (возможна, например, угроза перехвата информации).

Неудовлетворительная стыковка кабелей (возможна, например, угроза несанкционированного проникновения к средствам связи).

Отсутствие идентификации и аутентификации отправителя и получателя (возможна, например, угроза нелегального проникновения злоумышленников под видом законных пользователей).

Пересылка паролей открытым текстом (возможна, например, угроза доступа несанкционированных пользователей к сети).

Отсутствие подтверждений посылки или получения сообщения (возможна, например, угроза изменения смысла переданной информации).

Коммутируемые линии (возможна, например, угроза доступа несанкционированных пользователей к сети).

Незащищенные потоки конфиденциальной информации (возможна, например, угроза перехвата информации).

Неадекватное управление сетью (недостаточная гибкость маршрутизации) (возможна, например, угроза перегрузки трафика).

Незащищенные подключения к сетям общего пользования (возможна, например, угроза использования программного обеспечения несанкционированными пользователями).

5 Документы

Хранение в незащищенных местах (возможна, например, угроза хищения).

Недостаточная внимательность при уничтожении (возможна, например, угроза хищения).

Бесконтрольное копирование (возможна, например, угроза хищения).

6 Персонал

Отсутствие персонала (возможна, например, угроза недостаточного числа работников).

Отсутствие надзора за работой лиц, приглашенных со стороны, или за работой уборщиц (возможна, например, угроза хищения).

Недостаточная подготовка персонала по вопросам обеспечения безопасности (возможна, например, угроза ошибки операторов).

Отсутствие необходимых знаний по вопросам безопасности (возможна, например, угроза ошибок пользователей).

Неправильное использование программно-аппаратного обеспечения (возможна, например, угроза ошибки операторов).

Отсутствие механизмов отслеживания (возможна, например, угроза использования программного обеспечения несанкционированным способом).

Отсутствие политики правильного пользования телекоммуникационными системами для обмена сообщениями (возможна, например, угроза использования сетевых средств несанкционированным способом).

Несоответствующие процедуры набора кадров (возможна, например, угроза намеренного повреждения).

7 Общие уязвимые места

Отказ системы вследствие отказа одного из элементов (возможна, например, угроза сбоев в функционировании услуг связи).

Неадекватные результаты проведения технического обслуживания (возможна, например, угроза аппаратных отказов).

ПРИЛОЖЕНИЕ Е

(справочное)

Типология методов анализа риска

Анализ риска состоит из следующих этапов, приведенных в настоящем приложении, а также в ИСО/МЭК ТО 13335-4:

- идентификация и оценка активов (оценка возможного негативного воздействия на деловую деятельность);

- оценка угроз;

- оценка уязвимых мест;

- оценка существующих и планируемых средств защиты;

- оценка риска.

На заключительном этапе анализа риска должна быть проведена суммарная оценка риска. Как было установлено ранее (см. приложение В), активы, имеющие ценность и характеризующиеся определенной степенью уязвимости, всякий раз подвергаются риску в присутствии угроз. Оценка риска представляет собой оценку соотношения потенциальных негативных воздействий на деловую деятельность в случае нежелательных инцидентов и уровня оцененных угроз и уязвимых мест. Риск фактически является мерой незащищенности системы и связанной с ней организации. Величина риска зависит от:

- ценности активов;

- угроз и связанной с ними вероятности возникновения опасного для активов события;

- легкости реализации угроз в уязвимых местах с оказанием нежелательного воздействия;

- существующих или планируемых средств защиты, снижающих степень уязвимости, угроз и нежелательных воздействий.

Задача анализа риска состоит в определении и оценке рисков, которым подвергается система информационных технологий и ее активы, с целью определения и выбора целесообразных и обоснованных средств обеспечения безопасности. При оценке рисков рассматривают несколько различных его аспектов, включая воздействие опасного события и его вероятность.

Воздействие может быть оценено несколькими способами, в том числе количественно (в денежных единицах) и качественно (оценка может быть основана на использовании для сравнения прилагательных типа умеренное или серьезное), или их комбинацией. Для оценки воздействия необходимо рассчитать вероятность появления угрозы, время ее существования, время сохранения ценности актива и целесообразность защиты актива. На вероятность появления угрозы оказывают влияние следующие факторы:

- привлекательность актива - применяют при рассмотрении угрозы намеренного воздействия людей;

- доступность актива для получения материального вознаграждения - применяют при рассмотрении угрозы намеренного воздействия людей;

- технические возможности создателя угрозы - применяют при рассмотрении угрозы намеренного воздействия людей;

- вероятность возникновения угрозы;

- возможность использования уязвимых мест - применяют к уязвимым местам как технического, так и нетехнического характера.

Многие методы предлагают использование таблиц и различных комбинаций субъективных и эмпирических мер. В настоящее время нельзя говорить о правильном или неправильном методе анализа риска. Важно, чтобы организация пользовалась наиболее удобным и внушающим доверие методом, приносящим воспроизводимые результаты. Ниже приведены несколько примеров методов, основанных на применении таблиц:

Примеры

1 Матрица с заранее определенными значениями

В методах анализа риска такого типа фактические или предполагаемые физические активы оценивают на основе стоимости их замены или восстановления (то есть количественно). Затем эти количественные оценки преобразуют в шкалу качественных оценок, которая используется применительно к активам данных (см. ниже). Фактические или предполагаемые программные активы оценивают так же, как и физические активы с определением стоимости их покупки или восстановления, а затем эти количественные оценки преобразуют в шкалу качественных оценок, которая используется применительно к активам данных. Кроме того, если выяснится, что к конкретному прикладному программному обеспечению существуют свои внутренние требования по конфиденциальности или целостности (например, если исходный код сам является коммерческой тайной), то его оценивают тем же способом, что и активы данных.

Значения ценности активов данных определяют интервьюированием избранных сотрудников, занятых в сфере деловой деятельности ("владельцев данных"), которые могут высказывать компетентные суждения относительно данных, определять ценность и чувствительность данных, находящихся в использовании или подлежащих хранению или обработке с обеспечением доступа к ним. Такие интервью облегчают оценку ценности и чувствительности активов данных с учетом самых неблагоприятных вариантов развития событий, которые можно ожидать, руководствуясь разумными основаниями, и которые могут оказать негативное воздействие на деловую деятельность вследствие несанкционированных раскрытия информации, модификации, изменения смысла переданной информации, недоступности информации в различные периоды времени и уничтожения информации.

Оценку проводят на основе рекомендаций по оценке активов данных, которые охватывают:

- личную безопасность;

- порсональные данные;

- обязанности соблюдать требования законов и подзаконных актов;

- правовое принуждение;

- коммерческие и экономические интересы;

- финансовые потери/нарушение нормального хода работ;

- общественный порядок;

- политику ведения бизнеса и деловых операций;

- потерю репутации.

Рекомендации облегчают определение значений на числовой шкале (например, от 1 до 4), которая предусмотрена для матрицы, используемой в качестве примера (см. таблицу 1), позволяя, таким образом, использовать там, где возможно, количественные, а там, где невозможно, - логические и качественные оценки, например, при оценивании степени угрозы для жизни людей.

Таблица 1

Ценность актива	Уровень угрозы
	Низкий	Средний	Высокий
	Уровень уязвимости	Уровень уязвимости	Уровень уязвимости
	Н	С	В	Н	С	В	Н	С	В





Обозначение: Н - низкий, С - средний, В - высокий.

Важным является также составление пар вопросников по каждому типу угрозы для каждой группы активов, к которым относится данный тип угрозы, что обеспечит возможность оценки уровней угроз (вероятности возникновения угроз) и уровней уязвимости (легкости реализации угроз в уязвимых местах с оказанием нежелательного воздействия). За ответ на каждый вопрос начисляют очки. Очки накапливают с использованием базы знаний и сравнивают с рангами, что позволяет определить уровни угроз (например, по шкале с диапазоном уровней от "высокого" до "низкого") и соответственно уровни уязвимости (см. приведенную ниже матрицу), применительно к различным уровням воздействия. Ответы на вопросы, содержащиеся в вопросниках, получают в результате интервьюирования технических специалистов, персонала организации и специалистов по эксплуатации помещений, а также на основе физического обследования мест размещения аппаратуры и проверки состояния документации.

Типы учитываемых угроз распределяют по следующим группам: намеренные несанкционированные действия людей, действия сил природы, ошибки людей и сбои в оборудовании, программном обеспечении или линии связи.

Ценности активов, а также уровни угроз и уязвимости, соответствующие каждому типу воздействия вводят в матрицу для определения каждого сочетания соответствующих мер риска по шкале от 1 до 8. Значения величин размещают в матрице в структурированной форме в соответствии с таблицей 1.

Для каждого актива рассматривают уязвимые места и соответствующие им угрозы. Если имеются уязвимые места без соответствующей угрозы или угрозы без соответствующего уязвимого места, то считают, что в данное время риск отсутствует (необходимо проявлять осторожность на случай возможного изменения ситуации!). Затем идентифицируют соответствующий ряд матрицы по ценности актива, а соответствующую колонку - по степени угрозы и уязвимости. Например, если ценность актива равна 3, угрозу характеризуют как "высокую", а уязвимость - как "низкую", мера риска равна 5. Предположим, что ценность актива равна 2; при оценке, например, угрозы модификации актива, угрозу характеризуют как "низкую", а уязвимость - как "высокую". В этом случае мера риска будет равна 4. Размер матрицы с точки зрения числа категорий, характеризующих степень угрозы, степень уязвимости и ценность актива выбирают в зависимости от потребностей организации. Дополнительные колонки и ряды дают дополнительное число мер риска. Ценность настоящего метода состоит в ранжировании соответствующих рисков.

2 Ранжирование угроз по мерам риска

Для установления пошаговой взаимозависимости между факторами воздействия (ценность актива) и вероятностью возникновения угрозы (с учетом аспектов уязвимости) может использоваться матрица или таблица (см. таблицу 2). Первый шаг - оценка воздействия (ценности актива) по заранее определенной шкале, например, от 1 до 5, для каждого подвергаемого угрозе актива (колонка b в таблице 2). Второй шаг - оценка вероятности возникновения угрозы по заранее определенной шкале, например, от 1 до 5, для каждой угрозы (колонка с в таблице 2). Третий шаг - расчет мер риска умножением результатов первых двух шагов (b-с). Теперь можно проранжировать опасности по значению коэффициента "подверженности воздействиям". В таблице 2 цифрой 1 обозначены самое малое воздействие и самая низкая вероятность возникновения угрозы.

Таблица 2

Дескриптор угроз а	Оценка воздействия (ценности актива) b	Вероятность возникновения угрозы с	Мера риска d	Ранг угрозы e
Угроза А
Угроза В
Угроза С
Угроза D
Угроза Е
Угроза F

Как показано выше, такой метод позволяет сравнивать и ранжировать по приоритетности разные угрозы с различными воздействиями и вероятности возникновения угрозы. В некоторых случаях необходимо соотнести используемые в этой процедуре эмпирические шкалы с денежными единицами.

3 Оценка частоты появления и возможного ущерба, связанного с рисками

В настоящем примере основное внимание уделяется воздействию нежелательных инцидентов и определению систем, которым следует предоставить приоритет. Для этого оценивают по два значения для каждого актива и риска, которые в разных комбинациях определяют оценку каждого актива. Вычисляют сумму оценок всех активов данной системы и определяют меру риска для данной системы информационных технологий.

Прежде всего определяют ценность каждого актива. Ценность актива связана с возможным повреждением актива, которому угрожают, и назначается для каждой угрозы, которой может подвергнуться данный актив.

Затем определяют значение частоты. Частоту оценивают по сочетанию вероятности возникновения угрозы и легкости возникновения угроз в уязвимых местах (см. таблицу 3).

Таблица 3

Частота	Уровень угрозы
	"Низкий"	"Средний"	"Высокий"
	Уровень уязвимости	Уровень уязвимости	Уровень уязвимости
	Н	С	В	Н	С	В	Н	С	В

Затем по таблице 4 определяют оценки по активам/угрозам, находя пересечение колонки ценности актива и строки частоты. Оценки по активам/угрозам суммируют и определяют общую оценку актива. Эта оценка может быть использована для определения различий между активами, образующими часть системы.

Таблица 4

Частота

Ценность актива

&nbs

2016-09-17

371

Обсуждений (0)

0.00 из 5.00 0 оценок

Обсуждение в статье: Part 3. Techniques for the management of information technology security

Обсуждений еще не было, будьте первым... ↓↓↓