Заглавная страница Избранные статьи Случайная статья Познавательные статьи Новые добавления Обратная связь КАТЕГОРИИ: АрхеологияБиология Генетика География Информатика История Логика Маркетинг Математика Менеджмент Механика Педагогика Религия Социология Технологии Физика Философия Финансы Химия Экология ТОП 10 на сайте Приготовление дезинфицирующих растворов различной концентрацииТехника нижней прямой подачи мяча. Франко-прусская война (причины и последствия) Организация работы процедурного кабинета Смысловое и механическое запоминание, их место и роль в усвоении знаний Коммуникативные барьеры и пути их преодоления Обработка изделий медицинского назначения многократного применения Образцы текста публицистического стиля Четыре типа изменения баланса Задачи с ответами для Всероссийской олимпиады по праву Мы поможем в написании ваших работ! ЗНАЕТЕ ЛИ ВЫ?
Влияние общества на человека
Приготовление дезинфицирующих растворов различной концентрации Практические работы по географии для 6 класса Организация работы процедурного кабинета Изменения в неживой природе осенью Уборка процедурного кабинета Сольфеджио. Все правила по сольфеджио Балочные системы. Определение реакций опор и моментов защемления |
Оценка характеристик факторов риска
Ресурсы должны быть проанализированы с точки зрения оценки воздействия возможных угроз безопасности. Кроме того, необходимо идентифицировать уязвимости – слабости в системе защиты, которые делают возможным реализацию угроз. Для того чтобы конкретизировать вероятность реализации угрозы, рассматривается некоторый отрезок времени, в течение которого предполагается защищать ресурс. Вероятность того, что угроза реализуется, определяется несколькими факторами (привлекательностью ресурса, возможностью использования ресурса для получения дохода, простотой использования уязвимости при проведении атаки). В настоящее время известно множество методов оценивания угроз, большинство из которых построены на использовании таблиц. Такие методы сравнительно просты в использовании и достаточно эффективны. Однако не стоит говорить о «лучшем» методе, так как в различных случаях они будут разными. I. Ранжирование угроз: в матрице или таблице можно наглядно отразить связь факторов негативного воздействия (показателей ресурсов) и вероятностей реализации угрозы с учетом показателей уязвимостей. 1 шаг: оценивается негативное воздействие (показатель ресурса) по заранее определенной шкале, например от 1 до 5, для каждого ресурса, которому угрожает опасность (колонка b в таблице); 2 шаг: по заранее заданной шкале, например от 1 до 5, оценивается вероятность реализации каждой угрозы (колонка c в таблице); 3 шаг: вычисляется показатель риска. В простейшем варианте методики: d=b*c, но необходимо помнить, что операция умножения определена для количественных шкал. Для ранговых (качественных) шкал измерения, каковыми являются показатель негативного воздействия и вероятность реализации угрозы, должна быть разработана методика оценивания показателей рисков применительно к конкретной организации; 4 шаг: угрозы ранжируются по значениям их фактора риска.
Данная процедура позволяет сравнивать и ранжировать по приоритету угрозы с различными негативными воздействиями и вероятностями реализации:
II. Оценка угроз проводится также в несколько этапов: 1 шаг: каждому ресурсу присваивается определенное значение, соответствующее потенциальному ущербу от воздействия угрозы. Такие показатели присваиваются ресурсу по отношению ко всем возможным угрозам; 2 шаг: оценивается показатель частоты повторяемости. Частота зависит от вероятности возникновения угрозы и простоты использования уязвимости. Показатель частоты является субъективной мерой возможности реализации угрозы и оценивается, как правило, в качественных шкалах, примером является 2-ая таблица, где заданы субъективные частоты реализации события в шкале 0 (крайне редко) – 4 (очень часто) для разных уровней угроз и уязвимостей. 3 шаг: определяется субъективная шкала рисков в зависимости от показателя ценности ресурса и частоты. Эти значения должны отражать позицию организации по отношению к рассматриваемым рискам. Оценивание уровней рисков Рассмотрим пример метода, построенного на использовании таблиц и учитывающий только стоимостные характеристики ресурсов: 1 шаг: количественные показатели информационных ресурсов оцениваются на основании опросов сотрудников (владельцев информации) – тех, кто может оценить ценность информации, определить ее характеристики и степень критичности; 2 шаг: на основе результатов опроса производится оценивание показателей и степени критичности информационных ресурсов для наихудшего варианта развития событий; 3 шаг: рассматривается потенциальное воздействие на процесс при возможном НСД к информации, изменении информации, отказе от выполнения обработки информации, недоступности на различные сроки и разрушении; 4 шаг: разрабатывается система показателей в балльных шкалах (пример – 4-хбальная шкала (от 0 до 4), приведенная ниже).
5 шаг: по каждой группе ресурсов, связанной с данной угрозой, оценивается уровень последней (вероятность реализации) и степень уязвимости (легкость, с которой реализованная угроза способна привести к негативному воздействию). Оценивание производится в качественных шкалах. Например, уровень угроз и уровень уязвимостей можно оценить по шкале «высокий-средний-низкий»; Информацию собирают, опрашивая сотрудников, занимающихся техническими вопросами, и анализируя документацию. Уровни риска определяются тремя параметрами: ценностью ресурса, уровнями угрозы и уязвимости. Каждому значению уровня риска должно быть поставлено в соответствие описание, позволяющее однозначно его трактовать разным людям и понимать, где проходит граница между значениями. Например, показатель риска измеряется в шкале от 0 до 8 со следующими определениями уровней риска: 1 – риск практически отсутствует. Теоретически возможны ситуации, при которых событие наступает, но на практике это случается редко, а потенциальный ущерб сравнительно невелик. 2 – риск очень мал. События подобного рода случались достаточно редко, кроме того, негативные последствия сравнительно невелики. 3 … 8 – риск очень велик. Событие скорее всего наступит, и последствия будут чрезвычайно тяжелыми. Пример матрицы:
Для каждого ресурса рассматриваются относящиеся к нему уязвимые места и соответствующие им угрозы. Если уязвимость существует, но нет связанной с ней угрозы или существует угроза, не связанная с какими-либо уязвимыми местами, то в такой ситуации рисков нет. Однако надо иметь в виду, что в дальнейшем ситуация может измениться. Каждая строка в матрице определяется показателем ресурса, а каждый столбец – степенью опасности угрозы и уязвимости. Например, ресурс имеет ценность 3, угроза имеет степень «высокая», а уязвимость – «низкая». Показатель риска в данном случае будет равен 5. В случае, когда ресурс имеет ценность 2, например, для модификации, уровень угрозы – низкий, а уязвимости, напротив, высокий, показатель риска равен 4. Размер матрицы, учитывающей количество степеней угроз и уязвимостей, категорий ресурсов, может быть другим и определяется конкретной организацией. После того как оценивание рисков было выполнено первый раз, его результаты обычно сохраняют в базе данных. В дальнейшем проводить повторное оценивание будет значительно легче.
|
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Последнее изменение этой страницы: 2017-01-23; просмотров: 105; Нарушение авторского права страницы; Мы поможем в написании вашей работы! infopedia.su Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав. Обратная связь - 18.216.230.107 (0.007 с.) |