Анализ рисков информационной безопасности в организации с использованием матричного подхода

↑

▷ Содержание

⇐ ПредыдущаяСтр 5 из 18Следующая ⇒

▷ Похожие статьи

Данная методология связывает активы, уязвимости, угрозы и средства управления организацией и определяет важность различных средств управления, соответствующими активами организация Активы организации определены как вещи, имеющие значение. Активы могут быть материальными, такие как данные и сети и нематериальными, такие как репутация и доверие.

Уязвимость - слабости в информационном активе, которые могут использоваться угрозами, такими как база данных или веб-сервер. Угрозы -потенциальные причины нежелательных событий, которые могут привести к нанесению ущерба активам организации. Угрозы могут быть случайными или злонамеренными. Средства управления определены как меры, которые организация может принять, чтобы минимизировать воздействие угроз на один или более активов организации.

Методология, предложенная в данной статье, использует три отдельных матрицы: матрицу уязвимостей, матрицу угроз и матрицу контроля, чтобы собрать данные, которые требуются для анализа риска.

Матрица уязвимости (таблица 1) содержит связь между активами и уязвимостями в организациях, матрица угроз (таблица 2) так же содержит отношения между уязвимостями и угрозами, а матрица контроля (таблица 3) содержат связи между угрозами и средствами управления. Значение в каждой ячейке показывает ценность отношения между элементом строки и столбца таблицы (например, активом и уязвимостью). Использует одна из трех оценок ценности: низкая, средняя или высокая.

Таблица 1 - Матрица активов (связь между активами и уязвимостью)

При первоначальном анализе риска формируются списки активов, уязвимостей, угроз, и средств управления и добавляются к соответствующим таблицам. Матрицы заполняются путем добавления данных о связи элемента столбца матрица с элементом строки. Наконец, данные из матрицы уязвимости преобразуются с помощью формулы (1), а затем заносятся в таблицу 2. Таким же образом данные из матрицы угроз преобразуются с помощью формулы (2) и заносятся в таблицу. В результате формируется матрица контроля, которая содержит относительную важность различных средств управления.

Пусть есть m активов, относительная стоимость актива а _j   ϵ C_j (j = 1, n). Также пусть C_ij – это воздействие уязвимости v _j на актив а _i. Тогда совокупное воздействие уязвимости v_j на активы организации вычисляется по формуле:

                                                          (1)

Таблица 2 - Матрица активов (связь между угрозами и уязвимостями)

Пусть имеется p угроз, которые действуют на i уязвимостей и d_ki – потенциал повреждения от угрозы t_k уязвимости v_i. Тогда относительное совокупное воздействие угрозы T_k:

                                               (2)

Таблица 3 - Матрица угроз (связь между средствами управления и угрозами)

Пусть есть q средств управления, которые могут смягчить p угроз, а e_lk – воздействие средства контроля z₀ на угрозу t_k. Тогда относительное совокупное воздействие средств контроля Z₀:

                                                (3)

Пример использования методологии

Исследование анализа риска по предложенной методологии проводилось в организации General Electric Energy. Она имеет фрагментированную организационную структуру, работает в нескольких странах, включая Испанию, Германию, США, Данию и Китай. Процессы и операции очень неоднородны. Кроме того, технические отделы не имеют общей сети. Информационная безопасность очень важна в данной организации.

Однородная информационная инфраструктура необходима для защиты новых технологий, данных о доходах, а также для улучшения коммуникации и увеличения производительности. Она соединяет связанные бизнес-процессы в единый монолитный процесс. Для того чтобы с самого начала запланировать систему безопасности в организации проводился анализ информационных рисков по предложенной методологии. Это исследование представляет собой всесторонний анализ рисков собственных активов, уязвимостей и угроз, порожденных бизнес-процессами. Три матрицы, которые связывают активы с уязвимостями, угрозами и средствами управления в организациях, представлены в таблицах 4, 5 и 6 соответственно.

Таблица 4 представляет собой матрицу уязвимостей, которая связывает уязвимость системы с воздействиями/активами организации. Для построения матрицы была вычислена относительная важность активов/воздействий. Например, успешность бизнеса зависит от его способности развить и защитить новые технологии; поэтому, они высоко оценивается. Основываясь на активах, была определена ключевая уязвимость, связанная с каждым активом/воздействием, и воздействие уязвимости на активах/воздействиях было добавлено к таблице.

Таблица 4 - Матрица уязвимостей для General Electric Energy

Данные в матрице уязвимости были соединены и сортированы для того, чтобы определить относительную важность уязвимости. Так как внешние хакеры должны проникнуть через брандмауэр, чтобы получить доступу к конфиденциальной информации, брандмауэр занимает первое место в матрице уязвимости. Кроме того, в General Electric Energy филиалы сильно распределены, поэтому передача данных, оцениваются высоко. Совокупные данные об уязвимостях были добавлены к матрице угроз наряду с угрозами, соответствующими уязвимостям. Матрица 5 выглядит следующим образом:

Таблица 5 - Матрица угрозы для General Electric Energy

Таблица 6 показывает матрицу контроля, в которую были добавлены совокупные данные об угрозах из матрицы угрозы и соответствующие им средства управления. Относительное воздействие различных средств управления на угрозы было также определено, учитывая субъективные суждения, после чего данные были занесены в таблицу и расположены по приоритетам. Эта информация, вместе со стоимостью средств управления используется для планирования безопасности. Результаты этого анализа и совокупные данные из матриц будут использоваться во время интеграции производственных процессов и для выбора программного обеспечения и аппаратных средств.

Таблица 6 - Матрица средств контроля для General Electric Energy

Порядок выполнения работы

1. Ознакомиться с теоретической частью.

2. Выберите объект исследования в соответствии с вариантом, указанным преподавателем:

· таможенное управление;

· коммерческий банк;

· налоговая полиция;

· учебное заведение;

· вычислительный центр предприятия;

· административный корпус предприятия;

· производственное предприятие.

3. Требуется оценить риски информационной безопасности в организации с использованием матричного подхода.

4. Проанализировать полученные результаты и изменения, которые следует ввести в ИС для снижения риска до приемлемого уровня.

Содержание отчета по лабораторной работе

Отчет по лабораторной работе должен содержать:

1. Задание, назначенное преподавателем.

2. Анализ информационных рисков рассматриваемого предприятия.

3. Выводы по проделанной работе.

ЛАБОРАТОРНАЯ РАБОТА 3

Познавательные статьи:



Техника нижней прямой подачи мяча

Комплекс физических упражнений для развития мышц плечевого пояса

Стандарт Порядок надевания противочумного костюма

Общеразвивающие упражнения без предметов