Цінність інструментальних методів аналізу ризиків.

Жодна організація не може бути повністю захищена від загроз, вона повинна мати можливість своєчасно зреагувати на загрозу системи безпеки і у мінімальний проміжок часу повернути її до нормального функціонування. У цьому їй може допомогти правильно сформульована політика безпеки.

Під політикою безпеки (ПБ) інформації варто розуміти набір законів, правил, обмежень, рекомендацій та інш., які регламентують порядок обробки інформації і спрямовані на захист інформації (ЗІ) від визначених загроз. Створення ПБ для інформаційних систем (ІС) зможе допомогти одночасно зменшити ризики і разом з тим адекватно визначити витрати, необхідні для підтримки режиму інформаційної безпеки (ІБ), і вірно ці засоби розподілити.

Інша перевага політики ІБ полягає в тому, що вона надає каркас, що визначає розподіл ролей і відповідальності, дозволяє формулювати і підтверджувати необхідні правила і директиви й однозначно визначає позицію організації щодо будь-яких дій, що загрожують безпеці інформаційної системи.

Реалізація ПБ на практиці вимагає деталізованого плану безпеки, основними елементами якого є:

· визначення цінності інформаційних ресурсів організації;

· визначення загроз цим ресурсам;

· визначення з попередніх кроків необхідних заходів безпеки, що відповідають цінності інформації, що відгороджується;

· підготовка ресурсів, необхідних для прийняття цих заходів безпеки;

· навчання персоналу, необхідне для підтримки політики безпеки;

· підготовка розкладу переглядів плану безпеки для кореляції його з вимогами, що змінюються, змінами в персоналі і навколишнім оточенні.

Реалізації політики безпеки сприяють правильно обрані методи аналізу й оцінки вихідних даних з метою чіткого визначення необхідних засобів інформаційної безпеки. Такі методи називаються методами аналізу ризику.

Ціль процесу оцінювання ризиків складається у визначенні характеристик ризиків ІС і її ресурсам. На основі таких даних можуть бути обрані необхідні засоби захисту.

При проведенні аналізу ризиків необхідно визначити:

- вразливі місця в даній інформаційній системі;

- існуючі загрози, їх рівень;

- припустимий рівень загроз;

- комплекс мір, що дозволяє знизити ризики до припустимого рівня.

По кожному з цих пунктів потрібно проведення спеціальних досліджень.

При забезпеченні ІБ важливо не упустити яких-небудь істотних аспектів. Це буде гарантувати деякий мінімальний (базовий) рівень ІБ, обов'язковий для будь-якої інформаційної технології. У випадку підвищених вимог в області ІБ використовується повний варіант аналізу ризиків. На відміну від базового варіанта, виробляється оцінка цінності ресурсів, характеристик ризиків і вразливостей.

Існують різні підходи до оцінки ризиків, вибір яких залежить від рівня вимог, пропонованих в організації до режиму ІБ.

При оцінюванні ризиків враховуються багато факторів:

· цінність ресурсів;

· значимість загроз;

· ефективність існуючих і планованих засобів захисту;

· інші фактори.

Аналіз ризиків – необхідний етап при розробці політики інформаційної безпеки.

Застосування яких-небудь інструментальних засобів не є обов'язковим, однак, їх використання дозволяє зменшити трудомісткість проведення аналізу ризиків і вибору контрзаходів. В даний час на ринку є біля двох десятків програмних продуктів для аналізу ризиків: від найпростіших, орієнтованих на базовий рівень безпеки, до складних і дорогих продуктів, що дозволяють провести повний аналіз ризиків і вибрати комплекс контрзаходів необхідної ефективності.

Використання методу аналізу ризику - основа для правильного визначення вимог по безпеці і зменшення ризику в ІС. Крім того, необхідно мати повну організаційну стратегію для аналізу ризику в системі. Стратегія повинна гарантувати, що обраний підхід задовольняє необхідним вимогам і зосереджує зусилля по забезпеченню безпеки там, де вони дійсно необхідні.

В даний час використовуються кілька підходів до аналізу ризиків.

Їх вибір залежить від оцінки власниками цінності своїх інформаційних ресурсів і можливих наслідків порушення режиму ІБ.

У найпростішому випадку власники інформаційних ресурсів можуть не оцінювати ці параметри.

Найчастіше передбачається, що цінність ресурсів, що захищаються, не є надмірно високою. У цьому випадку аналіз ризиків виробляється за спрощеною схемою: розглядається стандартний набір найбільш розповсюджених загроз безпеки без оцінки їх ймовірності і забезпечується мінімальний (базовий)рівень ІБ. Існує ряд стандартів і специфікацій, у яких розглядається мінімальний (типовий) набір найбільш ймовірних загроз, таких як віруси, збої обладнання, несанкціонованого доступу(НСД) та інш. Для нейтралізації цих загроз обов'язково повинні бути прийняті контрзаходи поза залежністю від ймовірності їх здійснення й вразливості ресурсів. Таким чином, характеристики загроз на базовому рівні розглядати не обов'язково.

Повнийваріант аналізу ризиків застосовується у випадку підвищених вимог в області ІБ. На відміну від базового варіанта в тому чи іншому виді виробляється оцінка цінності ресурсів, характеристик ризиків і вразливостей ресурсів. Як правило, проводиться аналіз вартість/ефективність декількох варіантів захисту.

Таким чином, при проведенні повного аналізу ризиків необхідно:

- визначити цінність ресурсів;

- до стандартного набору додати список загроз, актуальних для досліджуваної ІС;

- оцінити ймовірність загроз;

- визначити вразливість ресурсів;

- запропонувати рішення, що забезпечує необхідний рівень ІБ.

При проведенні аналізу ризику можлива комбінація підходів, що полягає в тому, що спочатку проводиться початковий аналіз ризику, а потім детальний. Детальний аналіз ризику повинний проводитися в порядку пріоритету. Комбінація підходів повинна забезпечувати баланс між зменшенням часу і зусиллями, витраченими на визначення засобів захисту(ЗЗ), і гарантуванням того, що системи з високим рівнем ризику будуть відповідно захищені.

 

 

ПЗ RiskWatch.

Програмне забезпечення RiskWatch є потужним засобом аналізу і управління рисками, більше орієнтованим на точну кількісну оцінку співвідношення втрат від загроз безпеки і витрат на створення системи захисту. Потрібно також відмітити, що в цьому продукті риски у сфері інформаційної і фізичної безпеки комп'ютерної мережі підприємства розглядаються спільно. У сімейство RiskWatch входять наступні програмні продукти: для фізичних методів захисту, для інформаційних ризиків, для оцінки вимог до стандарту ISO 17799.

У основу продукту RiskWatch покладена методика аналізу ризиків, яка складається з чотирьох етапів:

- перший - визначення предмета дослідження. Тут описуються такі параметри, як тип організації, склад досліджуваної системи, базові вимоги в області безпеки;

- другий - введення даних, що характеризують основні параметри системи. На цьому етапі детально описуються ресурси, втрати і класи інцидентів. Останні виводяться шляхом зіставлення категорії втрат і категорії ресурсів. Крім того, задаються частота виникнення кожної з виділених загроз, міра уразливості і цінність ресурсів. Усе це використовується надалі для розрахунку ефекту від впровадження засобів захисту;

- третій - кількісна оцінка. На цьому етапі розраховується профіль ризиків, і вибираються заходи забезпечення безпеки. Фактично ризик оцінюється за допомогою математичного очікування втрат за рік. Ефект від впровадження засобів захисту кількісно описується за допомогою показника ROI(Return on Investment віддача від інвестицій), який показує віддачу від зроблених інвестицій за певний період часу;

- четвертий - генерація звітів.

Програмне забезпечення RiskWatch має масу достоїнств, а до недоліків продукту можна віднести його відносно високу вартість.