четверг, 20 сентября 2012 г.

Анализ рисков информационной безопасности

"Управление рисками похоже на шаманство:
битье в бубен, бросание костей — отсутствие
рационального объяснения своего выбора
и "почему это работает". А.Лукацкий

На сегодняшний день актуальна такая проблема: требуется приобрести некоторое средство защиты информации (далее - СЗИ), а определить, какое именно СЗИ подойдет лучше всего - сложно. Еще сложнее ситуация, когда целесообразность внедрения СЗИ как таковых приходится объяснять руководству. Обычно это дело сопровождается запугиванием руководства всевозможными вирусами и хакерами, злобными конкурентами и регуляторами, страшными рассказами о недовольных сотрудниках, которые навредили в такой-то организации перед собственным увольнением и т.д. Такой подход вполне действенный, но несколько... не научный. Чтобы подойти по науке, придется вспомнить о таком методе как оценка рисков информационной безопасности.

Рекомендации по оценке рисков приведены в нескольких документах: ГОСТ ИСО/МЭК 27005, РС БР ИББС-2.2-2009, NIST SP 800-30. То, что предложено в этих документах наиболее удобно пояснить на схеме, рассмотренной в ГОСТ 13335-1:

Согласно данной схеме, предполагается, что в организации существуют некоторые активы. В ГОСТ Р 27005 их предложено делить на две большие группы - первичные активы (информация и процессы) и вторичные (все то, что эти информацию и процессы обрабатывает/обеспечивает).

Для активов характерен ряд уязвимостей (V), через которые на эти активы могут воздействовать угрозы (T). Задача средств защиты информации (S) эти уязвимости в той или иной мере закрыть, тем самым уменьшая вероятность воздействия угрозы на актив. Тем самым снизив риск (R) до величины остаточного риска (RR) Соответственно для расчета риска предполагается использование следующей формулы:

R = PT·PI·W
  • PT – вероятность реализации угрозы T
  • PI – вероятность воздействия угрозы на актив I
  • W – стоимость последствий
Вероятность реализации угрозы (PT) — параметр, который должен показывать, как часто данная угроза реализуется. Если взять некоторую единицу времени (скажем сутки), то угрозу реализующуюся ежемесячно можно описать коэффициентом 0,033 (одна тридцатая), а угрозу реализующуюся раз в пять лет — коэффициентом (1/(365*5)) = 0,0005.

Вероятность воздействия угрозы на актив (PI) — показатель, зависящий от двух факторов - вероятности уязвимости и того, насколько хорошо защитные меры эту уязвимость закрывают.

Последний параметр (W), почему-то, предлагается оценить экспертам по каким-либо шкалам (ужасные последствия, средне-ужасные последствия, допустимые последствия или что-то вроде того). Руководству по результатам оценки приносят отчет со столбиками гистограмм, по которым видно, что одни риски больше/меньше других. Руководству сообщают, что такие большие цифры, это не хорошо... а вот если мы купим вот это СЗИ, то столбик сразу станет меньше (ибо снизится PI).

Получаем, например, следующее: СЗИ стоит 1000 рублей, а уровень рисков снизятся с 17 до 6. Несколько не сопоставимые цифры. И если уж приобретение и внедрение защитных средств выражается в рублях, почему-бы не попытаться то же самое сделать с рисками? Ведь в отличие от существующих методик, оценка рисков в рублях позволит рассчитать время возврата инвестиций во внедрение СЗИ и позволит говорить об их эффективности.

Комментариев нет:

Отправить комментарий