Ανάλυση κινδύνων ασφάλειας πληροφοριών στον τραπεζικό τομέα με το παράδειγμα της UniCredit Bank. Ανάλυση υφιστάμενων μεθόδων εκτίμησης κινδύνων IB και ανάπτυξη δικής μας μεθοδολογίας για τον τραπεζικό τομέα

Ζητήματα πρακτικής εφαρμογής της ανάλυσης κινδύνου σε διαδικασίες διαχείρισης ασφάλειας πληροφοριών, καθώς και γενικά ζητήματα της ίδιας της διαδικασίας ανάλυσης κινδύνου ασφάλειας πληροφοριών.

Στη διαδικασία διαχείρισης οποιουδήποτε τομέα δραστηριότητας, είναι απαραίτητο να αναπτυχθούν συνειδητές και αποτελεσματικές αποφάσεις, η υιοθέτηση των οποίων βοηθά στην επίτευξη ορισμένων στόχων. Κατά τη γνώμη μας, μια επαρκής απόφαση μπορεί να ληφθεί μόνο με βάση τα γεγονότα και την ανάλυση των σχέσεων αιτίου-αποτελέσματος. Φυσικά, σε ορισμένες περιπτώσεις, οι αποφάσεις λαμβάνονται σε διαισθητικό επίπεδο, αλλά η ποιότητα μιας διαισθητικής απόφασης εξαρτάται σε μεγάλο βαθμό από την εμπειρία του διευθυντή και, σε μικρότερο βαθμό, από έναν επιτυχημένο συνδυασμό περιστάσεων.

Για να δείξουμε πόσο περίπλοκη είναι η διαδικασία λήψης μιας τεκμηριωμένης και ρεαλιστικής απόφασης, θα δώσουμε ένα παράδειγμα από τον τομέα της διαχείρισης της ασφάλειας πληροφοριών (IS). Ας πάρουμε μια τυπική κατάσταση: ο επικεφαλής του τμήματος ασφάλειας πληροφοριών πρέπει να καταλάβει σε ποιες κατευθύνσεις να κινηθεί για να αναπτύξει αποτελεσματικά την κύρια λειτουργία του - τη διασφάλιση της ασφάλειας πληροφοριών του οργανισμού. Από τη μία, όλα είναι πολύ απλά. Υπάρχει μια σειρά από τυπικές προσεγγίσεις για την επίλυση προβλημάτων ασφάλειας: προστασία περιμετρικών, προστασία από κατοίκους, προστασία από περιστάσεις ανωτέρας βίας. Και υπάρχουν πολλά προϊόντα που σας επιτρέπουν να λύσετε αυτό ή εκείνο το πρόβλημα (προστατέψτε τον εαυτό σας από αυτήν ή εκείνη την απειλή).

Ωστόσο, υπάρχει ένα μικρό «αλλά». Οι ειδικοί του τμήματος ασφάλειας πληροφοριών αντιμετωπίζουν το γεγονός ότι η επιλογή προϊόντων διαφόρων κατηγοριών είναι πολύ μεγάλη, η υποδομή πληροφοριών του οργανισμού είναι πολύ μεγάλη, ο αριθμός πιθανών στόχων επιθέσεων από παραβάτες είναι μεγάλος και οι δραστηριότητες των τμημάτων του οργανισμού είναι ετερογενείς και δεν μπορούν να ενοποιηθούν. Ταυτόχρονα, κάθε ειδικός τμήματος έχει τη δική του άποψη για την προτεραιότητα των τομέων δραστηριότητας, που αντιστοιχεί στην εξειδίκευση και τις προσωπικές του προτεραιότητες. Και η εφαρμογή μιας τεχνικής λύσης ή η ανάπτυξη ενός κανονισμού ή εντολής σε έναν μεγάλο οργανισμό οδηγεί σε ένα μικρό έργο με όλα τα χαρακτηριστικά της δραστηριότητας του έργου: προγραμματισμός, προϋπολογισμός, υπεύθυνοι, προθεσμίες κ.λπ.

Έτσι, το να προστατεύσετε τον εαυτό σας παντού και από τα πάντα, πρώτον, δεν είναι φυσικά δυνατό και, δεύτερον, δεν έχει νόημα. Τι μπορεί να κάνει ο επικεφαλής του τμήματος ασφάλειας πληροφοριών σε αυτή την περίπτωση;

Πρώτον, μπορεί να μην κάνει τίποτα μέχρι το πρώτο μεγάλο περιστατικό. Δεύτερον, προσπαθήστε να εφαρμόσετε κάποιο γενικά αποδεκτό πρότυπο ασφάλειας πληροφοριών. Τρίτον, εμπιστευτείτε το υλικό μάρκετινγκ των κατασκευαστών λογισμικού και υλικού και των ενοποιητών ή συμβούλων στον τομέα της ασφάλειας πληροφοριών. Ωστόσο, υπάρχει και άλλος τρόπος.

Καθορισμός στόχων διαχείρισης ασφάλειας πληροφοριών

Μπορείτε να προσπαθήσετε - με τη βοήθεια της διοίκησης και των εργαζομένων του οργανισμού - να κατανοήσετε τι πραγματικά πρέπει να προστατεύεται και από ποιον. Από αυτή τη στιγμή, συγκεκριμένες δραστηριότητες ξεκινούν στη διασταύρωση της τεχνολογίας και της κύριας δραστηριότητας, η οποία συνίσταται στον καθορισμό της κατεύθυνσης της δραστηριότητας και (αν είναι δυνατόν) της κατάστασης στόχου της υποστήριξης της ασφάλειας πληροφοριών, η οποία θα διαμορφωθεί ταυτόχρονα με επιχειρηματικούς όρους και ασφάλεια πληροφοριών.

Η διαδικασία ανάλυσης κινδύνου είναι ένα εργαλείο με το οποίο μπορείτε να προσδιορίσετε τους στόχους της διαχείρισης ασφάλειας πληροφοριών, να αξιολογήσετε τους κύριους κρίσιμους παράγοντες που επηρεάζουν αρνητικά τις βασικές επιχειρηματικές διαδικασίες της εταιρείας και να αναπτύξετε τεκμηριωμένες, αποτελεσματικές και αιτιολογημένες λύσεις για τον έλεγχο ή την ελαχιστοποίηση τους.

Παρακάτω θα περιγράψουμε ποιες εργασίες επιλύονται ως μέρος της ανάλυσης κινδύνου ασφάλειας πληροφοριών για να ληφθούν τα αναφερόμενα αποτελέσματα και πώς επιτυγχάνονται αυτά τα αποτελέσματα ως μέρος της ανάλυσης κινδύνου.

Ταυτοποίηση και αποτίμηση περιουσιακών στοιχείων

Ο στόχος της διαχείρισης της ασφάλειας πληροφοριών είναι η διατήρηση της εμπιστευτικότητας, της ακεραιότητας και της διαθεσιμότητας των πληροφοριών. Το μόνο ερώτημα είναι τι είδους πληροφορίες πρέπει να προστατεύονται και ποιες προσπάθειες πρέπει να γίνουν για να διασφαλιστεί η ασφάλειά τους (Εικ. 1).

Οποιαδήποτε διαχείριση βασίζεται στην επίγνωση της κατάστασης στην οποία εμφανίζεται. Όσον αφορά την ανάλυση κινδύνου, η επίγνωση της κατάστασης εκφράζεται στην απογραφή και την αξιολόγηση των περιουσιακών στοιχείων του οργανισμού και του περιβάλλοντος τους, δηλαδή ό,τι διασφαλίζει τη διεξαγωγή επιχειρηματικών δραστηριοτήτων. Από την άποψη της ανάλυσης κινδύνου ασφάλειας πληροφοριών, τα κύρια περιουσιακά στοιχεία περιλαμβάνουν πληροφορίες, υποδομές, προσωπικό, εικόνα και φήμη της εταιρείας. Χωρίς απογραφή περιουσιακών στοιχείων σε επίπεδο επιχειρηματικής δραστηριότητας, είναι αδύνατο να απαντηθεί το ερώτημα τι ακριβώς πρέπει να προστατευθεί. Είναι σημαντικό να κατανοήσουμε ποιες πληροφορίες επεξεργάζονται σε έναν οργανισμό και πού επεξεργάζονται.

Σε έναν μεγάλο σύγχρονο οργανισμό, ο αριθμός των στοιχείων ενεργητικού μπορεί να είναι πολύ μεγάλος. Εάν οι δραστηριότητες ενός οργανισμού αυτοματοποιούνται χρησιμοποιώντας ένα σύστημα ERP, τότε μπορούμε να πούμε ότι σχεδόν κάθε υλικό αντικείμενο που χρησιμοποιείται σε αυτή τη δραστηριότητα αντιστοιχεί σε κάποιο είδος πληροφοριακού αντικειμένου. Ως εκ τούτου, το πρωταρχικό καθήκον της διαχείρισης κινδύνου είναι να εντοπίσει τα πιο σημαντικά περιουσιακά στοιχεία.

Είναι αδύνατο να λυθεί αυτό το πρόβλημα χωρίς τη συμμετοχή των διευθυντών της κύριας δραστηριότητας του οργανισμού, τόσο του μεσαίου όσο και του ανώτερου επιπέδου. Η βέλτιστη κατάσταση είναι όταν η ανώτατη διοίκηση του οργανισμού ορίζει προσωπικά τους πιο κρίσιμους τομείς δραστηριότητας, για τους οποίους είναι εξαιρετικά σημαντικό να διασφαλιστεί η ασφάλεια των πληροφοριών. Η γνώμη της ανώτατης διοίκησης σχετικά με τις προτεραιότητες στην παροχή ασφάλειας πληροφοριών είναι πολύ σημαντική και πολύτιμη στη διαδικασία ανάλυσης κινδύνου, αλλά σε κάθε περίπτωση θα πρέπει να διευκρινιστεί συλλέγοντας πληροφορίες σχετικά με την κρισιμότητα των περιουσιακών στοιχείων στο μέσο επίπεδο διοίκησης της εταιρείας. Ταυτόχρονα, είναι σκόπιμο να γίνει περαιτέρω ανάλυση ακριβώς στους τομείς της επιχειρηματικής δραστηριότητας που ορίζονται από την ανώτατη διοίκηση. Οι πληροφορίες που λαμβάνονται υποβάλλονται σε επεξεργασία, συγκεντρώνονται και διαβιβάζονται στα ανώτερα στελέχη για μια ολοκληρωμένη αξιολόγηση της κατάστασης (αλλά περισσότερα για αυτό αργότερα).

Οι πληροφορίες μπορούν να εντοπιστούν και να εντοπιστούν με βάση μια περιγραφή επιχειρηματικών διαδικασιών στις οποίες οι πληροφορίες θεωρούνται ως ένας από τους τύπους πόρων. Το έργο απλοποιείται κάπως εάν ο οργανισμός έχει υιοθετήσει μια προσέγγιση για τη ρύθμιση των επιχειρηματικών δραστηριοτήτων (για παράδειγμα, για σκοπούς διαχείρισης ποιότητας και βελτιστοποίησης των επιχειρηματικών διαδικασιών). Οι επίσημες περιγραφές των επιχειρηματικών διαδικασιών είναι ένα καλό σημείο εκκίνησης για την απογραφή περιουσιακών στοιχείων. Εάν δεν υπάρχουν περιγραφές, μπορείτε να προσδιορίσετε τα περιουσιακά στοιχεία με βάση τις πληροφορίες που λάβατε από τους υπαλλήλους του οργανισμού. Μόλις εντοπιστούν τα περιουσιακά στοιχεία, πρέπει να προσδιοριστεί η αξία τους.

Το έργο του προσδιορισμού της αξίας των στοιχείων ενεργητικού σε ολόκληρο τον οργανισμό είναι το πιο σημαντικό και πολύπλοκο. Είναι η αξιολόγηση των στοιχείων ενεργητικού που θα επιτρέψει στον επικεφαλής του τμήματος ασφάλειας πληροφοριών να επιλέξει τους κύριους τομείς δραστηριότητας για τη διασφάλιση της ασφάλειας των πληροφοριών.

Η αξία ενός περιουσιακού στοιχείου εκφράζεται με το ποσό των ζημιών που θα υποστεί ένας οργανισμός σε περίπτωση παραβίασης ασφάλειας του περιουσιακού στοιχείου. Ο προσδιορισμός της αξίας είναι προβληματικός επειδή στις περισσότερες περιπτώσεις, οι διαχειριστές οργανισμών δεν μπορούν να απαντήσουν αμέσως στο ερώτημα τι θα συνέβαινε εάν, για παράδειγμα, πληροφορίες σχετικά με τις τιμές αγοράς που είναι αποθηκευμένες σε έναν διακομιστή αρχείων πήγαιναν σε έναν ανταγωνιστή. Ή μάλλον, στις περισσότερες περιπτώσεις, οι διαχειριστές του οργανισμού δεν έχουν σκεφτεί ποτέ τέτοιες καταστάσεις.

Αλλά η οικονομική αποδοτικότητα της διαδικασίας διαχείρισης της ασφάλειας πληροφοριών εξαρτάται σε μεγάλο βαθμό από την επίγνωση του τι πρέπει να προστατευθεί και ποιες προσπάθειες θα απαιτηθούν για αυτό, καθώς στις περισσότερες περιπτώσεις το ποσό της προσπάθειας που εφαρμόζεται είναι ευθέως ανάλογο με το ποσό των χρημάτων που δαπανώνται και λειτουργούν. έξοδα. Η διαχείριση κινδύνου σάς επιτρέπει να απαντήσετε στο ερώτημα πού μπορείτε να αναλάβετε κινδύνους και πού όχι. Στην περίπτωση της ασφάλειας των πληροφοριών, ο όρος «κίνδυνος» σημαίνει ότι σε έναν συγκεκριμένο τομέα είναι δυνατό να μην καταβληθούν σημαντικές προσπάθειες για την προστασία των στοιχείων του ενεργητικού και ταυτόχρονα, σε περίπτωση παραβίασης της ασφάλειας, ο οργανισμός δεν θα υποφέρει σημαντικές απώλειες. Εδώ μπορούμε να κάνουμε μια αναλογία με τις κατηγορίες προστασίας των αυτοματοποιημένων συστημάτων: όσο πιο σημαντικοί είναι οι κίνδυνοι, τόσο πιο αυστηρές θα πρέπει να είναι οι απαιτήσεις προστασίας.

Για να προσδιορίσετε τις συνέπειες μιας παραβίασης ασφάλειας, πρέπει είτε να έχετε πληροφορίες σχετικά με καταγεγραμμένα συμβάντα παρόμοιας φύσης είτε να πραγματοποιήσετε μια ανάλυση σεναρίου. Η ανάλυση σεναρίου εξετάζει τις σχέσεις αιτίου-αποτελέσματος μεταξύ συμβάντων ασφάλειας περιουσιακών στοιχείων και των συνεπειών αυτών των γεγονότων στις επιχειρηματικές δραστηριότητες του οργανισμού. Οι συνέπειες των σεναρίων θα πρέπει να αξιολογούνται από πολλά άτομα, επαναληπτικά ή συλλογιστικά. Σημειωτέον ότι η ανάπτυξη και αξιολόγηση τέτοιων σεναρίων δεν μπορεί να είναι εντελώς διαχωρισμένη από την πραγματικότητα. Πρέπει πάντα να θυμάστε ότι το σενάριο πρέπει να είναι πιθανό. Τα κριτήρια και οι κλίμακες για τον προσδιορισμό της αξίας είναι ατομικά για κάθε οργανισμό. Με βάση τα αποτελέσματα της ανάλυσης σεναρίων, μπορούν να ληφθούν πληροφορίες σχετικά με την αξία των περιουσιακών στοιχείων.

Εάν εντοπιστούν περιουσιακά στοιχεία και προσδιοριστεί η αξία τους, μπορούμε να πούμε ότι οι στόχοι της παροχής ασφάλειας πληροφοριών καθορίζονται εν μέρει: καθορίζονται τα αντικείμενα προστασίας και η σημασία της διατήρησής τους σε κατάσταση ασφάλειας πληροφοριών για τον οργανισμό. Ίσως το μόνο που μένει είναι να καθοριστεί από ποιον πρέπει να προστατευτεί.

Ανάλυση των πηγών των προβλημάτων

Αφού καθορίσετε τους στόχους της διαχείρισης της ασφάλειας πληροφοριών, θα πρέπει να αναλύσετε τα προβλήματα που σας εμποδίζουν να προσεγγίσετε την κατάσταση-στόχο. Σε αυτό το επίπεδο, η διαδικασία ανάλυσης κινδύνου καταλήγει στην υποδομή πληροφοριών και στις παραδοσιακές έννοιες ασφάλειας πληροφοριών - εισβολείς, απειλές και τρωτά σημεία (Εικ. 2).

Μοντέλο εισβολέα

Για την αξιολόγηση των κινδύνων, δεν αρκεί η εισαγωγή ενός τυπικού μοντέλου παραβάτη που διαιρεί όλους τους παραβάτες ανά τύπο πρόσβασης στο περιουσιακό στοιχείο και γνώση της δομής του ενεργητικού. Αυτή η διαίρεση βοηθά στον προσδιορισμό των απειλών που μπορούν να απευθύνονται σε ένα περιουσιακό στοιχείο, αλλά δεν απαντά στο ερώτημα εάν αυτές οι απειλές μπορούν, καταρχήν, να πραγματοποιηθούν.

Στη διαδικασία ανάλυσης κινδύνου, είναι απαραίτητο να αξιολογηθεί το κίνητρο των παραβατών στην εφαρμογή απειλών. Στην περίπτωση αυτή, ως παραβάτης δεν νοείται ένας αφηρημένος εξωτερικός χάκερ ή ένας εσωτερικός χρήστης, αλλά ένα μέρος που ενδιαφέρεται να αποκομίσει οφέλη παραβιάζοντας την ασφάλεια ενός περιουσιακού στοιχείου.

Συνιστάται να λαμβάνετε αρχικές πληροφορίες σχετικά με το μοντέλο του παραβάτη, όπως στην περίπτωση της επιλογής των αρχικών κατευθύνσεων των δραστηριοτήτων ασφάλειας πληροφοριών, από ανώτατα στελέχη, τα οποία κατανοούν τη θέση του οργανισμού στην αγορά, έχουν πληροφορίες για τους ανταγωνιστές και ποιες μεθόδους επιρροής μπορούν να αναμένεται από αυτούς. Οι πληροφορίες που είναι απαραίτητες για την ανάπτυξη ενός μοντέλου εισβολέα μπορούν επίσης να ληφθούν από εξειδικευμένη έρευνα σχετικά με παραβιάσεις της ασφάλειας υπολογιστών στον επιχειρηματικό τομέα για τον οποίο πραγματοποιείται η ανάλυση κινδύνου. Ένα σωστά αναπτυγμένο μοντέλο εισβολέα συμπληρώνει τους στόχους ασφάλειας πληροφοριών που προσδιορίζονται κατά την αξιολόγηση των περιουσιακών στοιχείων του οργανισμού.

Μοντέλο απειλής

Η ανάπτυξη ενός μοντέλου απειλών και ο εντοπισμός των τρωτών σημείων είναι άρρηκτα συνδεδεμένες με μια απογραφή του περιβάλλοντος των στοιχείων ενεργητικού του οργανισμού. Οι ίδιες οι πληροφορίες δεν αποθηκεύονται ούτε υποβάλλονται σε επεξεργασία. Η πρόσβαση σε αυτό παρέχεται χρησιμοποιώντας μια πληροφοριακή υποδομή που αυτοματοποιεί τις επιχειρηματικές διαδικασίες του οργανισμού. Είναι σημαντικό να κατανοήσουμε πώς η πληροφοριακή υποδομή και τα στοιχεία ενεργητικού ενός οργανισμού σχετίζονται μεταξύ τους. Από την άποψη της διαχείρισης της ασφάλειας των πληροφοριών, η σημασία της υποδομής πληροφοριών μπορεί να διαπιστωθεί μόνο αφού προσδιοριστεί η σχέση μεταξύ των στοιχείων ενεργητικού και της υποδομής των πληροφοριών. Εάν οι διαδικασίες για τη συντήρηση και τη λειτουργία της πληροφοριακής υποδομής σε έναν οργανισμό είναι ρυθμισμένες και διαφανείς, η συλλογή των πληροφοριών που είναι απαραίτητες για τον εντοπισμό απειλών και την αξιολόγηση των τρωτών σημείων απλοποιείται σημαντικά.

Η ανάπτυξη ενός μοντέλου απειλής είναι δουλειά για επαγγελματίες ασφάλειας πληροφοριών που έχουν καλή κατανόηση του τρόπου με τον οποίο ένας εισβολέας μπορεί να αποκτήσει μη εξουσιοδοτημένη πρόσβαση σε πληροφορίες παραβιάζοντας την περίμετρο ασφαλείας ή χρησιμοποιώντας μεθόδους κοινωνικής μηχανικής. Κατά την ανάπτυξη ενός μοντέλου απειλών, μπορείτε επίσης να μιλήσετε για σενάρια ως διαδοχικά βήματα σύμφωνα με τα οποία μπορούν να πραγματοποιηθούν οι απειλές. Πολύ σπάνια συμβαίνει οι απειλές να υλοποιούνται σε ένα βήμα με την εκμετάλλευση ενός μόνο ευάλωτου σημείου του συστήματος.

Το μοντέλο απειλών θα πρέπει να περιλαμβάνει όλες τις απειλές που εντοπίζονται μέσω σχετικών διαδικασιών διαχείρισης ασφάλειας πληροφοριών, όπως η διαχείριση ευπάθειας και συμβάντων. Πρέπει να θυμόμαστε ότι οι απειλές θα πρέπει να ταξινομηθούν μεταξύ τους ανάλογα με το επίπεδο πιθανότητας εφαρμογής τους. Για να γίνει αυτό, στη διαδικασία ανάπτυξης ενός μοντέλου απειλής για κάθε απειλή, είναι απαραίτητο να υποδειχθούν οι πιο σημαντικοί παράγοντες, η ύπαρξη των οποίων επηρεάζει την εφαρμογή της.

Αναγνώριση ευπάθειας

Αντίστοιχα, μετά την ανάπτυξη ενός μοντέλου απειλής, είναι απαραίτητο να εντοπιστούν τα τρωτά σημεία στο περιβάλλον του ενεργητικού. Ο εντοπισμός και η αξιολόγηση των τρωτών σημείων μπορεί να πραγματοποιηθεί ως μέρος μιας άλλης διαδικασίας διαχείρισης ασφάλειας πληροφοριών - ελέγχου. Εδώ δεν πρέπει να ξεχνάμε ότι για τη διενέργεια ελέγχου ασφάλειας πληροφοριών είναι απαραίτητο να αναπτυχθούν κριτήρια επαλήθευσης. Και τα κριτήρια επαλήθευσης μπορούν να αναπτυχθούν με βάση το μοντέλο απειλής και το μοντέλο εισβολέα.

Με βάση τα αποτελέσματα της ανάπτυξης ενός μοντέλου απειλής, ενός μοντέλου εισβολέα και του εντοπισμού τρωτών σημείων, μπορούμε να πούμε ότι έχουν εντοπιστεί οι λόγοι που επηρεάζουν την επίτευξη της κατάστασης στόχου της ασφάλειας πληροφοριών του οργανισμού.

Εκτίμηση κινδύνου

Προσδιορίστε και αξιολογήστε τα περιουσιακά στοιχεία, αναπτύξτε ένα μοντέλο αντιπάλου και ένα μοντέλο απειλής και εντοπίστε τρωτά σημεία - όλα αυτά είναι τυπικά βήματα που πρέπει να περιγράφονται σε οποιαδήποτε μεθοδολογία ανάλυσης κινδύνου. Όλα τα παραπάνω βήματα μπορούν να εκτελεστούν με διαφορετικά επίπεδα ποιότητας και λεπτομέρειας. Είναι πολύ σημαντικό να κατανοήσουμε τι και πώς μπορεί να γίνει με έναν τεράστιο όγκο συσσωρευμένων πληροφοριών και επισημοποιημένων μοντέλων. Κατά τη γνώμη μας, αυτό το ερώτημα είναι το πιο σημαντικό και η απάντηση σε αυτό θα πρέπει να δοθεί από τη μεθοδολογία ανάλυσης κινδύνου που χρησιμοποιείται.

Τα αποτελέσματα που λαμβάνονται πρέπει να αξιολογηθούν, να συγκεντρωθούν, να ταξινομηθούν και να εμφανιστούν. Δεδομένου ότι η ζημιά προσδιορίζεται στο στάδιο του προσδιορισμού και της εκτίμησης περιουσιακών στοιχείων, είναι απαραίτητο να εκτιμηθεί η πιθανότητα γεγονότων κινδύνου. Όπως και στην περίπτωση της αξιολόγησης περιουσιακών στοιχείων, μια εκτίμηση πιθανοτήτων μπορεί να ληφθεί με βάση στατιστικές για συμβάντα, οι αιτίες των οποίων συμπίπτουν με τις υπό εξέταση απειλές για την ασφάλεια των πληροφοριών, ή με τη μέθοδο πρόβλεψης - με βάση παράγοντες στάθμισης που αντιστοιχούν στο αναπτυγμένο μοντέλο απειλής.

Μια καλή πρακτική για την αξιολόγηση της πιθανότητας θα ήταν η ταξινόμηση των τρωτών σημείων σύμφωνα με ένα επιλεγμένο σύνολο παραγόντων που χαρακτηρίζουν την ευκολία εκμετάλλευσης των τρωτών σημείων. Η πρόβλεψη της πιθανότητας απειλών πραγματοποιείται με βάση τις ιδιότητες της ευπάθειας και τις ομάδες παραβατών από τις οποίες προέρχονται οι απειλές.

Ένα παράδειγμα συστήματος ταξινόμησης ευπάθειας είναι το πρότυπο CVSS - κοινό σύστημα βαθμολόγησης ευπάθειας. Θα πρέπει να σημειωθεί ότι στη διαδικασία εντοπισμού και αξιολόγησης τρωτών σημείων, είναι πολύ σημαντική η εμπειρία των ειδικών σε θέματα ασφάλειας πληροφοριών που εκτελούν αξιολογήσεις κινδύνου και το στατιστικό υλικό και οι αναφορές που χρησιμοποιούνται για τρωτά σημεία και απειλές στον τομέα της ασφάλειας πληροφοριών.

Το μέγεθος (επίπεδο) του κινδύνου θα πρέπει να προσδιορίζεται για όλα τα προσδιορισμένα και τα αντίστοιχα σύνολα περιουσιακών στοιχείων-απειλής. Επιπλέον, το ποσό της ζημίας και η πιθανότητα δεν χρειάζεται να εκφράζονται σε απόλυτους χρηματικούς όρους και ποσοστά. Επιπλέον, κατά κανόνα, δεν είναι δυνατή η παρουσίαση των αποτελεσμάτων σε αυτή τη μορφή. Ο λόγος για αυτό είναι οι μέθοδοι που χρησιμοποιούνται για την ανάλυση και την αξιολόγηση των κινδύνων ασφάλειας των πληροφοριών: ανάλυση σεναρίων και πρόβλεψη.

Λήψη απόφασης

Τι μπορείτε να κάνετε με το αποτέλεσμα της αξιολόγησης;

Πρώτα απ 'όλα, θα πρέπει να αναπτύξετε μια απλή και οπτική αναφορά ανάλυσης κινδύνου, ο κύριος σκοπός της οποίας θα είναι η παρουσίαση των συλλεγόμενων πληροφοριών σχετικά με τη σημασία και τη δομή των κινδύνων ασφάλειας πληροφοριών στον οργανισμό. Η έκθεση πρέπει να παρουσιάζεται στην ανώτερη διοίκηση του οργανισμού. Ένα συνηθισμένο λάθος είναι η παρουσίαση ενδιάμεσων αποτελεσμάτων στα ανώτερα στελέχη αντί για συμπεράσματα. Αναμφίβολα, όλα τα συμπεράσματα πρέπει να υποστηρίζονται με επιχειρήματα - όλοι οι ενδιάμεσοι υπολογισμοί πρέπει να επισυνάπτονται στην έκθεση.

Για λόγους σαφήνειας της αναφοράς, οι κίνδυνοι πρέπει να ταξινομούνται με επιχειρηματικούς όρους που είναι οικείοι στον οργανισμό και παρόμοιοι κίνδυνοι πρέπει να συγκεντρώνονται. Γενικά, η ταξινόμηση των κινδύνων μπορεί να είναι πολύπλευρη. Από τη μία πλευρά, μιλάμε για κινδύνους για την ασφάλεια των πληροφοριών, από την άλλη - για τους κινδύνους βλάβης στη φήμη ή απώλειας ενός πελάτη. Οι ταξινομημένοι κίνδυνοι πρέπει να ταξινομούνται σύμφωνα με την πιθανότητα εμφάνισής τους και τη σημασία τους για τον οργανισμό.

Η έκθεση ανάλυσης κινδύνου αντικατοπτρίζει τις ακόλουθες πληροφορίες:

• οι πιο προβληματικοί τομείς παροχής ασφάλειας πληροφοριών στον οργανισμό·
• ο αντίκτυπος των απειλών για την ασφάλεια των πληροφοριών στη συνολική δομή κινδύνου του οργανισμού·
• τομείς προτεραιότητας δραστηριότητας του τμήματος ασφάλειας πληροφοριών για τη βελτίωση της αποτελεσματικότητας της υποστήριξης ασφάλειας πληροφοριών.

Με βάση την έκθεση ανάλυσης κινδύνου, ο επικεφαλής του τμήματος ασφάλειας πληροφοριών μπορεί να αναπτύξει ένα πρόγραμμα εργασίας του τμήματος μεσοπρόθεσμα και να ορίσει έναν προϋπολογισμό με βάση τη φύση των δραστηριοτήτων που είναι απαραίτητες για τη μείωση των κινδύνων. Σημειώστε ότι μια σωστά συνταγμένη αναφορά ανάλυσης κινδύνου επιτρέπει στον επικεφαλής του τμήματος ασφάλειας πληροφοριών να βρει μια κοινή γλώσσα με την ανώτατη διοίκηση του οργανισμού και να λύσει πιεστικά προβλήματα που σχετίζονται με τη διαχείριση της ασφάλειας πληροφοριών (Εικ. 3).

Πολιτική αντιμετώπισης κινδύνου

Ένα πολύ σημαντικό θέμα είναι η πολιτική διαχείρισης κινδύνου του οργανισμού. Η πολιτική ορίζει τους κανόνες για την αντιμετώπιση του κινδύνου. Για παράδειγμα, η πολιτική μπορεί να λέει ότι οι κίνδυνοι φήμης θα πρέπει να μετριάζονται πρώτα, ενώ ο μετριασμός των κινδύνων μεσαίας σημασίας που δεν επιβεβαιώνονται από συμβάντα ασφάλειας πληροφοριών αναβάλλεται στο τέλος της ουράς. Οι πολιτικές διαχείρισης κινδύνου μπορεί να καθορίζονται από τη μονάδα διαχείρισης εταιρικού κινδύνου.

Μια πολιτική αντιμετώπισης κινδύνου μπορεί να εξηγήσει τα ζητήματα της ασφάλισης κινδύνου και της αναδιάρθρωσης των δραστηριοτήτων σε περίπτωση που οι πιθανοί κίνδυνοι υπερβούν ένα αποδεκτό επίπεδο. Εάν η πολιτική δεν έχει καθοριστεί, τότε η σειρά μείωσης του κινδύνου θα πρέπει να βασίζεται στην αρχή της μέγιστης αποτελεσματικότητας, αλλά θα πρέπει να καθορίζεται από τα ανώτερα στελέχη.

Ας το συνοψίσουμε

Η ανάλυση κινδύνου είναι μια διαδικασία αρκετά εντατικής εργασίας. Κατά τη διαδικασία ανάλυσης κινδύνου, θα πρέπει να χρησιμοποιούνται μεθοδολογικά υλικά και εργαλεία. Ωστόσο, αυτό δεν αρκεί για την επιτυχή εφαρμογή μιας επαναλαμβανόμενης διαδικασίας. Ένα άλλο σημαντικό στοιχείο είναι οι κανονισμοί διαχείρισης κινδύνου. Μπορεί να είναι αυτάρκης και να αντιμετωπίζει μόνο κινδύνους ασφάλειας πληροφοριών ή μπορεί να ενσωματωθεί στη συνολική διαδικασία διαχείρισης κινδύνων στον οργανισμό.

Η διαδικασία ανάλυσης κινδύνου περιλαμβάνει πολλά δομικά τμήματα του οργανισμού: τμήματα που οδηγούν τις κύριες κατευθύνσεις των δραστηριοτήτων του, το τμήμα διαχείρισης υποδομής πληροφοριών και το τμήμα διαχείρισης ασφάλειας πληροφοριών. Επιπλέον, για να διεξαχθεί με επιτυχία μια ανάλυση κινδύνου και να χρησιμοποιηθούν αποτελεσματικά τα αποτελέσματά της, είναι απαραίτητο να εμπλέκεται η ανώτατη διοίκηση του οργανισμού, διασφαλίζοντας έτσι την αλληλεπίδραση μεταξύ των δομικών τμημάτων.

Οι τεχνικές ανάλυσης κινδύνων ή τα εξειδικευμένα εργαλεία για την αξιολόγηση των κινδύνων ασφάλειας πληροφοριών από μόνα τους δεν αρκούν. Απαιτούνται διαδικασίες για τον εντοπισμό περιουσιακών στοιχείων, τον προσδιορισμό της σημασίας των περιουσιακών στοιχείων, την ανάπτυξη μοντέλων εισβολέων και απειλών, τον εντοπισμό τρωτών σημείων και τη συγκέντρωση και ταξινόμηση των κινδύνων. Σε διαφορετικούς οργανισμούς, όλες οι διαδικασίες που αναφέρονται ενδέχεται να διαφέρουν σημαντικά. Οι στόχοι και το εύρος της ανάλυσης κινδύνου ασφάλειας πληροφοριών επηρεάζουν επίσης τις απαιτήσεις για διαδικασίες που σχετίζονται με την ανάλυση κινδύνου.

Η χρήση της μεθόδου ανάλυσης κινδύνου για τη διαχείριση της ασφάλειας πληροφοριών απαιτεί από τον οργανισμό να έχει επαρκές επίπεδο ωριμότητας στο οποίο θα είναι δυνατή η εφαρμογή όλων των απαραίτητων διαδικασιών στο πλαίσιο της ανάλυσης κινδύνου.

Η διαχείριση κινδύνου σάς επιτρέπει να δομήσετε τις δραστηριότητες του τμήματος ασφάλειας πληροφοριών, να βρείτε μια κοινή γλώσσα με την ανώτατη διοίκηση του οργανισμού, να αξιολογήσετε την αποτελεσματικότητα του τμήματος ασφάλειας πληροφοριών και να αιτιολογήσετε αποφάσεις σχετικά με την επιλογή συγκεκριμένων τεχνικών και οργανωτικών μέτρων προστασίας στην ανώτατη διοίκηση .

Η διαδικασία ανάλυσης κινδύνου είναι συνεχής, καθώς οι στόχοι ανώτατου επιπέδου της ασφάλειας πληροφοριών μπορεί να παραμείνουν αμετάβλητοι για μεγάλο χρονικό διάστημα, αλλά η υποδομή πληροφοριών, οι μέθοδοι επεξεργασίας πληροφοριών και οι κίνδυνοι που σχετίζονται με τη χρήση της πληροφορικής αλλάζουν συνεχώς.

Το τμήμα ασφάλειας πληροφοριών και ο οργανισμός συνολικά, όταν δομεί τις δραστηριότητές του μέσω συνεχούς ανάλυσης κινδύνου, λαμβάνει τα ακόλουθα πολύ σημαντικά οφέλη:

• Προσδιορισμός των στόχων διαχείρισης·
• καθορισμός μεθόδων διαχείρισης·
• αποτελεσματικότητα διαχείρισης που βασίζεται στη λήψη ενημερωμένων και έγκαιρων αποφάσεων.

Υπάρχουν μερικά ακόμη σημεία που πρέπει να σημειωθούν σε σχέση με τη διαχείριση κινδύνων και τη διαχείριση της ασφάλειας πληροφοριών.

Η ανάλυση κινδύνου, η διαχείριση συμβάντων και ο έλεγχος ασφάλειας πληροφοριών είναι άρρηκτα συνδεδεμένες μεταξύ τους, αφού οι εισροές και οι έξοδοι των διαδικασιών που αναφέρονται είναι συνδεδεμένες. Η ανάπτυξη και η εφαρμογή της διαδικασίας διαχείρισης κινδύνου πρέπει να πραγματοποιείται με γνώμονα τη διαχείριση συμβάντων και τους ελέγχους IS.

Η καθιερωμένη διαδικασία ανάλυσης κινδύνου αποτελεί υποχρεωτική απαίτηση του προτύπου STO-BR IBBS-1.0-2006 για τη διασφάλιση της ασφάλειας των πληροφοριών στον τραπεζικό τομέα.

Η δημιουργία μιας διαδικασίας ανάλυσης κινδύνου είναι απαραίτητη για έναν οργανισμό εάν έχει αποφασίσει να υποβληθεί σε πιστοποίηση για συμμόρφωση με τις απαιτήσεις του διεθνούς προτύπου ISO/IEC 27001:2005.

Η θέσπιση καθεστώτος προστασίας εμπορικών μυστικών και προσωπικών δεδομένων είναι άρρηκτα συνδεδεμένη με την ανάλυση κινδύνου, καθώς όλες αυτές οι διαδικασίες χρησιμοποιούν παρόμοιες μεθόδους για τον εντοπισμό και την αξιολόγηση των περιουσιακών στοιχείων, την ανάπτυξη ενός μοντέλου εισβολέα και ενός μοντέλου απειλής.

Στην πράξη, χρησιμοποιούνται ποσοτικές και ποιοτικές προσεγγίσεις για την αξιολόγηση των κινδύνων για την ασφάλεια των πληροφοριών. Ποια είναι η διαφορά;

Ποσοτική μέθοδος

Η ποσοτική αξιολόγηση κινδύνων χρησιμοποιείται σε καταστάσεις όπου οι απειλές που μελετώνται και οι κίνδυνοι που συνδέονται με αυτές μπορούν να συγκριθούν με τελικές ποσοτικές αξίες που εκφράζονται σε χρήματα, τόκους, χρόνο, ανθρώπινους πόρους κ.λπ. Η μέθοδος σάς επιτρέπει να λαμβάνετε συγκεκριμένες τιμές αντικειμένων αξιολόγησης κινδύνου όταν πραγματοποιούνται απειλές για την ασφάλεια των πληροφοριών.

Στην ποσοτική προσέγγιση, σε όλα τα στοιχεία της αξιολόγησης κινδύνου αποδίδονται συγκεκριμένες και ρεαλιστικές ποσοτικές τιμές. Ο αλγόριθμος για τη λήψη αυτών των τιμών πρέπει να είναι σαφής και κατανοητός. Το αντικείμενο εκτίμησης μπορεί να είναι η αξία του περιουσιακού στοιχείου σε χρηματικούς όρους, η πιθανότητα πραγματοποίησης της απειλής, η ζημία από την απειλή, το κόστος των προστατευτικών μέτρων κ.λπ.

Πώς να αξιολογήσετε ποσοτικά τους κινδύνους;

1. Προσδιορίστε την αξία των στοιχείων ενεργητικού σε χρηματικούς όρους.

2. Εκτιμήστε ποσοτικά την πιθανή ζημιά από την υλοποίηση κάθε απειλής σε σχέση με κάθε πληροφοριακό στοιχείο.

Είναι απαραίτητο να λάβετε απαντήσεις στις ερωτήσεις «Ποιο μέρος της αξίας του περιουσιακού στοιχείου θα είναι η ζημιά από την υλοποίηση κάθε απειλής;», «Ποιο είναι το κόστος της ζημίας σε χρηματικούς όρους από ένα μεμονωμένο περιστατικό κατά την εφαρμογή της παρούσας απειλή για αυτό το περιουσιακό στοιχείο;»

3. Προσδιορίστε την πιθανότητα υλοποίησης καθεμιάς από τις απειλές για την ασφάλεια των πληροφοριών.

Για να το κάνετε αυτό, μπορείτε να χρησιμοποιήσετε στατιστικά δεδομένα, έρευνες εργαζομένων και ενδιαφερόμενων μερών. Κατά τη διαδικασία προσδιορισμού της πιθανότητας, υπολογίστε τη συχνότητα των συμβάντων που σχετίζονται με την εφαρμογή της θεωρούμενης απειλής για την ασφάλεια των πληροφοριών κατά την περίοδο ελέγχου (για παράδειγμα, ένα έτος).

4. Προσδιορίστε τη συνολική πιθανή ζημιά από κάθε απειλή σε σχέση με κάθε περιουσιακό στοιχείο κατά την περίοδο ελέγχου (ένα έτος).

Η τιμή υπολογίζεται πολλαπλασιάζοντας την εφάπαξ ζημιά από την απειλή με τη συχνότητα της απειλής.

5. Αναλύστε τα λαμβανόμενα δεδομένα ζημιών για κάθε απειλή.

Για κάθε απειλή, πρέπει να ληφθεί μια απόφαση: αποδεχτείτε τον κίνδυνο, μειώστε τον κίνδυνο ή μεταφέρετε τον κίνδυνο.

Η αποδοχή ενός κινδύνου σημαίνει να τον αναγνωρίζεις, να συμβιβάζεσαι με τη δυνατότητά του και να συνεχίζεις να ενεργείς όπως πριν. Ισχύει για απειλές με χαμηλή ζημιά και χαμηλή πιθανότητα εμφάνισης.

Μείωση του κινδύνου σημαίνει εισαγωγή πρόσθετων μέτρων και προστατευτικού εξοπλισμού, εκπαίδευση προσωπικού κ.λπ. Δηλαδή, εκούσια εργασία για τη μείωση του κινδύνου. Ταυτόχρονα, είναι απαραίτητο να αξιολογηθεί ποσοτικά η αποτελεσματικότητα των πρόσθετων μέτρων και μέσων προστασίας. Όλα τα έξοδα που επιβαρύνουν τον οργανισμό, από την αγορά προστατευτικού εξοπλισμού έως τη θέση σε λειτουργία (συμπεριλαμβανομένης της εγκατάστασης, διαμόρφωσης, εκπαίδευσης, συντήρησης κ.λπ.), δεν πρέπει να υπερβαίνουν το ποσό της ζημιάς από την απειλή.

Η μεταφορά κινδύνου σημαίνει μετατόπιση των συνεπειών του κινδύνου σε τρίτους, για παράδειγμα, μέσω ασφάλισης.

Ως αποτέλεσμα της ποσοτικής αξιολόγησης κινδύνου, θα πρέπει να καθοριστούν τα ακόλουθα:

• την αξία των περιουσιακών στοιχείων σε νομισματικούς όρους·
• μια πλήρη λίστα όλων των απειλών για την ασφάλεια των πληροφοριών με ζημιές από ένα μεμονωμένο περιστατικό για κάθε απειλή·
• συχνότητα υλοποίησης κάθε απειλής·
• πιθανή ζημιά από κάθε απειλή·
• Συνιστώμενα μέτρα ασφαλείας, αντίμετρα και ενέργειες για κάθε απειλή.

Ποσοτική ανάλυση κινδύνου ασφάλειας πληροφοριών (παράδειγμα)

Ας εξετάσουμε την τεχνική χρησιμοποιώντας το παράδειγμα του διακομιστή ιστού ενός οργανισμού, ο οποίος χρησιμοποιείται για την πώληση ενός συγκεκριμένου προϊόντος. Ποσοτικός κάποτε πρινη ζημιά από μια αστοχία διακομιστή μπορεί να εκτιμηθεί ως το γινόμενο της μέσης απόδειξης αγοράς και του μέσου αριθμού αιτημάτων για ένα ορισμένο χρονικό διάστημα, ίσο με το χρόνο διακοπής λειτουργίας του διακομιστή. Ας υποθέσουμε ότι το κόστος μιας εφάπαξ ζημιάς από μια άμεση αποτυχία διακομιστή θα είναι 100 χιλιάδες ρούβλια.

Τώρα είναι απαραίτητο να αξιολογηθεί με εξειδικευμένα μέσα πόσο συχνά μπορεί να προκύψει μια τέτοια κατάσταση (λαμβάνοντας υπόψη την ένταση λειτουργίας, την ποιότητα της παροχής ρεύματος κ.λπ.). Για παράδειγμα, λαμβάνοντας υπόψη τη γνώμη των ειδικών και τις στατιστικές πληροφορίες, κατανοούμε ότι ένας διακομιστής μπορεί να αποτύχει έως και 2 φορές το χρόνο.

Πολλαπλασιάζοντας αυτές τις δύο ποσότητες, παίρνουμε αυτό μέσο ετήσιοη ζημιά από την απειλή άμεσης αποτυχίας διακομιστή ανέρχεται σε 200 χιλιάδες ρούβλια ετησίως.

Αυτοί οι υπολογισμοί μπορούν να χρησιμοποιηθούν για να δικαιολογήσουν την επιλογή των προστατευτικών μέτρων. Για παράδειγμα, η εφαρμογή ενός συστήματος αδιάλειπτης τροφοδοσίας και ενός εφεδρικού συστήματος με συνολικό κόστος 100 χιλιάδες ρούβλια ετησίως θα ελαχιστοποιήσει τον κίνδυνο αποτυχίας του διακομιστή και θα είναι μια απολύτως αποτελεσματική λύση.

Ποιοτική μέθοδος

Δυστυχώς, δεν είναι πάντα δυνατό να ληφθεί μια συγκεκριμένη έκφραση του αντικειμένου αξιολόγησης λόγω μεγάλης αβεβαιότητας. Πώς να αξιολογήσετε με ακρίβεια τη ζημιά στη φήμη μιας εταιρείας όταν εμφανίζονται πληροφορίες σχετικά με ένα περιστατικό ασφάλειας πληροφοριών; Σε αυτή την περίπτωση, χρησιμοποιείται μια ποιοτική μέθοδος.

Η ποιοτική προσέγγιση δεν χρησιμοποιεί ποσοτικές ή χρηματικές εκφράσεις για το αντικείμενο που αξιολογείται. Αντίθετα, στο αντικείμενο της αξιολόγησης εκχωρείται ένας δείκτης που κατατάσσεται σε κλίμακα τριών βαθμών (χαμηλή, μεσαία, υψηλή), πέντε βαθμών ή δέκα βαθμών (0... 10). Για τη συλλογή δεδομένων για ποιοτική αξιολόγηση κινδύνου, χρησιμοποιούνται έρευνες ομάδων-στόχων, συνεντεύξεις, ερωτηματολόγια και προσωπικές συναντήσεις.

Η ανάλυση κινδύνου για την ασφάλεια των πληροφοριών με χρήση ποιοτικής μεθόδου θα πρέπει να πραγματοποιείται με τη συμμετοχή υπαλλήλων με εμπειρία και ικανότητα στον τομέα στον οποίο εξετάζονται οι απειλές.

Πώς να κάνετε μια καλή αξιολόγηση κινδύνου:

1. Προσδιορίστε την αξία των στοιχείων ενεργητικού.

Η αξία ενός περιουσιακού στοιχείου μπορεί να προσδιοριστεί από το επίπεδο κρισιμότητας (συνέπειες) εάν παραβιαστούν τα χαρακτηριστικά ασφαλείας (εμπιστευτικότητα, ακεραιότητα, διαθεσιμότητα) ενός περιουσιακού στοιχείου πληροφοριών.

2. Προσδιορίστε την πιθανότητα εμφάνισης μιας απειλής σε σχέση με ένα περιουσιακό στοιχείο πληροφοριών.

Για την αξιολόγηση της πιθανότητας υλοποίησης μιας απειλής, μπορεί να χρησιμοποιηθεί μια ποιοτική κλίμακα τριών επιπέδων (χαμηλή, μεσαία, υψηλή).

3. Προσδιορίστε το επίπεδο δυνατότητας επιτυχούς υλοποίησης της απειλής, λαμβάνοντας υπόψη την τρέχουσα κατάσταση ασφάλειας των πληροφοριών, τα εφαρμοσμένα μέτρα και τα μέσα προστασίας.

Για την αξιολόγηση του επιπέδου πιθανότητας υλοποίησης μιας απειλής, μπορεί επίσης να χρησιμοποιηθεί μια ποιοτική κλίμακα τριών επιπέδων (χαμηλή, μεσαία, υψηλή). Η τιμή σκοπιμότητας της απειλής υποδεικνύει πόσο εφικτό είναι να εκτελεστεί με επιτυχία η απειλή.

4. Εξάγετε ένα συμπέρασμα σχετικά με το επίπεδο κινδύνου με βάση την αξία του περιουσιακού στοιχείου πληροφοριών, την πιθανότητα να πραγματοποιηθεί η απειλή και την πιθανότητα να πραγματοποιηθεί η απειλή.

Για να προσδιορίσετε το επίπεδο κινδύνου, μπορείτε να χρησιμοποιήσετε μια κλίμακα πέντε ή δέκα βαθμών. Κατά τον προσδιορισμό του επιπέδου κινδύνου, μπορείτε να χρησιμοποιήσετε πίνακες αναφοράς που παρέχουν κατανόηση του ποιοι συνδυασμοί δεικτών (τιμή, πιθανότητα, ευκαιρία) οδηγούν σε ποιο επίπεδο κινδύνου.

5. Αναλύστε τα δεδομένα που ελήφθησαν για κάθε απειλή και το επίπεδο κινδύνου που ελήφθη για αυτήν.

Συχνά η ομάδα ανάλυσης κινδύνου χρησιμοποιεί την έννοια του «αποδεκτού επιπέδου κινδύνου». Αυτό είναι το επίπεδο κινδύνου που η εταιρεία είναι διατεθειμένη να αποδεχθεί (αν η απειλή έχει επίπεδο κινδύνου μικρότερο ή ίσο με το αποδεκτό, τότε δεν θεωρείται σχετικό). Το παγκόσμιο καθήκον σε μια ποιοτική αξιολόγηση είναι η μείωση των κινδύνων σε ένα αποδεκτό επίπεδο.

6. Αναπτύξτε μέτρα ασφαλείας, αντίμετρα και ενέργειες για κάθε τρέχουσα απειλή για τη μείωση του επιπέδου κινδύνου.

Ποια μέθοδο να επιλέξετε;

Ο στόχος και των δύο μεθόδων είναι να κατανοήσουν τους πραγματικούς κινδύνους της ασφάλειας πληροφοριών μιας εταιρείας, να καθορίσουν μια λίστα με τις τρέχουσες απειλές και να επιλέξουν αποτελεσματικά αντίμετρα και μέσα προστασίας. Κάθε μέθοδος αξιολόγησης κινδύνου έχει τα δικά της πλεονεκτήματα και μειονεκτήματα.

Η ποσοτική μέθοδος παρέχει μια οπτική αναπαράσταση σε χρηματικούς όρους των αντικειμένων αξιολόγησης (ζημία, κόστος), αλλά είναι πιο εντατική και σε ορισμένες περιπτώσεις δεν εφαρμόζεται.

Η ποιοτική μέθοδος σάς επιτρέπει να πραγματοποιείτε μια αξιολόγηση κινδύνου πιο γρήγορα, αλλά οι αξιολογήσεις και τα αποτελέσματα είναι πιο υποκειμενικά και δεν παρέχουν σαφή κατανόηση της ζημίας, του κόστους και των οφελών από την εφαρμογή της ασφάλειας πληροφοριών.

Η επιλογή της μεθόδου θα πρέπει να γίνεται με βάση τις ιδιαιτερότητες μιας συγκεκριμένης εταιρείας και τα καθήκοντα που έχουν ανατεθεί στον ειδικό.

Stanislav Shilyaev, διευθυντής έργου ασφάλειας πληροφοριών στην SKB Kontur

Οι κίνδυνοι πληροφοριών είναι ο κίνδυνος απώλειας ή ζημιάς ως αποτέλεσμα της χρήσης της τεχνολογίας των πληροφοριών από μια εταιρεία.

Με άλλα λόγια, οι κίνδυνοι πληροφορικής συνδέονται με τη δημιουργία, μετάδοση, αποθήκευση και χρήση πληροφοριών με χρήση ηλεκτρονικών μέσων και άλλων μέσων επικοινωνίας. Οι κίνδυνοι χωρίζονται σε δύο κατηγορίες:

• ? κινδύνους που προκαλούνται από διαρροή πληροφοριών και χρήση από ανταγωνιστές ή υπαλλήλους για σκοπούς που θα μπορούσαν να βλάψουν την επιχείρηση·
• ? κίνδυνοι τεχνικών βλαβών στη λειτουργία των καναλιών μετάδοσης πληροφοριών, που μπορεί να οδηγήσουν σε απώλειες.

Η εργασία για την ελαχιστοποίηση των κινδύνων πληροφορικής περιλαμβάνει την αποτροπή μη εξουσιοδοτημένης πρόσβασης σε δεδομένα, καθώς και ατυχημάτων και αστοχιών εξοπλισμού.

Η διαδικασία ελαχιστοποίησης των κινδύνων πληροφορικής εξετάζεται διεξοδικά: πρώτα, εντοπίζονται πιθανά προβλήματα και στη συνέχεια καθορίζεται με ποιους τρόπους μπορούν να επιλυθούν.

Σήμερα, χρησιμοποιούνται διάφορες μέθοδοι για την αξιολόγηση και τη διαχείριση των κινδύνων πληροφοριών των εγχώριων εταιρειών.

Μια αξιολόγηση των κινδύνων πληροφοριών μιας εταιρείας μπορεί να πραγματοποιηθεί σύμφωνα με το ακόλουθο σχέδιο:

• ? προσδιορισμός και ποσοτική αξιολόγηση των πόρων πληροφοριών της εταιρείας που είναι σημαντικοί για τις επιχειρήσεις·
• ? αξιολόγηση πιθανών απειλών·
• ? αξιολόγηση των υφιστάμενων τρωτών σημείων·
• ? αξιολόγηση της αποτελεσματικότητας των μέσων ασφάλειας πληροφοριών.

Οι κίνδυνοι χαρακτηρίζουν τον κίνδυνο που μπορεί να απειλήσει τα στοιχεία ενός εταιρικού πληροφοριακού συστήματος.

Οι κίνδυνοι πληροφόρησης μιας εταιρείας εξαρτώνται από:

• ? δείκτες της αξίας των πόρων πληροφοριών·
• ? την πιθανότητα πραγματοποίησης απειλών για τους πόρους·
• ? την αποτελεσματικότητα των υφιστάμενων ή προγραμματισμένων μέσων ασφάλειας πληροφοριών.

Ο σκοπός της αξιολόγησης κινδύνου είναι να προσδιορίσει τα χαρακτηριστικά κινδύνου ενός εταιρικού συστήματος πληροφοριών και τους πόρους του.

Αφού αξιολογήσετε τους κινδύνους, μπορείτε να επιλέξετε εργαλεία που παρέχουν το επιθυμητό επίπεδο ασφάλειας πληροφοριών για την εταιρεία. Κατά την αξιολόγηση των κινδύνων, λαμβάνονται υπόψη παράγοντες όπως η αξία των πόρων, η σημασία των απειλών και των τρωτών σημείων και η αποτελεσματικότητα των υφιστάμενων και προγραμματισμένων μέσων προστασίας.

Η πιθανότητα υλοποίησης μιας απειλής για έναν συγκεκριμένο πόρο της εταιρείας αξιολογείται από την πιθανότητα υλοποίησής της μέσα σε μια δεδομένη χρονική περίοδο. Στην περίπτωση αυτή, η πιθανότητα να πραγματοποιηθεί η απειλή καθορίζεται από τους ακόλουθους κύριους παράγοντες:

• ? ελκυστικότητα του πόρου (λαμβάνεται υπόψη κατά την εξέταση της απειλής από σκόπιμη ανθρώπινη επιρροή)·
• ? την ικανότητα χρήσης του πόρου για τη δημιουργία εισοδήματος (επίσης σε περίπτωση απειλής από σκόπιμη ανθρώπινη επιρροή)·
• ? τεχνικές δυνατότητες για την εφαρμογή απειλής με σκόπιμη ανθρώπινη επιρροή·
• ? ο βαθμός ευκολίας με τον οποίο μπορεί να γίνει εκμετάλλευση μιας ευπάθειας.

Στη Ρωσία, επί του παρόντος χρησιμοποιούνται συχνότερα μια ποικιλία μεθόδων "χάρτου", τα πλεονεκτήματα των οποίων είναι η ευελιξία και η προσαρμοστικότητα. Κατά κανόνα, η ανάπτυξη αυτών των μεθόδων πραγματοποιείται από εταιρείες - συστήματα και εξειδικευμένους ολοκληρωτές στον τομέα της ασφάλειας πληροφοριών.

Το εξειδικευμένο λογισμικό που εφαρμόζει τεχνικές ανάλυσης κινδύνου μπορεί να ταξινομηθεί ως προϊόντα λογισμικού (διαθέσιμα στην αγορά) ή να είναι ιδιοκτησία τμήματος ή οργανισμού και όχι προς πώληση.

Εάν το λογισμικό αναπτύσσεται ως προϊόν λογισμικού, πρέπει να είναι επαρκώς καθολικό. Οι επιλογές λογισμικού του τμήματος είναι προσαρμοσμένες στις ιδιαιτερότητες των δηλώσεων προβλημάτων για ανάλυση και διαχείριση κινδύνου και σας επιτρέπουν να λάβετε υπόψη τις ιδιαιτερότητες των τεχνολογιών πληροφοριών του οργανισμού.

Το λογισμικό που προσφέρεται στην αγορά επικεντρώνεται κυρίως σε ένα επίπεδο ασφάλειας πληροφοριών που είναι ελαφρώς υψηλότερο από το βασικό επίπεδο ασφάλειας. Έτσι, η εργαλειοθήκη έχει σχεδιαστεί κυρίως για τις ανάγκες οργανισμών 3-4 βαθμών ωριμότητας, που περιγράφονται στο πρώτο κεφάλαιο.

Για την επίλυση αυτού του προβλήματος, αναπτύχθηκαν συστήματα λογισμικού για την ανάλυση και τον έλεγχο κινδύνων πληροφοριών: CRAMM, FRAP, RiskWatch, Microsoft, GRIF. Ακολουθούν σύντομες περιγραφές ορισμένων κοινών τεχνικών ανάλυσης κινδύνου.

Κοινές τεχνικές ανάλυσης κινδύνου:

• ? τεχνικές που χρησιμοποιούν αξιολόγηση κινδύνου σε ποιοτικό επίπεδο (για παράδειγμα, σε μια κλίμακα «υψηλού», «μέσου», «χαμηλού»). Τέτοιες τεχνικές, ειδικότερα, περιλαμβάνουν το FRAP.
• ? ποσοτικές μέθοδοι (ο κίνδυνος εκτιμάται μέσω μιας αριθμητικής τιμής, για παράδειγμα το μέγεθος των αναμενόμενων ετήσιων ζημιών). Η μεθοδολογία RiskWatch ανήκει σε αυτήν την κατηγορία.
• ? μεθόδους που χρησιμοποιούν μικτές αξιολογήσεις (αυτή η προσέγγιση χρησιμοποιείται σε μεθόδους CRAMM, Microsoft, κ.λπ.).

Η τεχνική CRAMM είναι ένα από τα πρώτα ξένα έργα για την ανάλυση κινδύνου στον τομέα της ασφάλειας πληροφοριών, που αναπτύχθηκε τη δεκαετία του '80.

Βασίζεται σε μια ολοκληρωμένη προσέγγιση για την αξιολόγηση κινδύνου, που συνδυάζει ποσοτικές και ποιοτικές μεθόδους ανάλυσης. Η μέθοδος είναι καθολική και κατάλληλη τόσο για μεγάλους όσο και για μικρούς οργανισμούς, τόσο για κυβερνητικούς όσο και για εμπορικούς τομείς. Οι εκδόσεις του λογισμικού CRAMM που απευθύνονται σε διαφορετικούς τύπους οργανισμών διαφέρουν μεταξύ τους ως προς τις βάσεις γνώσεων (προφίλ):

• ? εμπορικό προφίλ?
• ? κυβερνητικό προφίλ.

Όταν λειτουργεί η μεθοδολογία, στα πρώτα στάδια, λαμβάνεται υπόψη η αξία των πόρων του υπό μελέτη συστήματος και συλλέγονται πρωτογενείς πληροφορίες σχετικά με τη διαμόρφωση του συστήματος. Πραγματοποιείται αναγνώριση των πόρων: φυσικοί, λογισμικό και πληροφορίες που περιέχονται εντός των ορίων του συστήματος.

Το αποτέλεσμα αυτού του σταδίου είναι η κατασκευή ενός μοντέλου συστήματος με ένα δέντρο σύνδεσης πόρων. Αυτό το διάγραμμα σάς επιτρέπει να επισημάνετε κρίσιμα στοιχεία. Η αξία των φυσικών πόρων στο CRAMM καθορίζεται από το κόστος της αποκατάστασής τους σε περίπτωση καταστροφής.

Η αξία των δεδομένων και του λογισμικού προσδιορίζεται στις ακόλουθες περιπτώσεις:

• ? μη διαθεσιμότητα ενός πόρου για ορισμένο χρονικό διάστημα·
• ? καταστροφή πόρων - απώλεια πληροφοριών που ελήφθησαν από το τελευταίο αντίγραφο ασφαλείας ή πλήρης καταστροφή τους.
• ? παραβίαση του απορρήτου σε περιπτώσεις μη εξουσιοδοτημένης πρόσβασης από μέλη του προσωπικού ή μη εξουσιοδοτημένα άτομα·
• ? τροποποίηση - εξετάζεται για περιπτώσεις δευτερευόντων σφαλμάτων προσωπικού (σφάλματα εισαγωγής), σφαλμάτων λογισμικού, εσκεμμένων σφαλμάτων.
• ? σφάλματα που σχετίζονται με τη μεταφορά πληροφοριών: άρνηση παράδοσης, μη παράδοση πληροφοριών, παράδοση σε λάθος διεύθυνση.

• ? βλάβη στη φήμη του οργανισμού·
• ? παραβίαση της ισχύουσας νομοθεσίας ·
• ? βλάβη στην υγεία του προσωπικού·
• ? ζημιά λόγω αποκάλυψης προσωπικών δεδομένων ατόμων·
• ? οικονομικές ζημίες από την αποκάλυψη πληροφοριών·
• ? οικονομικές απώλειες που σχετίζονται με την ανάκτηση πόρων·
• ? ζημίες που σχετίζονται με την αδυναμία εκπλήρωσης των υποχρεώσεων·
• ? αποδιοργάνωση δραστηριοτήτων.

Το δεύτερο στάδιο εξετάζει όλα όσα σχετίζονται με τον εντοπισμό και την αξιολόγηση των επιπέδων απειλών για ομάδες πόρων και τα τρωτά σημεία τους. Στο τέλος του σταδίου, ο πελάτης λαμβάνει προσδιορισμένα και αξιολογημένα επίπεδα κινδύνου για το σύστημά του. Σε αυτό το στάδιο, αξιολογείται η εξάρτηση των υπηρεσιών χρηστών από ορισμένες ομάδες πόρων και το υπάρχον επίπεδο απειλών και τρωτών σημείων, υπολογίζονται τα επίπεδα κινδύνου και αναλύονται τα αποτελέσματα.

Οι πόροι ομαδοποιούνται κατά τύπο απειλών και ευπάθειας. Το λογισμικό CRAMM δημιουργεί μια λίστα ερωτήσεων ανοιχτού τύπου για κάθε ομάδα πόρων και καθένα από τους 36 τύπους απειλών.

Το επίπεδο απειλής αξιολογείται, ανάλογα με τις απαντήσεις, ως πολύ υψηλό, υψηλό, μεσαίο, χαμηλό και πολύ χαμηλό. Το επίπεδο ευπάθειας αξιολογείται, ανάλογα με τις απαντήσεις, ως υψηλό, μεσαίο και χαμηλό.

Με βάση αυτές τις πληροφορίες, τα επίπεδα κινδύνου υπολογίζονται σε μια διακριτή κλίμακα με διαβαθμίσεις από το 1 έως το 7. Τα προκύπτοντα επίπεδα απειλών, τρωτών σημείων και κινδύνων αναλύονται και συμφωνούνται με τον πελάτη.

Η βασική προσέγγιση για την επίλυση αυτού του προβλήματος είναι να εξετάσουμε:

• ? επίπεδο απειλής·
• ? επίπεδο ευπάθειας·
• ? το ποσό των αναμενόμενων οικονομικών ζημιών.

Με βάση τις εκτιμήσεις του κόστους των πόρων της προστατευόμενης ΠΕ, τις εκτιμήσεις απειλών και τρωτών σημείων, προσδιορίζονται οι «αναμενόμενες ετήσιες απώλειες».

Το τρίτο στάδιο της μελέτης είναι η αναζήτηση μιας επιλογής συστήματος ασφαλείας που ανταποκρίνεται καλύτερα στις απαιτήσεις του πελάτη.

Σε αυτό το στάδιο, το CRAMM δημιουργεί διάφορες επιλογές για αντίμετρα που είναι κατάλληλα για τους εντοπισθέντες κινδύνους και τα επίπεδά τους.

Έτσι, το CRAMM είναι ένα παράδειγμα μιας μεθοδολογίας υπολογισμού στην οποία οι αρχικές αξιολογήσεις δίνονται σε ποιοτικό επίπεδο και στη συνέχεια γίνεται μια μετάβαση σε μια ποσοτική αξιολόγηση (σε μονάδες).

Η εργασία με τη μέθοδο CRAMM πραγματοποιείται σε τρία στάδια, καθένα από τα οποία επιδιώκει τον δικό του στόχο για τη δημιουργία ενός μοντέλου κινδύνου για το πληροφοριακό σύστημα στο σύνολό του. Εξετάζονται απειλές για το σύστημα για συγκεκριμένους πόρους. Μια ανάλυση τόσο του λογισμικού όσο και της τεχνικής κατάστασης του συστήματος πραγματοποιείται σε κάθε βήμα Με τη δημιουργία ενός δέντρου εξάρτησης στο σύστημα, μπορείτε να δείτε τα αδύνατα σημεία του και να αποτρέψετε την απώλεια πληροφοριών ως αποτέλεσμα της κατάρρευσης του συστήματος, και τα δύο λόγω. σε επίθεση ιού και απειλές χάκερ.

Μειονεκτήματα της μεθόδου CRAMM:

• ? Η χρήση της μεθόδου CRAMM απαιτεί ειδική εκπαίδευση και υψηλά προσόντα του ελεγκτή.
• ? Το CRAMM είναι πολύ πιο κατάλληλο για έλεγχο υφιστάμενων πληροφοριακών συστημάτων στο επιχειρησιακό στάδιο παρά για πληροφοριακά συστήματα υπό ανάπτυξη.
• ? Ο έλεγχος με τη μέθοδο CRAMM είναι μια διαδικασία αρκετά εντατικής εργασίας και μπορεί να απαιτεί μήνες συνεχούς εργασίας από τον ελεγκτή.
• ? Τα εργαλεία λογισμικού CRAMM παράγουν μεγάλο όγκο έντυπης τεκμηρίωσης, η οποία δεν είναι πάντα χρήσιμη στην πράξη.
• ? Το CRAMM δεν σας επιτρέπει να δημιουργήσετε τα δικά σας πρότυπα αναφορών ή να τροποποιήσετε τα υπάρχοντα.
• ? η δυνατότητα να γίνουν προσθήκες στη βάση γνώσεων CRAMM δεν είναι διαθέσιμη στους χρήστες, γεγονός που προκαλεί ορισμένες δυσκολίες στην προσαρμογή αυτής της μεθόδου στις ανάγκες ενός συγκεκριμένου οργανισμού.
• ? Το λογισμικό CRAMM είναι διαθέσιμο μόνο στα Αγγλικά.
• ? υψηλό κόστος άδειας.

Για να επιλέξετε τις απαραίτητες μεθόδους προστασίας IP, πρέπει να εφαρμόσετε μια συστηματική προσέγγιση. Πρώτα πρέπει να πραγματοποιήσετε μια ανάλυση των τρωτών σημείων και των απειλών ασφαλείας. Η διαδικασία ανάλυσης περιλαμβάνει:

• Ανάλυση επιλύσιμων απωλειών λόγω συγκεκριμένης τεχνολογίας AIS
• Επιθεώρηση πιθανών απειλών και τρωτών σημείων του συστήματος που θα μπορούσαν να οδηγήσουν σε πιθανές απώλειες
• Επιλογή βέλτιστων μεθόδων προστασίας από άποψη τιμής/ποιότητας, με ταυτόχρονη μείωση του κινδύνου σε συγκεκριμένο επίπεδο

Η ανάλυση τρωτότητας και κινδύνου μπορεί να πραγματοποιηθεί στους ακόλουθους τομείς:

• Αντικείμενα IP
• Διαδικασίες, διαδικασίες και λογισμικό επεξεργασίας δεδομένων
• Για κανάλια επικοινωνίας
• Για ψευδείς εκπομπές

Συχνά συμβαίνει ότι η ανάλυση ολόκληρης της δομής του IS από οικονομική άποψη δεν δικαιολογείται, επομένως, είναι ευκολότερο να δοθεί προσοχή σε κρίσιμους κόμβους, λαμβάνοντας υπόψη την αξιολόγηση κινδύνου. Η προστασία της πνευματικής ιδιοκτησίας πρέπει πάντα να λαμβάνει υπόψη τα συμφέροντα της επιχείρησης.

Θέματα που πρέπει να ληφθούν υπόψη κατά την ανάλυση της ασφάλειας IP:

• Αξία - τι πρέπει να προστατεύεται
• Διορθωτικά μέτρα - ποιες ενέργειες χρειάζονται
• Απειλές - η πιθανότητα μιας απειλής να επηρεάσει τον βαθμό προστασίας
• Αντίκτυπος - συνέπειες μετά την πραγματοποίηση της απειλής
• Κίνδυνος - επαναξιολόγηση της απειλής με εφαρμοσμένη προστασία
• Η συνέπεια είναι το αποτέλεσμα της απειλής που εφαρμόζεται.

Το μέτρο κινδύνου μπορεί να αναπαρασταθεί με τους ακόλουθους όρους. Ποσοτικός- νομισματικές απώλειες. Ποιότητα— κλίμακα κατάταξης. μονοδιάστατη— μέγεθος απώλειας * συχνότητα απώλειας. Πολυδιάστατο— περιλαμβάνει στοιχεία αξιοπιστίας, απόδοσης και ασφάλειας.

Διαχείριση κινδύνου

Εκτίμηση κινδύνου ως μέρος της ασφάλειας πληροφοριών - διαχείριση κινδύνωνουσιαστικά ένας τεράστιος μηχανισμός στη δημιουργία προστασίας. Για την αποτελεσματική εφαρμογή ενός τέτοιου μηχανισμού, είναι απαραίτητο να εφαρμοστούν ορισμένες απαιτήσεις, για παράδειγμα, να περάσουμε από τις ποιοτικές έννοιες στις ποσοτικές. Για παράδειγμα: η απόκτηση πρόσβασης σε κρίσιμες πληροφορίες θα οδηγήσει την επιχείρηση σε απώλεια - αυτή είναι μια ποιοτική έννοια και "η πρόσβαση σε κρίσιμες πληροφορίες θα απαιτήσει πληρωμή ενός ποσού σε n 1 ανταγωνιστές, n 2 πελάτες κ.λπ.". ποσοτική έννοια.

Διαχείριση κινδύνου- τη διαδικασία υλοποίησης ανάλυσης και αξιολόγησης, μείωσης ή ανακατεύθυνσης του κινδύνου, όπου η διαδικασία κινδύνου πρέπει να απαντήσει στα ακόλουθα ερωτήματα:

• Τι θα μπορούσε να συμβεί;
• Αν συμβεί αυτό, ποια θα είναι η ζημιά;
• πόσο συχνά μπορεί να συμβεί αυτό;
• Πόσο σίγουροι είμαστε για τις απαντήσεις στα παραπάνω ερωτήματα; (πιθανότητα)
• Πόσο θα κοστίσει η εξάλειψη ή η μείωση του;

Πληροφοριακό στοιχείο- ένα σύνολο δεδομένων που είναι απαραίτητα για τη λειτουργία της επιχείρησης και μπορεί να περιλαμβάνει μικρότερα σύνολα. Η αξιολόγηση πρέπει να αναλύει τις πληροφορίες χωριστά από τα φυσικά μέσα. Κατά την εκτίμηση του κόστους της ζημιάς, λαμβάνονται υπόψη οι ακόλουθες πτυχές:

• τιμή αντικατάστασης πληροφοριών
• τιμή αντικατάστασης λογισμικού
• το κόστος παραβίασης της ακεραιότητας, της εμπιστευτικότητας και της διαθεσιμότητας

Τεχνικές εκτίμησης κινδύνου

Η τυπική προσέγγιση διαχείρισης κινδύνου είναι η εξής:

• ορισμός της πολιτικής διαχείρισης κινδύνου
• τον εντοπισμό εργαζομένων που θα διαχειρίζονται την αξιολόγηση και την ανάλυση κινδύνου
• καθορίζει τη μεθοδολογία και τα μέσα βάσει των οποίων θα πραγματοποιηθεί η ανάλυση κινδύνου
• Προσδιορισμός και μέτρηση κινδύνου
• Καθορισμός ορίων ανοχής κινδύνου
• παρακολούθηση του έργου της διαχείρισης κινδύνων

Τρεις μέθοδοι αξιολόγησης κινδύνου θα συζητηθούν εδώ, αυτές είναι μοντέλο ποιοτικής αξιολόγησης, μοντέλο ποσοτικού κινδύνου, Το μοντέλο γενικευμένης αξίας του Miora.

Μοντέλο Ποιοτικής Αξιολόγησης

Ποιοτική αξιολόγησηπαραδοσιακά καταλήγει στην εφαρμογή του πίνακα που φαίνεται στο σχήμα 1. Ο πίνακας είναι γεμάτος με διαφορετικές εκδόσεις περιουσιακών στοιχείων πληροφοριών ή οποιεσδήποτε πληροφορίες. Τα θετικά στοιχεία αυτού του μοντέλου είναι:

• Οι υπολογισμοί απλοποιούνται και επιταχύνονται.
• Δεν χρειάζεται να δοθεί χρηματική αξία στο περιουσιακό στοιχείο.
• Η αποτελεσματικότητα δεν χρειάζεται να ταιριάζει με τα σχετικά μέτρα.
• Δεν χρειάζεται να υπολογιστεί η συχνότητα της ακριβούς έκτασης της ζημιάς και της εκδήλωσης της απειλής.

Αρνητικές παράμετροι είναι η υποκειμενικότητα της προσέγγισης και η έλλειψη ακριβούς αντιστοίχισης του κόστους με τις απειλές.

Εικόνα 1

Μοντέλο ποσοτικού κινδύνου

Αυτό το μοντέλο κάνει τις ακόλουθες υποθέσεις:

• Ετήσια συχνότητα συμβάντων, πιθανότητα πρόκλησης ζημιάς. ARO.
• Η αναμενόμενη ζημιά μονάδας είναι το κόστος της ζημιάς από μια επιτυχημένη επίθεση. ΣΕΛ
• Αναμενόμενη ετήσια ζημιά - ALE = ARO * SLE;

SLE = AV * EF, όπου το AV είναι η αξία του ενεργητικού και το EF είναι ο παράγοντας αντίκτυπου. Αυτό είναι το ποσό της ζημιάς από 0 έως 100%. Αυτό είναι το μέρος της τιμής όπου χάνεται το αποτέλεσμα του συμβάντος. Το επόμενο ερώτημα είναι ο προσδιορισμός της αξίας των περιουσιακών στοιχείων. Είναι απτά και άυλα. Τα υλικά είναι εργαλεία συντήρησης πληροφορικής - υλικό/δίκτυο κ.λπ. Η τιμή τέτοιων περιουσιακών στοιχείων είναι εύκολο να υπολογιστεί. Η τιμή των άυλων περιουσιακών στοιχείων λαμβάνει υπόψη δύο τύπους κόστους: το κόστος για παραβίαση της ακεραιότητας/εμπιστευτικότητας/διαθεσιμότητας και το κόστος για την αποκατάσταση/αντικατάσταση λογισμικού ή δεδομένων. Είναι απαραίτητο να δημιουργηθεί ένα κανάλι μεταξύ της ευπάθειας, των επιπτώσεων και της απειλής για το περιουσιακό στοιχείο. Αυτό φαίνεται στο Σχ. 2.

Εικόνα 2

Μοντέλο Miora (GCC)

Αυτό το μοντέλο εφαρμόζεται ως εναλλακτική λύση στο μοντέλο ποσοτικού κινδύνου για τη διευκόλυνση και τη βελτίωση των υπολογισμών και των υπολογισμών. Αυτό το μοντέλο δεν λαμβάνει υπόψη την πιθανότητα καταστροφικών γεγονότων, λαμβάνει υπόψη την έννοια της ζημιάς στο χρόνο διακοπής λειτουργίας ως μέσου χρόνου μετά την έναρξη του συμβάντος. Το οποίο με τη σειρά του λύνει εν μέρει.

Ακολουθεί η παραδοσιακή μεθοδολογία για την οργάνωση εργαλείων διαχείρισης κινδύνου:

• Διευκρίνιση της πολιτικής διαχείρισης κινδύνου που εφαρμόζεται σε γενικά αποδεκτές έννοιες εφαρμογής ασφάλειας πληροφοριών (GASSP), η οποία θα πρέπει να περιγραφεί στο. Η πολιτική αποφεύγει μια υποκειμενική προσέγγιση.
• Είναι απαραίτητο να οριστεί προσωπικό που θα ασχοληθεί με αυτό το θέμα και το τμήμα χρειάζεται χρηματοδότηση. Είναι επίσης δυνατή η εκπαίδευση προσωπικού σε ορισμένους τομείς.
• Η επιλογή και τα μέσα με τα οποία εφαρμόζεται η αξιολόγηση κινδύνου.
• Προσδιορισμός και μείωση του κινδύνου. Στο πρώτο στάδιο, πρέπει να προσδιορίσετε το εύρος της εργασίας που έχει απειλές.
• Καθορισμός κριτηρίων για αποδεκτούς κινδύνους. Για παράδειγμα, ο απαράδεκτος κίνδυνος για το ισοδύναμο των 100.000 $ είναι 3/100.
• Οι απαράδεκτοι κίνδυνοι πρέπει να μειωθούν. Πρέπει να επιλέξετε ένα προϊόν μείωσης κινδύνου και να περιγράψετε την αξιολόγηση της αποτελεσματικότητας του προϊόντος.
• Είναι απαραίτητο να παρακολουθείτε περιοδικά τον κίνδυνο. Προκειμένου να τα εντοπίσουμε έγκαιρα και να τα περιορίσουμε ή να τα εξαλείψουμε.

Είναι γνωστό ότι κίνδυνος είναι η πιθανότητα εμφάνισης απειλής για την ασφάλεια των πληροφοριών. Κατά την κλασική άποψη, η αξιολόγηση κινδύνου περιλαμβάνει αξιολόγηση απειλών, τρωτών σημείων και ζημιών που προκαλούνται από την εφαρμογή τους. Η ανάλυση κινδύνου συνίσταται στη μοντελοποίηση του τρόπου εμφάνισης αυτών των πιο δυσμενών συνθηκών λαμβάνοντας υπόψη όλους τους πιθανούς παράγοντες που καθορίζουν τον κίνδυνο ως τέτοιο. Από μαθηματική άποψη, κατά την ανάλυση των κινδύνων, τέτοιοι παράγοντες μπορούν να θεωρηθούν ως παράμετροι εισόδου.

Ας παραθέσουμε αυτές τις παραμέτρους:
1) περιουσιακά στοιχεία - βασικά στοιχεία της υποδομής του συστήματος που εμπλέκονται στην επιχειρηματική διαδικασία και έχουν μια ορισμένη αξία.
2) απειλές, η εφαρμογή των οποίων είναι δυνατή μέσω της εκμετάλλευσης μιας ευπάθειας.
3) τρωτά σημεία - αδυναμία στα μέτρα ασφαλείας που προκαλούνται από σφάλματα ή ατέλειες στις διαδικασίες, το σχεδιασμό, την υλοποίηση, τα οποία μπορούν να χρησιμοποιηθούν για τη διείσδυση στο σύστημα.
4) ζημιά που εκτιμάται λαμβάνοντας υπόψη το κόστος επαναφοράς του συστήματος στην αρχική του κατάσταση μετά από ένα πιθανό περιστατικό ασφάλειας πληροφοριών.

Έτσι, το πρώτο βήμα για τη διεξαγωγή της πολυπαραγοντικής ανάλυσης κινδύνου είναι ο προσδιορισμός και η ταξινόμηση των αναλυόμενων παραμέτρων εισόδου. Στη συνέχεια, είναι απαραίτητο να βαθμολογηθεί κάθε παράμετρος σύμφωνα με τα επίπεδα σημαντικότητας (για παράδειγμα: υψηλό, μεσαίο, χαμηλό). Στο τελικό στάδιο της μοντελοποίησης πιθανών κινδύνων (που προηγείται της λήψης αριθμητικών δεδομένων για το επίπεδο κινδύνου), οι εντοπισμένες απειλές και τρωτά σημεία συνδέονται με συγκεκριμένα στοιχεία της υποδομής πληροφορικής (μια τέτοια σύνδεση μπορεί να συνεπάγεται, για παράδειγμα, ανάλυση κινδύνου με και χωρίς λαμβάνοντας υπόψη τη διαθεσιμότητα των μέτρων ασφαλείας του συστήματος, την πιθανότητα ότι το σύστημα θα παραβιαστεί λόγω απροσδιόριστων παραγόντων, κ.λπ.). Ας ρίξουμε μια ματιά βήμα προς βήμα στη διαδικασία μοντελοποίησης κινδύνου. Για να γίνει αυτό, πρώτα απ 'όλα, ας δώσουμε προσοχή στα περιουσιακά στοιχεία της εταιρείας.

Απογραφή περιουσιακών στοιχείων της εταιρείας
(ΧΑΡΑΚΤΗΡΙΣΜΟΣ ΣΥΣΤΗΜΑΤΟΣ)

Πρώτα απ 'όλα, είναι απαραίτητο να προσδιοριστεί ποιο είναι ένα πολύτιμο περιουσιακό στοιχείο της εταιρείας από την άποψη της ασφάλειας των πληροφοριών. Το πρότυπο ISO 17799, το οποίο περιγράφει λεπτομερώς τις διαδικασίες του συστήματος διαχείρισης ασφάλειας πληροφοριών, διακρίνει τους ακόλουθους τύπους περιουσιακών στοιχείων:
. Πηγές πληροφοριών (βάσεις δεδομένων και αρχεία, συμβάσεις και συμφωνίες, τεκμηρίωση συστήματος, ερευνητικές πληροφορίες, τεκμηρίωση, εκπαιδευτικό υλικό κ.λπ.)
. λογισμικό;
. ενσώματα περιουσιακά στοιχεία (εξοπλισμός ηλεκτρονικών υπολογιστών, τηλεπικοινωνίες κ.λπ.)·
. υπηρεσίες (τηλεπικοινωνιακές υπηρεσίες, συστήματα υποστήριξης ζωής κ.λπ.)·
. τους εργαζόμενους της εταιρείας, τα προσόντα και την εμπειρία τους·
. άυλους πόρους (φήμη και εικόνα της εταιρείας).

Είναι απαραίτητο να καθοριστεί ποιες παραβιάσεις της ασφάλειας των πληροφοριών για ποια περιουσιακά στοιχεία θα μπορούσαν να προκαλέσουν ζημιά στην εταιρεία. Σε αυτή την περίπτωση, το περιουσιακό στοιχείο θα θεωρείται πολύτιμο και θα πρέπει να λαμβάνεται υπόψη κατά την ανάλυση των κινδύνων πληροφοριών. Το απόθεμα αποτελείται από τη σύνταξη λίστας με τα πολύτιμα περιουσιακά στοιχεία της εταιρείας. Συνήθως, αυτή η διαδικασία πραγματοποιείται από ιδιοκτήτες περιουσιακών στοιχείων. Η έννοια του «ιδιοκτήτη» ορίζει τα πρόσωπα ή τα μέρη που έχουν αρμοδιότητες, εγκεκριμένες από τη διοίκηση της εταιρείας, να διαχειρίζονται τη δημιουργία, ανάπτυξη, συντήρηση, χρήση και προστασία περιουσιακών στοιχείων.

Κατά τη διαδικασία κατηγοριοποίησης των περιουσιακών στοιχείων, είναι απαραίτητο να αξιολογηθεί η κρισιμότητα των περιουσιακών στοιχείων για τις επιχειρηματικές διαδικασίες της εταιρείας ή, με άλλα λόγια, να προσδιοριστεί τι ζημιά θα υποστεί η εταιρεία σε περίπτωση παραβίασης της ασφάλειας πληροφοριών των περιουσιακών στοιχείων. Αυτή η διαδικασία είναι η πιο δύσκολη γιατί... η αξία των περιουσιακών στοιχείων καθορίζεται με βάση τις εκτιμήσεις εμπειρογνωμόνων των ιδιοκτητών τους. Κατά τη διάρκεια αυτής της φάσης, συχνά γίνονται συζητήσεις μεταξύ των συμβούλων σχεδιασμού του συστήματος διαχείρισης και των ιδιοκτητών περιουσιακών στοιχείων. Αυτό βοηθά τους κατόχους περιουσιακών στοιχείων να κατανοήσουν πώς να προσδιορίζουν την αξία των περιουσιακών στοιχείων από την άποψη της ασφάλειας πληροφοριών (συνήθως, η διαδικασία προσδιορισμού της κρισιμότητας των περιουσιακών στοιχείων είναι νέα και μη τετριμμένη για τον ιδιοκτήτη). Επιπλέον, αναπτύσσονται διάφορες τεχνικές αποτίμησης για ιδιοκτήτες περιουσιακών στοιχείων. Ειδικότερα, τέτοιες μέθοδοι μπορεί να περιέχουν συγκεκριμένα κριτήρια (σχετικά για μια δεδομένη εταιρεία) που θα πρέπει να λαμβάνονται υπόψη κατά την αξιολόγηση της κρισιμότητας.

Αξιολόγηση κρισιμότητας περιουσιακών στοιχείων

Η κρισιμότητα του ενεργητικού αξιολογείται με βάση τρεις παραμέτρους: εμπιστευτικότητα, ακεραιότητα και διαθεσιμότητα. Εκείνοι. θα πρέπει να αξιολογηθεί η ζημία που θα υποστεί η εταιρεία εάν τεθεί σε κίνδυνο η εμπιστευτικότητα, η ακεραιότητα ή η διαθεσιμότητα των περιουσιακών στοιχείων. Η αξιολόγηση της κρισιμότητας των περιουσιακών στοιχείων μπορεί να γίνει σε νομισματικές μονάδες και σε επίπεδα. Ωστόσο, δεδομένου του γεγονότος ότι η ανάλυση των κινδύνων πληροφοριών απαιτεί αξίες σε νομισματικές μονάδες, στην περίπτωση αξιολόγησης της κρισιμότητας των περιουσιακών στοιχείων σε επίπεδα, είναι απαραίτητο να προσδιοριστεί η αξιολόγηση κάθε επιπέδου σε χρήμα.

Σύμφωνα με την έγκυρη ταξινόμηση NIST που περιλαμβάνεται στον ΟΔΗΓΟ ΔΙΑΧΕΙΡΙΣΗΣ ΚΙΝΔΥΝΩΝ ΓΙΑ ΤΑ ΣΥΣΤΗΜΑΤΑ ΠΛΗΡΟΦΟΡΙΚΗΣ ΤΕΧΝΟΛΟΓΙΑΣ, της κατηγοριοποίησης και της αξιολόγησης των απειλών προηγείται ο άμεσος προσδιορισμός των πηγών τους. Έτσι, σύμφωνα με την παραπάνω ταξινόμηση, μπορούν να εντοπιστούν οι κύριες πηγές απειλών, όπως:
. απειλές φυσικής προέλευσης (σεισμοί, πλημμύρες κ.λπ.)·
. απειλές που προέρχονται από ανθρώπους (μη εξουσιοδοτημένη πρόσβαση, επιθέσεις δικτύου, σφάλματα χρήστη κ.λπ.)
. απειλές ανθρωπογενούς προέλευσης (ατυχήματα διαφόρων ειδών, διακοπές ρεύματος, χημική ρύπανση κ.λπ.).

Η παραπάνω ταξινόμηση μπορεί να κατηγοριοποιηθεί περαιτέρω με περισσότερες λεπτομέρειες.
Έτσι, σύμφωνα με την αναφερόμενη ταξινόμηση NIST, ανεξάρτητες κατηγορίες πηγών απειλών που προέρχονται από τον άνθρωπο περιλαμβάνουν:
- χάκερ?
- εγκληματικές δομές.
- τρομοκράτες·
- εταιρείες που ασχολούνται με βιομηχανική κατασκοπεία·
- μυημένους.
Κάθε μία από τις απαριθμούμενες απειλές, με τη σειρά της, πρέπει να είναι λεπτομερής και να αξιολογείται σε μια κλίμακα σπουδαιότητας (για παράδειγμα: χαμηλή, μεσαία, υψηλή).

Προφανώς, η ανάλυση απειλών πρέπει να εξετάζεται σε στενή σχέση με τα τρωτά σημεία του συστήματος που μελετάμε. Το καθήκον αυτού του σταδίου διαχείρισης κινδύνων είναι να συντάξει μια λίστα με πιθανά τρωτά σημεία του συστήματος και να κατηγοριοποιήσει αυτά τα τρωτά σημεία λαμβάνοντας υπόψη την «ισχύ» τους. Έτσι, σύμφωνα με την παγκόσμια πρακτική, η διαβάθμιση των τρωτών σημείων μπορεί να χωριστεί σε επίπεδα: Κρίσιμο, Υψηλό, Μεσαίο, Χαμηλό. Ας δούμε αυτά τα επίπεδα με περισσότερες λεπτομέρειες:

1. Κρίσιμο επίπεδο κινδύνου. Αυτό το επίπεδο κινδύνου περιλαμβάνει ευπάθειες που επιτρέπουν τον απομακρυσμένο συμβιβασμό ενός συστήματος χωρίς πρόσθετη επιρροή από τον χρήστη-στόχο και επί του παρόντος υφίστανται ενεργή εκμετάλλευση. Αυτό το επίπεδο κινδύνου υποδηλώνει ότι το exploit είναι δημόσια διαθέσιμο.

2. Υψηλός βαθμός επικινδυνότητας. Αυτό το επίπεδο κινδύνου περιλαμβάνει τρωτά σημεία που επιτρέπουν τον απομακρυσμένο συμβιβασμό του συστήματος. Κατά κανόνα, δεν υπάρχει δημόσια διαθέσιμη εκμετάλλευση για τέτοια τρωτά σημεία.

3. Μέτριος βαθμός επικινδυνότητας. Αυτό το επίπεδο σοβαρότητας περιλαμβάνει ευπάθειες που επιτρέπουν απομακρυσμένη άρνηση υπηρεσίας, μη εξουσιοδοτημένη πρόσβαση σε δεδομένα ή εκτέλεση αυθαίρετου κώδικα μέσω άμεσης αλληλεπίδρασης με τον χρήστη (για παράδειγμα, μέσω μιας ευάλωτης εφαρμογής που συνδέεται με έναν κακόβουλο διακομιστή).

4. Χαμηλό επίπεδο κινδύνου. Αυτό το επίπεδο περιλαμβάνει όλες τις τοπικά εκμεταλλεύσιμες ευπάθειες, καθώς και τις ευπάθειες που είναι δύσκολο να αξιοποιηθούν ή που έχουν ελάχιστο αντίκτυπο (για παράδειγμα, XSS, άρνηση υπηρεσίας εφαρμογής πελάτη).

Η πηγή για τη σύνταξη μιας τέτοιας λίστας/καταλόγου τρωτών σημείων θα πρέπει να είναι:
. δημόσιες, τακτικά δημοσιευμένες λίστες τρωτών σημείων (για παράδειγμα: www.securitylab.ru).
. μια λίστα ευπαθειών που δημοσιεύτηκε από τον κατασκευαστή του λογισμικού (για παράδειγμα: www.apache.org).
. αποτελέσματα δοκιμής διείσδυσης (για παράδειγμα: www.site-sec.com).
. ανάλυση των αναφορών σαρωτή ευπάθειας (που διενεργείται από τον διαχειριστή ασφαλείας εντός της εταιρείας).

Γενικά, τα τρωτά σημεία μπορούν να ταξινομηθούν ως εξής:
. Ευπάθειες λειτουργικού συστήματος και λογισμικού (λάθη κώδικα) που ανακαλύφθηκαν από τον κατασκευαστή ή ανεξάρτητους εμπειρογνώμονες (κατά τη στιγμή της σύνταξης, ο συνολικός αριθμός των ευπαθειών που εντοπίστηκαν έφτασε περίπου τα ~1900 - σε αυτά περιλαμβάνονται ευπάθειες που δημοσιεύτηκαν στα "ίχνη σφαλμάτων" στο xakep.ru, securitylab, milw0rm .com και securityfocus .com).
. Ευπάθειες συστήματος που σχετίζονται με σφάλματα διαχείρισης (ακατάλληλες ρυθμίσεις διακομιστή ιστού ή PHP για το περιβάλλον, θύρες με ευάλωτες υπηρεσίες που δεν έχουν κλείσει από το τείχος προστασίας κ.λπ.).
. Τρωτά σημεία, πηγές των οποίων μπορεί να είναι συμβάντα που δεν καλύπτονται από την πολιτική ασφαλείας, καθώς και φυσικά γεγονότα. Ένα χαρακτηριστικό παράδειγμα μιας κοινής ευπάθειας λειτουργικού συστήματος και λογισμικού είναι η υπερχείλιση του buffer. Παρεμπιπτόντως, η συντριπτική πλειονότητα των υπαρχόντων εκμεταλλεύσεων εφαρμόζει μια κατηγορία τρωτών σημείων υπερχείλισης buffer.

Αριθμητικές μέθοδοι εκτίμησης κινδύνου

Η απλούστερη εκτίμηση των κινδύνων πληροφοριών περιλαμβάνει τον υπολογισμό των κινδύνων, ο οποίος εκτελείται λαμβάνοντας υπόψη πληροφορίες σχετικά με την κρισιμότητα των περιουσιακών στοιχείων, καθώς και την πιθανότητα να γίνουν αντιληπτά τα τρωτά σημεία.
Κλασική φόρμουλα εκτίμησης κινδύνου:
R=D*P(V), όπου R είναι ο κίνδυνος πληροφοριών.
D - κρισιμότητα περιουσιακών στοιχείων (ζημία).
P(V) - πιθανότητα υλοποίησης ευπάθειας.
Ένα παράδειγμα πρακτικής εφαρμογής της παραπάνω προσέγγισης για τον προσδιορισμό των επιπέδων κινδύνου είναι ο πίνακας κινδύνου που προτείνεται από το NIST.

Κάθε μία από τις πιθανές παραμέτρους εισόδου (για παράδειγμα, ευπάθεια, απειλή, περιουσιακό στοιχείο και ζημιά) περιγράφεται από τη συνάρτηση μέλους λαμβάνοντας υπόψη τον αντίστοιχο συντελεστή.

Εκτίμηση κινδύνου με βάση τη ασαφή λογική

Οι μηχανισμοί εκτίμησης κινδύνου που βασίζονται στη ασαφή λογική περιλαμβάνουν μια ακολουθία σταδίων, καθένα από τα οποία χρησιμοποιεί τα αποτελέσματα του προηγούμενου σταδίου. Η ακολουθία αυτών των σταδίων είναι συνήθως η εξής:
. Εισαγωγή κανόνων προγραμματισμού με τη μορφή κανόνων παραγωγής («ΑΝ,… ΤΟΤΕ»), που αντικατοπτρίζουν τη σχέση μεταξύ του επιπέδου των δεδομένων εισόδου και του επιπέδου κινδύνου στην έξοδο.
. Ρύθμιση της συνάρτησης μέλους των μεταβλητών εισόδου (για παράδειγμα - χρησιμοποιώντας εξειδικευμένα προγράμματα όπως το "Fuzyy logic" - σε αυτό το παράδειγμα χρησιμοποιήσαμε το MatLab).
. Λήψη του πρωτογενούς αποτελέσματος των εκτιμήσεων των μεταβλητών εισόδου.
. Σταδοποίηση εκτιμήσεων μεταβλητών εισόδου (εύρεση συγκεκριμένων τιμών συναρτήσεων μέλους).
. Συνάθροιση (συνεπάγεται τον έλεγχο της αλήθειας των συνθηκών μετασχηματίζοντας τις συναρτήσεις μέλους μέσω ασαφούς συνδέσμου και ασαφούς διαχωρισμού).
. Ενεργοποίηση συμπερασμάτων (εύρεση συντελεστών βαρύτητας για κάθε έναν από τους κανόνες και τις συναρτήσεις αλήθειας).
. Συσσώρευση συμπερασμάτων (εύρεση της συνάρτησης μέλους για καθεμία από τις μεταβλητές εξόδου).
. Αποασαφοποίηση (εύρεση καθαρών τιμών μεταβλητών εξόδου).

Έτσι, στο παραπάνω παράδειγμα (Πίνακας 1.1.), εξετάστηκε στην πραγματικότητα ένας αλγόριθμος εκτίμησης κινδύνου δύο παραμέτρων με κλίμακες τριών επιπέδων παραμέτρων εισόδου. Σε αυτή την περίπτωση:
. για τις ποσότητες εισροών και τον κίνδυνο, καθορίστηκαν κλίμακες τριών επιπέδων στις οποίες ορίστηκαν ασαφείς όροι (που αντιστοιχούν σε τιμές "υψηλές", "μεσαίες" και "χαμηλές" των μεταβλητών - βλ. Εικ. 1).
. η σημασία όλων των κανόνων λογικής εξαγωγής είναι η ίδια (όλοι οι συντελεστές στάθμισης των κανόνων παραγωγής είναι ίσοι με ένα).

Ρύζι. 1. Τραπεζοειδείς συναρτήσεις ιδιότητας μέλους κλίμακας τριών επιπέδων «τρωτότητας».

Είναι προφανές ότι ένας αλγόριθμος δύο παραμέτρων που περιλαμβάνει την εισαγωγή δύο μεταβλητών εισόδου δεν μπορεί να παράσχει ένα αντικειμενικό αποτέλεσμα της ανάλυσης κινδύνου, ιδίως λαμβάνοντας υπόψη πολλούς παράγοντες - μεταβλητές εισόδου, οι οποίες, παρεμπιπτόντως, αντικατοπτρίζουν την πραγματική εικόνα της αξιολόγησης κινδύνου ασφάλειας πληροφοριών .

Αλγόριθμος τεσσάρων παραμέτρων

Ας υποθέσουμε ότι, χρησιμοποιώντας τους κανόνες παραγωγής της ασαφούς λογικής, είναι απαραίτητο να αναπαραχθεί ο μηχανισμός συμπερασμάτων, λαμβάνοντας υπόψη τέσσερις μεταβλητές εισόδου. Τέτοιες μεταβλητές σε αυτή την περίπτωση είναι:
. ακίνητη περιουσία;
. τρωτό;
. απειλή (ή μάλλον, η πιθανότητα της).
. βλάβη.

Κάθε μία από τις αναφερόμενες μεταβλητές εισόδου αξιολογείται στη δική της κλίμακα. Λοιπόν, ας υποθέσουμε ότι, με βάση μια προκαταρκτική ανάλυση, ελήφθησαν ορισμένες εκτιμήσεις των μεταβλητών εισόδου (Εικ. 2.):

Ρύζι. 2. Εισαγωγή μεταβλητών εκτιμήσεων και μηχανισμός παραγωγής

Χρησιμοποιώντας ένα απλό παράδειγμα, ας εξετάσουμε τον τύπο των κανόνων παραγωγής για μια συγκεκριμένη περίπτωση με μια κλίμακα τριών επιπέδων:

Ρύζι. 3. Κανόνες παραγωγής του αλγορίθμου τεσσάρων παραμέτρων

Σε αυτήν την περίπτωση, η γραφική διεπαφή Fuzzy Logic Toolbox σάς επιτρέπει να προβάλλετε γραφήματα της εξάρτησης του κινδύνου από την πιθανότητα μιας απειλής και, κατά συνέπεια, άλλες μεταβλητές εισόδου.

Εικ.4. Εξάρτηση κινδύνου από την πιθανότητα απειλής

Ρύζι. 5. Εξάρτηση κινδύνου από ζημιά

Ένα ομαλό και μονότονο γράφημα της εξάρτησης της «καμπύλης συμπερασμάτων» υποδεικνύει την επάρκεια και τη συνέπεια των κανόνων συμπερασμάτων που χρησιμοποιούνται. Μια σαφής γραφική αναπαράσταση σάς επιτρέπει να αξιολογήσετε την επάρκεια των ιδιοτήτων του μηχανισμού εξόδου για την κάλυψη των απαιτήσεων. Σε αυτή την περίπτωση, η "καμπύλη συμπερασμάτων" υποδεικνύει ότι ο μηχανισμός εξαγωγής συμπεράσματος συνιστάται να χρησιμοποιείται μόνο στην περιοχή τιμών χαμηλών πιθανοτήτων, δηλ. αν η πιθανότητα είναι μικρότερη από 0,5. Πώς μπορεί κανείς να εξηγήσει ένα τέτοιο «μπλοκάρισμα» σε τιμές με πιθανότητα μεγαλύτερη από 0,5; Πιθανώς επειδή η χρήση μιας κλίμακας τριών επιπέδων, κατά κανόνα, επηρεάζει την ευαισθησία του αλγορίθμου στην περιοχή των τιμών υψηλών πιθανοτήτων.

Ανασκόπηση ορισμένων εργαλείων ανάλυσης κινδύνου πολλαπλών παραγόντων

Κατά την εκτέλεση μιας πλήρους ανάλυσης κινδύνου, λαμβάνοντας υπόψη πολλούς παράγοντες, υπάρχει μια σειρά από περίπλοκα προβλήματα προς επίλυση:
. Πώς να προσδιορίσετε την αξία των πόρων;
. Πώς να συντάξετε μια πλήρη λίστα απειλών για την ασφάλεια των πληροφοριών και να αξιολογήσετε τις παραμέτρους τους;
. Πώς να επιλέξετε τα σωστά αντίμετρα και να αξιολογήσετε την αποτελεσματικότητά τους;
Για την επίλυση αυτών των προβλημάτων, υπάρχουν ειδικά ανεπτυγμένα εργαλεία που έχουν κατασκευαστεί με τη χρήση δομικών μεθόδων ανάλυσης και σχεδίασης συστημάτων (SSADM - Structured Systems Analysis and Design), τα οποία παρέχουν:
- κατασκευή ενός μοντέλου IS από την άποψη του IS.
- μέθοδοι για την αξιολόγηση της αξίας των πόρων.
- εργαλεία για τη σύνταξη λίστας απειλών και την αξιολόγηση της πιθανότητάς τους.
- επιλογή αντιμέτρων και ανάλυση της αποτελεσματικότητάς τους.
- ανάλυση επιλογών για την κατασκευή προστασίας.
- τεκμηρίωση (δημιουργία αναφορών).
Υπάρχουν επί του παρόντος αρκετά προϊόντα λογισμικού αυτής της κατηγορίας στην αγορά. Το πιο δημοφιλές από αυτά είναι το CRAMM. Ας το δούμε εν συντομία παρακάτω.

Μέθοδος CRAMM

Το 1985, η Υπηρεσία Υπολογιστών και Τηλεπικοινωνιών του Ηνωμένου Βασιλείου (CCTA) άρχισε να ερευνά τις υπάρχουσες τεχνικές ανάλυσης ασφάλειας πληροφοριών για να προτείνει μεθόδους κατάλληλες για χρήση σε κρατικές υπηρεσίες που χειρίζονται μη διαβαθμισμένες αλλά ευαίσθητες πληροφορίες. Καμία από τις μεθόδους που θεωρήθηκαν δεν λειτούργησε. Ως εκ τούτου, αναπτύχθηκε μια νέα μέθοδος για την κάλυψη των απαιτήσεων CCTA. Ονομάζεται CRAMM - CCTA Risk Analysis and Control Method. Στη συνέχεια εμφανίστηκαν διάφορες εκδόσεις της μεθόδου, επικεντρωμένες στις απαιτήσεις του Υπουργείου Άμυνας, των πολιτικών κρατικών υπηρεσιών, των χρηματοπιστωτικών ιδρυμάτων και των ιδιωτικών οργανισμών. Μία από τις εκδόσεις - "εμπορικό προφίλ" - είναι ένα εμπορικό προϊόν. Επί του παρόντος, το CRAMM είναι, κρίνοντας από τον αριθμό των συνδέσμων στο Διαδίκτυο, η πιο κοινή μέθοδος ανάλυσης και ελέγχου κινδύνου. Η ανάλυση κινδύνου περιλαμβάνει τον εντοπισμό και τον υπολογισμό των επιπέδων κινδύνου (μέτρα) με βάση τις βαθμολογίες που αποδίδονται στους πόρους, τις απειλές και τα τρωτά σημεία των πόρων. Ο έλεγχος κινδύνου συνίσταται στον εντοπισμό και την επιλογή αντιμέτρων για τη μείωση των κινδύνων σε ένα αποδεκτό επίπεδο. Μια επίσημη μέθοδος που βασίζεται σε αυτήν την έννοια θα πρέπει να διασφαλίζει ότι η προστασία καλύπτει ολόκληρο το σύστημα και υπάρχει βεβαιότητα ότι:

Όλοι οι πιθανοί κίνδυνοι έχουν εντοπιστεί.
. Τα τρωτά σημεία των πόρων εντοπίζονται και τα επίπεδά τους αξιολογούνται.
. εντοπίζονται οι απειλές και αξιολογούνται τα επίπεδά τους·
. τα αντίμετρα είναι αποτελεσματικά.
. το κόστος που συνδέεται με την ασφάλεια των πληροφοριών είναι δικαιολογημένο.

Oleg Boytsev, επικεφαλής του "Cerber Security // Ανάλυση ασφάλειας του ιστότοπού σας"