Процесс оценки рисков

РефератПомощь в написанииУзнать стоимостьмоей работы

Для определения вероятности будущих нежелательных событий угрозы для ИТ системы должны быть рассмотрены вместе с потенциальными уязвимостями и привязаны к местоположению в ИТ системе. Влияние связано с величиной ущерба, который может быть вызван угрозой, реализующей уязвимость. Уровень влияния определяется потенциальными предназначениями влияния, и ему присваивается отдельное значение для ИТ… Читать ещё >

Процесс оценки рисков (реферат, курсовая, диплом, контрольная)

Оценка рискаосновной процесс в методологии управления риском. Риск является функцией вероятности того, что данный источник угроз осуществит частную потенциальную уязвимость, и результирующего влияния нежелательного события на организацию.

Взаимоотношения между компонентами оценки риска представлены на рис. 1.8.

Общая оценка риска включает в себя следующие шаги:

1) Характеристика системы;
2) Идентификация угроз;
3) Идентификация уязвимостей;
4) Анализ средств защиты;
5) Определение вероятностей;
6) Анализ влияния;
7) Определение риска;
8) Рекомендации по средствам защиты;
9) Результирующая документация.

Характеристика системы. Она включает в себя описание системы, системных компонентов, элементов системы, пользователей. В нее также включают расположение частей, организации, основные информационные потоки, классификацию информации и другую необходимую информацию, которая может использоваться на следующих шагах.

Идентификация угроз. Источник угроз — это или намеренное и методическое исследование цели в поисках уязвимостей, или ситуация и метод, которые случайно приводят к уязвимости.

Источник угроз определяет как любое обстоятельство или событие, которые потенциально могут нанести ущерб ИТ системе. рис (1.9).

Для определения системных уязвимостей рекомендуется использование источника угроз, результатов тестирования системой безопасности, разработку контрольного списка требования по безопасности.

Типы уязвимостей и методологии их определения обычно зависят от природы ИТ системы и фазы ее жизненного цикла:

1) Если ИТ система еще не спроецирована, то поиск уязвимостей концентрируется на организационной ПБ, планируемых процедурах безопасности, определение системных требований и анализе документов поставщиков продуктов безопасности;
2) Если ИТ система уже применяется, то идентификация должна быть расширена для включения дополнительной информации, например, как соответствие свойств безопасности, описанных в документации по безопасности, результатам сертификационных тестов и испытаний;
3) Если ИТ система функционирует, то процесс идентификации уязвимостей должен включать в себя анализ свойств безопасности ИТ системы контроля безопасности (технического и процедурного), используемого для защиты системы.

Источники и описание угроз.

Идентификация уязвимостей. Технические и нетехнические уязвимости, ассоциированные с оборудованием системы технологий сбора информации. Другими существенными источниками данных уязвимостям является Интернет. Часто в сети разработчиками публикуются известные системные уязвимости вместе со средствами их устранения.

Могут применятся и другие документированные источники, например:

1) Результаты предыдущих оценок риска;
2) Оценки аудита ИТ системы;
3) Списки уязвимостей;
4) Информационные бюллетени по безопасности;
5) Информационные бюллетени изготовителей;
6) Коммерческие компании;
7) Анализ безопасности системного ПО;
8) Тестирование системной безопасности.

Для оценки реального наличия уязвимостей могут применять методы тестирования, для идентификации системных уязвимостей в зависимости от критичности ИТ систем и доступных ресурсов. Методы тестирования включают в себя:

1) Средства автоматического сканирования уязвимостей;
2) Тесты и оценки безопасности;
3) Тесты на проникновение.

Средства автоматического сканирования уязвимостей используются для сканирования групп хостов или сети на известные уязвимые службы.

Необходимо заметить, что некоторые потенциальные уязвимости, определенные таким автоматическим средством, могут не представлять реальных уязвимостей в контексте реального системного оборудования организации.

Тестирование и оценка безопасности могут быть использованы для идентификации уязвимостей во время процесса оценки риска. Они включают в себя разработку и выполнение плана тестирования — протестировать эффективность контроля безопасности ИТ системе, как он применен в операционном оборудовании. Цель — удостоверится, что прикладной контроль удостоверяет спецификациями безопасности для ПО и аппаратуры. Кроме того, оценивается то, как прикладной контроль согласовывается с существующими требованиями.

Тесты на проникновение могут использоваться для оценки контроля безопасности и уверенности в том, что различные аспекты ИТ системы защищены. Тесты на проникновение могут использоваться для оценки способности ИТ системы противостоять попыткам нарушения системы безопасности для ПО и аппаратуры.

На основе анализа уязвимостей составляется список системных уязвимостей, которые могут быть вызваны потенциальными источниками угроз.

Анализ средств защиты целью этого шага является анализ применяемых или планируемых к применению средств защиты в организации для минимизации или устранения вероятности уязвимости, реализуемой источником угроз.

Определение вероятностей. Для получения общей политики и оценки вероятности, которая показывает вероятность того, что потенциальная уязвимость может быть реализована внутри конструкции ассоциированного с угрозой оборудования, могут быть рассмотрены следующие факторы:

1) Движущая сила и способность источника угроз;
2) Природа уязвимости;
3) Существование и эффективность текущего контроля.

Поскольку получение количественных данных вероятностей затруднено, обычно используются нечетки шкалы. Например вероятность того, что потенциальная уязвимость может быть реализована данным источником угроз, может быть описана как высокая, средняя и низкая.

Анализ влияния. При проведении анализа влиянии ценность состоит в определение нежелательно влияния успешной реализацией успешностей угрозами. Для этого необходимо получить следующею информацию:

1) Миссия системы;
2) Критичность системы и данных
3) Чувствительность системы и данных.

Определение риска. Назначение этого шага оценить уровень риска ИТ системы. Определение риска для частной пары угроза-уязвимость может быть выражена как функция:

1) От вероятности того, что данный источник угроз пытается реализовать данную уязвимость;
2) Величины влияния при удачной реализации источником угроз уязвимости;
3) Достаточности планируемого или существующего контроля для уменьшения или устранения риска.

Для измерения риска используются шкалы риска и матрица уровней риска. В матрице уровней риска окончательное определение задачи риска получается умножением уровней частоты (классов) вероятностей угроз на степень влияния угрозы.

Данная матрица (3*3) является матрицей оценок угроз (высокой, средней, низкой) и влияния угрозы (высокое, среднее, низкое). В зависимости от требований организации и числа градаций желаемой оценки риска можно использовать матрицы 4*4 или 5*5. Например, в матрицу 5*5 могут быть добавлены следующие значения:

1) для вероятности угрозы — очень низкая, очень высокая;
2) для влияния угрозы — очень низкая, очень высокая.

Это позволит получить очень низкий и очень высокий уровни риска. Очень высокий уровень риска может требовать выключения системы или остановки всех интеграции ИТ системы.

Пример, приведенный в табл. 1.5, показывает, как получаются общие уровни риска.

Определение этих уровней риска или классов может быть в значительной степени субъективным. Логическое обоснование может быть проведено в терминах вероятностей, присвоенных каждому уровню идентификации угрозы, и присваению каждому уровню влияния. Например, присвоить вероятность для уровня угрозы высокий -1.0; для среднего — 0.5; для низкого — 0.1;. для значения влияния: для каждого высокого — 100; для среднего -504 для низкого — 10.

Матрица уровней (классов) рисков таблица 1.5.

Рекомендации по средствам защиты. На основе матрицы уровней рисков выбираются средства защиты, которые могут уменьшить или устранить идентификационный риск. Целью этих рекомендаций является уменьшение уровня риска ИТ и ее данным до допустимого уровня. Рекомендации по средствам защиты являются результатом процента оценки риска и дают исходные данные для процесса уменьшения риска., во время которого оценивается процедурный и технический контроль безопасности, назначаются приоритеты и выполняются планы по закупке и внедрению различных средств.

Необходимо отметить, что все рекомендуемые методы контроля могут быть применены для уменьшения потерь. Для определенных конкретных мер, которые требуются соответствующей организации, применяется анализ затрат и результатов (cost/benefit analysis)/ данный анализ применяется для рекомендуемых средств защиты, чтобы продемонстрировать, что стоимость применения контроля может быть оправдана снижением уровня риска. Дополнительно должны быть учтены такие влияния рекомендуемых опций, как операционное влияние и осуществимость.

В результате выполнения этого шага разрабатываются рекомендации по средствам защиты и альтернативные решения для уменьшения риска.

Результирующие документации. После выполнения оценки риска (источники угроз и уязвимости идентифицированы, риск оценен, рекомендации по контролю подготовлены) результаты должны быть представлены в результате отчета. Соответствующий отчет по оценке риска описывает угрозы, уязвимости, измерение риска и дает рекомендации по применению средств защиты.

Показать весь текст

Заполнить форму текущей работой