Методика оценки рисков информационной безопасности
Что делать после того, как проведена идентификация информационных ресурсов и активов, определены их уязвимости, составлен перечень угроз? Необходимо оценить риски информационной безопасности от реализации угроз. Это нужно для того, чтобы адекватно выбрать меры и средства защиты информации.
На практике применяются количественный и качественный подходы к оценке рисков ИБ. В чем их разница?
Количественный метод
Количественная оценка рисков применяется в ситуациях, когда исследуемые угрозы и связанные с ними риски можно сопоставить с конечными количественными значениями, выраженными в деньгах, процентах, времени, человекоресурсах и проч. Метод позволяет получить конкретные значения объектов оценки риска при реализации угроз информационной безопасности.
При количественном подходе всем элементам оценки рисков присваивают конкретные и реальные количественные значения. Алгоритм получения данных значений должен быть нагляден и понятен. Объектом оценки может являться ценность актива в денежном выражении, вероятность реализации угрозы, ущерб от реализации угрозы, стоимость защитных мер и прочее.
Как провести количественную оценку рисков?
1. Определить ценность информационных активов в денежном выражении.
2. Оценить в количественном выражении потенциальный ущерб от реализации каждой угрозы в отношении каждого информационного актива.
Следует получить ответы на вопросы «Какую часть от стоимости актива составит ущерб от реализации каждой угрозы?», «Какова стоимость ущерба в денежном выражении от единичного инцидента при реализации данной угрозы к данному активу?».
3. Определить вероятность реализации каждой из угроз ИБ.
Для этого можно использовать статистические данные, опросы сотрудников и заинтересованных лиц. В процессе определения вероятности рассчитать частоту возникновения инцидентов, связанных с реализацией рассматриваемой угрозы ИБ за контрольный период (например, за один год).
4. Определить общий потенциальный ущерб от каждой угрозы в отношении каждого актива за контрольный период (за один год).
Значение рассчитывается путем умножения разового ущерба от реализации угрозы на частоту реализации угрозы.
5. Провести анализ полученных данных по ущербу для каждой угрозы.
По каждой угрозе необходимо принять решение: принять риск, снизить риск либо перенести риск.
Принять риск — значит осознать его, смириться с его возможностью и продолжить действовать как прежде. Применимо для угроз с малым ущербом и малой вероятностью возникновения.
Снизить риск — значит ввести дополнительные меры и средства защиты, провести обучение персонала и т д. То есть провести намеренную работу по снижению риска. При этом необходимо произвести количественную оценку эффективности дополнительных мер и средств защиты. Все затраты, которые несет организация, начиная от закупки средств защиты до ввода в эксплуатацию (включая установку, настройку, обучение, сопровождение и проч.), не должны превышать размера ущерба от реализации угрозы.
Перенести риск — значит переложить последствия от реализации риска на третье лицо, например с помощью страхования.
В результате количественной оценки рисков должны быть определены:
Количественный анализ рисков информационной безопасности (пример)
Рассмотрим методику на примере веб-сервера организации, который используется для продажи определенного товара. Количественный разовый ущерб от выхода сервера из строя можно оценить как произведение среднего чека покупки на среднее число обращений за определенный временной интервал, равное времени простоя сервера. Допустим, стоимость разового ущерба от прямого выхода сервера из строя составит 100 тысяч рублей.
Теперь следует оценить экспертным путем, как часто может возникать такая ситуация (с учетом интенсивности эксплуатации, качества электропитания и т д.). Например, с учетом мнения экспертов и статистической информации, мы понимаем, что сервер может выходить из строя до 2 раз в год.
Умножаем две эти величины, получаем, что среднегодовой ущерб от реализации угрозы прямого выхода сервера из строя составляет 200 тысяч рублей в год.
Эти расчеты можно использовать при обосновании выбора защитных мер. Например, внедрение системы бесперебойного питания и системы резервного копирования общей стоимостью 100 тысяч рублей в год позволит минимизировать риск выхода сервера из строя и будет вполне эффективным решением.
Качественный метод
К сожалению, не всегда удается получить конкретное выражение объекта оценки из-за большой неопределенности. Как точно оценить ущерб репутации компании при появлении информации о произошедшем у нее инциденте ИБ? В таком случае применяется качественный метод.
При качественном подходе не используются количественные или денежные выражения для объекта оценки. Вместо этого объекту оценки присваивается показатель, проранжированный по трехбалльной (низкий, средний, высокий), пятибалльной или десятибалльной шкале (0… 10). Для сбора данных при качественной оценке рисков применяются опросы целевых групп, интервьюирование, анкетирование, личные встречи.
Анализ рисков информационной безопасности качественным методом должен проводиться с привлечением сотрудников, имеющих опыт и компетенции в той области, в которой рассматриваются угрозы.
Как провести качественную оценку рисков:
1. Определить ценность информационных активов.
Ценность актива можно определить по уровню критичности (последствиям) при нарушении характеристик безопасности (конфиденциальность, целостность, доступность) информационного актива.
2. Определить вероятность реализации угрозы по отношению к информационному активу.
Для оценки вероятности реализации угрозы может использоваться трехуровневая качественная шкала (низкая, средняя, высокая).
3. Определить уровень возможности успешной реализации угрозы с учетом текущего состояния ИБ, внедренных мер и средств защиты.
Для оценки уровня возможности реализации угрозы также может использоваться трехуровневая качественная шкала (низкая, средняя, высокая). Значение возможности реализации угрозы показывает, насколько выполнимо успешное осуществление угрозы.
4. Сделать вывод об уровне риска на основании ценности информационного актива, вероятности реализации угрозы, возможности реализации угрозы.
Для определения уровня риска можно использовать пятибалльную или десятибалльную шкалу. При определении уровня риска можно использовать эталонные таблицы, дающие понимание, какие комбинации показателей (ценность, вероятность, возможность) к какому уровню риска приводят.
5. Провести анализ полученных данных по каждой угрозе и полученному для нее уровню риска.
Часто группа анализа рисков оперирует понятием «приемлемый уровень риска». Это уровень риска, который компания готова принять (если угроза обладает уровнем риска меньшим или равным приемлемому, то она не считается актуальной). Глобальная задача при качественной оценке — снизить риски до приемлемого уровня.
6. Разработать меры безопасности, контрмеры и действия по каждой актуальной угрозе для снижения уровня риска.
Какой метод выбрать?
Целью обоих методов является понимание реальных рисков ИБ компании, определение перечня актуальных угроз, а также выбор эффективных контрмер и средств защиты. Каждый метод оценки рисков имеет свои преимущества и недостатки.
Количественный метод дает наглядное представление в деньгах по объектам оценки (ущербу, затратам), однако он более трудоемок и в некоторых случаях неприменим.
Качественный метод позволяет выполнить оценку рисков быстрее, однако оценки и результаты носят более субъективный характер и не дают наглядного понимания ущерба, затрат и выгод от внедрения СЗИ.
Выбор метода следует делать исходя из специфики конкретной компании и задач, поставленных перед специалистом.
Разработайте политику безопасности, проверьте защищенность сети, определите угрозы
Станислав Шиляев, руководитель проектов по информационной безопасности компании «СКБ Контур»
Не пропустите новые публикации
Подпишитесь на рассылку, и мы поможем вам разобраться в требованиях законодательства, подскажем, что делать в спорных ситуациях, и научим больше зарабатывать.
Информационные технологии в менеджменте. Тест с ответами
1. ____________________ характеризует возможность проявления дефектов в виде отказов и сбоев в процессе отладки, испытаний или эксплуатации.
• Дефектоскопичность
2. Информационные системы ____________________ используются работниками среднего управленческого звена для мониторинга, контроля, принятия решений и администрирования.
• менеджмента
3. ____________________ документа соответствует каждому типу документа и представляет собой комбинацию статического текста и полей.
• Шаблон
4. ____________________ документация — комплекс методик по всем этапам разработки технического обеспечения.
• Специализированная
5. Экспертные системы ____________________ знаний интересуют методы формального описания массивов полезной информации с целью их последующей обработки с помощью символических вычислений.
• представления
6. ____________________ документация включает государственные и отраслевые стандарты по техническому обеспечению.
• Общесистемная
7. ____________________ знаний — это передача потенциального опыта решения проблемы от некоторого источника знаний и преобразование его в вид, который позволяет использовать эти знания в программе.
• Приобретение
8. В задаче ____________________ задаются условия, которым должны удовлетворять характеристики некоторой “неизвестной” модели сущности, требуется построить модель этой сущности.
• синтеза
9. ____________________ обеспечение — совокупность методов и средств, регламентирующих взаимодействие работников с техническими средствами и между собой в процессе разработки и эксплуатации информационной системы.
• Организационное
10. В области искусственного интеллекта разрабатываются языки представления — компьютерные языки, ориентированные на организацию ____________________ объектов и идей.
• описаний
11. Функции и выражения Lotus Notes отделяются друг от друга
• точкой с запятой
12. ____________________ информационные системы вырабатывают информацию, которая принимается человеком к сведению и не превращается немедленно в серию конкретных действий.
• Советующие
13. ____________________ задача — задача, где известны все ее элементы и взаимосвязи между ними.
• Структурированная
14. База ____________________ содержит описание самой системы и способов ее функционирования.
• метазнаний
15. При разработке ЭС, как правило, используется концепция “____________________ прототипа”.
• быстрого
16. База ____________________ включает различные сведения, относящиеся к особенностям той среды, в которой действует система.
• закономерностей
17. Из перечисленного к отличиям экспертных систем от систем поддержки принятия решений относятся:
• менее гибки
• разработка требует больших затрат высоко интеллектуального труда и времени
• рассчитаны на пользователя-эксперта
18. ____________________ прототип — это система, которая надежно решает все задачи, но для решения сложных задач может требовать чрезмерно много времени и (или) памяти.
• Действующий
19. На этапе ____________________ при разработке экспертной системы выбираются информационные системы и определяются способы представления всех видов знаний, определяются способы интерпретации знаний, моделируется работа системы.
• формализации
20. ____________________ информационных потоков отражают маршруты движения информации и ее объемы, места возникновения первичной информации и использования результатной информации.
• Схемы
21. ____________________ — протокол прикладного уровня, который разработан для обмена гипертекстовой информацией в сети Интернет и используется в Word Wide Web.
• HTTP
22. Гипертекстовая технология заключается в том, что текст представляется как многомерный, т.е. ____________________ структурой.
• иерархической
23. ____________________ Notes дает(-ют) возможность разработчикам управлять выполнением приложений Notes и программировать процессы, функционирующие на сервере.
• Макроязык
24. ____________________ информационные системы предоставляют пользователю математические, статистические, финансовые и другие модели, использование которых облегчает выработку и оценку альтернатив решения.
• Модельные
25. Lotus Notes включает в себя систему обмена сообщениями — электронную почту ____________________, позволяющую посылать корреспонденцию другим пользователям или группам.
• Notes Mail
26. База данных Lotus Notes не является ____________________, но в ней могут быть установлены связи между записями.
• реляционной
27. Из перечисленного к экспертным системам по назначению относятся:
• исследовательские
• консультационные
• управляющие
28. Языки, предназначенные для программирования интеллектуальных систем, содержат ____________________ трансляторы и увеличивают производительность труда в сотни раз.
• иерархические
29. ____________________ шкала характеризуется относительными величинами или реально измеряемыми физическими показателями, например, временем наработки на отказ, вероятностью ошибки, объемом информации.
• Интервальная
30. Текстовый ____________________ служит для ввода и редактирования документов сложной структуры; обеспечивает полное соответствие изображения документа на экране его копии на бумаге; осуществляет орфографический, грамматический и стилистический контроль текста.
• процессор
31. ____________________ качества программного обеспечения может быть определен как независимый атрибут информационной системы или процесса ее создания.
• Критерий
32. Под ____________________ деятельности понимается набор методов и средств решения перспективных долгосрочных задач.
• стратегией
33. ____________________ используется для ввода информации и команд в экспертную систему и получения выходной информации из нее.
• Интерфейс пользователя
34. ____________________ методы являются основными методами экспертной системы при решении различных задач.
• Эвристические
35. На этапе ____________________ при разработке экспертной системы проводится содержательный анализ проблемной области, выявляются используемые понятия и их взаимосвязи, определяются методы решения задач.
• концептуализации
36. К ____________________ программному обеспечению относятся комплексы программ, ориентированных на пользователей и предназначенных для решения типовых задач обработки информации.
• общесистемному
37. ____________________ техническое обеспечение базируется на использовании в информационной системе больших ЭВМ и вычислительных центров.
• Централизованное
38. Информационные системы ____________________ уровня помогают высшему звену управленцев решать неструктурированные задачи, осуществлять долгосрочное планирование.
• стратегического
39. ____________________ — это компьютерное представление текста, в котором автоматически поддерживаются смысловые связи между выделенными понятиями, терминами или разделами.
• Гипертекст
40. Среди ____________________ систем можно провести классификацию по степени воздействия выработанной результатной информации на процесс принятия решений.
• информационно-решающих
41. ____________________ признак информационной системы определяет назначение подсистемы, а также ее основные цели, задачи и функции.
• Функциональный
42. Первые информационные системы появились в ____________________ годах ХХ в.
• 50
43. ____________________ характеризует наличие дефектов информационной системы и определяется их количеством и местонахождением.
• Дефектабельность
44. ____________________ шкала позволяет ранжировать характеристики путем сравнения с опорными значениями.
• Порядковая
45. ____________________ система — это система программных средств, способная на основании методов искусственного интеллекта и предоставляемых пользователем фактов идентифицировать ситуацию, поставить диагноз, сделать прогноз, сгенерировать решение или дать рекомендацию для выбора действия.
• Экспертная
46. ____________________ — уровень доступа в Lotus Notes, предназначенный для создания и редактирования новых документов, а также чтения, но не редактирования других документов.
• Author
47. ____________________ документа — представление документа при поиске, просмотре, печати, в котором фигурируют значения полей документов или вычисленные на их основании выражения.
• Вид
48. ____________________ создания системы служит для создания набора (иерархии) правил.
• Модуль
49. Основной единицей хранения в базе данных Lotus Notes является:
• документ
50. ____________________ средства определяют требования при разработке, внедрении и эксплуатации информационных технологий, обеспечивая информационную, программную и техническую совместимость.
• Методические
51. В задаче ____________________ задана модель сущности (объекта), требуется определить некоторые неизвестные ее характеристики.
• анализа
52. Количественную или качественную оценку качества информационной системы можно дать с помощью ____________________.
• метрик
53. На этапе ____________________ при разработке экспертной системы определяются задачи, которые подлежат решению, выявляются цели разработки, определяются эксперты и типы пользователей.
• идентификации
54. ____________________ обеспечение — комплекс технических средств, предназначенных для работы информационной системы, а также соответствующая документация на эти средства и технологические процессы.
• Техническое
55. ____________________ экспертные системы, обычно, используются в целях первичного обучения или для исследования возможности использования технологии экспертной системы в данной области.
• Малые
56. ____________________ информационные системы предполагают участие в процессе обработки информации и человека, и технических средств, причем главная роль отводится компьютеру.
• Автоматизированные
57. ____________________ поля отличаются тем, что введенные данные будут отражены во всех документах, использующих это поле в своем формуляре.
• Общие
58. Логическая ____________________ означает, что представление должно обладать способностью распознавать все отличия, которые закладываются в исходную сущность.
• адекватность
59. Основными функциями информационных систем ____________________ являются: оперативный контроль и регулирование, оперативный учет и анализ, перспективное и оперативное планирование, бухгалтерский учет и другие экономические и организационные задачи.
• организационного управления
60. Системы ____________________ времени работают в тех приложениях, где допустимо время реакции на события более 0,1–1 сек.
• “мягкого” реального
61. База ____________________ хранит элементарные выражения, называемые в теории искусственного интеллекта продукциями.
• правил
62. ____________________ — уровень доступа в Lotus Notes, предназначенный для чтения, записи и редактирования всех документов в базе данных, но ему не разрешается модифицировать формы и отчеты.
• Editor
63. ____________________ экспертная система — система, которая в вопросно-ответном режиме на естественном языке выясняет у пользователя цель поиска, уточняет известные ему данные, дополняет данные с помощью словарей.
• Поисковая
64. ____________________ прототип — система, которая решает представительный класс задач приложения, но может быть неустойчива в работе и не полностью проверена.
• Исследовательский
65. Из перечисленного к критериям этапа эксплуатации информационной системы относятся:
• надежность
• размер
• эффективность
66. ____________________ информационной технологии — это внутренняя организация, представляющая собой взаимосвязи образующих ее компонентов.
• Структура
67. ____________________ — это специальным образом организованные файлы, хранящие систематизированную совокупность понятий, правил и фактов, относящихся к некоторой предметной области.
• База знаний
68. Одним из путей обеспечения качества информационной системы является ____________________.
• сертификация
69. ____________________ Lotus Notes — это системы для коллективной работы, которые разрабатываются для координации деятельности людей, совместно реализующих конкретный бизнес-процесс.
• Приложения
70. Современная ____________________ система — совокупность информационных технологий, ориентированная на совместное и скоординированное использование «электронных» методов сбора, обработки, хранения и передачи информации.
• офисная
71. ____________________ системы — способность системы объяснить методику принятия решения.
• Прозрачность
72. ____________________ отчеты создаются в соответствии с установленным графиком, определяющим время их создания, например, месячный анализ продаж компании.
• Регулярные
73. ____________________ технических средств предполагает реализацию функциональных подсистем на персональных компьютерах непосредственно на рабочих местах.
• Децентрализация
74. ____________________ документация используется при выполнении расчетов по техническому обеспечению.
• Нормативно-справочная
75. ____________________ — определение, устанавливающее, что следует делать в данной конкретной ситуации, и состоящее из двух частей: условия, которое может выполняться или нет, и действия, которое следует произвести, если условие выполняется.
• Правило
76. ____________________ информационные системы выполняют все операции по переработке информации без участия человека.
• Автоматические
77. Информационно-____________________ системы производят ввод, систематизацию, хранение, выдачу информации по запросу пользователя без сложных преобразований данных.
• поисковые
78. Системы ____________________ времени получают и обрабатывают данные, поступающие от внешних источников.
• псевдореального
79. ____________________ среда — это структуры данных и решаемые над ними задачи, представляемые в виде правил, процедур, формул.
• Проблемная
80. Чем точнее ____________________ описание задачи, тем выше возможности компьютерной обработки данных и тем меньше степень участия человека в процессе ее решения.
• математическое
81. ____________________ обеспечение — совокупность единой системы классификации и кодирования информации, унифицированных систем документации, схем информационных потоков, циркулирующих в организации.
• Информационное
82. ____________________ — уровень доступа в Lotus Notes, выполняющий все операции с базой данных, включая чтение, запись и редактирование документов и форм.
• Manager
83. Из перечисленного к критериям этапа проектирования информационной системы относятся:
• корректность
• сложность
• трудоемкость
86. SAPR/3 относится к системам класса
• ERP
92. Финансовый риск вызван …
• риском контрагентов
93. Внедрение – это …
• предпоследний этап проекта автоматизации предприятия
99. Необходимость создавать команду, либо отрывать от работы текущих сотрудников ИТ возникает.
• при самостоятельной разработке ИС
101. MRP (Material Requirements Planning) – это …
• системы планирования материальных потребностей
103. Разработкой плана создания, внедрения и развития ИС занимается …
• IT-менеджер
104. Объектом управления в информационном менеджменте является
• информационная система
106. Сфера деятельности IT-менеджера охватывает …
• область информационных технологий
108. Функциональными возможностями MRP-систем являются:
• определение и передача в производство и службы материально-технического снабжения информации о потребностях предприятия во всех материальных ресурсах, необходимых для выполнения производственной программы
111. Риск ИС – это …
• выявление неопределённости, приводящее к потерям и дополнительным возможностям
112. Организационный риск – это …
• зависимость от ключевого персонала
119. IT-менеджер – это …
• специалист, разрабатывающий план создания, внедрения и развития ИС
