Перейти к содержимому. | Перейти к навигации

Персональные инструменты
Вход Регистрация
Вы здесь: Главная ФОРУМ Общие вопросы ИБ определение риска (ущерба)

определение риска (ущерба)

Операции с документом
Вверх к Общие вопросы ИБ

определение риска (ущерба)

Послано Aleksandr Kvashin в 10.Февраль.2018 23:22

Уважаемые Коллеги!

В классическом варианте ущерб определяется для каждой пары "угроза-уязвимость". Величину риска можно определить, например, с использованием метрик CVSS.

Обычно при оценки риска (ущерба) сначала определяется перечень актуальных угроз, а уязвимости лишь характеризуют возможности их реализации.

Что если сместить акцент с угроз на уязвимости?

Тогда, вместо вероятности реализации угрозы можно будет определять вероятность эксплуатации уязвимости, которая будет учитывать как вероятность наличия уязвимости, так и вероятность её использования хотя бы одной из угроз.

Мне кажется, что такой подход к определению риска сокращает объём работы, а использование метрик CVSS исключает субъективную оценку эксперта и даёт возможность автоматизировать процесс.

У кого есть какие мысли по этому поводу? Правильно ли моё расуждение?

 

 

Re: определение риска (ущерба)

Послано Александр Астахов в 11.Февраль.2018 20:50

Риск определяется триадой "угроза-уязвимость-актив", где пара "угроза-уязвимость" описывает механизм компрометации актива и вероятность этого события, а ценность актива определяет последствия для владельцев актива и величину ущерба. Вопрос о риске возникает в связи с появлением (наличием) ценного (информационного) актива и рассмотрения возможных последствий его компрометации. Если эти последствия могут выразится в значительном ущербе для владельца актива, тогда имеет смысл начинать катавасию с оценкой риска. Поэтому в большинстве случаев в первую очередь производится инвентаризация, классификация и оценка ценности активов. Затем формируется перечни (модели) угроз в отношении этих активов, а затем для оценки вероятности успешной реализации угрозы идентифицируются и оцениваются как имеющиеся уязвимости, так и механизмы защиты. Чаще всего, для того чтобы угроза в отношении актива могла быть реализована, требуется наличие сразу нескольких уязвимостей и отсутствие (или слабости) соответствующих механизмов защиты.

Метрики CVSS, наряду с другими количественными и качественными подходами, используются для оценки величины (степени опасности) уязвимостей. Кроме этого существуют также количественные и качественные методы оценки угроз, механизмов защиты и ценности активов. Только когда у вас есть метрики для всех элементов триады (+ метрики для оценки механизмов защиты) вы можете оценить риск.

Субъективизм в оценке риска исключить невозможно, хотя бы потому, что суждения о ценности активов или степени мотивации потенциального нарушителя всегда носят субъективный характер, а последствия реализации угроз уходят в бесконечность. Риск - это вообще субъективное понятие. Различные метрики и методы экспертных оценок, позволяют лишь снизить степень субъективизма до приемлемого уровня.

Re: определение риска (ущерба)

Послано Александр Астахов в 13.Февраль.2018 09:38

Однако, описанный выше подход на практике применять довольно сложно, поскольку он порождает очень много сущностей, относящихся между собой как многие к многим. Модель получается сложной. Каждая информационная система обрабатывает кучу разнородных информационных активов (документы, наборы и базы данных, транзакции, конфигурации, протоколы, авторизации, образов, информационных потоков и т.п.), представленных в различных форматах, на разных носителях, территориально распределенных и т.п. Эти активы (и их ценность) взаимозависимы. Кроме этого, информационная система взаимодействует с другими системами, используя общие активы и обмениваясь ими. Все это учесть, классифицировать и описать довольно сложно. Еще сложнее это потом использовать для оценки риска.

Угрозы и уязвимости "разложить по полочкам" тоже очень сложно, поскольку реальные инциденты обычно включают в себя группу угроз и группу уязвимостей и сценарии их использования и их взаимозависимости. Угрозы от уязвимостей тоже бывает сложно отделить.

Поэтому, чтобы упростить задачу оценки риска, "угроза-уязвимость" заменяется понятием "инцидент", т.е. событие, которое может иметь негативные последствия. Вместо "актива" используются сразу "последствия для бизнеса" (т.е. вся возня с активами, их классификациями, ценностями и зависимостями пропускается). Получается двойка "инцидент-последствия", с которой работать намного проще. Тогда величина риска определяется комбинацией "возможности реализации инцидента" и "тяжести последствий". Это  более высокоуровневый и универсальный подход, используемый для оценки операционных рисков.

Инциденты и соответствующие риски вполне можно классифицировать по типам используемых в них уязвимостей, которые оцениваются с использованием CVSS метрик. В этом смысле ваше рассуждения правильно.

Re: определение риска (ущерба)

Послано Aleksandr Kvashin в 13.Февраль.2018 14:39

"Инциденты и соответствующие риски вполне можно классифицировать по типам используемых в них уязвимостей, которые оцениваются с использованием CVSS метрик. В этом смысле ваше рассуждения правильно".

 

Урааа!!!

Спасибо, Александр!!!

Значит буду действовать по этой схеме!

 

Re: определение риска (ущерба)

Послано Александр Астахов в 13.Февраль.2018 14:44

И не забывайте делиться результатами :)

Re: определение риска (ущерба)

Послано Aleksandr Kvashin в Четверг 22:46

Обязательно поделюсь.

Защита в декабре.

 

Разработано Ploneboard
Как стать участником |  Что может участник  |  Как работать с порталом  |  Реклама |  Авторские права  |  Контакты  |  Конкурсы  |  RSS  |  Форум
©2003 - 2018 GlobalTrust
Рейтинг@Mail.ru Rambler's Top100 Yandex