Анализ и управление рисками - общие положения

Понятие анализа и управления рисками, идентификация и оценка стоимости ресурсов, анализ угроз и уязвимостей.

Анализ рисков

Анализ рисков - это то, с чего должно начинаться построение любой системы информационной безопасности. Он включает в себя мероприятия по обследованию безопасности АС, целью которого является определение того какие ресурсы и от каких угроз надо защищать, а также в какой степени те или иные ресурсы нуждаются в защите. Определение набора адекватных контрмер осуществляется в ходе управления рисками. Ниже раскрываются сущность и содержание мероприятий по анализу и управлению рисками.

Риск определяется вероятностью причинения ущерба и величиной ущерба, наносимого ресурсам АС, в случае осуществления угрозы безопасности.

Анализ рисков состоит в том, чтобы выявить существующие риски и оценить их величину (дать им количественную оценку). Его можно разделить на несколько последовательных этапов:

• Идентификация ключевых ресурсов АС;
• Определение важности тех или иных ресурсов;
• Идентификация существующих угроз безопасности и уязвимостей, делающих возможным осуществление угроз;
• Вычисление рисков, связанных с осуществлением угроз безопасности.

Идентификация ресурсов

Ресурсы АС делятся на три категории:

• Информационные ресурсы;
• Программное обеспечение;
• Технические средства (файловые серверы, рабочие станции, мосты, маршрутизаторы и т. п.).

В каждой категории ресурсы можно разделить на классы и подклассы. Необходимо идентифицировать только те ресурсы, которые определяют функциональность АС и существенны с точки зрения обеспечения безопасности.

Оценка стоимости ресурсов

Важность (или стоимость) ресурса определяется величиной ущерба, наносимого в случае нарушения конфиденциальности, целостности или доступности этого ресурса. В ходе оценки стоимости ресурсов определяется величина возможного ущерба для каждой категории ресурсов:

• Данные были раскрыты, изменены, удалены или стали недоступны;
• Аппаратура была повреждена или разрушена;
• Нарушена целостность ПО.

Идентификации и определение уровня угроз безопасности

Типичные угрозы безопасности включают в себя:

• локальные и удаленные атаки на ресурсы АС;
• стихийные бедствия;
• ошибки персонала;
• сбои в работе АС, вызванные ошибками в ПО или неисправностями аппаратуры.

Под уровнем угрозы понимается вероятность ее осуществления.

Идентификация и оценка уязвимостей

Оценка уязвимостей предполагает определение вероятности успешного осуществления угроз безопасности. Успешное осуществление угрозы означает нанесение ущерба ресурсам АС. Наличие уязвимостей в АС обуславливается слабостями защиты.

Таким образом вероятность нанесения ущерба определяется вероятностью осуществления угрозы и величиной уязвимости.

Вычисление рисков

Уровень риска определяется на основе стоимости ресурса, уровня угрозы и величины уязвимости. С увеличением стоимости ресурса, уровня угрозы и величины уязвимости возрастает и уровень риска. На основе оценки уровня рисков определяются требования безопасности.

Управление рисками

Задача управления рисками включает выбор и обоснование выбора контрмер, позволяющих снизить уровни рисков до приемлемой величины. Управление рисками включает в себя оценку стоимости реализации контрмер, которая должна быть меньше величины возможного ущерба. Разница между стоимостью реализации контрмер и величиной возможного ущерба должна быть тем больше, чем меньше вероятность причинения ущерба.

Контрмеры могут уменьшать уровни рисков различными способами:

• уменьшая вероятность осуществления угроз безопасности;
• ликвидируя уязвимости или уменьшая их величину;
• уменьшая величину возможного ущерба;
• выявление атак и других нарушений безопасности;
• способствуя восстановлению ресурсов АС, которым был нанесен ущерб.