Для оценки рисков в организации необходимо провести следующие мероприятия:
- Идентифицировать активы
- Оценить активы
- Определить угрозы безопасности
- Оценить угрозы безопасности
- Оценить риски
- Обработать риски
- Принять оставшиеся риски
Идентификация активов
К активам организации могут относиться:
- Конфиденциальная информация
- Базы данных с конфиденциальной информацией
- Программные средства с базами данных с конфиденциальной информацией
- Технические средства с программными средствами с базами данных с конфиденциальной информацией
Очень напоминает инкапсуляцию в модели OSIили же… вот два петуха,
Которые будят того пастуха,
Который бранится с коровницей строгою,
Которая доит корову безрогую,
Лягнувшую старого пса без хвоста,
Который за шиворот треплет кота,
Который пугает и ловит синицу,
Которая часто ворует пшеницу,
Которая в темном чулане хранится
В доме, который построил Джек.
К активам организации также может относиться персонал, информационная и сетевая инфраструктура, здания и сооружения, в которых происходит хранение и обработка информации.
Оценка активов
Существует два вида оценки активов: качественная и количественная. Чаще всего вначале используется качественная оценка, состоящая из относительных определений ценности активов: низкая, средняя и высокая. Но так как для оценки рисков важнее знать «сколько нужно грамм», то на выходе риски должны быть оценены количественно. Следует соотнести качественную оценку с деньгами. Процесс перевода оценок из качественных единиц в количественные называется калибровкой шкалы рисков. Таким образом, могут получиться следующие соответствия: низкая – до $10 000, средняя – от $10 000 до $100 000, высокая – от $100 000 и выше. Количественные величины напрямую будут зависеть от величины организации. Количество делений в шкале выбирается экспертным путем.
Определение угроз безопасности
Угрозы безопасности могут присутствовать на любом уровне иерархии, начиная от физической безопасности и заканчивая любым логическим доступом к информации. Для определения угроз безопасности рассматриваются все уровни, на которых может быть получен доступ к активам. Неспроста процессы обеспечения информационной безопасности рассматриваются как противоборство собственника и злоумышленника за контроль над информационными активами. На этом этапе разрабатывается модель угроз и нарушителей, в которой и описываются все виды угроз.
Оценка угроз безопасности
Оценка угроз безопасности производится экспертным путем в зависимости от текущего уровня информационной безопасности и вероятности реализации угроз. Результаты оценки угроз также документируются в модели угроз и нарушителей безопасности.
Оценка рисков
Существует много определений понятия риска информационной безопасности. В общем случае уровнем риска называют произведение ущерба на вероятность атаки.
Риск = ущерб * вероятность атаки
Вероятность атаки рассчитывается в зависимости от величины уязвимости, которая если присутствует, то является постоянной величиной, не подлежащей расчету и вероятности возможной угрозы.
Вероятность атаки = величина уязвимости * вероятность угрозы
Из этого следует, что:
Риск = ущерб * величина уязвимости * вероятность угрозы
Также рассчитываются специальные показатели:
EF (exposurefactor) - процент потерь, которые возникнут вследствие реализации характерной угрозы для определенного актива.
SLE (singlelossexpectance) - потенциальная сумма (в деньгах) ущерба для компании в результате единичного факта реализации соответствующей угрозы.
SLE = EF * стоимость актива
ARO (annualizedrateofocurrence) – среднегодовая частота возникновения инцидентов. Величина, представляющая собой ожидаемую частоту реализации соответствующей угрозы в год.
ALE (annual loss expectance) – ожидаемые среднегодовые потери.
ALE = SLE * ARO
Обработка рисков
Для обработки рисков используются следующие методы:
Уход от риска– например, отказ от незаконного вида деятельности.
Уменьшение риска– внедрение организационных и / или технических мероприятий, уменьшающих риск.
Передача риска– например, заключение договора со страховой компанией с передачей части ответственности на нее.
Принятие риска– принятие исходного или уменьшенного до приемлемой величины в результате мероприятий риска.
Принятие остаточных рисков
Стоит лишь отметить, что принятие остаточных рисков должен осуществить менеджмент организации, так как именно менеджмент, а вовсе не ИБ отвечает за возможные финансовые и прочие потери. Ведь, как известно, информационная безопасность не может увеличить прибыть организации, но зато может и должна снижать возможные убытки.
Привожу перевод упражнений из книги Security +
Как профессионал в информационной безопасности, вы должны знать, как рассчитывать SLE, ALEи ARO. Даны любые 2 значения, нужно рассчитать третье.
1. Вы работаете администратором web-сервера, прибыль от работы которого составляет $25 000 в час. Вероятность того, что web-сервер выйдет из строя оценивается как 25 %. Сервер будет восстанавливаться в течение 3-х часов. Стоимость восстановления составит $5 000. Требуется рассчитать ALE?
SLE = $25 000 * 3 + $5 000 = $80 000
ALE = $80 000 * 0.25 = $20 000
2. Вы администратор исследовательской фирмы и работаете только а одном проекте по сбору данных и размещении их на единственном web-сервере. Оценка каждого исследовательского проекта составляет приблизительно $100 000. В любе время нарушитель может похитить не более 90 % данных. Средняя вероятность подобных инцидентов в индустрии оценивается как 33 %. Требуется рассчитать ALE?
SLE = $100 000 * 0.9 = $90 000
ALE = $90 000 * 0.33 = $27 900
3. Вы работаете в технической поддержке в маленькой компании. Один из наиболее частых инцидентов заключается в помощи восстановления пользователям случайно удаленных ими файлов. В среднем это случается раз в неделю. Если пользователь создает файл на сервере, а потом стирает его (около 60 % инцидентов), то это можно восстановить моментально при помощи теневой копии и редко когда данные пропадают. Если пользователь создает файл на своей рабочей станции, а потом стирает его (около 40 % инцидентов), то файл никак не может быть восстановлен и пользователю требуется приблизительно 2 часа, чтобы создать файл заново. Создание файла оценивается в $12 в час. Каким будет ALE?
SLE = $12 * 2 = $24
ARO = 52 недели * 0.4 = 20.8
ALE = $24 * 20.8 = $ 499.20
