пятница, 29 мая 2009 г.

ISSP \ Домен 01. Информационная безопасность и управление рисками. Часть 5

В этой части рассмотрены следующие вопросы:
  • Количественный анализ рисков 
  • Автоматизированные методы анализа рисков 
  • Шаги процесса анализа рисков 
  • Результаты анализа рисков


Обновлено: 28.02.2010

Количественный анализ рисков пытается присвоить реальные и осмысленные числа всем элементам процесса анализа рисков. Этими элементами могут быть стоимость защитных мер, ценность актива, ущерб для бизнеса, частота возникновения угрозы, эффективность защитных мер, вероятность использования уязвимости и т.д. Количественный анализ рисков позволяет получить конкретное значение вероятности (в процентах) реализации угрозы. Каждый элемент в процессе анализа вставляется в количественном виде в уравнение определения общего и остаточного риска.

Нужно понимать, что количественный анализ рисков в чистом виде невозможен, так как всегда есть некоторая степень неопределенности в значении отдельных количественных величин (особенно если угрозы сложны, а частота их возникновения невелика). Например, как узнать насколько часто уязвимостью будут пользоваться? Или как узнать точную денежную сумму потерь компании? Даже если вы проанализировали все произошедшие ранее события, максимально точно определили ценность активов, обратились за информацией в организацию, которая оценивает частоту стихийных бедствий в вашей местности, вы все равно не сможете точно сказать, что для вашего дата-центра есть 10%-ная вероятность пожара и что пожар приведет к ущербу ровно в $230,000. Будущее предсказать невозможно.

Автоматизированные методы анализа рисков

Сбор всех необходимых данных, которые необходимы для подстановки в уравнения анализа рисков и правильной интерпретации результатов, может быть крайне трудоемким, если он производится вручную. На рынке существует несколько автоматизированных средств анализа рисков, что может существенно упростить данную задачу и повысить точность результатов. Собранные данные могут использоваться повторно, что значительно сократит время проведения повторного анализа. Имеющиеся автоматизированные инструменты могут помочь также при подготовке отчетов и всевозможных графиков для руководства.

Цель этих инструментов - сократить объем ручной работы, оперативно выполнять расчеты, оценивать ожидаемые потери, оценивать эффективность и преимущества выбранных контрмер.

Шаги процесса анализа рисков

Шаг 1: Определить ценность активов. Для каждого актива необходимо ответить на следующие вопросы для определения его ценности:
  • В чем заключается ценность данного актива для компании?
  • Сколько стоит его поддержка?
  • Какую прибыль он приносит компании?
  • Сколько за него готовы заплатить конкуренты?
  • Сколько будет стоить его повторное создание или восстановление?
  • Сколько стоило его получить или разработать?
  • Какова мера ответственности в случае компрометации данного актива?
Шаг 2: Оценить потенциальные потери от угрозы. Для оценки потенциальных потерь, необходимо ответить на следующие вопросы:
  • К каким физическим повреждениям может привести угроза и сколько это будет стоить?
  • Какую потерю продуктивности может вызвать угроза и сколько это будет стоить?
  • Какие потери понесет компания в случае разглашения конфиденциальной информации?
  • Какова стоимость восстановления после воздействия угрозы?
  • Какова стоимость потерь в случае неисправности критичных устройств?
  • Каков ожидаемый ущерб от единичного инцидента (SLE – Single Loss Expectancy) для каждого актива и каждой угрозы?
Это только небольшой список вопросов, на которые необходимо получить ответы. Специфичные вопросы будут зависеть от типов угроз и выявленных группой особенностей.

Шаг 3: Выполнить анализ угроз. Для анализа угроз нужно выполнить следующие действия:
  • Собрать информацию о вероятности каждой угрозы, опросив сотрудников каждого подразделения, проанализировав произведенные ранее записи, а также официальные источники по безопасности, которые предоставляют такую информацию.
  • Рассчитать среднегодовую частоту возникновения инцидентов (ARO – Annualized Rate of Occurrence), которая показывает сколько инцидентов может произойти за год.
Шаг 4: Определить общие годовые потери на угрозу. Для этого нужно выполнить следующее:
  • Объединить потенциальные потери и вероятность.
  • Рассчитать ожидаемый среднегодовой ущерб (ALE – Annualized Loss Expectancy) на угрозу, используя информацию, собранную на первых трех шагах.
  • Выбрать контрмеры для противодействия каждой угрозе.
  • Выполнить анализ затрат/выгод выбранных контрмер.
Шаг 5: Уменьшить, перенести, избежать или принять риск. Для каждого риска необходимо выбрать меры по его снижению, переносу, либо принять его.

Методы снижения риска
:
  • Внедрить защитные меры и средства управления;
  • Усовершенствовать процедуры;
  • Изменить окружение;
  • Внедрить методы раннего обнаружения для своевременного выявления факторов воздействия угрозы и снижения возможных последствий;
  • Разработать план действий в непредвиденных ситуациях, позволяющий продолжить работу в случае воздействия определенных угроз и снизить последствия от угрозы;
  • Создать препятствия для реализации угрозы;
  • Провести тренинг по вопросам безопасности.
Перенос риска – например, застраховать некоторые риски. 

Избежание риска – прекратить деятельность, вызывающую риск. 

Принятие риска – смириться с риском и не тратить деньги на защиту от него (это целесообразно, если стоимость защитных мер превышает величину возможного ущерба). Однако при этом нужно учитывать, что реализация риска может вести к дополнительным последствиям (например, потере репутации).
Принятие риска. Если компания решает принять риск, это решение должно основываться на стоимости (стоимость контрмер превышает возможные потери) и приемлемом уровне риска (при котором компания может жить с уязвимостью или угрозой). Но компания должна также понимать, что это не полноценное решение. Реализация риска может нести также и ущерб репутации, причем не только репутации компании, но и репутации целой отрасли.
При проведении количественного анализа рисков необходимы, реальные цифры и расчеты. Ранее уже были упомянуты показатели SLE (ущерб от единичного инцидента) и ALE (ожидаемый среднегодовой ущерб). SLE - это потенциальная сумма (в деньгах) ущерба для компании в результате единичного факта реализации соответствующей угрозы:

Ценность актива х Фактор воздействия (EF - Exposure Factor) = SLE

EF (фактор воздействия) – это процент ущерба для актива от реализовавшейся угрозы, т.е. часть значения (ценности), которую актив потеряет в результате инцидента. Например, ценность актива "хранилище данных" составляет $150,000. В случае пожара может быть повреждено 25% хранилища (но не более, так как установлена система пожаротушения, поблизости находится пожарная часть и т.д.). В этом случае SLE будет составлять $37,500. Значение SLE используется при расчете ALE:

SLE х Среднегодовая частота возникновения инцидентов (ARO - Annualized Rate of Occurrence) = ALE

ARO (среднегодовая частота возникновения инцидентов) – это величина, представляющая собой ожидаемую частоту реализации соответствующей угрозы в год. Значение ARO может быть от 0,0 (никогда) до 1,0 (по крайней мере, раз в год) и выше (несколько раз в год). Например, наводнения в той местности, в которой расположено здание компании, происходят в среднем раз в 1000 лет. Значит величина ARO составляет 0,001.

Таким образом, если SLE для хранилища данных компании при пожаре равно $37,500, а пожары в аналогичных условия случаются примерно раз в 10 лет (ARO равно 0,1), величина ALE будет равна $3,750 ($37,500 х 0,1 = $3,750).

Значение ALE используется при оценке целесообразности внедрения тех или иных мер защиты соответствующего актива от соответствующей угрозы - годовая стоимость защитных мер, обеспечивающих необходимый уровень безопасности актива, не должна превышать значение ALE. Применение более дорогих защитных мер не будет эффективным и целесообразным.

Рассмотрим пример результатов анализа рисков (Таблица 1-4). Используя полученные данные компания может принять обоснованное решение о том, какие угрозы необходимо рассматривать в первую очередь, основываясь на их последствиях и вероятности реализации. Также компания может оценить целесообразный уровень затрат на защиту от каждой угрозы.
Таблица 1-4 Пример результатов анализа рисков

Результаты анализа рисков
 
Группа анализа рисков должна иметь четко определенные цели. Следующий список показывает что в основном можно ожидать от результатов анализа рисков:
  • Ценность активов в денежном выражении;
  • Полный список всех возможных и существенных угроз;
  • Вероятная частота возникновения каждой угрозы;
  • Потенциальные потери компании от угроз, которые она может понести в 12-ти месячный срок;
  • Рекомендуемые меры безопасности, контрмеры и действия.
Хотя данный список следует по возможности детализировать, следует сделать краткое резюме для руководства, на основании которого можно быстро сделать выводы о результатах анализа.

1 комментарий:

eagle комментирует...

Несколько несущественных изменений (уточнений) в шагах оценки рисков.