Разработка модели оценки рисков информационной безопасности корпоративной сети
Дипломная работа - Компьютеры, программирование
Другие дипломы по предмету Компьютеры, программирование
Вµской целесообразности определения мероприятий по его минимизации (если мероприятия по предотвращению рисков стоят дороже, чем ущерб от реализации угрозы, то, скорее всего, применять их нецелесообразно).
После оценки важности риска планируются необходимые мероприятия и выделяются соответствующие ресурсы. Затем реализуются контрмеры в соответствии с графиком работ и оценивается их эффективность.
После более подробного изучения процесса и выявления потенциальных угроз следует сформировать перечень рисков, которые необходимо минимизировать. Цель процесса сбора (идентификации) рисков - выяснить, в какой степени организация подвержена угрозам, способным нанести существенный ущерб. Для сбора рисков проводится анализ бизнес-процессов компании и опрос экспертов предметной области. По результатам проделанной работы перечень всех потенциальных рисков классифицируется. Причем для проверки полноты перечня выделенных рисков необходимо построить классификацию рисков по определенному принципу, например по этапам жизненного цикла документа [18,28].
Существует два подхода к определению рисков. Первый основан на описании процессов и их анализе на предмет нахождения рисков IT-безопасности. Обычно его применение требует больших затрат как на описание, так и на анализ бизнес-процессов, но неоспоримым преимуществом данного метода является гарантированная полнота определения перечня рисков.
Второй подход к определению рисков базируется на экспертных знаниях, информации по инцидентам IT-безопасности и понесенному компанией убытку от произошедших инцидентов. Этот подход имеет меньшую трудоемкость, но не гарантирует полноты перечня рисков и требует большого экспертного опыта при выделении рисков без анализа описания процессов.
Если говорить о практике применения, то на первых этапах развертывания процесса управления рисками IT-безопасности возможно использование второго метода, как менее трудоемкого, однако на следующих этапах анализа рисков следует перейти к полноценному определению рисков с помощью описания и анализа бизнес-процессов.
В представленном примере угроза несанкционированного доступа к финансовой информации представляет собой исходные данные для идентификации, например, такого риска, как Утечка информации о клиентах к конкурентам через незащищенный канал связи. В связи с тем, что последствия от различных угроз неравноценны, недостаточно лишь идентифицировать риск. Необходимо оценить величину угрозы и возможность реализации риска (уязвимость), а также убыток в виде прямых или косвенных потерь в денежном выражении. Если говорить об оценке рисков, то на первом этапе следует использовать качественные критерии, поскольку они просты в применении.
Примером качественных критериев оценки может быть куб (четыре на четыре на четыре):
-угроза - низкая, средняя, высокая, критическая;
-уязвимость - низкая, средняя, высокая, критическая;
-ущерб - низкий, средний, высокий, критический.
Суммарную оценку риска можно определить путем перемножения или взвешенного суммирования полученных качественных коэффициентов[3].
Затем определятся порог или уровень существенности для рисков. Фактически перечень рисков делится уровнем существенности на две части.
Во-первых, риски, по которым в данном цикле системы будет производиться предотвращение или минимизация последствий.
Во-вторых, риски, по которым в данном цикле системы не будет производиться предотвращение или минимизация последствий.
При дальнейших реализациях процесса можно перейти от качественных к числовым оценкам, но это потребует анализа вероятностей для угроз и уязвимостей, и числовых оценок для убытков, что усложнит систему управления рисками. Но главное - при запуске процесса управления рисками IT-безопасности сосредоточиться на самом процессе, а методики можно отточить в дальнейшем, когда механизм будет работать в циклическом режиме [29,30].
Основным результатом (выходом) процесса оценки рисков является перечень всех потенциальных рисков с их количественными и качественными оценками ущерба и возможности реализации. Данный перечень рисков имеет большой объем, поэтому возникает вопрос, нужно ли защищаться от всех рисков?
Необходимо определить перечень особо опасных рисков, к минимизации которых следует приступить немедленно и минимизация которых повысит уровень безопасности организации. То есть речь идет лишь о понимании, сколько риска организация готова взять на себя и какому риску она подвергается в действительности.
Что делать с оставшимися рисками? Скорее всего, их минимизация не требуется, поскольку стоимость мероприятий по их минимизации может превысить убытки от данных рисков. Вот почему основной задачей становится определение логической границы между рисками, требующими минимизации, и остаточными рисками. В начале построения системы IT-безопасности данная граница может иметь высокий уровень, дальнейшее понижение границы возможно при проведении работ по IT-безопасности, но необходимо определить тот момент, когда ее дальнейшее понижение станет убыточным для организации. Иначе нельзя исключить переход в состояние, когда мероприятия по защите информации будут работать сами на себя. Для оценки данной границы необходимо четко оценивать свои ресурсы и возможные расходы. Дополнительным результатом процесса оценки рисков является перечень рисков информационной безопасности, которые не будут отслеживаться в орган