Разработка модели оценки рисков информационной безопасности корпоративной сети
Дипломная работа - Компьютеры, программирование
Другие дипломы по предмету Компьютеры, программирование
о означает, что анализ рисков необходимо проводить регулярно, через определенные периоды. Поскольку такие работы еще не очень распространены в России, в работе рассказывается о первом цикле анализа рисков, то есть о варианте, когда анализа рисков в необходимом объеме на предприятии не производилось.
2.2 Разработка методики оценки рисков на примере методики Microsoft
Особый интерес к управлению рисками вызывает система анализа рисков крупнейшего производителя программного обеспечения почти во всех сферах деятельности - Microsoft.
Процесс управления рисками, предлагаемый корпорацией Майкрософт, разбивает этап оценки рисков на три шага:
-планирование - разработка основы для успешной оценки рисков;
-координированный сбор данных - сбор информации о рисках в ходе координированных обсуждений рисков;
-приоритизация рисков - ранжирование выявленных рисков на основе непротиворечивого и повторяемого процесса.
Но с учетом неравномерной нагрузки на коммуникационную структуру предприятия в различное время, возникают неучтенные риски. По этому к трем пердыдущим пунктам можно добавить неучтенные риски, которые также оказывают существенное влияние на совокупность учтенных рисков.
Собираются данные об:
-активах организации;
-угрозах безопасности;
-уязвимостях.
Собранные активы, угрозы и уязвимости следует ранжировать по их степени оказания влияния на корпоративную систему, после этого нужно соотнести активы, угрозы и уязвимости между собой и выявить закономерности [3,4].
Оценку рисков нужно проводить в то время, когда нагрузка на информационную систему будет минимальна.
Работа по определению ценности информационных активов в разрезе всей организации одновременно наиболее значима и сложна. Именно оценка информационных активов позволит начальнику отдела ИБ выбрать основные направления деятельности по обеспечению информационной безопасности.
Ценность актива выражается величиной потерь, которые понесет организация в случае нарушения безопасности актива.
Активами считается все, что представляет ценность для организации. К материальным активам относится физическая инфраструктура. К нематериальным активам относятся данные и другая ценная для организации информация, хранящаяся в цифровой форме. В некоторых организациях может оказаться полезным определение третьего типа активов - ИТ-служб. ИТ-служба представляет собой сочетание материальных и нематериальных активов. Например, это может быть корпоративная служба электронной почты [14,30].
Для увеличения эффективности модели, анализ производится исходя из непосредственных целей и задач по защите конкретного вида информации конфиденциального характера. Одна из важнейших задач в рамках такой защиты информации - обеспечение ее целостности и доступности. Часто забывают, что нарушение целостности может произойти не только вследствие преднамеренных действий, но и по ряду других причин:
сбоев оборудования, ведущих к потере или искажению информации;
физических воздействий, в частности в результате стихийных бедствий;
ошибок в программном обеспечении (в том числе из-за недокументированных возможностей).
При изучении материальных активов организации, ее электронной техники ввода, вывода и централизованной обработки информации в ее корпоративной сети, то есть провести оценку рисков внутри оценки рисков.
Процесс управления рисками безопасности, предлагаемый корпорацией Майкрософт, определяет следующие три качественных класса активов:
-высокое влияние на бизнес (ВВБ) - влияние на конфиденциальность, целостность и доступность этих активов может причинить организации значительный или ката;
-среднее влияние на бизнес (СВБ) - влияние на конфиденциальность, целостность и доступность этих активов может причинить организации средний ущерб. Средний ущерб не вызывает значительных или катастрофических изменений, однако нарушает нормальную работу организации до такой степени, что это требует проактивных элементов контроля для минимизации влияния в данном классе активов. К этому классу могут относиться внутренние коммерческие данные, такие как перечень сотрудников или данные о заказах предприятия;
-низкое влияние на бизнес (НВБ) - активы, не попадающие в классы ВВБ и СВБ, относятся к классу НВБ. К защите подобных активов не выдвигаются формальные требования, и она не требует дополнительного контроля, выходящего за рамки стандартных рекомендаций по защите инфраструктуры.
Таким образом можно показать тяжесть последствий:
-незначительный (менее $100);
-минимальный (менее $1000);
-умеренны (менее $10 000);
-серьезные (существенное негативное влияние на бизнес);
-критическое (катастрофическое воздействие, возможно прекращение функционирования системы) [3,18,19].
Но следует учесть, что это можно считать за базовые оценки ущерба и в зависимости от размера организации денежные суммы могут изменяться значительно.
Далее определяется перечень угроз и уязвимостей и выполняется оценка уровня потенциального ущерба, называемого степенью подверженности актива воздействию. Оценка ущерба может проводиться по различным категориям:
-конкурентное преимущество;
-законы и регулятивные требования;
-операционная доступность;
-репутация на рынке.
Оценку предлагается проводить по следующей шкале:
-выс