Главная страница
Навигация по странице:

  • Стандарт/

    		•

    ВВедение, 1 глава. Анализ предметной области и постановка задачи 4 1 Классификация информационных рисков 8


    Скачать 274.56 Kb.
    НазваниеАнализ предметной области и постановка задачи 4 1 Классификация информационных рисков 8
    Дата09.04.2022
    Размер274.56 Kb.
    Формат файлаdocx
    Имя файлаВВедение, 1 глава.docx
    ТипРеферат
    #456801
    страница9 из 9
    1   2   3   4   5   6   7   8   9

    2.4 Сравнительный анализ стандартов и методик в части реализации процедур оценки рисков


    Проведен сравнительный анализ стандартов и методик в части выполнения процедур идентификации, анализа и сравнительной оценки рисков, в ходе которого рассмотрены следующие документы:

    а) международные стандарты ISO/IEC серий 27000 и 31000, в том числе:

    • ISO/IEC 27005:2011. Information technology. Security techniques. Information security risk management [152];

    • ISO/IEC 31000:2009. Risk management. Principles and guidelines. ISO, 2009 [154];

    • ISO/IEC 31010:2009. Risk management. Risk assessment techniques [155];

    б) стандарты NIST SP серии 800 в области управления рисками, в том числе:

    • NIST SP 800-30. Risk Management Guide for Information Technology Systems [166];

    • NIST 800-37. Guide for Applying the Risk Management Framework to Federal Information Systems [167];

    • NIST SP 800-39. Managing Information Security Risk: Organization, Mission, and Information System View [168];

    и) в) методология Operationally Critical Threat, Asset, and Vulnerability Evaluation (OCTAVE) [170];

    к) г) CCTA Risk Analysis and Management Method (CRAMM) [3, 4];

    л) д) методика ГРИФ компании «Digital security» [88];

    м) е) методика анализа и контроля рисков RiskWatch [3, 4];

    н) ж) руководство по управлению рисками от компании Microsoft [164];

    При описании результатов сравнительного анализа при перечислении стандартов и методик для удобства восприятия используются буквенные обозначения из приведенного выше нумерованного списка.

        1. Процедура идентификации рисков



    Процедура идентификации рисков является неотъемлемой частью оценки рисков и проводится с целью сбора информации о следующих элементах:

    • активы (а, б, в, г, д, е, ж);

    • угрозы (а, б, в, г, д, е, ж);

    • уязвимости (а, б, в, г, д, е, ж);

    • защитные меры (а, б, в, г, д, е, ж);

    • последствия (а, б, в, г, д, е, ж).

    Набор идентифицируемых элементов одинаков во всех рассмотренных стандартах и методиках.

    В качестве активов обычно рассматриваются:

    • информация, данные (а, б, в, г, д, е, ж);

    • бизнес-процессы (а, б, в, д);

    • технические средства (а, б, в, г, д, е, ж);

    • программное обеспечение (а, б, в, г, д, е, ж);

    • каналы связи и сети передачи данных (а, б, в, г, д, е, ж);

    • персонал (а, б, в, г, д, е, ж);

    • помещения, здания, сооружения (а, в);

    • организационная структура (а, д).

    Для сбора исходных данных проводятся следующие мероприятия:

    • интервьюирование (а, б, в, г, д, е, ж);

    • опросные листы (а, б, в, г, д, е, ж);

    • физический осмотр (а);

    • анализ документации (а, б);

    • анализ инцидентов (а, б, е);

    • инструментальный анализ (а, б, в, е, ж);

    • мозговой штурм (в).

    Суть интервьюирования заключается в устном опросе персонала, третьих сторон и прочих заинтересованных лиц. Зачастую интервьюирование может быть заменено письменным заполнением опросных листов.

    Физический осмотр проводится для идентификации активов и существующих защитных мер. Он может быть заменен или проведен совместно с анализом документации.

    Различные инструментальные средства и техники позволяются получить более точные сведения о состоянии защищенности ИС. С помощью инструментального анализа осуществляется идентификация технических уязвимостей, проведение инструментального анализа защищенности, выполнение тестирования на проникновение и анализ кода ПО.

    Еще одним мероприятием, выполняемым с целью идентификации рисков, является проведение коллективного обсуждения или, так называемого, мозгового штурма, в ходе которого группой специалистов определяются элементы (активы, угрозы и прочие) и существующие связи между ними.

    Результаты сравнительного анализа стандартов и методик в части идентификации рисков представлены в таблице 1.

    Таблица 1 Анализ стандартов и методик в части идентификации рисков



    Стандарт/ методика
    Идентифицируемые

    элементы
    Типы активов
    Проводимые мероприятия

    Активы
    Угрозы
    Уязвимости
    Защитные меры
    Последствия
    Информация
    Бизнес-процессы
    Технические средства
    Программное обеспечение
    Каналы и сети передачи данных
    Персонал
    Помещения
    Организационная структура
    Интервьюирование
    Опросные листы
    Анализ документации
    Физический осмотр
    Анализ инцидентов
    Инструментальный анализ
    Мозговой штурм

    а) ISO/IEC серий 27000 и 31000
    +
    +
    +
    +
    +
    +
    +
    +
    +
    +
    +
    +
    +
    +
    +
    +
    +
    +
    +


    б) NIST SP серии 800
    +
    +
    +
    +
    +
    +
    +
    +
    +
    +
    +




    +
    +
    +


    +
    +


    и) OCTAVE
    +
    +
    +
    +
    +
    +
    +
    +
    +
    +
    +




    +
    +






    +
    +

    к) CRAMM
    +
    +
    +
    +
    +
    +


    +
    +


    +
    +


    +
    +










    л) ГРИФ
    +
    +
    +
    +
    +
    +
    +
    +
    +
    +
    +


    +
    +
    +










    м) Risk Watch
    +
    +
    +
    +
    +
    +


    +
    +
    +
    +




    +
    +




    +
    +


    н) Microsoft
    +
    +
    +
    +
    +
    +


    +
    +
    +






    +
    +






    +




    Экономическая составляющая

    1. глава метод оценки снижения рисков как мы методами защиты влияем на риски

    2. справочники как меры воздействуют на риски






    1   2   3   4   5   6   7   8   9

    написать администратору сайта