Главная страница
Медицина
Финансы
Экономика
Биология
Ветеринария
Сельское хозяйство
Юриспруденция
Право
Языкознание
Языки
Логика
Философия
Религия
Этика
Политология
Социология
История
Информатика
Вычислительная техника
Физика
Математика
Промышленность
Энергетика
Искусство
Культура
Химия
Электротехника
Связь
Автоматика
Геология
Экология
Начальные классы
Строительство
образование
Механика
Воспитательная работа
Русский язык и литература
Дошкольное образование
Реферат
Урок
Отчет
Программа
Закон
Курсовая
Задача
Занятие
Решение
Лекция
Протокол

Нир Виталий. Выпускная квалификационная работа разработка модели оценки рисков информационной безопасности корпоративной сети


Скачать 0.65 Mb.
НазваниеВыпускная квалификационная работа разработка модели оценки рисков информационной безопасности корпоративной сети
АнкорНир Виталий
Дата02.07.2022
Размер0.65 Mb.
Формат файлаrtf
Имя файлаbibliofond_552378.rtf
ТипДокументы
#622680
страница5 из 13
1   2   3   4   5   6   7   8   9   ...   13



.4 Анализ методики RiskWatch



Компания RiskWatch разработала собственную методику анализа рисков и семейство программный средств, в которых она в той либо иной мере реализуется. Семейство RiskWatch состоит из программных продуктов:

- RiskWatch for Physical Security - для анализа физической защиты ИС;

- RiskWatch for Information Systems - для информационных рисков;

- HIPAA-WATCH for Healthcare Industry - для оценки соответствия требованиям стандарта HIPAA (US Healthcare Insurance Portability and Accountability Act), актуальных в основном для медицинских учреждений, работающих на территории США;

- RiskWatch RW17799 for ISO 17799 - для оценки соответствия ИС требованиям стандарта международного стандарта ISO 17799.

RiskWatch используется в качестве критериев для оценки и управления рисками используются ожидаемые годовые потери (Annual Loss Expectancy, ALE) и оценка возврата инвестиций (Return on Investment, ROI). RiskWatch ориентирована на точную количественную оценку соотношения потерь от угроз безопасности и затрат на создание системы защиты. В основе продукта RiskWatch находится методика анализа рисков, которая состоит из четырех этапов[8].

Первый этап - определение предмета исследования. Здесь описываются параметры: как тип организации, состав исследуемой системы (в общих чертах), базовые требования в области безопасности. Для облегчения работы аналитика, в шаблонах, соответствующих типу организации («коммерческая информационная система», «государственная / военная информационная система» и т.д.), есть списки категорий защищаемых ресурсов, потерь, угроз, уязвимостей и мер защиты. И выбираются категории потерь, присутствующие в организации:

- задержки и отказ в обслуживании;

- раскрытие информации;

- прямые потери (например, от уничтожения оборудования огнем);

- жизнь и здоровье (персонала, заказчиков и т.д.);

- изменение данных;

- косвенные потери (например, затраты на восстановление);

- репутация.

Второй этап - ввод данных, описывающих конкретные характеристики системы. Данные могут вводиться вручную или импортироваться из отчетов, созданных инструментальными средствами исследования уязвимости компьютерных сетей. Подробнейшим образом описываются ресурсы, потери и классы инцидентов. Классы инцидентов получаются путем сопоставления категории потерь и категории ресурсов.

Также задается частота возникновения каждой из выделенных угроз, степень уязвимости и ценность ресурсов. Если для выбранного класса угроз в системе есть среднегодовые оценки возникновения (LAFE и SAFE), то используются они. Все это используется в дальнейшем для расчета эффекта от внедрения средств защиты.

Третий этап - количественная оценка риска. На этом этапе рассчитывается профиль рисков, и выбираются меры обеспечения безопасности. Сначала устанавливаются связи между ресурсами, потерями, угрозами и уязвимостями, выделенными на предыдущих шагах исследования. SAFE (Standard Annual Frequency Estimate) - показывает, сколько раз в год в среднем данная угроза реализуется в этой «части мира» (например, в Северной Америке). Вводится также поправочный коэффициент, который позволяет учесть, что в результате реализации угрозы защищаемый ресурс может быть уничтожен не полностью, а только частично.

Формула (1) показывает варианты расчета показателя ALE:


(1)



оценка риск информационный корпоративный

где:

- Asset Value - стоимость рассматриваемого актива (данных, программ, аппаратуры и т.д.);

- Exposure Factor - коэффициент воздействия - показывает, какая часть (в процентах) от стоимости актива, подвергается риску;

- Frequency - частота возникновения нежелательного события;

- ALE - это оценка ожидаемых годовых потерь для одного конкретного актива от реализации одной угрозы.

Когда все активы и воздействия идентифицированы и собраны вместе, то появляется возможность оценить общий риск для ИС, как сумму всех частных значений.

Можно ввести показатели «ожидаемая годовая частота происшествия» (Annualized Rate of Occurrence - ARO) и «ожидаемый единичный ущерб» (Single Loss Expectancy - SLE), который может рассчитываться как разница первоначальной стоимости актива и его остаточной стоимости после происшествия (хотя подобный способ оценки применим не во всех случаях, например, он не подходит для оценки рисков, связанных с нарушением конфиденциальности информации). Тогда, для отдельно взятого сочетания угроза-ресурс применима формула (2):


(2)




Четвертый этап - генерация отчетов. Типы отчетов:

- краткие итоги;

- полные и краткие отчеты об элементах, описанных на стадиях 1 и 2;

- отчет от стоимости защищаемых ресурсов и ожидаемых потерях от реализации угроз;

- отчет об угрозах и мерах противодействия;

- отчет о ROI;

- отчет о результатах аудита безопасности.

Таким образом, рассматриваемое средство позволяет оценить не только те риски, которые сейчас существуют у предприятия, но и ту выгоду, которую может принести внедрение физических, технических, программных и прочих средств и механизмов защиты. Подготовленные отчеты и графики дают материал, достаточный для принятия решений об изменении системы обеспечения безопасности предприятия [4,8].

Недостатки методики RiskWatch:

методика RiskWatch подходит, если требуется провести анализ рисков на программно-техническом уровне защиты, без учета организационных и административных факторов;

полученные оценки рисков (математическое ожидание потерь) далеко не исчерпывает понимание риска с системных позиций - метод не учитывает комплексный подход к информационной безопасности;

программное обеспечение RiskWatch существует только на английском языке;

высокая стоимость лицензии (от 15'000 долл. за одно рабочее место для небольшой компании; от 125'000 долл. за корпоративную лицензию).

Методика RiskWatch позволяет разделить информационные системы на несколько профилей и уже использовать конкретизированную систему для учета рисков информационной безопасности предприятия, что очень удобно в современное время. Различные организации используют однотипные модели для оценки рисков, что не очень позволяет просчитать тот или иной ущерб при возникновении угрозы. Методика позволяет в живую в цифрах увидеть оценку ожидаемых потерь за год от бездействия со стороны предприятия к угрозе из-за направленного отсутствия финансирования для обеспечения безопасности предприятия.
1   2   3   4   5   6   7   8   9   ...   13

написать администратору сайта