Meniu
AcasăAndroid

Optimizarea managementului riscului de securitate a informațiilor într-o bancă. Managementul riscului de securitate a informațiilor. Prezentare generală a metodologiei COBIT for Risk

Adnotare: Prelegerea oferă o definiție detaliată a securității informațiilor și discută aspecte ale managementului riscurilor. Este descris un model de securitate complet suprapus.

Introducere

Scop acest curs este studiul tehnicilor moderne de analiză și gestionare a riscurilor asociate cu securitatea informațiilor (IS). Datorită faptului că procesul de management al riscului poate presupune introducerea unor mijloace și mecanisme specifice de protecție, partea practică a cursului se concentrează pe managementul riscurilorîn sistemele bazate pe sisteme de operare (OS) din familia Microsoft Windows.

Risc în domeniul securității informațiilor vom numi posibilitatea potențială de a suferi pierderi din cauza unei breșe de securitate sistem informatic(IS). Conceptul de risc este adesea confundat cu conceptul de amenințare.

Amenințare la securitatea informațiilor se referă la un incident potențial, intenționat sau nu, care ar putea avea un efect nedorit asupra unui sistem informatic și a informațiilor stocate și prelucrate pe acesta.

Vulnerabilitatea IP- aceasta este o caracteristică nefericită care face posibilă apariție amenintari. O vulnerabilitate este securitatea insuficientă și/sau unele erori în sistem, precum și prezența unor intrări secrete în sistem, lăsate de dezvoltatorii acestui sistem la depanarea și configurarea acestuia.

Ceea ce diferențiază un risc de o amenințare este prezența unei evaluări cantitative a posibilelor pierderi și (eventual) a unei evaluări a probabilității apariției amenințării.

Dar să ne dăm seama de ce este necesar să se studieze riscurile în domeniul securității informațiilor și ce poate oferi aceasta atunci când se dezvoltă un sistem de securitate a informațiilor pentru securitatea informațiilor. Pentru orice proiect care necesită costuri financiare pentru implementarea sa, este foarte de dorit să se determine în etapa inițială ce vom considera ca semn de finalizare a lucrării și cum vom evalua rezultatele proiectului. Pentru sarcinile legate de securitatea informațiilor, acest lucru este mai mult decât relevant.

În practică, două abordări pentru a justifica proiectarea unui subsistem de securitate sunt cele mai utilizate pe scară largă.

Prima dintre ele se bazează pe verificarea conformității nivelului de securitate IP cu cerințele unuia dintre standardele din domeniul securității informațiilor. Aceasta poate fi o clasă de securitate în conformitate cu cerințele documentelor de reglementare ale Comisiei Tehnice de Stat a Federației Ruse (acum este FSTEC din Rusia), un profil de securitate dezvoltat în conformitate cu ISO-15408 sau un alt set de cerințe. Atunci criteriul pentru atingerea unui obiectiv de securitate este îndeplinirea unui anumit set de cerințe. Criteriul de performanță- costurile totale minime pentru îndeplinirea cerințelor funcționale stabilite: unde c i este costurile pentru i-lea mijloc de protecție.

Principalul dezavantaj al acestei abordări este că, în cazul în care nivelul necesar de securitate nu este specificat strict (de exemplu, prin cerințe legale), este destul de dificil să se determine cel mai „eficient” nivel de securitate IP.

A doua abordare pentru construirea unui sistem de securitate a informațiilor este legată de evaluarea și managementul riscurilor. Inițial, a provenit din principiul „suficienței rezonabile” aplicat domeniului securității informațiilor. Acest principiu poate fi descris prin următorul set de afirmații:

  • este imposibil să creezi o apărare absolut insurmontabilă;
  • este necesar să se mențină un echilibru între costurile protecției și efectul rezultat, inclusiv. și economică, care constă în reducerea pierderilor din încălcarea securității;
  • costul echipamentului de protecție nu trebuie să depășească costul informațiilor protejate (sau alte resurse - hardware, software);
  • cheltuielile contravenientului pentru acces neautorizat(NSD) la informații trebuie să depășească efectul pe care îl va primi prin a avea un astfel de acces.

Dar să revenim la riscuri. ÎN în acest caz,, având în vedere SI în starea sa inițială, estimăm mărimea pierderilor așteptate din incidente legate de securitatea informațiilor (de obicei luate anumită perioadă timp, de exemplu - an). După aceasta, se face o evaluare a modului în care controalele și măsurile de securitate propuse afectează reducerea riscurilor și cât costă acestea. Dacă ne imaginăm o situație ideală, ideea abordării este reflectată în graficul de mai jos (Fig. 1.1).

Pe măsură ce costurile de apărare cresc, dimensiunea pierderilor așteptate scade. Dacă ambele funcții au forma prezentată în figură, atunci putem determina minimul funcției „Costuri totale așteptate”, care este ceea ce avem nevoie.

Din păcate, în practică, nu este posibil să se determine relația exactă dintre costuri și nivelul de securitate, prin urmare metoda analitică pentru determinarea costurilor minime în forma prezentată nu este aplicabilă.

Pentru a trece la analizarea problemelor de descriere a riscului, introducem încă o definiție. Resursă sau activ vom numi un element numit al IP care are valoare (materială) și este supus protecției.

Apoi, riscul poate fi identificat prin următorul set de parametri:

  • amenințare, a cărei posibilă implementare provoacă acest risc;
  • resursă în raport cu care poate fi implementată această amenințare(resursa poate fi informativă, hardware, software etc.);
  • vulnerabilitatea prin care o anumită amenințare poate fi implementată în raport cu o anumită resursă.

De asemenea, este important să stabilim cum știm că a avut loc un eveniment nedorit. Prin urmare, în procesul de descriere a riscurilor, evenimentele sunt de obicei indicate - "declanșatoare", care sunt identificatori ai riscurilor care au apărut sau se așteaptă să apară în curând (de exemplu, o creștere a timpului de răspuns al unui server web poate indica faptul că unul dintre tipurile de atacuri de denial of service este efectuat asupra acestuia).

Pe baza celor de mai sus, în procesul de evaluare a riscului este necesar să se estimeze costul daunelor și frecvența apariției evenimentelor nedorite și probabilitatea ca un astfel de eveniment să provoace daune resursei.

Valoarea daunelor cauzate de implementarea unei amenințări la adresa unei resurse depinde de:

  1. Din valoarea resursei care este în pericol.
  2. Despre gradul de distructivitate al impactului asupra resursei, exprimat ca coeficient de distructivitate. De regulă, coeficientul specificat se află în intervalul de la 0 la 1.

Astfel, obținem o estimare care poate fi reprezentată ca produs:

(Costul resurselor)*(Coeficientul de distructivitate).

În continuare, este necesar să se estimeze frecvența de apariție a evenimentului nedorit în cauză (pentru o anumită perioadă fixă) și probabilitatea implementare cu succes amenintari. Ca rezultat, costul riscului poate fi calculat folosind formula:

(Frecvența)*(Probabilitatea)*(Costul resurselor)*(Coeficientul de distructivitate).

Aproximativ această formulă este utilizată în multe tehnici de analiză a riscurilor, dintre care unele vor fi discutate în continuare. Prejudiciul așteptat este comparat cu costurile măsurilor de protecție și apoi se ia o decizie cu privire la acest risc. Ar putea fi:

  • redus (de exemplu, prin introducerea de mijloace și mecanisme de protecție care reduc probabilitatea apariției unei amenințări sau coeficientul de distructivitate);
  • eliminat (prin refuzul de a utiliza resursa aflată în pericol);
  • transferat (de exemplu, asigurat, în urma căruia, în cazul unei amenințări la securitate, pierderile vor fi suportate de companie de asigurări, nu proprietarul IP);
  • acceptat.

Managementul riscului. Model de siguranță cu suprapunere completă

Ideile de management al riscului provin în mare parte din modelul de securitate complet suprapus dezvoltat în anii '70.

Modelul unui sistem de securitate cu suprapunere completă se bazează pe postulatul că sistemul de securitate trebuie să aibă cel puțin un mijloc de asigurare a securității în fiecare posibilă cale de influență a unui intrus pe IP.

Modelul identifică fiecare zonă care are nevoie de protecție, evaluează controalele de securitate pe baza eficienței lor și a contribuției lor la securitate în întregul sistem de calcul.


Orez. 1.2. Graficul bipartit „obiect-amenințare”.


Orez. 1.3. Grafic tripartit „amenințare – măsură de securitate – obiect”.

Se crede că accesul neautorizat la fiecare din setul de obiecte protejate (resurse IP) este asociat cu o anumită „cantitate de daune” pentru proprietarul IP, iar această daune poate fi cuantificată.

Fiecare obiect care necesită protecție este asociat cu un anumit set de acțiuni la care poate recurge un intrus pentru a obține acces neautorizat la obiect. Acțiunile potențiale rău intenționate în legătură cu toate obiectele formează un set de amenințări IS. Fiecare element al unui set de amenințări este caracterizat de probabilitatea sa de apariție.

Setul de relații „obiect-amenințare” formează un grafic bipartit (Fig. 1.2), în care muchia (t i,о j) există dacă și numai dacă t i este un mijloc de acces la obiectul o j. Trebuie remarcat faptul că relația dintre amenințări și obiecte nu este o relație unu-la-unu - o amenințare se poate extinde la orice număr de obiecte, iar un obiect poate fi vulnerabil la mai multe amenințări. Scopul protecției este de a „bloca” fiecare margine a unui grafic dat și de a ridica o barieră pentru a accesa t i ,m k ) și (m k ,o j ). Orice muchie a formei (t i,o j) definește un obiect neprotejat. Trebuie remarcat faptul că același instrument de securitate poate contracara implementarea mai multor amenințări și (sau) poate proteja mai mult de un obiect. Absența unei margini (t i ,o j ) nu garantează securitatea completă (deși prezența unei astfel de margini oferă potențialul de acces neautorizat, cu excepția cazului în care probabilitatea apariției t i este zero).

O considerație suplimentară include modelul teoretic multimilor sistem protejat - sistem de securitate Clements. Acesta descrie sistemul ca un set de cinci tuple S=(O,T,M,V,B), unde O este un set de obiecte protejate; T - set de amenințări; M - set de instrumente de securitate; V - set de vulnerabilități - maparea TxO pe un set de perechi ordonate V i =(t i ,o j) , reprezentând căi de pătrundere în sistem; B - un set de bariere - o mapare a VxM sau TxOxM pe un set de triplete ordonate b i =(t i ,o j ,m k) reprezentând punctele în care este necesară protecția în sistem.

Astfel, un sistem complet de suprapunere este un sistem care are protecție pentru fiecare cale posibilă pătrundere. Dacă într-un astfel de sistem , Asta .

Modelul sistemului de securitate cu suprapunere completă descrie cerințele pentru componența subsistemului de securitate IS. Dar nu abordează problema costului mijloacelor de protecție implementate și a relației dintre costurile protecției și efectul rezultat. În plus, determinarea setului complet de „căi de intrare” într-un sistem poate fi destul de dificilă în practică. Și anume, cât de complet este descris acest set depinde de cât de adecvat va fi rezultatul obținut la starea reală a lucrurilor.

Această parte abordează următoarele probleme:

  • Managementul Securității
  • Atribuirea responsabilităților de management al securității
  • Abordare de sus în jos
  • Administrarea securității și măsurile de protecție
  • Principii de bază de securitate (triada AIC)
  • Disponibilitate
  • Integritate
  • Confidențialitate
  • Definiții de securitate (vulnerabilitate, amenințare, risc, impact, contramăsuri)
  • Securitate prin obscuritate

Actualizat: 21.02.2010


Managementul securității include managementul riscurilor, politicile de securitate a informațiilor, procedurile, standardele, liniile directoare, cadrele, clasificarea informațiilor, organizarea securității și instruirea în domeniul securității. Aceste aspecte cheie servesc drept bază program corporativ securitate. Scopul securității și al unui program de securitate este de a proteja compania și activele acesteia. Analiza de risc vă permite să identificați aceste active, să identificați amenințările care prezintă riscuri pentru ele, să evaluați posibilele pierderi și potențialele pierderi pe care compania le poate suferi dacă oricare dintre aceste amenințări se materializează. Rezultatele analizei riscurilor ajută managementul să pregătească un buget care să contabilizeze toate costurile necesare pentru a proteja activele identificate de amenințările identificate și să dezvolte politici de securitate acționabile care ghidează activitățile de securitate. Instruirea și conștientizarea în domeniul securității asigură că cantitatea potrivită de informații este comunicată fiecărui angajat dintr-o companie, facilitându-și munca și atingându-și obiectivele de securitate.

Procesul de management al securității este continuu. Începe cu evaluarea riscurilor și identificarea nevoilor, urmată de monitorizarea și evaluarea sistemelor și practicilor. Aceasta este urmată de creșterea gradului de conștientizare în rândul angajaților companiei, ceea ce asigură înțelegerea problemelor care trebuie luate în considerare. Ultimul pas este de a implementa politici și măsuri de protecție menite să reducă riscurile și să răspundă nevoilor identificate în primul pas. Apoi ciclul începe din nou. Astfel, acest proces analizează și monitorizează în mod constant securitatea companiei, permițându-i acesteia să se adapteze și să evolueze în funcție de nevoile de securitate și de mediul în care compania există și își desfășoară activitatea.

Managementul securității se modifică în timp pe măsură ce se schimbă mediu de rețea, calculatoare și aplicații care procesează informații. Internetul, extranet-urile (rețelele partenerilor de afaceri) și intraneturile fac securitatea nu numai mai complexă, ci și mai critică. Miez arhitectura de retea s-a schimbat de la calcularea autonomă localizată la un mediu de calcul distribuit, ceea ce și-a crescut complexitatea. În timp ce accesul la Internet intranet oferă utilizatorilor o serie de capabilități și facilități importante, crește expunerea unei companii la Internet, ceea ce poate crea riscuri suplimentare de securitate.

Astăzi, majoritatea organizațiilor nu vor putea funcționa fără computere și capabilitățile lor de calcul. Multe corporații mari și-au dat deja seama că datele lor sunt un activ critic care trebuie protejat la fel ca clădirile, echipamentele și alte active fizice. Securitatea trebuie să se schimbe pe măsură ce rețelele și mediile se schimbă. Securitatea este mai mult decât doar firewallși un router cu o listă de control al accesului. Aceste sisteme sunt, fără îndoială, importante, dar gestionarea a ceea ce fac utilizatorii și a procedurilor pe care le urmează este mult mai importantă pentru securitate. Acest lucru ne aduce la practica managementului securității, care se concentrează pe protecția continuă a activelor unei companii.

În lumea securității, responsabilitățile unui lider includ stabilirea de obiective, limite, politici, priorități și strategii. Conducerea trebuie să definească limite clare și obiective relevante care se așteaptă să fie atinse ca rezultat al programului de siguranță. De asemenea, managementul trebuie să evalueze obiectivele de afaceri, riscurile de securitate, productivitatea utilizatorilor, cerințele funcționale și obiectivele. În cele din urmă, conducerea trebuie să stabilească pașii pentru a se asigura că aceste sarcini sunt alocate și abordate corect.

Multe companii privesc afacerile ca parte a ecuației și presupun că securitatea informațiilor și computerelor este responsabilitatea administratorului IT. Conducerea unor astfel de companii nu acceptă informații și securitatea calculatorului serios, făcând ca securitatea acestor companii să pară subdezvoltată, slab susținută, subfinanțată și un eșec. Siguranța trebuie luată în considerare la nivel de conducere. Administratorul IT (sau Administratorul de securitate) poate sfătui conducerea cu privire la problemele de securitate, dar securitatea companiei nu ar trebui să fie delegată complet administratorului IT (Administratorul de securitate).

Managementul securității se bazează pe activele companiei clar identificate și evaluate. Odată ce activele sunt identificate și evaluate, politicile de securitate, procedurile, standardele și liniile directoare sunt implementate pentru a asigura integritatea, confidențialitatea și disponibilitatea acelor active. Sunt utilizate diverse instrumente pentru a clasifica datele, pentru a efectua analize și pentru a evalua riscurile. Aceste instrumente ajută la identificarea vulnerabilităților și la afișarea nivelului lor de criticitate, ceea ce vă permite să implementați contramăsuri eficiente pentru a reduce riscurile în cel mai optim mod. Este responsabilitatea conducerii să asigure protecția resurselor companiei în ansamblu. Aceste resurse sunt oameni, capital, echipamente și informații. Conducerea trebuie să fie implicată pentru a se asigura că programul de securitate este în vigoare, amenințările care afectează resursele companiei sunt abordate și pentru a se asigura că protecțiile necesare sunt eficiente.

Accesibilitatea trebuie asigurată resursele necesareși finanțare, cei responsabili trebuie să fie dispuși să se angajeze în programul de siguranță. Conducerea trebuie să atribuie responsabilități și să definească rolurile necesare pentru a iniția un program de securitate, pentru a asigura succesul acestuia și pentru a evolua pe măsură ce mediul se schimbă. De asemenea, managementul trebuie să integreze programul de securitate în mediul de afaceri existent și să le monitorizeze performanța. Sprijinul managementului este unul dintre cele mai importante părți programe de securitate.

În timpul planificării și implementării unui program de securitate, profesionistul în securitate trebuie să determine funcțiile îndeplinite și cele așteptate rezultatul final. Adesea, companiile încep pur și simplu să blocheze computerele și să instaleze firewall-uri fără a înțelege cerințele generale de securitate, obiectivele și nivelurile de încredere pe care le doresc de la securitatea în întregul mediu. Grupul implicat în acest proces ar trebui să înceapă de la vârf, cu idei și termeni foarte largi și să lucreze până la configurații detaliate și parametrii sistemului. În fiecare etapă, membrii echipei ar trebui să aibă în vedere obiectivele cheie de siguranță, astfel încât toată lumea componentă nouă a adăugat mai multe detalii la obiectivul corespunzător.

Politica de securitate este un fel de fundație pentru programul de securitate al companiei. Această politică trebuie luată în serios încă de la început și trebuie să fie integrată în conceptul de actualizare continuă pentru a se asigura că toate componentele de securitate funcționează întotdeauna și lucrează la obiectivele care sunt în concordanță cu obiectivele de afaceri.

Următorul pas este dezvoltarea și implementarea procedurilor, standardelor și liniilor directoare care susțin politica de securitate și definesc contramăsurile și tehnicile care trebuie utilizate pentru asigurarea securității. Odată ce aceste elemente au fost dezvoltate, programul de securitate ar trebui să fie detaliat prin dezvoltarea liniilor de bază și a configurațiilor pentru caracteristicile și metodele de securitate selectate.

Dacă securitatea se bazează pe o bază solidă și este concepută având în vedere scopuri și obiective, compania nu va trebui să facă schimbări semnificative în aceasta. În acest caz, procesul poate fi mai metodic, necesitând mai puțin timp, bani și resurse, atingând în același timp echilibrul potrivit între funcționalitate și securitate. Aceasta nu este o cerință, dar înțelegerea acesteia poate face ca abordarea companiei dumneavoastră față de securitate să fie mai gestionabilă. Puteți explica unei companii cum să planificați, să implementați și să impuneți securitatea într-un mod organizat, care evită o grămadă uriașă de controale de securitate care sunt dezarticulate și pline de defecte.

Pentru programul de securitate ar trebui să utilizați abordare de sus în jos , ceea ce înseamnă că inițiativa, sprijinul și direcția provin de la conducerea de vârf și trec prin managementul mediu către angajați. Opus abordare de jos în sus se referă la o situație în care departamentul IT încearcă să dezvolte un program de securitate pe cont propriu, fără îndrumarea și sprijinul adecvat din partea conducerii. Abordarea de jos în sus este de obicei mai puțin eficientă, destul de îngustă și sortită eșecului. O abordare de sus în jos asigură că programul este condus de oamenii (conducerea superioră) care sunt cu adevărat responsabili pentru protejarea activelor companiei.



Dacă rolul de administrator de securitate nu există, conducerea trebuie să creeze unul. Rolul de administrator de securitate este direct responsabil pentru supravegherea aspectelor cheie ale programului de securitate. În funcție de organizație, dimensiunea acesteia și nevoile de securitate, administrarea securității poate fi gestionată de o persoană sau de un grup de angajați care lucrează central sau descentralizat. Indiferent de dimensiune, administrarea securității necesită o structură clară de raportare, o înțelegere a responsabilităților și capabilități de audit și monitorizare pentru a se asigura că nu există breșe de securitate cauzate de lipsa de comunicare sau înțelegere.

Proprietarii de informații trebuie să specifice ce utilizatori își pot accesa resursele și ce pot face cu acele resurse. Este datoria administratorului de securitate să se asigure că acest proces este implementat. Următoarele măsuri de protecție trebuie utilizate pentru a respecta instrucțiunile de siguranță:

  • Măsuri administrative includ dezvoltarea și publicarea de politici, standarde, proceduri și manuale, managementul riscurilor, selecția personalului, instruirea în domeniul securității și implementarea procedurilor de management al schimbării.
  • Tmăsuri tehnice (logice). includ implementarea și suportul mecanismelor de control al accesului, managementul parolelor și resurselor, metode de identificare și autentificare, dispozitive de securitate și setări de infrastructură.
  • Fmasuri fizice includ controlul accesului persoanelor la clădire și la diferite încăperi, utilizarea încuietorilor și eliminarea unităților de disc neutilizate și Unități CD-ROM, protecția perimetrului clădirii, detectarea intruziunilor, controlul mediului.
Figura 1-1 ilustrează lucrând împreună măsuri administrative, tehnice și de securitate fizică care asigură nivelul necesar de protecție.


Figura 1-1 Administrativ, tehnic și straturi fizice Măsurile de protecție trebuie să lucreze împreună pentru a proteja activele companiei


Proprietarul informațiilor de obicei, un angajat responsabil care face parte din echipa de conducere a companiei sau șeful departamentului relevant. Proprietarul de informații este obligat să asigure o protecție adecvată a datelor și este singurul responsabil pentru orice neglijență în protejarea activelor informaționale ale companiei. Angajatul care îndeplinește acest rol este responsabil pentru clasificarea informațiilor și specificarea modului în care aceste informații trebuie protejate. Dacă protecția datelor nu se bazează pe cerințele proprietarului informațiilor, dacă acesta nu controlează îndeplinirea cerințelor sale, conceptul poate fi încălcat grija cuvenită(grija cuvenită).

Ar trebui să existe o comunicare continuă între echipa de management al securității și conducerea superioară pentru a se asigura că programul de securitate primește suficient sprijin și conducerea ia deciziile necesare pentru a-l implementa. Adesea, conducerea superioară exclude complet implicarea lor în problemele de siguranță, nerecunoscând că atunci când apar incidente grave de siguranță, conducerea superioară este cea care va explica motivele partenerilor de afaceri, acționarilor și publicului. După un astfel de incident, atitudinea se schimbă radical, conducerea se implică pe cât posibil în probleme de siguranță. Ar trebui să existe un proces de comunicare continuă între echipa de management al securității și conducerea superioară pentru a asigura o relație bidirecțională.

Managementul inadecvat poate submina eforturile de securitate ale unei companii. Motive posibile Managementul inadecvat poate include înțelegerea insuficientă de către conducere a nevoilor de securitate ale companiei, competiția între securitate și alte obiective ale managementului, viziunea conducerii despre securitate ca o întreprindere costisitoare și inutilă și sprijinul pentru securitate de către conducerea companiei doar în cuvinte. Puternic și tehnologii utile, dispozitivele, software-ul, procedurile și metodologia oferă un anumit nivel de securitate, dar fără managementul complet al securității și suport de management, ele nu au nicio semnificație.

Există mai multe obiective mici și mari ale unui program de securitate, dar 3 principii de bază sunt prezente în toate programele: disponibilitate, integritate și confidențialitate. Se numește triada AIC (Disponibilitate, Integritate, Confidențialitate). Nivelul de securitate necesar pentru implementarea acestor principii variază în funcție de diverse firme, deoarece fiecare companie are propria sa combinație unică de obiective și nevoi de afaceri și de securitate. Toate mecanismele de apărare și securitate sunt implementate pentru a implementa unul (sau mai multe) dintre aceste principii, iar toate riscurile, amenințările și vulnerabilitățile sunt măsurate prin potențialul lor de a încălca unul sau toate principiile AIC. Triada AIC este prezentată în Figura 1-2.


Figura 1-2 triada AIC


Disponibilitate

Sistemele și rețelele trebuie să ofere un nivel suficient de predictibilitate combinat cu un nivel acceptabil de performanță. Aceștia trebuie să poată recupera rapid și în siguranță după defecțiuni, astfel încât productivitatea companiei să nu fie afectată negativ. „Punctele unice de defecțiune” ar trebui evitate, trebuie efectuate copii de siguranță, dacă este necesar, trebuie asigurat un anumit nivel de redundanță și ar trebui prevenite influențele negative din mediul extern. Este necesar să se introducă mecanisme de protecție împotriva interne și amenintari externe care pot afecta disponibilitatea și performanța rețelelor, sistemelor și informațiilor. Disponibilitate oferă persoanelor autorizate acces fiabil și în timp util la date și resurse.


Disponibilitatea sistemului poate fi afectată de hardware sau software. Trebuie utilizate echipamente redundante pentru a permite înlocuirea rapidă a sistemelor critice. Personalul de service trebuie să aibă tot cunoștințe necesareși să fie disponibil pentru tranziția în timp util la sisteme de rezervăși faceți setările corespunzătoare. Factorii externi, cum ar fi temperatura, umiditatea, electricitatea statică, praful pot afecta, de asemenea, disponibilitatea sistemului. Aceste probleme sunt discutate în detaliu în Domeniul 04.

Atacurile DoS sunt o tehnică populară de hacker care perturbă operațiunile unei companii. Astfel de atacuri reduc capacitatea utilizatorilor de a accesa resursele și informațiile sistemului. Pentru a vă proteja împotriva lor, ar trebui să limitați numărul de porturi disponibile, să utilizați sisteme IDS, să controlați trafic de rețeași funcționarea computerelor. Setarea corectă firewall-urile și routerele pot reduce, de asemenea, amenințarea atacurilor DoS.

Integritate

Integritate oferă garanții privind acuratețea și fiabilitatea informațiilor și sistemelor informaționale care le furnizează și previne posibilitatea unor modificări neautorizate. Hardware-ul, software-ul și echipamentele de comunicații trebuie să conlucreze pentru a stoca și procesa corect datele și pentru a se asigura că se deplasează corect la destinație, nemodificate. Sistemele și rețelele trebuie protejate de interferențele externe.


Atacurile asupra sistemelor sau erorile utilizatorilor nu ar trebui să afecteze integritatea sistemelor și a datelor. Dacă un atacator instalează un virus, bombă logică sau backdoor, integritatea sistemului va fi compromisă. Acest lucru poate avea un impact negativ asupra integrității informațiilor stocate în sistem și poate duce la fraudă, modificări neautorizate ale software-ului și datelor. Pentru a combate aceste amenințări, sunt necesare sisteme stricte de control al accesului și de detectare a intruziunilor.

De obicei, utilizatorii influențează integritatea sistemelor sau a datelor prin erori (deși utilizatorii interni pot, de asemenea, să comită acte frauduloase sau rău intenționate). De exemplu, ștergerea accidentală a fișierelor de configurare, introducerea unei sume de tranzacție eronate etc.

Măsurile de securitate ar trebui să limiteze capacitățile utilizatorilor doar la setul minim necesar de funcții, ceea ce va reduce probabilitatea și consecințele greșelilor lor. Acces la critice fișiere de sistem ar trebui să fie limitat la utilizatori. Aplicațiile ar trebui să includă mecanisme de control al informațiilor primite pentru a verifica corectitudinea și caracterul adecvat al acestora. Drepturile de modificare a datelor din bazele de date ar trebui acordate numai persoanelor autorizate, iar datele transmise prin canalele de comunicare ar trebui protejate prin criptare sau alte mecanisme.



Confidențialitate

Confidențialitate asigură nivelul necesar de secretizare la fiecare punct de prelucrare a datelor și previne dezvăluirea neautorizată. Confidențialitatea trebuie asigurată atât la stocarea informațiilor, cât și la transmiterea acesteia.


Atacatorii pot încălca confidențialitatea interceptând traficul de rețea, spionând munca angajaților, furând fișiere cu parole, folosind inginerie socială. Utilizatorii pot dezvălui în mod intenționat sau accidental informații sensibile uitând să le cripteze înainte de a le trimite unei alte persoane, devenind victima unui atac de inginerie socială, oferind acces la informatii clasificate companie fără a furniza protectia necesaraîn timpul procesării informații confidențiale.

Confidențialitatea poate fi asigurată prin criptarea datelor în timpul stocării și transmisiei, implementarea unor sisteme stricte de control al accesului, clasificarea datelor și instruirea personalului cu privire la practicile adecvate de manipulare a informațiilor confidențiale.




Este important să înțelegeți sensul cuvintelor vulnerabilitate, amenințare, risc, impact și relația dintre ele.

Vulnerabilitate este o defecțiune în software, hardware sau procedură care ar putea permite unui atacator să obțină acces la un computer sau o rețea și să obțină acces neautorizat la resursele de informații ale companiei. Vulnerabilitatea este absența sau slăbiciunea măsurilor de protecție. Vulnerabilitatea ar putea fi un serviciu care rulează pe server, o aplicație sau un sistem de operare „nepattchat”, autentificare fără restricții printr-un pool de modem, un port deschis pe un firewall, securitate fizică slabă care permite oricui să intre în camera serverului sau lipsa parolei. management pe servere și stații de lucru.

Ameninţare reprezintă un pericol potențial pentru informații sau sistem. O amenințare este dacă cineva sau ceva descoperă prezența unei anumite vulnerabilități și o folosește împotriva unei companii sau persoane. Ceva care permite exploatarea unei vulnerabilități se numește sursa amenintarii (agent de amenințare). Sursa amenințării ar putea fi un hacker care a obținut acces la rețea printr-un port deschis pe firewall; un proces care accesează date într-un mod care încalcă politica de securitate; o tornadă care a distrus o clădire; un angajat care a comis o greșeală care ar putea duce la o scurgere de informații confidențiale sau la o încălcare a integrității fișierelor.

Risc este probabilitatea ca o sursă de amenințare să exploateze o vulnerabilitate, rezultând impact negativ pentru afaceri. Dacă un firewall are mai multe porturi deschise, există șanse mari ca un atacator să folosească unul dintre ele pentru a obține acces neautorizat la rețea. Dacă utilizatorii nu sunt instruiți în procesele și procedurile corecte, există o mare probabilitate ca aceștia să facă erori intenționate și neintenționate care ar putea duce la distrugerea datelor. Dacă nu este implementat în rețea Sistemul IDS, există o probabilitate mare ca faptul atacului să rămână nedetectat până când va fi prea târziu.

Impact (expunere) - acesta este ceva care duce la pierderi din cauza acțiunilor sursei amenințării. Vulnerabilitățile afectează compania, ducând la posibilitatea de deteriorare a acesteia. Dacă gestionarea parolelor este slabă și cerințele privind parola nu sunt implementate, compania este expusă potențialului ca parolele utilizatorilor să fie compromise și utilizate pentru acces neautorizat. Dacă o companie nu își întreține cablajul electric și ia măsuri pentru a preveni incendiile, este expusă efectelor potențiale ale incendiului.

Contramăsuri (sau masuri de protectie ) sunt măsuri a căror implementare reduce nivelul de risc potențial. Contramăsurile pot fi ajustări ale software-ului, hardware-ului sau procedurilor care elimină vulnerabilitățile sau reduc probabilitatea ca o sursă de amenințare să poată exploata o vulnerabilitate. Exemplele de contramăsuri includ gestionarea strictă a parolelor, securitatea, mecanismele de control al accesului la sistemul de operare, setarea parolelor BIOS și furnizarea de instruire pentru securitatea utilizatorilor.

Dacă o companie folosește software antivirus, dar nu își actualizează bazele de date cu semnături de viruși, aceasta este o vulnerabilitate. Compania este vulnerabilă la atacuri de virus. Amenințarea este că virusul va pătrunde în rețeaua companiei și va paraliza activitatea acesteia. Riscul în acest caz este probabilitatea ca un virus să intre în rețeaua companiei și să îi provoace daune. Dacă un virus pătrunde în rețeaua unei companii, vulnerabilitatea va fi exploatată și compania va fi expusă daunelor pe care le provoacă. Contramăsurile în această situație ar fi instalarea de software antivirus pe toate computerele companiei și păstrarea bazelor lor de semnături de viruși la zi. Relația dintre riscuri, vulnerabilități, amenințări și contramăsuri este prezentată în Figura 1-3.

Figura 1-3 Relația dintre diferitele componente de securitate


Legături

În prezent, sunt folosite diverse metode pentru evaluarea și gestionarea riscurilor informaționale ale companiilor. O evaluare a riscurilor informaționale ale unei companii poate fi efectuată în conformitate cu următorul plan:

1) Identificare și cuantificare resurse informaționale companii importante pentru afaceri.

2) Evaluarea posibilelor amenințări.

3) Evaluarea vulnerabilităților existente.

4) Evaluarea eficacității mijloacelor de securitate a informațiilor.

Se presupune că resursele informaționale vulnerabile ale companiei sunt în pericol dacă există amenințări împotriva lor. Cu alte cuvinte, riscurile caracterizează pericolul care poate amenința componentele unui sistem informațional corporativ. În același timp, riscurile informaționale ale companiei depind de:

Indicatori ai valorii resurselor informaţionale;

Probabilitatea amenințărilor la adresa resurselor;

Eficacitatea mijloacelor de securitate a informațiilor existente sau planificate.

Scopul evaluării riscurilor este de a determina caracteristicile de risc ale unui sistem informațional corporativ și resursele acestuia. După evaluarea riscurilor, puteți selecta instrumente care oferă nivelul dorit de securitate a informațiilor companiei. Atunci când se evaluează riscurile, sunt luați în considerare factori precum valoarea resurselor, importanța amenințărilor și vulnerabilităților și eficacitatea mijloacelor de protecție existente și planificate. Posibilitatea implementării unei amenințări pentru o anumită resursă a companiei este evaluată prin probabilitatea implementării acesteia într-o anumită perioadă de timp. În acest caz, probabilitatea ca amenințarea să fie realizată este determinată de următorii factori principali:

Atractivitatea resursei (luată în considerare atunci când se ia în considerare amenințarea din cauza influenței umane deliberate);

Capacitatea de a utiliza o resursă pentru a genera venituri (și în cazul unei amenințări din partea influenței umane intenționate);

Capacități tehnice de a implementa o amenințare cu influență umană deliberată;

Gradul de ușurință cu care poate fi exploatată o vulnerabilitate.

În prezent, managementul riscului informațional este unul dintre cele mai relevante și dinamice domenii ale managementului strategic și operațional în domeniul securității informațiilor. Sarcina sa principală este identificarea și evaluarea obiectivă a celor mai semnificative riscuri legate de informațiile de afaceri ale companiei, precum și adecvarea controalelor de risc utilizate pentru a crește eficiența și profitabilitatea activităților economice ale companiei. Prin urmare, sub termenul „management riscurile informaționale„de obicei înțeles proces de sistem identificarea, controlul și reducerea riscurilor informaționale ale companiilor în conformitate cu anumite restricții ale cadrului de reglementare rus în domeniul protecției informațiilor și propria politică de securitate corporativă. Se crede că managementul riscului de înaltă calitate permite utilizarea controalelor de risc și a măsurilor de securitate a informațiilor care sunt optime din punct de vedere al eficienței și costurilor și sunt adecvate scopurilor și obiectivelor actuale ale afacerii companiei.

Nu este un secret pentru nimeni că astăzi există o creștere pe scară largă a dependenței activităților de afaceri de succes ale companiilor autohtone de măsurile organizatorice și mijloacele tehnice de control și reducerea riscurilor utilizate. Pentru un management eficient al riscului informațional, au fost dezvoltate metode speciale, de exemplu, metode ale standardelor internaționale ISO 15408, ISO 17799 (BS7799), BSI; precum și standardele naționale NIST 80030, SAC, COSO, SAS 55/78 și unele altele similare acestora. În conformitate cu aceste metode, managementul riscului informațional al oricărei companii presupune următoarele. În primul rând, definirea scopurilor și obiectivelor principale de protecție a activelor informaționale ale companiei. În al doilea rând, crearea unui sistem eficient de evaluare și gestionare a riscurilor informaționale. În al treilea rând, calcularea unui set de evaluări detaliate nu numai calitative, ci și cantitative ale riscului, care sunt adecvate obiectivelor de afaceri declarate. În al patrulea rând, utilizarea unor instrumente speciale de evaluare și management al riscurilor.

Tehnici de management al riscului de calitate

Tehnicile de management al riscului de înaltă calitate au fost adoptate în țările dezvoltate tehnologic de o mare armată de auditori IT interni și externi. Aceste tehnici sunt destul de populare și relativ simple și sunt dezvoltate, de regulă, pe baza cerințelor standardului internațional ISO 177992002.

Standardul ISO 17799 conține două părți.

În partea 1: Recomandări practice pe Managementul Securității Informației, 2002, sunt identificate principalele aspecte ale organizării unui regim de securitate a informațiilor într-o companie: Politica de securitate.

Partea 2: Specificații, 2002, examinează aceleași aspecte din punctul de vedere al certificării regimului de securitate a informațiilor unei companii pentru conformitatea cu cerințele standardului. Din punct de vedere practic, această parte este un instrument pentru auditorul IT și vă permite să efectuați rapid un audit intern sau extern al securității informațiilor oricărei companii.

Metodele de management al riscului de calitate bazate pe cerințele ISO 17999 includ metodele COBRA și RA Software Tool. Să ne uităm pe scurt la aceste tehnici.

Această tehnică vă permite să efectuați automat cea mai simplă versiune de evaluare a riscurilor informaționale ale oricărei companii. Pentru a face acest lucru, se propune utilizarea bazelor de cunoștințe electronice speciale și a procedurilor de inferență logică axate pe cerințele ISO 17799. Este important ca, dacă se dorește, lista cerințelor luate în considerare să poată fi completată cu diferite cerințe ale autorităților de reglementare naționale. , de exemplu, cerințele documentelor de guvernare (DR) ale Comisiei Tehnice de Stat sub președintele Federației Ruse.

Metodologia COBRA prezintă cerințele standardului ISO 17799 sub formă de chestionare tematice (liste de verificare), la care trebuie să se răspundă în timpul evaluării riscurilor activelor informaționale ale companiei și tranzacțiilor comerciale electronice ( orez. 1. - Exemplu de culegere tematică de întrebări COBRA). În continuare, răspunsurile introduse sunt procesate automat, iar folosind regulile de inferență logică adecvate, este generat un raport final cu evaluări curente ale riscurilor informaționale ale companiei și recomandări pentru managementul acestora.

Instrument software RA

Metodologia și instrumentul software RA cu același nume ( orez. 2. - Principalele module ale metodologiei RA Software Tool) se bazează pe cerințele standardelor internaționale ISO 17999 și ISO 13335 (părțile 3 și 4), precum și pe cerințele unor linii directoare ale British Standards Institute (BSI), de exemplu PD 3002 (Ghid pentru evaluarea și managementul riscurilor) , PD 3003 (Companii de evaluare a pregătirii pentru audit în conformitate cu BS 7799), PD 3005 (Ghid pentru selectarea sistemelor de securitate), etc.

Această metodologie vă permite să efectuați evaluări ale riscurilor informaționale (Modulele 4 și 5) în conformitate cu cerințele ISO 17799 și, opțional, în conformitate cu specificațiile mai detaliate ale ghidului British Standards Institution PD 3002.

Tehnici cantitative de management al riscului

Al doilea grup de tehnici de management al riscului este format din tehnici cantitative, a căror relevanță este determinată de necesitatea de a rezolva diverse probleme de optimizare care apar adesea în viața reală. Esența acestor probleme se rezumă la găsirea unei singure soluții optime dintre multe dintre cele existente. De exemplu, este necesar să răspundem la următoarele întrebări: „Cum, rămânând în limita bugetului anual (trimestrial) aprobat pentru securitatea informațiilor, putem atinge nivelul maxim de securitate pentru activele informaționale ale companiei?” sau „Care dintre alternativele pentru construirea protecției informațiilor corporative (un site WWW securizat sau e-mail corporativ) ar trebui să aleg, ținând cont de limitările cunoscute ale resurselor de afaceri ale companiei?” Pentru a rezolva aceste probleme, se dezvoltă metode și tehnici de evaluare cantitativă și management al riscului bazate pe metode structurale și, mai rar, orientate pe obiecte de analiză și proiectare a sistemului (SSADM - Structured Systems Analysis and Design). În practică, astfel de tehnici de management al riscului vă permit: să creați modele ale activelor informaționale ale companiei din punct de vedere al securității;

Clasificarea și evaluarea valorilor activelor; Compilați liste cu cele mai semnificative amenințări de securitate și vulnerabilități; Clasificarea amenințărilor și vulnerabilităților de securitate;

Justificarea mijloacelor și măsurilor de control al riscurilor;

Evaluează eficacitatea/costul diferitelor opțiuni de protecție;

Managementul riscului în metodologia CRAMM se realizează în mai multe etape (Fig. 3).

La prima etapă de inițiere - „Inițiere” - se determină limitele sistemului informațional al companiei în studiu, compoziția și structura principalelor sale active de informații și tranzacții.

În etapa de identificare și evaluare a resurselor - „Identificarea și Evaluarea Activelor” - activele sunt clar identificate și se determină valoarea lor. Calcularea costului activelor informaționale vă permite în mod clar să determinați necesitatea și suficiența mijloacelor de control și protecție propuse.

În etapa de evaluare a amenințărilor și vulnerabilităților - „Evaluarea amenințărilor și vulnerabilităților” - amenințările și vulnerabilitățile activelor informaționale ale companiei sunt identificate și evaluate.

Etapa de analiză a riscului - „Analiza riscului” - vă permite să obțineți evaluări calitative și cantitative ale riscurilor.

În etapa de management al riscului - „Managementul riscului” - sunt propuse măsuri și mijloace pentru reducerea sau evitarea riscului.

Să ne uităm la capacitățile CRAMM folosind următorul exemplu. Să fie evaluate riscurile informaționale ale următorului sistem de informații corporative (Fig. 4).

În această diagramă, vom evidenția condiționat următoarele elemente ale sistemului: stații de lucru în care operatorii introduc informații provenite de la lumea exterioară;

un server de e-mail către care sunt primite informații de la nodurile de rețea la distanță prin Internet; server de procesare pe care este instalat SGBD;

server de rezervă;

locurile de muncă ale echipei de răspuns rapid; administrator de securitate la locul de muncă;

Identificarea resurselor și construirea unui model de sistem din punct de vedere al securității informațiilor. Se realizează identificarea resurselor: materiale, software și informații conținute în limitele sistemului. Fiecare resursă trebuie să fie atribuită uneia dintre clasele predefinite. Clasificarea resurselor fizice este dată în anexă. Apoi se construiește un model al sistemului informațional din punct de vedere al securității informaționale. Pentru fiecare proces de informare care are semnificație independentă din punctul de vedere al utilizatorului și se numește serviciu utilizator (EndUserService), se construiește un arbore de conexiuni a resurselor utilizate. În exemplul luat în considerare va exista un singur serviciu similar (Fig. 5). Modelul construit ne permite să identificăm elementele critice.

Valoarea resurselor. Tehnica vă permite să determinați valoarea resurselor. Acest pas este obligatoriu într-o analiză completă a riscului. Valoarea resurselor fizice în această metodă determinat de costul refacerii lor în caz de distrugere. Valoarea datelor și a software-ului este determinată în următoarele situații: indisponibilitatea unei resurse pentru o anumită perioadă de timp; distrugerea resurselor - pierderea informațiilor obținute de la ultima copie de rezervă sau distrugerea completă a acesteia; încălcarea confidenţialităţii în cazurile de acces neautorizat al membrilor personalului sau persoane neautorizate

; modificarea este luată în considerare pentru cazurile de erori minore de personal (erori de intrare), erori de software, erori intenționate;

erori asociate cu transferul de informații: refuzul livrării, nelivrarea informațiilor, livrarea la adresa greșită. Pentru a evalua eventualele daune, se propune utilizarea următoarelor criterii: prejudiciu adus reputației organizației; încălcarea legislației în vigoare; afectarea sănătății personalului; daune asociate cu dezvăluirea datelor personale ale persoanelor fizice; pierderi financiare din dezvăluirea de informații;

De exemplu, dacă datele conțin detalii despre informații comerciale confidențiale (critice), expertul care efectuează cercetarea pune întrebarea: cum ar putea afecta organizația accesul neautorizat la aceste informații de către persoane neautorizate?

Un posibil răspuns este: un eșec în mai mulți dintre parametrii enumerați mai sus, fiecare aspect ar trebui să fie luat în considerare mai detaliat și să i se atribuie cel mai mare rating posibil.

Apoi sunt dezvoltate scale pentru sistemul de parametri selectat. S-ar putea să arate așa.

Daune aduse reputației organizației: 2 - reacția negativă a oficialilor individuali, a personalităților publice; 4 - critica în mijloace mass-media, care nu are un răspuns public larg; 6 - reacția negativă a deputaților individuali ai Dumei, Consiliul Federației; 8 - critica în mass-media, care are consecinţe sub forma unor scandaluri majore, audieri parlamentare, inspecţii de amploare etc.; 10 - reacție negativă la nivelul Președintelui și Guvernului.

Daune aduse sănătății personalului: 2 - daune minime (consecințele nu sunt asociate cu spitalizarea sau tratamentul de lungă durată); 4 - daune de dimensiuni medii (tratamentul este necesar pentru unul sau mai mulți angajați, dar nu există consecințe negative pe termen lung); 6 - consecințe grave (spitalizare pe termen lung, invaliditate a unuia sau mai multor salariați); 10 - pierderea vieții.

Pierderi financiare asociate cu recuperarea resurselor: 2 - mai puțin de 1000 USD; 6 - de la 1000 USD la 10.000 USD; 8 - de la 10.000 USD la 100.000 USD; 10 - peste 100.000 USD.

Dezorganizarea activităților din cauza indisponibilității datelor: 2 - lipsa accesului la informații de până la 15 minute; 4 - lipsa accesului la informații de până la 1 oră; 6 - lipsa accesului la informații de până la 3 ore; 8 - lipsa accesului la informații timp de 12 ore; 10 - lipsa accesului la informații pentru mai mult de o zi.

În această etapă pot fi întocmite mai multe tipuri de rapoarte (limite de sistem, model, determinarea valorii resursei). Dacă valorile resurselor sunt scăzute, poate fi utilizată opțiunea de protecție de bază. În acest caz, cercetătorul poate trece direct de la această etapă la etapa de analiză a riscului. Cu toate acestea, pentru a lua în considerare în mod adecvat impactul potențial al oricărei amenințări, vulnerabilități sau combinații de amenințări și vulnerabilități care niveluri înalte, ar trebui utilizată o versiune scurtă a etapei de evaluare a amenințărilor și vulnerabilităților. Acest lucru ne permite să dezvoltăm un sistem mai eficient pentru protejarea informațiilor companiei.

În etapa de evaluare a amenințărilor și vulnerabilităților se evaluează dependențele serviciilor utilizatorilor de anumite grupuri de resurse și nivelul existent de amenințări și vulnerabilități.

În continuare, activele companiei sunt grupate în termeni de amenințări și vulnerabilități. De exemplu, în cazul unei amenințări de incendiu sau furt, este rezonabil să se considere toate resursele situate într-un singur loc (camera serverului, camera de comunicații etc.). un grup de resurse.

În același timp, evaluarea nivelurilor de amenințări și vulnerabilități poate fi efectuată pe baza unor factori indirecți sau pe baza evaluărilor directe ale experților. În primul caz, software-ul CRAMM generează pentru fiecare grup de resurse și fiecare dintre ele o listă de întrebări la care se poate răspunde fără ambiguitate ( orez. 8. -Evaluarea nivelului de amenințare la securitate pe baza unor factori indirecti).

Nivelul amenințărilor este evaluat, în funcție de răspunsuri, ca: foarte ridicat; ridicat; medie; scurt; foarte scăzut.

Nivelul de vulnerabilitate este evaluat, în funcție de răspunsuri, ca: ridicat; medie; scurt; absent.

Este posibil să corectați rezultatele sau să utilizați alte metode de evaluare. Pe baza acestor informații, nivelurile de risc sunt calculate pe o scară discretă cu gradații de la 1 la 7 (etapa de analiză a riscului). Nivelurile rezultate ale amenințărilor, vulnerabilităților și riscurilor sunt analizate și convenite cu clientul. Numai după aceasta puteți trece la etapa finală a metodei.

Managementul riscului. Principalele etape ale etapei de management al riscului sunt prezentate în Fig. 9.

În această etapă, CRAMM generează mai multe opțiuni de contramăsuri care sunt adecvate riscurilor identificate și nivelurilor acestora. Contramăsurile sunt împărțite în grupuri și subgrupe în următoarele categorii: Asigurarea securității la nivel de rețea. Asigurarea securității fizice. Asigurarea securității infrastructurii suport.

Măsuri de securitate la nivel de administrator de sistem.

În urma acestei etape, sunt generate mai multe tipuri de rapoarte.

Astfel, metodologia luată în considerare pentru analiza și managementul riscurilor este pe deplin aplicabilă în condițiile rusești, în ciuda faptului că indicatorii de securitate de la accesul neautorizat la informații și cerințele pentru protecția informațiilor diferă în RD rusești și standardele străine. Pare deosebit de utilă folosirea unor instrumente precum metoda CRAMM atunci când se efectuează analize de risc ale sistemelor informaționale cu cerințe sporite în domeniul securității informațiilor. Acest lucru vă permite să obțineți evaluări rezonabile ale nivelurilor existente și acceptabile de amenințări, vulnerabilități și eficacitatea protecției.

MethodWare și-a dezvoltat propria metodologie de evaluare și management al riscurilor și a lansat o serie de instrumente conexe. Aceste instrumente includ: Software de analiză și management al riscului Operational Risk Builder și Risk Advisor. Metodologia respectă standardul de management al riscului din Australia/Noua Zeelandă (AS/NZS 4360:1999) și ISO17799.

Software-ul de management al ciclului de viață al tehnologiei informației în conformitate cu CobiT Advisor 3rd Edition (Audit) și CobiT 3rd Edition Management Advisor. Orientările CobiT pun un accent semnificativ pe analiza și managementul riscurilor. Software pentru automatizarea construirii diverselor chestionare Questionnaire Builder. Să aruncăm o privire rapidă la caracteristicile Risk Advisor. Acest software este poziționat ca un set de instrumente pentru un analist sau manager în domeniul securității informațiilor. A fost implementată o metodologie care vă permite să setați un model al unui sistem informațional din perspectiva securității informațiilor, pentru a identifica riscurile, amenințările și pierderile ca urmare a incidentelor. Principalele etape ale lucrării sunt: ​​descrierea contextului, identificarea riscurilor, evaluarea amenințărilor și a posibilelor daune, dezvoltarea acțiunilor de control și elaborarea unui plan de recuperare și a acțiunilor în situatii de urgenta. Să ne uităm la acești pași mai detaliat. Descrierea riscurilor. Se stabilește matricea de risc ( orez. 10. - Identificarea și definirea riscurilor în Risk Advisor) pe baza unui șablon. Riscurile sunt evaluate pe o scară calitativă și împărțite în acceptabile și inacceptabile (

orez. 11. - Separarea riscurilor în acceptabile și inacceptabile în Risk Advisor). Apoi, acțiunile de control (contramăsuri) sunt selectate ținând cont de sistemul de criterii înregistrat anterior, de eficacitatea contramăsurilor și de costul acestora. Costul și eficacitatea sunt, de asemenea, evaluate pe scale calitative.

Descrierea amenințărilor.În primul rând, se formează o listă de amenințări. Amenințările sunt clasificate într-un anumit fel, apoi este descrisă relația dintre riscuri și amenințări. Descrierea se face și la nivel calitativ și ne permite să consemnăm relațiile lor.

Descrierea pierderilor. Sunt descrise evenimentele (consecințele) asociate cu încălcarea regimului de securitate a informațiilor. Pierderile sunt evaluate în sistemul de criterii selectat.

Metodologia luată în considerare vă permite să automatizați diverse aspecte ale managementului riscului companiei. În acest caz, evaluările riscurilor sunt date pe scale calitative. Nu este furnizată o analiză detaliată a factorilor de risc. Punctul forte al metodologiei luate în considerare este capacitatea de a descrie diverse relații, luarea în considerare adecvată a multor factori de risc și intensitatea muncii semnificativ mai scăzută în comparație cu CRAMM.

Concluzie

Metodele și tehnologiile moderne de gestionare a riscurilor informaționale fac posibilă evaluarea nivelului existent al riscurilor informaționale reziduale în companiile naționale. Acest lucru este deosebit de important în cazurile în care sunt impuse cerințe sporite asupra sistemului informațional al companiei în domeniul protecției informațiilor și al continuității afacerii În prezent, există o serie de tehnici de analiză a riscurilor, inclusiv utilizarea instrumentelor CASE, adaptate pentru utilizare în condiții interne . Este important ca o analiză de înaltă calitate a riscurilor informaționale să permită o analiză comparativă a „eficacității-cost” a diferitelor opțiuni de protecție, selectarea contramăsurilor și controalelor adecvate și evaluarea nivelului riscurilor reziduale. În plus, instrumentele de analiză a riscurilor bazate pe baze de cunoștințe moderne și proceduri de inferență fac posibilă construirea de modele structurale și orientate pe obiecte ale activelor informaționale ale unei companii, modele de amenințare și modele de risc asociate cu informații individuale și tranzacții comerciale și, prin urmare, identificarea unei astfel de companii. activele informaționale riscul de încălcare a securității este critic, adică inacceptabil. Astfel de instrumente oferă posibilitatea de a construi diverse modele de protejare a activelor informaționale ale unei companii, de a compara diferite opțiuni pentru seturi de măsuri de protecție și control utilizând criteriul „eficacitate și cost”, precum și de a monitoriza respectarea cerințelor pentru organizarea unui regim de securitate a informațiilor pentru un companie internă.

În practică, sunt utilizate abordări cantitative și calitative pentru evaluarea riscurilor de securitate a informațiilor. Care este diferența?

Metoda cantitativă

Evaluarea cantitativă a riscurilor este utilizată în situațiile în care amenințările care sunt studiate și riscurile asociate acestora pot fi comparate cu valori cantitative finale exprimate în bani, dobândă, timp, resurse umane etc. Metoda vă permite să obțineți valori specifice ale obiectelor de evaluare a riscurilor atunci când sunt realizate amenințări la securitatea informațiilor.

În abordarea cantitativă, tuturor elementelor evaluării riscului li se atribuie valori cantitative specifice și realiste. Algoritmul pentru obținerea acestor valori ar trebui să fie clar și ușor de înțeles. Obiectul evaluării poate fi valoarea bunului în termeni monetari, probabilitatea realizării amenințării, prejudiciul cauzat de amenințare, costul măsurilor de protecție etc.

Cum se evaluează cantitativ riscurile?

1. Determinați valoarea activelor informaționale în termeni monetari.

2. Evaluați în termeni cantitativi daunele potențiale din implementarea fiecărei amenințări în raport cu fiecare activ informațional.

Este necesar să se obțină răspunsuri la întrebările „Care parte din valoarea activului va fi prejudiciul din implementarea fiecărei amenințări?”, „Care este costul prejudiciului în termeni monetari dintr-un singur incident în timpul implementării acestui amenințare la adresa acestui bun?”

3. Determinați probabilitatea implementării fiecăreia dintre amenințările la securitatea informațiilor.

Pentru a face acest lucru, puteți utiliza date statistice, sondaje ale angajaților și părților interesate. În procesul de determinare a probabilității, calculați frecvența incidentelor asociate cu implementarea amenințării considerate pentru securitatea informațiilor pe perioada de control (de exemplu, un an).

4. Determinați daunele potențiale totale de la fiecare amenințare în raport cu fiecare activ pe perioada de control (un an).

Valoarea se calculează prin înmulțirea daunei unice cauzate de amenințare cu frecvența amenințării.

5. Analizați datele de daune primite pentru fiecare amenințare.

Pentru fiecare amenințare, trebuie luată o decizie: acceptați riscul, reduceți riscul sau transferați riscul.

Acceptarea unui risc înseamnă recunoașterea acestuia, acceptarea posibilității sale și continuarea acțiunii ca înainte. Aplicabil pentru amenințări cu daune reduse și probabilitate scăzută de apariție.

Reducerea riscului înseamnă introducerea unor măsuri suplimentare și echipamente de protecție, instruirea personalului etc. Adică efectuarea unor lucrări deliberate pentru reducerea riscului. În același timp, este necesar să se evalueze cantitativ eficacitatea măsurilor și mijloacelor de protecție suplimentare. Toate costurile suportate de organizație, de la achiziționarea de echipamente de protecție până la punerea în funcțiune (inclusiv instalare, configurare, instruire, întreținere etc.), nu trebuie să depășească valoarea daunelor cauzate de amenințare.

A transfera riscul înseamnă a transfera consecințele riscului către un terț, de exemplu, prin asigurare.

Ca rezultat al evaluării cantitative a riscului, ar trebui determinate următoarele:

  • valoarea activelor în termeni monetari;
  • lista completa toate amenințările la securitatea informațiilor cu daune de la un singur incident pentru fiecare amenințare;
  • frecvența de implementare a fiecărei amenințări;
  • daune potențiale de la fiecare amenințare;
  • Măsuri de securitate, contramăsuri și acțiuni recomandate pentru fiecare amenințare.

Analiza cantitativă a riscului de securitate a informațiilor (exemplu)

Să luăm în considerare tehnica folosind exemplul serverului web al unei organizații, care este folosit pentru a vinde un anumit produs. Cantitativ o dată daunele cauzate de o defecțiune a serverului pot fi estimate ca rezultat al chitanței medii de achiziție și al numărului mediu de solicitări pentru un anumit interval de timp, egal cu timpul de nefuncționare a serverului. Să presupunem că costul daunelor unice cauzate de o defecțiune directă a serverului va fi de 100 de mii de ruble.

Acum este necesar să se evalueze prin mijloace experte cât de des poate apărea o astfel de situație (ținând cont de intensitatea funcționării, calitatea sursei de alimentare etc.). De exemplu, luând în considerare opinia experților și informatii statistice, înțelegem că serverul poate eșua de până la 2 ori pe an.

Înmulțind aceste două cantități, obținem asta medie anuală daunele cauzate de amenințarea eșecului direct al serverului se ridică la 200 de mii de ruble pe an.

Aceste calcule pot fi folosite pentru a justifica alegerea măsurilor de protecție. De exemplu, implementarea unui sistem alimentare neîntreruptibilăși sistemele de rezervă cu un cost total de 100 de mii de ruble pe an vor minimiza riscul de defecțiune a serverului și vor fi o soluție complet eficientă.

Metoda calitativă

Din păcate, nu este întotdeauna posibil să se obțină o expresie specifică a obiectului evaluării din cauza incertitudinii mari. Cum să evaluăm cu exactitate prejudiciul adus reputației unei companii atunci când apar informații despre un incident de securitate a informațiilor? În acest caz, se utilizează o metodă calitativă.

Abordarea calitativă nu utilizează expresii cantitative sau monetare pentru obiectul evaluat. În schimb, obiectului evaluării i se atribuie un indicator clasat pe o scală de trei puncte (scăzut, mediu, ridicat), cinci puncte sau zece puncte (0... 10). Pentru a colecta date pentru evaluarea calitativă a riscurilor, sunt utilizate anchete ale grupurilor țintă, interviuri, chestionare și întâlniri personale.

Analiza riscului de securitate a informațiilor folosind o metodă calitativă ar trebui efectuată cu implicarea angajaților cu experiență și competență în domeniul în care sunt luate în considerare amenințările.

Cum se efectuează o evaluare bună a riscurilor:

1. Determinați valoarea activelor informaționale.

Valoarea unui activ poate fi determinată de nivelul de criticitate (consecințe) dacă sunt încălcate caracteristicile de securitate (confidențialitate, integritate, disponibilitate) ale unui activ informațional.

2. Determinați probabilitatea apariției unei amenințări în legătură cu un activ de informații.

Pentru a evalua probabilitatea realizării unei amenințări, poate fi utilizată o scară calitativă pe trei niveluri (scăzut, mediu, ridicat).

3. Determinați nivelul posibilității de implementare cu succes a amenințării, ținând cont de starea actuală a securității informațiilor, măsurile implementate și mijloacele de protecție.

Pentru a evalua nivelul posibilității ca o amenințare să fie realizată, se poate folosi și o scală calitativă pe trei niveluri (scăzut, mediu, ridicat). Valoarea de fezabilitate a amenințării indică cât de fezabil este îndeplinirea cu succes a amenințării.

4. Trageți o concluzie despre nivelul de risc pe baza valorii activului informațional, a probabilității ca amenințarea să fie realizată și a posibilității ca amenințarea să fie realizată.

Pentru a determina nivelul de risc, puteți utiliza o scală de cinci sau zece puncte. Atunci când determinați nivelul de risc, puteți utiliza tabele de referință care oferă o înțelegere a combinațiilor de indicatori (valoare, probabilitate, oportunitate) care conduc la ce nivel de risc.

5. Analizați datele obținute pentru fiecare amenințare și nivelul de risc obținut pentru aceasta.

Adesea, echipa de analiză a riscurilor folosește conceptul de „nivel acceptabil de risc”. Acesta este nivelul de risc pe care compania este dispusă să-l accepte (dacă amenințarea are un nivel de risc mai mic sau egal cu acceptabil, atunci nu este considerat relevant). Sarcina globală într-o evaluare calitativă este de a reduce riscurile la un nivel acceptabil.

6. Dezvoltați măsuri de securitate, contramăsuri și acțiuni pentru fiecare amenințare curentă pentru a reduce nivelul de risc.

Ce metodă ar trebui să alegi?

Scopul ambelor metode este de a înțelege riscurile reale ale securității informațiilor unei companii, de a determina o listă de amenințări curente și de a selecta contramăsuri și mijloace eficiente de protecție. Fiecare metodă de evaluare a riscurilor are propriile sale avantaje și dezavantaje.

Metoda cantitativă dă reprezentare vizualăîn bani pentru obiectele de evaluare (daune, costuri), dar este mai intensivă în muncă și în unele cazuri inaplicabil.

Metoda calitativă vă permite să efectuați o evaluare a riscurilor mai rapid, dar evaluările și rezultatele sunt mai subiective și nu oferă o înțelegere clară a prejudiciului, costurilor și beneficiilor implementării securității informațiilor.

Alegerea metodei trebuie făcută pe baza specificului unei anumite companii și a sarcinilor atribuite specialistului.

Stanislav Shilyaev, manager de proiect securitatea informațiilor la SKB Kontur

Unul dintre cele mai importante aspecte Implementarea politicii de securitate a informațiilor constă în analiza amenințărilor, evaluarea fiabilității acestora și a severității consecințelor probabile. În realitate, riscul apare acolo unde există probabilitatea apariției unei amenințări, iar magnitudinea riscului este direct proporțională cu magnitudinea acestei probabilități (Fig. 4.11).

Esența activităților de management al riscului este evaluarea dimensiunii acestora, dezvoltarea măsurilor de atenuare și crearea unui mecanism care să asigure că riscurile reziduale nu depășesc limitele acceptabile. Astfel, managementul riscului presupune două activități: evaluarea riscurilor și selectarea mecanismelor de protecție și de reglementare eficiente și rentabile. Procesul de management al riscului poate fi împărțit în următoarele etape [Galatenko V. A., 2006]:

  • identificarea activelor și valorilor resurselor care au nevoie de protecție;
  • selectarea obiectelor analizate și gradul de detaliu al luării în considerare a acestora;
  • analiza amenințărilor și a consecințelor acestora, identificarea punctelor slabe în protecție;
  • clasificarea riscurilor, selectarea metodologiei și a evaluării riscurilor;
  • selectarea, implementarea și testarea măsurilor de protecție;
  • evaluarea riscului rezidual.

Orez. 4.11. Incertitudinea ca bază pentru formarea riscului

Politica de securitate a informațiilor include dezvoltarea unei strategii de gestionare a riscurilor de diferite clase.

O listă scurtă a celor mai frecvente amenințări a fost dată mai sus (a se vedea clauza 17.2). Este recomandabil să identificați nu numai amenințările în sine, ci și sursele apariției lor - acest lucru va ajuta la evaluarea corectă a riscului și la selectarea măsurilor de neutralizare adecvate. De exemplu, autentificarea ilegală la un sistem crește riscul ghicirii parolei sau ca un utilizator sau echipament neautorizat să se conecteze la rețea.

Este evident că pentru a contracara fiecare metodă de intrare ilegală este nevoie de propriile mecanisme de securitate. După identificarea unei amenințări, este necesar să se evalueze probabilitatea implementării acesteia și amploarea daunelor potențiale.

Atunci când se evaluează gravitatea prejudiciului, este necesar să se țină cont nu numai de costurile imediate de înlocuire a echipamentului sau de restabilire a informațiilor, ci și de cele mai îndepărtate, în special, subminând reputația companiei, slăbirea poziției acesteia pe piață etc.

După identificarea și analizarea amenințărilor și a posibilelor consecințe ale acestora, există mai multe abordări ale managementului: evaluarea riscului, reducerea riscului, evitarea riscului, modificarea naturii riscului, acceptarea riscului, dezvoltarea măsurilor corective (Fig. 4.12).

Orez. 4.12. Cadrul de management al riscului

La identificarea activelor și resurselor informaționale - acele valori care trebuie protejate - ar trebui să se ia în considerare nu numai componentele sistemului informațional, ci și infrastructura suport, personalul și activele necorporale, inclusiv ratingul și reputația actuală a companiei. . Cu toate acestea, unul dintre principalele rezultate ale procesului de identificare a activelor este obținerea detaliilor structura informatiei organizare și modalități de utilizare.


Selecția obiectelor analizate și gradul de detaliu al luării în considerare a acestora este următorul pas în evaluarea riscurilor. Pentru o organizație mică, este acceptabil să se ia în considerare întregul infrastructura informaţională, pentru unul mare, ar trebui să vă concentrați pe cele mai importante servicii (critice). Dacă servicii importante multe, apoi sunt selectate acelea ale căror riscuri sunt evident mari sau necunoscute. Dacă baza de informatii organizația este o rețea locală, atunci numărul de obiecte hardware ar trebui să includă computere, dispozitive periferice, interfețe externe, managementul cablurilor și echipamente active de rețea.

Obiectele software ar trebui să includă sisteme de operare (rețea, server și client), aplicații software, instrumente, programe de gestionare a rețelei și subsisteme individuale. Este important să înregistrați în ce noduri de rețea este stocat software-ul, unde și cum este utilizat. Al treilea tip obiecte informaţionale sunt date care sunt stocate, procesate și transmise prin rețea. Datele ar trebui clasificate în funcție de tipul și gradul de confidențialitate, locul în care sunt stocate și prelucrate, precum și modalitatea de accesare a acestora. Toate acestea sunt importante pentru evaluarea riscurilor și consecințelor încălcărilor securității informațiilor.

Evaluarea riscurilor se realizează pe baza datelor inițiale acumulate și a unei evaluări a gradului de certitudine a amenințărilor. Este destul de acceptabil să folosiți o metodă atât de simplă, cum ar fi înmulțirea probabilității apariției unei amenințări cu valoarea prejudiciului așteptat. Dacă folosim o scară de trei puncte pentru probabilitate și daune, atunci vor exista șase produse posibile: 1, 2, 3, 4, 6 și 9. Primele două rezultate pot fi clasificate ca risc scăzut, al treilea și al patrulea - ca mediu, iar ultimele două - la fel de ridicate. Această scară poate fi utilizată pentru a evalua acceptabilitatea riscurilor.

Dacă se constată că riscurile sunt inacceptabil de mari, trebuie implementate măsuri de protecție suplimentare. Pentru a elimina sau reduce slăbiciunea care face ca o amenințare periculoasă să fie reală, pot fi utilizate mai multe mecanisme de securitate care diferă ca eficacitate și cost scăzut. De exemplu, dacă există un risc ridicat de autentificare ilegală, puteți introduce parole lungi, puteți utiliza un program de generare a parolelor sau puteți achiziționa un sistem de autentificare integrat bazat pe carduri inteligente. Dacă există posibilitatea de deteriorare intenționată a serverelor pentru diverse scopuri, care poate avea consecințe grave, puteți limita accesul fizic al personalului la sălile de servere și puteți consolida securitatea acestora.

Tehnologia de evaluare a riscurilor trebuie să combine metrica formală și formarea unor indicatori cantitativi reali pentru evaluare. Cu ajutorul lor, este necesar să răspundem la două întrebări: sunt acceptabile? riscurile existenteși, dacă nu, ce agenți de protecție sunt rentabili de utilizat.

Orez. 4.13. Cadrul de evaluare și atenuare a riscurilor

Metodologia de reducere a riscului. Multe riscuri pot fi reduse semnificativ prin utilizarea unor contramăsuri simple și ieftine. De exemplu, controlul accesului competent (reglementat) reduce riscul intruziunii neautorizate. Unele clase de riscuri pot fi evitate - mutarea serverului web al organizației în afara rețelei locale evită riscul accesului neautorizat la retea locala de la clienții Web. Unele riscuri nu pot fi reduse la o valoare mică, ci după implementare set standard Contramăsurile pot fi luate prin monitorizarea constantă a riscului rezidual (Fig. 4.13).

O evaluare a costului măsurilor de protecție ar trebui să țină seama nu numai de costurile directe ale achiziției de echipamente și/sau software, ci și de costurile de introducere a noilor produse, de formare și recalificare a personalului. Acest cost poate fi exprimat pe o anumită scară și apoi comparat cu diferența dintre riscul calculat și riscul acceptabil. Dacă, conform acestui indicator, remediul se dovedește a fi profitabil din punct de vedere economic, acesta poate fi acceptat pentru o analiză ulterioară.

Orez. 4.14. Proces iterativ de management al riscului

Controlul riscurilor reziduale în obligatoriu incluse în controlul actual al sistemului de securitate a informațiilor. Când măsurile planificate au fost luate, este necesar să se verifice eficacitatea acestora - pentru a se asigura că riscurile reziduale au devenit acceptabile. În cazul unei creșteri sistematice a riscurilor reziduale, este necesar să se analizeze greșelile comise și să se ia imediat măsuri corective.

Managementul riscului este un proces iterativ în mai multe etape (Figura 4.14).

Aproape toate etapele sale sunt interconectate și, la finalizarea aproape oricăreia dintre ele, poate deveni evidentă nevoia de a reveni la cea anterioară. Astfel, la identificarea activelor, se poate înțelege că limitele de analiză selectate ar trebui extinse și gradul de detaliu crescut. Analiza primară este deosebit de dificilă atunci când mai multe întoarceri la început sunt inevitabile. Managementul riscului este o problemă tipică de optimizare; dificultatea fundamentală constă în formularea sa competentă la nivelul managementului de vârf, combinarea metodelor optime și descrierea datelor inițiale (Fig. 4.15).

Orez. 4.15. Formarea activităților de management al riscului IT

Metodologiile de Evaluare a Riscului și Management al Riscului au devenit parte integrantă a activităților din domeniul Continuității Afacerii și Securității Informației. Programul de implementare a SI și seturile de politici se bazează pe un set de acțiuni sistemice și pași practici (Fig. 4.16-Fig. 4.19).

Orez. 4.16. Set de acțiuni sistemice și pași practici (1)

Orez. 4.17. Seturi de acțiuni sistemice și pași practici (2)

Orez. 4.18. Seturi de acțiuni sistemice și pași practici (3)

Orez. 4.19. Seturi de acțiuni sistemice și pași practici (4)

Mai mult de o duzină diferite standarde internaționaleși specificații care detaliază procedurile de management al riscului informațional: ISO 15408: 1999 („Common Criteria pentru Informare Technology Security Evaluation"), ISO 17799:2002 ("Codul de practică pentru managementul securității informațiilor"), NIST 80030, SAS 78/94, COBIT.

Metodologia și instrumentul RA Software Tool se bazează pe cerințele standardelor internaționale ISO 17999 și ISO 13335 (părțile 3 și 4), precum și pe cerințele ghidurilor British National Standards Institute (BSI) - PD 3002 ("Ghid la evaluarea și managementul riscurilor"), PD 3003 (Evaluarea pregătirii unei companii pentru audit în conformitate cu BS 7799), PD 3005 (Ghid pentru selectarea unui sistem de securitate).

În practică, astfel de tehnici de management al riscului vă permit să:

  • să creeze modele ale activelor informaționale ale companiei din punct de vedere al securității;
  • clasifică și evaluează valorile activelor;
  • alcătuiește liste cu cele mai semnificative amenințări de securitate și vulnerabilități;
  • clasarea amenințărilor de securitate și a vulnerabilităților;
  • să evalueze și să gestioneze riscurile;
  • elaborarea de măsuri corective;
  • justificarea mijloacelor și măsurilor de control al riscurilor;
  • evaluează eficiența/costul diferitelor opțiuni de protecție;
  • formalizează și automatizează procedurile de evaluare și management al riscurilor.

Managementul riscului include o serie de etape importante, care sunt incluse în mod necesar în lucrările planificate pentru asigurarea securității informațiilor (Fig. 4.20).

Utilizarea unui software adecvat poate reduce complexitatea efectuării analizei de risc și a selectării contramăsurilor. În prezent, au fost dezvoltate peste o duzină de produse software pentru a analiza și gestiona riscurile la un nivel de bază de securitate. Un exemplu este suficient remediu simplu este pachetul software BSS (Baseline Security Survey, Marea Britanie).

Mai multe produse software clasa inalta: CRAMM (Insight Consulting Limited, Marea Britanie), Risk Watch, COBRA (Obiectiv consultativ și Analiză de risc bifuncțională), Buddy System. Cea mai populară dintre ele este CRAMM (Complex Risk Analysis and Management Method), care implementează o metodă de analiză și control al riscurilor. Un avantaj semnificativ al metodei este capacitatea de a efectua un studiu detaliat într-un timp scurt, cu o documentare completă a rezultatelor.

Orez. 4.20. Etapele managementului riscului

Metode precum CRAMM se bazează pe o abordare integrată a evaluării riscurilor, combinând metode de analiză cantitativă și calitativă. Metoda este universală și potrivită atât pentru organizațiile mari, cât și pentru cele mici, atât în ​​sectorul guvernamental, cât și în cel comercial.

LA punctele forte Metoda CRAMM include următoarele:

  • CRAMM este o metodă de analiză a riscului bine structurată și testată pe scară largă, care produce rezultate reale, practice;
  • Instrumentele software CRAMM pot fi utilizate în toate etapele unui audit de securitate SI;
  • la miez produs software există o bază de cunoștințe destul de mare privind contramăsurile în domeniul securității informațiilor, pe baza recomandărilor standardului BS 7799;
  • flexibilitatea și versatilitatea metodei CRAMM îi permit să fie utilizat pentru auditarea IP de orice nivel de complexitate și scop;
  • CRAMM poate fi folosit ca instrument pentru a dezvolta planul de continuitate a afacerii și politicile de securitate a informațiilor unei organizații;
  • CRAMM poate fi folosit ca mijloc de documentare a mecanismelor de securitate IS.

Pentru organizațiile comerciale există un profil comercial al standardelor de securitate (Profil comercial), pentru organizațiile guvernamentale - guvern (Profil guvernamental). Versiunea guvernamentală a profilului permite, de asemenea, audituri de conformitate standard american TCSEC (Cartea portocalie).