Thực đơn
trang chủKỹ thuật

Các phương pháp tính toán rủi ro an toàn thông tin. Phân tích các phương pháp đánh giá rủi ro IB hiện có và phát triển phương pháp riêng của chúng tôi cho ngành ngân hàng

NRU ITMO, *****@***com

Người hướng dẫn khoa học - Tiến sĩ Khoa học Kỹ thuật, Giáo sư NRU ITMO, *****@

chú thích

Bài viết thảo luận về các phương pháp tính toán rủi ro bảo mật thông tin và đưa ra so sánh chỉ ra những thiếu sót nghiêm trọng. Một đề xuất được trình bày để sử dụng phương pháp đánh giá rủi ro của riêng chúng tôi.

Từ khóa: rủi ro, hệ thống thông tin, an toàn thông tin, phương pháp tính toán rủi ro, đánh giá rủi ro, tài sản thông tin.

Giới thiệu

Hệ thống quản lý rủi ro bảo mật thông tin (IS) là một nhiệm vụ cấp bách ở tất cả các giai đoạn của tổ hợp bảo mật thông tin. Đồng thời, không thể quản lý rủi ro nếu không đánh giá chúng trước tiên, việc này phải được thực hiện bằng một số phương pháp. Ở giai đoạn đánh giá rủi ro, mối quan tâm lớn nhất nằm trực tiếp ở các công thức và dữ liệu đầu vào để tính toán giá trị rủi ro. Bài viết phân tích một số phương pháp khác nhau để tính toán rủi ro và trình bày phương pháp riêng của mình. Mục tiêu của công việc là rút ra một công thức tính toán rủi ro bảo mật thông tin, cho phép chúng tôi thu được một loạt rủi ro hiện tại và ước tính tổn thất bằng tiền.

Rủi ro bảo mật thông tin ở dạng cổ điển được định nghĩa là hàm của ba biến:

    khả năng xảy ra mối đe dọa; khả năng dễ bị tổn thương (mất an ninh); tác động tiềm ẩn.

Nếu bất kỳ biến nào trong số này tiến tới 0 thì tổng rủi ro cũng tiến tới 0.

Phương pháp đánh giá rủi ro

ISO/IEC 27001 Về phương pháp tính toán giá trị rủi ro, quy định rằng phương pháp được chọn phải đảm bảo rằng việc đánh giá rủi ro tạo ra các kết quả có thể so sánh và tái tạo được. Tuy nhiên, tiêu chuẩn không đưa ra công thức tính toán cụ thể.

NIST 800-30 đưa ra công thức tính toán rủi ro cổ điển:

trong đó R là giá trị rủi ro;

P(t) - xác suất xảy ra mối đe dọa an toàn thông tin (sử dụng kết hợp thang đo định tính và định lượng);

S là mức độ ảnh hưởng của mối đe dọa đối với tài sản (giá của tài sản ở quy mô định tính và định lượng).

Do đó, giá trị rủi ro được tính theo đơn vị tương đối, có thể được xếp hạng theo mức độ quan trọng đối với quy trình quản lý rủi ro an toàn thông tin.

GOST R ISO/IEC TO 7. Việc tính toán rủi ro, trái ngược với tiêu chuẩn NIST 800-30, dựa trên ba yếu tố:

R = P(t) * P(v) * S,

trong đó R là giá trị rủi ro;

P(t) - xác suất thực hiện mối đe dọa an toàn thông tin;

P(v) - xác suất dễ bị tổn thương;

S là giá trị của tài sản.

Như một ví dụ về các giá trị xác suất P(t) và P(v), thang đo định tính có ba mức được đưa ra: thấp, trung bình và cao. Để đánh giá giá trị của tài sản S, các giá trị số được trình bày trong phạm vi từ 0 đến 4. Việc so sánh các giá trị định tính với chúng phải được thực hiện bởi tổ chức nơi đánh giá rủi ro bảo mật thông tin.

BS 7799. Mức độ rủi ro được tính toán có tính đến ba chỉ số - giá trị của tài nguyên, mức độ đe dọa và mức độ dễ bị tổn thương. Khi giá trị của ba tham số này tăng lên thì rủi ro cũng tăng lên nên công thức có thể được trình bày như sau:

R = S * L(t) * L(v),

trong đó R là giá trị rủi ro;

S là giá trị của tài sản/nguồn lực;

L(t) - mức độ đe dọa;

L(v) - mức độ/mức độ dễ bị tổn thương.

Trong thực tế, việc tính toán rủi ro bảo mật thông tin diễn ra theo bảng giá trị định vị về mức độ đe dọa, mức độ xác suất khai thác lỗ hổng và giá trị của tài sản. Giá trị rủi ro có thể thay đổi từ 0 đến 8, dẫn đến danh sách các mối đe dọa có giá trị rủi ro khác nhau cho từng tài sản. Tiêu chuẩn này cũng đưa ra thang xếp hạng rủi ro: thấp (0-2), trung bình (3-5) và cao (6-8), cho phép bạn xác định những rủi ro nghiêm trọng nhất.

STO BR IBBS. Theo tiêu chuẩn, việc đánh giá mức độ có thể xảy ra mối đe dọa an toàn thông tin được thực hiện trên thang đo định tính – định lượng, mối đe dọa chưa thực hiện được là 0%, mối đe dọa trung bình là từ 21% đến 50%, v.v. mức độ nghiêm trọng của hậu quả đối với các loại tài sản thông tin khác nhau cũng được đề xuất đánh giá bằng thang đo định tính - định lượng, tức là tối thiểu - 0,5% vốn ngân hàng, cao - từ 1,5% đến 3% vốn ngân hàng.

Để thực hiện đánh giá định tính về rủi ro an toàn thông tin, một bảng tương ứng giữa mức độ nghiêm trọng của hậu quả và khả năng nhận ra mối đe dọa sẽ được sử dụng. Nếu cần đánh giá định lượng thì có thể trình bày công thức như sau:

trong đó R là giá trị rủi ro;

P(v) - xác suất thực hiện mối đe dọa an toàn thông tin;

S là giá trị tài sản (mức độ nghiêm trọng của hậu quả).

Phương pháp đề xuất

Sau khi xem xét tất cả các phương pháp đánh giá rủi ro ở trên trong việc tính toán giá trị của rủi ro bảo mật thông tin, điều đáng chú ý là việc tính toán rủi ro được thực hiện bằng cách sử dụng giá trị của các mối đe dọa và giá trị của tài sản. Một hạn chế đáng kể là việc đánh giá giá trị tài sản (mức độ thiệt hại) dưới dạng giá trị có điều kiện. Giá trị quy ước không có đơn vị đo lường áp dụng trong thực tế, đặc biệt, chúng không có giá trị tương đương với tiền tệ. Do đó, điều này không đưa ra ý tưởng thực sự về mức độ rủi ro có thể được chuyển sang tài sản thực của đối tượng được bảo vệ.

Vì vậy, đề xuất chia quy trình tính toán rủi ro thành hai giai đoạn:

1. Tính toán giá trị rủi ro kỹ thuật.

2. Tính toán thiệt hại tiềm tàng.

Rủi ro kỹ thuật được hiểu là giá trị của rủi ro an toàn thông tin bao gồm khả năng nhận ra các mối đe dọa và điểm yếu của từng thành phần cơ sở hạ tầng thông tin bị khai thác, có tính đến mức độ bảo mật, tính toàn vẹn và tính sẵn sàng của chúng. Đối với giai đoạn đầu tiên, chúng tôi có 3 công thức sau:

Rc = Kc * P(T) * P(V), Ri = Ki * P(T) * P(V),

Ra = Ka * P(T) * P(V),

trong đó Rс là giá trị rủi ro bảo mật;

Ri - giá trị rủi ro toàn vẹn;

Ra - giá trị rủi ro sẵn có;

Kс - hệ số bảo mật của tài sản thông tin;

Ki là hệ số toàn vẹn của tài sản thông tin;

Ka là hệ số sẵn có của tài sản thông tin;

P(T) - xác suất thực hiện mối đe dọa;

P(V) - xác suất khai thác lỗ hổng.

Việc sử dụng thuật toán này sẽ giúp đánh giá rủi ro chi tiết hơn, thu được ở đầu ra một giá trị không thứ nguyên về xác suất rủi ro bị xâm phạm của từng tài sản thông tin riêng biệt.

Sau đó, có thể tính toán giá trị thiệt hại; đối với điều này, giá trị rủi ro trung bình của từng tài sản thông tin và số tiền tổn thất tiềm ẩn được sử dụng:

trong đó L là giá trị thiệt hại;

Rav - giá trị rủi ro trung bình;

S - tổn thất (về mặt tiền tệ).

Phương pháp được đề xuất cho phép bạn đánh giá chính xác giá trị của rủi ro bảo mật thông tin và tính toán tổn thất tài chính trong trường hợp xảy ra sự cố bảo mật.

Văn học

1. ISO/IEC 27001. Tiêu chuẩn quốc tế bao gồm các yêu cầu trong lĩnh vực an toàn thông tin đối với việc thiết lập, phát triển và duy trì hệ thống quản lý an toàn thông tin. 20 tuổi.

2. GOST R ISO/IEC TO 7. Tiêu chuẩn quốc gia của Liên bang Nga. Phương pháp và phương tiện đảm bảo an ninh. Phần 3. Phương pháp quản lý an toàn công nghệ thông tin. Mátxcơva. 20 tuổi.

3. BS 7799-2:2005 Đặc tả hệ thống quản lý an ninh thông tin. Nước Anh. 20 tuổi.

4. RS BR IBBS-2.2-200. Đảm bảo an ninh thông tin của các tổ chức thuộc hệ thống ngân hàng Liên bang Nga. Phương pháp đánh giá rủi ro vi phạm an toàn thông tin. Mátxcơva. 20 tuổi.

5. Hướng dẫn quản lý rủi ro đối với hệ thống công nghệ thông tin. Khuyến nghị của Viện Tiêu chuẩn và Công nghệ Quốc gia. HOA KỲ. 20 tuổi.

6. Nguồn điện tử Wikipedia, bài “Rủi ro”.

Khi triển khai hệ thống quản lý bảo mật thông tin (ISMS) trong một tổ chức, một trong những điểm vấp ngã chính thường là hệ thống quản lý rủi ro. Các cuộc thảo luận về quản lý rủi ro an ninh thông tin cũng giống như vấn đề UFO. Một mặt, dường như không ai xung quanh nhìn thấy điều này và bản thân sự kiện này dường như khó xảy ra, mặt khác, có rất nhiều bằng chứng, hàng trăm cuốn sách đã được viết, thậm chí còn có các ngành khoa học liên quan và hiệp hội các chuyên gia có liên quan. trong quá trình nghiên cứu này và như thường lệ, các cơ quan tình báo có kiến ​​thức bí mật đặc biệt về lĩnh vực này.

Alexander Astakhov, CISA, 2006

Giới thiệu

Không có sự đồng thuận giữa các chuyên gia bảo mật thông tin về các vấn đề quản lý rủi ro. Ai đó phủ nhận các phương pháp đánh giá rủi ro định lượng, ai đó phủ nhận các phương pháp định tính, ai đó thường phủ nhận tính khả thi và khả năng đánh giá rủi ro, ai đó cáo buộc ban quản lý của tổ chức không nhận thức đầy đủ về tầm quan trọng của các vấn đề an toàn hoặc phàn nàn về những khó khăn liên quan đến việc đạt được mục tiêu đánh giá giá trị của một số tài sản nhất định, chẳng hạn như danh tiếng của tổ chức. Những người khác, không nhìn thấy khả năng biện minh cho chi phí an toàn, đề xuất coi đây như một loại quy trình vệ sinh và chi càng nhiều tiền cho quy trình này càng không đáng tiếc, hoặc số tiền còn lại trong ngân sách.

Dù có ý kiến ​​gì về vấn đề quản lý rủi ro an toàn thông tin và cho dù chúng ta xử lý những rủi ro này như thế nào đi chăng nữa thì có một điều rõ ràng là vấn đề này chứa đựng bản chất của các hoạt động nhiều mặt của các chuyên gia bảo mật thông tin, kết nối trực tiếp với hoạt động kinh doanh, mang lại cho nó ý nghĩa hợp lý và thiết thực. Bài viết này phác thảo một cách tiếp cận khả thi để quản lý rủi ro và trả lời câu hỏi tại sao các tổ chức khác nhau lại xem và quản lý rủi ro bảo mật thông tin một cách khác nhau.

Tài sản cố định và phụ trợ

Khi nói về rủi ro kinh doanh, chúng tôi muốn nói đến khả năng chịu thiệt hại nhất định với một xác suất nhất định. Đây có thể là thiệt hại vật chất trực tiếp hoặc thiệt hại gián tiếp, chẳng hạn như thiệt hại về lợi nhuận bị mất, cho đến khi phải rút lui khỏi hoạt động kinh doanh, vì nếu rủi ro không được quản lý thì hoạt động kinh doanh có thể bị thua lỗ.

Trên thực tế, bản chất của vấn đề là tổ chức có và sử dụng một số loại nguồn lực chính để đạt được kết quả hoạt động của mình (mục tiêu kinh doanh) (sau đây chúng ta sẽ sử dụng khái niệm tài sản liên quan trực tiếp đến hoạt động kinh doanh). Tài sản là bất cứ thứ gì có giá trị cho một tổ chức và tạo ra thu nhập cho tổ chức đó (nói cách khác, nó là thứ tạo ra dòng tài chính tích cực hoặc tiết kiệm tiền)

Có tài sản vật chất, tài chính, con người và thông tin. Các tiêu chuẩn quốc tế hiện đại cũng xác định một loại tài sản khác – quy trình. Quy trình là một tài sản tổng hợp vận hành tất cả các tài sản khác của công ty để đạt được mục tiêu kinh doanh. Hình ảnh và danh tiếng của công ty cũng được coi là một trong những tài sản quan trọng nhất. Những tài sản quan trọng này đối với bất kỳ tổ chức nào không gì khác hơn là một loại tài sản thông tin đặc biệt, vì hình ảnh và danh tiếng của một công ty không gì khác hơn là nội dung thông tin mở và được phổ biến rộng rãi về nó. Bảo mật thông tin giải quyết các vấn đề về hình ảnh trong chừng mực các vấn đề về bảo mật của tổ chức, cũng như việc rò rỉ thông tin bí mật, có tác động cực kỳ tiêu cực đến hình ảnh.

Kết quả kinh doanh bị ảnh hưởng bởi nhiều yếu tố bên ngoài và bên trong được phân loại là rủi ro. Ảnh hưởng này được thể hiện dưới dạng tác động tiêu cực đến một hoặc đồng thời một số nhóm tài sản của tổ chức. Ví dụ: lỗi máy chủ ảnh hưởng đến tính khả dụng của thông tin và ứng dụng được lưu trữ trên đó và việc sửa chữa nó sẽ làm mất tập trung nguồn nhân lực, tạo ra sự thiếu hụt nhân lực trong một lĩnh vực công việc nhất định và gây ra tình trạng vô tổ chức các quy trình kinh doanh, đồng thời tạm thời không có khách hàng. dịch vụ có thể ảnh hưởng tiêu cực đến hình ảnh của công ty.

Theo định nghĩa, tất cả các loại tài sản đều quan trọng đối với một tổ chức. Tuy nhiên, mọi tổ chức đều có tài sản quan trọng cốt lõi và tài sản hỗ trợ. Rất dễ dàng để xác định tài sản nào là tài sản chính, bởi vì... Đây là những tài sản mà hoạt động kinh doanh của tổ chức được xây dựng xung quanh. Như vậy, hoạt động kinh doanh của một tổ chức có thể dựa trên việc sở hữu và sử dụng các tài sản hữu hình (ví dụ đất đai, bất động sản, thiết bị, khoáng sản), hoạt động kinh doanh cũng có thể được xây dựng trên cơ sở quản lý các tài sản tài chính (hoạt động tín dụng, bảo hiểm, đầu tư), hoạt động kinh doanh có thể dựa trên năng lực và quyền hạn của các chuyên gia cụ thể (tư vấn, kiểm toán, đào tạo, các ngành công nghệ cao và thâm dụng tri thức) hoặc hoạt động kinh doanh có thể xoay quanh tài sản thông tin (phát triển phần mềm, sản phẩm thông tin, thương mại điện tử). , Kinh doanh trên in-tơ-nét). Rủi ro về tài sản cố định gây ra tổn thất kinh doanh và những tổn thất không thể khắc phục cho tổ chức, do đó, sự chú ý của chủ doanh nghiệp chủ yếu tập trung vào những rủi ro này và ban quản lý của tổ chức sẽ giải quyết chúng một cách cá nhân. Rủi ro đối với tài sản hỗ trợ thường dẫn đến thiệt hại có thể phục hồi được và không phải là ưu tiên chính trong hệ thống quản lý của tổ chức. Thông thường, những rủi ro đó được quản lý bởi những người được chỉ định đặc biệt hoặc những rủi ro này được chuyển cho bên thứ ba, ví dụ: người thuê ngoài hoặc công ty bảo hiểm. Đối với một tổ chức, đây là vấn đề về hiệu quả quản lý hơn là sự sống còn.

Các phương pháp tiếp cận hiện tại để quản lý rủi ro

Vì rủi ro bảo mật thông tin không phải là rủi ro chính đối với tất cả các tổ chức nên ba cách tiếp cận chính để quản lý những rủi ro này được thực hiện, khác nhau về độ sâu và mức độ hình thức.

Đối với các hệ thống không quan trọng, khi tài sản thông tin chỉ mang tính phụ trợ và mức độ thông tin hóa không cao, đặc trưng của hầu hết các công ty hiện đại của Nga, thì nhu cầu đánh giá rủi ro là tối thiểu. Trong các tổ chức như vậy, chúng ta nên nói về một số mức độ cơ bản về bảo mật thông tin, được xác định bởi các quy định và tiêu chuẩn hiện hành, các biện pháp thực hành tốt nhất, kinh nghiệm cũng như cách thức thực hiện điều này ở hầu hết các tổ chức khác. Tuy nhiên, các tiêu chuẩn hiện tại, mô tả một bộ yêu cầu cơ bản nhất định và cơ chế bảo mật, luôn quy định sự cần thiết phải đánh giá rủi ro và tính khả thi về mặt kinh tế của việc sử dụng các cơ chế kiểm soát nhất định để chọn từ bộ yêu cầu và cơ chế chung những cơ chế có thể áp dụng trong một hệ thống. tổ chức cụ thể.

Đối với các hệ thống quan trọng trong đó tài sản thông tin không phải là tài sản chính nhưng mức độ tin học hóa các quy trình nghiệp vụ rất cao và rủi ro thông tin có thể ảnh hưởng đáng kể đến các quy trình nghiệp vụ chính thì phải áp dụng đánh giá rủi ro, tuy nhiên trong trường hợp này nên hạn chế chúng ta áp dụng các phương pháp tiếp cận định tính không chính thức để giải quyết vấn đề này, đặc biệt chú ý đến các hệ thống quan trọng nhất.

Khi hoạt động kinh doanh của một tổ chức được xây dựng dựa trên tài sản thông tin và rủi ro bảo mật thông tin là những rủi ro chính thì phải sử dụng cách tiếp cận chính thức và phương pháp định lượng để đánh giá những rủi ro này.

Ở nhiều công ty, một số loại tài sản có thể quan trọng cùng một lúc, chẳng hạn như khi hoạt động kinh doanh đa dạng hóa hoặc công ty tham gia vào việc tạo ra các sản phẩm thông tin và cả nguồn nhân lực và thông tin đều có thể quan trọng như nhau đối với nó. Trong trường hợp này, cách tiếp cận hợp lý là tiến hành đánh giá rủi ro ở cấp độ cao để xác định hệ thống nào có nguy cơ cao gặp rủi ro và hệ thống nào quan trọng đối với hoạt động kinh doanh, sau đó là đánh giá rủi ro chi tiết đối với các hệ thống đã xác định. Đối với tất cả các hệ thống không quan trọng khác, bạn nên hạn chế sử dụng cách tiếp cận cơ bản, đưa ra quyết định quản lý rủi ro dựa trên kinh nghiệm hiện có, ý kiến ​​chuyên gia và phương pháp thực hành tốt nhất.

Mức độ trưởng thành

Việc lựa chọn cách tiếp cận để đánh giá rủi ro trong một tổ chức, ngoài bản chất hoạt động kinh doanh và mức độ thông tin hóa của các quy trình kinh doanh, còn bị ảnh hưởng bởi mức độ trưởng thành của tổ chức đó. Quản lý rủi ro bảo mật thông tin là một nhiệm vụ kinh doanh do ban quản lý của một tổ chức khởi xướng do nhận thức và mức độ nhận thức của tổ chức đó về các vấn đề bảo mật thông tin, ý nghĩa của việc này là bảo vệ doanh nghiệp khỏi các mối đe dọa bảo mật thông tin thực sự hiện có. Theo mức độ nhận thức, có thể theo dõi một số mức độ trưởng thành của các tổ chức, ở một mức độ nhất định tương quan với mức độ trưởng thành được xác định trong COBIT và các tiêu chuẩn khác:

  1. Ở cấp độ ban đầu, không có nhận thức như vậy; tổ chức thực hiện các biện pháp rời rạc để đảm bảo an ninh thông tin, do các chuyên gia CNTT khởi xướng và thực hiện dưới trách nhiệm của họ.
  2. Ở cấp độ thứ hai, tổ chức xác định trách nhiệm về bảo mật thông tin; nỗ lực sử dụng các giải pháp tích hợp với quản lý tập trung và thực hiện các quy trình quản lý bảo mật thông tin riêng biệt.
  3. Cấp độ thứ ba được đặc trưng bởi việc áp dụng cách tiếp cận theo quy trình để quản lý an ninh thông tin được mô tả trong các tiêu chuẩn. Hệ thống quản lý an ninh thông tin trở nên quan trọng đối với tổ chức đến mức nó được coi là một thành phần cần thiết trong hệ thống quản lý của tổ chức. Tuy nhiên, vẫn chưa có một hệ thống quản lý an ninh thông tin đầy đủ, bởi vì yếu tố cơ bản của hệ thống này – quy trình quản lý rủi ro – bị thiếu.
  4. Các tổ chức có mức độ nhận thức cao nhất về các vấn đề an toàn thông tin được đặc trưng bởi việc sử dụng cách tiếp cận chính thức để quản lý rủi ro an toàn thông tin, được đặc trưng bởi sự hiện diện của các quy trình được ghi lại để lập kế hoạch, thực hiện, giám sát và cải tiến.

Mô hình quy trình quản lý rủi ro

Vào tháng 3 năm nay, tiêu chuẩn mới của Anh, BS 7799 Phần 3 – Hệ thống quản lý bảo mật thông tin – Thực hành quản lý rủi ro bảo mật thông tin, đã được thông qua. ISO hy vọng rằng tài liệu này sẽ được phê duyệt thành Tiêu chuẩn quốc tế vào cuối năm 2007. BS 7799-3 xác định các quy trình quản lý và đánh giá rủi ro là một yếu tố không thể thiếu trong hệ thống quản lý của tổ chức, sử dụng cùng một mô hình quy trình như các tiêu chuẩn quản lý khác, bao gồm bốn nhóm quy trình: lập kế hoạch, thực hiện, xem xét, hành động (PDA), phản ánh tiêu chuẩn chu kỳ của bất kỳ quy trình quản lý nào. Trong khi ISO 27001 mô tả chu trình quản lý bảo mật tổng thể từ đầu đến cuối thì BS 7799-3 lại mở rộng nó sang các quy trình quản lý rủi ro bảo mật thông tin.

Trong hệ thống quản lý rủi ro an toàn thông tin, ở giai đoạn Lập kế hoạch, chính sách và phương pháp quản lý rủi ro được xác định và đánh giá rủi ro được thực hiện, bao gồm kiểm kê tài sản, tổng hợp hồ sơ mối đe dọa và lỗ hổng, đánh giá hiệu quả của các biện pháp đối phó thiệt hại tiềm tàng và xác định mức rủi ro tồn dư có thể chấp nhận được.

Ở giai đoạn Thực hiện, các rủi ro được xử lý và các cơ chế kiểm soát được đưa ra để giảm thiểu chúng. Ban quản lý của tổ chức đưa ra một trong bốn quyết định đối với từng rủi ro được xác định: bỏ qua, tránh, chuyển giao cho bên ngoài hoặc giảm thiểu. Sau đó, một kế hoạch xử lý rủi ro được phát triển và thực hiện.

Ở giai đoạn Xác minh, chức năng của các cơ chế kiểm soát được giám sát, các thay đổi trong các yếu tố rủi ro (tài sản, mối đe dọa, lỗ hổng) được giám sát, kiểm toán được tiến hành và các thủ tục kiểm soát khác nhau được thực hiện.

Ở Giai đoạn hành động, dựa trên kết quả giám sát liên tục và kiểm toán liên tục, các hành động khắc phục cần thiết sẽ được thực hiện, đặc biệt có thể bao gồm việc đánh giá lại mức độ rủi ro, điều chỉnh chính sách và phương pháp quản lý rủi ro. như kế hoạch xử lý rủi ro.

Các yếu tố rủi ro

Bản chất của bất kỳ phương pháp quản lý rủi ro nào là phân tích các yếu tố rủi ro và đưa ra quyết định thích hợp để xử lý rủi ro. Các yếu tố rủi ro là thông số chính mà chúng tôi sử dụng khi đánh giá rủi ro. Chỉ có bảy tham số như vậy:

  • Tài sản
  • Thiệt hại (Mất mát)
  • Mối đe dọa
  • Tính dễ bị tổn thương
  • Cơ chế điều khiển
  • Tổn thất trung bình hàng năm (ALE)
  • Lợi tức đầu tư (ROI)

Cách thức phân tích và đánh giá các thông số này được xác định bằng phương pháp đánh giá rủi ro được sử dụng trong tổ chức. Đồng thời, cách tiếp cận chung và mô hình lập luận gần như giống nhau, bất kể sử dụng phương pháp nào. Quá trình đánh giá rủi ro bao gồm hai giai đoạn. Trong giai đoạn đầu tiên, được định nghĩa trong các tiêu chuẩn là phân tích rủi ro, cần phải trả lời các câu hỏi sau:

  • Tài sản chính của công ty là gì?
  • Giá trị thực của tài sản này là bao nhiêu?
  • Những mối đe dọa tồn tại đối với tài sản này?
  • Hậu quả của những mối đe dọa này và thiệt hại cho doanh nghiệp là gì?
  • Những mối đe dọa này có khả năng xảy ra như thế nào?
  • Doanh nghiệp dễ bị tổn thương như thế nào trước những mối đe dọa này?
  • Mức lỗ trung bình hàng năm dự kiến ​​là bao nhiêu?

Trong giai đoạn thứ hai, được các tiêu chuẩn xác định là đánh giá rủi ro, cần phải trả lời câu hỏi: Mức độ rủi ro nào (lượng tổn thất trung bình hàng năm) được tổ chức chấp nhận và dựa trên đó, rủi ro nào vượt quá mức này. mức độ.

Do đó, dựa trên kết quả đánh giá rủi ro, chúng ta có được mô tả về những rủi ro vượt quá mức chấp nhận được và đánh giá về mức độ nghiêm trọng của những rủi ro này, được xác định bằng quy mô tổn thất trung bình hàng năm. Tiếp theo, bạn cần đưa ra quyết định về cách xử lý rủi ro, tức là. trả lời các câu hỏi sau:

  • Chúng ta chọn phương án xử lý rủi ro nào?
  • Nếu quyết định được đưa ra để giảm thiểu rủi ro thì nên sử dụng cơ chế kiểm soát nào?
  • Những biện pháp kiểm soát này có hiệu quả như thế nào và chúng sẽ mang lại lợi tức đầu tư như thế nào?

Đầu ra của quá trình này là một kế hoạch xử lý rủi ro nhằm xác định cách xử lý rủi ro, chi phí của các biện pháp đối phó cũng như thời gian và trách nhiệm thực hiện các biện pháp đối phó.

Quyết định xử lý rủi ro

Đưa ra quyết định xử lý rủi ro là thời điểm then chốt và quan trọng nhất trong quá trình quản lý rủi ro. Để ban quản lý đưa ra quyết định đúng đắn, người chịu trách nhiệm quản lý rủi ro trong tổ chức phải cung cấp cho anh ta những thông tin liên quan. Hình thức trình bày thông tin đó được xác định bởi thuật toán giao tiếp kinh doanh tiêu chuẩn, bao gồm bốn điểm chính:

  • Báo cáo vấn đề: Mối đe dọa đối với doanh nghiệp là gì (nguồn, đối tượng, phương pháp thực hiện) và lý do tồn tại của nó là gì?
  • Mức độ nghiêm trọng của vấn đề: Điều này đe dọa tổ chức, ban quản lý và các cổ đông như thế nào?
  • Giải pháp đề xuất: Đề xuất phải làm gì để khắc phục tình trạng này, chi phí sẽ là bao nhiêu, ai nên thực hiện và yêu cầu trực tiếp từ ban quản lý là gì?
  • Giải pháp thay thế: Có những cách nào khác để giải quyết vấn đề (luôn có những giải pháp thay thế và ban quản lý nên có cơ hội lựa chọn).

Điểm 1 và 2 cũng như điểm 3 và 4 có thể thay thế cho nhau tùy theo tình huống cụ thể.

Phương pháp quản lý rủi ro

Có đủ số lượng các phương pháp quản lý và đánh giá rủi ro đã được chứng minh rõ ràng và được sử dụng rộng rãi. Một phương pháp như vậy là OCTAVE, được phát triển tại Đại học Carnegie Melon để sử dụng nội bộ trong các tổ chức. OCTAVE – Đánh giá mối đe dọa nghiêm trọng trong hoạt động, tài sản và lỗ hổng bảo mật (Đánh giá mối đe dọa nghiêm trọng trong hoạt động, tài sản và lỗ hổng bảo mật) có một số sửa đổi được thiết kế cho các tổ chức thuộc các quy mô và lĩnh vực hoạt động khác nhau. Bản chất của phương pháp này là sử dụng một chuỗi các hội thảo nội bộ được tổ chức phù hợp để đánh giá rủi ro. Đánh giá rủi ro được thực hiện theo ba giai đoạn, trước đó là một loạt các hoạt động chuẩn bị, bao gồm thống nhất về lịch trình hội thảo, phân công vai trò, lập kế hoạch và điều phối hành động của các thành viên trong nhóm dự án.

Ở giai đoạn đầu tiên, trong các hội thảo thực tế, hồ sơ mối đe dọa được phát triển, bao gồm kiểm kê và đánh giá giá trị tài sản, xác định các yêu cầu pháp lý và quy định hiện hành, xác định các mối đe dọa và đánh giá khả năng xảy ra của chúng, cũng như xác định hệ thống quản lý. biện pháp tổ chức duy trì chế độ an toàn thông tin.

Ở giai đoạn thứ hai, phân tích kỹ thuật về các lỗ hổng của hệ thống thông tin của tổ chức liên quan đến các mối đe dọa có hồ sơ đã được phát triển ở giai đoạn trước được thực hiện, bao gồm việc xác định các lỗ hổng hiện có của hệ thống thông tin của tổ chức và đánh giá mức độ nghiêm trọng của chúng. .

Ở giai đoạn thứ ba, rủi ro bảo mật thông tin được đánh giá và xử lý, bao gồm việc xác định mức độ và khả năng gây thiệt hại do các mối đe dọa bảo mật sử dụng các lỗ hổng bảo mật đã được xác định ở các giai đoạn trước, xác định chiến lược bảo vệ cũng như lựa chọn các phương án và ra quyết định xử lý rủi ro. Mức độ rủi ro được xác định là tổn thất trung bình hàng năm của tổ chức do việc thực hiện các mối đe dọa an ninh.

Một cách tiếp cận tương tự được sử dụng trong phương pháp đánh giá rủi ro CRAMM nổi tiếng, được phát triển một thời theo lệnh của chính phủ Anh. Phương pháp đánh giá rủi ro chính của CRAMM là thông qua các cuộc phỏng vấn được lên kế hoạch cẩn thận bằng bảng câu hỏi chi tiết. CRAMM được sử dụng ở hàng nghìn tổ chức trên khắp thế giới, nhờ vào sự sẵn có của các công cụ phần mềm phát triển cao chứa nền tảng kiến ​​thức về rủi ro và cơ chế giảm thiểu chúng, các công cụ thu thập thông tin, tạo báo cáo và triển khai các thuật toán để tính toán mức độ rủi ro.

Không giống như phương pháp OCTAVE, CRAMM sử dụng một chuỗi hành động và phương pháp hơi khác một chút để xác định mức độ rủi ro. Đầu tiên, tính khả thi của việc đánh giá rủi ro nói chung được xác định và nếu hệ thống thông tin của tổ chức không đủ quan trọng thì một bộ cơ chế kiểm soát tiêu chuẩn được mô tả trong tiêu chuẩn quốc tế và có trong cơ sở tri thức CRAMM sẽ được áp dụng cho hệ thống đó.

Ở giai đoạn đầu tiên, phương pháp CRAMM xây dựng mô hình tài nguyên hệ thống thông tin mô tả mối quan hệ giữa thông tin, phần mềm và tài nguyên kỹ thuật, đồng thời đánh giá giá trị của tài nguyên dựa trên thiệt hại có thể xảy ra mà tổ chức có thể phải chịu do sự xâm phạm của chúng. .

Ở giai đoạn thứ hai, đánh giá rủi ro được thực hiện, bao gồm xác định và đánh giá khả năng xảy ra các mối đe dọa, đánh giá mức độ nghiêm trọng của lỗ hổng và tính toán rủi ro cho từng bộ ba: tài nguyên - mối đe dọa - lỗ hổng. CRAMM đánh giá các rủi ro “thuần túy”, bất kể các cơ chế kiểm soát được triển khai trong hệ thống. Ở giai đoạn đánh giá rủi ro, giả định rằng không có biện pháp đối phó nào được áp dụng và một tập hợp các biện pháp đối phó được khuyến nghị để giảm thiểu rủi ro được hình thành dựa trên giả định này.

Ở giai đoạn cuối, bộ công cụ CRAMM tạo ra một tập hợp các biện pháp đối phó để giảm thiểu rủi ro đã xác định và so sánh các biện pháp đối phó được khuyến nghị và hiện có, sau đó hình thành kế hoạch xử lý rủi ro.

Bộ công cụ quản lý rủi ro

Trong quá trình đánh giá rủi ro, chúng tôi trải qua một số giai đoạn liên tiếp, định kỳ quay lại các giai đoạn trước đó, chẳng hạn như đánh giá lại một rủi ro nhất định sau khi chọn một biện pháp đối phó cụ thể để giảm thiểu rủi ro đó. Ở mỗi giai đoạn, cần phải có sẵn bảng câu hỏi, danh sách các mối đe dọa và lỗ hổng, sổ đăng ký tài nguyên và rủi ro, tài liệu, biên bản cuộc họp, tiêu chuẩn và hướng dẫn. Về vấn đề này, chúng ta cần một số loại thuật toán, cơ sở dữ liệu và giao diện được lập trình để làm việc với những dữ liệu khác nhau này.

Để quản lý rủi ro bảo mật thông tin, bạn có thể sử dụng các công cụ, chẳng hạn như trong phương pháp CRAMM hoặc RA2 (hiển thị trong hình), nhưng điều này không bắt buộc. Tiêu chuẩn BS 7799-3 cũng nói lên điều tương tự. Tính hữu ích của việc sử dụng bộ công cụ này có thể nằm ở chỗ nó chứa một thuật toán được lập trình cho quy trình đánh giá rủi ro và quản lý rủi ro, giúp đơn giản hóa công việc đối với một chuyên gia thiếu kinh nghiệm.

Việc sử dụng các công cụ cho phép bạn thống nhất phương pháp luận và đơn giản hóa việc sử dụng kết quả để đánh giá lại rủi ro, ngay cả khi việc đó được thực hiện bởi các chuyên gia khác. Nhờ sử dụng các công cụ, có thể hợp lý hóa việc lưu trữ dữ liệu và làm việc với các mô hình tài nguyên, hồ sơ mối đe dọa, danh sách các lỗ hổng và rủi ro.

Ngoài bản thân các công cụ quản lý và đánh giá rủi ro, các công cụ phần mềm còn có thể chứa các công cụ bổ sung để ghi lại ISMS, phân tích sự khác biệt với các yêu cầu tiêu chuẩn, phát triển sổ đăng ký tài nguyên cũng như các công cụ khác cần thiết cho việc triển khai và vận hành ISMS.

kết luận

Việc lựa chọn các phương pháp tiếp cận định tính hoặc định lượng để đánh giá rủi ro được xác định bởi tính chất hoạt động kinh doanh của tổ chức và mức độ thông tin hóa của tổ chức, tức là. tầm quan trọng của tài sản thông tin đối với anh ta, cũng như mức độ trưởng thành của tổ chức.

Khi thực hiện cách tiếp cận chính thức để quản lý rủi ro trong một tổ chức, cần phải dựa chủ yếu vào nhận thức chung, các tiêu chuẩn hiện có (ví dụ BS 7799-3) và các phương pháp đã được thiết lập tốt (ví dụ OCTAVE hoặc CRAMM). Có thể hữu ích nếu sử dụng các công cụ phần mềm cho những mục đích này để triển khai các phương pháp phù hợp và đáp ứng các yêu cầu của tiêu chuẩn ở mức tối đa có thể (ví dụ: RA2).

Hiệu quả của quy trình quản lý rủi ro an toàn thông tin được xác định bởi tính chính xác và đầy đủ của việc phân tích và đánh giá các yếu tố rủi ro, cũng như hiệu quả của các cơ chế được sử dụng trong tổ chức để đưa ra quyết định quản lý và giám sát việc thực hiện chúng.

Liên kết

  • Astakhov A.M., “Lịch sử tiêu chuẩn BS 7799”, http://www.globaltrust.ru/shop/osnov.php?idstat=61&idcatstat=12
  • Astakhov A.M., “Làm thế nào để xây dựng và chứng nhận hệ thống quản lý bảo mật thông tin?”,

Hiện nay, rủi ro an toàn thông tin đang là mối đe dọa lớn đối với hoạt động bình thường của nhiều doanh nghiệp, tổ chức. Trong thời đại công nghệ thông tin của chúng ta, việc thu thập bất kỳ dữ liệu nào thực tế không khó. Một mặt, điều này tất nhiên mang lại nhiều mặt tích cực nhưng lại trở thành vấn đề đối với bộ mặt và thương hiệu của nhiều công ty.

Bảo vệ thông tin trong doanh nghiệp hiện nay gần như trở thành ưu tiên hàng đầu. Các chuyên gia tin rằng chỉ bằng cách phát triển một chuỗi hành động có ý thức nhất định thì mục tiêu này mới có thể đạt được. Trong trường hợp này, chỉ có thể được hướng dẫn bởi các sự kiện đáng tin cậy và sử dụng các phương pháp phân tích tiên tiến. Sự phát triển trực giác và kinh nghiệm của chuyên gia chịu trách nhiệm về bộ phận này trong doanh nghiệp đã đóng góp nhất định.

Tài liệu này sẽ cho bạn biết về việc quản lý rủi ro bảo mật thông tin của một thực thể kinh doanh.

Những loại mối đe dọa có thể tồn tại trong môi trường thông tin?

Có thể có nhiều loại mối đe dọa. Phân tích rủi ro bảo mật thông tin doanh nghiệp bắt đầu bằng việc xem xét tất cả các mối đe dọa tiềm ẩn có thể xảy ra. Điều này là cần thiết để quyết định các phương pháp xác minh trong trường hợp xảy ra những tình huống không lường trước được, cũng như để tạo ra một hệ thống bảo vệ thích hợp. Rủi ro bảo mật thông tin được chia thành các loại nhất định tùy thuộc vào các tiêu chí phân loại khác nhau. Chúng có các loại sau:

  • nguồn vật chất;
  • việc sử dụng mạng máy tính và World Wide Web không phù hợp;
  • rò rỉ từ các nguồn kín;
  • rò rỉ bằng biện pháp kỹ thuật;
  • xâm nhập trái phép;
  • tấn công tài sản thông tin;
  • vi phạm tính toàn vẹn của việc sửa đổi dữ liệu;
  • trường hợp khẩn cấp;
  • vi phạm pháp luật.

Khái niệm “mối đe dọa vật lý đối với an ninh thông tin” bao gồm những gì?

Các loại rủi ro bảo mật thông tin được xác định tùy thuộc vào nguồn phát sinh, phương pháp thực hiện hành vi xâm nhập bất hợp pháp và mục đích. Đơn giản nhất về mặt kỹ thuật nhưng vẫn yêu cầu thực hiện chuyên nghiệp là các mối đe dọa vật lý. Chúng thể hiện sự truy cập trái phép vào các nguồn đóng. Đó là, quá trình này trên thực tế là một hành vi trộm cắp thông thường. Thông tin có thể được lấy một cách cá nhân, bằng chính đôi tay của bạn, chỉ bằng cách xâm chiếm lãnh thổ của tổ chức, văn phòng, cơ quan lưu trữ để có quyền truy cập vào thiết bị kỹ thuật, tài liệu và các phương tiện thông tin khác.

Hành vi trộm cắp thậm chí có thể không liên quan đến bản thân dữ liệu mà là nơi lưu trữ dữ liệu, tức là chính thiết bị máy tính. Để làm gián đoạn các hoạt động bình thường của một tổ chức, kẻ tấn công có thể chỉ cần khiến phương tiện lưu trữ hoặc thiết bị kỹ thuật gặp trục trặc.

Mục đích của việc xâm nhập vật lý cũng có thể là để giành quyền truy cập vào một hệ thống cần bảo vệ thông tin. Kẻ tấn công có thể thay đổi các tùy chọn mạng chịu trách nhiệm về bảo mật thông tin để tạo điều kiện thuận lợi hơn nữa cho việc thực hiện các phương pháp bất hợp pháp.

Khả năng xảy ra mối đe dọa vật lý cũng có thể được cung cấp bởi các thành viên của nhiều nhóm khác nhau, những người có quyền truy cập vào thông tin mật chưa được công khai. Mục tiêu của họ là tài liệu có giá trị. Những người như vậy được gọi là người trong cuộc.

Hoạt động của những kẻ tấn công bên ngoài có thể hướng vào cùng một đối tượng.

Làm thế nào chính nhân viên công ty có thể trở thành nguyên nhân của các mối đe dọa?

Rủi ro bảo mật thông tin thường phát sinh do nhân viên sử dụng Internet và hệ thống máy tính nội bộ không phù hợp. Những kẻ tấn công rất giỏi lợi dụng sự thiếu kinh nghiệm, bất cẩn và thiếu hiểu biết của một số người về bảo mật thông tin. Để loại trừ tùy chọn đánh cắp dữ liệu bí mật này, ban quản lý của nhiều tổ chức áp dụng chính sách đặc biệt đối với nhân viên của họ. Mục tiêu của nó là dạy cho mọi người các quy tắc ứng xử và sử dụng mạng. Đây là một thực tế khá phổ biến vì các mối đe dọa phát sinh theo cách này khá phổ biến. Các chương trình rèn luyện kỹ năng bảo mật thông tin cho nhân viên doanh nghiệp bao gồm:

  • khắc phục tình trạng sử dụng kém hiệu quả các công cụ kiểm toán;
  • giảm mức độ mọi người sử dụng các công cụ đặc biệt để xử lý dữ liệu;
  • giảm thiểu việc sử dụng các nguồn lực và tài sản;
  • đào tạo cách tiếp cận các công cụ mạng chỉ bằng các phương pháp đã được thiết lập;
  • xác định các vùng ảnh hưởng và chỉ định lãnh thổ chịu trách nhiệm.

Khi mỗi nhân viên hiểu rằng số phận của tổ chức phụ thuộc vào việc thực hiện có trách nhiệm các nhiệm vụ được giao, anh ta sẽ cố gắng tuân thủ mọi quy tắc. Cần đặt ra nhiệm vụ cụ thể cho mọi người và chứng minh kết quả đạt được.

Các điều khoản bảo mật bị vi phạm như thế nào?

Rủi ro và mối đe dọa đối với an ninh thông tin phần lớn liên quan đến việc thu thập thông tin bất hợp pháp mà những người không có thẩm quyền không được phép tiếp cận. Kênh rò rỉ đầu tiên và phổ biến nhất là tất cả các loại phương thức liên lạc và liên lạc. Vào thời điểm mà dường như thư từ cá nhân chỉ được cung cấp cho hai bên thì nó lại bị các bên quan tâm chặn lại. Mặc dù những người hợp lý hiểu rằng cần phải truyền đạt một điều gì đó cực kỳ quan trọng và bí mật theo những cách khác.

Vì hiện nay rất nhiều thông tin được lưu trữ trên phương tiện di động nên những kẻ tấn công đang tích cực làm chủ việc chặn thông tin thông qua loại công nghệ này. Nghe các kênh liên lạc rất phổ biến, chỉ có điều bây giờ mọi nỗ lực của các thiên tài công nghệ đều nhằm mục đích phá vỡ hàng rào bảo vệ của smartphone.

Thông tin bí mật có thể bị tiết lộ một cách vô ý bởi nhân viên của một tổ chức. Họ không thể trực tiếp tiết lộ tất cả “diện mạo và mật khẩu” mà chỉ hướng dẫn kẻ tấn công đi đúng hướng. Ví dụ, mọi người cung cấp thông tin về vị trí của tài liệu quan trọng mà không hề biết.

Không phải lúc nào cũng chỉ có cấp dưới mới dễ bị tổn thương. Các nhà thầu cũng có thể cung cấp thông tin bí mật trong quá trình hợp tác.

Vi phạm an toàn thông tin bằng phương tiện kỹ thuật như thế nào?

Việc đảm bảo an ninh thông tin phần lớn nhờ vào việc sử dụng các phương tiện bảo vệ kỹ thuật đáng tin cậy. Nếu hệ thống hỗ trợ hiệu quả và hiệu quả, ít nhất là ở bản thân thiết bị, thì đây đã là một nửa thành công.

Về cơ bản, rò rỉ thông tin đạt được bằng cách kiểm soát các tín hiệu khác nhau. Các phương pháp tương tự bao gồm việc tạo ra các nguồn phát sóng hoặc tín hiệu vô tuyến chuyên dụng. Cái sau có thể là điện, âm thanh hoặc rung.

Khá thường xuyên, các dụng cụ quang học được sử dụng cho phép đọc thông tin từ màn hình và màn hình.

Sự đa dạng của các thiết bị cung cấp nhiều phương pháp khác nhau để kẻ tấn công xâm nhập và trích xuất thông tin. Ngoài các phương pháp trên còn có trinh sát truyền hình, chụp ảnh và trực quan.

Do khả năng rộng rãi như vậy, kiểm toán an ninh thông tin chủ yếu bao gồm việc kiểm tra và phân tích hoạt động của các phương tiện kỹ thuật để bảo vệ dữ liệu bí mật.

Điều gì được coi là truy cập trái phép vào thông tin doanh nghiệp?

Không thể quản lý rủi ro bảo mật thông tin nếu không ngăn chặn các mối đe dọa truy cập trái phép.

Một trong những đại diện nổi bật nhất của phương pháp hack hệ thống bảo mật của người khác này là việc gán ID người dùng. Phương pháp này được gọi là “Masquerade”. Truy cập trái phép trong trường hợp này liên quan đến việc sử dụng dữ liệu xác thực. Nghĩa là, mục tiêu của kẻ xâm nhập là lấy được mật khẩu hoặc bất kỳ thông tin nhận dạng nào khác.

Những kẻ tấn công có thể gây ảnh hưởng từ bên trong đối tượng hoặc từ bên ngoài. Họ có thể lấy thông tin họ cần từ các nguồn như nhật ký kiểm tra hoặc công cụ kiểm tra.

Thông thường người phạm tội cố gắng áp dụng chính sách thực thi và sử dụng các phương pháp tưởng chừng như hoàn toàn hợp pháp.

Truy cập trái phép áp dụng cho các nguồn thông tin sau:

  • trang web và máy chủ bên ngoài;
  • mạng không dây doanh nghiệp;
  • sao lưu dữ liệu.

Có vô số cách và phương pháp truy cập trái phép. Những kẻ tấn công tìm kiếm những sai sót và lỗ hổng trong cấu hình và kiến ​​trúc phần mềm. Họ lấy dữ liệu bằng cách sửa đổi phần mềm. Để vô hiệu hóa và ru ngủ sự cảnh giác, những kẻ vi phạm khởi động phần mềm độc hại và bom logic.

Các mối đe dọa pháp lý đối với an ninh thông tin của công ty là gì?

Quản lý rủi ro bảo mật thông tin hoạt động theo nhiều hướng khác nhau, vì mục tiêu chính của nó là đảm bảo sự bảo vệ toàn diện và toàn diện cho doanh nghiệp khỏi sự xâm nhập từ bên ngoài.

Không kém phần quan trọng so với định hướng kỹ thuật là định hướng pháp lý. Bằng cách này, ngược lại, có vẻ như sẽ bảo vệ lợi ích, hóa ra lại thu được thông tin rất hữu ích.

Vi phạm về mặt pháp lý có thể liên quan đến quyền sở hữu, bản quyền và quyền sáng chế. Việc sử dụng phần mềm bất hợp pháp, bao gồm cả xuất nhập khẩu, cũng thuộc loại này. Bạn chỉ có thể vi phạm các yêu cầu pháp lý nếu không tuân thủ các điều khoản của hợp đồng hoặc khuôn khổ pháp lý nói chung.

Làm thế nào để đặt mục tiêu bảo mật thông tin?

Đảm bảo an ninh thông tin bắt đầu từ việc thiết lập khu vực bảo vệ. Cần xác định rõ cái gì cần được bảo vệ và khỏi ai. Để làm điều này, chân dung của một tên tội phạm tiềm năng cũng như các phương pháp hack và xâm nhập có thể được xác định. Để đặt mục tiêu, trước tiên bạn cần nói chuyện với quản lý. Nó sẽ đề xuất các khu vực ưu tiên bảo vệ.

Từ thời điểm này việc kiểm tra an ninh thông tin bắt đầu. Nó cho phép bạn xác định tỷ lệ cần thiết để áp dụng các kỹ thuật công nghệ và phương pháp kinh doanh. Kết quả của quá trình này là danh sách các hoạt động cuối cùng, trong đó đặt ra các mục tiêu mà đơn vị phải đối mặt để đảm bảo bảo vệ khỏi sự xâm nhập trái phép. Thủ tục kiểm toán nhằm mục đích xác định những thời điểm quan trọng và điểm yếu của hệ thống cản trở hoạt động bình thường và sự phát triển của doanh nghiệp.

Sau khi thiết lập mục tiêu, một cơ chế thực hiện chúng sẽ được phát triển. Các công cụ giám sát và giảm thiểu rủi ro đang được phát triển.

Tài sản đóng vai trò gì trong phân tích rủi ro?

Rủi ro bảo mật thông tin tổ chức ảnh hưởng trực tiếp đến tài sản doanh nghiệp. Suy cho cùng, mục tiêu của những kẻ tấn công là lấy được thông tin có giá trị. Sự mất mát hoặc tiết lộ của nó chắc chắn sẽ dẫn đến thua lỗ. Thiệt hại do sự xâm nhập trái phép có thể có tác động trực tiếp hoặc chỉ có thể có tác động gián tiếp. Nghĩa là, các hành động trái pháp luật chống lại một tổ chức có thể dẫn đến mất hoàn toàn quyền kiểm soát doanh nghiệp.

Mức độ thiệt hại được đánh giá theo tài sản sẵn có của tổ chức. Nguồn lực chủ đề là tất cả các nguồn lực đóng góp vào việc thực hiện các mục tiêu quản lý theo bất kỳ cách nào. Tài sản của doanh nghiệp là tất cả các tài sản hữu hình và vô hình tạo ra và giúp tạo ra thu nhập.

Có một số loại tài sản:

  • vật liệu;
  • nhân loại;
  • thông tin;
  • tài chính;
  • quá trình;
  • thương hiệu và quyền lực.

Loại tài sản cuối cùng bị ảnh hưởng nhiều nhất từ ​​sự xâm nhập trái phép. Điều này là do bất kỳ rủi ro bảo mật thông tin thực sự nào cũng ảnh hưởng đến hình ảnh. Các vấn đề trong lĩnh vực này sẽ tự động làm giảm sự tôn trọng và tin tưởng đối với một doanh nghiệp như vậy, vì không ai muốn thông tin bí mật của mình bị lộ ra ngoài. Mọi tổ chức có lòng tự trọng đều quan tâm đến việc bảo vệ nguồn thông tin của chính mình.

Các yếu tố khác nhau ảnh hưởng đến mức độ và tài sản nào sẽ bị ảnh hưởng. Chúng được chia thành bên ngoài và bên trong. Tác động phức tạp của chúng, như một quy luật, đồng thời ảnh hưởng đến một số nhóm tài nguyên có giá trị.

Toàn bộ hoạt động kinh doanh của doanh nghiệp đều được xây dựng trên tài sản. Họ hiện diện ở một mức độ nào đó trong hoạt động của bất kỳ tổ chức nào. Chỉ là đối với một số người, một số nhóm quan trọng hơn và những nhóm khác ít quan trọng hơn. Tùy thuộc vào loại tài sản mà kẻ tấn công có thể tác động, kết quả, tức là thiệt hại gây ra, sẽ phụ thuộc.

Đánh giá rủi ro bảo mật thông tin cho phép bạn xác định rõ ràng các tài sản chính và nếu chúng bị ảnh hưởng thì doanh nghiệp sẽ gặp phải những tổn thất không thể khắc phục được. Bản thân ban quản lý nên chú ý đến những nhóm tài nguyên có giá trị này vì sự an toàn của chúng chính là vì lợi ích của chủ sở hữu.

Khu vực ưu tiên dành cho bộ phận an ninh thông tin được chiếm giữ bởi các tài sản phụ trợ. Một người đặc biệt chịu trách nhiệm bảo vệ họ. Những rủi ro liên quan đến chúng không nghiêm trọng và chỉ ảnh hưởng đến hệ thống quản lý.

Các yếu tố bảo mật thông tin là gì?

Tính toán rủi ro an toàn thông tin bao gồm việc xây dựng một mô hình chuyên biệt. Nó đại diện cho các nút được kết nối với nhau bằng các kết nối chức năng. Các nút là những tài sản tương tự. Mô hình sử dụng các tài nguyên có giá trị sau:

  • Mọi người;
  • chiến lược;
  • công nghệ;
  • quá trình.

Những xương sườn nối chúng lại chính là yếu tố nguy hiểm nhất. Để xác định các mối đe dọa có thể xảy ra, tốt nhất bạn nên liên hệ trực tiếp với bộ phận hoặc chuyên gia làm việc với những tài sản này. Bất kỳ yếu tố rủi ro tiềm ẩn nào cũng có thể là điều kiện tiên quyết để hình thành vấn đề. Mô hình nêu bật những mối đe dọa chính có thể phát sinh.

Về đội ngũ, vấn đề nằm ở trình độ học vấn thấp, thiếu nhân sự và thiếu động lực.

Rủi ro quy trình bao gồm biến đổi môi trường, tự động hóa sản xuất kém và phân chia trách nhiệm không rõ ràng.

Công nghệ có thể bị ảnh hưởng bởi phần mềm lỗi thời và thiếu khả năng kiểm soát người dùng. Các vấn đề với bối cảnh công nghệ thông tin không đồng nhất cũng có thể là nguyên nhân.

Ưu điểm của mô hình này là các giá trị ngưỡng của rủi ro bảo mật thông tin không được thiết lập rõ ràng, do vấn đề được nhìn nhận từ nhiều góc độ khác nhau.

Kiểm toán an ninh thông tin là gì?

Một thủ tục quan trọng trong lĩnh vực bảo mật thông tin doanh nghiệp là kiểm toán. Đó là kiểm tra trạng thái hiện tại của hệ thống bảo vệ chống lại sự xâm nhập trái phép. Quá trình kiểm toán xác định mức độ tuân thủ các yêu cầu đã thiết lập. Việc thực hiện nó là bắt buộc đối với một số loại hình tổ chức; đối với một số loại khác, nó mang tính chất tư vấn. Việc kiểm tra được thực hiện liên quan đến hồ sơ tài liệu của bộ phận kế toán, thuế, thiết bị kỹ thuật và bộ phận kinh tế tài chính.

Việc kiểm tra là cần thiết để hiểu mức độ bảo mật và trong trường hợp không tuân thủ, hãy tối ưu hóa trở lại bình thường. Quy trình này cũng cho phép bạn đánh giá tính khả thi của việc đầu tư tài chính vào bảo mật thông tin. Cuối cùng, chuyên gia sẽ đưa ra khuyến nghị về tỷ lệ chi tiêu tài chính để đạt được hiệu quả tối đa. Việc kiểm tra cho phép bạn điều chỉnh các biện pháp kiểm soát.

Giám định an toàn thông tin được chia thành nhiều giai đoạn:

  1. Đặt ra mục tiêu và cách thức để đạt được chúng.
  2. Phân tích thông tin cần thiết để đưa ra phán quyết.
  3. Xử lý dữ liệu thu thập được.
  4. Ý kiến ​​và khuyến nghị của chuyên gia.

Cuối cùng, chuyên gia sẽ đưa ra quyết định của mình. Các khuyến nghị của ủy ban thường nhằm mục đích thay đổi cấu hình của thiết bị kỹ thuật cũng như máy chủ. Thông thường, một doanh nghiệp gặp khó khăn sẽ được yêu cầu chọn một phương pháp bảo mật khác. Có lẽ, để tăng cường thêm, các chuyên gia sẽ quy định một loạt các biện pháp bảo vệ.

Công việc sau khi nhận được kết quả đánh giá nhằm mục đích thông báo cho nhóm về các vấn đề. Nếu điều này là cần thiết thì nên tiến hành đào tạo bổ sung để tăng cường giáo dục nhân viên về việc bảo vệ tài nguyên thông tin doanh nghiệp.

Để chọn các phương pháp bảo vệ IP cần thiết, bạn cần thực hiện một cách tiếp cận có hệ thống. Trước tiên, bạn cần tiến hành phân tích các lỗ hổng và mối đe dọa bảo mật. Quy trình phân tích bao gồm:

  • Phân tích tổn thất có thể giải quyết được do công nghệ AIS cụ thể
  • Kiểm tra các mối đe dọa và lỗ hổng hệ thống có thể dẫn đến tổn thất có thể xảy ra
  • Lựa chọn các phương pháp bảo vệ tối ưu về giá cả/chất lượng, đồng thời giảm rủi ro đến một mức cụ thể

Phân tích lỗ hổng và rủi ro có thể được thực hiện trong các lĩnh vực sau:

  • đối tượng IP
  • Quy trình, thủ tục và phần mềm xử lý dữ liệu
  • Đối với các kênh truyền thông
  • Đối với phát thải giả

Điều thường xảy ra là việc phân tích toàn bộ cấu trúc IS từ quan điểm kinh tế không phải lúc nào cũng hợp lý, do đó, việc chú ý đến các nút quan trọng sẽ dễ dàng hơn, có tính đến việc đánh giá rủi ro. Việc bảo vệ quyền sở hữu trí tuệ phải luôn tính đến lợi ích của doanh nghiệp.

Các khía cạnh cần xem xét khi phân tích bảo mật IP:

  • Giá trị - thứ cần được bảo vệ
  • Biện pháp khắc phục - những hành động cần thiết
  • Các mối đe dọa - khả năng xảy ra mối đe dọa ảnh hưởng đến mức độ bảo vệ
  • Tác động - hậu quả sau khi mối đe dọa được nhận ra
  • Rủi ro - đánh giá lại mối đe dọa với biện pháp bảo vệ được triển khai
  • Hậu quả là kết quả của việc đe dọa được thực hiện.

Việc đo lường rủi ro có thể được thể hiện bằng các thuật ngữ sau. Định lượng- tổn thất tiền tệ. Chất lượng- thang xếp hạng. Một chiều- mức độ tổn thất * tần suất tổn thất. đa chiều- bao gồm các thành phần về độ tin cậy, hiệu suất và an toàn.

Quản lý rủi ro

Đánh giá rủi ro như một phần của bảo mật thông tin - quản lý rủi ro về cơ bản là một cơ chế lớn trong việc tạo ra sự bảo vệ. Để thực hiện hiệu quả cơ chế này, cần phải thực hiện một số yêu cầu, chẳng hạn như chuyển từ khái niệm định tính sang khái niệm định lượng. Ví dụ: việc tiếp cận được thông tin quan trọng sẽ khiến doanh nghiệp thua lỗ - đây là một khái niệm định tính và “việc tiếp cận thông tin quan trọng sẽ phải trả một khoản tiền cho n 1 đối thủ cạnh tranh, n 2 khách hàng, v.v.” - đây là một khái niệm định lượng.

Quản lý rủi ro- quá trình thực hiện phân tích và đánh giá, giảm thiểu hoặc chuyển hướng rủi ro, trong đó quá trình rủi ro cần trả lời các câu hỏi sau:

  • Điều gì có thể xảy ra?
  • Nếu điều này xảy ra, thiệt hại sẽ là gì?
  • điều này có thể xảy ra thường xuyên như thế nào?
  • Chúng ta tự tin đến mức nào khi trả lời những câu hỏi trên? (xác suất)
  • Sẽ tốn bao nhiêu tiền để loại bỏ hoặc giảm bớt nó?

Tài sản thông tin- một tập hợp dữ liệu cần thiết cho hoạt động của doanh nghiệp và có thể bao gồm các tập hợp nhỏ hơn. Việc đánh giá phải phân tích thông tin tách biệt với các phương tiện vật lý. Khi đánh giá chi phí thiệt hại, các khía cạnh sau đây được xem xét:

  • giá thay thế thông tin
  • giá thay thế phần mềm
  • cái giá của việc vi phạm tính toàn vẹn, bí mật và tính sẵn sàng

Kỹ thuật đánh giá rủi ro

Phương pháp quản lý rủi ro tiêu chuẩn như sau:

  • Định nghĩa chính sách quản lý rủi ro
  • xác định nhân viên sẽ quản lý việc đánh giá và phân tích rủi ro
  • xác định phương pháp và phương tiện trên cơ sở đó việc phân tích rủi ro sẽ được thực hiện
  • Xác định và đo lường rủi ro
  • Đặt giới hạn chấp nhận rủi ro
  • giám sát công tác quản lý rủi ro

Ba phương pháp đánh giá rủi ro sẽ được thảo luận ở đây, đó là mô hình đánh giá định tính, mô hình rủi ro định lượng, Mô hình giá trị tổng quát của Miora.

Mô hình đánh giá định tính

Đánh giá định tính theo truyền thống sẽ thực hiện bảng hiển thị trong Hình 1. Bảng chứa đầy các phiên bản khác nhau của nội dung thông tin hoặc bất kỳ thông tin nào. Những mặt tích cực của mô hình này là:

  • Tính toán được đơn giản hóa và tăng tốc.
  • Không cần thiết phải đưa ra giá trị tiền tệ cho tài sản.
  • Hiệu quả không cần phải tương ứng với các biện pháp liên quan.
  • Không cần phải tính toán tần suất chính xác về mức độ thiệt hại và biểu hiện của mối đe dọa.

Các tham số tiêu cực là tính chủ quan của cách tiếp cận và thiếu sự kết hợp chính xác giữa chi phí với các mối đe dọa.

Bức tranh 1

Mô hình rủi ro định lượng

Mô hình này đưa ra các giả định sau:

  • Tần suất xảy ra sự cố hàng năm, xác suất xảy ra thiệt hại. ARO.
  • Thiệt hại đơn vị dự kiến ​​là chi phí thiệt hại từ một cuộc tấn công thành công. SLE
  • Thiệt hại dự kiến ​​hàng năm - ALE = ARO * SLE;

SLE = AV * EF, trong đó AV là giá trị tài sản và EF là hệ số tác động. Đây là mức sát thương từ 0 đến 100%. Đây là phần giá trị mà kết quả của sự kiện bị mất. Câu hỏi tiếp theo là xác định giá trị của tài sản. Chúng là hữu hình và vô hình. Hữu hình là các công cụ bảo trì CNTT - phần cứng/mạng, v.v. Giá của những tài sản đó rất dễ tính toán. Giá của tài sản vô hình có tính đến hai lựa chọn chi phí: chi phí trong trường hợp vi phạm tính toàn vẹn/bảo mật/tính sẵn sàng và chi phí khôi phục/thay thế phần mềm hoặc dữ liệu. Cần tạo ra một kênh giữa tính dễ bị tổn thương, tác động và mối đe dọa đối với tài sản. Điều này được thể hiện trong Hình 2.

Hình 2

Mô hình Miora (GCC)

Mô hình này được triển khai như một giải pháp thay thế cho Mô hình Rủi ro Định lượng nhằm tạo điều kiện thuận lợi và cải thiện việc tính toán, tính toán. Mô hình này không tính đến khả năng xảy ra các sự kiện thảm khốc; nó tính đến khái niệm thiệt hại do thời gian ngừng hoạt động như một phương tiện tính thời gian sau khi sự kiện bắt đầu. Mà lần lượt giải quyết một phần.

Dưới đây là phương pháp truyền thống để tổ chức các công cụ quản lý rủi ro:

  • Làm rõ chính sách quản lý rủi ro được triển khai dựa trên các khái niệm triển khai bảo mật thông tin được chấp nhận chung (GASSP), cần được mô tả trong. Chính sách tránh cách tiếp cận chủ quan.
  • Cần phải bổ nhiệm nhân sự để giải quyết vấn đề này và bộ phận này đang cần kinh phí. Cũng có thể đào tạo nhân viên ở một số khu vực.
  • Sự lựa chọn và phương tiện thực hiện đánh giá rủi ro.
  • Xác định và giảm thiểu rủi ro. Ở giai đoạn đầu tiên, bạn cần xác định phạm vi công việc có mối đe dọa.
  • Xác định các tiêu chí cho rủi ro có thể chấp nhận được. Ví dụ: rủi ro không thể chấp nhận được đối với số tiền tương đương 100.000 USD là 3/100.
  • Những rủi ro không thể chấp nhận được phải được giảm thiểu. Bạn cần chọn một sản phẩm giảm thiểu rủi ro và mô tả đánh giá về hiệu quả của sản phẩm.
  • Cần phải theo dõi rủi ro định kỳ. Để xác định chúng kịp thời và giảm bớt hoặc loại bỏ chúng.

Rủi ro thông tin là nguy cơ mất mát hoặc hư hỏng do việc sử dụng công nghệ thông tin của công ty.

Nói cách khác, rủi ro CNTT gắn liền với việc tạo, truyền, lưu trữ và sử dụng thông tin bằng phương tiện điện tử và các phương tiện truyền thông khác. rủi ro được chia thành hai loại:

  • ? rủi ro do rò rỉ thông tin và bị đối thủ cạnh tranh hoặc nhân viên sử dụng vào mục đích có thể gây tổn hại cho doanh nghiệp;
  • ? rủi ro xảy ra sự cố kỹ thuật trong hoạt động của các kênh truyền tải thông tin, có thể dẫn đến tổn thất.

Công việc nhằm giảm thiểu rủi ro CNTT liên quan đến việc ngăn chặn truy cập trái phép vào dữ liệu cũng như các tai nạn và hỏng hóc thiết bị.

Quá trình giảm thiểu rủi ro CNTT được xem xét một cách toàn diện: đầu tiên, các vấn đề có thể xảy ra được xác định và sau đó xác định xem chúng có thể được giải quyết theo cách nào.

Ngày nay, có nhiều phương pháp khác nhau được sử dụng để đánh giá và quản lý rủi ro thông tin của các công ty trong nước.

Việc đánh giá rủi ro thông tin của công ty có thể được thực hiện theo kế hoạch sau:

  • ? xác định và đánh giá định lượng các nguồn thông tin có ý nghĩa quan trọng đối với hoạt động kinh doanh của công ty;
  • ? đánh giá các mối đe dọa có thể xảy ra;
  • ? đánh giá các lỗ hổng hiện có;
  • ? đánh giá hiệu quả của các phương tiện bảo mật thông tin.

Rủi ro đặc trưng cho mối nguy hiểm có thể đe dọa các thành phần của hệ thống thông tin doanh nghiệp.

Rủi ro thông tin của một công ty phụ thuộc vào:

  • ? các chỉ số về giá trị của nguồn thông tin;
  • ? khả năng xảy ra các mối đe dọa đối với tài nguyên;
  • ? tính hiệu quả của các phương tiện bảo mật thông tin hiện có hoặc theo kế hoạch.

Mục đích của việc đánh giá rủi ro là xác định các đặc điểm rủi ro của hệ thống thông tin doanh nghiệp và các nguồn lực của nó.

Sau khi đánh giá rủi ro, bạn có thể chọn các công cụ cung cấp mức độ bảo mật thông tin mong muốn cho công ty. Khi đánh giá rủi ro, các yếu tố như giá trị tài nguyên, tầm quan trọng của các mối đe dọa và điểm yếu cũng như tính hiệu quả của các phương tiện bảo vệ hiện có và theo kế hoạch sẽ được tính đến.

Khả năng thực hiện một mối đe dọa đối với một nguồn lực nhất định của công ty được đánh giá bằng xác suất thực hiện mối đe dọa đó trong một khoảng thời gian nhất định. Trong trường hợp này, khả năng xảy ra mối đe dọa được xác định bởi các yếu tố chính sau:

  • ? sự hấp dẫn của tài nguyên (được tính đến khi xem xét mối đe dọa từ ảnh hưởng có chủ ý của con người);
  • ? khả năng sử dụng tài nguyên để tạo thu nhập (kể cả trong trường hợp có mối đe dọa từ ảnh hưởng có chủ ý của con người);
  • ? khả năng kỹ thuật để thực hiện mối đe dọa với sự tác động có chủ ý của con người;
  • ? mức độ dễ dàng mà một lỗ hổng có thể bị khai thác.

Ở Nga, nhiều phương pháp “giấy” hiện đang được sử dụng phổ biến nhất, ưu điểm của chúng là tính linh hoạt và khả năng thích ứng. Theo quy định, việc phát triển các phương pháp này được thực hiện bởi các công ty - nhà tích hợp hệ thống và chuyên ngành trong lĩnh vực bảo mật thông tin.

Phần mềm chuyên dụng thực hiện các kỹ thuật phân tích rủi ro có thể được phân loại là sản phẩm phần mềm (có sẵn trên thị trường) hoặc là tài sản của một bộ phận, tổ chức và không được bán.

Nếu phần mềm được phát triển như một sản phẩm phần mềm thì nó phải có đủ tính phổ quát. Các tùy chọn phần mềm của bộ phận được điều chỉnh phù hợp với đặc điểm cụ thể của báo cáo vấn đề để phân tích và quản lý rủi ro, đồng thời cho phép bạn tính đến các đặc điểm cụ thể về công nghệ thông tin của tổ chức.

Phần mềm được cung cấp trên thị trường chủ yếu tập trung vào mức độ bảo mật thông tin cao hơn một chút so với mức bảo mật cơ bản. Do đó, bộ công cụ được thiết kế chủ yếu cho nhu cầu của các tổ chức ở mức độ trưởng thành 3-4, được mô tả trong chương đầu tiên.

Để giải quyết vấn đề này, các hệ thống phần mềm phân tích và kiểm soát rủi ro thông tin đã được phát triển: CRAMM, FRAP, RiskWatch, Microsoft, GRIF. Dưới đây là những mô tả ngắn gọn về một số kỹ thuật phân tích rủi ro phổ biến.

Các kỹ thuật phân tích rủi ro phổ biến:

  • ? các kỹ thuật sử dụng đánh giá rủi ro ở mức độ định tính (ví dụ: trên thang điểm “cao”, “trung bình”, “thấp”). Đặc biệt, những kỹ thuật như vậy bao gồm FRAP;
  • ? phương pháp định lượng (rủi ro được đánh giá thông qua một giá trị số, ví dụ như quy mô của khoản lỗ dự kiến ​​​​hàng năm). Phương pháp RiskWatch thuộc loại này;
  • ? phương pháp sử dụng các đánh giá hỗn hợp (phương pháp này được sử dụng trong CRAMM, phương pháp của Microsoft, v.v.).

Kỹ thuật CRAMM là một trong những công trình nước ngoài đầu tiên về phân tích rủi ro trong lĩnh vực bảo mật thông tin, được phát triển vào những năm 80.

Nó dựa trên cách tiếp cận tích hợp để đánh giá rủi ro, kết hợp các phương pháp phân tích định lượng và định tính. Phương pháp này phổ biến và phù hợp cho cả tổ chức lớn và nhỏ, cả khu vực chính phủ và thương mại. Các phiên bản của phần mềm CRAMM dành cho các loại tổ chức khác nhau khác nhau về cơ sở kiến ​​thức (hồ sơ):

  • ? hồ sơ thương mại;
  • ? hồ sơ chính phủ.

Khi phương pháp này hoạt động, ở giai đoạn đầu tiên, giá trị tài nguyên của hệ thống đang nghiên cứu sẽ được tính đến và thông tin chính về cấu hình hệ thống sẽ được thu thập. Việc xác định các tài nguyên được thực hiện: vật lý, phần mềm và thông tin có trong ranh giới của hệ thống.

Kết quả của giai đoạn này là xây dựng được mô hình hệ thống với cây kết nối tài nguyên. Sơ đồ này cho phép bạn làm nổi bật các yếu tố quan trọng. Giá trị của tài nguyên vật lý trong CRAMM được xác định bởi chi phí khôi phục chúng trong trường hợp bị phá hủy.

Giá trị của dữ liệu, phần mềm được xác định trong các trường hợp sau:

  • ? không có sẵn tài nguyên trong một khoảng thời gian nhất định;
  • ? phá hủy tài nguyên - mất thông tin thu được kể từ lần sao lưu cuối cùng hoặc phá hủy hoàn toàn thông tin đó;
  • ? vi phạm bí mật trong trường hợp nhân viên hoặc người không được phép truy cập trái phép;
  • ? sửa đổi - được xem xét đối với các trường hợp lỗi nhỏ về mặt nhân sự (lỗi đầu vào), lỗi phần mềm, lỗi cố ý;
  • ? các lỗi liên quan đến việc chuyển giao thông tin: từ chối giao hàng, không giao thông tin, giao sai địa chỉ.
  • ? thiệt hại đến danh tiếng của tổ chức;
  • ? vi phạm pháp luật hiện hành;
  • ? thiệt hại về sức khỏe nhân sự;
  • ? thiệt hại do tiết lộ dữ liệu cá nhân của cá nhân;
  • ? tổn thất tài chính do tiết lộ thông tin;
  • ? tổn thất tài chính liên quan đến việc thu hồi tài nguyên;
  • ? tổn thất liên quan đến việc không thể thực hiện nghĩa vụ;
  • ? sự vô tổ chức của các hoạt động.

Giai đoạn thứ hai xem xét mọi thứ liên quan đến việc xác định và đánh giá mức độ đe dọa đối với các nhóm tài nguyên và điểm yếu của chúng. Vào cuối giai đoạn, khách hàng nhận được mức độ rủi ro được xác định và đánh giá cho hệ thống của mình. Ở giai đoạn này, sự phụ thuộc của dịch vụ người dùng vào các nhóm tài nguyên nhất định cũng như mức độ đe dọa và lỗ hổng hiện có được đánh giá, mức độ rủi ro được tính toán và kết quả được phân tích.

Các tài nguyên được nhóm theo loại mối đe dọa và lỗ hổng. Phần mềm CRAMM tạo danh sách các câu hỏi mở cho từng nhóm tài nguyên và từng loại trong số 36 loại mối đe dọa.

Mức độ đe dọa được đánh giá, tùy thuộc vào câu trả lời, là rất cao, cao, trung bình, thấp và rất thấp. Mức độ dễ bị tổn thương được đánh giá, tùy thuộc vào câu trả lời, ở mức cao, trung bình và thấp.

Dựa trên thông tin này, mức độ rủi ro được tính toán theo thang đo riêng biệt với cấp độ từ 1 đến 7. Mức độ đe dọa, lỗ hổng và rủi ro được phân tích và thống nhất với khách hàng.

Cách tiếp cận cơ bản để giải quyết vấn đề này là xem xét:

  • ? mức độ nguy hiểm;
  • ? mức độ dễ bị tổn thương;
  • ? số tổn thất tài chính dự kiến.

Dựa trên ước tính chi phí tài nguyên của IP được bảo vệ, đánh giá các mối đe dọa và lỗ hổng, “tổn thất dự kiến ​​hàng năm” được xác định.

Giai đoạn thứ ba của nghiên cứu là tìm kiếm phương án hệ thống bảo mật đáp ứng tốt nhất yêu cầu của khách hàng.

Ở giai đoạn này, CRAMM tạo ra một số lựa chọn về các biện pháp đối phó phù hợp với các rủi ro đã xác định và mức độ của chúng.

Do đó, CRAMM là một ví dụ về phương pháp tính toán trong đó các đánh giá ban đầu được đưa ra ở cấp độ định tính, sau đó chuyển sang đánh giá định lượng (tính bằng điểm).

Công việc sử dụng phương pháp CRAMM được thực hiện theo ba giai đoạn, mỗi giai đoạn theo đuổi mục tiêu riêng của mình là xây dựng mô hình rủi ro cho toàn bộ hệ thống thông tin. Các mối đe dọa đối với hệ thống đối với các tài nguyên cụ thể sẽ được xem xét. Việc phân tích cả trạng thái phần mềm và kỹ thuật của hệ thống được thực hiện ở mỗi bước. Bằng cách xây dựng cây phụ thuộc trong hệ thống, bạn có thể thấy các điểm yếu của nó và ngăn chặn việc mất thông tin do sự cố hệ thống, cả do trước sự tấn công của virus và các mối đe dọa của hacker.

Nhược điểm của phương pháp CRAMM:

  • ? sử dụng phương pháp CRAMM đòi hỏi kiểm toán viên phải được đào tạo đặc biệt và có trình độ chuyên môn cao;
  • ? CRAMM phù hợp hơn nhiều để kiểm tra các hệ thống thông tin hiện có ở giai đoạn vận hành so với các hệ thống thông tin đang được phát triển;
  • ? kiểm toán sử dụng phương pháp CRAMM là một quy trình tốn nhiều công sức và có thể yêu cầu kiểm toán viên làm việc liên tục trong nhiều tháng;
  • ? Các công cụ phần mềm CRAMM tạo ra một lượng lớn tài liệu giấy, không phải lúc nào cũng hữu ích trong thực tế;
  • ? CRAMM không cho phép bạn tạo mẫu báo cáo của riêng mình hoặc sửa đổi các mẫu hiện có;
  • ? người dùng không có khả năng bổ sung vào cơ sở tri thức CRAMM, điều này gây ra những khó khăn nhất định trong việc điều chỉnh phương pháp này cho phù hợp với nhu cầu của một tổ chức cụ thể;
  • ? Phần mềm CRAMM chỉ có bằng tiếng Anh;
  • ? chi phí giấy phép cao.