Сдам Сам
Главная | Контакты | FAQ

ПОЛЕЗНОЕ
Как развить коммуникабельность Почему могут возникнуть ссоры между супругами, в то время как их отношения кажутся прочными Почему появляется страх? Как стать богатым и отойти от дел молодым Советы от доктора Айболита «Как быть здоровым» Как сделать приглашение правильно Точка зрения. Как сделать сотрудника вовлеченным? Лень и как с ней бороться. Психологические аспекты Способов заработать с помощью internet Лекции по Основам предпринимательства Последнее добавление


КАТЕГОРИИ
АвтоматизацияАрхитектураАстрономияАудит Биология Бухгалтерия Генетика География Геология Изобретательство Информатика Искусство История Компьютеры Литература Логика Маркетинг МатематикаМашиностроение Медицина Менеджмент Металлы и Сварка Механика Образование Педагогика Политика ПравоотношениеПроизводство Психология РазноеРелигия Социология Спорт Технологии Торговля Физика Философия Финансы Химия Экология Экономика







Анализ регуляторов безопасности





Основная цель анализа регуляторов безопасности — определить, удовлетворяют ли существующие и планируемые контрмеры предъявляемым к ИС требованиям безопасности. Попутно определяются вероятности реализации идентифицированных угроз с учетом нейтрализующего действия регуляторов безопасности.

Определение вероятностей

При определении вероятности того, что потенциальная уязвимость может быть использована в конкретном окружении, необходимо рассмотреть следующие факторы:

  • мотивация и вооруженность ресурсами источника угрозы;
  • природа уязвимости;
  • наличие и эффективность контрмер.

Вероятность можно оценить по трехбалльной шкале как низкую, умеренную или высокую.

Анализ воздействия

Предварительным условием проведения анализа воздействия является получение следующих сведений:

  • миссия информационной системы организации (то есть процессы, выполняемые ИС);
  • критичность систем и данных (то есть ценность и важность систем и данных для организации);
  • чувствительность систем и данных.

Воздействие, как и вероятность, можно оценить по трехбалльной шкале.

Определение рисков

Для определения рисков можно, оставаясь в рамках трехбалльной шкалы, выбрать для вероятностей реализации угроз значения 0.1, 0.5 и 1.0, а для уровней воздействия — 10, 50 и 100. Тогда, если произведение вероятности на воздействие не превосходит 10, риск можно считать низким. Значения от 10 до 50 соответствуют умеренному риску, свыше 50 — высокому.

Высокий риск требует незамедлительного планирования и реализации корректирующих действий. Если по какой-либо причине планирование или реализация затягиваются, может ставиться вопрос о приостановке работы ИС или ее частей.

Умеренный риск также требует планирования и реализации корректирующих действий за разумный период времени.

При низком риске следует решить, нужны ли какие-то корректирующие действия, или можно принять риск.

Рекомендуемые контрмеры

Назначение рекомендуемых контрмер заключается в том, чтобы нейтрализовать (в достаточной степени уменьшить или устранить) идентифицированные риски. При планировании дополнительных регуляторов безопасности обязательно следует учитывать следующие факторы:

  • совместимость с существующим аппаратно-программным обеспечением;
  • соответствие действующему законодательству;
  • соответствие практике организации, ее политике безопасности;
  • воздействие на эксплуатационное окружение;
  • безопасность и надежность.

Рекомендуемые контрмеры являются результатом процесса оценки рисков и, одновременно, входными данными для процесса нейтрализации рисков.

Результирующая документация

Отчет с результатами оценки рисков помогает руководству организации, владельцам информационных систем принимать обоснованные решения по изменению политики, процедур и регуляторов безопасности, по корректировке бюджета и т.п. В отличие от результатов работы аудиторов, которые заботятся, прежде всего, о выявлении недостатков, отчет об оценке рисков не должен носить обвинительного характера. Нужен систематический, аналитический подход, чтобы высшее руководство осознало имеющиеся риски и выделило на их нейтрализацию необходимые ресурсы.

Нейтрализация рисков

Нейтрализация рисков — вторая фаза процесса управления рисками — включает определение приоритетов, оценку и реализацию контрмер, уменьшающих риски и рекомендованных по результатам оценки рисков.

Поскольку полное устранение рисков невозможно и/или бессмысленно, руководство организации должно следовать принципу минимальной достаточности, реализуя только необходимые, наиболее подходящие регуляторы безопасности с целью уменьшения рисков до приемлемого уровня с минимальным негативным воздействием на бюджет, ресурсы и миссию организации.

В процессе управления рисками могут использоваться различные возможности:

  • принятие риска;
  • уклонение от риска (ликвидация причин и/или последствий риска, например, путем добавления регуляторов безопасности, устранения небезопасных функций ИС, приостановки работы ИС в небезопасных ситуациях и т.п.);
  • ограничение (нейтрализация) риска (например, путем реализации контрмер, уменьшающих воздействие угроз);
  • переадресация риска (например, путем приобретения страхового полиса).

С практической точки зрения нет смысла и возможности учитывать все риски; их следует ранжировать, выделив наиболее опасные для миссии организации или грозящие наиболее крупными потерями.

Действия по управлению рисками могут производиться на различных этапах жизненного цикла информационной системы, а именно:

  • при выявлении дефекта или слабого места целесообразно применить меры, повышающие доверие безопасности ИС, чтобы устранить обнаруженные уязвимости и уменьшить вероятность появления новых;
  • при выявлении уязвимости, допускающей использование, целесообразно применить эшелонированную оборону, другие принципы архитектурной безопасности или нетехнические контрмеры, чтобы затруднить или воспрепятствовать использованию уязвимости;
  • в ситуациях, когда затраты атакующего меньше потенциальной выгоды от атаки, целесообразно принять меры для уменьшения мотивации источника угрозы путем увеличения стоимости или уменьшения выгоды от атаки (например, может быть применен административный регулятор безопасности, ограничивающий типы данных, подлежащих обработке информационной системой организации, после чего выгода от атаки на ИС должна существенно уменьшиться);
  • в ситуациях, когда ущерб слишком велик, целесообразно применить принципы проектирования и архитектурной безопасности, а также технические и организационные контрмеры, чтобы уменьшить возможный масштаб атак и, следовательно, снизить потенциальный ущерб от них (и здесь административный регулятор безопасности, ограничивающий типы данных, подлежащих обработке информационной системой организации, может оказаться самым эффективным способом управления рисками).

Основное правило управления рисками можно сформулировать следующим образом: начните с наибольших рисков и стремитесь к их уменьшению до приемлемого уровня при минимальных затратах и с минимальным воздействием на другие возможности информационной системы организации.

Реализацию приведенного правила целесообразно оформить в виде процесса со следующими шагами:

  • Шаг 1 — ранжирование действий. При выделении ресурсов высший приоритет должен отдаваться неприемлемо высоким рискам, требующим немедленных корректирующих действий. Результат шага 1 — упорядоченный по убыванию приоритетов перечень действий.
  • Шаг 2 — оценка возможных способов реализации рекомендованных контрмер. Цель состоит в том, чтобы выбрать наиболее подходящие контрмеры, минимизирующие риски. Результат шага 2 — список пригодных регуляторов безопасности.
  • Шаг 3 — оценка экономической эффективности, выбор наиболее практичных контрмер. Результат шага 3 — отчет об экономическом анализе, описывающий затраты и выгоды от реализации контрмер или от отсутствия таковой.
  • Шаг 4 — выбор контрмер. По результатам технического и экономического анализа руководство организации выбирает оптимальный способ нейтрализации рисков. Результат шага 4 — список выбранных регуляторов безопасности.
  • Шаг 5 — распределение обязанностей. Выбираются должностные лица, обладающие достаточной квалификацией для реализации выбранных контрмер. На этих сотрудников возлагаются обязанности по реализации регуляторов безопасности. Результат шага 5 — список ответственных и их обязанностей.
  • Шаг 6 — разработка плана реализации контрмер. План должен содержать по крайней мере следующие сведения:
    • риски (пары уязвимость/угроза) и их уровни, полученные в результате оценки рисков;
    • рекомендованные регуляторы безопасности;
    • действия, упорядоченные по приоритетам (высший приоритет получают действия, направленные на нейтрализацию самых высоких рисков);
    • регуляторы безопасности, выбранные из числа рекомендованных;
    • ресурсы, необходимые для реализации выбранных регуляторов безопасности;
    • список ответственных за реализацию выбранных контрмер;
    • календарный план реализации контрмер;
    • требования к сопровождению. Результат шага 6 — план реализации контрмер.
  • Шаг 7 — реализация выбранных контрмер. Результат шага 7 — остаточные риски.

Необходимым элементом управления рисками является оценка экономической эффективности, цель которой — продемонстрировать, что затраты на реализацию дополнительных контрмер окупаются за счет снижения рисков. При вычислении затрат на реализацию регуляторов безопасности следует учитывать:

  • затраты на приобретение аппаратного и программного обеспечения;
  • снижение эксплуатационной эффективности ИС, если производительность или функциональность системы падает в результате усиления мер безопасности;
  • затраты на разработку и реализацию дополнительных политик и процедур;
  • дополнительные затраты на персонал, вовлеченный в реализацию предложенных регуляторов безопасности;
  • затраты на обучение персонала;
  • затраты на сопровождение;






ЧТО И КАК ПИСАЛИ О МОДЕ В ЖУРНАЛАХ НАЧАЛА XX ВЕКА Первый номер журнала «Аполлон» за 1909 г. начинался, по сути, с программного заявления редакции журнала...

ЧТО ТАКОЕ УВЕРЕННОЕ ПОВЕДЕНИЕ В МЕЖЛИЧНОСТНЫХ ОТНОШЕНИЯХ? Исторически существует три основных модели различий, существующих между...

Что способствует осуществлению желаний? Стопроцентная, непоколебимая уверенность в своем...

Конфликты в семейной жизни. Как это изменить? Редкий брак и взаимоотношения существуют без конфликтов и напряженности. Через это проходят все...




Не нашли то, что искали? Воспользуйтесь поиском гугл на сайте:

©2015- 2024 zdamsam.ru Размещенные материалы защищены законодательством РФ.