u20-24alexandrov.md 7.6 KB
1.3.400 Методы оценки опасности угроз.
При определении угроз на конкретном объекте защиты важно понимать, что нельзя учесть абсолютно все угрозы, а тем более защититься от них. Здесь уместно говорить о принципе разумности и достаточности. При идентификации угрозы необходимо установить все возможные источники этой угрозы, так как зачастую угроза возникает вследствие наличия определенной уязвимости и может быть устранена с помощью механизма защиты (например, механизм аутентификации). К идентификации угроз можно подходить двумя путями – по уязвимостям, повлекшим за собой появление угрозы, или по источникам угроз.
Опасность угрозы определяется риском в случае ее успешной реализации. Риск – потенциально возможный ущерб. Допустимость риска означает, что ущерб в случае реализации угрозы не приведет к серьезным негативным последствиям для владельца информации. Ущерб подразделяется на опосредованный и непосредственный. Непосредственный связан с причинением материального, морального, финансового , физического вреда владельцу информации. Опосредованный (косвенный) ущерб связан с причинением вреда государству или обществу, но не владельцу информации.
Для оценки рисков целесообразно привлекать экспертов - специалистов в области информационной безопасности, которые должны обладать:
знаниями законодательства РФ, международных и национальных стандартов в области обеспечения информационной безопасности;
знаниями нормативных актов и предписаний регулирующих и надзорных органов в области обеспечения информационной безопасности;
знаниями внутренних документов организации, регламентирующих деятельность в области обеспечения информационной безопасности;
знаниями о современных средствах вычислительной и телекоммуникационной техники, операционных системах, системах управления базами данных, а также о конкретных способах обеспечения информационной безопасности в них;
знаниями о возможных источниках угроз ИБ, способах реализации угроз ИБ, частоте реализации угроз ИБ в прошлом;
пониманием различных подходов к обеспечению информационной безопасности, знания защитных мер, свойственных им ограничений.
Существуют различные методы оценки риска, образующие два взаимодополняющих друг друга вида – количественный и качественный.
Целью количественной оценки риска является получение числовых значений потенциального ущерба для каждой конкретной угрозы и для совокупности угроз на защищаемом объекте, а также выгоды от применения средств защиты. Основным недостатком данного подхода является невозможность получения конкретных значений в некоторых случаях. Например, если в результате реализации угрозы наносится ущерб имиджу организации, непонятно, как количественно оценить подобный ущерб.
Рассмотрим количественный подход боле подробно на примере метода оценки рисков, предлагаемого компанией При количественной оценке рисков необходимо определить характеристики и факторы, указанные ниже.
Стоимость активов. Для каждого актива организации, подлежащего защите, вычисляется его денежная стоимость. Активами считается все, что представляет ценность для организации, включая как материальные активы (например, физическую инфраструктуру), так и нематериальные (например, репутацию организации и цифровую информацию). Часто именно стоимость актива используется для того, чтобы определить меры безопасности для конкретного актива.
Ожидаемый разовый ущерб – ущерб, полученный в результате разовой реализации одной угрозы. Другими словами, это денежная величина, сопоставленная одиночному событию и характеризующая потенциальный ущерб, который понесет компания, если конкретная угроза сможет использовать уязвимость.
Ежегодная частота возникновения ( по-простому вероятность) – ожидаемое число проявления угрозы в течение года. Понятно, что величина может меняться от 0 до 100 процентов и не может быть определена точно. В идеальном случае определяется на основе статистики.
Общий годовой ущерб – величина, характеризующая общие потенциальные потери организации в течение одного года. Это произведение ежегодной величины возникновения на ожидаемый разовый ущерб от реализации угрозы.
Источники
intuit.ru
helpiks.org