Accueil Explorer Aide
Connexion
u22ryabchenko
/
EASvZI
forké depuis ypv/EASvZI
1
0
Fork 0
Fichiers
Aborescence: 22f13a1116
Branches Tags
EASvZI
/
Лекции
/
1.3.300_Критерии_классификации_угроз
/
Doc.md

Doc.md 10 KB
Historique Raw

Критерии классификации угроз.

Классификация угроз безопасности

Под угрозой безопасности информации, понимается действие или событие, которое может привести к разрушению, искажению или несанкционированному использованию информационных ресурсов, включая хранимую, передаваемую и обрабатываемую информацию, а также программные и аппаратные средства.

Угрозы можно классифицировать по нескольким критериям:

  • поспособу осуществления (случайные/преднамеренные действия природного/техногенного характера);
  • покритерию информационной безопасности (доступность, целостность, конфиденциальность), против которого угрозы направлены в первую очередь;
  • по компонентам КС, на которые угрозы нацелены (данные, программы, аппаратура, поддерживающая инфраструктура);

  • по расположению источника угроз (внутри/вне рассматриваемой КС).

    Методы оценки опасности угроз:

  • Количественный метод.

  • Качественный метод.

    Количественный метод:

    Количественная оценка рисков применяется в ситуациях, когда исследуемые угрозы и связанные с ними риски можно сопоставить с конечными количественными значениями, выраженными в деньгах, процентах, времени, человекоресурсах и проч. Метод позволяет получить конкретные значения объектов оценки риска при реализации угроз информационной безопасности. При количественном подходе всем элементам оценки рисков присваивают конкретные и реальные количественные значения. Алгоритм получения данных значений должен быть нагляден и понятен. Объектом оценки может являться ценность актива в денежном выражении, вероятность реализации угрозы, ущерб от реализации угрозы, стоимость защитных мер и прочее.

    Чтобы провести количественную оценку рисков нужно:

  • Определить ценность информационных активов в денежном выражении.

  1. Оценить в количественном выражении потенциальный ущерб от реализации каждой угрозы в отношении каждого информационного актива. Следует получить ответы на вопросы «Какую часть от стоимости актива составит ущерб от реализации каждой угрозы?», «Какова стоимость ущерба в денежном выражении от единичного инцидента при реализации данной угрозы к данному активу?».

  2. Определить вероятность реализации каждой из угроз ИБ. Для этого можно использовать статистические данные, опросы сотрудников и заинтересованных лиц. В процессе определения вероятности рассчитать частоту возникновения инцидентов, связанных с реализацией рассматриваемой угрозы ИБ за контрольный период (например, за один год).

  3. Определить общий потенциальный ущерб от каждой угрозы в отношении каждого актива за контрольный период (за один год). Значение рассчитывается путем умножения разового ущерба от реализации угрозы на частоту реализации угрозы.

  4. Провести анализ полученных данных по ущербу для каждой угрозы. По каждой угрозе необходимо принять решение: принять риск, снизить риск либо перенести риск.

    Качественный метод:

    К сожалению, не всегда удается получить конкретное выражение объекта оценки из-за большой неопределенности. Как точно оценить ущерб репутации компании при появлении информации о произошедшем у нее инциденте ИБ? В таком случае применяется качественный метод. Анализ рисков информационной безопасности качественным методом должен проводиться с привлечением сотрудников, имеющих опыт и компетенции в той области, в которой рассматриваются угрозы.

    Чтобы провести качественную оценку рисков нужно:

  5. Определить ценность информационных активов. Ценность актива можно определить по уровню критичности (последствиям) при нарушении характеристик безопасности (конфиденциальность, целостность, доступность) информационного актива.

  • Определить вероятность реализации угрозы по отношению к информационному активу. Для оценки вероятности реализации угрозы может использоваться трехуровневая качественная шкала (низкая, средняя, высокая).

  • Определить уровень возможности успешной реализации угрозы с учетом текущего состояния ИБ, внедренных мер и средств защиты. Для оценки уровня возможности реализации угрозы также может использоваться трехуровневая качественная шкала (низкая, средняя, высокая). Значение возможности реализации угрозы показывает, насколько выполнимо успешное осуществление угрозы.

  • Сделать вывод об уровне риска на основании ценности информационного актива, вероятности реализации угрозы, возможности реализации угрозы. Для определения уровня риска можно использовать пятибалльную или десятибалльную шкалу. При определении уровня риска можно использовать эталонные таблицы, дающие понимание, какие комбинации показателей (ценность, вероятность, возможность) к какому уровню риска приводят.

  • Провести анализ полученных данных по каждой угрозе и полученному для нее уровню риска. Часто группа анализа рисков оперирует понятием «приемлемый уровень риска». Это уровень риска, который компания готова принять (если угроза обладает уровнем риска меньшим или равным приемлемому, то она не считается актуальной). Глобальная задача при качественной оценке — снизить риски до приемлемого уровня.

  • Разработать меры безопасности, контрмеры и действия по каждой актуальной угрозе для снижения уровня риска.

    Какой метод выбрать?

    Целью обоих методов является понимание реальных рисков ИБ компании, определение перечня актуальных угроз, а также выбор эффективных контрмер и средств защиты. Каждый метод оценки рисков имеет свои преимущества и недостатки. Выбор метода следует делать исходя из специфики конкретной компании и задач, поставленных перед специалистом.

    Список используемой литературы:

  • Критерии Классификации угроз

  • Методы оценки опасности угроз