Как я уже отмечал, в процессе оценки рисков ИБ необходимо выделить "все" возможные угрозы ИБ. В зависимости от того какую цель вы преследуете можно идентифицировать угрозы ИБ для:
1) информационной системы (ИС) в целом;
2) конкретных автоматизированных систем (АС), (АРМ, серверов, коммуникационного оборудования);
3) конкретных информационных активов.
В чем разница и как влияет каждый из подходов на конечный результат оценки рисков ИБ?
Если Вы выделяете угрозы для ИС в целом, то должны быть готовы к тому, что на выходе у вас получится "риск, который можно представить высшему руководству компании". Работать с таким значением риска крайне затруднительно. Судите сами, если у вас есть ИС, которая состоит из нескольких АС, которые в свою очередь состоят из комплекса АРМ, серверов и коммуникационного оборудования и есть угроза для ИС - нарушение доступности. Нарушение доступности информации в результате отказа тех. средств сервера или переполнения канала связи или переполнения буфера приложения или удаления информации пользователем и т.д. Полнейшая неопределенность :). Так что первый вариант с результирующим значением риска подойдет для того, что бы сверкнуть графиками по текущему уровню риска ИБ перед топами и возможно выбить деньги на финансирование проекта DLP, защищенного документооборота и т.д.
Второй вариант является предпочтительнее первого, так как на выходе Вы получаете риск по угрозам для конкретного объекта АС. Но существуют некоторые ограничения на такой подход. Если вернуться к примеру о нарушении доступности, то становится понятным что нарушается доступность информации путем отказа технических средств. Возникает следующий вопрос: "а доступность какой информации нарушается?!" На сервере может храниться и обрабатываться информация из различных прикладных программ. Требования к доступности одних информационных ресурсов может быть выше, чем к другим (предельное время простоя одних - 1 час, других - 10 часов). В итоге снимаем неопределенность выбора контрмер в направлении технических компонентов, но оставляем ее для информационных ресурсов.
Самым адекватным подходом, если Вы хотите реально определить вектор движения в области ИБ Вашей организации, является третий. Используя его, вы определяете конкретные угрозы для конкретной информации, например, для БД клиентов, для таблиц маршрутизации, для новых проектов, для стратегии финансового развития организации и т.д. В результате, на выходе Вы получаете значение риска по конкретной информации, что снимает неопределенность по выбору конкретных контрмер.
Казалось бы, что все довольно просто, если бы ни одно НО: "Какие угрозы могут воздействовать на ресурсы информационной системы, и по каким принципам их формировать?"
Комментариев нет:
Отправить комментарий