среда, 18 мая 2011 г.

Идентификация угроз ИБ (часть 2)

Ну, хорошо, определились с целью и выбрали один вариант из трех, предложенных в предыдущем посте. Переходим к формированию угроз ИБ. Написали полный список возможных угроз ИБ. Что делать дальше? Я бы выделил три пути решения:

1. Сформировать для каждого актива полные перечни угроз ИБ.
Для примера, 20 активов и 15 угроз, каждая из которых может воздействовать на каждый актив. В итоге получаем 300 значений риска по каждой угрозе для каждого актива. Хорошо если 250-270 значений будут принимать значение "допустимый" :).
Недостатки: огромный объем рутиной работы.
Преимущества: контрмеры формируются к конкретным угрозам ИБ для конкретных активов, а не к "абстрактным".

2. Распределить все угрозы ИБ для объекта по трем базовым - конфиденциальность, целостность, доступность. 
В случае с 20 активами и 3-мя угрозами, картинка выглядит проще - 60 значений.

3. Объединить три базовые угрозы ИБ в одну "комплексную угрозу" для объекта.
Для случае с 20 активами и одной "комплексной угрозы" - 20 значений. 
Преимущества 2 и 3 решения: резкое снижение рутиной (вычислительной) работы.
Недостатки 2 и 3 решения: невозможность определить, какая из угроз ИБ вносит большее влияние на значение риска ИБ, что может привести к формированию не адекватных контрмер, которые в свою очередь не понизят уровень риска до "допустимого", а оставят на прежнем уровне.

С точки зрения представления результатов оценки рисков: первый вариант хорош для специалистов по ИБ, которым нужно сформировать адекватные контрмеры; второй вариант для руководителей ИБ, которым не обязательно знать что конкретно происходит, но нужно видеть общую картину по направлениям конфиденциальность, целостность и доступность; третий вариант для топов, так как им совершенно не нужно вдаваться в тонкости, а необходимо проанализирвать общую тенденцию по рискам ИБ в организаци.

Если путь решения формирования перечня угроз намечен, то возникает следующий вопрос: "Как оценить вероятность реализации угроз ИБ?". На сколько полученные значения объективны? Об этом в другой раз.

Комментариев нет: