вторник, 14 июня 2011 г.

Оценка рисков нарушения ИБ (ISO/ГОСТ Р 13335-3)

Национальный стандарт Российской Федерации :). Методы и средства обеспечения безопасности. Часть 3. Методы менеджмента безопасности информационных технологий.

Основной подход к оценки рисков нарушения ИБ, заключается в последовательном выполнении следующих этапов:
1. Установление границ рассмотрения.
2. Идентификация активов.
3. Оценка активов.
4. Оценка угроз.
5. Оценка уязвимостей.
6. Идентификация существующих/планируемых мер защиты информации.
7. Расчет риска.

По сравнению с классическим подходом оценки рисков ИБ в предлагаемом подходе добавляется 5 и 6 этап.
Оценка уязвимостей подразумевает не только уязвимости программного обеспечения, но и уязвимости процедур, персонала, менеджмента и т.д. Это существенно, так как нужно четко осознавать, что понятие "уязвимости" гораздо шире чем "уязвимость программного обеспечения".
Идентификация существующих мер защиты - я бы поставил этот этап перед оценкой угроз, так как вероятность реализации угроз ИБ на прямую зависит от организационных, программно-аппаратных и технических средств защиты, установленных в информационной системе.

К расчету риска, в отличии от стандарта NIST 800-30 предлагается оценивать риск по трем факторам: РСИК = Pугр*Pуязв*Cактива, где новый компонент Pуязв - вероятность наличия уязвимости.
В качестве примера шкалы Pугр, Pуязв приведена качественная шкала: низкая, средняя, высокая. В качестве шкалы оценки Cактива - числовые значения в интервале от 0 до 4. Сопоставить им качественные значения предлагается организации.

Преимущества:
- при расчете риска учитываются и угрозы ИБ и уязвимости;
- угрозы оцениваются с учетом существующих и планируемых к применению средств защиты;
- стоимость активов предлагается оценивать владельцам информации;
- определяется необходимость учитывать возможность одновременного воздействия двух разных угроз ИБ на один актив.

Недостатки:
- экспертные оценки всех трех параметров риска;
- сложности в идентификации уязвимостей (так как "уязвимость" не равно "уязвимость ПО");
- проблемы связанные с объемами вычислений (помимо того что на один актив могут воздействовать разные угрозы сами по себе, так они могут воздействовать совместно в различных вариантах, например, в результате пожара, ноутбук с информацией может сгореть, а может быть украден, а может быть залит водой в ходе тушения пожара, а сколько таких вариаций может быть - боюсь даже представить).

4 комментария:

Ригель комментирует...

Процедуры, персонал, менеджмент - активы. Верно?

Сергей Ерохин комментирует...

верно

Ригель комментирует...

Защищаем активы, отличные от информационных?

Сергей Ерохин комментирует...

Оцениваем уязвимости по различным направлениям, в том числе и уязвимости программного обеспечения, которые приводят к нарушению безопасности информации в информационно-телекоммуникационной системе :).