Однажды по каналу одной из рассылки (сейчас и не вспомню какой) мне пришло приглашение на обсуждения следующего документа: "Специальный отчет. Методы выявления уязвимости химических объектов США. Министерство юстиции США. 2002г.". Время было совсем мало и решил отложить изучение данного документа. Но как это потом бывает - совсем про него забыл. И вот на днях, я его обнаружил в своих архивах и приступил к его изучению. Подход к оценки рисков оказался довольно интересным и отличающимся от тех подходов которые я видел. Именно этому документу и его подходу я хочу посвятить сегодняшний пост, несмотря на то, что метод, направлен на химические объекты США ;).
Основные этапы, которые необходимо выполнить для оценки рисков:
1. Отбор необходимых объектов для оценки уязвимостей.
Отбор основан на определении следующих критериев: количестве химикатов на объекте; значимости объекта для государства и на количестве людских потерь при реализации худшего сценария развития угрозы. Есть даже шкала для предварительной оценки количества возможно пострадавших людей, например уровень 1 - более 100 000. Критерии вполне адекватные для объектов такой важности.
2. Определение проекта.
Определение проекта или создание рабочей группы. Вполне классические мероприятия, которые включают в себя процессы по выбору руководителя рабочей группы, состава, количества и компетентности специалистов, входящих в рабочую группу.
3. Характеристика объекта.
Описание характеристик объекта также является вполне понятным этапом, на котором собирается информация об его инфраструктуре, технологических процессах, количестве и качестве обрабатываемых химикатов. Есть пара таблиц, которая позволяет систематизировать процесс описания. Особое внимание хочу обратить на рекомендации по описанию технологического процесса и его контроля.
4. Установление уровней серьезности опасности.
Серьезность опасности определяется для каждого варианта чрезвычайной ситуации или реализации угрозы. Уровень серьезности определяется по качественной шкале, которая содержит четыре уровня. 1-уровень - смерть рабочих, смерть населения, сильное повреждение собственности, не способность объекта к производству более чем 1 месяц. 4-уровень - без ущерба к прилегающим территориям.
5. Оценка угроз.
Понравился подход, который четко говорит о том, чтобы определить угрозы необходимо описать предполагаемых нарушителей. Для нарушителей определяют 4-е параметра: тип, мотивация, действия и способности. Для примера есть табличка, в которой, например: тип - преступники, кол-во - 2, экипировка - бронежилеты, транспорт - грузовик либо 4 на 4, мотивация - шантаж, ограбление. В качестве угрозы выступает мотивация нарушителя. Далее при оценки угроз определяется вероятность атаки в соответствии с качественно шкалой, например, уровень 1 - угроза существует, допускается, имеет намерение или историю и нацелена на объект, уровень 2 - угроза существует, допускается, имеет намерение или историю, но не нацелена на объект и т.д.
6. Первоочередность угроз.
Фактически это процесс ранжирования вероятности реализации атаки и серьезности. В документе приведена таблица ранжирования. Естественно, что все возможные комбинации вероятности и серьезности с уровнем 1 необходимо оценивать в первую очередь :). Процесс вполне известный.
7. Подготовка к анализу физической безопасности объекта.
На этом этапе анализируется вся собранная информация на этапе 1 по функционированию системы физической безопасности объекта. Далее, существующей системе физической защиты присваивается один из четырех уровней защищенности (вероятность успеха в реализации атаки злоумышленником). Пример шкалы, уровень 1 - СФЗ неэффективная или нет защитных мер, ожидается чрезвычайная ситуация, уровень 3 - значительные защитные меры, чрезвычайная ситуация возможна и т.д. И в конечном итоге оценивается и ранжируется риск исходя из вероятности успеха противника и вероятности и серьезности атаки. Оценка и ранжирование рисков проводится по таблице аналогичной в п.5.
8. Осмотр объекта.
Для меня, наличие этого этапа в конце процедуры оценки является немного странным, но видимо для данной категории объектов лучше "сто раз проверить". Собственно комментарии к этапу складываются в два предложения, суть которых сводится к тому, что необходимо еще раз проверить всю информацию о критических местах объекта и ознакомить с ней всю рабочую группу.
9. Анализирование эффективности системы.
На мой взгляд, самый интересный этап. Необходимо составить возможные сценарии реализации атаки и определить вероятность успеха в их реализации с учетом п.6., например, противник перелезает через ограждение, входит в здание через поднятые шлюзовые двери, проходит к критическому объекту и уничтожает оборудование. Логично учитывать п.6. в таком анализе, так как на объекте уже существует система защиты которая снижает вероятность успеха в реализации атаки по приведенному сценарию. На выходе мы получаем только актуальные сценарии реализации атаки, с которым нам и предстоит в дальнейшем работ (формировать защитные меры).
10. Анализирование рисков.
Как итог всего выше сделанного - это риск. Риск в данном методе определяется как функция от следующих переменных: а) серьезность последствий атаки; б) вероятность атаки противника; в) вероятность атаки противника и последствия; г) вероятность успеха противника в реализации атаки. В документе приведена блок схема анализа рисков и таблица для удобства формирования обобщенного уровня риска.
Преимущества:
- по каждому из этапов прописаны исчерпывающие рекомендации с конкретными шаблонами;
- присутствует этап по созданию сценариев атаки;
- риск учитывает четыре различных фактора влияющих на безопасность объекта;
- угрозы определяются, исходя из различных параметров нарушителя.
Недостатки:
- узконаправленный подход (физическая безопасность химических объектов), для применения в области ИБ необходимо дорабатывать;
- проскакивают качественные показатели оценки, типа "незначительные", "значительные" и т.д., для меня лично эти термины не понятны;
- последовательность этапов, на мой взгляд, не совсем логичная (я бы поменял местами этап 8 и 7, так как сначала строим сценарии, а потом уже оцениваем риски ;)).
Несмотря ни на что мне подход очень понравился, взял его на вооружение :). И естественно, данный документ появляется в колонке "нормативка ИБ" с названием Report NCJ195171.
Комментариев нет:
Отправить комментарий