Есть такой документ The Security Risk Managment Guid датированный 2006 годом и выпущенный компанией Microsoft. И вот наконец-то у меня дошли руки, что бы его разобрать. Что же предлагает Microsoft в задачах оценки рисков ИБ.
А предлагают они следующее:
1. Провести идентификацию активов и классифицировать их по степени критичности.
Активы разбиваются на три класса: активы с высоким уровнем влияния (пароли да доступ в систему, персональные данные, финансовые планы и т.д.), с средним (информация о внутренней информационной топологии, расположение общих ресурсов в локальной сети и т.д.) и с низким (данные о версиях используемого ПО, устаревшая информация о деловых переговорах, сведения об организационной структуре и т.д.).
Если подойти к этому этапу с практической точки зрения, то может получиться вполне адекватная классификация ресурсов в Вашей организации.
2. Идентифицировать угроз и уязвимостей.
Ни чего нового, ссылки в документе ведут к серии стандартов NIST и общеизвестному ISO 17799.
В итоге получаем перечень угроз и уязвимостей к конкретному активу.
3. Оценка степени потенциального ущерба.
Для каждого актива, независимо от его степени критичности, оценивается степень потенциального ущерба, по заданной шкале. В шкале ни чего нового все те же градации на высокое, среднее и низкое влияние. Но никто не мешает вам применить свою шкалу ;).
4. Оценка вероятности угрозы.
Для каждой угрозы, по каждому активу определяется вероятность реализации конкретной угрозы на конкретный актив. Шкала оценок: высокая, средняя и низкая.
5. Оценка итогового уровня воздействия.
На основании "критичности актива" и "степи влияния" определяется итоговый уровень воздействия актива на организацию. Иллюстрация на рисунке. Матрица может быть и большей размерностью, например 5 на 5 (градация шкалы: критический, высокий, умеренный, легкий, низкий :)).
6. Определение уровня риска.
На основе полученного "итогового уровня воздействия" и определенной "вероятности угроз" определяется значение уровня риска. Иллюстрация на рисунке. Матрица может быть и большей размерностью, например 5 на 5 (градация шкалы: критический, высокий, умеренный, легкий, низкий :)).
Достоинства:
Как таковых достоинств в данном подходе, я не увидел. Все этапы идентичны классическому подходу. Все приведенные шкалы уже известны и ни какой новой информации не несут. Возможно я бы отнес к достоинству - реализацию в виде готового программного обеспечения, но кроме моделей в виде таблицы exel я ни чего не нашел, что немного расстроило.
Недостатки:
Оценка критичности и оценка ущерба это два взаимосвязанных показателя, ведь нарушение конфиденциальности самого критичного актива, как правило, приводит к максимальному ущербу. Не разу не видел, что бы критичные активы для бизнеса в случае их кражи, оказывали бы минимальное влияние на бизнес.
PS: Документ достоин внимания и поэтому он появляется в моей библиотеки. А exel-евскую форму можно скачать тут.
2 комментария:
Пипец ИМХО. Новизна потрясает.
Не совсем понял: новизна чего?!
Отправить комментарий