Տեղեկատվական անվտանգության (IS) բիզնեսում ներդրումներ կատարելու անհրաժեշտությունը կասկածից վեր է: Բիզնեսի անվտանգության ապահովման առաջադրանքի արդիականությունը հաստատելու համար մենք կօգտագործենք ՀԴԲ-ի զեկույցը, որը հրապարակվել է ամերիկյան ընկերությունների (միջին և խոշոր բիզնես) հարցումների հիման վրա։ ՏՏ անվտանգության միջադեպերի վիճակագրությունը անողոք է. ՀԴԲ-ի տվյալներով՝ այս տարի հարձակման է ենթարկվել հարցված ընկերությունների 56%-ը (նկ. 1)։
Բայց ինչպե՞ս գնահատել տեղեկատվական անվտանգության ոլորտում ներդրումների մակարդակը, որը կապահովի ներդրումների առավելագույն արդյունավետությունը։ Այս խնդիրը լուծելու համար կա միայն մեկ ճանապարհ՝ օգտագործել ռիսկերի վերլուծության համակարգեր, որոնք թույլ են տալիս գնահատել համակարգում առկա ռիսկերը և ընտրել ամենաարդյունավետ պաշտպանության տարբերակը (համակարգում առկա ռիսկերի և տեղեկատվության ծախսերի հարաբերակցությամբ. անվտանգություն):
Ներդրումների հիմնավորումը
Վիճակագրության համաձայն, ընկերությունում տեղեկատվական անվտանգության ապահովմանն ուղղված ցանկացած միջոցներ ձեռնարկելու ամենամեծ խոչընդոտները կապված են երկու պատճառով՝ բյուջեի սահմանափակումների և ղեկավարության կողմից աջակցության բացակայության հետ:
Այս երկու պատճառներն էլ բխում են ղեկավարության կողմից խնդրի լրջության սխալ ըմբռնումից և ՏՏ մենեջերի անկարողությունից՝ հիմնավորելու, թե ինչու ներդրումներ կատարել տեղեկատվական անվտանգության մեջ: Հաճախ կարծում են, որ հիմնական խնդիրն այն է, որ ՏՏ մենեջերներն ու ղեկավարները խոսում են տարբեր լեզուներով՝ տեխնիկական և ֆինանսական, սակայն ՏՏ մասնագետների համար հաճախ դժվար է գնահատել, թե ինչի վրա պետք է գումար ծախսել և որքան է պահանջվում անվտանգության բարելավման համար։ ընկերության համակարգ, որպեսզի այդ ծախսերը չվատթարանան կամ ավելորդ չլինեն:
Եթե ՏՏ մենեջերը հստակ պատկերացնում է, թե որքան գումար կարող է կորցնել ընկերությունը, եթե իրագործվեն սպառնալիքները, համակարգի որ տեղերն են առավել խոցելի, ինչ միջոցներ կարող են ձեռնարկվել անվտանգության մակարդակը բարձրացնելու համար՝ առանց ավելորդ գումար ծախսելու, և բոլորը։ սա փաստաթղթավորված է, այնուհետև նրա որոշման առաջադրանքները՝ ղեկավարությանը համոզել ուշադրություն դարձնել և միջոցներ հատկացնել տեղեկատվական անվտանգության ապահովման համար, դառնում են շատ ավելի իրատեսական:
Նման խնդիրների լուծման համար մշակվել են դրանց հիման վրա ստեղծված տեղեկատվական ռիսկերի վերլուծության և վերահսկման հատուկ մեթոդներ և ծրագրային համակարգեր։ Դիտարկելու ենք բրիտանական Insight Consulting (http://www.insight.co.uk) ընկերության CRAMM համակարգը, համանուն ընկերության ամերիկյան RiskWatch (http://www.riskwatch.com) և ռուս. Digital Security ընկերության GRIF փաթեթը (http://www. .dsec.ru): Նրանց համեմատական բնութագրերը տրված են աղյուսակում:
Ռիսկերի վերլուծության գործիքների համեմատական վերլուծություն
| Համեմատության չափանիշներ | CRAMM | RiskWatch | GRIF 2005 թվային անվտանգության գրասենյակ |
| Աջակցություն | Տրամադրված է | Տրամադրված է | Տրամադրված է |
| Օգտագործողի համար շահագործման հեշտությունը | Պահանջում է աուդիտորի հատուկ պատրաստվածություն և բարձր որակավորում | Ինտերֆեյսը ուղղված է ՏՏ մենեջերներին և ղեկավարներին. չի պահանջում հատուկ գիտելիքներ տեղեկատվական անվտանգության ոլորտում | |
| Մեկ աշխատավայրի լիցենզիայի արժեքը՝ ԱՄՆ դոլար | 2000-ից 5000 | 10 000-ից | 1000-ից |
| Համակարգի պահանջները |
ՕՀ Windows 98/Me/NT/2000/XP Նվազագույն պահանջներ. |
ՕՀ Windows 2000/XP Տեղադրման համար սկավառակի ազատ տարածություն 30 ՄԲ Intel Pentium կամ համատեղելի պրոցեսոր, 256 ՄԲ հիշողություն |
ՕՀ Windows 2000/XP Նվազագույն պահանջներ. |
| Ֆունկցիոնալություն |
Մուտքային տվյալներ.
Զեկուցման ընտրանքներ.
|
Մուտքային տվյալներ.
Զեկուցման ընտրանքներ.
|
Մուտքային տվյալներ.
Հաշվետվության կազմը՝
|
| Քանակական/որակական մեթոդ | Որակական գնահատում | Քանակականացում | Որակական և քանակական գնահատում |
| ցանցային լուծում | Անհայտ կորած | Անհայտ կորած | Թվային անվտանգության գրասենյակի կորպորատիվ տարբերակը 2005 թ |
CRAMM
CRAMM մեթոդը (CCTA Risk Analysis and Management Method) մշակվել է Մեծ Բրիտանիայի Համակարգչային և հեռահաղորդակցության կենտրոնական գործակալության կողմից՝ բրիտանական կառավարության հանձնարարությամբ և ընդունվել որպես պետական ստանդարտ: 1985 թվականից այն օգտագործվում է Մեծ Բրիտանիայի պետական և առևտրային կազմակերպությունների կողմից: Այս ընթացքում CRAMM-ը ժողովրդականություն է ձեռք բերել ամբողջ աշխարհում: Insight Consulting-ը մշակում և պահպանում է ծրագրային արտադրանք, որն իրականացնում է CRAMM մեթոդը:
CRAMM մեթոդը (http://www.cramm.com) պատահական չէ մեր կողմից ընտրված ավելի մանրամասն քննարկման համար: Ներկայումս CRAMM-ը բավականին հզոր և բազմակողմանի գործիք է, որը թույլ է տալիս, բացի ռիսկերի վերլուծությունից, լուծել մի շարք այլ աուդիտի առաջադրանքներ, այդ թվում՝
- IP-ի փորձաքննություն և ուղեկցող փաստաթղթերի տրամադրում դրա իրականացման բոլոր փուլերում.
- աուդիտ բրիտանական կառավարության պահանջներին համապատասխան, ինչպես նաև BS 7799:1995 Տեղեկատվական անվտանգության կառավարման պրակտիկայի կանոնագիրք;
- անվտանգության քաղաքականության և բիզնեսի շարունակականության պլանի մշակում։
CRAMM մեթոդը հիմնված է ռիսկերի գնահատման համապարփակ մոտեցման վրա՝ համատեղելով վերլուծության քանակական և որակական մեթոդները: Մեթոդը ունիվերսալ է և հարմար է ինչպես պետական, այնպես էլ առևտրային հատվածի խոշոր և փոքր կազմակերպությունների համար: CRAMM ծրագրաշարի տարբերակները, որոնք ուղղված են տարբեր տեսակի կազմակերպություններին, միմյանցից տարբերվում են գիտելիքների բազաներով (պրոֆիլներով). Առևտրային կազմակերպությունների համար կա Առևտրային պրոֆիլ, իսկ պետականների համար՝ Կառավարության պրոֆիլ: Պրոֆիլի կառավարական տարբերակը նաև թույլ է տալիս աուդիտ իրականացնել ամերիկյան ITSEC («Orange Book») ստանդարտի պահանջներին համապատասխանելու համար: CRAMM մեթոդով հարցում անցկացնելու հայեցակարգային սխեման ներկայացված է նկ. 2.
CRAMM մեթոդի ճիշտ կիրառմամբ հնարավոր է շատ լավ արդյունքների հասնել, որոնցից, թերևս, գլխավորը տեղեկատվական անվտանգության և բիզնեսի շարունակականության ապահովման համար կազմակերպության ծախսերի տնտեսական հիմնավորման հնարավորությունն է։ Տնտեսապես առողջ ռիսկերի կառավարման ռազմավարությունը թույլ է տալիս, ի վերջո, գումար խնայել՝ խուսափելով ավելորդ ծախսերից:
CRAMM-ը ներառում է ամբողջ պրոցեդուրան բաժանել երեք հաջորդական փուլերի: Առաջին փուլի խնդիրն է պատասխանել այն հարցին. Երկրորդ փուլում բացահայտվում են ռիսկերը և գնահատվում դրանց մեծությունը: Երրորդ փուլում որոշվում է համարժեք հակաքայլերի ընտրության հարցը։
CRAMM մեթոդաբանությունը յուրաքանչյուր փուլի համար սահմանում է նախնական տվյալների մի շարք, գործողությունների հաջորդականություն, հարցազրույցների հարցաթերթիկներ, ստուգաթերթեր և հաշվետվական փաստաթղթերի մի շարք:
Ուսումնասիրության առաջին փուլում իրականացվում է պահպանվող ռեսուրսների բացահայտում և արժեքի որոշում։ Գնահատումն իրականացվում է տասը բալանոց սանդղակով, և կարող են լինել մի քանի գնահատման չափանիշներ՝ ֆինանսական կորուստներ, հեղինակության վնաս և այլն: CRAMM-ի նկարագրություններում տրված է հետևյալ գնահատման սանդղակը որպես օրինակ՝ համաձայն «Ֆինանսական կորուստներ» չափանիշի. կապված ռեսուրսների վերականգնման հետ».
- 2 միավոր՝ $1000-ից պակաս;
- 6 միավոր՝ 1000-ից 10000 դոլար;
- 8 միավոր՝ 10000-ից 100000 դոլար;
- 10 միավոր՝ $100,000-ից ավելի
Օգտագործված բոլոր չափանիշների համար ցածր գնահատականով (3 միավոր և ցածր) համարվում է, որ պաշտպանության հիմնական մակարդակը բավարար է դիտարկվող համակարգի համար (այս մակարդակը չի պահանջում ԻՊ-ի սպառնալիքների մանրամասն գնահատում), իսկ երկրորդ փուլը. ուսումնասիրությունը բաց է թողնվում:
Երկրորդ փուլում բացահայտվում և գնահատվում են տեղեկատվական անվտանգության ոլորտում սպառնալիքները, որոնվում և գնահատվում են պաշտպանված համակարգի խոցելիությունները: Սպառնալիքների մակարդակը գնահատվում է հետևյալ սանդղակով՝ շատ բարձր, բարձր, միջին, ցածր, շատ ցածր: Խոցելիության մակարդակը գնահատվում է բարձր, միջին կամ ցածր: Այս տեղեկատվության հիման վրա ռիսկի մակարդակի գնահատումը հաշվարկվում է յոթ բալանոց սանդղակով (նկ. 3):
Երրորդ փուլում CRAMM-ը ստեղծում է հայտնաբերված ռիսկերին դիմակայելու տարբերակներ: Ապրանքը առաջարկում է հետևյալ տեսակների առաջարկությունները.
- ընդհանուր առաջարկություններ;
- կոնկրետ առաջարկություններ;
- օրինակներ, թե ինչպես կարող է պաշտպանությունը կազմակերպվել տվյալ իրավիճակում:
CRAMM-ն ունի ընդարձակ տվյալների բազա, որը պարունակում է տարբեր համակարգչային համակարգերի համար պաշտպանական ենթահամակարգերի ներդրման շուրջ 1000 օրինակների նկարագրություններ: Այս նկարագրությունները կարող են օգտագործվել որպես կաղապարներ:
Համակարգում անվտանգության նոր մեխանիզմներ ներդնելու և հինները փոփոխելու որոշումը կայացվում է կազմակերպության ղեկավարության կողմից՝ հաշվի առնելով հարակից ծախսերը, դրանց ընդունելիությունը և բիզնեսի համար վերջնական օգուտը: Աուդիտորի խնդիրն է հիմնավորել կազմակերպության ղեկավարության համար առաջարկվող գործողությունները:
Եթե որոշում կայացվի նոր հակաքայլեր ներդնելու և հինները փոփոխելու վերաբերյալ, ապա աուդիտորին կարող է հանձնարարվել նախապատրաստել իրականացման պլան և գնահատել այդ միջոցների կիրառման արդյունավետությունը: Այս խնդիրների լուծումը դուրս է CRAMM մեթոդի շրջանակներից:
CRMM մեթոդի թերությունները ներառում են հետևյալը.
- մեթոդը պահանջում է հատուկ պատրաստվածություն և աուդիտորի բարձր որակավորում.
- CRAMM մեթոդով աուդիտը բավականին աշխատատար գործընթաց է և կարող է պահանջել աուդիտորի ամիսների շարունակական աշխատանք.
- CRAMM-ը շատ ավելի հարմար է արդեն գործող գործող IS-ների աուդիտի համար, քան մշակման փուլում գտնվող IS-ների համար.
- CRAMM ծրագրային գործիքը ստեղծում է մեծ քանակությամբ թղթային փաստաթղթեր, որոնք ոչ միշտ են գործնականում օգտակար.
- CRAMM-ը թույլ չի տալիս ստեղծել ձեր սեփական հաշվետվության ձևանմուշները կամ փոփոխել գոյություն ունեցողները.
- CRAMM գիտելիքների բազայում լրացումներ կատարելու հնարավորությունը հասանելի չէ օգտվողներին, ինչը որոշակի դժվարություններ է առաջացնում այս մեթոդը որոշակի կազմակերպության կարիքներին հարմարեցնելու հարցում.
- CRAMM ծրագրակազմը տեղայնացված չէ, գոյություն ունի միայն անգլերենով;
- լիցենզիայի բարձր արժեքը՝ 2000-ից 5000 դոլար:
RiskWatch
RiskWatch ծրագրաշարը ռիսկերի վերլուծության և կառավարման հզոր գործիք է: RiskWatch ընտանիքը ներառում է ծրագրային արտադրանք՝ անվտանգության տարբեր տեսակի աուդիտներ իրականացնելու համար: Այն ներառում է հետևյալ աուդիտի և ռիսկերի վերլուծության գործիքները.
- RiskWatch for Physical Security - ֆիզիկական IP-ի պաշտպանության մեթոդների համար;
- RiskWatch տեղեկատվական համակարգերի համար - տեղեկատվական ռիսկերի համար;
- HIPAA-WATCH առողջապահական արդյունաբերության համար - գնահատելու HIPAA ստանդարտին համապատասխանությունը (ԱՄՆ Առողջապահության ապահովագրության տեղափոխելիության և հաշվետվողականության ակտ);
- RiskWatch RW17799 ISO 17799-ի համար - գնահատելու ISO 17799 ստանդարտի պահանջներին համապատասխանությունը:
RiskWatch մեթոդը օգտագործում է տարեկան կորստի ակնկալիքը (ALE) և ներդրումների վերադարձը (ROI) որպես ռիսկերի գնահատման և կառավարման չափանիշներ:
RiskWatch ծրագրային արտադրանքների ընտանիքը շատ առավելություններ ունի: RiskWatch-ն օգնում է ձեզ վերլուծել ռիսկերը և կատարել տեղեկացված միջոցների և փոխհատուցման միջոցների ընտրություն: Ի տարբերություն CRAMM-ի, RiskWatch-ն ավելի շատ կենտրոնացած է անվտանգության սպառնալիքներից կորուստների հարաբերակցությունը պաշտպանական համակարգի ստեղծման արժեքի ճշգրիտ քանակականացման վրա: Հարկ է նաև նշել, որ այս արտադրանքում ձեռնարկությունների համակարգչային ցանցի տեղեկատվական և ֆիզիկական անվտանգության ոլորտում առկա ռիսկերը դիտարկվում են համատեղ:
RiskWatch արտադրանքը հիմնված է ռիսկերի վերլուծության մեթոդաբանության վրա, որը կարելի է բաժանել չորս փուլի:
Առաջին փուլը հետազոտության առարկայի սահմանումն է։ Այն նկարագրում է այնպիսի պարամետրեր, ինչպիսիք են կազմակերպության տեսակը, ուսումնասիրվող համակարգի կազմը (ընդհանուր ձևով), անվտանգության հիմնական պահանջները: Վերլուծաբանի աշխատանքը հեշտացնելու համար կազմակերպության տեսակին համապատասխան ձևանմուշները («առևտրային տեղեկատվական համակարգ», «կառավարական/ռազմական տեղեկատվական համակարգ» և այլն) ունեն պաշտպանված ռեսուրսների, կորուստների, սպառնալիքների, խոցելիությունների և պաշտպանության միջոցների կատեգորիաների ցանկեր: Դրանցից դուք պետք է ընտրեք նրանց, որոնք իսկապես առկա են կազմակերպությունում:
Օրինակ, կորուստների համար տրամադրվում են հետևյալ կատեգորիաները.
- ուշացումներ և ծառայության մերժում;
- տեղեկատվության բացահայտում;
- ուղղակի կորուստներ (օրինակ, սարքավորումների ոչնչացումից կրակով);
- կյանքը և առողջությունը (անձնակազմի, հաճախորդների և այլն);
- տվյալների փոփոխություն;
- անուղղակի կորուստներ (օրինակ, վերականգնման ծախսեր);
- հեղինակություն.
Երկրորդ փուլը համակարգի հատուկ բնութագրերը նկարագրող տվյալների մուտքագրումն է: Դրանք կարող են մուտքագրվել ձեռքով կամ ներմուծվել համակարգչային ցանցի խոցելիության հետազոտման գործիքների կողմից ստեղծված հաշվետվություններից:
Այս քայլը մանրամասնում է ռեսուրսները, կորուստները և միջադեպերի դասերը: Միջադեպի դասերը ձեռք են բերվում կորուստների կատեգորիայի և ռեսուրսների կատեգորիայի համապատասխանությամբ:
Հնարավոր խոցելիությունը բացահայտելու համար օգտագործվում է հարցաթերթ, որի տվյալների բազան պարունակում է ավելի քան 600 հարց։ Հարցերը կապված են ռեսուրսների կատեգորիաների հետ: Սահմանված են հայտնաբերված սպառնալիքներից յուրաքանչյուրի առաջացման հաճախականությունը, խոցելիության աստիճանը և ռեսուրսների արժեքը: Այս ամենը հետագայում օգտագործվում է պաշտպանիչ սարքավորումների ներդրման ազդեցությունը հաշվարկելու համար։
Երրորդ և, հավանաբար, ամենակարևոր քայլը քանակականացումն է: Այս փուլում հաշվարկվում է ռիսկի պրոֆիլը և ընտրվում են անվտանգության միջոցներ: Նախ, կապ է հաստատվում հետազոտության նախորդ քայլերում հայտնաբերված ռեսուրսների, կորուստների, սպառնալիքների և խոցելիության միջև (ռիսկը նկարագրվում է այս չորս պարամետրերի համակցությամբ):
Փաստորեն, ռիսկը գնահատվում է՝ օգտագործելով տարեկան կորուստների մաթեմատիկական ակնկալիքը: Օրինակ, եթե սերվերի արժեքը կազմում է $150,000, իսկ հավանականությունը, որ այն կկործանվի հրդեհից մեկ տարվա ընթացքում, 0,01 է, ապա ակնկալվող կորուստը կազմում է $1,500:
Հայտնի բանաձևը m=pxv, որտեղ m-ը մաթեմատիկական ակնկալիքն է, p-ը՝ սպառնալիքի հավանականությունը, v-ը՝ ռեսուրսի արժեքը, որոշակի փոփոխությունների է ենթարկվել՝ կապված այն բանի հետ, որ RiskWatch-ն օգտագործում է ամերիկյան NIST-ի կողմից սահմանված գնահատումները։ Ստանդարտների ինստիտուտ, որը կոչվում է LAFE և SAFE: LAFE (Տեղական տարեկան հաճախականության գնահատում) ցույց է տալիս, թե միջինում տարեկան քանի անգամ է տվյալ սպառնալիքն իրականացվում տվյալ վայրում (օրինակ՝ քաղաքում): SAFE (Standard Annual Frequency Estimate) ցույց է տալիս, թե միջինում տարին քանի անգամ է տվյալ սպառնալիքն իրականացվում այս «աշխարհի մասում» (օրինակ՝ Հյուսիսային Ամերիկայում): Ներդրվում է նաև ուղղիչ գործոն, որը հնարավորություն է տալիս հաշվի առնել, որ սպառնալիքի իրականացման դեպքում պաշտպանված ռեսուրսը կարող է ոչ թե ամբողջությամբ, այլ միայն մասամբ ոչնչացվել։
Բացի այդ, դիտարկվում են «ինչ կլիներ, եթե ...» սցենարները, որոնք թույլ են տալիս նկարագրել նմանատիպ իրավիճակներ՝ ենթակա պաշտպանական գործիքների ներդրման: Համեմատելով ակնկալվող կորուստները պաշտպանական միջոցառումների իրականացման հետ և առանց դրանց՝ հնարավոր է գնահատել նման միջոցառումների ազդեցությունը։
RiskWatch-ը ներառում է տվյալների բազաներ LAFE և SAFE վարկանիշներով, ինչպես նաև տարբեր տեսակի պաշտպանությունների ընդհանրացված նկարագրություն:
Պաշտպանական միջոցների ներդրման ազդեցությունը քանակականացվում է՝ օգտագործելով ROI ցուցիչը (Return on Investment), որը ցույց է տալիս որոշակի ժամանակահատվածում կատարված ներդրումների վերադարձը: Այս ցուցանիշը հաշվարկվում է բանաձևով.
որտեղ Costsi-ն պաշտպանության i-րդ միջոցառման իրականացման և պահպանման ծախսն է. Benefitsi - օգուտների գնահատում (ակնկալվող կորուստների կրճատում), որը բերում է այս պաշտպանության իրականացումը. NVP (Ներկա զուտ արժեքը) ճշգրտվում է գնաճի համար:
Չորրորդ փուլը հաշվետվությունների ստեղծումն է: Հնարավոր են հաշվետվությունների հետևյալ տեսակները.
- ամփոփում;
- 1-ին և 2-րդ փուլերում նկարագրված տարրերի ամբողջական և ամփոփ հաշվետվությունները.
- հաշվետվություն պաշտպանված ռեսուրսների արժեքի և սպառնալիքների իրականացումից ակնկալվող կորուստների մասին.
- հաշվետվություն սպառնալիքների և հակազդեցությունների մասին.
- ROI հաշվետվություն;
- անվտանգության աուդիտի հաշվետվություն:
Պաշտպանության տարբեր միջոցառումների համար ROI-ի հաշվարկման օրինակ ներկայացված է նկ. հինգ.
Այսպիսով, RiskWatch-ը թույլ է տալիս գնահատել ոչ միայն ձեռնարկությունում առկա ռիսկերը, այլև այն առավելությունները, որոնք կարող են բերել ֆիզիկական, տեխնիկական, ծրագրային և այլ պաշտպանության գործիքների ու մեխանիզմների ներդրումը: Պատրաստված հաշվետվությունները և գրաֆիկները տրամադրում են բավարար նյութ ձեռնարկության անվտանգության համակարգը փոխելու վերաբերյալ որոշումներ կայացնելու համար:
Ներքին օգտատերերի համար խնդիրն այն է, որ բավականին խնդրահարույց է RiskWatch-ում օգտագործվող գնահատականները ստանալը (օրինակ՝ LAFE և SAFE) մեր պայմանների համար: Թեև մեթոդոլոգիան ինքնին կարող է հաջողությամբ կիրառվել մեր երկրում։
Ամփոփելով՝ մենք նշում ենք, որ ձեռնարկությունում ռիսկերի վերլուծության հատուկ մեթոդաբանություն և դրան աջակցող գործիքներ ընտրելով, պետք է պատասխանել հարցին՝ անհրաժեշտ է արդյոք սպառնալիքների իրականացման հետևանքների ճշգրիտ քանակական գնահատում, թե՞ որակական գնահատումը բավարար է: Անհրաժեշտ է նաև հաշվի առնել հետևյալ գործոնները. փորձագետների առկայությունը, որոնք կարող են հուսալի գնահատականներ տալ տեղեկատվական անվտանգության սպառնալիքներից առաջացած կորուստների ծավալին և ձեռնարկությունում տեղեկատվական անվտանգության միջադեպերի հուսալի վիճակագրության առկայությանը:
RiskWatch-ի թերությունները ներառում են հետևյալը.
- այս մեթոդը հարմար է, եթե պահանջվում է ռիսկերի վերլուծություն իրականացնել պաշտպանության ծրագրային և ապարատային մակարդակում՝ առանց կազմակերպչական և վարչական գործոնների հաշվի առնելու.
- արդյունքում առաջացած ռիսկերի գնահատումները (կորուստների մաթեմատիկական ակնկալիքը) չեն սպառում ռիսկի ըմբռնումը համակարգային տեսանկյունից. մեթոդը հաշվի չի առնում տեղեկատվական անվտանգության ինտեգրված մոտեցումը.
- RiskWatch ծրագիրը հասանելի է միայն անգլերենով.
- լիցենզիայի բարձր արժեքը՝ 10000 դոլարից փոքր ընկերության մեկ աշխատավայրի համար:
GRIF
GRIF-ը ընկերության տեղեկատվական համակարգի ռիսկերի վերլուծության և կառավարման համապարփակ համակարգ է: GRIF 2005 թվային անվտանգության գրասենյակից (http://www.dsec.ru/products/grif/) տալիս է համակարգում տեղեկատվական ռեսուրսների անվտանգության պատկերը և թույլ է տալիս ընտրել կորպորատիվ տեղեկատվության պաշտպանության օպտիմալ ռազմավարությունը:
GRIF համակարգը վերլուծում է ռեսուրսների պաշտպանության մակարդակը, գնահատում է ԻՊ-ի սպառնալիքների ներդրման հնարավոր վնասը և օգնում է կառավարել ռիսկերը՝ ընտրելով հակաքայլեր:
IP-ի ռիսկի վերլուծությունն իրականացվում է երկու եղանակով՝ օգտագործելով տեղեկատվական հոսքի մոդել կամ սպառնալիքի և խոցելիության մոդել՝ կախված նրանից, թե ինչ նախնական տվյալներ ունի օգտագործողը, ինչպես նաև նրանից, թե ինչ տվյալներ են նրան հետաքրքրում ելքում:
Տեղեկատվության հոսքի մոդել
Տեղեկատվական հոսքի մոդելի հետ աշխատելիս համակարգ է մուտքագրվում ամբողջական տեղեկատվություն արժեքավոր տեղեկատվություն ունեցող բոլոր ռեսուրսների, այդ ռեսուրսների, տեսակների և մուտքի իրավունքների հասանելի օգտվողների մասին: Մուտքագրվում են յուրաքանչյուր ռեսուրսի պաշտպանության բոլոր միջոցների, ռեսուրսների ցանցային փոխկապակցման, ընկերության անվտանգության քաղաքականության բնութագրերի վերաբերյալ տվյալներ: Արդյունքը տեղեկատվական համակարգի ամբողջական մոդելն է:
Ծրագրի հետ աշխատելու առաջին փուլում օգտագործողը մուտքագրում է իր տեղեկատվական համակարգի բոլոր օբյեկտները՝ բաժիններ, ռեսուրսներ (այս մոդելի հատուկ օբյեկտները ներառում են ցանցային խմբեր, ցանցային սարքեր, տեղեկատվության տեսակներ, օգտվողների խմբեր, բիզնես գործընթացներ):
Այնուհետև, օգտատերը պետք է ստեղծի հղումներ, այսինքն՝ որոշի, թե որ բաժիններին և ցանցային խմբերին են պատկանում ռեսուրսները, ինչ տեղեկատվություն է պահվում ռեսուրսի վրա և օգտատերերի որ խմբերն ունեն մուտք դեպի այն: Օգտագործողը նաև նշում է ռեսուրսի և տեղեկատվության պաշտպանության միջոցները։
Վերջնական փուլում օգտատերը պատասխանում է համակարգում իրականացվող անվտանգության քաղաքականության վերաբերյալ հարցերի ցանկին, որը թույլ է տալիս գնահատել համակարգի անվտանգության իրական մակարդակը և մանրամասնել ռիսկերի գնահատումները:
Առաջին փուլում նշված տեղեկատվության պաշտպանության գործիքների առկայությունը ինքնին չի դարձնում համակարգը անվտանգ դրանց ոչ պատշաճ օգտագործման և անվտանգության համապարփակ քաղաքականության բացակայության դեպքում, որը հաշվի է առնում տեղեկատվության պաշտպանության բոլոր ասպեկտները, ներառյալ պաշտպանության կազմակերպման խնդիրները, ֆիզիկական անվտանգություն, անձնակազմի անվտանգություն, բիզնեսի շարունակականություն և այլն:
Այս փուլերում բոլոր գործողությունների կատարման արդյունքում ելքը տեղեկատվական անվտանգության առումով տեղեկատվական համակարգի ամբողջական մոդելն է՝ հաշվի առնելով անվտանգության համապարփակ քաղաքականության պահանջների փաստացի իրականացումը, որը թույլ է տալիս անցնել ծրագրի վերլուծությանը։ մուտքագրված տվյալների համապարփակ ռիսկի գնահատում ստանալու և վերջնական հաշվետվություն ստեղծելու համար:
Սպառնալիքների և խոցելիության մոդել
Սպառնալիքների և խոցելիության վերլուծության մոդելի հետ աշխատանքը ներառում է արժեքավոր տեղեկություններով յուրաքանչյուր ռեսուրսի խոցելիության և համապատասխան սպառնալիքների նույնականացում, որոնք կարող են իրականացվել այդ խոցելիությունների միջոցով: Արդյունքը ամբողջական պատկերացում է տեղեկատվական համակարգի թույլ կողմերի և այն վնասների մասին, որոնք կարող են պատճառվել։
Ապրանքի հետ աշխատելու առաջին փուլում օգտատերը համակարգ է ներմուծում իր IP-ի օբյեկտները՝ բաժանմունքներ, ռեսուրսներ (այս մոդելի հատուկ օբյեկտները ներառում են տեղեկատվական համակարգի սպառնալիքները և խոցելիությունները, որոնց միջոցով իրականացվում են սպառնալիքները):
GRIF 2005 համակարգը ներառում է սպառնալիքների և խոցելիության ընդարձակ ներկառուցված կատալոգներ, որոնք պարունակում են մոտ 100 սպառնալիք և 200 խոցելիություն: Այս կատալոգների առավելագույն ամբողջականության և բազմակողմանիության համար թվային անվտանգության փորձագետները մշակել են սպառնալիքների հատուկ դասակարգում DSECCT, որն իրականացնում է տեղեկատվական անվտանգության ոլորտում երկար տարիների գործնական փորձ: Օգտագործելով այս գրացուցակները՝ օգտատերը կարող է ընտրել իր տեղեկատվական համակարգի հետ կապված սպառնալիքներն ու խոցելիությունները։
GRIF 2005 համակարգի ալգորիթմը վերլուծում է կառուցված մոդելը և ստեղծում հաշվետվություն, որը պարունակում է ռիսկի արժեքներ յուրաքանչյուր ռեսուրսի համար: Հաշվետվության կոնֆիգուրացիան կարող է լինել գրեթե ցանկացած, ինչը թույլ է տալիս ստեղծել ինչպես համառոտ հաշվետվություններ կառավարման համար, այնպես էլ մանրամասն հաշվետվություններ արդյունքների հետ հետագա աշխատանքի համար (նկ. 6):
 |
| Բրինձ. 6. Հաշվետվության օրինակ GRIF 2005 համակարգում: |
GRIF 2005 համակարգը պարունակում է ռիսկերի կառավարման մոդուլ, որը թույլ է տալիս վերլուծել բոլոր այն պատճառները, որ մուտքագրված տվյալները ալգորիթմով մշակելուց հետո նման ռիսկի արժեք է ստացվում: Այսպիսով, իմանալով պատճառները՝ հնարավոր է ստանալ հակաքայլեր իրականացնելու համար անհրաժեշտ տվյալներ և, համապատասխանաբար, նվազեցնել ռիսկի մակարդակը։ Յուրաքանչյուր հնարավոր հակաքայլի արդյունավետությունը հաշվարկելով, ինչպես նաև մնացորդային ռիսկի արժեքը որոշելով՝ հնարավոր է ընտրել այնպիսի հակաքայլեր, որոնք կնվազեցնեն ռիսկը մինչև անհրաժեշտ մակարդակ:
GRIF համակարգի հետ աշխատանքի արդյունքում կազմվում է մանրամասն հաշվետվություն ընկերության տեղեկատվական համակարգի յուրաքանչյուր արժեքավոր ռեսուրսի ռիսկի մակարդակի վերաբերյալ, ռիսկի բոլոր պատճառները նշվում են խոցելիության մանրամասն վերլուծությամբ և տնտեսական արդյունավետության գնահատմամբ: բոլոր հնարավոր հակաքայլերը.
***
Տեղեկատվական անվտանգության ոլորտում համաշխարհային լավագույն փորձը և առաջատար միջազգային ստանդարտները, մասնավորապես՝ ISO 17799-ը, պահանջում են ռիսկերի վերլուծության և կառավարման համակարգի ներդրում՝ տեղեկատվական համակարգի անվտանգությունն արդյունավետ կառավարելու համար: Այս դեպքում կարող եք օգտագործել ցանկացած հարմար գործիք, բայց գլխավորը միշտ հստակ հասկանալն է, որ տեղեկատվական անվտանգության համակարգը ստեղծվել է տեղեկատվական ռիսկերի վերլուծության հիման վրա՝ ստուգված և հիմնավորված: Տեղեկատվական ռիսկերի վերլուծությունը և կառավարումը կարևոր գործոն է տեղեկատվական համակարգի արդյունավետ պաշտպանությունը կառուցելու համար:
Ազգային բաց համալսարան «INTUIT». www.intuit.ru Սերգեյ Նեստերովի Դասախոսություն 4. Ռիսկի գնահատման մեթոդներ և ծրագրային արտադրանք
Ստորև բերված են ռիսկերի վերլուծության որոշ ընդհանուր մեթոդների համառոտ նկարագրություններ: Դրանք կարելի է բաժանել.
մեթոդներ, որոնք օգտագործում են ռիսկերի գնահատումը որակական մակարդակով (օրինակ՝ «բարձր», «միջին», «ցածր» սանդղակով): Այս մեթոդները ներառում են, մասնավորապես, FRAP;
քանակական մեթոդներ (ռիսկը գնահատվում է թվային արժեքի միջոցով, օրինակ՝ ակնկալվող տարեկան կորուստների չափը): Այս դասը ներառում է RiskWatch տեխնիկան;
մեթոդներ, որոնք օգտագործում են խառը գնահատականներ (այս մոտեցումն օգտագործվում է CRAMM-ում, մեթոդ
Microsoft և այլն):
CRAMM մեթոդ
Սա տեղեկատվական անվտանգության ոլորտում ռիսկերի վերլուծության առաջին մեթոդներից մեկն է, դրա վրա աշխատանքները սկսվել են 80-ականների կեսերին։ Մեծ Բրիտանիայի Կենտրոնական համակարգչային և հեռահաղորդակցության գործակալություն (CCTA):
CRAMM մեթոդը հիմնված է ռիսկերի գնահատման համապարփակ մոտեցման վրա՝ համատեղելով վերլուծության քանակական և որակական մեթոդները: Մեթոդը ունիվերսալ է և հարմար է ինչպես խոշոր, այնպես էլ փոքր կազմակերպությունների, ինչպես պետական, այնպես էլ առևտրային ոլորտների համար: CRAMM ծրագրային ապահովման տարբերակները, որոնք ուղղված են տարբեր տեսակի կազմակերպություններին, տարբերվում են միմյանցից իրենց գիտելիքների բազաներով (պրոֆիլներով): Առևտրային կազմակերպությունների համար կա Առևտրային Անձնագիր, Պետական կազմակերպությունների համար՝ Կառավարության Անձնագիր: Պրոֆիլի կառավարական տարբերակը նաև թույլ է տալիս աուդիտ իրականացնել ամերիկյան ITSEC («Orange Book») ստանդարտի պահանջներին համապատասխանելու համար:
CRAMM-ի օգտագործմամբ համակարգի տեղեկատվական անվտանգության ուսումնասիրությունն իրականացվում է երեք փուլով.
Առաջին փուլում վերլուծվում է այն ամենը, ինչ կապված է համակարգի ռեսուրսների նույնականացման և գնահատման հետ։ Այն սկսվում է ուսումնասիրվող համակարգի սահմանների որոշման խնդրի լուծումից. տեղեկատվություն է հավաքվում համակարգի կազմաձևման և այն մասին, թե ով է պատասխանատու ֆիզիկական և ծրագրային ռեսուրսների համար, ովքեր են համակարգի օգտվողները, ինչպես են նրանք օգտագործում այն կամ կօգտագործի այն:
Իրականացվում է ռեսուրսների նույնականացում՝ ֆիզիկական, ծրագրային և համակարգի սահմաններում պարունակվող տեղեկատվության: Յուրաքանչյուր ռեսուրս պետք է վերագրվի նախապես սահմանված դասերից մեկին: Այնուհետև տեղեկատվական անվտանգության դիրքից կառուցվում է տեղեկատվական համակարգի մոդել։ Յուրաքանչյուր տեղեկատվական գործընթացի համար, որն, ըստ օգտագործողի, ունի անկախ արժեք և կոչվում է օգտագործողի ծառայություն, կառուցվում է օգտագործվող ռեսուրսների հղումների ծառը։ Կառուցված մոդելը թույլ է տալիս ընդգծել կրիտիկական տարրերը:
CRAMM-ում ֆիզիկական ռեսուրսների արժեքը որոշվում է ոչնչացման դեպքում դրանց վերականգնման արժեքով:
Տվյալների և ծրագրաշարի արժեքը որոշվում է հետևյալ իրավիճակներում. որոշակի ժամանակահատվածում ռեսուրսի անհասանելիություն.
ռեսուրսների ոչնչացման արդյունքում ստացված տեղեկատվության կորուստը վերջին կրկնօրինակումից հետո կամ դրա ամբողջական ոչնչացումը.
Աշխատակազմի անդամների կամ չարտոնված անձանց կողմից չարտոնված մուտքի դեպքում գաղտնիության խախտում.
փոփոխությունը դիտարկվում է փոքր մարդկային սխալների (ներածման սխալների), ծրագրի սխալների, դիտավորյալ սխալների դեպքում.
տեղեկատվության փոխանցման հետ կապված սխալներ՝ առաքումից հրաժարվել, տեղեկատվություն չտրամադրել, սխալ հասցեով առաքել։
գործող օրենսդրության խախտում, անձնակազմի առողջությանը վնաս.
ֆիզիկական անձանց անձնական տվյալների բացահայտման հետ կապված վնասներ.
ֆինանսական կորուստներ տեղեկատվության բացահայտումից, ֆինանսական կորուստներ՝ կապված ռեսուրսների վերականգնման հետ.
պարտավորությունների կատարման անհնարինության հետ կապված կորուստներ, գործունեության անկազմակերպում.
Տվյալների և ծրագրաշարի համար ընտրվում են այս IS-ի համար կիրառելի չափանիշներ, վնասը գնահատվում է 1-ից 10 արժեքներով սանդղակով:
CRAMM-ի նկարագրություններում, որպես օրինակ, տրված է հետևյալ վարկանիշային սանդղակը «Ռեսուրսների վերականգնման հետ կապված ֆինանսական կորուստներ» չափանիշի առումով.
2 միավոր պակաս, քան $1000;
6 միավոր $1000-ից $10000;
8 միավոր՝ $10,000-ից մինչև $100,000, 10 միավոր ավելի քան $100,000:
Օգտագործված բոլոր չափանիշների համար ցածր գնահատականով (3 միավոր և ցածր), համարվում է, որ դիտարկվող համակարգը պահանջում է պաշտպանության հիմնական մակարդակ (այս մակարդակը չի պահանջում ԻՊ-ի սպառնալիքների մանրամասն գնահատում) և ուսումնասիրության երկրորդ փուլը։ բաց է թողնվում.
Երկրորդ փուլը վերաբերում է այն ամենին, ինչ կապված է ռեսուրսների խմբերի և դրանց խոցելիության սպառնալիքների մակարդակների բացահայտման և գնահատման հետ: Փուլի վերջում հաճախորդը ստանում է իր համակարգի համար հայտնաբերված և գնահատված ռիսկի մակարդակները: Այս փուլում գնահատվում է օգտատերերի ծառայությունների կախվածությունը ռեսուրսների որոշակի խմբերից և սպառնալիքների ու խոցելիության առկա մակարդակը, հաշվարկվում են ռիսկերի մակարդակները և վերլուծվում արդյունքները։
Ռեսուրսները խմբավորված են ըստ սպառնալիքների և խոցելիության տեսակների: Օրինակ, եթե առկա է հրդեհի կամ գողության վտանգ, ապա ողջամիտ է որպես ռեսուրսների խումբ դիտարկել բոլոր ռեսուրսները, որոնք տեղակայված են մեկ տեղում (սերվերի սենյակ, կապի սենյակ և այլն): Սպառնալիքների և խոցելիության մակարդակների գնահատումը հիմնված է անուղղակի գործոնների ուսումնասիրության վրա:
Ռեսուրսների յուրաքանչյուր խմբի և սպառնալիքների 36 տեսակներից յուրաքանչյուրի համար CRAMM ծրագրաշարը ստեղծում է միանշանակ հարցերի ցանկ: Սպառնալիքների մակարդակը, կախված պատասխաններից, գնահատվում է որպես շատ բարձր, բարձր, միջին, ցածր և շատ ցածր։ Խոցելիության մակարդակը, կախված պատասխաններից, գնահատվում է բարձր, միջին և ցածր։
Այս տեղեկատվության հիման վրա ռիսկի մակարդակները հաշվարկվում են դիսկրետ սանդղակով՝ 1-ից 7 աստիճաններով: Ստացված սպառնալիքների, խոցելիության և ռիսկերի մակարդակները վերլուծվում և համաձայնեցվում են հաճախորդի հետ:
CRAMM-ը համատեղում է սպառնալիքներն ու խոցելիությունները ռիսկերի մատրիցայում: Եկեք նայենք, թե ինչպես է ստացվում այս մատրիցը և ինչ է նշանակում ռիսկի յուրաքանչյուր մակարդակ:
Այս խնդրի լուծման հիմնական մոտեցումը պետք է դիտարկել. սպառնալիքի մակարդակը (սանդղակը տրված է Աղյուսակ 4.1-ում);
խոցելիության մակարդակը (սանդղակը տրված է Աղյուսակ 4.2-ում);
ակնկալվող ֆինանսական կորուստների չափը (օրինակ՝ նկ. 4.1-ում):
Աղյուսակ 4.1. Սպառնալիքի մակարդակի գնահատման սանդղակ (առաջացման հաճախականություն):
Նկարագրություն |
Իմաստը |
Միջադեպը տեղի է ունենում միջինում ոչ ավելի, քան 10 տարին մեկ, շատ ցածր |
|
Միջադեպ տեղի է ունենում միջինը 3 տարին մեկ անգամ |
|
Միջադեպը տեղի է ունենում միջինը տարին մեկ անգամ |
|
Միջադեպը տեղի է ունենում միջինը չորս ամիսը մեկ անգամ |
|
Միջադեպը տեղի է ունենում միջինը ամիսը մեկ անգամ |
շատ բարձրահասակ |
Աղյուսակ 4.2. Խոցելիության գնահատման սանդղակ (հաջողության հավանականություն |
|
սպառնալիքի իրականացում): |
|
Նկարագրություն |
Իմաստը |
Միջադեպի դեպքում իրադարձությունների զարգացման հավանականությունը ցածր է
Պաշտպանված ՄՍ-ի ռեսուրսների, սպառնալիքների և խոցելիության արժեքի գնահատումների հիման վրա որոշվում են «ակնկալվող տարեկան կորուստները»: Նկ. 4.1-ը ցույց է տալիս ակնկալվող կորուստը գնահատելու մատրիցայի օրինակ: Դրանում ձախից երկրորդ սյունակը պարունակում է ռեսուրսների ծախսերի արժեքներ, աղյուսակի վերնագրի վերին տողը պարունակում է տարվա ընթացքում սպառնալիքի առաջացման հաճախականության գնահատում (սպառնալիքի մակարդակ), վերնագրի ներքևի տողը պարունակում է գնահատում. սպառնալիքի հաջողության հավանականությունը (խոցելիության մակարդակ):
Բրինձ. 4.1. Ակնկալվող տարեկան կորուստների մատրիցա
Ակնկալվող տարեկան կորուստների արժեքները (անգլ. Annual Loss of Expectancy) վերածվում են CRAMM-ի կետերի, որոնք ցույց են տալիս ռիսկի մակարդակը՝ համաձայն նկ. 4.2 (այս օրինակում կորուստների չափը բերված է ֆունտ ստեռլինգով):
Բրինձ. 4.2. Ռիսկերի գնահատման սանդղակ
Ստորև բերված մատրիցայի համաձայն՝ ցուցադրվում է ռիսկի գնահատում (Նկար 4.3):
Բրինձ. 4.3. Ռիսկերի գնահատման մատրիցա
Ուսումնասիրության երրորդ փուլը համարժեք հակաքայլեր գտնելն է: Ըստ էության, սա անվտանգության համակարգի տարբերակի որոնում է, որը լավագույնս համապատասխանում է հաճախորդի պահանջներին:
Այս փուլում CRAMM-ը ստեղծում է հակաքայլերի մի քանի տարբերակներ, որոնք համարժեք են հայտնաբերված ռիսկերին և դրանց մակարդակներին: Հակահարման միջոցները կարելի է խմբավորել երեք կատեգորիաների՝ մոտ 300 ընդհանուր առաջարկություններ, ավելի քան 1000 հատուկ առաջարկություններ և մոտ 900 օրինակներ, թե ինչպես կարելի է պաշտպանությունը կազմակերպել տվյալ իրավիճակում:
Այսպիսով, CRAMM-ը հաշվարկման մեթոդոլոգիայի օրինակ է, որտեղ նախնական գնահատականները տրվում են որակական մակարդակով, այնուհետև անցում է կատարվում քանակական գնահատման (միավորներով):
FRAP տեխնիկա
Peltier and Associates-ի կողմից առաջարկվող «Հեշտացված ռիսկերի վերլուծության գործընթաց (FRAP)» մեթոդաբանությունը (ինտերնետ կայք http://www.peltierassociates.com/) մշակվել է Թոմաս Ռ. Պելտիերի կողմից և
հրատարակվել է (հատվածներ այս գրքից հասանելի են առցանց, ստորև բերված նկարագրությունը հիմնված է դրանց վրա): Մեթոդաբանության մեջ տեղեկատվական համակարգերի տեղեկատվական անվտանգության ապահովումն առաջարկվում է դիտարկել որպես ռիսկերի կառավարման գործընթացի մաս։ Տեղեկատվական անվտանգության ոլորտում ռիսկերի կառավարումը գործընթաց է, որը թույլ է տալիս ընկերություններին հավասարակշռություն գտնել անվտանգության գործիքների վրա գումար ծախսելու և ջանքերի և դրա հետևանքների միջև:
Ռիսկերի կառավարումը պետք է սկսվի ռիսկերի գնահատմամբ. պատշաճ փաստաթղթավորված գնահատման արդյունքները հիմք կհանդիսանան համակարգի անվտանգության բարելավման ոլորտում որոշումներ կայացնելու համար:
Գնահատման ավարտից հետո կատարվում է ծախս/օգուտ վերլուծություն, որը թույլ է տալիս որոշել այն միջոցները, որոնք անհրաժեշտ են ռիսկը ընդունելի մակարդակի նվազեցնելու համար:
Ստորև ներկայացված են ռիսկերի գնահատման հիմնական քայլերը: Այս ցանկը հիմնականում կրկնում է այլ մեթոդների նմանատիպ ցանկը, սակայն FRAP-ն ավելի մանրամասն բացահայտում է համակարգի և դրա խոցելիության մասին տվյալներ ստանալու ուղիները:
1. Պաշտպանված ակտիվների սահմանումն իրականացվում է հարցաթերթիկների միջոցով՝ ուսումնասիրելով համակարգի փաստաթղթերը, օգտագործելով ցանցերի ավտոմատ վերլուծության (սկանավորման) գործիքները:
2. Սպառնալիքի նույնականացում. Սպառնալիքների ցանկը կազմելիս կարող են օգտագործվել տարբեր մոտեցումներ.
փորձագետների կողմից նախապես պատրաստված սպառնալիքների ցուցակները (ստուգման ցուցակները), որոնցից ընտրվում են տվյալ համակարգի համար համապատասխանները.
միջադեպերի վիճակագրության վերլուծություն այս IS-ում և նմանատիպերում, գնահատվում է դրանց առաջացման հաճախականությունը, մի շարք սպառնալիքների, օրինակ՝ հրդեհի սպառնալիքի դեպքում, նման վիճակագրություն կարելի է ստանալ համապատասխան պետական կազմակերպություններից.
ընկերության աշխատակիցների կողմից անցկացված «ուղեղային գրոհ».
3. Երբ սպառնալիքների ցանկը լրացվում է, դրանցից յուրաքանչյուրին վերագրվում է առաջացման հավանականություն: Դրանից հետո գնահատվում է այն վնասը, որը կարող է պատճառել այս սպառնալիքը։ Ստացված արժեքների հիման վրա գնահատվում է սպառնալիքի մակարդակը։
Վերլուծության ժամանակ, որպես կանոն, ընդունվում է, որ սկզբնական փուլում համակարգը բացակայում է պաշտպանության միջոցներից ու մեխանիզմներից։ Այսպիսով, գնահատվում է անպաշտպան IS-ի համար ռիսկի մակարդակը, ինչը հետագայում թույլ է տալիս մեզ ցույց տալ տեղեկատվական անվտանգության գործիքների (IPS) ներդրման ազդեցությունը:
Գնահատումը կատարվում է սպառնալիքի և դրանից վնասի հավանականության համար հետևյալ սանդղակով.
Հավանականություն:
Բարձր (Բարձր հավանականություն) շատ հավանական է, որ սպառնալիքը կիրականանա հաջորդ տարվա ընթացքում.
Միջին (միջին հավանականություն) սպառնալիքը, ամենայն հավանականությամբ, տեղի կունենա հաջորդ տարվա ընթացքում, ցածր (ցածր հավանականություն) սպառնալիքը դժվար թե իրականանա հաջորդ տարվա ընթացքում:
Վնասը (ազդեցությունը) ակտիվին պատճառված կորստի կամ վնասի չափն է.
Բարձր ազդեցություն. կարևորագույն բիզնես միավորների անջատում, որը հանգեցնում է բիզնեսի զգալի վնասի, իմիջի կորստի կամ նշանակալի շահույթի կորստի.
Միջին ազդեցություն. կրիտիկական գործընթացների կամ համակարգերի կարճաժամկետ ընդհատում, որը հանգեցնում է մեկ բիզնես միավորի սահմանափակ ֆինանսական կորուստների.
Ցածր (ցածր ազդեցություն) աշխատանքի ընդմիջում, որը շոշափելի ֆինանսական կորուստներ չի առաջացնում:
Գնահատումը որոշվում է համաձայն նկ. 4.4. Ստացված ռիսկի գնահատումը կարող է մեկնաբանվել հետևյալ կերպ.
Ա մակարդակի ռիսկի հետ կապված գործողությունները (օրինակ՝ GIS-ի ներդրումը) պետք է իրականացվեն անհապաղ և առանց ձախողման.
B մակարդակի ռիսկի հետ կապված գործողություններ, որոնք պետք է ձեռնարկվեն.
Պահանջվում է իրավիճակի մոնիտորինգ C մակարդակ (բայց սպառնալիքին հակազդելու համար ուղղակի միջոցներ ձեռնարկելու անհրաժեշտություն կարող է չլինել).
մակարդակ D այս պահին որևէ գործողություն չի պահանջվում:
Բրինձ. 4.4. FRAP ռիսկի մատրիցա
4. Երբ վտանգները բացահայտվեն և ռիսկը գնահատվի, պետք է հայտնաբերվեն հակամիջոցներ՝ ռիսկը վերացնելու կամ ընդունելի մակարդակի իջեցնելու համար: Միաժամանակ, պետք է հաշվի առնել օրենսդրական սահմանափակումները, որոնք անհնարին են դարձնում կամ, ընդհակառակը, անպատճառ նախատեսում են պաշտպանության որոշակի միջոցների և մեխանիզմների կիրառումը։ Ակնկալվող ազդեցությունը որոշելու համար հնարավոր է իրականացնել նույն ռիսկի գնահատում, սակայն առաջարկվող GIS-ի ներդրման պայմանով: Եթե ռիսկը բավականաչափ նվազեցված չէ, կարող է անհրաժեշտ լինել կիրառել մեկ այլ IPS: Պաշտպանության միջոցների սահմանման հետ մեկտեղ անհրաժեշտ է որոշել, թե ինչ ծախսեր կպահանջեն դրա ձեռքբերումն ու իրականացումը (ծախսերը կարող են լինել ինչպես ուղղակի, այնպես էլ անուղղակի, տես ստորև): Բացի այդ, անհրաժեշտ է գնահատել՝ արդյոք այս գործիքն ինքնին անվտանգ է, արդյոք այն համակարգում նոր խոցելիություններ է ստեղծում։
Պաշտպանության ծախսարդյունավետ միջոցներ օգտագործելու համար անհրաժեշտ է ծախս-օգուտ վերլուծություն անցկացնել: Միևնույն ժամանակ անհրաժեշտ է գնահատել ոչ միայն լուծում ձեռք բերելու, այլև դրա շահագործման պահպանման արժեքը։ Ծախսերը կարող են ներառել.
Ծրագրի իրականացման արժեքը, ներառյալ լրացուցիչ ծրագրային ապահովումը և սարքավորումը.
Համակարգի արդյունավետության նվազում՝ իր հիմնական առաջադրանքների կատարման ժամանակ, Լրացուցիչ քաղաքականությունների և ընթացակարգերի իրականացում օբյեկտի պահպանման համար, Լրացուցիչ անձնակազմի վարձման կամ գոյություն ունեցողների վերապատրաստման ծախսերը:
5. Փաստաթղթեր. Երբ ռիսկի գնահատումն ավարտված է, դրա արդյունքները պետք է մանրամասնորեն փաստաթղթավորվեն ստանդարտացված ձևաչափով: Ստացված հաշվետվությունը կարող է օգտագործվել քաղաքականություն, ընթացակարգեր, անվտանգության բյուջեներ և այլն սահմանելու համար:
OCTAVE տեխնիկա
OCTAVE (գործառնական կարևորագույն սպառնալիքների, ակտիվների և խոցելիության գնահատում)
ռիսկերը կազմակերպությունում, որը մշակվել է Քարնեգի Մելլոնի համալսարանի ծրագրային ապահովման ճարտարագիտության ինստիտուտի (SEI) կողմից (Carnegie Mellon University): Մեթոդաբանության ամբողջական նկարագրությունը հասանելի է համացանցում՝ http://www.cert.org/octave: Նա նաև նվիրված է բազմաթիվ գիտական և գիտական և տեխնիկական հոդվածների:
Այս տեխնիկայի առանձնահատկությունը կայանում է նրանում, որ վերլուծության ողջ գործընթացն իրականացվում է կազմակերպության աշխատակիցների կողմից՝ առանց արտաքին խորհրդատուների ներգրավման: Դրա համար ստեղծվում է խառը խումբ, որը ներառում է ինչպես տեխնիկական մասնագետներ, այնպես էլ տարբեր մակարդակների մենեջերներ, ինչը թույլ է տալիս համապարփակ գնահատել անվտանգության հնարավոր միջադեպերի բիզնեսի հետևանքները և մշակել հակաքայլեր:
OCTAVE-ն ներառում է վերլուծության երեք փուլ.
1. մշակել սպառնալիքի պրոֆիլ՝ կապված ակտիվի հետ.
2. ենթակառուցվածքի խոցելիության բացահայտում;
3. անվտանգության ռազմավարությունների և պլանների մշակում։
Սպառնալիքի պրոֆիլը ներառում է ակտիվի (ակտիվների), ակտիվի հասանելիության տեսակը (մատչում), սպառնալիքի աղբյուրը (գործող), խախտման տեսակը կամ շարժառիթը (շարժառիթը), արդյունքը (արդյունքը) և հղումները. սպառնալիքների նկարագրությունները հանրային գրացուցակներում: Ըստ աղբյուրի տեսակի՝ OCTAVE սպառնալիքները բաժանվում են.
1. սպառնալիքներ, որոնք բխում են տվյալների ցանցի միջոցով գործող մարդու ներխուժումից.
2. սպառնալիքներ, որոնք բխում են մարդու իրավախախտից՝ օգտագործելով ֆիզիկական մուտքը.
3. համակարգի խափանումների հետ կապված սպառնալիքներ;
4. ուրիշներ.
Արդյունքը կարող է լինել տեղեկատվական ռեսուրսի բացահայտում (բացահայտում), փոփոխություն (փոփոխում), կորուստ կամ ոչնչացում (կորուստ/ոչնչացում) կամ անջատում: Ծառայության մերժում
OCTAVE մեթոդաբանությունը առաջարկում է օգտագործել «տարբերակային ծառեր» պրոֆիլը նկարագրելիս, նման ծառի օրինակ 1-ին դասի սպառնալիքների համար) ցույց է տրված Նկ. 4.5. Սպառնալիքի պրոֆիլ ստեղծելիս խորհուրդ է տրվում խուսափել տեխնիկական մանրամասների առատությունից՝ սա ուսումնասիրության երկրորդ փուլի խնդիրն է։ Առաջին փուլի հիմնական խնդիրն է ստանդարտացված կերպով նկարագրել սպառնալիքի և ռեսուրսի համակցությունը:
Ենթադրենք, որ ձեռնարկությունն ունի HR բաժնի (HR Database) տեղեկատվական ռեսուրսի (ակտիվների) տվյալների բազա (DB): Ձեռնարկության աշխատակցի կողմից տեղեկատվության գողության սպառնալիքին համապատասխանող պրոֆիլը ներկայացված է աղյուսակ 4.3-ում:
Աղյուսակ 4.3. Սպառնալիքի պրոֆիլի օրինակ:
Ռեսուրս |
HR տվյալների բազա |
Մուտքի տեսակը |
Տվյալների ցանցի միջոցով |
Սպառնալիքի աղբյուր (դերասան) |
Ներքին (ներսում) |
Խախտման տեսակը (մոտիվը) |
Դիտավորյալ (Դիտավորյալ) |
Խոցելիություն |
|
Արդյունք |
Բացահայտում |
մեծացնել պատկերըԲրինձ. 4.5. Ծառի տարբերակ, որն օգտագործվում է պրոֆիլի նկարագրության մեջ
Համակարգի մեթոդաբանությանը համապատասխան ուսումնասիրության երկրորդ փուլը ենթակառուցվածքի խոցելիության բացահայտումն է։ Այս փուլում որոշվում է ենթակառուցվածքը, որն ապահովում է նախկինում ընտրված ակտիվի առկայությունը (օրինակ, եթե սա անձնակազմի բաժնի տվյալների բազա է, ապա դրա հետ աշխատելու համար մեզ անհրաժեշտ է սերվեր, որի վրա գտնվում է տվյալների բազան, աշխատանքային կայան։ անձնակազմի բաժնի աշխատակից և այլն) և շրջակա միջավայրը, որը կարող է թույլ տալ մուտք գործել դրան (օրինակ, տեղական ցանցի համապատասխան հատվածը): Հետևյալ դասերի բաղադրիչները համարվում են՝ սերվերներ, ցանցային սարքավորումներ, GIS, անհատական համակարգիչներ, հեռավար աշխատող, բայց կազմակերպության ցանց մուտք ունեցող «տնային» օգտվողների տնային անհատական համակարգիչներ, շարժական համակարգիչներ, պահեստավորման համակարգեր, անլար սարքեր և այլն:
Ցանցի յուրաքանչյուր հատվածի վերլուծության թիմը նշում է, թե որ բաղադրիչներն են ստուգվում խոցելիության համար: Խոցելիությունները ստուգվում են օպերացիոն համակարգի մակարդակի անվտանգության սկաների, ցանցային անվտանգության սկաների, մասնագիտացված սկաների միջոցով (հատուկ վեբ սերվերների, DBMS և այլն), օգտագործելով խոցելիության ստուգաթերթերը և թեստային սկրիպտները:
Յուրաքանչյուր բաղադրիչի համար սահմանվում է.
խոցելիությունների ցանկ, որոնք պետք է անհապաղ շտկվեն (բարձր խոցելիություն).
մոտ ապագայում շտկման կարիք ունեցող խոցելիությունների ցանկ (միջին խոցելիություն);
խոցելիությունների ցանկ, որոնք անհապաղ գործողություններ չեն պահանջում (ցածր խոցելիություն):
Փուլի արդյունքների հիման վրա կազմվում է հաշվետվություն, որտեղ նշվում է, թե ինչ խոցելիություններ են հայտնաբերվել, ինչ ազդեցություն կարող են ունենալ նախկինում հատկացված ակտիվների վրա, ինչ միջոցներ պետք է ձեռնարկել խոցելիությունները վերացնելու համար։
Անվտանգության ռազմավարության և պլանների մշակումը համակարգի հետազոտության երրորդ փուլն է: Այն սկսվում է նախորդ երկու քայլերի հաշվետվությունների հիման վրա ռիսկերի գնահատմամբ: OCTAVE-ում ռիսկի գնահատումը տալիս է միայն ակնկալվող վնասի գնահատում՝ առանց հավանականության գնահատման: Սանդղակ՝ բարձր (բարձր), միջին (միջին), ցածր (ցածր): Մոտավոր ֆինանսական վնաս, ընկերության հեղինակությանը, կյանքին հասցված վնաս և
հաճախորդների և աշխատակիցների առողջությունը, այն վնասը, որը կարող է հանգեցնել քրեական հետապնդման միջադեպի հետևանքով: Նկարագրված են սանդղակի յուրաքանչյուր աստիճանին համապատասխանող արժեքները (օրինակ՝ փոքր ձեռնարկության համար $10000 ֆինանսական կորուստը բարձր է, ավելի մեծ ձեռնարկության համար՝ միջին)։
միջնաժամկետ;
առաջիկա անելիքների ցուցակները.
Սպառնալիքներին հակազդելու միջոցները որոշելու համար մեթոդոլոգիան առաջարկում է գործիքների կատալոգներ:
Կցանկանայի ևս մեկ անգամ ընդգծել, որ, ի տարբերություն այլ մեթոդների, OCTAVE-ն չի ներգրավում երրորդ կողմի փորձագետներ IS-ի անվտանգության հետազոտության համար, և OCTAVE-ի բոլոր փաստաթղթերը հանրությանը հասանելի են և անվճար, ինչը մեթոդը դարձնում է հատկապես գրավիչ խստորեն սահմանափակված ձեռնարկությունների համար: բյուջե, որը հատկացվում է տեղեկատվական անվտանգության ապահովման նպատակով.
RiskWatch մեթոդաբանություն
RiskWatch-ը մշակել է ռիսկերի վերլուծության իր մեթոդաբանությունը և ծրագրային գործիքների ընտանիքը, որտեղ այն որոշ չափով ներդրված է:
RiskWatch ընտանիքը ներառում է ծրագրային արտադրանք՝ անվտանգության տարբեր տեսակի աուդիտներ իրականացնելու համար.
RiskWatch for Physical Security IP ֆիզիկական պաշտպանության վերլուծության համար;
RiskWatch տեղեկատվական համակարգերի համար տեղեկատվական ռիսկերի համար;
HIPAAWATCH առողջապահական արդյունաբերության համար՝ գնահատելու ԱՄՆ Առողջապահության ապահովագրության տեղափոխելիության և հաշվետվողականության ակտի (HIPAA) ստանդարտին համապատասխանությունը, որը վերաբերում է հիմնականում Միացյալ Նահանգներում գործող բժշկական հաստատություններին.
RiskWatch RW17799 ISO 17799-ի համար՝ գնահատելու IP-ի համապատասխանությունը ISO 17799 միջազգային ստանդարտի պահանջներին:
RiskWatch մեթոդը օգտագործում է ակնկալվող տարեկան կորուստը (Annual Loss Expectancy, ALE) և ներդրումների վերադարձը (ROI) որպես ռիսկերի գնահատման և կառավարման չափանիշներ: RiskWatch-ը կենտրոնացած է անվտանգության սպառնալիքներից կորուստների և պաշտպանության համակարգի ստեղծման ծախսերի հարաբերակցության ճշգրիտ քանակականացման վրա: RiskWatch արտադրանքի հիմքում ընկած է ռիսկերի վերլուծության մեթոդաբանությունը, որը բաղկացած է չորս քայլից:
Առաջին փուլը հետազոտության առարկայի սահմանումն է։ Այն նկարագրում է այնպիսի պարամետրեր, ինչպիսիք են կազմակերպության տեսակը, ուսումնասիրվող համակարգի կազմը (ընդհանուր ձևով), անվտանգության հիմնական պահանջները: Վերլուծաբանի աշխատանքը հեշտացնելու համար կազմակերպության տեսակին համապատասխան ձևանմուշներում («առևտրային տեղեկատվական համակարգ», «կառավարական/ռազմական տեղեկատվական համակարգ» և այլն) կան պաշտպանված ռեսուրսների, կորուստների, սպառնալիքների, խոցելիության և կատեգորիաների ցանկեր։ պաշտպանության միջոցներ։ Դրանցից դուք պետք է ընտրեք նրանք, որոնք իրականում առկա են կազմակերպությունում (նկ. 4.6):
Տեղեկատվության բացահայտում;
Ուղղակի կորուստներ (օրինակ, սարքավորումների ոչնչացումից հրդեհից) Կյանք և առողջություն (անձնակազմի, հաճախորդների և այլն);
Տվյալների փոփոխություն;
Անուղղակի կորուստներ (օրինակ՝ վերականգնման ծախսեր), հեղինակություն:
Երկրորդ փուլը համակարգի հատուկ բնութագրերը նկարագրող տվյալների մուտքագրումն է: Տվյալները կարող են մուտքագրվել ձեռքով կամ ներմուծվել համակարգչային ցանցի խոցելիության հետազոտման գործիքների կողմից ստեղծված հաշվետվություններից: Այս փուլում, մասնավորապես, մանրամասն նկարագրված են ռեսուրսները, կորուստները և միջադեպերի դասերը։ Միջադեպի դասերը ձեռք են բերվում կորուստների կատեգորիայի և ռեսուրսների կատեգորիայի համապատասխանությամբ:
Հնարավոր խոցելիությունը բացահայտելու համար օգտագործվում է հարցաթերթ, որի տվյալների բազան պարունակում է ավելի քան 600 հարց։ Հարցերը կապված են ռեսուրսների կատեգորիաների հետ:
Այն նաև սահմանում է հայտնաբերված սպառնալիքներից յուրաքանչյուրի առաջացման հաճախականությունը, խոցելիության աստիճանը և արժեքը
ռեսուրսներ։ Եթե համակարգում առկա են միջին տարեկան առաջացման գնահատականներ (LAFE և SAFE) ընտրված սպառնալիքի դասի համար, ապա դրանք օգտագործվում են: Այս ամենը հետագայում օգտագործվում է պաշտպանիչ սարքավորումների ներդրման ազդեցությունը հաշվարկելու համար։
մեծացնել պատկերը Բրինձ. 4.6. Պահպանվող ռեսուրսների կատեգորիաների որոշում
Երրորդ փուլը ռիսկերի քանակական գնահատումն է: Այս փուլում հաշվարկվում է ռիսկի պրոֆիլը և ընտրվում են անվտանգության միջոցներ: Նախ, կապեր են հաստատվում հետազոտության նախորդ քայլերում բացահայտված ռեսուրսների, կորուստների, սպառնալիքների և խոցելիության միջև: Փաստորեն, ռիսկը գնահատվում է՝ օգտագործելով տարեկան կորուստների մաթեմատիկական ակնկալիքը: Օրինակ, եթե սերվերի արժեքը կազմում է $150,000, և հավանականությունը, որ այն կկործանվի հրդեհից մեկ տարվա ընթացքում, կազմում է 0,01, ապա սպասվող կորուստը կազմում է $1,500:
Հաշվարկի բանաձևը (m=p*v, որտեղ m-ը մաթեմատիկական ակնկալիքն է, p-ը՝ սպառնալիքի հավանականությունը, v-ը՝ ռեսուրսի արժեքը) որոշ փոփոխությունների է ենթարկվել՝ պայմանավորված այն հանգամանքով, որ RiskWatch-ն օգտագործում է NIST-ի կողմից սահմանված գնահատականներ, որոնք կոչվում են LAFE: և ԱՆՎՏԱՆԳ: LAFE (Տեղական տարեկան հաճախականության գնահատում) ցույց է տալիս, թե միջինում տարեկան քանի անգամ է տվյալ սպառնալիքն իրականացվում տվյալ վայրում (օրինակ՝ քաղաքում): SAFE (Standard Annual Frequency Estimate) ցույց է տալիս, թե միջինում տարին քանի անգամ է տվյալ սպառնալիքն իրականացվում այս «աշխարհի մասում» (օրինակ՝ Հյուսիսային Ամերիկայում): Ներդրվում է նաև ուղղիչ գործոն, որը հնարավորություն է տալիս հաշվի առնել, որ սպառնալիքի իրականացման արդյունքում պաշտպանված ռեսուրսը կարող է ոչ թե ամբողջությամբ, այլ մասնակի ոչնչացվել։
Բանաձևերը (4.1) և (4.2) ցույց են տալիս ALE ցուցիչի հաշվարկման տարբերակները.
Ակտիվների արժեքը խնդրո առարկա ակտիվի արժեքն է (տվյալներ, ծրագրակազմ, սարքաշար և այլն): Լուսավորման գործակիցը ցույց է տալիս արժեքի քանի տոկոսը (տոկոսներով):
ակտիվը ռիսկային է.
Անցանկալի իրադարձության առաջացման հաճախականությունը;
ALE-ն մեկ կոնկրետ ակտիվի համար մեկ սպառնալիքի իրացումից ակնկալվող տարեկան կորուստների գնահատումն է:
Երբ բոլոր ակտիվներն ու ռիսկերը բացահայտվեն և միավորվեն, հնարավոր է դառնում գնահատել ՄՍ ընդհանուր ռիսկը որպես բոլոր մասնավոր արժեքների հանրագումար:
Դուք կարող եք մուտքագրել «միջադեպի ակնկալվող տարեկան հաճախականությունը» (Annualized Rate of Occurrence ARO) և «ակնկալվող մեկ կորուստ» (Single Loss Expectancy SLE) ցուցիչները, որոնք կարող են հաշվարկվել որպես ակտիվի սկզբնական արժեքի և դրա մնացորդի միջև տարբերություն: արժեքը դեպքից հետո (չնայած գնահատման այս մեթոդը կիրառելի չէ բոլոր դեպքերում, օրինակ, այն հարմար չէ տեղեկատվության գաղտնիության խախտման հետ կապված ռիսկերը գնահատելու համար): Այնուհետև սպառնալիք-ռեսուրս մեկ համակցության համար կիրառելի է (4.2) բանաձևը
Բացի այդ, դիտարկվում են «Իսկ եթե․ Համեմատելով սպասվող կորուստները պաշտպանական միջոցառումների իրականացման հետ և առանց դրանց՝ կարելի է գնահատել նման միջոցառումների ազդեցությունը:
RiskWatch-ը ներառում է տվյալների բազաներ LAFE և SAFE վարկանիշներով, ինչպես նաև տարբեր տեսակի պաշտպանությունների ընդհանրացված նկարագրություն:
Պաշտպանական միջոցների ներդրման ազդեցությունը քանակականացվում է՝ օգտագործելով ROI (Ներդրումների վերադարձը) ցուցիչը, որը ցույց է տալիս որոշակի ժամանակահատվածում կատարված ներդրումների վերադարձը: Այն հաշվարկվում է ըստ բանաձևի.
Ծախսեր j պաշտպանության միջոցառումների իրականացման և պահպանման ծախսեր.
Օգուտներ i գնահատում օգուտների (այսինքն՝ կորուստների ակնկալվող կրճատում), որ բերում է այս պաշտպանության իրականացումը.
NPV (զուտ ներկա արժեք) զուտ ներկա արժեք:
Չորրորդ փուլը հաշվետվությունների ստեղծումն է: Հաշվետվության տեսակները՝ ամփոփում:
1-ին և 2-րդ փուլերում նկարագրված տարրերի ամբողջական և հակիրճ հաշվետվություններ:
Զեկույց պաշտպանված ռեսուրսների արժեքի և սպառնալիքների իրականացումից ակնկալվող կորուստների մասին: Զեկուցել սպառնալիքների և հակազդեցությունների մասին:
Զեկույց ROI-ի վերաբերյալ (հատված Նկար 4.7-ում): Անվտանգության աուդիտի արդյունքների մասին հաշվետվություն.
http://www.intuit.ru/studies/courses/531/387/print_lecture/8996 |
CRAMM, RiskWatch և GRIF
Բիզնեսի համար տեղեկատվական անվտանգության ապահովման առաջադրանքի արդիականությունը
Այսօր կասկած չկա ժամանակակից խոշոր բիզնեսի տեղեկատվական անվտանգության ապահովման համար ներդրումներ կատարելու անհրաժեշտության մեջ։ Ժամանակակից բիզնեսի հիմնական խնդիրն այն է, թե ինչպես կարելի է գնահատել տեղեկատվական անվտանգության ոլորտում ներդրումների բավարար մակարդակը՝ ապահովելու այս ոլորտում ներդրումների առավելագույն արդյունավետությունը։ Այս խնդիրը լուծելու համար կա միայն մեկ ճանապարհ՝ ռիսկերի վերլուծության համակարգերի օգտագործումը, որը թույլ է տալիս գնահատել համակարգում առկա ռիսկերը և ընտրել պաշտպանության ամենաարդյունավետ տարբերակը (համակարգում առկա ռիսկերի և ծախսերի հարաբերակցությամբ. տեղեկատվական անվտանգություն):
Բիզնեսի անվտանգության ապահովման առաջադրանքի արդիականության փաստը հաստատելու համար մենք կօգտագործենք ՀԴԲ-ի 2003թ. Տվյալները հավաքագրվել են 530 ամերիկյան ընկերությունների (միջին և խոշոր բիզնես) հարցումների հիման վրա։
ՏՏ անվտանգության միջադեպերի վիճակագրությունը անողոք է. Ըստ ՀԴԲ-ի 2003 թվականին, հարցված ընկերությունների 56%-ը ենթարկվել է հարձակման.
Տարբեր տեսակի տեղեկատվական ազդեցությունների կորուստները ներկայացված են հետևյալ գրաֆիկում.
Ընկերության տեղեկատվական անվտանգության ոլորտում ներդրումներ կատարելու անհրաժեշտության հիմնավորումը
Վիճակագրության համաձայն, ընկերությունում տեղեկատվական անվտանգության ցանկացած միջոց ձեռնարկելու ամենամեծ խոչընդոտը երկու պատճառ է.
- բյուջեի սահմանափակում;
- ղեկավարության կողմից աջակցության բացակայությունը.
Երկու պատճառներն էլ բխում են տնօրինության կողմից խնդրի լրջության ըմբռնումից և ՏՏ մենեջերի համար՝ հիմնավորելու դժվարությունից, թե ինչու է անհրաժեշտ ներդրումներ կատարել տեղեկատվական անվտանգության մեջ: Հաճախ շատերը հակված են կարծելու, որ հիմնական խնդիրն այն է, որ ՏՏ մենեջերներն ու ղեկավարները խոսում են տարբեր լեզուներով՝ տեխնիկական և ֆինանսական, բայց ՏՏ մասնագետների համար հաճախ դժվար է իրենք գնահատել, թե ինչի վրա պետք է գումար ծախսեն և որքան է պահանջվում ավելին ապահովելու համար։ անվտանգություն, ընկերության համակարգեր՝ ապահովելու, որ այդ ծախսերը վատնվեն կամ ավելորդ չլինեն:
Եթե ՏՏ մենեջերը հստակ հասկանում է, թե որքան գումար կարող է կորցնել ընկերությունը սպառնալիքների իրականացման դեպքում, համակարգի որ տեղերն են առավել խոցելի, ինչ միջոցներ կարելի է ձեռնարկել՝ առանց ավելորդ գումար ծախսելու անվտանգության մակարդակը բարձրացնելու համար, և այս ամենը փաստաթղթավորված է, ապա. Խնդրի լուծումը ղեկավարությանը համոզելն է ուշադրություն դարձնել և միջոցներ հատկացնել, որպեսզի տեղեկատվական անվտանգությունը շատ ավելի իրատեսական դառնա:
Այս խնդիրը լուծելու համար մշակվել են տեղեկատվական ռիսկերի վերլուծության և վերահսկման ծրագրային համակարգեր՝ բրիտանական CRAMM (Insight Consulting ընկերություն), ամերիկյան RiskWatch (ընկերություն) և ռուսական GRIF (ընկերություն): Եկեք մանրամասն քննարկենք այս մեթոդները և դրանց հիման վրա կառուցված ծրագրային համակարգերը:
CRAMM
Մեթոդը (Մեծ Բրիտանիայի կառավարության ռիսկերի վերլուծության և կառավարման մեթոդ) մշակվել է Միացյալ Թագավորության Անվտանգության Ծառայության (ՄԹ Անվտանգության Ծառայություն) կողմից՝ բրիտանական կառավարության հանձնարարականով և ընդունվել որպես պետական ստանդարտ: Այն օգտագործվում է 1985 թվականից Մեծ Բրիտանիայի պետական և առևտրային կազմակերպությունների կողմից: Մինչ օրս CRAMM-ը ժողովրդականություն է ձեռք բերել ամբողջ աշխարհում: Insight Consulting Limited-ը մշակում և պահպանում է համանուն ծրագրային արտադրանք, որն իրականացնում է CRAMM մեթոդը:
CRAMM մեթոդն ընտրվել է մեր կողմից ավելի մանրամասն դիտարկելու համար, և դա պատահական չէ: Ներկայումս CRAMM-ը բավականին հզոր և բազմակողմանի գործիք է, որը թույլ է տալիս, բացի ռիսկերի վերլուծությունից, լուծել մի շարք այլ աուդիտի առաջադրանքներ, այդ թվում՝
- IP հետազոտության անցկացում և դրա իրականացման բոլոր փուլերում ուղեկցող փաստաթղթերի տրամադրում.
- աուդիտի անցկացում բրիտանական կառավարության պահանջներին համապատասխան, ինչպես նաև BS 7799:1995 ստանդարտին` Տեղեկատվական անվտանգության կառավարման BS7799 պրակտիկայի կանոնագրքին;
- անվտանգության քաղաքականության և բիզնեսի շարունակականության պլանի մշակում։
CRAMM-ի հիմքում, որը միավորում է վերլուծության քանակական և որակական մեթոդները, ռիսկերի գնահատման ինտեգրված մոտեցումն է: Մեթոդը ունիվերսալ է և հարմար է ինչպես խոշոր, այնպես էլ փոքր կազմակերպությունների, ինչպես պետական, այնպես էլ առևտրային ոլորտների համար: CRAMM ծրագրային ապահովման տարբերակները, որոնք ուղղված են տարբեր տեսակի կազմակերպություններին, տարբերվում են միմյանցից իրենց գիտելիքների բազաներով (պրոֆիլներով): Առևտրային կազմակերպությունների համար կա առևտրային պրոֆիլ (Commercial Profile), պետական կազմակերպությունների համար՝ պետական պրոֆիլ (Կառավարության պրոֆիլ): Պրոֆիլի կառավարական տարբերակը նաև թույլ է տալիս աուդիտ իրականացնել ամերիկյան ITSEC («Orange Book») ստանդարտի պահանջներին համապատասխանելու համար:
CRAMM մեթոդի ճիշտ օգտագործումը թույլ է տալիս ստանալ շատ լավ արդյունքներ, որոնցից ամենագլխավորը, թերևս, տեղեկատվական անվտանգության և բիզնեսի շարունակականության համար կազմակերպության ծախսերի տնտեսական հիմնավորման հնարավորությունն է։ Տնտեսապես առողջ ռիսկերի կառավարման ռազմավարությունը թույլ է տալիս, ի վերջո, խնայել գումար՝ խուսափելով ավելորդ ծախսերից:
CRAMM-ը ներառում է ամբողջ պրոցեդուրան բաժանել երեք հաջորդական փուլերի: Առաջին փուլի խնդիրն է՝ պատասխանել հարցին. Երկրորդ փուլում բացահայտվում են ռիսկերը և գնահատվում դրանց մեծությունը: Երրորդ փուլում որոշվում է համարժեք հակաքայլերի ընտրության հարցը։
CRAMM մեթոդաբանությունը յուրաքանչյուր փուլի համար սահմանում է նախնական տվյալների մի շարք, գործողությունների հաջորդականություն, հարցազրույցների հարցաթերթիկներ, ստուգաթերթեր և հաշվետվական փաստաթղթերի մի շարք:
Եթե արդյունքում առաջին փուլ, հաստատված է, որ ռեսուրսների կրիտիկականության մակարդակը շատ ցածր է, և առկա ռիսկերը, անշուշտ, չեն գերազանցի որոշակի բազային մակարդակը, այնուհետև համակարգի վրա դրվում է անվտանգության պահանջների նվազագույն փաթեթ։ Այս դեպքում երկրորդ փուլի գործողությունների մեծ մասը չի կատարվում, բայց անցում է կատարվում երրորդ փուլին, որի ժամանակ ստեղծվում է հակաքայլերի ստանդարտ ցանկ՝ անվտանգության հիմնական պահանջներին համապատասխանությունն ապահովելու համար:
Վրա երկրորդ փուլվերլուծվում են անվտանգության սպառնալիքներն ու խոցելիությունները: Սպառնալիքների և խոցելիության գնահատման նախնական տվյալները աուդիտորը ստանում է կազմակերպության լիազորված ներկայացուցիչներից համապատասխան հարցազրույցների ժամանակ: Հարցազրույցների համար օգտագործվում են մասնագիտացված հարցաթերթիկներ:
Վրա երրորդ փուլլուծված է ռիսկերի կառավարման խնդիրը, որը կայանում է համարժեք հակաքայլերի ընտրության մեջ։ Համակարգում անվտանգության նոր մեխանիզմներ ներդնելու և հինները փոփոխելու որոշումը կայացվում է կազմակերպության ղեկավարության կողմից՝ հաշվի առնելով հարակից ծախսերը, դրանց ընդունելիությունը և բիզնեսի համար վերջնական օգուտը: Աուդիտորի խնդիրն է հիմնավորել կազմակերպության ղեկավարության համար առաջարկվող հակաքայլերը:
Եթե որոշում կայացվի նոր հակամիջոցներ ներդնելու և հինները փոփոխելու մասին, ապա աուդիտորին կարող է հանձնարարվել նախապատրաստել նոր հակաքայլերի ներդրման պլան և գնահատել դրանց կիրառման արդյունավետությունը: Այս խնդիրների լուծումը դուրս է CRAMM մեթոդի շրջանակներից:
CRAMM մեթոդով հարցում անցկացնելու հայեցակարգային սխեման ներկայացված է դիագրամում.
TO CRMM մեթոդի թերություններըկարող է ներառել հետևյալը.
- CRAMM մեթոդի կիրառումը պահանջում է հատուկ պատրաստվածություն և աուդիտորի բարձր որակավորում:
- CRAMM-ը շատ ավելի հարմար է արդեն գործող գործող IS-ի աուդիտի համար, քան մշակման փուլում գտնվող IS-ի համար:
- CRAMM աուդիտը բավականին ժամանակատար գործընթաց է և կարող է պահանջել աուդիտորի ամիսների շարունակական աշխատանք:
- CRAMM ծրագրային գործիքը ստեղծում է մեծ քանակությամբ թղթային փաստաթղթեր, որոնք ոչ միշտ են գործնականում օգտակար:
- CRAMM-ը թույլ չի տալիս ստեղծել ձեր սեփական հաշվետվության ձևանմուշները կամ փոփոխել գոյություն ունեցողները:
- CRAMM-ի գիտելիքների բազայում հավելումներ ավելացնելու հնարավորությունը հասանելի չէ օգտատերերին, ինչը որոշակի դժվարություններ է առաջացնում այս մեթոդը որոշակի կազմակերպության կարիքներին հարմարեցնելու հարցում:
- CRAMM ծրագիրը հասանելի է միայն անգլերենով:
- Լիցենզիայի բարձր արժեքը:
RiskWatch
Ծրագրային ապահովում RiskWatch, որը մշակվել է ամերիկյան ընկերության կողմից, ռիսկերի վերլուծության և կառավարման հզոր գործիք է։ RiskWatch ընտանիքը ներառում է ծրագրային արտադրանք՝ անվտանգության տարբեր տեսակի աուդիտներ իրականացնելու համար: Այն ներառում է հետևյալ աուդիտի և ռիսկերի վերլուծության գործիքները.
- RiskWatch for Physical Security - ֆիզիկական IP-ի պաշտպանության մեթոդների համար;
- RiskWatch տեղեկատվական համակարգերի համար - տեղեկատվական ռիսկերի համար;
- HIPAA-WATCH առողջապահական արդյունաբերության համար - գնահատելու HIPAA ստանդարտին համապատասխանությունը.
- RiskWatch RW17799 ISO17799-ի համար - ISO17799 ստանդարտի պահանջները գնահատելու համար:
RiskWatch մեթոդը օգտագործում է տարեկան կորստի ակնկալիքը (ALE) և ներդրումների վերադարձը (ROI) որպես ռիսկերի գնահատման և կառավարման չափանիշներ: RiskWatch ծրագրային արտադրանքների ընտանիքը շատ առավելություններ ունի:
RiskWatch-ն օգնում է ձեզ վերլուծել ռիսկերը և կատարել տեղեկացված միջոցների և փոխհատուցման միջոցների ընտրություն: Ծրագրում օգտագործվող մեթոդաբանությունը ներառում է 4 փուլ.
Առաջին փուլ- հետազոտության առարկայի սահմանում. Այս փուլում նկարագրվում են կազմակերպության ընդհանուր պարամետրերը՝ կազմակերպության տեսակը, ուսումնասիրվող համակարգի կազմը, անվտանգության ոլորտի հիմնական պահանջները։ Նկարագրությունը ձևակերպված է մի շարք ենթակետերում, որոնք կարելի է ընտրել ավելի մանրամասն նկարագրության համար կամ բաց թողնել:
Հետևյալում ընտրված կետերից յուրաքանչյուրը մանրամասն նկարագրված է: Վերլուծաբանի աշխատանքը հեշտացնելու համար կաղապարները տրամադրում են պաշտպանված ռեսուրսների, կորուստների, սպառնալիքների, խոցելիության և պաշտպանության միջոցների կատեգորիաների ցուցակները: Դրանցից դուք պետք է ընտրեք նրանց, որոնք իսկապես առկա են կազմակերպությունում:
Երկրորդ փուլ- համակարգի հատուկ բնութագրերը նկարագրող տվյալների մուտքագրում: Տվյալները կարող են մուտքագրվել ձեռքով կամ ներմուծվել համակարգչային ցանցի խոցելիության հետազոտման գործիքների կողմից ստեղծված հաշվետվություններից: Այս քայլը մանրամասնում է ռեսուրսները, կորուստները և միջադեպերի դասերը:
Միջադեպի դասերը ձեռք են բերվում կորուստների կատեգորիայի և ռեսուրսների կատեգորիայի համապատասխանությամբ: Հնարավոր խոցելիությունները բացահայտելու համար օգտագործվում է հարցաթերթ, որի տվյալների բազան պարունակում է ավելի քան 600 հարց՝ կապված ռեսուրսների կատեգորիաների հետ։ Թույլատրվում է ուղղել հարցեր, բացառել կամ ավելացնել նորերը։ Սահմանված են հայտնաբերված սպառնալիքներից յուրաքանչյուրի առաջացման հաճախականությունը, խոցելիության աստիճանը և ռեսուրսների արժեքը: Այս ամենը հետագայում օգտագործվում է պաշտպանիչ սարքավորումների ներդրման արդյունավետությունը հաշվարկելու համար։
Երրորդ փուլ- ռիսկի գնահատում. Նախ, կապեր են հաստատվում նախորդ փուլերում հայտնաբերված ռեսուրսների, կորուստների, սպառնալիքների և խոցելիության միջև: Ռիսկերի համար տարվա համար կորուստների մաթեմատիկական ակնկալիքը հաշվարկվում է բանաձևով.
m=p * v, որտեղ p-ը տարվա ընթացքում սպառնալիքի առաջացման հաճախականությունն է, v-ը սպառնալիքի տակ գտնվող ռեսուրսի արժեքն է:
Օրինակ, եթե սերվերի արժեքը կազմում է $150,000, և հավանականությունը, որ այն մեկ տարվա ընթացքում կկործանվի հրդեհի հետևանքով, 0,01 է, ապա սպասվող կորուստը կկազմի $1,500: Բացի այդ, դիտարկվում են «Իսկ եթե ...» սցենարները, որոնք. թույլ են տալիս նկարագրել նմանատիպ իրավիճակներ պաշտպանության միջոցների ներդրման պայմանով: Համեմատելով սպասվող կորուստները պաշտպանական միջոցառումների իրականացման հետ և առանց դրանց՝ կարելի է գնահատել նման միջոցառումների ազդեցությունը:
Չորրորդ փուլ- հաշվետվությունների ստեղծում: Հաշվետվության տեսակները՝ ամփոփում; 1-ին և 2-րդ փուլերում նկարագրված տարրերի ամբողջական և ամփոփ հաշվետվությունները. հաշվետվություն պաշտպանված ռեսուրսների արժեքի և սպառնալիքների իրականացումից ակնկալվող կորուստների մասին. հաշվետվություն սպառնալիքների և հակազդեցությունների մասին. անվտանգության աուդիտի հաշվետվություն:
RiskWatch-ի թերություններինկարելի է վերագրել.
- Այս մեթոդը հարմար է, եթե պահանջվում է ռիսկերի վերլուծություն իրականացնել պաշտպանության ծրագրային և ապարատային մակարդակում՝ առանց կազմակերպչական և վարչական գործոնների հաշվի առնելու: Ստացված ռիսկերի գնահատումները (կորուստների ակնկալիքը) հեռու չեն սպառում ռիսկի ըմբռնումը համակարգային տեսանկյունից. մեթոդը հաշվի չի առնում տեղեկատվական անվտանգության ինտեգրված մոտեցումը:
- RiskWatch ծրագիրը հասանելի է միայն անգլերենով:
- Լիցենզիայի բարձր արժեքը՝ 15000 դոլարից փոքր ընկերության մեկ աշխատավայրի համար և 125000 դոլարից կորպորատիվ լիցենզիայի համար:
GRIF
Տեղեկատվական ռիսկերի ամբողջական վերլուծություն իրականացնելու համար, առաջին հերթին, անհրաժեշտ է կառուցել տեղեկատվական համակարգի ամբողջական մոդել՝ տեղեկատվական անվտանգության տեսանկյունից։ Այս խնդիրը լուծելու համար, ի տարբերություն շուկայում առկա ռիսկերի վերլուծության արևմտյան համակարգերի, որոնք բավականին ծանր են և հաճախ չեն պահանջում անկախ օգտագործում ՏՏ մենեջերների և ընկերությունների տեղեկատվական համակարգերի անվտանգության ապահովման համար պատասխանատու համակարգի ադմինիստրատորների կողմից, այն ունի պարզ և ինտուիտիվ ինտերֆեյս: օգտագործողը. Այնուամենայնիվ, արտաքին պարզության հետևում թաքնված է ռիսկերի վերլուծության բարդ ալգորիթմ, որը հաշվի է առնում ավելի քան հարյուր պարամետր, որը թույլ է տալիս ելքի վրա ճշգրիտ գնահատել տեղեկատվական համակարգում առկա ռիսկերը՝ հիմնվելով տվյալների առանձնահատկությունների վերլուծության վրա։ տեղեկատվական համակարգի գործնական ներդրում։
GRIF համակարգի հիմնական նպատակն է հնարավորություն ընձեռել ՏՏ մենեջերին ինքնուրույն (առանց երրորդ կողմի փորձագետների ներգրավման) գնահատել տեղեկատվական համակարգում առկա ռիսկերի մակարդակը և գործող պրակտիկայի արդյունավետությունը՝ ընկերության անվտանգությունն ապահովելու համար, ինչպես նաև հնարավորություն ընձեռել: համոզիչ (թվերով) համոզել ընկերության ղեկավարությանը իր տեղեկատվական անվտանգության մեջ ներդրումներ կատարելու անհրաժեշտության մեջ:
Առաջին փուլում GRIF մեթոդը օգտագործվում է ՏՏ մենեջերի հետ հարցազրույցի համար՝ ընկերության համար արժեքավոր տեղեկատվական ռեսուրսների ամբողջական ցանկը որոշելու համար:
Երկրորդ փուլումՏՏ մենեջերը հետազոտվում է GRIF համակարգ մուտքագրելու համար ընկերության համար արժեքավոր բոլոր տեսակի տեղեկությունները: Արժեքավոր տեղեկատվության մուտքագրված խմբերը պետք է օգտագործողի կողմից տեղադրվեն նախորդ փուլում նշված տեղեկատվության պահպանման օբյեկտների վրա (սերվերներ, աշխատանքային կայաններ և այլն): Վերջնական փուլը ցույց է տալիս արժեքավոր տեղեկատվության յուրաքանչյուր խմբի վնասը, որը գտնվում է համապատասխան ռեսուրսների վրա, բոլոր տեսակի սպառնալիքների համար:
Երրորդ փուլումսահմանվում են բոլոր տեսակի օգտատերերի խմբերը` նշելով յուրաքանչյուր խմբում օգտագործողների թիվը: Այնուհետև ֆիքսվում է, թե օգտվողների խմբերից յուրաքանչյուրը ռեսուրսների վերաբերյալ տեղեկատվության որ խմբերին հասանելի է: Վերջապես, սահմանվում են արժեքավոր տեղեկատվություն պարունակող բոլոր ռեսուրսների օգտատերերի մուտքի տեսակները (տեղական և/կամ հեռավոր) և իրավունքները (կարդալ, գրել, ջնջել):
Չորրորդ փուլումՏՏ մենեջերի հետ հարցազրույց է անցկացվում՝ որոշելու ռեսուրսների վերաբերյալ արժեքավոր տեղեկատվության պաշտպանության միջոցները: Բացի այդ, համակարգ մուտքագրվում է տեղեկատվություն տեղեկատվական անվտանգության բոլոր կիրառելի գործիքների ձեռքբերման միանվագ ծախսերի և դրանց տեխնիկական աջակցության տարեկան ծախսերի, ինչպես նաև ընկերության տեղեկատվական անվտանգության համակարգի պահպանման տարեկան ծախսերի վերաբերյալ:
Վերջնական փուլումանհրաժեշտ է պատասխանել համակարգում իրականացվող անվտանգության քաղաքականությանը վերաբերող հարցերին, ինչը թույլ կտա գնահատել համակարգի անվտանգության իրական մակարդակը և մանրամասնել ռիսկերի գնահատումները։
Առաջին փուլում նշված տեղեկատվության պաշտպանության գործիքների առկայությունը ինքնին չի դարձնում համակարգը անվտանգ դրանց ոչ պատշաճ օգտագործման և անվտանգության համապարփակ քաղաքականության բացակայության դեպքում, որը հաշվի է առնում տեղեկատվության պաշտպանության բոլոր ասպեկտները, ներառյալ պաշտպանության կազմակերպման խնդիրները, ֆիզիկական անվտանգություն, անձնակազմի անվտանգություն, բիզնեսի շարունակականություն և այլն:
Այս փուլերում բոլոր գործողությունների կատարման արդյունքում ելքը կլինի տեղեկատվական համակարգի ամբողջական մոդելը տեղեկատվական անվտանգության առումով՝ հաշվի առնելով անվտանգության համապարփակ քաղաքականության պահանջների փաստացի կատարումը, ինչը թույլ կտա շարունակել. մուտքագրված տվյալների ծրագրային վերլուծություն՝ ռիսկերի համապարփակ գնահատում ստանալու և վերջնական հաշվետվություն ստեղծելու համար:
Համակարգի մանրամասն հաշվետվություն, որը ներկայացնում է միջադեպերի հնարավոր վնասների պատկերը, պատրաստ է ընկերության ղեկավարությանը ներկայացնելու.
GRIF-ի թերություններինկարելի է վերագրել.
- Բիզնես գործընթացների հետ կապվածության բացակայություն (նախատեսված է հաջորդ տարբերակում):
- Անվտանգության ապահովման մի շարք միջոցառումների իրականացման տարբեր փուլերում հաշվետվությունները համեմատելու անկարողություն (նախատեսված է հաջորդ տարբերակում):
- Ընկերության հատուկ անվտանգության քաղաքականության պահանջները ավելացնելու ունակության բացակայություն:
- Ռիսկերի վերլուծության ժամանակակից տեխնոլոգիաները տեղեկատվական համակարգերում (PCWEEK N37"2001), Սերգեյ Սիմոնով.
- Jet Infosystems-ի նյութեր
- Թվային անվտանգության նյութեր
Վոլգոգրադի կառավարման ինստիտուտ
RANEPA մասնաճյուղը
Մասնագիտացված
վերլուծական ծրագրեր
ֆինանսական ռիսկեր
ձեռնարկություններ
Կատարվել է
ME-100 խմբի ուսանող
Շահինյան Արփի Արմենովնա
ֆինանսական կորստի ռիսկը
որոնք կախված են որոշակի գործոններից
տնտեսական կյանքը։ Ռիսկը
նման խնդիրներն առաջին հերթին
ֆինանսական ռիսկեր. Աշխատանքի նպատակը գտնելն է
բացահայտելու մասնագիտացված ծրագրեր
ձեռնարկության ֆինանսական ռիսկերը Ռուսական ձեռնարկությունների համար՝ անկախ դրանց ձևից
գույքը եւ գործունեության ոլորտները, առավել բնորոշ
հետևյալ ռիսկերն են.
- հնարավոր կորուստ (մահ), պակաս կամ վնաս
ձեռնարկության հիմնական կամ ընթացիկ ակտիվներ.
- քաղաքացիական պատասխանատվության առաջացումը
ձեռնարկություններ՝ առաջացող պարտավորությունների համար
հանգեցնելով կյանքին, առողջությանը և
երրորդ անձանց սեփականություն կամ բնական
շրջակա միջավայր;
- հնարավոր կորուստներ կամ ակնկալվողի չստացում
շահույթ՝ պայմանավորված գործառնական պայմանների փոփոխությամբ
ձեռնարկություններ՝ իր վերահսկողությունից դուրս հանգամանքների պատճառով.
- Կողմերի կողմից իրենց պարտավորությունների խախտում,
գործընկերներ և այլն Ամենատարածվածը
ծրագրային արտադրանք հետևյալ ընկերություններից.
- Alt (փաթեթներ Alt-Invest, Alt-Invest
գումարներ, Alt-Leasing, Alt-Finance, AltPlan, Alt-Prognoz, Alt-Expert և այլն);
InEc (փաթեթներ Ներդրող, վերլուծաբան և այլն): Չնայած առաջարկվող ծրագրային արտադրանքների բազմազանությանը
ներդրումային նախագծերի բիզնես պլանների մշակման խնդիրների լուծման ավտոմատացում, դրանք
շատ ընդհանրություններ ունեն միմյանց հետ: Սա որոշվում է հաստատված ներկայությամբ
ներդրումային ծրագրի բոլոր ցուցանիշների և չափանիշների հաշվարկման ստանդարտ մոտեցումներ,
սահմանված «Ներդրումների արդյունավետության գնահատման մեթոդական առաջարկություններ
նախագծերը և դրանց ընտրությունը ֆինանսավորման համար»:
Սա, չնայած ելքային տեղեկատվության ներկայացման ձևերի լայն բազմազանությանը, իր
բովանդակությունը սովորաբար ներառում է նույն տվյալները հիմնական տնտեսական
ներդրումային նախագծի բնութագրերը, որոնց հիմքը դրամական միջոցների հոսքն է
նախագիծը։ Այս բնութագրերը ներառում են. շահույթի և վնասի տվյալները. կանխատեսող
հավասարակշռություն; ձեռնարկության ֆինանսական վիճակն արտացոլող ցուցանիշներ (գործակիցներ
շահութաբերություն, վճարունակություն, իրացվելիություն); կատարողականի ցուցանիշները
ներդրումներ (NPV, IRR, PBP, PI և այլն):
Project Expert ծրագրային արտադրանքների ընտանիքը, մասնավորապես Project Expert-7 տարբերակը,
ի լրումն նախագծի զգայունության վերլուծության, իրականացնում է ռիսկերի հաշվարկներ՝ օգտագործելով սցենարային մեթոդը
վերլուծություն. Մոդելավորման մոդելավորման մեթոդների կիրառումը (Մոնտե Կառլոյի մեթոդ) կարող է զգալիորեն մեծացնել ստացված վերլուծության արդյունքների հուսալիությունը։
նախագծի ռիսկը: Խոսելով որոշակի փաթեթների օգտագործման հնարավորության մասին՝ պետք է
նշեք դրանցից յուրաքանչյուրի կառուցման եղանակները՝ բաց, փակ,
համակցված. Բաց փաթեթների օրինակ են ծրագրային ապահովումը
մշակվել է Alt. Օգտագործողը մուտք գործելու հնարավորություն ունի
հաշվարկային ալգորիթմների փոփոխություններ, որոնք կարող են որոշվել
լուծվող խնդիրների առանձնահատկությունները. Անբավարար որակավորումներով
օգտագործող, նման փոփոխությունները կարող են հանգեցնել սխալների և աղավաղումների
իրերի փաստացի վիճակը։ Փակ փաթեթների օրինակ են
Ծրագրային մշակումները, մասնավորապես, ProInvestConsulting-ի կողմից
փաթեթների ընտանիք Ծրագրի փորձագետ: Այստեղ գործում է ծրագրային արտադրանքը
այսպես կոչված «սև արկղ». Իր մուտքագրման մեջ սկզբն
տեղեկատվություն, արդյունքը բիզնես պլանի հաշվարկների արդյունքներն են: Օգտատեր
չունի հաշվարկման ալգորիթմը փոխելու հնարավորություն։ Նման ծրագրեր չկան
բարձր պահանջներ դնել օգտագործողի որակավորման վրա: Ահա թե ինչու,
որոշակի փաթեթի ընտրությունը կախված է օգտագործողից, նրա որակավորումներից և
հնարավորություններ, ինչպես ֆինանսական, այնպես էլ համապատասխանի առկայություն
անձնակազմը. Ռիսկը մի կողմից վտանգ ունի
ձեռնարկատիրական գործունեություն, բայց մյուս կողմից, ինչպես նաև
մրցակցություն, ունի մաքրման ֆունկցիա, այսինքն. օգնում է
շուկան մաքրվելիք ոչ շարժական կազմակերպություններից, նպաստում է
ռիսկի, տնտեսական զարգացման ճիշտ մոտեցմամբ։
Պետք է հիշել, որ ոչ թե պետք է խուսափել ռիսկից, այլ կարողանալ
նվազեցնել դրա առաջացման հավանականությունը, ինչը հնարավոր է
պատշաճ կառավարչական աշխատանք, որը ներկայացնում է
գործունեության մի ամբողջություն է, որն ուղղված է
կանխատեսում և վաղ հայտնաբերում
բացասական ազդեցություն առարկայի վրա
բիզնես գործունեություն, զարգացում և իրականացում
դրանք չեզոքացնելու միջոցառումներ (ռիսկերի վերլուծություն և գնահատում,
ապահովագրություն և այլն):
, (, "", "", ""): .FRAP; (,). RiskWatch; , (CRAMM, Microsoft ..):
CRAM-80-. (CCTA): CRAM, . , . CRAM, (պրոֆիլներ). (Commercial Profile), - (Կառավարության պրոֆիլ): , ITSEC(" "): RAMM. , . ՝ , . ՝ , . . . , . .
CRAM. :
; - , ; ; - (), ; , : , .
; ; ; , ; ; , ; , ; .
1 10. CRAMM " , ":
2 - $1000; 6 - $1000 $10 000; 8 - $10 000 $100 000; 10 - $100 000.
(3) , () . , . .
, . . , (, ..). . CRAMM 36,. , . , . 1 7. , . CRAM. , . , :
(. 4.1); (. 4.2); (. 4.1).
4.1. (). , 10 3 4.2. (). , 0,33 , 0,33 0,66 , 0,66
, " ". . 4.1 . , - (), - ().
4.1. (. Տարեկան ակնկալվող կորուստ) CRAMM, . 4.2 ().
4.2. , (. 4.3)
4.3. . , . CRAM, . : 300 1000 ; 900 , . , CRAM - , ().
FRAP «Facilitated Risk Analysis Process (FRAP)» Peltier and Associates (http://www.peltierassociates.com/) (Thomas R. Peltier) (,). , . - , . : , (.արժեք/օգուտ վերլուծություն), . . , FRAP . մեկ. , () . 2. . o (ստուգաթերթեր), ;
; , ; o "", . 3. , . , . .օ
, . , (). . (Հավանականություն):o o o
(Բարձր հավանականություն) - , ; (Միջին հավանականություն) - ; (Ցածր հավանականություն) - , .
(Ազդեցություն) - , :o
(Բարձր ազդեցություն): , ; (Միջին ազդեցություն): , -; (Ցածր ազդեցություն): , .
4.4. :o o o
A - (,); B-; C-(,);
4.4. FRAP 4. , . , . , . , . , (, - .). , . , . , . :o o
; . հինգ.. , . ..օ օ
OCTAVEOCTAVE (Օպերատիվ կրիտիկական սպառնալիքների, ակտիվների և խոցելիության գնահատում) - , Ծրագրային ճարտարագիտության ինստիտուտ (SEI) (Carnegie Mellon University): www.cert.org/octave. - . , . , . OCTAVE՝ 1. , ; 2.; 3. . (ակտիվ), (մուտք), (գործող), (շարժառիթ), (արդյունք) . , OCTAVE՝ 1. , -, ; 2. , -, ; 3. , ; 4. . (բացահայտում), (փոփոխություն), (կորուստ/ոչնչացում) . (ընդհատում):
OCTAVE " ", 1) . 4.5. - . - . , () - () (HR Database): , 4.3. 4.3. . (Ակտիվ) (HR տվյալների շտեմարան) (Մուտք) (Ցանց) (Դերասան) (Ներքին) (Դիտավորյալ) (Խոցելիություն) (Արդյունք) (Բացահայտում) (Կատալոգի հղում) -
4.5. , - . , (, ..) , (,). : ; ; ; "" , ; ; ; ; . , . , (վեբ-, .), (ստուգաթերթեր), . :
, (բարձր խոցելիություն); , (միջին ծանրության խոցելիություններ); , (ցածր խոցելիություն):
ՕԿՏԱՎԱ, . (բարձր), (միջին), (ցածր): , . , (, $10000 - , -). , :
OCTAVE, OCTAVE, .
RiskWatch RiskWatch,. riskwatch:
RiskWatch ֆիզիկական անվտանգության համար - ; RiskWatch տեղեկատվական համակարգերի համար - ; HIPAA-WATCH առողջապահական արդյունաբերության համար - HIPAA (ԱՄՆ Առողջապահության ապահովագրության տեղափոխելիության և հաշվետվողականության ակտ), ; RiskWatch RW17799 ISO 17799 - ISO 17799-ի համար:
RiskWatch (տարեկան կորստի ակնկալիք, ALE) (Ներդրումների վերադարձ, ROI): RiskWatch. RiskWatch, . - . , (), . , (" ", "/" ..), . , (. 4.6). , :
; ; (,); (, ..); ; (,); .
600 . . , . (LAFE SAFE), . .
4.6. - . , . , . , . , $150000, 0.01, $1500. (m=p*v, m - , p - , v -) , RiskWatch NIST , LAFE SAFE: LAFE (Տեղական տարեկան հաճախականության գնահատում) - , (,). SAFE (Ստանդարտ տարեկան հաճախականության գնահատում) - , " " (,): ,
, . (4.1) (4.2) ALE: (4.1) :
Ակտիվների արժեքը - (, ..); ազդեցության գործոն - - , () , ; հաճախականություն - ; ԱԼԵ-.
, . " " (Տարեկան դրսևորման տոկոսադրույքը - ARO) " " (Single Loss Expectancy - SLE), (,): , - (4.2) (4.2) ":", . . RiskWatch LAFE SAFE, . ROI (Ներդրումների վերադարձը -), . : (4.3)
Costsj-j-; Բենեֆիցի - (..), ; NPV (զուտ ներկա արժեք) - .
12. . . ROI (-. 4.7). .
4.7. ROI, . , .
Microsoft-ը։
, , :1. . . 2. . . 3. . .
. . . (. *8] , -). .
, . (,). , (,). -. - . , . , :1. () - , . , . 2. () - , . , . , . 3. () - , . ,
. . . . . .
. . . - . . .
(. 4.8). (Excel) Microsoft. , . (-,).
4.10 .
. ; . ; . .
(" ") , :
; : , ; : .
4.13. - . 4.14. .
4.14. . , . , 100 20%, . ,
: , . . 4.15 .
4.15. " ", . - . . . . 1 5. , . 4.16, (. 4.17). , .
4.17. . 4.18 . .
4.20. . , - ": 5, : 1", - ": 5, : 5".
4.20. (SRMGTool3)
. (1 10) (0 10). 0 100. "", "" "" , . 4.21
. . (մեկ կորստի ակնկալվող ժամկետ - SLE): (տարեկան առաջացման ցուցանիշը - ARO): (տարեկան կորստի ակնկալվող տեւողությունը - ALE):
. . . . . . . . .
. , . , . . . , . , (- () քսան%)։ . (SLE): . 4.22.
4.23. ()
(ARO): ԱՐՈ. 4.24
(ALE) SLE ARO .
ALE. , . , - .
(, ..); (,) ; ; , ; , .
