Investicijų į verslo informacijos saugumą (IS) poreikis nekelia jokių abejonių. Norėdami patvirtinti verslo saugumo užtikrinimo užduoties aktualumą, pasinaudosime FTB ataskaita, paskelbta remiantis Amerikos įmonių (vidutinio ir didelio verslo) apklausa. Incidentų IT saugumo srityje statistika negailestinga. FTB duomenimis, šiais metais buvo užpulta 56% apklaustų įmonių (1 pav.).
Tačiau kaip įvertinti investicijų į informacijos saugumą lygį, kuris užtikrins maksimalų investuotų lėšų efektyvumą? Norėdami išspręsti šią problemą, yra tik vienas būdas - naudoti rizikos analizės sistemas, leidžiančias įvertinti sistemoje egzistuojančią riziką ir pasirinkti optimaliausią efektyvumo požiūriu apsaugos variantą (pagal sistemoje egzistuojančios rizikos ir sąnaudų santykį) informacijos saugumo).
Investicijų pagrindimas
Remiantis statistika, rimčiausios kliūtys imtis bet kokių priemonių, užtikrinančių informacijos saugumą įmonėje, yra susijusios su dviem priežastimis: biudžeto apribojimais ir vadovybės paramos stoka.
Abi šios priežastys kyla iš vadovybės nesupratimo apie problemos rimtumą ir IT vadovo nesugebėjimo pagrįsti, kodėl investuoti į informacijos saugumą. Dažnai manoma, kad pagrindinė problema slypi tame, kad IT vadovai ir vadovai kalba skirtingomis kalbomis- techninėmis ir finansinėmis, tačiau juk ir patiems IT specialistams dažnai sunku įvertinti, kam ir kiek išleisti pinigų reikalingos įmonės sistemos saugumui pagerinti, kad šios išlaidos nebūtų švaistomos ar per didelės.
Jei IT vadovas aiškiai supranta, kiek pinigų įmonė gali prarasti iškilus grėsmei, kokios sistemos vietos yra labiausiai pažeidžiamos, kokių priemonių galima imtis siekiant padidinti saugumo lygį neišleidžiant papildomų pinigų, ir visa tai dokumentuojama, tada jo sprendimų užduotys - įtikinti vadovybę atkreipti dėmesį ir skirti lėšų informacijos saugumui - tampa daug realesnės.
Siekiant išspręsti tokio pobūdžio problemas, buvo sukurti specialūs metodai ir programinės įrangos sistemos, skirtos jomis pagrįstai informacijos rizikai analizuoti ir valdyti. Mes apsvarstysime britų kompanijos „Insight Consulting“ (http://www.insight.co.uk) CRAMM sistemą, to paties pavadinimo bendrovės „American RiskWatch“ (http://www.riskwatch.com) ir Rusijos GRIF skaitmeninio saugumo paketas (http: // www .dsec.ru). Jų lyginamosios charakteristikos pateiktos lentelėje.
Rizikos analizės priemonių lyginamoji analizė
| Palyginimo kriterijai | CRAMM | Rizikos laikrodis | GRIF 2005 skaitmeninio saugumo biuras |
| Palaikymas | Jeigu | Jeigu | Jeigu |
| Naudojimo paprastumas vartotojui | Reikalingas specialus mokymas ir aukšta auditoriaus kvalifikacija | Sąsaja skirta IT vadovams ir vadovams; nereikalauja specialių žinių informacijos saugumo srityje | |
| Vienos darbo vietos licencijos kaina, USD | Nuo 2000 iki 5000 | Nuo 10 000 | Nuo 1000 |
| Sistemos reikalavimai |
OS Windows 98 / Me / NT / 2000 / XP Minimalūs reikalavimai: |
Windows 2000 / XP Laisvos vietos diske įdiegti 30 MB „Intel Pentium“ procesorius arba suderinamas, 256 MB atmintis |
Windows 2000 / XP Minimalūs reikalavimai: |
| Funkcionalumas |
Įvesties duomenys:
Pranešimo parinktys:
|
Įvesties duomenys:
Pranešimo parinktys:
|
Įvesties duomenys:
Pranešimo sudėtis:
|
| Kiekybinis / kokybinis metodas | Kokybinis vertinimas | Kiekybinis nustatymas | Kokybinis ir kiekybinis įvertinimas |
| Tinklo sprendimas | Nėra | Nėra | „Enterprise Edition Digital Security Office 2005“ |
CRAMM
CRAMM metodą (CCTA Risk Analysis and Management Method) sukūrė Didžiosios Britanijos centrinė kompiuterių ir telekomunikacijų agentūra (Centrinė kompiuterių ir telekomunikacijų agentūra) Jungtinės Karalystės vyriausybės nurodymu ir jis buvo priimtas kaip valstybės standartas. Nuo 1985 m. Jį naudoja vyriausybinės ir komercinės organizacijos Jungtinėje Karalystėje. Per tą laiką CRAMM išpopuliarėjo visame pasaulyje. „Insight Consulting“ kuria ir prižiūri programinės įrangos produktą, įgyvendinantį CRAMM metodą.
CRAMM metodą (http://www.cramm.com) neatsitiktinai pasirenkame išsamesniam svarstymui. Šiuo metu CRAMM yra gana galinga ir universali priemonė, leidžianti ne tik analizuoti riziką, bet ir atlikti daugybę kitų audito užduočių, įskaitant:
- IS tyrimas ir lydinčių dokumentų išleidimas visuose jų įgyvendinimo etapuose;
- auditas pagal Britanijos vyriausybės reikalavimus, taip pat BS 7799: 1995 Informacijos saugumo valdymo praktikos kodeksas;
- saugumo politikos ir veiklos tęstinumo plano rengimas.
CRAMM metodas pagrįstas integruotu rizikos vertinimo požiūriu, derinant kiekybinius ir kokybinius analizės metodus. Metodas yra universalus ir tinka tiek didelėms, tiek mažoms organizacijoms tiek vyriausybiniame, tiek komerciniame sektoriuose. Įvairių tipų organizacijoms skirtos CRAMM programinės įrangos versijos skiriasi viena nuo kitos žinių baze (profiliais): yra komercinis organizacijų komercinis profilis, o vyriausybinėms organizacijoms - vyriausybės profilis. Vyriausybinė profilio versija taip pat leidžia patikrinti, ar laikomasi Amerikos standarto ITSEC („Oranžinė knyga“) reikalavimų. CRAMM tyrimo koncepcinė schema parodyta fig. 2.
Tinkamai naudojant CRAMM metodą, galima pasiekti labai gerų rezultatų, iš kurių, ko gero, svarbiausia yra galimybė ekonomiškai pagrįsti organizacijos išlaidas, užtikrinančias informacijos saugumą ir veiklos tęstinumą. Ekonomiškai pagrįsta rizikos valdymo strategija galiausiai leidžia sutaupyti pinigų ir išvengti nereikalingų išlaidų.
CRAMM apima visos procedūros padalijimą į tris nuoseklius etapus. Pirmojo etapo užduotis - atsakyti į klausimą: „Ar pakanka apsaugoti sistemą naudojant bazinio lygio įrankius, įgyvendinančius tradicines saugos funkcijas, ar būtina atlikti išsamesnę analizę?“. Antrame etape nustatomos rizikos ir įvertinamas jų dydis. Trečiajame etape sprendžiamas tinkamų atsakomųjų priemonių pasirinkimo klausimas.
Kiekvieno etapo CRAMM metodika apibrėžia pradinių duomenų rinkinį, veiksmų seką, apklausų anketas, kontrolinius sąrašus ir ataskaitų dokumentų rinkinį.
Pirmajame tyrimo etape atliekamas saugomų išteklių vertės nustatymas ir nustatymas. Vertinimas atliekamas dešimties balų skalėje ir gali būti keli vertinimo kriterijai - finansiniai nuostoliai, žala reputacijai ir pan. CRAMM aprašuose pateikiamas šios vertinimo skalės pavyzdys pagal kriterijų „Finansiniai nuostoliai, susiję su išteklių atkūrimas “:
- 2 taškai - mažiau nei 1000 USD;
- 6 taškai - nuo 1 000 iki 10 000 USD;
- 8 balai - nuo 10 000 iki 100 000 USD;
- 10 taškų - daugiau nei 100 000 USD
Jei visų naudojamų kriterijų balas yra žemas (3 taškai ir žemiau), laikoma, kad nagrinėjamai sistemai pakanka bazinio apsaugos lygio (šis lygis nereikalauja išsamaus informacijos saugumo grėsmių įvertinimo), o antrasis tyrimo etapas praleidžiamas.
Antrame etape nustatomos ir įvertinamos grėsmės informacijos saugumo srityje, atliekama saugomos sistemos pažeidžiamumų paieška ir įvertinimas. Grėsmės lygis vertinamas pagal šią skalę: labai didelis, aukštas, vidutinis, žemas, labai žemas. Pažeidžiamumas yra aukštas, vidutinis arba mažas. Remiantis šia informacija, rizikos lygio įvertinimas apskaičiuojamas septynių balų skalėje (3 pav.).
Trečiajame etape CRAMM sukuria alternatyvių priemonių, skirtų nustatyti rizikai, variantus. Produktas siūlo šių tipų rekomendacijas:
- bendros rekomendacijos;
- konkrečios rekomendacijos;
- pavyzdžiai, kaip šioje situacijoje galite organizuoti apsaugą.
CRAMM turi plačią duomenų bazę, kurioje yra apie 1000 įvairių kompiuterinių sistemų saugumo posistemių įgyvendinimo pavyzdžių. Šie aprašymai gali būti naudojami kaip šablonai.
Sprendimą įdiegti naujus apsaugos mechanizmus sistemoje ir modifikuoti senus priima organizacijos vadovybė, atsižvelgdama į susijusias išlaidas, jų priimtinumą ir galutinę naudą verslui. Auditoriaus užduotis yra pagrįsti rekomenduojamus organizacijos valdymo veiksmus.
Jei nuspręsta įvesti naujas atsakomąsias priemones ir pakeisti senas, auditoriui gali būti pavesta parengti įgyvendinimo planą ir įvertinti šių priemonių naudojimo veiksmingumą. Šių problemų sprendimas yra už CRAMM metodo ribų.
CRAMM metodo trūkumai yra šie:
- metodas reikalauja specialaus auditoriaus mokymo ir aukštos kvalifikacijos;
- auditas naudojant CRAMM metodą yra gana daug darbo reikalaujantis procesas ir jam gali prireikti mėnesių nepertraukiamo auditoriaus darbo;
- CRAMM yra daug labiau tinkamas jau esamų IS, kurios buvo pradėtos eksploatuoti, auditui, o ne IS, kurios yra kuriamos;
- CRAMM programinės įrangos priemonių rinkinys sukuria daug popierinės dokumentacijos, kuri ne visada naudinga praktikoje;
- CRAMM neleidžia jums kurti savo ataskaitų šablonų ar keisti esamų;
- vartotojams nėra galimybės papildyti CRAMM žinių bazę, o tai sukelia tam tikrų sunkumų pritaikant šį metodą konkrečios organizacijos poreikiams;
- CRAMM programinė įranga nėra lokalizuota, egzistuoja tik anglų kalba;
- didelė licencijos kaina - nuo 2 000 iki 5 000 USD
Rizikos laikrodis
„RiskWatch“ programinė įranga yra galingas rizikos analizės ir valdymo įrankis. „RiskWatch“ šeima apima programinės įrangos produktus, skirtus įvairių tipų saugumo auditams. Tai apima šias audito ir rizikos analizės priemones:
- „RiskWatch for Physical Security“ - fiziniai IP apsaugos metodai;
- „RiskWatch for Information Systems“ - informacijos rizikai;
- HIPAA -WATCH for Healthcare Industry - įvertinti, ar laikomasi HIPAA standarto (JAV sveikatos priežiūros draudimo perkeliamumo ir atskaitomybės įstatymo) reikalavimų;
- RiskWatch RW17799, skirtas ISO 17799 - įvertinti atitiktį ISO 17799.
RiskWatch metodas naudoja metinę nuostolių prognozę (ALE) ir investicijų grąžą (IG) kaip rizikos vertinimo ir valdymo kriterijus.
Programinės įrangos produktų grupė „RiskWatch“ turi daug privalumų. „RiskWatch“ padeda atlikti rizikos analizę ir pagrįstai pasirinkti priemones bei priemones. Priešingai nei CRAMM, „RiskWatch“ labiau orientuojasi į tai, kaip tiksliai nustatyti nuostolių, kylančių dėl grėsmių saugumui, ir apsaugos sistemos sukūrimo išlaidų santykį. Taip pat reikėtų pažymėti, kad šiame gaminyje informacija apie riziką ir įmonės kompiuterių tinklo fizinis saugumas yra vertinami kartu.
„RiskWatch“ produktas yra pagrįstas rizikos analizės metodika, kurią galima suskirstyti į keturis etapus.
Pirmasis etapas yra tyrimo objekto apibrėžimas. Jame aprašomi tokie parametrai kaip organizacijos tipas, tiriamos sistemos sudėtis (apskritai), pagrindiniai reikalavimai saugumo srityje. Siekiant palengvinti analitiko darbą naudojant šablonus, atitinkančius organizacijos tipą („komercinės informacijos sistema“, „valstybės / karinė informacinė sistema“ ir kt.), Yra saugomų išteklių, nuostolių, grėsmių, pažeidžiamumų ir apsaugos priemonių kategorijų sąrašai. Iš jų turite pasirinkti tuos, kurie iš tikrųjų yra organizacijoje.
Pavyzdžiui, nuostoliams numatytos šios kategorijos:
- vėlavimas ir atsisakymas teikti paslaugas;
- informacijos atskleidimas;
- tiesioginiai nuostoliai (pavyzdžiui, gaisro metu sunaikinus įrangą);
- gyvybė ir sveikata (personalas, klientai ir kt.);
- duomenų keitimas;
- netiesioginiai nuostoliai (pavyzdžiui, restauravimo išlaidos);
- reputaciją.
Antrasis etapas yra duomenų, apibūdinančių specifines sistemos charakteristikas, įvedimas. Jie gali būti įvesti rankiniu būdu arba importuoti iš ataskaitų, sukurtų naudojant kompiuterių tinklo pažeidžiamumo tyrimo įrankius.
Šiame etape išsamiai aprašomi ištekliai, nuostoliai ir incidentų klasės. Įvykių klasės gaunamos derinant nuostolių kategoriją ir išteklių kategoriją.
Norint nustatyti galimus pažeidžiamumus, naudojamas klausimynas, kurio duomenų bazėje yra daugiau nei 600 klausimų. Klausimai yra susiję su išteklių kategorijomis. Nustatomas kiekvienos pasirinktos grėsmės atsiradimo dažnis, pažeidžiamumo laipsnis ir išteklių vertė. Visa tai naudojama ateityje apskaičiuojant apsaugos priemonių įvedimo poveikį.
Trečias ir turbūt svarbiausias etapas yra kiekybinis vertinimas. Šiame etape apskaičiuojamas rizikos profilis ir parenkamos saugumo priemonės. Pirma, nustatomi ryšiai tarp išteklių, nuostolių, grėsmių ir pažeidžiamumų, nustatytų ankstesniuose tyrimo etapuose (rizika apibūdinama derinant šiuos keturis parametrus).
Tiesą sakant, rizika apskaičiuojama naudojant matematinį lūkesčių nuostolį per metus. Pvz., Jei serverio kaina yra 150 000 USD, o tikimybė, kad per metus jis bus sunaikintas gaisro, yra 0,01, tikėtini nuostoliai yra 1500 USD.
Gerai žinoma formulė m = pxv, kur m yra matematiniai lūkesčiai, p-grėsmės tikimybė, v-išteklių kaina, buvo šiek tiek pakeista dėl to, kad „RiskWatch“ naudoja Amerikos instituto nustatytus įvertinimus. Standartai NIST, vadinami LAFE ir SAFE. LAFE (Local Annual Frequency Estimate) parodo, kiek kartų per metus vidutiniškai tam tikra grėsmė yra realizuojama tam tikroje vietoje (pavyzdžiui, mieste). SAFE (standartinis metinis dažnio įvertinimas) rodo, kiek kartų per metus vidutiniškai kyla grėsmė šioje „pasaulio dalyje“ (pavyzdžiui, Šiaurės Amerikoje). Taip pat įvestas korekcijos koeficientas, leidžiantis atsižvelgti į tai, kad įgyvendinus grėsmę saugomas išteklius gali būti visiškai nesunaikintas, o tik iš dalies.
Be to, svarstomi „kas būtų, jei ...“ scenarijai, leidžiantys aprašyti panašias situacijas, jei yra numatytos apsaugos priemonės. Lyginant numatomus nuostolius su apsaugos priemonėmis ir be jų, galima įvertinti tokių priemonių poveikį.
„RiskWatch“ apima duomenų bazes su LAFE ir SAFE reitingais, taip pat apibendrintus įvairių tipų apsaugos produktų aprašymus.
Investicijų grąža (IG), kuri matuoja investicijų grąžą per tam tikrą laikotarpį, kiekybiškai įvertina saugumo priemonių poveikį. Šis rodiklis apskaičiuojamas pagal formulę:
kur Costsi yra i-osios apsaugos priemonės įgyvendinimo ir palaikymo kaina; Benefitsi - naudos (tikėtino nuostolių sumažėjimo), kurią duoda šios apsaugos priemonės įgyvendinimas, įvertinimas; NVP (dabartinė grynoji vertė) prisitaiko prie infliacijos.
Ketvirtasis etapas - ataskaitų generavimas. Galimos šių tipų ataskaitos:
- trumpa santrauka;
- išsamios ir suvestinės 1 ir 2 etapuose aprašytų elementų ataskaitos;
- ataskaita apie saugomų išteklių kainą ir numatomus nuostolius dėl grėsmių įgyvendinimo;
- pranešimas apie grėsmes ir atsakomąsias priemones;
- ROI ataskaita;
- saugumo audito ataskaita.
Įvairių apsaugos priemonių IG apskaičiavimo pavyzdys pateiktas Fig. 5.
Taigi „RiskWatch“ leidžia įvertinti ne tik įmonėje šiuo metu egzistuojančią riziką, bet ir naudą, kurią gali duoti fizinių, techninių, programinės įrangos ir kitų apsaugos priemonių bei mechanizmų diegimas. Paruoštose ataskaitose ir grafikuose pateikiama pakankamai medžiagos, kad būtų galima priimti sprendimus dėl įmonės saugumo sistemos pakeitimo.
Vidaus vartotojams problema yra ta, kad yra gana problematiška gauti „RiskWatch“ naudojamus įvertinimus (pvz., LAFE ir SAFE) mūsų sąlygoms. Nors pati metodika gali būti sėkmingai taikoma mūsų šalyje.
Apibendrindami pažymime, kad renkantis konkrečią įmonės rizikos analizės metodiką ir ją palaikančias priemones reikėtų atsakyti į klausimą: ar būtina tiksliai kiekybiškai įvertinti grėsmių įgyvendinimo pasekmes, ar pakanka kokybinio įvertinimo. Taip pat būtina atsižvelgti į šiuos veiksnius: ekspertų, galinčių patikimai apskaičiuoti nuostolius, kylančius dėl grėsmių informacijos saugumui, buvimą ir patikimos statistikos apie incidentus informacijos saugumo srityje statistiką įmonėje. .
„RiskWatch“ trūkumai yra šie:
- šis metodas tinka, jei reikia atlikti rizikos analizę programinės ir techninės apsaugos lygmeniu, neatsižvelgiant į organizacinius ir administracinius veiksnius;
- gauti rizikos vertinimai (matematinis nuostolių tikėjimasis) neišsemia rizikos suvokimo sisteminiu požiūriu - metodas neatsižvelgia į integruotą požiūrį į informacijos saugumą;
- „RiskWatch“ programinė įranga prieinama tik anglų kalba;
- didelės licencijos išlaidos - nuo 10 000 USD už vietą mažai įmonei.
Kaklas
GRIF yra išsami sistema, skirta analizuoti ir valdyti įmonės informacinės sistemos riziką. GRIF 2005 iš Skaitmeninio saugumo biuro (http://www.dsec.ru/products/grif/) suteikia informacijos apie sistemos išteklių saugumą sistemoje ir leidžia pasirinkti optimalią įmonės informacijos apsaugos strategiją.
GRIF sistema analizuoja išteklių apsaugos lygį, įvertina galimą žalą dėl IS grėsmių įgyvendinimo ir padeda valdyti riziką pasirenkant atsakomąsias priemones.
IS rizikos analizė atliekama dviem būdais: naudojant informacijos srautų modelį arba grėsmių ir pažeidžiamumų modelį, atsižvelgiant į tai, kokius pradinius duomenis turi vartotojas, taip pat nuo to, kokie duomenys jį domina išvestyje.
Informacijos srauto modelis
Dirbant su informacijos srautų modeliu, į sistemą įvedama visa informacija apie visus išteklius su vertinga informacija, vartotojai, turintys prieigą prie šių išteklių, tipų ir prieigos teisių. Įrašomi duomenys apie visas kiekvieno išteklio apsaugos priemones, išteklių tinklų sujungimus, įmonės saugumo politikos ypatybes. Rezultatas - pilnas informacinės sistemos modelis.
Pirmajame darbo su programa etape vartotojas įveda visus savo informacinės sistemos objektus: skyrius, išteklius (konkretūs šio modelio objektai apima tinklo grupes, tinklo įrenginius, informacijos rūšis, vartotojų grupes, verslo procesus).
Tada vartotojas turi priskirti nuorodas, tai yra nustatyti, kuriems skyriams ir tinklo grupėms priklauso ištekliai, kokia informacija yra saugoma šaltinyje ir kuri vartotojų grupė turi prieigą prie jo. Vartotojas taip pat nurodo išteklių ir informacijos apsaugos priemones.
Paskutiniame etape vartotojas atsako į klausimų, susijusių su sistemoje įgyvendinama saugumo politika, sąrašą, kuris leidžia įvertinti tikrąjį sistemos saugumo lygį ir detalizuoti rizikos vertinimus.
Informacijos apsaugos priemonių buvimas, pastebėtas pirmajame etape, savaime dar neužtikrina sistemos saugumo, jei jos netinkamai naudojamos ir nėra išsamios saugumo politikos, kurioje būtų atsižvelgiama į visus informacijos apsaugos aspektus, įskaitant apsauga, fizinis saugumas, personalo saugumas, veiklos tęstinumas ir kt.
Atliekant visus veiksmus šiuose etapuose, informacijos saugumo požiūriu išvestyje suformuojamas visas informacinės sistemos modelis, atsižvelgiant į faktinį integruotos saugumo politikos reikalavimų įvykdymą, kuris leidžia jums tęsti programinę įvestų duomenų analizę, kad būtų atliktas išsamus rizikos įvertinimas ir parengta galutinė ataskaita.
Grėsmių ir pažeidžiamumo modelis
Darbas su grėsmių ir pažeidžiamumo analizės modeliu apima kiekvieno šaltinio, turinčio vertingos informacijos, pažeidžiamumų nustatymą ir atitinkamas grėsmes, kurios gali būti realizuotos naudojant šiuos pažeidžiamumus. Rezultatas yra išsamus informacinės sistemos trūkumų ir žalos, kurią galima padaryti, vaizdas.
Pirmajame darbo su produktu etape vartotojas į sistemą įveda savo IS objektus: skyrius, išteklius (konkretūs šio modelio objektai apima grėsmes informacinei sistemai ir pažeidžiamumus, per kuriuos įgyvendinamos grėsmės).
„GRIF 2005“ apima platų integruotą grėsmių ir pažeidžiamumų katalogą, kuriame yra apie 100 grėsmių ir 200 pažeidžiamumų. Kad šie katalogai būtų maksimaliai išsamūs ir universalūs, skaitmeninio saugumo ekspertai sukūrė specialią grėsmių klasifikaciją DSECCT, kuri įgyvendina ilgametę praktinę patirtį informacijos saugumo srityje. Naudodamasis šiais katalogais vartotojas gali pasirinkti grėsmes ir pažeidžiamumus, susijusius su jo informacine sistema.
GRIF 2005 sistemos algoritmas analizuoja sukurtą modelį ir sukuria ataskaitą, kurioje yra kiekvieno ištekliaus rizikos vertės. Ataskaitos konfigūracija gali būti beveik bet kokia, o tai leidžia sukurti tiek suvestines ataskaitas valdymui, tiek išsamias ataskaitas tolesniam darbui su rezultatais (6 pav.).
 |
| Ryžiai. 6. Ataskaitos pavyzdys sistemoje GRIF 2005. |
GRIF 2005 sistemoje yra rizikos valdymo modulis, leidžiantis išanalizuoti visas priežastis, dėl kurių algoritmu apdorojus įvestus duomenis, gaunama būtent ši rizikos vertė. Taigi, žinant priežastis, galima gauti duomenų, reikalingų atsakomosioms priemonėms įgyvendinti ir atitinkamai sumažinti rizikos lygį. Apskaičiavę kiekvienos galimos atsakomosios priemonės efektyvumą ir nustatę likutinės rizikos vertę, galite pasirinkti atsakomąsias priemones, kurios sumažins riziką iki reikiamo lygio.
Dirbant su GRIF sistema, sudaroma išsami ataskaita apie kiekvieno vertingo įmonės informacinės sistemos ištekliaus rizikos lygį, nurodomos visos rizikos priežastys, pateikiama išsami pažeidžiamumo analizė ir ekonominis visų galimų atsakomųjų priemonių veiksmingumą.
***
Geriausia pasaulio praktika ir pirmaujantys tarptautiniai standartai informacijos saugumo srityje, ypač ISO 17799, reikalauja įdiegti rizikos analizės ir valdymo sistemą, skirtą veiksmingam informacinės sistemos saugumo valdymui. Tokiu atveju galite naudoti bet kokias patogias priemones, tačiau svarbiausia visada aiškiai suprasti, kad informacijos saugumo sistema buvo sukurta remiantis informacijos rizikos analize, patikrinta ir pagrįsta. Informacijos rizikos analizė ir valdymas yra pagrindinis veiksnys kuriant veiksmingą informacinės sistemos apsaugą.
Nacionalinis atviras universitetas „INTUIT“: www.intuit.ru Sergejus Nesterovas Paskaita 4. Rizikos vertinimo metodai ir programinės įrangos produktai
Žemiau pateikiami trumpi daugelio įprastų rizikos analizės metodų aprašymai. Juos galima suskirstyti į:
metodikos, kuriose naudojamas kokybinis rizikos vertinimas (pavyzdžiui, skalėje „didelis“, „vidutinis“, „mažas“). Šie metodai visų pirma apima FRAP;
kiekybiniai metodai (rizika vertinama pagal skaitinę vertę, pavyzdžiui, numatomų metinių nuostolių suma). Į šią klasę įeina „RiskWatch“ technika;
metodai, naudojant mišrius įvertinimus (šis metodas naudojamas CRAMM, metodologijoje
„Microsoft“ ir kt.).
CRAMM metodika
Tai vienas iš pirmųjų rizikos analizės metodų informacijos saugumo srityje, darbas prie jo pradėtas 80-ųjų viduryje. Centrinė kompiuterių ir telekomunikacijų agentūra (CCTA) JK.
CRAMM metodas pagrįstas integruotu rizikos vertinimo požiūriu, derinant kiekybinius ir kokybinius analizės metodus. Metodas yra universalus ir tinka tiek didelėms, tiek mažoms organizacijoms, tiek vyriausybiniams, tiek komerciniams sektoriams. Įvairių tipų organizacijoms skirtos CRAMM programinės įrangos versijos skiriasi savo žinių baze (profiliais). Yra komercinis profilis komercinėms organizacijoms ir vyriausybės profilis vyriausybinėms organizacijoms. Vyriausybinė profilio versija taip pat leidžia patikrinti, ar laikomasi Amerikos standarto ITSEC („Oranžinė knyga“) reikalavimų.
Informacijos saugumo sistemos, naudojant CRAMM, tyrimas atliekamas trimis etapais.
Pirmajame etape analizuojama viskas, kas susiję su sistemos išteklių vertės nustatymu ir nustatymu. Jis pradedamas sprendžiant tiriamos sistemos ribų nustatymo problemą: renkama informacija apie sistemos konfigūraciją ir apie tai, kas atsakingas už fizinius ir programinius išteklius, kas yra sistemos vartotojai, kaip jie ją naudoja ar ketina panaudok tai.
Atpažįstami ištekliai: fizinė, programinė įranga ir informacija, esanti sistemos ribose. Kiekvienas išteklius turi būti priskirtas vienai iš iš anksto nustatytų klasių. Tada iš informacijos saugumo pozicijos sukuriamas informacinės sistemos modelis. Kiekvienam informacijos procesui, kuris, vartotojo nuomone, turi nepriklausomą reikšmę ir yra vadinamas vartotojo paslauga, sukuriamas naudojamų išteklių nuorodų medis. Sukurtas modelis leidžia išryškinti svarbiausius elementus.
Fizinių išteklių vertę CRAMM lemia jų atstatymo išlaidos sunaikinimo atveju.
Duomenų ir programinės įrangos vertė nustatoma tokiose situacijose: išteklių nepasiekimas tam tikrą laiką;
išteklių sunaikinimas, nuo paskutinės atsarginės kopijos gautos informacijos praradimas arba visiškas sunaikinimas;
konfidencialumo pažeidimas tais atvejais, kai darbuotojai ar neleistini asmenys turi neteisėtą prieigą;
modifikavimas svarstomas dėl nedidelių personalo klaidų (įvesties klaidų), programos klaidų, sąmoningų klaidų;
klaidos, susijusios su informacijos perdavimu: atsisakymas pristatyti, informacijos nepateikimas, pristatymas netinkamu adresu.
galiojančių teisės aktų pažeidimas; žala darbuotojų sveikatai;
žala, susijusi su asmenų asmens duomenų atskleidimu;
finansiniai nuostoliai dėl informacijos atskleidimo; finansiniai nuostoliai, susiję su išteklių atkūrimu;
nuostoliai, susiję su nesugebėjimu vykdyti įsipareigojimų; veiklos neorganizavimas.
Duomenims ir programinei įrangai parenkami tam tikram IS taikomi kriterijai, o žala vertinama skalėje, kurios vertės yra nuo 1 iki 10.
CRAMM aprašymuose, pavyzdžiui, tokia reitingų skalė pateikiama pagal kriterijų „Finansiniai nuostoliai, susiję su išteklių atkūrimu“:
2 taškai mažiau nei 1000 USD;
6 taškai nuo 1000 iki 10 000 USD;
8 taškai nuo 10 000 iki 100 000 USD; 10 taškų virš 100 000 USD.
Jei visų naudojamų kriterijų balas yra žemas (3 balai ir žemiau), laikoma, kad nagrinėjama sistema reikalauja pagrindinio apsaugos lygio (šis lygis nereikalauja išsamaus informacijos saugumo grėsmių įvertinimo) ir antrasis etapas. tyrimas praleistas.
Antrame etape nagrinėjama viskas, kas susiję su išteklių grupių grėsmių lygių ir jų pažeidžiamumų nustatymu ir įvertinimu. Etapo pabaigoje klientas gauna nustatytą ir įvertintą savo sistemos rizikos lygį. Šiame etape vertinama vartotojų paslaugų priklausomybė nuo tam tikrų išteklių grupių ir esamas grėsmių bei pažeidžiamumų lygis, apskaičiuojami rizikos lygiai ir analizuojami rezultatai.
Ištekliai sugrupuoti pagal grėsmės ir pažeidžiamumo tipą. Pavyzdžiui, jei kyla grėsmė gaisrui ar vagystei, kaip išteklių grupei, pagrįsta apsvarstyti visus išteklius, esančius vienoje vietoje (serverio patalpoje, ryšio kambaryje ir pan.). Grėsmių ir pažeidžiamumo lygių įvertinimas grindžiamas netiesioginių veiksnių tyrimu.
CRAMM programinė įranga sukuria nedviprasmiškų klausimų sąrašą kiekvienai išteklių grupei ir kiekvienam iš 36 grėsmių tipų. Grėsmių lygis, atsižvelgiant į atsakymus, vertinamas kaip labai didelis, didelis, vidutinis, žemas ir labai žemas. Atsižvelgiant į atsakymus, pažeidžiamumo lygis vertinamas kaip aukštas, vidutinis ir žemas.
Remiantis šia informacija, rizikos lygiai apskaičiuojami atskiroje skalėje nuo 1 iki 7. Gautas grėsmių, pažeidžiamumo ir rizikos lygis yra analizuojamas ir suderinamas su klientu.
CRAMM integruoja grėsmes ir pažeidžiamumą į rizikos matricą. Apsvarstykite, kaip gaunama ši matrica ir ką reiškia kiekvienas rizikos lygis.
Pagrindinis šios problemos sprendimo būdas yra apsvarstyti: grėsmės lygį (skalė parodyta 4.1 lentelėje);
pažeidžiamumo lygis (skalė parodyta 4.2 lentelėje);
numatomų finansinių nuostolių dydžio (pavyzdys 4.1 pav.).
4.1 lentelė. Grėsmės lygio vertinimo skalė (atsiradimo dažnis).
apibūdinimas |
Reikšmė |
incidentas įvyksta vidutiniškai, ne dažniau kaip kas 10 metų labai mažai |
|
incidentas įvyksta vidutiniškai kartą per 3 metus |
|
incidentas įvyksta vidutiniškai kartą per metus |
|
incidentas įvyksta vidutiniškai kartą per keturis mėnesius |
|
incidentas įvyksta vidutiniškai kartą per mėnesį |
labai aukštas |
4.2 lentelė. Pažeidžiamumo vertinimo skalė (sėkmės tikimybė |
|
grėsmės įgyvendinimas). |
|
apibūdinimas |
Reikšmė |
Įvykio atveju įvykių išsivystymo tikimybė yra maža
Remiantis saugomų intelektinės nuosavybės išteklių išlaidų sąmatomis, grėsmių ir pažeidžiamumų įvertinimais, nustatomi „numatomi metiniai nuostoliai“. Fig. 4.1 yra matricos, skirtos numatomiems nuostoliams įvertinti, pavyzdys. Jame, antrame stulpelyje iš kairės yra išteklių sąnaudų vertės, viršutinėje lentelės antraštės eilutėje yra apskaičiuotas grėsmės atsiradimo dažnis per metus (grėsmės lygis), apatinėje eilutėje antraštės yra grėsmės sėkmės tikimybės įvertinimas (pažeidžiamumo lygis).
Ryžiai. 4.1. Numatoma metinė nuostolių matrica
Tikėtinų metinių nuostolių (angl. English Loss of Expectancy) vertės CRAMM konvertuojamos į taškus, rodančius rizikos lygį, pagal skalę, parodytą fig. 4.2 (šiame pavyzdyje nuostoliai pateikiami svarais sterlingų).
Ryžiai. 4.2. Rizikos vertinimo skalė
Remiantis toliau pateikta matrica, gaunamas rizikos įvertinimas (4.3 pav.)
Ryžiai. 4.3. Rizikos vertinimo matrica
Trečiasis tyrimo etapas - surasti tinkamas atsakomąsias priemones. Iš esmės tai yra apsaugos sistemos varianto, geriausiai atitinkančio kliento reikalavimus, paieška.
Šiame etape CRAMM sukuria keletą atsakomųjų priemonių, kurios atitinka nustatytą riziką ir jos lygį. Atsakomąsias priemones galima suskirstyti į tris kategorijas: apie 300 bendrųjų rekomendacijų; daugiau nei 1000 konkrečių rekomendacijų; apie 900 pavyzdžių, kaip galite organizuoti apsaugą tam tikroje situacijoje.
Taigi CRAMM yra skaičiavimo metodikos pavyzdys, kai pirminiai vertinimai pateikiami kokybiniu lygiu, o tada pereinama prie kiekybinio įvertinimo (taškais).
FRAP technika
„Peltier and Associates“ supaprastintas rizikos analizės procesas (FRAP). http://www.peltierassociates.com/) sukūrė Thomas R. Peltier ir
paskelbta (šios knygos fragmentai yra svetainėje, žemiau pateiktas aprašymas yra pagrįstas jų pagrindu). Metodikoje IS IS teikimą siūloma apsvarstyti atsižvelgiant į rizikos valdymo procesą. Rizikos valdymas informacijos saugumo srityje yra procesas, leidžiantis įmonėms rasti pusiausvyrą tarp lėšų sąnaudų ir pastangų, susijusių su apsaugos priemonėmis, ir dėl to kylančio poveikio.
Rizikos valdymas turėtų prasidėti nuo rizikos įvertinimo: tinkamai dokumentuoti vertinimo rezultatai bus pagrindas sprendimams gerinti sistemos saugumą.
Užbaigus vertinimą, atliekama sąnaudų ir naudos analizė, leidžianti nustatyti priemones, kurių reikia norint sumažinti riziką iki priimtino lygio.
Žemiau pateikiami pagrindiniai rizikos vertinimo etapai. Šis sąrašas iš esmės pakartoja panašų sąrašą iš kitų metodų, tačiau FRAP išsamiau atskleidžia būdus, kaip gauti duomenis apie sistemą ir jos pažeidžiamumus.
1. Saugomas turtas nustatomas naudojant klausimynus, studijuojant sistemos dokumentaciją, naudojant automatinės tinklų analizės (nuskaitymo) įrankius.
2. Grėsmių identifikavimas. Sudarant grėsmių sąrašą, galima naudoti įvairius metodus:
ekspertų iš anksto parengti grėsmių sąrašai (kontroliniai sąrašai), iš kurių parenkamos atitinkamos sistemos sąlygos;
šios IS ir panašių incidentų statistikos analizė, įvertinamas jų atsiradimo dažnis; kai kurių grėsmių, pavyzdžiui, gaisro grėsmės atveju, tokią statistiką galima gauti iš atitinkamų vyriausybinių organizacijų;
įmonės darbuotojų protų šturmo sesija.
3. Kai grėsmių sąrašas yra baigtas, kiekviena iš jų lyginama su tikimybės įvykti tikimybe. Po to įvertinama žala, kurią gali sukelti ši grėsmė. Remiantis gautomis vertėmis, įvertinamas grėsmės lygis.
Atliekant analizę, paprastai daroma prielaida, kad pradiniame etape sistemai trūksta apsaugos priemonių ir mechanizmų. Taigi įvertinamas nesaugių IS rizikos lygis, kuris vėliau leidžia parodyti informacijos saugumo priemonių (TKS) įdiegimo poveikį.
Įvertinama grėsmės ir jos padarytos žalos tikimybė šiomis skalėmis.
Tikimybė:
Didelė tikimybė Labai tikėtina, kad grėsmė išsipildys per ateinančius metus;
Tikėtina, kad vidutinė tikimybė išsipildys per ateinančius metus; maža tikimybė nepasiteisins per ateinančius metus.
Poveikis yra turto nuostolių ar žalos dydžio matas:
Didelis (didelis poveikis): svarbių verslo padalinių uždarymas, dėl kurio verslui padaryta didelė žala, prarandamas įvaizdis arba prarandamas didelis pelnas;
Vidutinis poveikis: trumpalaikis svarbių procesų ar sistemų nutraukimas, dėl kurio viename verslo padalinyje patiriami riboti finansiniai nuostoliai;
Mažas (mažas poveikis): darbo pertraukimas, kuris nepadaro apčiuopiamų finansinių nuostolių.
Vertinimas nustatomas pagal taisyklę, nurodytą pav. 4.4. Gautą rizikos lygio vertinimą galima interpretuoti taip:
A lygio veiksmai, susiję su rizika (pvz., Diegiant informacijos saugumo sistemą), turi būti atliekami nedelsiant ir nesėkmingai;
Turi būti imamasi su rizika susijusių B lygio veiksmų;
C lygis reikalauja situacijos stebėsenos (tačiau gali būti nebūtina nedelsiant imtis priemonių kovai su grėsme);
D lygis šiuo metu jokių veiksmų atlikti nereikia.
Ryžiai. 4.4. FRAP rizikos matrica
4. Nustačius grėsmes ir įvertinus riziką, turėtų būti nustatytos atsakomosios priemonės, skirtos rizikai pašalinti arba sumažinti iki priimtino lygio. Tuo pat metu turi būti atsižvelgiama į teisinius apribojimus, dėl kurių tam tikrų apsaugos priemonių ir mechanizmų naudojimas yra neįmanomas arba, priešingai, nenumatytas. Norint nustatyti numatomą poveikį, galima atlikti tos pačios rizikos vertinimą, tačiau atsižvelgiant į tai, kad bus įgyvendinta siūloma SIS. Jei rizika nėra pakankamai sumažinta, gali tekti naudoti kitą SIZ. Kartu su apsaugos priemonių apibrėžimu būtina nustatyti, kokios išlaidos pareikalaus jos įsigijimo ir įgyvendinimo (išlaidos gali būti tiesioginės ir netiesioginės, žr. Toliau). Be to, būtina įvertinti, ar pats įrankis yra saugus, ar nesukuria naujų sistemos pažeidžiamumų.
Norint naudoti ekonomiškai efektyvias priemones, reikia atlikti sąnaudų ir naudos analizę. Tokiu atveju būtina įvertinti ne tik sprendimo įsigijimo, bet ir jo veikimo išlaikymo išlaidas. Į išlaidas gali būti įtraukta:
projekto įgyvendinimo išlaidos, įskaitant papildomą programinę ir techninę įrangą;
sistemos efektyvumo sumažėjimas vykdant pagrindines užduotis; papildomų priemonių ir procedūrų, skirtų įrenginiui prižiūrėti, įgyvendinimas; papildomo personalo samdymo arba esamo perkvalifikavimo išlaidos.
5. Dokumentacija. Baigus rizikos vertinimą, jo rezultatai turėtų būti išsamiai dokumentuoti standartizuota forma. Gautą ataskaitą galima naudoti nustatant politiką, procedūras, saugumo biudžetą ir kt.
OCTAVE technika
OCTAVE (veiklos kritinės grėsmės, turto ir pažeidžiamumo vertinimas)
rizika organizacijoje, kurią sukūrė Carnegie Mellon universiteto Programinės įrangos inžinerijos institutas (SEI). Išsamų technikos aprašymą galima rasti internete adresu http://www.cert.org/octave. Ji taip pat yra skirta daugeliui mokslinių ir mokslinių bei techninių straipsnių.
Šios technikos ypatumas yra tas, kad visą analizės procesą atlieka organizacijos darbuotojai, nedalyvaujant išorės konsultantams. Tam sukuriama mišri grupė, į kurią įeina ir techniniai specialistai, ir įvairaus lygio vadovai, o tai leidžia visapusiškai įvertinti galimų saugumo incidentų pasekmes verslui ir plėtoti atsakomąsias priemones.
OCTAVE yra trys analizės etapai:
1. su turtu susijusio grėsmės profilio kūrimas;
2. infrastruktūros pažeidžiamumų nustatymas;
3. saugumo strategijų ir planų kūrimas.
Grėsmių profilis apima nuorodas į išteklių, prieigos prie ištekliaus tipą, grėsmės šaltinį (veikėją), pažeidimo ar motyvo tipą (motyvą), rezultatą (rezultatą) ir nuorodas į grėsmės aprašus viešus katalogus. Pagal šaltinio tipą OCTAVE grėsmės skirstomos į:
1. grėsmės, kurias kelia įsibrovėlis, veikiantis per duomenų tinklą;
2. grėsmės, kurias kelia įsibrovėlis, naudojantis fizinę prieigą;
3. grėsmės, susijusios su sistemos gedimais;
4. kiti.
Rezultatas gali būti informacijos šaltinio atskleidimas, pakeitimas, praradimas / sunaikinimas arba atjungimas. Paslaugos atsisakymas
OCTAVE metodas siūlo apibūdinant profilį naudoti „variantų medžius“; tokio medžio pavyzdys 1 klasės grėsmėms) parodytas fig. 4.5. Kuriant grėsmių profilį rekomenduojama vengti techninių detalių gausos - tai yra antrojo tyrimo etapo užduotis. Pagrindinis pirmojo etapo uždavinys - standartizuotai apibūdinti grėsmės ir išteklių derinį.
Tarkime, kad įmonė turi personalo skyriaus (žmogiškųjų išteklių duomenų bazės) informacijos išteklių (turto) duomenų bazę (DB). Profilis, atitinkantis įmonės darbuotojo informacijos vagystės grėsmę, pateiktas 4.3 lentelėje.
4.3 lentelė. Grėsmių profilio pavyzdys.
Turtas |
HR duomenų bazė |
Prieigos tipas (prieiga) |
Per duomenų tinklą |
Grėsmės šaltinis (aktorius) |
Vidinis (viduje) |
Pažeidimo tipas (motyvas) |
Sąmoningai |
Pažeidžiamumas |
|
Rezultatas |
Atskleidimas |
padidinti vaizdą Ryžiai. 4.5. Variantų medis, naudojamas apibūdinant profilį
Antrasis sistemos tyrimo etapas pagal infrastruktūros pažeidžiamumų nustatymo metodiką. Šiame etape nustatoma infrastruktūra, kuri palaiko anksčiau paskirto turto buvimą (pavyzdžiui, jei tai yra personalo skyriaus duomenų bazė, tada norint su juo dirbti reikia serverio, kuriame yra bazė, darbo vietos personalo skyriaus darbuotojas ir pan.) ir ta aplinka, kuri gali leisti prieigą prie jos (pavyzdžiui, atitinkamas vietinio tinklo segmentas). Atsižvelgiama į šių klasių komponentus: serveriai; tinklo įranga; informacijos apsaugos sistemos; asmeniniai kompiuteriai; „namų“ vartotojų asmeniniai kompiuteriai, dirbantys nuotoliniu būdu, bet turintys prieigą prie organizacijos tinklo; mobilieji kompiuteriai; saugojimo sistemos; belaidžiai įrenginiai; kiti .
Kiekvieno tinklo segmento analizę atliekanti komanda pažymi, kurie jo komponentai yra tikrinami, ar nėra pažeidžiamumų. Pažeidžiamumą tikrina operacinės sistemos lygio saugos skaitytuvai, tinklo saugos skaitytuvai, specializuoti skaitytuvai (tam tikriems žiniatinklio serveriams, DBVS ir kt.), Naudojant kontrolinius sąrašus, bandomuosius scenarijus.
Kiekvienam komponentui nustatoma:
pažeidžiamumų, kuriuos reikia nedelsiant pašalinti, sąrašas (didelio sunkumo pažeidžiamumas);
pažeidžiamumų, kuriuos reikia pašalinti artimiausiu metu, sąrašas (vidutinio sunkumo pažeidžiamumas);
pažeidžiamumų, dėl kurių nereikia nedelsiant imtis veiksmų, sąrašas (mažo sunkumo pažeidžiamumas).
Remiantis etapo rezultatais, rengiama ataskaita, kurioje nurodoma, kokie pažeidžiamumai buvo aptikti, kokį poveikį jie gali turėti anksčiau paskirstytam turtui, kokių priemonių reikia imtis pažeidžiamumui pašalinti.
Saugumo strategijų ir planų kūrimas yra trečias sistemos tyrimų etapas. Pradedama nuo rizikos įvertinimo, kuris grindžiamas dviejų ankstesnių etapų ataskaitomis. OCTAVE atveju rizikos vertinimas pateikia tik numatomos žalos įvertinimą, neįvertindamas tikimybės. Mastelis: aukštas, vidutinis, žemas. Finansinė žala, žala įmonės reputacijai, gyvybei ir
klientų ir darbuotojų sveikata, žala, dėl kurios gali kilti teisinis persekiojimas. Aprašomos reikšmės, atitinkančios kiekvieną skalės gradaciją (pavyzdžiui, smulkaus verslo atveju 10 000 USD finansiniai nuostoliai yra dideli, o didesnio - vidutiniai).
vidutiniam laikotarpiui;
artimiausios ateities užduočių sąrašus.
Siekiant nustatyti priemones kovai su grėsmėmis metodikoje, siūlomi fondų katalogai.
Dar kartą norėčiau pabrėžti, kad, skirtingai nei kiti metodai, OCTAVE nereiškia trečiųjų šalių ekspertų įtraukimo į IS saugumo tyrimą, o visa OCTAVE dokumentacija yra viešai prieinama ir nemokama, todėl metodas ypač patrauklus įmonės, turinčios labai ribotą biudžetą informacijos saugumui. ...
„RiskWatch“ technika
„RiskWatch“ sukūrė savo rizikos analizės metodiką ir programinės įrangos įrankių šeimą, kurioje ji tam tikru mastu įgyvendinama.
„RiskWatch“ šeima apima programinės įrangos produktus, skirtus įvairių tipų saugos auditams:
„RiskWatch for Physical Security“ fizinei IP apsaugai analizuoti;
Informacinių sistemų „RiskWatch“ informacinėms rizikoms;
„HIPAAWATCH for Healthcare Industry“, kad įvertintų, ar laikomasi JAV sveikatos priežiūros draudimo perkeliamumo ir atskaitomybės įstatymo (HIPAA) reikalavimų, kurie yra svarbūs daugiausia JAV veikiančioms medicinos įstaigoms;
RiskWatch RW17799, skirtas ISO 17799, siekiant įvertinti IP atitiktį tarptautinio standarto ISO 17799 reikalavimams.
RiskWatch metodas naudoja metinę nuostolių prognozę (ALE) ir investicijų grąžą (IG) kaip rizikos vertinimo ir valdymo kriterijus. „RiskWatch“ yra orientuota į tikslų santykio tarp saugumo grėsmės nuostolių ir gynybos išlaidų skaičiavimą. „RiskWatch“ produktas yra pagrįstas rizikos analizės metodika, kurią sudaro keturi etapai.
Pirmasis etapas yra tyrimo dalyko apibrėžimas. Jame aprašomi tokie parametrai kaip organizacijos tipas, tiriamos sistemos sudėtis (apskritai), pagrindiniai reikalavimai saugumo srityje. Siekiant palengvinti analitiko darbą, šablonuose, atitinkančiuose organizacijos tipą („komercinės informacijos sistema“, „valstybės / karinė informacinė sistema“ ir kt.), Yra saugomų išteklių, nuostolių, grėsmių, pažeidžiamumų ir apsaugos priemonių kategorijų sąrašai. Iš jų turite pasirinkti tuos, kurie iš tikrųjų yra organizacijoje (4.6 pav.).
Informacijos atskleidimas;
Tiesioginiai nuostoliai (pavyzdžiui, gaisro metu sunaikinus įrangą); gyvybė ir sveikata (personalas, klientai ir kt.);
Duomenų keitimas;
Netiesioginiai nuostoliai (pavyzdžiui, restauravimo išlaidos); Reputacija.
Antrasis etapas yra duomenų, apibūdinančių specifines sistemos charakteristikas, įvedimas. Duomenis galima įvesti rankiniu būdu arba importuoti iš ataskaitų, sukurtų naudojant kompiuterių tinklo pažeidžiamumo tyrimo įrankius. Šiame etape ypač išsamiai aprašomi ištekliai, nuostoliai ir incidentų klasės. Įvykių klasės gaunamos derinant nuostolių kategoriją ir išteklių kategoriją.
Norint nustatyti galimus pažeidžiamumus, naudojamas klausimynas, kurio duomenų bazėje yra daugiau nei 600 klausimų. Klausimai yra susiję su išteklių kategorijomis.
Taip pat nustatomas kiekvienos pasirinktos grėsmės atsiradimo dažnis, pažeidžiamumo laipsnis ir vertė.
išteklių. Jei sistema turi vidutinius metinius įvykių įvertinimus (LAFE ir SAFE) pasirinktai grėsmės klasei, jie naudojami. Visa tai naudojama ateityje apskaičiuojant apsaugos priemonių įvedimo poveikį.
padidinti vaizdą Ryžiai. 4.6. Saugomų išteklių kategorijų apibrėžimas
Trečias etapas yra kiekybinis rizikos įvertinimas. Šiame etape apskaičiuojamas rizikos profilis ir parenkamos saugumo priemonės. Pirma, nustatomi ryšiai tarp išteklių, nuostolių, grėsmių ir pažeidžiamumų, nustatytų ankstesniuose tyrimo etapuose. Iš esmės rizika apskaičiuojama naudojant matematinį lūkesčių nuostolį per metus. Pvz., Jei serverio kaina yra 150 000 USD, o tikimybė, kad per metus jis bus sunaikintas gaisro, yra 0,01, tikėtini nuostoliai yra 1500 USD.
Skaičiavimo formulė (m = p * v, kur m yra matematiniai lūkesčiai, p yra grėsmės tikimybė, v yra išteklių kaina) pasikeitė dėl to, kad „RiskWatch“ naudoja amerikiečių apibrėžtus įvertinimus NIST institutas, vadinamas LAFE ir SAFE. LAFE (Local Annual Frequency Estimate) rodo, kiek kartų per metus vidutiniškai tam tikra grėsmė įgyvendinama tam tikroje vietoje (pavyzdžiui, mieste). SAFE (standartinis metinis dažnio įvertinimas) rodo, kiek kartų per metus vidutiniškai kyla grėsmė šioje „pasaulio dalyje“ (pavyzdžiui, Šiaurės Amerikoje). Taip pat įvestas korekcijos koeficientas, leidžiantis atsižvelgti į tai, kad įgyvendinus grėsmę saugomas išteklius gali būti visiškai nesunaikintas, o tik iš dalies.
Formulėse (4.1) ir (4.2) pateikiamos ALE rodiklio apskaičiavimo galimybės:
Turto vertė yra nagrinėjamo turto vertė (duomenys, programinė įranga, aparatinė įranga ir kt.); Poveikio veiksnys poveikio koeficientas parodo, kokia vertės dalis (procentais)
turtui gresia pavojus;
Nepageidaujamo įvykio dažnumas;
ALE yra numatomo metinio vieno konkretaus turto nuostolių, atsiradusių įgyvendinant vieną grėsmę, įvertinimas.
Nustačius ir surinkus visą turtą ir poveikį, tampa įmanoma įvertinti bendrą IP riziką kaip visų konkrečių verčių sumą.
Galite įvesti „metinį ARO atsiradimo rodiklį“ ir „Vieno nuostolio tikėtinas SLE“, kurį galima apskaičiuoti kaip skirtumą tarp pradinės turto vertės ir jo likutinės vertės po įvykio (nors šis vertinimo metodas netaikomas visi atvejai, pavyzdžiui, netinka rizikai, susijusiai su informacijos konfidencialumo pažeidimu, įvertinti). Tada atskiram grėsmės išteklių deriniui taikoma formulė (4.2)
Be to, svarstoma, kas būtų, jei scenarijai apibūdintų panašias situacijas, jei yra numatytos apsaugos priemonės. Lyginant numatomus nuostolius su apsaugos priemonėmis ir be jų, galima įvertinti tokių priemonių poveikį.
„RiskWatch“ apima duomenų bazes su LAFE ir SAFE reitingais, taip pat apibendrintus įvairių tipų apsaugos produktų aprašymus.
Investicijų grąžos (IG) rodiklis, rodantis per tam tikrą laikotarpį padarytų investicijų grąžą, kiekybiškai įvertina teisių gynimo priemonių įgyvendinimo poveikį. Jis apskaičiuojamas pagal formulę:
Išlaidos j įgyvendinimo ir priežiūros išlaidos j apsaugos priemonės;
Nauda i - šios apsaugos priemonės įgyvendinimo teikiamos naudos (ty tikėtino nuostolių sumažėjimo) įvertinimas;
NPV (grynoji dabartinė vertė) yra grynoji dabartinė vertė.
Ketvirtasis etapas - ataskaitų generavimas. Pranešimų rūšys: Trumpos santraukos.
Išsamios ir glaustos ataskaitos apie 1 ir 2 etapuose aprašytus dalykus.
Ataskaita apie saugomų išteklių kainą ir numatomus nuostolius dėl grėsmių įgyvendinimo. Grėsmių ir atsakomųjų priemonių ataskaita.
IG ataskaita (fragmentas 4.7 pav.). Saugos audito ataskaita.
http://www.intuit.ru/studies/courses/531/387/print_lecture/8996 |
CRAMM, „RiskWatch“ ir GRIF
Užduoties užtikrinti informacijos saugumą verslui aktualumas
Šiandien nėra jokių abejonių, kad reikia investuoti į šiuolaikinio stambaus verslo informacijos saugumą. Pagrindinis šiuolaikinio verslo klausimas - kaip įvertinti pakankamą investicijų į informacijos saugumą lygį, kad būtų užtikrintas maksimalus investicijų į šią sritį efektyvumas. Norėdami išspręsti šią problemą, yra tik vienas būdas - naudoti rizikos analizės sistemas, leidžiančias įvertinti sistemoje egzistuojančią riziką ir pasirinkti efektyviausią apsaugos variantą (pagal sistemoje egzistuojančios rizikos ir informacijos išlaidų santykį) saugumas).
Norėdami patvirtinti verslo saugumo užtikrinimo užduoties skubos faktą, pasinaudosime FTB 2003 m. Ataskaita. Duomenys buvo surinkti apklausus 530 Amerikos įmonių (vidutinio ir didelio verslo).
IT saugumo incidentų statistika yra negailestinga. Pasak FTB, 2003 m. 56% apklaustų įmonių buvo užpultos:
Praradimai dėl įvairių tipų informacijos poveikio parodyti šioje diagramoje:
Investicijų į įmonės informacijos saugumą poreikio pagrindimas
Remiantis statistika, didžiausia kliūtis imtis bet kokių priemonių, užtikrinančių informacijos saugumą įmonėje, yra dvi priežastys:
- biudžeto apribojimas;
- vadovybės paramos trūkumas.
Abi priežastys kyla dėl to, kad vadovybė nesupranta problemos rimtumo ir IT vadovui sunku pagrįsti, kodėl būtina investuoti į informacijos saugumą. Dažnai daugelis linkę manyti, kad pagrindinė problema yra ta, kad IT vadovai ir vadovai kalba skirtingomis kalbomis- techninėmis ir finansinėmis, tačiau juk patiems IT specialistams dažnai sunku įvertinti, kam išleisti pinigus ir kiek jų reikia siekiant užtikrinti didesnį saugumą.įmonių sistemas, kad šios išlaidos nebūtų švaistomos ar per didelės.
Jei IT vadovas aiškiai supranta, kiek pinigų įmonė gali prarasti iškilus grėsmei, kokios sistemos vietos yra labiausiai pažeidžiamos, kokių priemonių galima imtis siekiant padidinti saugumo lygį ir tuo pačiu neišleisti papildomų pinigų, ir visa tai yra dokumentuota, tada problemos sprendimas yra įtikinamas vadovybė atkreipti dėmesį ir skirti lėšų informacijos saugumui tampa daug realesnė.
Norėdami išspręsti šią problemą, buvo sukurtos informacinės rizikos analizės ir kontrolės programinės įrangos sistemos: britų CRAMM („Insight Consulting company“), „American RiskWatch“ (įmonė) ir Rusijos GRIF (įmonė). Toliau apsvarstykime šiuos metodus ir jų pagrindu sukurtas programinės įrangos sistemas.
CRAMM
JK vyriausybės rizikos analizės ir valdymo metodą JK saugumo tarnyba sukūrė Jungtinės Karalystės vyriausybės vardu ir priėmė kaip valstybės standartą. Jį nuo 1985 m. Naudoja vyriausybės ir komercinės organizacijos Jungtinėje Karalystėje. Šiuo metu CRAMM išpopuliarėjo visame pasaulyje. „Insight Consulting Limited“ kuria ir prižiūri to paties pavadinimo programinės įrangos produktą, įgyvendinantį CRAMM metodą.
Mes pasirinkome CRAMM metodą išsamesniam svarstymui, ir tai neatsitiktinai. Šiuo metu CRAMM yra gana galinga ir universali priemonė, leidžianti ne tik analizuoti riziką, bet ir atlikti daugybę kitų audito užduočių, įskaitant:
- atliekant intelektinės nuosavybės tyrimą ir lydinčių dokumentų išdavimą visais jo atlikimo etapais;
- auditas pagal Britanijos vyriausybės reikalavimus, taip pat BS 7799: 1995 - Informacijos saugumo valdymo praktikos kodeksas BS7799;
- saugumo politikos ir veiklos tęstinumo plano rengimas.
CRAMM, apimančio kiekybinius ir kokybinius analizės metodus, esmė yra integruotas požiūris į rizikos vertinimą. Metodas yra universalus ir tinka tiek didelėms, tiek mažoms organizacijoms, tiek vyriausybinėms, tiek komercinėms. Įvairių tipų organizacijoms skirtos CRAMM programinės įrangos versijos skiriasi savo žinių baze (profiliais). Komercinėms organizacijoms yra komercinis profilis (komercinis profilis), vyriausybinėms organizacijoms - vyriausybės profilis (vyriausybės profilis). Vyriausybinė profilio versija taip pat leidžia patikrinti, ar laikomasi Amerikos standarto ITSEC („Oranžinė knyga“) reikalavimų.
Kompetentingas CRAMM metodo naudojimas leidžia pasiekti labai gerų rezultatų, iš kurių, ko gero, svarbiausia yra galimybė ekonomiškai pagrįsti organizacijos išlaidas, užtikrinančias informacijos saugumą ir veiklos tęstinumą. Ekonomiškai pagrįsta rizikos valdymo strategija galiausiai taupo pinigus, išvengiant nereikalingų išlaidų.
CRAMM apima visos procedūros padalijimą į tris nuoseklius etapus. Pirmojo etapo užduotis - atsakyti į klausimą: „Ar pakanka apsaugoti sistemą naudojant bazinio lygio įrankius, įgyvendinančius tradicines saugos funkcijas, ar būtina atlikti išsamesnę analizę?“. Antrame etape nustatomos rizikos ir įvertinamas jų dydis. Trečiajame etape sprendžiamas tinkamų atsakomųjų priemonių pasirinkimo klausimas.
Kiekvieno etapo CRAMM metodika apibrėžia pradinių duomenų rinkinį, veiksmų seką, apklausų anketas, kontrolinius sąrašus ir ataskaitų dokumentų rinkinį.
Jei, remiantis rezultatais Pirmas lygmuo, buvo nustatyta, kad išteklių kritiškumo lygis yra labai žemas ir esama rizika tikrai neviršys tam tikro bazinio lygio, tada sistemai yra nustatytas minimalus saugumo reikalavimų rinkinys. Šiuo atveju didžioji dalis antrojo etapo veiklos nėra vykdoma, tačiau pereinama prie trečiojo etapo, kurio metu sudaromas standartinis atsakomųjų priemonių sąrašas, užtikrinantis, kad būtų laikomasi pagrindinių saugumo reikalavimų.
Įjungta antrasis etapas analizuoja grėsmes saugumui ir pažeidžiamumą. Pradinius duomenis, skirtus grėsmėms ir pažeidžiamumui įvertinti, auditorius gauna iš įgaliotų organizacijos atstovų atitinkamų pokalbių metu. Pokalbiams atlikti naudojami specialūs klausimynai.
Įjungta trečias etapas išspręsta rizikos valdymo problema, kurią sudaro tinkamų atsakomųjų priemonių pasirinkimas. Sprendimą įdiegti naujus apsaugos mechanizmus sistemoje ir modifikuoti senus priima organizacijos vadovybė, atsižvelgdama į susijusias išlaidas, jų priimtinumą ir galutinę naudą verslui. Auditoriaus užduotis yra pagrįsti rekomenduojamas organizacijos valdymo priemones.
Jei nuspręsta įvesti naujas atsakomąsias priemones ir pakeisti senas, auditoriui gali būti pavesta parengti naujų atsakomųjų priemonių įgyvendinimo planą ir įvertinti jų naudojimo efektyvumą. Šių problemų sprendimas yra už CRAMM metodo ribų.
CRAMM tyrimo koncepcinė schema parodyta diagramoje:
Į CRAMM metodo trūkumaiįtraukti šiuos dalykus:
- Norint naudoti CRAMM metodą, reikalingas specialus auditoriaus mokymas ir aukšta kvalifikacija.
- CRAMM yra daug labiau tinkamas jau veikiančių IS auditui, nei kuriamoms IS.
- CRAMM auditas yra gana sunkus procesas ir gali pareikalauti nuolatinio auditoriaus darbo mėnesius.
- CRAMM programinės įrangos priemonių rinkinys sukuria daug popierinės dokumentacijos, kuri ne visada naudinga praktikoje.
- CRAMM neleidžia jums kurti savo ataskaitų šablonų ar keisti esamų.
- Vartotojai neturi galimybės papildyti CRAMM žinių bazės, todėl kyla tam tikrų sunkumų pritaikant šį metodą konkrečios organizacijos poreikiams.
- CRAMM programinė įranga yra prieinama tik anglų kalba.
- Didelė licencijos kaina.
Rizikos laikrodis
Programinė įranga Rizikos laikrodis Amerikos kompanijos sukurtas yra galingas rizikos analizės ir valdymo įrankis. „RiskWatch“ šeima apima programinės įrangos produktus, skirtus įvairių tipų saugumo auditams. Tai apima šias audito ir rizikos analizės priemones:
- „RiskWatch for Physical Security“ - fiziniai IP apsaugos metodai;
- „RiskWatch for Information Systems“ - informacijos rizikai;
- HIPAA -WATCH for Healthcare Industry - įvertinti atitiktį HIPAA standarto reikalavimams;
- RiskWatch RW17799, skirtas ISO17799 - įvertinti ISO17799 standarto reikalavimus.
RiskWatch metodas naudoja metinę nuostolių prognozę (ALE) ir investicijų grąžą (IG) kaip rizikos vertinimo ir valdymo kriterijus. Programinės įrangos produktų grupė „RiskWatch“ turi daug privalumų.
„RiskWatch“ padeda atlikti rizikos analizę ir pagrįstai pasirinkti priemones bei priemones. Programa naudojama 4 etapais:
Pirmasis etapas- tyrimo dalyko apibrėžimas. Šiame etape aprašomi bendrieji organizacijos parametrai - organizacijos tipas, tiriamos sistemos sudėtis, pagrindiniai saugumo reikalavimai. Aprašymas yra įformintas keliais poskyriais, kuriuos galite pasirinkti išsamesniam aprašymui arba praleisti.
Žemiau išsamiai aprašytas kiekvienas iš pasirinktų elementų. Siekiant palengvinti analitiko darbą, šablonuose pateikiami saugomų išteklių, nuostolių, grėsmių, pažeidžiamumų ir apsaugos priemonių kategorijų sąrašai. Iš jų turite pasirinkti tuos, kurie iš tikrųjų yra organizacijoje.
Antrasis etapas- duomenų, apibūdinančių konkrečias sistemos charakteristikas, įvedimas. Duomenis galima įvesti rankiniu būdu arba importuoti iš ataskaitų, sukurtų naudojant kompiuterių tinklo pažeidžiamumo tyrimo įrankius. Šiame etape išsamiai aprašomi ištekliai, nuostoliai ir incidentų klasės.
Įvykių klasės gaunamos derinant nuostolių kategoriją ir išteklių kategoriją. Siekiant nustatyti galimus pažeidžiamumus, naudojamas klausimynas, kurio duomenų bazėje yra daugiau nei 600 klausimų, susijusių su išteklių kategorijomis. Leidžiama taisyti klausimus, ištrinti ar pridėti naujų. Nustatomas kiekvienos pasirinktos grėsmės atsiradimo dažnis, pažeidžiamumo laipsnis ir išteklių vertė. Visa tai naudojama ateityje apskaičiuojant apsaugos priemonių įgyvendinimo efektyvumą.
Trečias etapas- rizikos įvertinimas. Pirma, nustatomi ryšiai tarp ankstesniais etapais nustatytų išteklių, nuostolių, grėsmių ir pažeidžiamumų. Rizikos atveju matematiniai lūkesčiai metams apskaičiuojami pagal formulę:
m = p * v, kur p yra grėsmės atsiradimo dažnis per metus, v - išteklių, kuriems gresia pavojus, kaina.
Pvz., Jei serverio kaina yra 150 000 USD, o tikimybė, kad per metus jis bus sunaikintas gaisro, yra 0,01, tikėtini nuostoliai bus 1500 USD. Be to, svarstomi „kas būtų, jei ...“ scenarijai , kurios leidžia aprašyti panašias situacijas, atsižvelgiant į jų įgyvendinimą. Lyginant numatomus nuostolius su apsaugos priemonėmis ir be jų, galima įvertinti tokių priemonių poveikį.
Ketvirtasis etapas- ataskaitų generavimas. Ataskaitų rūšys: trumpos santraukos; išsamios ir suvestinės 1 ir 2 etapuose aprašytų elementų ataskaitos; ataskaitą apie saugomų išteklių kainą ir numatomus nuostolius dėl grėsmių įgyvendinimo; pranešimas apie grėsmes ir atsakomąsias priemones; saugumo audito ataskaita.
„RiskWatch“ trūkumai galima priskirti:
- Šis metodas tinka, jei reikia atlikti rizikos analizę programinės ir techninės apsaugos lygmeniu, neatsižvelgiant į organizacinius ir administracinius veiksnius. Gauti rizikos vertinimai (matematinis nuostolių tikėjimasis) toli gražu neišsemia rizikos suvokimo sisteminiu požiūriu - taikant šį metodą neatsižvelgiama į integruotą požiūrį į informacijos saugumą.
- „RiskWatch“ programinė įranga yra prieinama tik anglų kalba.
- Didelės licencijos kaina - nuo 15 000 USD už vietą mažai įmonei ir nuo 125 000 USD už masinę licenciją.
Kaklas
Norint atlikti išsamią informacijos rizikos analizę, visų pirma būtina sukurti pilną informacinės sistemos modelį informacijos saugumo požiūriu. Siekiant išspręsti šią problemą, priešingai nei rinkoje esančios Vakarų rizikos analizės sistemos, kurios yra gana sudėtingos ir dažnai nėra susijusios su nepriklausomu IT vadovų ir sistemų administratorių naudojimu, atsakingu už įmonių informacinių sistemų saugumo užtikrinimą, ji turi paprastą ir intuityvi vartotojo sąsaja. Tačiau už išorinio paprastumo slypi sudėtingas rizikos analizės algoritmas, kuriame atsižvelgiama į daugiau nei šimtą parametrų, o tai leidžia tiksliai įvertinti informacinėje sistemoje esančią riziką, remiantis praktinio įgyvendinimo ypatybių analize. informacinės sistemos.
Pagrindinė GRIF sistemos užduotis yra sudaryti sąlygas IT vadovui savarankiškai (nedalyvaujant trečiųjų šalių ekspertams) įvertinti rizikos lygį informacinėje sistemoje ir esamos praktikos efektyvumą siekiant užtikrinti įmonės saugumą, nes taip pat suteikia galimybę įtikinti įmonės vadovybę, kad reikia investuoti į jos informacijos saugumą.
Pirmajame etape pagal GRIF metodą, atliekama IT vadovo apklausa, siekiant nustatyti išsamų įmonei naudingų informacijos išteklių sąrašą.
Antrame etape atliekama IT vadovo apklausa, siekiant įvesti į GRIF sistemą visų rūšių informaciją, kuri yra vertinga įmonei. Įvestas vertingos informacijos grupes vartotojas turėtų patalpinti į ankstesniame etape nurodytus informacijos saugojimo objektus (serverius, darbo vietas ir pan.). Paskutiniame etape nurodoma žala kiekvienai vertingos informacijos grupei, esančiai atitinkamuose ištekliuose, visų rūšių grėsmėms.
Trečiajame etape perduoda visų tipų vartotojų grupių apibrėžimą, nurodydamas kiekvienos grupės vartotojų skaičių. Tada užregistruojama, kokias informacijos grupes apie išteklius turi kiekviena vartotojų grupė. Apibendrinant, nustatomi naudotojų prieigos prie visų išteklių, kuriuose yra vertingos informacijos, tipai (vietinis ir (arba) nuotolinis) ir teisės (skaityti, rašyti, ištrinti).
Ketvirtajame etape atliekama IT vadovo apklausa, siekiant nustatyti vertingos informacijos apie išteklius apsaugos priemones. Be to, į sistemą įvedama informacija apie vienkartines visų naudojamų informacijos saugumo priemonių įsigijimo išlaidas ir metines jų techninės pagalbos išlaidas, taip pat metines įmonės informacijos apsaugos sistemos priežiūros išlaidas.
Paskutiniame etape būtina atsakyti į klausimus apie sistemoje įgyvendinamą saugumo politiką, kuri leis įvertinti tikrąjį sistemos saugumo lygį ir detalizuoti rizikos vertinimus.
Informacijos apsaugos priemonių buvimas, pastebėtas pirmajame etape, savaime dar neužtikrina sistemos saugumo, jei jos netinkamai naudojamos ir nėra išsamios saugumo politikos, kurioje būtų atsižvelgiama į visus informacijos apsaugos aspektus, įskaitant apsauga, fizinis saugumas, personalo saugumas, veiklos tęstinumas ir kt.
Atlikus visus veiksmus šiuose etapuose, rezultatas bus visas informacinės sistemos modelis informacijos saugumo požiūriu, atsižvelgiant į faktinį integruotos saugumo politikos reikalavimų įvykdymą. galima atlikti programinę įvestų duomenų analizę, kad būtų atliktas išsamus rizikos įvertinimas ir parengta galutinė ataskaita.
Išsami sistemos ataskaita, kuriame pateikiama galimos žalos dėl incidentų vaizdas, paruoštas pristatyti įmonės vadovybei:
Į GRIF trūkumus galima priskirti:
- Ryšio su verslo procesais trūkumas (planuojama kitoje versijoje).
- Nesugebėjimas palyginti ataskaitų įvairiais saugumo priemonių rinkinio įgyvendinimo etapais (planuojama kitoje versijoje).
- Nesugebėjimas pridėti konkrečios įmonės saugumo politikos reikalavimų.
- Šiuolaikinės informacinių sistemų rizikos analizės technologijos (PCWEEK N37 "2001), Sergejus Simonovas
- „Jet Infosystems“ kompanijos medžiagos
- Bendrovės „Digital Security“ medžiaga
Volgogrado vadybos institutas
RANEPA filialas
Specializuotas
analizės programinė įranga
finansinės rizikos
įmonėms
Atlikta
grupės ME-100 mokinys
Shahinyan Arpi Armenovna
piniginių nuostolių pavojus, įvykis
kuris priklauso nuo tam tikrų veiksnių
ekonominis gyvenimas. Atsiradimo rizika
tokios problemos visų pirma
finansinės rizikos. Darbo tikslas - surasti
specialios programos, skirtos nustatyti
įmonės finansinė rizika Rusijos įmonėms, nepriklausomai nuo jų formos
turtas ir veiklos sritys, būdingiausi
yra šie pavojai:
- galimas praradimas (mirtis), trūkumas ar žala
ilgalaikis arba apyvartinis įmonės turtas;
- civilinės atsakomybės atsiradimas
įsipareigojimus dėl atsiradusių įsipareigojimų
dėl žalos gyvybei, sveikatai ir
trečiųjų šalių ar aplinkinių turtas
aplinka;
- galimi nuostoliai arba numatyto negavimas
pelno dėl veiklos sąlygų pasikeitimo
įmonėms dėl nuo jo nepriklausančių aplinkybių;
- sandorio šalys pažeidė savo įsipareigojimus,
partneriai ir kiti Labiausiai paplitę yra
šių bendrovių programinės įrangos produktai:
-Alt (paketai Alt-Invest, Alt-Invest
Sums, Alt-Leasing, Alt-Finance, AltPlan, Alt-Forecast, Alt-Expert ir kt.);
„InEk“ (paketai investuotojas, analitikas ir kt.). Nepaisant įvairių siūlomų programinės įrangos produktų, skirtų
investicinių projektų verslo planų rengimo problemų sprendimo automatizavimas, jie
turėti daug bendro. Tai lemia įsitvirtinusių buvimas
standartinius metodus apskaičiuojant visus investicinio projekto rodiklius ir kriterijus,
išdėstytas „Investicijų efektyvumo vertinimo metodinės rekomendacijos
projektai ir jų atranka finansavimui “.
Tai, nepaisant įvairiausių išvesties informacijos pateikimo formų, yra
turinys paprastai apima tą pačią informaciją apie pagrindines ekonomines
investicinio projekto charakteristikos, pagrįstos pinigų srautais
projektas. Šios charakteristikos apima: duomenis apie pelną ir nuostolius; į ateitį orientuotas
pusiausvyra; rodikliai, atspindintys įmonės finansinę būklę (koeficientai
pelningumas, mokumas, likvidumas); veiklos rodikliai
investicijos (NPV, IRR, PBP, PI ir kt.).
„Project Expert“ programinės įrangos produktų šeima, ypač „Project Expert-7“ versija,
ne tik analizuoja projekto jautrumą, bet ir atlieka rizikos skaičiavimus, naudodamas scenarijaus metodą
analizė. Modeliavimo metodų (Monte Karlo metodas) naudojimas gali žymiai padidinti gautų analizės rezultatų patikimumą.
projekto rizika. Kalbant apie galimybę naudoti tam tikrus paketus, reikėtų
atkreipkite dėmesį į kiekvieno iš jų konstravimo būdus - atvirą, uždarytą,
kartu. Atvirojo kodo paketų pavyzdys yra programinė įranga
bendrovės „Alt“ plėtra. Vartotojas turi galimybę padaryti
skaičiavimo algoritmų pakeitimai, kuriuos galima nustatyti
sprendžiamų užduočių specifika. Su nepakankama kvalifikacija
vartotojas, tokie pakeitimai gali sukelti klaidų ir iškraipyti
faktinę padėtį. Uždarų pakuočių pavyzdys yra
visų pirma „ProInvestConsulting“ programinės įrangos kūrimas
„Project Expert“ paketų šeima. Čia rodomas programinės įrangos produktas
vadinamosios „juodosios dėžės“ forma. Prie jo įvesties, pradinis
informacija, o išvestyje - verslo plano skaičiavimų rezultatai. Vartotojas
neturi galimybės keisti skaičiavimo algoritmo. Tokios programos nėra
kelti aukštus reikalavimus vartotojo kvalifikacijai. Štai kodėl,
konkretaus paketo pasirinkimas priklauso nuo vartotojo, jo kvalifikacijos ir
finansinių galimybių ir tinkamų galimybių
darbuotojai. Viena vertus, rizika kelia pavojų
verslumo veikla, bet, kita vertus, patinka
konkurencija, turi valymo funkciją, t.y. padeda
rinka apsivalyti nuo nejudrių organizacijų, prisideda
su tinkamu požiūriu į riziką, ekonomikos plėtrą.
Reikia prisiminti, kad reikia ne vengti rizikos, bet sugebėti
sumažinti jo atsiradimo tikimybę, o tai įmanoma
teisingas valdymo darbas, kuris atstovauja
yra veiklos rinkinys, kurio tikslas
prognozavimas ir ankstyvas aptikimas
neigiamas poveikis temai
verslininkystės veikla, plėtra ir įgyvendinimas
priemones joms neutralizuoti (rizikos analizė ir vertinimas,
draudimas ir kt.).
, (, "", "", ""). , FRAP; (,). Rizikos stebėjimas; , (CRAMM, Microsoft ..).
CRAMM - 80-. (CCTA). CRAMM ,. ,. CRAMM, (profiliai). (Komercinis profilis), - (vyriausybės profilis). , ITSEC (""). RAMM. ,. :,. :,. ... ... ,. ...
CRAMM. :
; - , ; ; - (), ; , : , .
; ; ; , ; ; , ; , ; .
1 10. CRAMM ",":
2 - $1000; 6 - $1000 $10 000; 8 - $10 000 $100 000; 10 - $100 000.
(3) , () . , . .
,. ... , (, ..). ... CRAMM 36 ,. ,. ,. 17.,. CRAMM. ,. ,:
(. 4.1); (. 4.2); (. 4.1).
4.1. (). , 10 3 4.2. (). , 0,33 , 0,33 0,66 , 0,66
, " ". . 4.1 . , - (), - ().
4.1. (. Metinis lūkesčių praradimas) CRAMM ,. 4,2 ().
4.2. , (. 4.3)
4.3. ... ,. CRAMM ,. : 300; 1000; 900,. , CRAMM -, ().
FRAP „Facilitated Risk Analysis Process (FRAP)“ „Peltier and Associates“ (http://www.peltierassociates.com/) (Thomas R. Peltier) (,). ,. -,. :. , (. sąnaudų ir naudos analizė). ... , FRAP. 1., (). 2 .. : o (kontroliniai sąrašai) ,;
; ,; o "",. 3.,. ,. , .o
,. , (). ... (Tikimybė): o o o
(Didelė tikimybė) -,; (Vidutinė tikimybė) -; (Maža tikimybė) -.
(Poveikis) -,: o
(Didelis poveikis):,; (Vidutinis poveikis) :, -; (Mažas poveikis):,.
4.4. : o o o
A - (,); B -; C - (,);
4.4. FRAP 4.,. ,. ,. ,. , (, -.). ,. ,. ,. : o o
; ... 5.. ,. , ..o o
OCTAVEOCTAVE (veiklos kritinės grėsmės, turto ir pažeidžiamumo vertinimas) -, Programinės įrangos inžinerijos institutas (SEI) (Carnegie Mellon universitetas). www.cert.org/octave. -. ,. ,. OKTAVAS: 1.,; 2 .; 3 .. (turtas), (prieiga), (veikėjas), (motyvas), (rezultatas). , OKTAVAS: 1., -,; 2., -,; 3.,; 4.. (atskleidimas), (pakeitimas), (praradimas / sunaikinimas). (pertraukimas).
OCTAVE "", 1). 4.5. -. -. , () - () (HR duomenų bazė). , 4.3. 4.3. ... [Turtas] [Žmogiškųjų išteklių duomenų bazė] (Prieiga) (Tinklas) (Aktorius) (Inside) (Motyvas) (Sąmoningas) (Pažeidžiamumas) (Rezultatas) (Atskleidimas) (Katalogo nuoroda) -
4.5. , -. , (, ..), (,). :; ; ; ; "",; ; ; ; ... ,. , (žiniatinklis-), (kontroliniai sąrašai) ,. :
, (didelio sunkumo pažeidžiamumas); , (vidutinio sunkumo pažeidžiamumas); , (mažo sunkumo pažeidžiamumas).
OCTAVE ,. : (aukštas), (vidurinis), (žemas). ,. , (10000 USD -, -). ,:
OCTAVE, OCTAVE ,.
Rizikos stebėjimas Rizikos stebėjimas ,. Rizikos stebėjimas:
Fizinio saugumo rizikos stebėjimas -; Informacinių sistemų rizikos stebėjimas -; HIPAA -WATCH for Healthcare Industry - HIPAA (JAV sveikatos draudimo perkėlimo ir atskaitomybės įstatymas) ,; RiskWatch RW17799, skirtas ISO 17799 - ISO 17799.
„RiskWatch“ (metinė nuostolių prognozė, ALE) (investicijų grąža, IG). Rizikos laikrodis. Rizikos stebėjimas ,. -. , () ,. , ("", "/" ..) ,. , (. 4.6). ,:
; ; (,); (, ..); ; (,); .
600. ... ,. (LAFE SAFE) ,. ...
4.6. -. ,. ,. ,. , 150 000 USD, 0,01, 1500 USD. (m = p * v, m -, p -, v -), „RiskWatch NIST“, „LAFE SAFE“. LAFE (vietinis metinis dažnio įvertinimas) -, (,). SAFE (standartinis metinis dažnio įvertinimas) -, "" (,). ,
,. (4.1) (4.2) ALE: (4.1):
Turto vertė - (, ..); Ekspozicijos koeficientas - -, () ,; Dažnis -; ALE -.
,. "" (Metinis rodiklis - ARO) "" (Single Loss Expectancy - SLE), (,). , - (4.2) (4.2) ":",. ... RiskWatch LAFE SAFE ,. IG (investicijų grąža -) ,. : (4.3)
Kainaj - j -; Benefitsi - (..) ,; NPV (grynoji dabartinė vertė) -.
12.. ... IG (-. 4.7). ...
4.7. IG ,. ,.
„Microsoft“.
, , :1. . . 2. . . 3. . .
. . . (. *8] , -). .
, . (,). , (,). -. - . , . , :1. () - , . , . 2. () - , . , . , . 3. () - , . ,
. . . . . .
. . . - . . .
(. 4.8). („Excel“) „Microsoft“. ,. (-,).
4.10 .
. ; . ; . .
(" ") , :
; : , ; : .
4.13. - . 4.14. .
4.14. . , . , 100 20%, . ,
: , . . 4.15 .
4.15. " ", . - . . . . 1 5. , . 4.16, (. 4.17). , .
4.17. . 4.18 . .
4.20. . , - ": 5, : 1", - ": 5, : 5".
4.20. (SRMGTool3)
. (1 10) (0 10). 0 100. "", "" "" , . 4.21
... ... (vieno nuostolio tikimybė - SLE). (metinis įvykio rodiklis - ARO). (metinė nuostolių tikimybė - ALE).
. . . . . . . . .
... ,. ,. ... ... ,. , (- () dvidešimt procentų). ... (SLE). ... 4.22.
4.23. ()
(ARO). ARO. 4.24
(ALE) SLE ARO.
ALE. ,. , -.
(, ..); (,) ; ; , ; , .
