Necesitatea investițiilor în securitatea informațiilor (IS) a afacerii este fără îndoială. Pentru a confirma relevanța sarcinii de asigurare a securității afacerilor, vom folosi raportul FBI publicat pe baza unui sondaj efectuat de companii americane (întreprinderi mijlocii și mari). Statisticile incidentelor din domeniul securității IT sunt neiertătoare. Potrivit FBI, 56% dintre companiile chestionate au fost atacate în acest an (Figura 1).
Dar cum să evaluăm nivelul investițiilor în securitatea informațiilor, care va asigura eficiența maximă a fondurilor investite? Pentru a rezolva această problemă, există o singură modalitate - de a folosi sisteme de analiză a riscurilor care permit evaluarea riscurilor existente în sistem și alegerea celei mai eficiente opțiuni de protecție (în funcție de raportul dintre riscurile existente în sistem și costurile securității informațiilor). ).
Justificarea investiției
Potrivit statisticilor, cele mai serioase obstacole în calea luării oricăror măsuri de asigurare a securității informațiilor într-o companie sunt asociate cu două motive: constrângerile bugetare și lipsa de sprijin din partea conducerii.
Ambele motive provin din înțelegerea greșită de către management a gravității problemei și incapacitatea managerului IT de a justifica de ce să investească în securitatea informațiilor. Se crede adesea că principala problemă constă în faptul că managerii și directorii IT vorbesc limbi diferite - tehnice și financiare, dar, la urma urmei, specialiștilor IT înșiși le este adesea dificil să evalueze pe ce să cheltuiască banii și cât de mult sunt. necesare pentru a îmbunătăți securitatea sistemului companiei.astfel încât aceste costuri să nu fie irosite sau excesive.
Dacă managerul IT are o idee clară despre câți bani poate pierde compania în caz de amenințări, ce locuri din sistem sunt cele mai vulnerabile, ce măsuri pot fi luate pentru a crește nivelul de securitate fără a cheltui bani în plus și toate acestea sunt documentate, apoi sarcinile sale de decizie - de a convinge conducerea să acorde atenție și să aloce fonduri pentru securitatea informațiilor - devin mult mai reale.
Pentru a rezolva acest tip de probleme, au fost dezvoltate metode speciale și sisteme software de analiză și control al riscurilor informaționale pe baza acestora. Vom lua în considerare sistemul CRAMM al companiei britanice Insight Consulting (http://www.insight.co.uk), al companiei americane RiskWatch cu același nume (http://www.riskwatch.com) și al pachetului rusesc GRIF de la Digital Security (http: // www .dsec.ru). Caracteristicile lor comparative sunt prezentate în tabel.
Analiza comparativă a instrumentelor de analiză a riscului
| Criterii de comparare | CRAMM | RiskWatch | GRIF 2005 Biroul de Securitate Digitală |
| A sustine | Prevăzut | Prevăzut | Prevăzut |
| Ușurință de operare pentru utilizator | Necesită pregătire specială și calificări înalte ale unui auditor | Interfața se adresează managerilor și directorilor IT; nu necesită cunoștințe speciale în domeniul securității informațiilor | |
| Costul licenței pentru un loc de muncă, USD | 2000 până la 5000 | De la 10 000 | De la 1000 |
| Cerințe de sistem |
OS Windows 98 / Me / NT / 2000 / XP Cerințe minime: |
Sistem de operare Windows 2000 / XP Spațiu liber pe disc pentru instalare 30 MB Procesor Intel Pentium sau compatibil, memorie de 256 MB |
Sistem de operare Windows 2000 / XP Cerințe minime: |
| Funcționalitate |
Date de intrare:
Opțiuni de raportare:
|
Date de intrare:
Opțiuni de raportare:
|
Date de intrare:
Componența raportului:
|
| Metoda cantitativa/calitativa | Evaluare calitativă | Cuantificare | Evaluare calitativă și cantitativă |
| Soluție de rețea | Dispărut | Dispărut | Enterprise Edition Digital Security Office 2005 |
CRAMM
Metoda CRAMM (CCTA Risk Analysis and Management Method) a fost dezvoltată de Agenția Centrală de Calculatoare și Telecomunicații din Marea Britanie la instrucțiunile guvernului britanic și a fost adoptată ca standard de stat. Din 1985 a fost folosit de către organizațiile guvernamentale și comerciale din Marea Britanie. În acest timp, CRAMM a câștigat popularitate în întreaga lume. Insight Consulting dezvoltă și întreține un produs software care implementează metoda CRAMM.
Metoda CRAMM (http://www.cramm.com) nu este aleasă întâmplător de noi pentru o analiză mai detaliată. În prezent, CRAMM este un instrument destul de puternic și versatil care permite, pe lângă analiza riscului, să rezolve o serie de alte sarcini de audit, inclusiv:
- Sondaj IS și eliberarea documentației însoțitoare în toate etapele implementării acestuia;
- audit în conformitate cu cerințele guvernului britanic, precum și cu BS 7799: 1995 Code of Practice for Information Security Management;
- dezvoltarea unei politici de securitate și a unui plan de continuitate a afacerii.
Metoda CRAMM se bazează pe o abordare integrată a evaluării riscurilor, combinând metode cantitative și calitative de analiză. Metoda este universală și este potrivită atât pentru organizațiile mari, cât și pentru cele mici, atât în sectorul guvernamental, cât și în cel comercial. Versiunile de software CRAMM care vizează diferite tipuri de organizații diferă între ele în baze de cunoștințe (profiluri): există un Profil comercial pentru organizațiile comerciale și un profil guvernamental pentru organizațiile guvernamentale. Versiunea guvernamentală a profilului permite, de asemenea, auditarea conformității cu cerințele standardului american ITSEC ("Orange Book"). O diagramă conceptuală a unui sondaj CRAMM este prezentată în Fig. 2.
Prin utilizarea corectă a metodei CRAMM se pot obține rezultate foarte bune, dintre care, poate, cea mai importantă este posibilitatea justificării economice a costurilor organizației pentru asigurarea securității informației și continuității afacerii. O strategie de gestionare a riscurilor solidă din punct de vedere economic economisește în cele din urmă bani evitând în același timp costurile inutile.
CRAMM presupune împărțirea întregii proceduri în trei etape succesive. Sarcina primei etape este de a răspunde la întrebarea: „Este suficient să protejați sistemul folosind instrumente de nivel de bază care implementează funcții tradiționale de siguranță sau este necesar să se efectueze o analiză mai detaliată?” În a doua etapă, riscurile sunt identificate și amploarea lor este evaluată. La a treia etapă se decide chestiunea alegerii contramăsurilor adecvate.
Metodologia CRAMM pentru fiecare etapă definește un set de date inițiale, o secvență de activități, chestionare pentru interviuri, liste de verificare și un set de documente de raportare.
În prima etapă a studiului se realizează identificarea și determinarea valorii resurselor protejate. Evaluarea se realizează pe o scară de zece puncte și pot exista mai multe criterii de evaluare - pierderi financiare, prejudicii aduse reputației etc. Descrierile CRAMM oferă un exemplu de astfel de scară pentru evaluarea criteriului „Pierderi financiare asociate refacerii de resurse":
- 2 puncte - mai puțin de 1000 USD;
- 6 puncte - de la 1.000 USD la 10.000 USD;
- 8 puncte - de la 10.000 la 100.000 de dolari;
- 10 puncte - peste 100.000 USD
Cu un scor scăzut pentru toate criteriile utilizate (3 puncte și mai jos), se consideră că un nivel de bază de protecție este suficient pentru sistemul luat în considerare (acest nivel nu necesită o evaluare detaliată a amenințărilor la securitatea informațiilor), iar al doilea se omite etapa studiului.
În a doua etapă se identifică și se evaluează amenințările din domeniul securității informațiilor, se efectuează o căutare și evaluare a vulnerabilităților sistemului protejat. Nivelul de amenințare este evaluat pe următoarea scară: foarte ridicat, ridicat, mediu, scăzut, foarte scăzut. Vulnerabilitatea este evaluată ca înaltă, medie sau scăzută. Pe baza acestor informații, se calculează o evaluare a nivelului de risc pe o scară de șapte puncte (Fig. 3).
La a treia etapă, CRAMM generează opțiuni pentru contracararea riscurilor identificate. Produsul oferă următoarele tipuri de recomandări:
- recomandări generale;
- recomandări specifice;
- exemple despre cum puteți organiza protecția în această situație.
CRAMM are o bază de date extinsă, care conține descrieri a aproximativ 1000 de exemple de implementare a subsistemelor de protecție ale diferitelor sisteme informatice. Aceste descrieri pot fi folosite ca șabloane.
Decizia de a introduce noi mecanisme de securitate în sistem și de a le modifica pe cele vechi este luată de conducerea organizației, luând în considerare costurile asociate, acceptabilitatea acestora și beneficiul final pentru afacere. Sarcina auditorului este de a justifica acțiunile recomandate pentru conducerea organizației.
Dacă se ia decizia de a introduce noi contramăsuri și de a modifica pe cele vechi, auditorul poate fi însărcinat cu pregătirea unui plan de implementare și evaluarea eficacității acestor măsuri. Soluția acestor probleme depășește domeniul de aplicare al metodei CRAMM.
Dezavantajele metodei CRAMM includ următoarele:
- metoda necesită pregătire specială și calificări înalte ale auditorului;
- auditul folosind metoda CRAMM este un proces destul de laborios și poate necesita luni de muncă continuă a auditorului;
- CRAMM este mult mai potrivit pentru auditarea IS-urilor deja existente care au fost puse în funcțiune decât pentru IS-urile în curs de dezvoltare;
- Setul de instrumente software CRAMM generează o cantitate mare de documentație pe hârtie, care nu este întotdeauna utilă în practică;
- CRAMM nu vă permite să vă creați propriile șabloane de raport sau să le modificați pe cele existente;
- capacitatea de a face completări la baza de cunoștințe CRAMM nu este disponibilă utilizatorilor, ceea ce provoacă anumite dificultăți în adaptarea acestei metode la nevoile unei anumite organizații;
- Software-ul CRAMM nu este localizat, există doar în limba engleză;
- cost ridicat de licență - de la 2.000 USD la 5.000 USD
RiskWatch
Software-ul RiskWatch este un instrument puternic de analiză și management al riscurilor. Familia RiskWatch include produse software pentru diferite tipuri de audituri de securitate. Include următoarele instrumente de audit și analiză a riscurilor:
- RiskWatch for Physical Security - pentru metode fizice de protecție IP;
- RiskWatch pentru Sisteme Informaționale - pentru riscuri informaționale;
- HIPAA-WATCH for Healthcare Industry - pentru a evalua conformitatea cu cerințele standardului HIPAA (US Healthcare Insurance Portability and Accountability Act);
- RiskWatch RW17799 pentru ISO 17799 - pentru evaluarea conformității cu ISO 17799.
Metoda RiskWatch folosește predicția anuală a pierderilor (ALE) și rentabilitatea investiției (ROI) ca criterii pentru evaluarea și gestionarea riscului.
Familia de produse software RiskWatch are multe beneficii. RiskWatch vă ajută să efectuați analize de risc și să faceți alegeri informate cu privire la măsuri și remedii. Spre deosebire de CRAMM, RiskWatch se concentrează mai mult pe cuantificarea cu acuratețe a raportului dintre pierderile cauzate de amenințările de securitate și costul creării unui sistem de protecție. De asemenea, trebuie remarcat faptul că în acest produs sunt luate în considerare împreună riscurile din domeniul informației și securității fizice a rețelei de calculatoare a întreprinderii.
Produsul RiskWatch se bazează pe o metodologie de analiză a riscurilor, care poate fi împărțită în patru etape.
Prima etapă este definirea subiectului cercetării. Acesta descrie astfel de parametri precum tipul de organizare, compoziția sistemului studiat (în termeni generali), cerințele de bază în domeniul securității. Pentru a facilita munca analistului în șabloane corespunzătoare tipului de organizație („sistem informațional comercial”, „sistem informațional de stat/militar”, etc.), există liste cu categorii de resurse protejate, pierderi, amenințări, vulnerabilități și măsuri de protecție. Dintre acestea, trebuie să le alegeți pe cele care sunt efectiv prezente în organizație.
De exemplu, sunt prevăzute următoarele categorii pentru pierderi:
- întârzieri și refuzul serviciului;
- dezvaluirea informatiei;
- pierderi directe (de exemplu, din distrugerea echipamentelor prin incendiu);
- viata si sanatatea (personal, clienti, etc.);
- modificarea datelor;
- pierderi indirecte (de exemplu, costuri de restaurare);
- reputatie.
A doua etapă este introducerea datelor care descriu caracteristicile specifice ale sistemului. Acestea pot fi introduse manual sau importate din rapoartele generate de instrumentele de cercetare a vulnerabilităților rețelelor de calculatoare.
În acest pas, resursele, pierderile și clasele de incidente sunt detaliate. Clasele de incidente sunt obținute prin potrivirea categoriei de pierderi cu categoria de resurse.
Pentru identificarea posibilelor vulnerabilități se folosește un chestionar, a cărui bază de date conține peste 600 de întrebări. Întrebările sunt legate de categorii de resurse. Sunt stabilite frecvența de apariție a fiecăreia dintre amenințările selectate, gradul de vulnerabilitate și valoarea resurselor. Toate acestea sunt folosite în viitor pentru a calcula efectul introducerii echipamentului de protecție.
A treia etapă și probabil cea mai importantă este evaluarea cantitativă. În această etapă, se calculează un profil de risc și se selectează măsurile de securitate. În primul rând, se stabilesc legături între resurse, pierderi, amenințări și vulnerabilități identificate în etapele anterioare ale studiului (riscul este descris prin combinarea acestor patru parametri).
De fapt, riscul este estimat folosind așteptarea matematică a pierderilor pentru anul. De exemplu, dacă costul unui server este de 150.000 USD și probabilitatea ca acesta să fie distrus de incendiu într-un an este de 0,01, atunci pierderea așteptată este de 1.500 USD.
Cunoscuta formulă m = pxv, unde m este așteptarea matematică, p este probabilitatea unei amenințări, v este costul resursei, a suferit unele modificări datorită faptului că RiskWatch utilizează estimări definite de Institutul American de Standardele NIST, numite LAFE și SAFE. LAFE (Local Annual Frequency Estimate) arată de câte ori pe an, în medie, o anumită amenințare este realizată într-un anumit loc (de exemplu, într-un oraș). SAFE (Standard Annual Frequency Estimate) arată de câte ori pe an, în medie, apare o anumită amenințare în această „parte a lumii” (de exemplu, în America de Nord). De asemenea, este introdus un factor de corecție, care face posibil să se țină cont de faptul că atunci când se realizează o amenințare, resursa protejată nu poate fi distrusă complet, ci doar parțial.
În plus, sunt luate în considerare scenarii „ce ar fi dacă...”, care vă permit să descrieți situații similare, sub rezerva implementării garanțiilor. Prin compararea pierderilor așteptate cu și fără implementarea măsurilor de protecție, este posibil să se evalueze efectul acestor măsuri.
RiskWatch include baze de date cu evaluări LAFE și SAFE, precum și descrieri generalizate ale diferitelor tipuri de produse de protecție.
Indicatorul de rentabilitate a investiției (ROI), care arată rentabilitatea investiției realizate într-o anumită perioadă de timp, cuantifică impactul intervențiilor de securitate. Acest indicator este calculat folosind formula:
unde Costsi este costul implementării și menținerii măsurii de protecție a I-a; Beneficii - o evaluare a beneficiilor (reducerea preconizată a pierderilor) pe care le aduce implementarea acestei măsuri de protecție; NVP (Valoare netă prezentă) se ajustează pentru inflație.
A patra etapă este generarea rapoartelor. Sunt disponibile următoarele tipuri de rapoarte:
- rezumat scurt;
- rapoarte complete și concise ale elementelor descrise în etapele 1 și 2;
- un raport privind costul resurselor protejate și pierderile așteptate din implementarea amenințărilor;
- raportarea amenințărilor și contramăsurilor;
- raportul ROI;
- raport de audit de securitate.
Un exemplu de calcul al indicatorului ROI pentru diferite măsuri de protecție este prezentat în Fig. 5.
Astfel, RiskWatch vă permite să evaluați nu numai riscurile care există în prezent în întreprindere, ci și beneficiile pe care le poate aduce implementarea de mijloace fizice, tehnice, software și de alte mijloace și mecanisme de protecție. Rapoartele și graficele pregătite oferă material suficient pentru luarea deciziilor privind schimbarea sistemului de securitate al întreprinderii.
Pentru utilizatorii casnici, problema este că este destul de problematic să obținem estimări utilizate în RiskWatch (cum ar fi LAFE și SAFE) pentru condițiile noastre. Deși metodologia în sine poate fi aplicată cu succes în țara noastră.
Rezumând, observăm că atunci când alegem o metodologie specifică pentru analiza riscurilor la nivelul întreprinderii și a instrumentelor care o susțin, trebuie să răspundem la întrebarea: este necesar să existe o evaluare cantitativă precisă a consecințelor implementării amenințărilor sau dacă un evaluarea la nivel calitativ este suficientă. De asemenea, este necesar să se țină cont de următorii factori: prezența experților care sunt capabili să ofere estimări fiabile ale volumului pierderilor cauzate de amenințările la securitatea informațiilor și disponibilitatea unor statistici fiabile ale incidentelor în domeniul securității informațiilor la întreprindere. .
Dezavantajele RiskWatch includ următoarele:
- această metodă este potrivită dacă este necesară efectuarea unei analize de risc la nivel de protecție software și hardware, fără a lua în considerare factorii organizatorici și administrativi;
- evaluările de risc obţinute (aşteptarea matematică a pierderilor) nu epuizează în niciun caz înţelegerea riscului din punct de vedere sistemic - metoda nu ţine cont de o abordare integrată a securităţii informaţiei;
- Software-ul RiskWatch este disponibil numai în limba engleză;
- cost ridicat de licență - de la 10.000 USD pe loc pentru o companie mică.
Gât
GRIF este un sistem cuprinzător pentru analiza și gestionarea riscurilor sistemului informațional al unei companii. GRIF 2005 de la Digital Security Office (http://www.dsec.ru/products/grif/) oferă o imagine a securității resurselor informaționale din sistem și vă permite să alegeți strategia optimă pentru protejarea informațiilor corporative.
Sistemul GRIF analizează nivelul de protecție a resurselor, evaluează posibilele daune din implementarea amenințărilor la securitatea informațiilor și ajută la gestionarea riscurilor prin alegerea contramăsurilor.
Analiza riscurilor IS se realizează în două moduri: folosind un model de fluxuri de informații sau un model de amenințări și vulnerabilități, în funcție de ce date inițiale are utilizatorul, precum și de ce date este interesat la ieșire.
Modelul fluxului de informații
Când se lucrează cu un model de fluxuri de informații, informații complete despre toate resursele cu informații valoroase, utilizatorii care au acces la aceste resurse, tipuri și drepturi de acces sunt introduse în sistem. Sunt înregistrate date despre toate mijloacele de protecție a fiecărei resurse, interconexiunile de rețea a resurselor, caracteristicile politicii de securitate a companiei. Rezultatul este un model complet al sistemului informatic.
În prima etapă a lucrului cu programul, utilizatorul introduce toate obiectele sistemului său informațional: departamente, resurse (obiectele specifice acestui model includ grupuri de rețea, dispozitive de rețea, tipuri de informații, grupuri de utilizatori, procese de afaceri).
În continuare, utilizatorul trebuie să stabilească conexiuni, adică să determine căror departamente și grupuri de rețea aparțin resursele, ce informații sunt stocate pe resursă și ce grupuri de utilizatori au acces la aceasta. Utilizatorul indică și mijloacele de protejare a resursei și a informațiilor.
În etapa finală, utilizatorul răspunde la o listă de întrebări despre politica de securitate implementată în sistem, ceea ce permite evaluarea nivelului real de securitate a sistemului și detalierea evaluărilor riscurilor.
Prezența mijloacelor de protecție a informațiilor, remarcată în prima etapă, nu face în sine în sine siguranța sistemului în cazul utilizării lor inadecvate și absența unei politici de securitate cuprinzătoare care să ia în considerare toate aspectele protecției informațiilor, inclusiv securitatea, securitatea fizică, securitatea personalului, continuitatea afacerii etc.
Ca urmare a efectuării tuturor acțiunilor din aceste etape, la ieșire se formează un model complet al sistemului informațional din punct de vedere al securității informațiilor, ținând cont de îndeplinirea efectivă a cerințelor politicii integrate de securitate, ceea ce vă permite pentru a trece la o analiză programatică a datelor introduse pentru a obține o evaluare cuprinzătoare a riscurilor și a genera un raport final.
Model de amenințare și vulnerabilitate
Lucrul cu modelul de analiză a amenințărilor și vulnerabilităților implică identificarea vulnerabilităților fiecărei resurse cu informații valoroase și a amenințărilor corespunzătoare care pot fi realizate prin aceste vulnerabilități. Rezultatul este o imagine completă a slăbiciunilor sistemului informațional și a daunelor care pot fi făcute.
În prima etapă de lucru cu produsul, utilizatorul introduce în sistem obiectele IS-ului său: departamente, resurse (obiectele specifice acestui model includ amenințări la adresa sistemului informațional și vulnerabilități prin care sunt implementate amenințările).
GRIF 2005 include cataloage extinse de amenințări și vulnerabilități, care conțin aproximativ 100 de amenințări și 200 de vulnerabilități. Pentru completitatea și versatilitatea maximă a acestor cataloage, experții în Securitate Digitală au elaborat o clasificare specială a amenințărilor, DSECCT, care implementează mulți ani de experiență practică în domeniul securității informațiilor. Folosind aceste directoare, utilizatorul poate selecta amenințările și vulnerabilitățile legate de sistemul său de informații.
Algoritmul sistemului GRIF 2005 analizează modelul construit și generează un raport care conține valorile de risc pentru fiecare resursă. Configurația raportului poate fi aproape orice, ceea ce vă permite să creați atât rapoarte rezumative pentru management, cât și rapoarte detaliate pentru a lucra în continuare cu rezultatele (Fig. 6).
 |
| Orez. 6. Un exemplu de raport în sistemul GRIF 2005. |
Sistemul GRIF 2005 contine un modul de management al riscului care va permite sa analizati toate motivele pentru care in urma procesarii datelor introduse de catre algoritm se obtine exact aceasta valoare de risc. Astfel, cunoscând motivele, este posibilă obținerea datelor necesare implementării contramăsurilor și, în consecință, reducerea nivelului de risc. După calcularea eficienței fiecărei posibile contramăsuri, precum și determinarea valorii riscului rezidual, puteți selecta contramăsuri care vor reduce riscul la nivelul necesar.
Ca urmare a lucrului cu sistemul GRIF, se construiește un raport detaliat pe nivelul de risc al fiecărei resurse valoroase a sistemului informațional al companiei, toate motivele riscului sunt indicate cu o analiză detaliată a vulnerabilităților și o evaluare a situației economice. eficiența tuturor contramăsurilor posibile.
***
Cele mai bune practici din lume și standardele internaționale de top în domeniul securității informațiilor, în special ISO 17799, necesită implementarea unui sistem de analiză și management al riscurilor pentru a gestiona eficient securitatea unui sistem informațional. În acest caz, puteți folosi orice instrument convenabil, dar principalul lucru este să înțelegeți întotdeauna clar că sistemul de securitate a informațiilor a fost creat pe baza unei analize a riscurilor informaționale, testate și justificate. Analiza și gestionarea riscurilor informaționale este un factor cheie pentru construirea unei protecții eficiente a unui sistem informațional.
Universitatea Națională Deschisă „INTUIT”: www.intuit.ru Sergey Nesterov Curs 4. Metode și produse software pentru evaluarea riscurilor
Mai jos sunt descrieri scurte ale unui număr de tehnici comune de analiză a riscurilor. Ele pot fi împărțite în:
metodologii care utilizează o evaluare calitativă a riscului (de exemplu, pe o scară de „înalt”, „mediu”, „scăzut”). Aceste tehnici includ, în special, FRAP;
metode cantitative (riscul este evaluat printr-o valoare numerică, de exemplu, valoarea pierderilor anuale așteptate). Această clasă include tehnica RiskWatch;
metode folosind estimări mixte (această abordare este utilizată în CRAMM, metodologie
Microsoft etc.).
Metodologia CRAMM
Aceasta este una dintre primele metode de analiză a riscurilor în domeniul securității informațiilor, lucrul la aceasta a fost început la mijlocul anilor 80. Agenția Centrală de Calculatoare și Telecomunicații (CCTA) Marea Britanie.
Metoda CRAMM se bazează pe o abordare integrată a evaluării riscurilor, combinând metode cantitative și calitative de analiză. Metoda este versatilă și potrivită atât pentru organizațiile mari, cât și pentru cele mici, atât în sectorul guvernamental, cât și în cel comercial. Versiunile de software CRAMM care vizează diferite tipuri de organizații diferă unele de altele în bazele lor de cunoștințe (profiluri). Există un profil comercial pentru organizațiile comerciale și un profil guvernamental pentru organizațiile guvernamentale. Versiunea guvernamentală a profilului permite, de asemenea, auditarea conformității cu cerințele standardului american ITSEC ("Orange Book").
Studiul sistemului de securitate a informațiilor folosind CRAMM se realizează în trei etape.
În prima etapă se analizează tot ceea ce privește identificarea și determinarea valorii resurselor sistemului. Se începe cu rezolvarea problemei definirii limitelor sistemului studiat: se colectează informații despre configurația sistemului și despre cine este responsabil pentru resursele fizice și software, cine se numără printre utilizatorii sistemului, cum îl folosesc sau îl va folosi.
Se realizează identificarea resurselor: fizice, software și informaționale, cuprinse în limitele sistemului. Fiecare resursă trebuie să fie atribuită uneia dintre clasele predefinite. Apoi se construiește un model al sistemului informațional din poziția de securitate a informațiilor. Pentru fiecare proces de informare, care, în opinia utilizatorului, are o semnificație independentă și se numește serviciu utilizator, se construiește un arbore de legături ale resurselor utilizate. Modelul construit face posibilă evidențierea elementelor critice.
Valoarea resurselor fizice în CRAMM este determinată de costul refacerii acestora în caz de distrugere.
Valoarea datelor și a software-ului este determinată în următoarele situații: indisponibilitatea unei resurse pentru o anumită perioadă de timp;
distrugerea resursei, pierderea informațiilor primite de la ultima copie de rezervă sau distrugerea completă a acesteia;
încălcarea confidențialității în cazurile de acces neautorizat al personalului sau al persoanelor neautorizate;
modificarea este luată în considerare pentru cazurile de erori minore de personal (erori de intrare), erori de programare, erori deliberate;
erori legate de transferul de informații: refuzul livrării, nelivrarea informațiilor, livrarea la adresa greșită.
încălcarea legislației în vigoare; daune aduse sănătății personalului;
daune asociate cu dezvăluirea datelor personale ale persoanelor fizice;
pierderi financiare din dezvăluirea de informații;pierderi financiare asociate cu restabilirea resurselor;
pierderi asociate cu incapacitatea de a îndeplini obligațiile; dezorganizarea activităților.
Pentru date și software, sunt selectate criteriile aplicabile IS-ului dat, iar daunele sunt evaluate pe o scară de la 1 la 10.
În descrierile CRAMM, de exemplu, o astfel de scală de rating este dată în funcție de criteriul „Pierderi financiare asociate cu refacerea resurselor”:
2 puncte mai puțin de 1000 USD;
6 puncte de la 1000 USD la 10.000 USD;
8 puncte de la 10.000 USD la 100.000 USD; 10 puncte peste 100.000 USD.
Cu un scor scăzut pentru toate criteriile utilizate (3 puncte și mai jos), se consideră că sistemul luat în considerare necesită un nivel de bază de protecție (acest nivel nu necesită o evaluare detaliată a amenințărilor la securitatea informațiilor) și a doua etapă a se omite studiul.
A doua etapă examinează tot ceea ce este legat de identificarea și evaluarea nivelurilor de amenințare pentru grupurile de resurse și vulnerabilitățile acestora. La sfârșitul etapei, clientul primește nivelurile de risc identificate și evaluate pentru sistemul său. În această etapă, se evaluează dependența serviciilor utilizatorilor de anumite grupuri de resurse și nivelul existent de amenințări și vulnerabilități, se calculează nivelurile de risc și se analizează rezultatele.
Resursele sunt grupate după tipul de amenințare și vulnerabilitate. De exemplu, dacă există o amenințare de incendiu sau furt, ca grup de resurse, este rezonabil să luăm în considerare toate resursele situate într-un singur loc (camera serverului, camera de comunicații etc.). Evaluarea nivelurilor de amenințări și vulnerabilități se bazează pe studiul factorilor indirecti.
Software-ul CRAMM generează o listă de întrebări clare pentru fiecare grup de resurse și pentru fiecare dintre cele 36 de tipuri de amenințări. Nivelul amenințărilor este evaluat, în funcție de răspunsuri, ca foarte ridicat, ridicat, mediu, scăzut și foarte scăzut. Nivelul de vulnerabilitate este evaluat, în funcție de răspunsuri, ca înalt, mediu și scăzut.
Pe baza acestor informații, nivelurile de risc sunt calculate pe o scară discretă cu gradații de la 1 la 7. Nivelurile rezultate ale amenințărilor, vulnerabilităților și riscurilor sunt analizate și convenite cu clientul.
CRAMM integrează amenințările și vulnerabilitățile într-o matrice de risc. Luați în considerare modul în care este derivată această matrice și ce înseamnă fiecare dintre nivelurile de risc.
Principala abordare pentru rezolvarea acestei probleme este de a lua în considerare: nivelul de amenințare (scara este prezentată în Tabelul 4.1);
nivelul de vulnerabilitate (scala este prezentată în Tabelul 4.2);
mărimea pierderilor financiare aşteptate (exemplu în Fig. 4.1).
Tabelul 4.1. Scala pentru evaluarea nivelurilor de amenințare (frecvența apariției).
Descriere |
Sens |
incidentul are loc în medie, nu mai des decât la fiecare 10 ani foarte scăzut |
|
un incident are loc în medie o dată la 3 ani |
|
incidentul are loc în medie o dată pe an |
|
incidentul are loc în medie o dată la patru luni |
|
incidentul are loc în medie o dată pe lună |
foarte inalt |
Tabelul 4.2. Scala de evaluare a vulnerabilității (probabilitatea de succes |
|
implementarea amenințării). |
|
Descriere |
Sens |
În cazul unui incident, probabilitatea de apariție a evenimentelor este scăzută
Pe baza estimărilor costului resurselor IP protejate, a evaluărilor amenințărilor și vulnerabilităților, se determină „pierderile anuale așteptate”. În fig. 4.1 prezintă un exemplu de matrice pentru estimarea pierderii așteptate. În ea, a doua coloană din stânga conține valorile costului resurselor, linia superioară a antetului tabelului este o estimare a frecvenței de apariție a unei amenințări în timpul anului (nivel de amenințare), linia inferioară a antetul conține o estimare a probabilității de succes a implementării amenințării (nivelul de vulnerabilitate).
Orez. 4.1. Matricea pierderilor anuale așteptate
Valorile pierderilor anuale așteptate (English Annual Loss of Expectancy) sunt convertite în CRAMM în puncte care arată nivelul de risc, conform scalei prezentate în Fig. 4.2 (în acest exemplu, pierderile sunt raportate în lire sterline).
Orez. 4.2. Scala de evaluare a nivelului de risc
În conformitate cu matricea de mai jos, este derivată o evaluare a riscului (Figura 4.3)
Orez. 4.3. Matricea de evaluare a riscurilor
A treia etapă a cercetării este găsirea contramăsurilor adecvate. În esență, este o căutare a unei opțiuni de sistem de securitate care se potrivește cel mai bine cerințelor clientului.
În această etapă, CRAMM generează mai multe opțiuni de contramăsuri care sunt adecvate riscurilor identificate și nivelurilor acestora. Contramăsurile pot fi grupate în trei categorii: aproximativ 300 de recomandări generale; peste 1000 de recomandări specifice; aproximativ 900 de exemple despre cum puteți organiza protecția într-o anumită situație.
Astfel, CRAMM este un exemplu de metodologie de calcul în care aprecierile inițiale sunt date la nivel calitativ, iar apoi se face trecerea la o evaluare cantitativă (în puncte).
Tehnica FRAP
Procesul facilitat de analiză a riscurilor (FRAP) de către Peltier și Asociații. http://www.peltierassociates.com/) dezvoltat de Thomas R. Peltier și
publicat în (fragmente din această carte sunt disponibile pe site, descrierea de mai jos este construită pe baza acestora). În metodologie, furnizarea SI IS este propusă a fi luată în considerare în cadrul procesului de management al riscului. Managementul riscului în domeniul securității informațiilor este un proces care permite companiilor să găsească un echilibru între costul fondurilor și eforturile privind echipamentele de protecție și efectul rezultat.
Managementul riscului ar trebui să înceapă cu o evaluare a riscului: rezultatele evaluării documentate corespunzător vor sta la baza deciziilor de îmbunătățire a securității sistemului.
După finalizarea evaluării, se efectuează o analiză cost/beneficiu, care vă permite să determinați remediile necesare pentru a reduce riscul la un nivel acceptabil.
Mai jos sunt principalele etape ale evaluării riscurilor. Această listă repetă în mare măsură o listă similară din alte metode, dar FRAP dezvăluie mai detaliat modalități de a obține date despre sistem și vulnerabilitățile acestuia.
1. Determinarea activelor protejate se realizează cu ajutorul chestionarelor, studierea documentației pentru sistem, folosind instrumente de analiză (scanare) automată a rețelelor.
2. Identificarea amenințărilor. La compilarea unei liste de amenințări, pot fi utilizate diferite abordări:
liste de amenințări (liste de verificare) pregătite în prealabil de experți, din care sunt selectate cele relevante pentru un anumit sistem;
analiza statisticilor incidentelor din acest IS și din altele similare, se evaluează frecvența apariției acestora; pentru o serie de amenințări, de exemplu, amenințarea unui incendiu, astfel de statistici pot fi obținute de la organizațiile guvernamentale relevante;
sesiune de brainstorming de către angajații companiei.
3. Când lista de amenințări este completă, fiecare dintre ele este comparată cu probabilitatea de apariție. După aceea, se evaluează prejudiciul care poate fi cauzat de această amenințare. Pe baza valorilor obținute se evaluează nivelul de amenințare.
La efectuarea analizei, de regulă, se presupune că, în stadiul inițial, sistemul nu are mijloace și mecanisme de protecție. Astfel, se evaluează nivelul de risc pentru IS neprotejat, ceea ce permite ulterior să evidențieze efectul introducerii instrumentelor de securitate a informațiilor (ISS).
Evaluarea se face pentru probabilitatea unei amenințări și daune cauzate de aceasta pe următoarele scale.
Probabilitate:
Probabilitate mare Este foarte probabil ca amenințarea să se materializeze în următorul an;
Amenințarea cu probabilitate medie este probabil să se materializeze în anul următor; probabilitatea scăzută este puțin probabil să se materializeze în anul următor.
Impactul este o măsură a cantității de pierdere sau daune cauzate unui activ:
High (High Impact): închiderea unităților critice de afaceri, care are ca rezultat daune semnificative afacerii, pierderea imaginii sau pierderea unui profit semnificativ;
Impact mediu: întreruperea pe termen scurt a proceselor sau sistemelor critice care are ca rezultat pierderi financiare limitate într-o unitate de afaceri;
Scăzut (impact scăzut): o întrerupere a muncii care nu provoacă pierderi financiare tangibile.
Evaluarea se determină în conformitate cu regula specificată de matricea de risc prezentată în Fig. 4.4. Evaluarea rezultată a nivelului de risc poate fi interpretată după cum urmează:
Acțiunile de nivel A legate de risc (de exemplu, implementarea unui sistem de securitate a informațiilor) trebuie efectuate imediat și fără greșeală;
Trebuie luate acțiuni de nivel B legate de risc;
Nivelul C necesită monitorizarea situației (dar poate să nu fie necesar să se ia măsuri imediate pentru a contracara amenințarea);
Nivelul D nu este necesară nicio acțiune în acest moment.
Orez. 4.4. Matricea de risc FRAP
4. Odată ce amenințările au fost identificate și s-a făcut o evaluare a riscurilor, ar trebui identificate contramăsuri pentru a elimina riscul sau a-l reduce la un nivel acceptabil. Totodată, trebuie avute în vedere restricții legale care fac imposibilă sau, dimpotrivă, prescriu fără greșeală, utilizarea anumitor mijloace și mecanisme de protecție. Pentru a determina efectul așteptat, este posibil să se evalueze același risc, dar sub rezerva implementării SIS propus. Dacă riscul nu este suficient de redus, poate fi necesară utilizarea unui SZI diferit. Odată cu definirea mijloacelor de protecție, este necesar să se determine ce costuri vor presupune achiziția și implementarea acestuia (costurile pot fi atât directe, cât și indirecte, vezi mai jos). În plus, este necesar să se evalueze dacă instrumentul în sine este sigur, dacă creează noi vulnerabilități în sistem.
Pentru a utiliza remedii rentabile, trebuie efectuată o analiză cost-beneficiu. În acest caz, este necesar să se evalueze nu numai costul achiziționării soluției, ci și costul menținerii funcționării acesteia. Costurile pot include:
costul implementării proiectului, inclusiv software și hardware suplimentar;
o scădere a eficienței sistemului în îndeplinirea sarcinilor sale principale; introducerea de politici și proceduri suplimentare pentru întreținerea instalației; costul angajării de personal suplimentar sau al recalificării celui existent.
5. Documentarea. Când evaluarea riscului este finalizată, rezultatele acesteia ar trebui documentate în detaliu într-un format standardizat. Raportul rezultat poate fi folosit pentru a defini politici, proceduri, buget de securitate etc.
tehnica OCTAVE
OCTAVE (Evaluarea amenințărilor critice operaționale, a activelor și a vulnerabilităților)
risc într-o organizație dezvoltată de Institutul de Inginerie Software (SEI) de la Universitatea Carnegie Mellon. O descriere completă a tehnicii este disponibilă pe Internet la http://www.cert.org/octave. Ea este, de asemenea, dedicată multor articole științifice, științifice și tehnice.
Particularitatea acestei tehnici este că întregul proces de analiză este realizat de personalul organizației, fără implicarea consultanților externi. Pentru a face acest lucru, este creat un grup mixt, care include atât specialiști tehnici, cât și manageri de diferite niveluri, ceea ce face posibilă evaluarea cuprinzătoare a consecințelor asupra afacerii unor eventuale incidente de securitate și dezvoltarea contramăsurilor.
OCTAVE are trei faze de analiză:
1. dezvoltarea unui profil de amenințare asociat activului;
2. identificarea vulnerabilităților infrastructurii;
3. dezvoltarea strategiilor și planurilor de securitate.
Profilul amenințării include referințe la activ, tipul de acces la activ, sursa amenințării (actorul), tipul de încălcare sau motiv (motiv), rezultatul (rezultatul) și link-uri către descrieri ale amenințării în cataloage publice. După tipul de sursă, amenințările din OCTAVE sunt împărțite în:
1. amenințări emanate de la un intrus care acționează printr-o rețea de transmisie a datelor;
2. amenințările prezentate de un intrus care folosește accesul fizic;
3. amenințări legate de defecțiuni ale sistemului;
4. altele.
Rezultatul poate fi dezvăluirea, modificarea, pierderea/distrugerea unei resurse de informații sau deconectarea. Refuzarea serviciului
Tehnica OCTAVE sugerează utilizarea „arborilor variante” atunci când descrieți un profil; un exemplu de astfel de arbore pentru amenințările din clasa 1) este prezentat în Fig. 4.5. Când se creează un profil de amenințare, se recomandă evitarea abundenței de detalii tehnice - aceasta este sarcina celei de-a doua faze a studiului. Sarcina principală a primei etape este de a descrie combinația dintre amenințare și resursă într-un mod standardizat.
Să presupunem că întreprinderea are o bază de date (DB) a resurselor informaționale (activ) a bazei de date HR (bază de date HR). Profilul corespunzător amenințării cu furtul de informații de către un angajat al întreprinderii este prezentat în Tabelul 4.3.
Tabelul 4.3. Exemplu de profil de amenințare.
Atu |
Baza de date HR |
Tip de acces (Acces) |
Prin rețea de date |
Sursa amenințării (Actor) |
Intern (în interior) |
Tip de încălcare (motiv) |
Delibera |
Vulnerabilitate |
|
Rezultat |
Dezvăluire |
mărește imaginea Orez. 4.5. Arborele de variante folosit la descrierea unui profil
A doua fază a studiului sistemului în conformitate cu metodologia de identificare a vulnerabilităților infrastructurii. În această fază se determină infrastructura care susține existența activului alocat anterior (de exemplu, dacă aceasta este o bază de date a departamentului de resurse umane, atunci pentru a lucra cu ea avem nevoie de un server pe care se află baza, o stație de lucru de un angajat al departamentului HR etc.) și acel mediu, care poate permite accesul la acesta (de exemplu, segmentul corespunzător al rețelei locale). Sunt considerate componente ale următoarelor clase: servere; echipamente de rețea; sisteme de securitate a informațiilor; calculatoare personale; calculatoare personale de acasă ale utilizatorilor „acasă” care lucrează de la distanță, dar au acces la rețeaua organizației; calculatoare mobile; sisteme de stocare; dispozitive fără fir; altele .
Echipa care analizează pentru fiecare segment al rețelei notează ce componente din aceasta sunt verificate pentru vulnerabilități. Vulnerabilitățile sunt verificate de scanere de securitate la nivel de sistem de operare, scanere de securitate de rețea, scanere specializate (pentru anumite servere web, DBMS etc.), folosind liste de verificare, scripturi de testare.
Pentru fiecare componentă se determină:
o listă de vulnerabilități care trebuie eliminate imediat (vulnerabilitati de mare severitate);
lista cu vulnerabilități care trebuie eliminate în viitorul apropiat (vulnerabilitati de severitate medie);
o listă de vulnerabilități care nu necesită o acțiune imediată (vulnerabilitati de severitate scăzută).
Pe baza rezultatelor etapei se întocmește un raport care indică ce vulnerabilități au fost descoperite, ce impact pot avea acestea asupra activelor alocate anterior, ce măsuri trebuie luate pentru eliminarea vulnerabilităților.
Dezvoltarea strategiilor și planurilor de securitate este a treia etapă a cercetării sistemului. Se începe cu o evaluare a riscurilor, care se bazează pe rapoartele din cele două etape anterioare. În OCTAVE, evaluarea riscului oferă doar o estimare a prejudiciului așteptat, fără o estimare a probabilității. Scara: mare, mijlocie, joasa. Daune financiare, prejudicii aduse reputației companiei, vieții și
sănătatea clienților și angajaților, prejudiciu care poate cauza urmărirea penală ca urmare a unui incident. Sunt descrise valorile corespunzătoare fiecărei gradații a scalei (de exemplu, o pierdere financiară de 10.000 USD este mare pentru o afacere mică, medie pentru una mai mare).
pe termen mediu;
liste de sarcini pentru viitorul apropiat.
Pentru a determina măsuri de contracarare a amenințărilor din metodologie, sunt propuse cataloage de fonduri.
Aș dori să subliniez încă o dată că, spre deosebire de alte metode, OCTAVE nu implică implicarea unor experți terți în studiul securității IS, iar toată documentația OCTAVE este disponibilă public și gratuit, ceea ce face metoda deosebit de atractivă pentru întreprinderi cu un buget strâns limitat alocat pentru securitatea informațiilor...
Tehnica RiskWatch
RiskWatch și-a dezvoltat propria metodologie de analiză a riscurilor și o familie de instrumente software în care este implementat într-o oarecare măsură.
Familia RiskWatch include produse software pentru diferite tipuri de audituri de securitate:
RiskWatch for Physical Security pentru analiza protecției fizice a IP;
RiskWatch pentru Sisteme Informaționale pentru riscuri informaționale;
HIPAAWATCH pentru industria de asistență medicală pentru a evalua conformitatea cu cerințele Actului privind portabilitatea și responsabilitatea asigurărilor de sănătate din SUA (HIPAA), care sunt relevante în principal pentru instituțiile medicale care operează în Statele Unite;
RiskWatch RW17799 pentru ISO 17799 pentru evaluarea conformității IP cu cerințele standardului internațional ISO 17799.
Metoda RiskWatch folosește așteptarea anuală a pierderii (ALE) și rentabilitatea investiției (ROI) ca criterii pentru evaluarea și gestionarea riscului. RiskWatch se concentrează pe cuantificarea cu precizie a relației dintre pierderile amenințărilor de securitate și costurile de apărare. Produsul RiskWatch se bazează pe o metodologie de analiză a riscurilor care constă din patru etape.
Prima etapă este definirea subiectului de cercetare. Acesta descrie astfel de parametri precum tipul de organizare, compoziția sistemului studiat (în termeni generali), cerințele de bază în domeniul securității. Pentru a facilita munca analistului, şabloane corespunzătoare tipului de organizaţie („sistem informaţional comercial”, „sistem informaţional de stat/militar” etc.) conţin liste cu categorii de resurse protejate, pierderi, ameninţări, vulnerabilităţi şi măsuri de protecţie. Dintre acestea, trebuie să le selectați pe cele care sunt prezente efectiv în organizație (Figura 4.6).
Dezvaluirea informatiei;
Pierderi directe (de exemplu, din distrugerea echipamentelor prin incendiu); Viață și sănătate (personal, clienți etc.);
Modificarea datelor;
Pierderi indirecte (de exemplu, costuri de restaurare); Reputație.
A doua etapă este introducerea datelor care descriu caracteristicile specifice ale sistemului. Datele pot fi introduse manual sau importate din rapoartele generate de instrumentele de cercetare a vulnerabilităților rețelelor de calculatoare. În această etapă, în special, resursele, pierderile și clasele de incidente sunt descrise în detaliu. Clasele de incidente sunt obținute prin potrivirea categoriei de pierderi cu categoria de resurse.
Pentru identificarea posibilelor vulnerabilități se folosește un chestionar, a cărui bază de date conține peste 600 de întrebări. Întrebările sunt legate de categorii de resurse.
De asemenea, sunt stabilite frecvența de apariție a fiecăreia dintre amenințările selectate, gradul de vulnerabilitate și valoarea.
resurse. Dacă sistemul are estimări medii anuale de apariție (LAFE și SAFE) pentru clasa de amenințare selectată, acestea sunt utilizate. Toate acestea sunt folosite în viitor pentru a calcula efectul introducerii echipamentului de protecție.
mărește imaginea Orez. 4.6. Definirea categoriilor de resurse protejate
A treia etapă este o evaluare cantitativă a riscului. În această etapă, se calculează un profil de risc și se selectează măsurile de securitate. În primul rând, se stabilesc legături între resurse, pierderi, amenințări și vulnerabilități identificate în etapele anterioare ale studiului. Practic, riscul este evaluat folosind așteptarea matematică a pierderilor pentru anul. De exemplu, dacă costul unui server este de 150.000 USD, iar probabilitatea ca acesta să fie distrus de incendiu într-un an este de 0,01, atunci pierderea așteptată este de 1.500 USD.
Formula de calcul (m = p * v, unde m este așteptarea matematică, p este probabilitatea unei amenințări, v este costul resursei) a suferit unele modificări, datorită faptului că RiskWatch folosește estimări definite de americanul Institutul NIST, numit LAFE și SAFE. LAFE (Local Annual Frequency Estimate) arată de câte ori pe an, în medie, o anumită amenințare este realizată într-un anumit loc (de exemplu, într-un oraș). SAFE (Standard Annual Frequency Estimate) arată de câte ori pe an, în medie, apare o anumită amenințare în această „parte a lumii” (de exemplu, în America de Nord). Se introduce și un factor de corecție, care face posibil să se țină cont de faptul că, în urma implementării unei amenințări, resursa protejată nu poate fi distrusă complet, ci doar parțial.
Formulele (4.1) și (4.2) arată opțiuni pentru calcularea indicatorului ALE:
Valoarea activului este valoarea activului luat în considerare (date, software, hardware etc.); Factorul de expunere factorul de expunere arată ce parte (în procente) din valoare
activul este în pericol;
Frecvența frecvenței de apariție a unui eveniment nedorit;
ALE este o estimare a pierderilor anuale așteptate pentru un activ specific din implementarea unei amenințări.
Când toate activele și impacturile sunt identificate și colectate împreună, devine posibil să se evalueze riscul general pentru PI ca suma tuturor valorilor particulare.
Puteți introduce „Rata anualizată de apariție ARO” și „Single Loss Expectancy SLE”, care pot fi calculate ca diferență între valoarea inițială a activului și valoarea reziduală a acestuia după incident (deși această metodă de estimare nu este aplicabilă în în toate cazurile, de exemplu, nu este potrivit pentru evaluarea riscurilor asociate cu încălcarea confidențialității informațiilor). Apoi, pentru o combinație separată de resurse de amenințare, se aplică formula (4.2).
În plus, scenariile ce se întâmplă dacă sunt luate în considerare pentru a descrie situații similare, cu condiția să existe controale de securitate. Prin compararea pierderilor așteptate, cu condiția implementării măsurilor de protecție și fără acestea, este posibil să se evalueze efectul unor astfel de măsuri.
RiskWatch include baze de date cu evaluări LAFE și SAFE, precum și descrieri generalizate ale diferitelor tipuri de produse de protecție.
Indicatorul de rentabilitate a investiției (ROI), care arată rentabilitatea investiției realizate pe o anumită perioadă de timp, cuantifică impactul implementării garanțiilor. Se calculează prin formula:
Costuri j costuri de implementare și întreținere j măsuri de protecție;
Beneficii i o evaluare a beneficiilor (adică reducerea preconizată a pierderilor) pe care le aduce implementarea acestei măsuri de protecție;
VAN (Valoarea actuală netă) este valoarea actuală netă.
A patra etapă este generarea rapoartelor. Tipuri de rapoarte: Rezumate scurte.
Rapoarte complete și concise ale elementelor descrise în etapele 1 și 2.
Raportați costul resurselor protejate și pierderile așteptate din implementarea amenințărilor. Raport privind amenințările și contramăsurile.
Raport ROI (fragment în Fig. 4.7). Raport de audit de securitate.
http://www.intuit.ru/studies/courses/531/387/print_lecture/8996 |
CRAMM, RiskWatch și GRIF
Relevanța sarcinii de asigurare a securității informațiilor pentru afaceri
Astăzi, nu există nicio îndoială cu privire la necesitatea de a investi în securitatea informațională a afacerilor mari moderne. Principala întrebare a afacerilor moderne este cum să evaluăm nivelul suficient de investiții în securitatea informațiilor pentru a asigura eficiența maximă a investițiilor în acest domeniu. Există o singură modalitate de a rezolva această problemă - utilizarea sistemelor de analiză a riscurilor care permit evaluarea riscurilor existente în sistem și alegerea celei mai eficiente opțiuni de protecție (în funcție de raportul dintre riscurile existente în sistem și costurile securității informațiilor). ).
Pentru a confirma faptul că este urgentă sarcina de a asigura securitatea afacerilor, vom folosi raportul FBI pentru 2003. Datele au fost colectate dintr-un sondaj de 530 de companii americane (întreprinderi mijlocii și mari).
Statisticile privind incidentele de securitate IT sunt neiertătoare. Potrivit FBI, în 2003, 56% dintre companiile chestionate au fost atacate:
Pierderile din diferite tipuri de impacturi ale informațiilor sunt prezentate în graficul următor:
Justificarea necesității investițiilor în securitatea informațiilor companiei
Potrivit statisticilor, cel mai mare obstacol în calea luării oricăror măsuri de asigurare a securității informațiilor într-o companie sunt două motive:
- limitarea bugetului;
- lipsa sprijinului din partea conducerii.
Ambele motive provin din înțelegerea greșită de către management a gravității problemei și din dificultatea managerului IT de a justifica de ce este necesar să se investească în securitatea informațiilor. Adesea, mulți tind să creadă că principala problemă este că managerii și directorii IT vorbesc limbi diferite - tehnice și financiare, dar la urma urmei, specialiștilor IT înșiși le este adesea dificil să estimeze pe ce să cheltuiască banii și cât de mult este necesar. pentru a asigura o mai mare securitate.sistemele companiei astfel încât aceste costuri să nu fie risipite sau excesive.
Dacă managerul IT are o idee clară despre câți bani poate pierde o companie în caz de amenințări, ce locuri din sistem sunt cele mai vulnerabile, ce măsuri pot fi luate pentru a crește nivelul de securitate fără a cheltui bani în plus și toate acestea sunt documentate, atunci soluția problemei este convinsă conducerea să acorde atenție și să aloce fonduri pentru securitatea informațiilor devine mult mai reală.
Pentru rezolvarea acestei probleme au fost dezvoltate sisteme software pentru analiza și controlul riscurilor informaționale: British CRAMM (Insight Consulting), American RiskWatch (companie) și Russian GRIF (companie). Să luăm în considerare în continuare aceste metode și sistemele software construite pe baza lor.
CRAMM
Metoda de gestionare și analiză a riscurilor guvernamentale din Regatul Unit a fost dezvoltată de Serviciul de Securitate al Regatului Unit în numele guvernului britanic și adoptată ca standard de stat. Este folosit din 1985 de către organizațiile guvernamentale și comerciale din Marea Britanie. Până acum, CRAMM a câștigat popularitate în întreaga lume. Insight Consulting Limited dezvoltă și întreține un produs software cu același nume care implementează metoda CRAMM.
Am ales metoda CRAMM pentru o considerație mai detaliată, iar aceasta nu este o coincidență. În prezent, CRAMM este un instrument destul de puternic și versatil care permite, pe lângă analiza riscului, să rezolve o serie de alte sarcini de audit, inclusiv:
- efectuarea unui sondaj IP și emiterea documentației însoțitoare în toate etapele derulării acestuia;
- audit în conformitate cu cerințele guvernului britanic, precum și BS 7799: 1995 - Code of Practice for Information Security Management BS7799;
- dezvoltarea unei politici de securitate și a unui plan de continuitate a afacerii.
CRAMM, care combină metode cantitative și calitative de analiză, se bazează pe o abordare integrată a evaluării riscurilor. Metoda este universală și potrivită atât pentru organizațiile mari, cât și pentru cele mici, atât în sectorul guvernamental, cât și în cel comercial. Versiunile de software CRAMM care vizează diferite tipuri de organizații diferă unele de altele în bazele lor de cunoștințe (profiluri). Există un profil comercial pentru organizațiile comerciale și un profil guvernamental pentru organizațiile guvernamentale. Versiunea guvernamentală a profilului permite, de asemenea, auditarea conformității cu cerințele standardului american ITSEC ("Orange Book").
Utilizarea competentă a metodei CRAMM vă permite să obțineți rezultate foarte bune, dintre care cel mai important, poate, este capacitatea de a justifica economic costurile organizației pentru asigurarea securității informațiilor și a continuității afacerii. O strategie de management al riscului solidă din punct de vedere economic economisește în cele din urmă bani prin evitarea costurilor inutile.
CRAMM presupune împărțirea întregii proceduri în trei etape succesive. Sarcina primei etape este de a răspunde la întrebarea: „Este suficient să protejați sistemul folosind instrumente de nivel de bază care implementează funcții tradiționale de siguranță sau este necesar să se efectueze o analiză mai detaliată?” În a doua etapă, riscurile sunt identificate și amploarea lor este evaluată. La a treia etapă se decide chestiunea alegerii contramăsurilor adecvate.
Metodologia CRAMM pentru fiecare etapă definește un set de date inițiale, o secvență de activități, chestionare pentru interviuri, liste de verificare și un set de documente de raportare.
Dacă, conform rezultatelor primul stagiu, s-a constatat că nivelul de criticitate al resurselor este foarte scăzut și cu siguranță riscurile existente nu vor depăși un anumit nivel de bază, atunci sistemului se impune un set minim de cerințe de securitate. În acest caz, majoritatea activităților din a doua etapă nu se desfășoară, dar se realizează trecerea la a treia etapă, la care se generează o listă standard de contramăsuri pentru a asigura conformitatea cu setul de bază de cerințe de securitate.
Pe a doua faza analizează amenințările și vulnerabilitățile de securitate. Auditorul primește datele inițiale pentru evaluarea amenințărilor și vulnerabilităților de la reprezentanții autorizați ai organizației în timpul interviurilor adecvate. Pentru realizarea interviurilor se folosesc chestionare specializate.
Pe a treia etapă se rezolvă problema managementului riscului care constă în selectarea contramăsurilor adecvate. Decizia de a introduce noi mecanisme de securitate în sistem și de a le modifica pe cele vechi este luată de conducerea organizației, luând în considerare costurile asociate, acceptabilitatea acestora și beneficiul final pentru afacere. Sarcina auditorului este de a justifica contramăsurile recomandate pentru conducerea organizației.
Dacă se ia decizia de a introduce noi contramăsuri și de a modifica pe cele vechi, auditorul poate avea sarcina de a pregăti un plan pentru implementarea noilor contramăsuri și de a evalua eficacitatea utilizării acestora. Soluția acestor probleme depășește domeniul de aplicare al metodei CRAMM.
Diagrama conceptuală a unui sondaj CRAMM este prezentată în diagramă:
LA dezavantajele metodei CRAMM includ următoarele:
- Utilizarea metodei CRAMM necesită pregătire specială și calificări înalte ale auditorului.
- CRAMM este mult mai potrivit pentru auditarea SI deja existente în etapa operațională decât pentru SI în etapa de dezvoltare.
- Auditul CRAMM este un proces destul de laborios și poate necesita luni de muncă continuă a auditorului.
- Setul de instrumente software CRAMM generează o cantitate mare de documentație pe hârtie, care nu este întotdeauna utilă în practică.
- CRAMM nu vă permite să vă creați propriile șabloane de rapoarte sau să le modificați pe cele existente.
- Capacitatea de a face completări la baza de cunoștințe CRAMM nu este disponibilă utilizatorilor, ceea ce provoacă anumite dificultăți în adaptarea acestei metode la nevoile unei anumite organizații.
- Software-ul CRAMM este disponibil numai în limba engleză.
- Cost mare de licență.
RiskWatch
Software RiskWatch dezvoltat de o companie americană este un instrument puternic de analiză și management al riscurilor. Familia RiskWatch include produse software pentru diferite tipuri de audituri de securitate. Include următoarele instrumente de audit și analiză a riscurilor:
- RiskWatch for Physical Security - pentru metode fizice de protecție IP;
- RiskWatch pentru Sisteme Informaționale - pentru riscuri informaționale;
- HIPAA-WATCH for Healthcare Industry - pentru a evalua conformitatea cu cerințele standardului HIPAA;
- RiskWatch RW17799 pentru ISO17799 - pentru evaluarea cerințelor standardului ISO17799.
Metoda RiskWatch folosește „Annual Loss Expectancy (ALE)” și „Return on Investment (ROI)” ca criterii pentru evaluarea și gestionarea riscului. Familia de produse software RiskWatch are multe avantaje.
RiskWatch vă ajută să efectuați analize de risc și să faceți alegeri informate cu privire la măsuri și remedii. Tehnica utilizată în program include 4 faze:
Primă fază- definirea subiectului de cercetare. În această etapă sunt descriși parametrii generali ai organizației - tipul de organizație, compoziția sistemului studiat, cerințele de bază de securitate. Descrierea este formalizată într-un număr de sub-clauze pe care le puteți alege pentru o descriere mai detaliată sau să omiteți.
Fiecare dintre elementele selectate este descris în detaliu mai jos. Pentru a facilita munca analistului, șabloanele oferă liste cu categorii de resurse protejate, pierderi, amenințări, vulnerabilități și măsuri de protecție. Dintre acestea, trebuie să le alegeți pe cele care sunt efectiv prezente în organizație.
Faza a doua- introducerea datelor care descriu caracteristicile specifice ale sistemului. Datele pot fi introduse manual sau importate din rapoartele generate de instrumentele de cercetare a vulnerabilităților rețelelor de calculatoare. În acest pas, resursele, pierderile și clasele de incidente sunt detaliate.
Clasele de incidente sunt obținute prin potrivirea categoriei de pierderi cu categoria de resurse. Pentru identificarea posibilelor vulnerabilități se folosește un chestionar, a cărui bază de date conține peste 600 de întrebări legate de categorii de resurse. Este permisă corectarea întrebărilor, ștergerea sau adăugarea unora noi. Sunt stabilite frecvența de apariție a fiecăreia dintre amenințările selectate, gradul de vulnerabilitate și valoarea resurselor. Toate acestea sunt folosite în viitor pentru a calcula eficacitatea implementării echipamentului de protecție.
A treia fază- evaluare a riscurilor. În primul rând, se stabilesc legături între resurse, pierderi, amenințări și vulnerabilități identificate în etapele anterioare. Pentru riscuri, așteptările matematice ale pierderilor pentru anul sunt calculate folosind formula:
m = p * v, unde p este frecvența de apariție a amenințării în cursul anului, v este costul resursei care este amenințată.
De exemplu, dacă costul unui server este de 150 000 USD și probabilitatea ca acesta să fie distrus de incendiu într-un an este 0,01, atunci pierderile așteptate vor fi de 1 500 USD. , care permit descrierea unor situatii similare, supuse implementarii.mijloace de protectie. Prin compararea pierderilor așteptate, cu condiția implementării măsurilor de protecție și fără acestea, este posibil să se evalueze efectul unor astfel de măsuri.
A patra fază- generarea de rapoarte. Tipuri de rapoarte: scurte rezumate; rapoarte complete și concise ale elementelor descrise în etapele 1 și 2; raportează costul resurselor protejate și pierderile așteptate din implementarea amenințărilor; raportarea amenințărilor și contramăsurilor; raport de audit de securitate.
Dezavantajele RiskWatch pot fi atribuite:
- Această metodă este potrivită dacă este necesară efectuarea unei analize de risc la nivel de protecție software și hardware, fără a lua în considerare factorii organizatorici și administrativi. Evaluările de risc rezultate (așteptările matematice ale pierderilor) sunt departe de a epuiza înțelegerea riscului din punct de vedere sistemic - metoda nu ține cont de o abordare integrată a securității informațiilor.
- Software-ul RiskWatch este disponibil numai în limba engleză.
- Cost mare de licență - de la 15.000 USD pentru un loc pentru o companie mică și de la 125.000 USD pentru o licență de volum.
Gât
Pentru a realiza o analiză completă a riscurilor informaționale, în primul rând, este necesară construirea unui model complet al sistemului informațional din punctul de vedere al securității informaționale. Pentru a rezolva această problemă, spre deosebire de sistemele occidentale de analiză a riscurilor de pe piață, care sunt destul de greoaie și de multe ori nu presupun utilizarea independentă de către managerii IT și administratorii de sistem responsabili cu asigurarea securității sistemelor informaționale ale companiilor, are o simplă și interfață intuitivă pentru utilizator. Totuși, în spatele simplității externe, există un algoritm complex de analiză a riscurilor care ia în considerare mai mult de o sută de parametri, care permite o evaluare precisă a riscurilor existente în sistemul informațional pe baza analizei caracteristicilor implementării practice a Sistem informatic.
Sarcina principală a sistemului GRIF este de a permite managerului IT să evalueze în mod independent (fără implicarea unor experți terți) nivelul riscurilor din sistemul informațional și eficacitatea practicii existente pentru a asigura securitatea companiei, așa cum precum și să ofere oportunitatea de a convinge conducerea companiei de necesitatea de a investi în sfera sa de securitate a informațiilor.
La prima etapă a metodei GRIF se efectuează un sondaj al managerului IT pentru a determina o listă completă a resurselor informaţionale care sunt de valoare pentru companie.
În a doua etapă se efectuează un sondaj al managerului IT pentru a introduce în sistemul GRIF toate tipurile de informații care sunt valoroase pentru companie. Grupurile de informații valoroase introduse trebuie plasate de utilizator pe obiectele de stocare a informațiilor specificate în etapa anterioară (servere, stații de lucru etc.). Faza finală este o indicație a prejudiciului pentru fiecare grup de informații valoroase aflate pe resursele relevante, pentru toate tipurile de amenințări.
În a treia etapă trece definiția tuturor tipurilor de grupuri de utilizatori cu o indicație a numărului de utilizatori din fiecare grup. Apoi se înregistrează ce grupuri de informații despre resursele la care are acces fiecare dintre grupurile de utilizatori. În concluzie, sunt determinate tipurile (locale și/sau la distanță) și drepturile (citire, scriere, ștergere) de acces al utilizatorului la toate resursele care conțin informații valoroase.
În a patra etapă se efectuează un sondaj al managerului IT pentru a determina mijloacele de protejare a informațiilor valoroase despre resurse. În plus, în sistem sunt introduse informații despre costurile unice ale achiziționării tuturor instrumentelor de securitate a informațiilor utilizate și costurile anuale ale suportului tehnic al acestora, precum și costurile anuale de întreținere a sistemului de securitate a informațiilor al companiei.
În etapa finală este necesar să răspundem la întrebări despre politica de securitate implementată în sistem, ceea ce ne va permite să evaluăm nivelul real de securitate a sistemului și să detaliem evaluările riscurilor.
Prezența mijloacelor de protecție a informațiilor, observate în prima etapă, nu asigură în sine sistemul în siguranță în cazul utilizării lor inadecvate și absența unei politici de securitate cuprinzătoare care să ia în considerare toate aspectele protecției informațiilor, inclusiv securitatea, securitate, securitatea personalului, continuitatea afacerii etc.
Ca urmare a efectuării tuturor acțiunilor în aceste etape, rezultatul va fi un model complet al sistemului informațional din punct de vedere al securității informațiilor, ținând cont de îndeplinirea efectivă a cerințelor politicii integrate de securitate, ceea ce o va face posibilă trecerea la o analiză programatică a datelor introduse pentru a obține o evaluare cuprinzătoare a riscurilor și a genera un raport final.
Raport detaliat al sistemului, care oferă o imagine a posibilelor pagube din incidente, este gata pentru prezentare conducerii companiei:
În dezavantajele GRIF-ului pot fi atribuite:
- Lipsa conexiunii la procesele de afaceri (planificată în versiunea următoare).
- Incapacitatea de a compara rapoarte în diferite etape ale implementării unui set de măsuri de securitate (planificate pentru versiunea următoare).
- Imposibilitatea de a adăuga cerințe de politică de securitate specifice companiei.
- Tehnologii moderne de analiză a riscurilor în sistemele informaționale (PCWEEK N37 „2001), Sergey Simonov
- Materiale ale companiei Jet Infosystems
- Materiale ale companiei „Securitate digitală”
Institutul de Management din Volgograd
filiala RANEPA
De specialitate
software de analiză
riscuri financiare
întreprinderilor
Efectuat
elev al grupei ME-100
Şahinian Arpi Armenovna
pericolul pierderilor băneşti, apariţia
care depinde de anumiți factori
viata economica. Risc de apariție
astfel de probleme sunt în primul rând
riscuri financiare. Scopul lucrării este de a găsi
programe specializate pentru a identifica
riscurile financiare ale întreprinderii Pentru întreprinderile rusești, indiferent de forma lor
proprietatea si domeniile de activitate, cele mai tipice
sunt urmatoarele riscuri:
- posibilă pierdere (deces), lipsă sau daune
active fixe sau circulante ale întreprinderii;
- apariţia răspunderii civile
angajamentelor pentru pasivele care decurg
din cauza vătămării vieții, sănătății și
proprietatea terților sau natural din jur
mediu inconjurator;
- eventuale pierderi sau neprimirea celei aşteptate
profituri datorate schimbarii conditiilor de functionare
întreprinderi din cauza unor circumstanțe independente de voința sa;
- încălcarea obligațiilor lor de către contrapărți,
parteneri și alții Cele mai răspândite sunt
produse software ale următoarelor companii:
- Alt (pachete Alt-Invest, Alt-Invest
Sume, Alt-Leasing, Alt-Finance, AltPlan, Alt-Forecast, Alt-Expert etc.);
InEk (pachete Investor, Analyst, etc.). În ciuda varietății de produse software oferite, concepute pentru
automatizarea rezolvării problemelor de dezvoltare a planurilor de afaceri pentru proiecte de investiții, ei
avem multe in comun. Acest lucru este determinat de prezența stabilit
abordări standard pentru calcularea tuturor indicatorilor și criteriilor unui proiect de investiții,
stabilite în „Recomandările metodologice pentru evaluarea eficacității investițiilor
proiecte și selecția acestora pentru finanțare”.
Pentru aceasta, în ciuda varietății mari de forme de prezentare a informațiilor de ieșire, acesta
conținutul, de regulă, include aceleași informații despre principalul economic
caracteristicile proiectului de investiții, care se bazează pe fluxul de numerar
proiect. Aceste caracteristici includ: date despre profit și pierdere; cu privire la viitor
echilibru; indicatori care reflectă situația financiară a întreprinderii (coeficienți
rentabilitate, solvabilitate, lichiditate); indicatori de performanta
investiții (VAN, IRR, PBP, PI etc.).
Familia de produse software Project Expert, în special versiunea Project Expert-7,
pe langa analiza sensibilitatii proiectului, efectueaza calcule de risc folosind metoda scenariilor
analiză. Utilizarea metodelor de simulare (metoda Monte Carlo) poate crește semnificativ fiabilitatea rezultatelor analizei obținute.
riscul proiectului. Vorbind despre posibilitatea utilizării anumitor pachete, ar trebui
notați modalitățile de construire a fiecăruia dintre ele - deschis, închis,
combinate. Un exemplu de pachete open source sunt software-ul
dezvoltarea companiei Alt. Utilizatorul are capacitatea de a face
modificări ale algoritmilor de calcul care pot fi determinate
specificul sarcinilor de rezolvat. Cu calificări insuficiente
utilizatorului, astfel de modificări pot duce la erori și distorsionări
starea reală a lucrurilor. Un exemplu de pachete închise sunt
dezvoltările software ale ProInvestConsulting, în special
Familia de pachete Project Expert. Aici apare produsul software în
forma așa-numitei „cutie neagră”. La intrarea sa, initiala
informații, la ieșire - rezultatele calculelor planului de afaceri. Utilizator
nu are capacitatea de a schimba algoritmul de calcul. Asemenea programe nu sunt
impune cerințe mari asupra calificărilor utilizatorului. Asa de,
alegerea unui anumit pachet depinde de utilizator, calificările acestuia și
oportunități atât financiare cât și disponibilitatea adecvată
personal. Pe de o parte, riscul reprezintă un pericol pentru
activitate antreprenorială, dar pe de altă parte, ca
competiție, are o funcție de curățare, adică ajută
piața să se curețe de organizațiile non-mobile, contribuie
cu abordarea corectă a riscului, dezvoltarea economică.
Trebuie reținut că nu trebuie să evitați riscul, ci să puteți
reduce probabilitatea apariției sale, ceea ce este posibil cu
munca de conducere corecta care reprezinta
este un ansamblu de activități care vizează
prognoza si depistarea precoce
efecte adverse asupra subiectului
activitate antreprenorială, dezvoltare și implementare
măsuri de neutralizare a acestora (analiza și evaluarea riscurilor,
asigurare etc.).
, (, "", "", ""). , FRAP; (,). RiskWatch; , (CRAMM, Microsoft ..).
CRAMM - 80-. (CCTA). CRAMM,. ,. CRAMM, (profile). (Profil comercial), - (Profil guvernamental). , ITSEC (""). RAMM. ,. :,. :,. ... ... ,. ...
CRAMM. :
; - , ; ; - (), ; , : , .
; ; ; , ; ; , ; , ; .
1 10. CRAMM ",":
2 - $1000; 6 - $1000 $10 000; 8 - $10 000 $100 000; 10 - $100 000.
(3) , () . , . .
,. ... , (,..). ... CRAMM 36,. ,. ,. 1 7.,. CRAMM. ,. ,:
(. 4.1); (. 4.2); (. 4.1).
4.1. (). , 10 3 4.2. (). , 0,33 , 0,33 0,66 , 0,66
, " ". . 4.1 . , - (), - ().
4.1. (. Pierderea anuală a așteptării) CRAMM,. 4,2 ().
4.2. , (. 4.3)
4.3. ... ,. CRAMM,. : 300; 1000; 900,. , CRAMM -, ().
FRAP „Facilited Risk Analysis Process (FRAP)” Peltier and Associates (http://www.peltierassociates.com/) (Thomas R. Peltier) (,). ,. -,. :. , (. analiza cost-beneficiu),. ... , FRAP. unu. , () . 2.. : o (liste de verificare),;
; ,; o "",. 3.,. ,. , .o
,. , (). ... (Probabilitate): o o o
(Probabilitate mare) -,; (Probabilitate medie) -; (Probabilitate scăzută) -,.
(Impact) -,: o
(Impact mare):,; (impact mediu):, -; (Impact mic):,.
4.4. : o o o
A - (,); B -; C - (,);
4.4. FRAP 4.,. ,. ,. ,. , (, -.). ,. ,. ,. : o o
; ... 5. . ,. , ..o o
OCTAVEOCTAVE (Evaluarea amenințărilor critice operaționale, a activelor și a vulnerabilităților) -, Institutul de Inginerie Software (SEI) (Universitatea Carnegie Mellon). www.cert.org/octave. -. ,. ,. OCTAVE: 1.,; 2.; 3.. (activ), (acces), (actor), (motiv), (rezultat). , OCTAVE: 1., -,; 2., -,; 3.,; 4. . (dezvăluire), (modificare), (pierdere/distrugere). (întrerupere).
OCTAVE "", 1). 4.5. -. -. , () - () (Baza de date HR). , 4.3. 4.3. ... (Activ) (Bază de date HR) (Acces) (Rețea) (Actor) (În interior) (Motiv) (Deliberat) (Vulnerabilitate) (Rezultat) (Dezvăluire) (Referință la catalog) -
4.5. , -. , (, ..), (,). :; ; ; ; "",; ; ; ; ... ,. , (web-,.), (liste de verificare),. :
, (vulnerabilitati de mare severitate); , (vulnerabilitati de severitate medie); , (vulnerabilitati de gravitate scăzută).
OCTAVĂ,. : (înalt), (mijloc), (scăzut). ,. , (, 10000 USD -, -). ,:
OCTAVE, OCTAVE,.
RiskWatch RiskWatch,. RiskWatch:
RiskWatch pentru securitate fizică -; RiskWatch pentru sisteme informatice -; HIPAA-WATCH for Healthcare Industry - HIPAA (Legea privind portabilitatea și responsabilitatea asigurărilor medicale din SUA); RiskWatch RW17799 pentru ISO 17799 - ISO 17799.
RiskWatch (Annual Loss Expectancy, ALE) (Rentabilitatea investiției, ROI). RiskWatch. RiskWatch,. -. , (),. , ("", "/" ..),. , (. 4,6). ,:
; ; (,); (, ..); ; (,); .
600. ... ,. (LAFE SAFE),. ...
4.6. -. ,. ,. ,. , 150.000 USD, 0,01, 1.500 USD. (m = p * v, m -, p -, v -), RiskWatch NIST, LAFE SAFE. LAFE (Estimarea de frecvență anuală locală) -, (,). SAFE (estimare anuală standard a frecvenței) -, "" (,). ,
,. (4,1) (4,2) ALE: (4,1):
Valoarea activului - (, ..); Factorul de expunere - -, (),; Frecvență -; ALE -.
,. "" (Rata anualizată de apariție - ARO) "" (Single Loss Expectancy - SLE), (,). , - (4,2) (4,2) ":",. ... RiskWatch LAFE SAFE,. ROI (Return on Investment -),. : (4,3)
Costsj - j -; Beneficii - (..),; VAN (Valoarea actuală netă) -.
12. . ... ROI (-. 4,7). ...
4.7. ROI,. ,.
Microsoft.
, , :1. . . 2. . . 3. . .
. . . (. *8] , -). .
, . (,). , (,). -. - . , . , :1. () - , . , . 2. () - , . , . , . 3. () - , . ,
. . . . . .
. . . - . . .
(. 4.8). (Excel) Microsoft. ,. (-,).
4.10 .
. ; . ; . .
(" ") , :
; : , ; : .
4.13. - . 4.14. .
4.14. . , . , 100 20%, . ,
: , . . 4.15 .
4.15. " ", . - . . . . 1 5. , . 4.16, (. 4.17). , .
4.17. . 4.18 . .
4.20. . , - ": 5, : 1", - ": 5, : 5".
4.20. (SRMGTol3)
. (1 10) (0 10). 0 100. "", "" "" , . 4.21
... ... (speranța de pierdere unică - SLE). (rata anuală de apariție - ARO). (speranța anuală de pierdere - ALE).
. . . . . . . . .
... ,. ,. ... ... ,. , (- () douăzeci%). ... (SLE). ... 4.22.
4.23. ()
(ARO). ARO. 4.24
(ALE) SLE ARO.
ALE. ,. , -.
(, ..); (,) ; ; , ; , .
