Nevoja për investime në sigurinë e informacionit (IS) të biznesit është pa dyshim. Për të konfirmuar rëndësinë e detyrës për të siguruar sigurinë e biznesit, ne do të përdorim raportin e FBI -së të publikuar në bazë të një sondazhi të kompanive amerikane (biznese të mesme dhe të mëdha). Statistikat e incidenteve në fushën e sigurisë së TI -së janë të pafalshme. Sipas FBI -së, 56% e kompanive të anketuara janë sulmuar këtë vit (Figura 1).
Por si të vlerësohet niveli i investimeve në sigurinë e informacionit, i cili do të sigurojë efikasitetin maksimal të fondeve të investuara? Për të zgjidhur këtë problem, ekziston vetëm një mënyrë - të përdorni sisteme të analizës së rrezikut që lejojnë vlerësimin e rreziqeve ekzistuese në sistem dhe zgjedhjen e opsionit më efektiv të mbrojtjes (sipas raportit të rreziqeve ekzistues në sistem me kostot e sigurisë së informacionit )
Arsyetimi i Investimeve
Sipas statistikave, pengesat më serioze për marrjen e masave për të siguruar sigurinë e informacionit në një kompani lidhen me dy arsye: kufizimet buxhetore dhe mungesën e mbështetjes nga menaxhmenti.
Të dyja këto arsye lindin nga keqkuptimi i menaxhmentit për ashpërsinë e çështjes dhe paaftësia e menaxherit të TI -së për të justifikuar pse investon në sigurinë e informacionit. Shpesh besohet se problemi kryesor qëndron në faktin se menaxherët dhe drejtuesit e IT flasin gjuhë të ndryshme- teknike dhe financiare, por në fund të fundit, vetë specialistët e IT shpesh e kanë të vështirë të vlerësojnë se për çfarë të shpenzojnë para dhe sa janë kërkohet për të përmirësuar sigurinë e sistemit të kompanisë.në mënyrë që këto kosto të mos shkojnë dëm ose të tepërta.
Nëse menaxheri i TI -së e kupton qartë se sa para mund të humbasë kompania në rast kërcënimesh, cilat vende në sistem janë më të cenueshme, cilat masa mund të merren për të rritur nivelin e sigurisë pa shpenzuar para shtesë, dhe e gjithë kjo është e dokumentuar, atëherë detyrat e tij të vendimit - për të bindur menaxhmentin që t'i kushtojë vëmendje dhe të ndajë fonde për sigurinë e informacionit - bëhen shumë më reale.
Për të zgjidhur këtë lloj problemi, janë zhvilluar metoda të veçanta dhe sisteme softuerike për analizimin dhe kontrollin e rreziqeve të informacionit bazuar në to. Ne do të marrim parasysh sistemin CRAMM të kompanisë britanike Insight Consulting (http://www.insight.co.uk), kompaninë amerikane RiskWatch me të njëjtin emër (http://www.riskwatch.com) dhe paketën ruse GRIF nga Digital Security (http: // www .dsec.ru). Karakteristikat e tyre krahasuese janë treguar në tabelë.
Analiza krahasuese e mjeteve të analizës së rrezikut
| Kriteret e krahasimit | NDRYSHIM | RiskWatch | GRIF 2005 Zyra e Sigurisë Dixhitale |
| Mbështetje | Me kusht | Me kusht | Me kusht |
| Lehtësia e funksionimit për përdoruesit | Kërkon trajnim special dhe kualifikime të larta të një auditori | Ndërfaqja ka për qëllim menaxherët dhe drejtuesit e IT; nuk kërkon njohuri të veçanta në fushën e sigurisë së informacionit | |
| Kostoja e licencës për një vend pune, USD | 2000 deri në 5000 | Nga 10.000 | Nga 1000 |
| Kërkesat e sistemit |
OS Windows 98 / Me / NT / 2000 / XP Kerkesa minimale: |
Windows 2000 / XP Hapësirë e lirë në disk për instalim 30 MB Procesor Intel Pentium ose i pajtueshëm, memorie 256 MB |
Windows 2000 / XP Kerkesa minimale: |
| Funksionaliteti |
Fut te dhenat:
Opsionet e raportimit:
|
Fut te dhenat:
Opsionet e raportimit:
|
Fut te dhenat:
Përbërja e raportit:
|
| Metoda sasiore / cilësore | Vlerësim cilësor | Kuantifikimi | Vlerësim sasior dhe cilësor |
| Zgjidhja e rrjetit | Mungon | Mungon | Edicioni i Ndërmarrjes Zyra e Sigurisë Dixhitale 2005 |
NDRYSHIM
Metoda CRAMM (CCTA Risk Analysis and Management Method) është zhvilluar nga Agjencia Qendrore e Kompjuterit dhe Telekomunikacionit e Britanisë së Madhe (Agjencia Qendrore e Kompjuterit dhe Telekomunikacionit) me udhëzimet e qeverisë britanike dhe është miratuar si standard shtetëror. Që nga viti 1985 është përdorur nga qeveria dhe organizatat tregtare në MB. Gjatë kësaj kohe CRAMM ka fituar popullaritet në të gjithë botën. Insight Consulting zhvillon dhe mirëmban një produkt softuerik që zbaton metodën CRAMM.
Metoda CRAMM (http://www.cramm.com) nuk është zgjedhur rastësisht nga ne për një konsideratë më të detajuar. Aktualisht, CRAMM është një mjet mjaft i fuqishëm dhe i gjithanshëm që lejon, përveç analizës së rrezikut, të zgjidhë një sërë detyrash të tjera të auditimit, duke përfshirë:
- Sondazhi i IS dhe lëshimi i dokumentacionit shoqërues në të gjitha fazat e zbatimit të tij;
- auditim në përputhje me kërkesat e qeverisë britanike, si dhe BS 7799: 1995 Kodi i Praktikës për Menaxhimin e Sigurisë së Informacionit;
- zhvillimin e një politike të sigurisë dhe planit të vazhdimësisë së biznesit.
Metoda CRAMM bazohet në një qasje të integruar për vlerësimin e rrezikut, duke kombinuar metoda sasiore dhe cilësore të analizës. Metoda është universale dhe është e përshtatshme për organizatat e mëdha dhe të vogla si në sektorët qeveritarë ashtu edhe në ato komercialë. Versionet e softuerit CRAMM që synojnë lloje të ndryshme organizatash ndryshojnë nga njëra -tjetra në bazat e njohurive (profilet): ekziston një profil tregtar për organizatat tregtare dhe një profil qeveritar për organizatat qeveritare. Versioni qeveritar i profilit gjithashtu lejon auditimin për pajtueshmërinë me kërkesat e standardit amerikan ITSEC ("Libri Portokalli"). Një diagram konceptual i një studimi CRAMM është treguar në Fig. 2
Me përdorimin e saktë të metodës CRAMM, është e mundur të merren rezultate shumë të mira, nga të cilat, ndoshta, më e rëndësishmja është mundësia e justifikimit ekonomik të kostove të organizatës për të siguruar sigurinë e informacionit dhe vazhdimësinë e biznesit. Një strategji e menaxhimit të rrezikut ekonomikisht të shëndoshë në fund kursen para duke shmangur kostot e panevojshme.
CRAMM përfshin ndarjen e të gjithë procedurës në tre faza të njëpasnjëshme. Detyra e fazës së parë është t'i përgjigjet pyetjes: "A është e mjaftueshme për të mbrojtur sistemin duke përdorur mjete të nivelit bazë që zbatojnë funksionet tradicionale të sigurisë, apo është e nevojshme të bëhet një analizë më e detajuar?" Në fazën e dytë, rreziqet identifikohen dhe madhësia e tyre vlerësohet. Në fazën e tretë, vendoset çështja e zgjedhjes së kundërmasave adekuate.
Metodologjia CRAMM për secilën fazë përcakton një grup të dhënash fillestare, një sekuencë aktivitetesh, pyetësorë për intervista, lista kontrolli dhe një grup dokumentesh raportuese.
Në fazën e parë të studimit, bëhet identifikimi dhe përcaktimi i vlerës së burimeve të mbrojtura. Vlerësimi kryhet në një shkallë dhjetë pikësh dhe mund të ketë disa kritere vlerësimi - humbje financiare, dëmtim të reputacionit, etj. Përshkrimet e CRAMM japin një shembull të një shkalle të tillë vlerësimi sipas kriterit "Humbjet financiare të lidhura me restaurimi i burimeve ":
- 2 pikë - më pak se 1000 dollarë;
- 6 pikë - nga $ 1,000 në $ 10,000;
- 8 pikë - nga 10,000 dollarë në 100,000 dollarë;
- 10 pikë - mbi 100,000 dollarë
Me një rezultat të ulët për të gjithë kriteret e përdorura (3 pikë dhe më poshtë), konsiderohet se një nivel bazë mbrojtjeje është i mjaftueshëm për sistemin në shqyrtim (ky nivel nuk kërkon një vlerësim të detajuar të kërcënimeve të sigurisë së informacionit), dhe i dyti faza e studimit është anashkaluar.
Në fazën e dytë, identifikohen dhe vlerësohen kërcënimet në fushën e sigurisë së informacionit, bëhet një kërkim dhe vlerësim i dobësive të sistemit të mbrojtur. Niveli i kërcënimit vlerësohet në shkallën e mëposhtme: shumë i lartë, i lartë, i mesëm, i ulët, shumë i ulët. Cenueshmëria vlerësohet si e lartë, e mesme ose e ulët. Bazuar në këtë informacion, një vlerësim i nivelit të rrezikut llogaritet në një shkallë prej shtatë pikësh (Fig. 3).
Në fazën e tretë, CRAMM gjeneron mundësi për kundërmasa ndaj rreziqeve të identifikuara. Produkti ofron llojet e mëposhtme të rekomandimeve:
- rekomandime të përgjithshme;
- rekomandime specifike;
- shembuj se si mund të organizoni mbrojtjen në këtë situatë.
CRAMM ka një bazë të dhënash të gjerë, e cila përmban përshkrimet e rreth 1000 shembujve të zbatimit të nënsistemeve të sigurisë për sisteme të ndryshme kompjuterike. Këto përshkrime mund të përdoren si shabllone.
Vendimi për futjen e mekanizmave të rinj të sigurisë në sistem dhe modifikimin e atyre të vjetër merret nga menaxhmenti i organizatës, duke marrë parasysh kostot e lidhura, pranueshmërinë e tyre dhe përfitimin përfundimtar për biznesin. Detyra e auditorit është të justifikojë veprimet e rekomanduara për menaxhimin e organizatës.
Nëse merret një vendim për futjen e kundërmasave të reja dhe modifikimin e atyre të vjetra, auditori mund të ngarkohet me përgatitjen e një plani zbatimi dhe vlerësimin e efektivitetit të këtyre masave. Zgjidhja për këto probleme është përtej fushëveprimit të metodës CRAMM.
Disavantazhet e metodës CRAMM përfshijnë sa vijon:
- metoda kërkon trajnim special dhe kualifikime të larta të auditorit;
- auditimi duke përdorur metodën CRAMM është një proces mjaft i mundimshëm dhe mund të kërkojë muaj punë të vazhdueshme të auditorit;
- CRAMM është shumë më i përshtatshëm për auditimin e IS -ve ekzistuese që janë vënë në punë sesa për IS -të që janë në zhvillim;
- Paketa e veglave të softuerit CRAMM gjeneron një sasi të madhe dokumentacioni në letër, e cila nuk është gjithmonë e dobishme në praktikë;
- CRAMM nuk ju lejon të krijoni modelet tuaja të raportit ose të modifikoni ato ekzistuese;
- mundësia për të bërë shtesa në bazën e njohurive CRAMM nuk është në dispozicion të përdoruesve, gjë që shkakton vështirësi të caktuara në përshtatjen e kësaj metode me nevojat e një organizate të caktuar;
- Softueri CRAMM nuk është i lokalizuar, ekziston vetëm në gjuhën angleze;
- kosto e lartë e licencës - nga 2,000 dollarë në 5,000 dollarë
RiskWatch
Softueri RiskWatch është një mjet i fuqishëm i analizës dhe menaxhimit të rrezikut. Familja RiskWatch përfshin produkte softuerësh për lloje të ndryshme të auditimeve të sigurisë. Ai përfshin mjetet e mëposhtme të auditimit dhe analizës së rrezikut:
- RiskWatch për Sigurinë Fizike - për metodat fizike të mbrojtjes IP;
- RiskWatch për Sistemet e Informacionit - për rreziqet e informacionit;
- HIPAA -WATCH për Industrinë e Kujdesit Shëndetësor - për të vlerësuar pajtueshmërinë me kërkesat e standardit HIPAA (Akti i Transportueshmërisë dhe Përgjegjshmërisë i Sigurimeve të Kujdesit Shëndetësor të SHBA);
- RiskWatch RW17799 për ISO 17799 - për vlerësimin e përputhshmërisë me ISO 17799.
Metoda RiskWatch përdor parashikimin vjetor të humbjeve (ALE) dhe kthimin e investimit (ROI) si kritere për vlerësimin dhe menaxhimin e rrezikut.
Familja e produkteve të softuerit RiskWatch ka shumë përfitime. RiskWatch ju ndihmon të bëni analiza të rrezikut dhe të bëni zgjedhje të informuara në lidhje me masat dhe mjetet juridike. Ndryshe nga CRAMM, RiskWatch është më i fokusuar në përcaktimin e saktë të raportit të humbjeve nga kërcënimet e sigurisë me koston e krijimit të një sistemi mbrojtës. Duhet gjithashtu të theksohet se në këtë produkt rreziqet në fushën e informacionit dhe sigurisë fizike të rrjetit kompjuterik të ndërmarrjes konsiderohen së bashku.
Produkti RiskWatch bazohet në një metodologji të analizës së rrezikut, e cila mund të ndahet në katër faza.
Faza e parë është përcaktimi i temës së hulumtimit. Ai përshkruan parametra të tillë si lloji i organizatës, përbërja e sistemit në studim (në terma të përgjithshëm), kërkesat themelore në fushën e sigurisë. Për të lehtësuar punën e analistit në modele të përshtatshme për llojin e organizatës ("sistemi i informacionit tregtar", "sistemi i informacionit shtetëror / ushtarak", etj.), Ka lista të kategorive të burimeve të mbrojtura, humbjeve, kërcënimeve, dobësive dhe masave mbrojtëse. Nga këto, ju duhet të zgjidhni ato që janë aktualisht të pranishme në organizatë.
Për shembull, kategoritë e mëposhtme janë dhënë për humbjet:
- vonesat dhe mohimi i shërbimit;
- zbulimi i informacionit;
- humbjet direkte (për shembull, nga shkatërrimi i pajisjeve nga zjarri);
- jeta dhe shëndeti (personeli, klientët, etj.);
- ndryshimi i të dhënave;
- humbjet indirekte (për shembull, kostot e restaurimit);
- reputacionin.
Faza e dytë është futja e të dhënave që përshkruajnë karakteristikat specifike të sistemit. Ato mund të futen me dorë ose të importohen nga raportet e krijuara nga mjetet kërkimore të cenueshmërisë së rrjetit kompjuterik.
Në këtë fazë, burimet, humbjet dhe klasat e incidenteve janë të detajuara. Klasat e incidenteve merren duke përputhur kategorinë e humbjeve dhe kategorinë e burimeve.
Për të identifikuar dobësitë e mundshme, përdoret një pyetësor, baza e të dhënave e të cilit përmban më shumë se 600 pyetje. Pyetjet lidhen me kategoritë e burimeve. Frekuenca e shfaqjes së secilit prej kërcënimeve të zgjedhura, shkalla e cenueshmërisë dhe vlera e burimeve janë vendosur. E gjithë kjo përdoret në të ardhmen për të llogaritur efektin e futjes së pajisjeve mbrojtëse.
Faza e tretë dhe ndoshta më e rëndësishmja është vlerësimi sasior. Në këtë fazë, llogaritet një profil rreziku dhe zgjidhen masat e sigurisë. Së pari, krijohen lidhje midis burimeve, humbjeve, kërcënimeve dhe dobësive të identifikuara në hapat e mëparshëm të studimit (rreziku përshkruhet nga kombinimi i këtyre katër parametrave).
Në fakt, rreziku vlerësohet duke përdorur pritjet matematikore të humbjeve për vitin. Për shembull, nëse kostoja e një serveri është 150,000 dollarë dhe probabiliteti që ai të shkatërrohet nga zjarri brenda një viti është 0.01, atëherë humbja e pritshme është 1.500 dollarë.
Formula e mirënjohur m = pxv, ku m është pritshmëria matematikore, p është probabiliteti i një kërcënimi, v është kostoja e burimit, ka pësuar disa ndryshime për shkak të faktit se RiskWatch përdor vlerësimet e përcaktuara nga Instituti Amerikan i Standardet NIST, të quajtura LAFE dhe SAFE. LAFE (Vlerësimi vjetor i frekuencës lokale) tregon se sa herë në vit, mesatarisht, një kërcënim i caktuar realizohet në një vend të caktuar (për shembull, në një qytet). SAFE (Vlerësimi Standard i Frekuencës Vjetore) tregon se sa herë në vit, mesatarisht, një kërcënim i caktuar realizohet në këtë "pjesë të botës" (për shembull, në Amerikën e Veriut). Gjithashtu futet një faktor korrigjues, i cili bën të mundur të merret parasysh se kur një kërcënim realizohet, burimi i mbrojtur mund të mos shkatërrohet plotësisht, por vetëm pjesërisht.
Për më tepër, konsiderohen skenarët "çfarë-nëse ...", të cilët ju lejojnë të përshkruani situata të ngjashme, duke iu nënshtruar zbatimit të masave mbrojtëse. Duke krahasuar humbjet e pritshme me dhe pa masa mbrojtëse, është e mundur të vlerësohet efekti i masave të tilla.
RiskWatch përfshin bazat e të dhënave me vlerësimet LAFE dhe SAFE, si dhe përshkrime të përgjithësuara të llojeve të ndryshme të produkteve mbrojtëse.
Kthimi i investimit (ROI), i cili mat kthimin e investimit gjatë një periudhe të caktuar kohore, përcakton sasinë e ndikimit të ndërhyrjeve të sigurisë. Ky tregues llogaritet duke përdorur formulën:
ku Costsi është kostoja e zbatimit dhe mirëmbajtjes së masës së i-të të mbrojtjes; Benefitsi - një vlerësim i përfitimeve (zvogëlimi i pritshëm i humbjeve) që sjell zbatimi i kësaj mase mbrojtëse; NVP (Vlera Neto e tanishme) përshtatet për inflacionin.
Faza e katërt është krijimi i raporteve. Llojet e mëposhtme të raporteve janë në dispozicion:
- përmbledhje e shkurtër;
- raporte të plota dhe përmbledhëse të elementeve të përshkruara në fazat 1 dhe 2;
- raport mbi koston e burimeve të mbrojtura dhe humbjet e pritshme nga zbatimi i kërcënimeve;
- raport mbi kërcënimet dhe kundërmasat;
- Raporti i ROI;
- raporti i auditimit të sigurisë.
Një shembull i llogaritjes së ROI për masa të ndryshme mbrojtëse është treguar në Fig. 5
Kështu, RiskWatch ju lejon të vlerësoni jo vetëm rreziqet që ekzistojnë aktualisht në ndërmarrje, por edhe përfitimet që mund të sjellë zbatimi i mjeteve dhe mekanizmave fizikë, teknikë, softuerë dhe mekanizmave të tjerë të mbrojtjes. Raportet dhe grafikët e përgatitur ofrojnë material të mjaftueshëm për marrjen e vendimeve në lidhje me ndryshimin e sistemit të sigurisë së ndërmarrjes.
Për përdoruesit vendas, problemi është se është mjaft problematike të merren vlerësimet e përdorura në RiskWatch (të tilla si LAFE dhe SAFE) për kushtet tona. Edhe pse vetë metodologjia mund të zbatohet me sukses në vendin tonë.
Si përmbledhje, ne vërejmë se kur zgjedh një metodologji të veçantë për analizimin e rreziqeve në ndërmarrje dhe mjetet që e mbështesin atë, duhet t'i përgjigjemi pyetjes: a është e nevojshme të ketë një vlerësim të saktë sasior të pasojave të zbatimit të kërcënimeve, ose nëse një vlerësim në nivel cilësor është i mjaftueshëm. Shtë gjithashtu e nevojshme të merren parasysh faktorët e mëposhtëm: prania e ekspertëve që janë në gjendje të japin vlerësime të besueshme të vëllimit të humbjeve nga kërcënimet e sigurisë së informacionit dhe disponueshmëria e statistikave të besueshme të incidenteve në fushën e sigurisë së informacionit në ndërmarrje Me
Disavantazhet e RiskWatch përfshijnë sa vijon:
- kjo metodë është e përshtatshme nëse kërkohet të bëhet një analizë rreziku në nivelin e mbrojtjes softuerike dhe harduerike, pa marrë parasysh faktorët organizativë dhe administrativë;
- vlerësimet e marra të rrezikut (pritshmëria matematikore e humbjeve) nuk shterojnë të kuptuarit e rrezikut nga pikëpamja sistemike - metoda nuk merr parasysh një qasje të integruar ndaj sigurisë së informacionit;
- Softueri RiskWatch është i disponueshëm vetëm në gjuhën angleze;
- kosto e lartë e licencës - nga 10,000 dollarë për vend për një kompani të vogël.
Qafë
GRIF është një sistem gjithëpërfshirës për analizimin dhe menaxhimin e rreziqeve të sistemit të informacionit të një kompanie. GRIF 2005 nga Zyra e Sigurisë Dixhitale (http://www.dsec.ru/products/grif/) jep një pamje të sigurisë së burimeve të informacionit në sistem dhe ju lejon të zgjidhni strategjinë optimale për mbrojtjen e informacionit të korporatës.
Sistemi GRIF analizon nivelin e mbrojtjes së burimeve, vlerëson dëmin e mundshëm nga zbatimi i kërcënimeve të IS dhe ndihmon në menaxhimin e rreziqeve duke zgjedhur kundërmasa.
Analiza e rreziqeve të IS kryhet në dy mënyra: duke përdorur një model të rrjedhës së informacionit ose një model kërcënimesh dhe dobësish, në varësi të të dhënave fillestare që ka përdoruesi, si dhe në atë që të dhënat i interesojnë në dalje.
Modeli i rrjedhës së informacionit
Kur punoni me një model të rrjedhave të informacionit, informacion i plotë për të gjitha burimet me informacion të vlefshëm, përdoruesit që kanë qasje në këto burime, llojet dhe të drejtat e aksesit futen në sistem. Janë regjistruar të dhëna për të gjitha mjetet e mbrojtjes së secilit burim, ndërlidhjet e burimeve në rrjet, karakteristikat e politikës së sigurisë së kompanisë. Rezultati është një model i plotë i sistemit të informacionit.
Në fazën e parë të punës me programin, përdoruesi fut të gjitha objektet e sistemit të tij të informacionit: departamentet, burimet (objektet specifike të këtij modeli përfshijnë grupet e rrjetit, pajisjet e rrjetit, llojet e informacionit, grupet e përdoruesve, proceset e biznesit).
Tjetra, përdoruesi duhet të caktojë lidhje, domethënë, të përcaktojë se në cilat departamente dhe grupe rrjeti i përkasin burimet, çfarë informacioni ruhet në burim dhe cilat grupe përdoruesish kanë qasje në të. Përdoruesi gjithashtu tregon mjetet për mbrojtjen e burimit dhe informacionit.
Në fazën përfundimtare, përdoruesi i përgjigjet një liste pyetjesh në lidhje me politikën e sigurisë të zbatuar në sistem, e cila lejon vlerësimin e nivelit real të sigurisë së sistemit dhe detajimin e vlerësimeve të rrezikut.
Prania e mjeteve të mbrojtjes së informacionit, të vërejtura në fazën e parë, në vetvete ende nuk e bën sistemin të sigurt në rast të përdorimit të tyre të papërshtatshëm dhe mungesës së një politike të plotë sigurie që merr parasysh të gjitha aspektet e mbrojtjes së informacionit, përfshirë çështjet e mbrojtja, siguria fizike, siguria e personelit, vazhdimësia e biznesit, etj.
Si rezultat i kryerjes së të gjitha veprimeve në këto faza, një model i plotë i sistemit të informacionit formohet në dalje nga pikëpamja e sigurisë së informacionit, duke marrë parasysh përmbushjen aktuale të kërkesave të politikës së integruar të sigurisë, e cila ju lejon për të vazhduar në një analizë programore të të dhënave të futura për të marrë një vlerësim gjithëpërfshirës të rrezikut dhe për të gjeneruar një raport përfundimtar.
Modeli i kërcënimit dhe cenueshmërisë
Puna me modelin e analizës së kërcënimit dhe cenueshmërisë përfshin identifikimin e dobësive të secilit burim me informacion të vlefshëm dhe kërcënimet përkatëse që mund të realizohen përmes këtyre dobësive. Rezultati është një pasqyrë e plotë e dobësive në sistemin e informacionit dhe dëmit që mund të bëhet.
Në fazën e parë të punës me produktin, përdoruesi fut në sistem objektet e IS të tij: departamentet, burimet (objektet specifike për këtë model përfshijnë kërcënimet ndaj sistemit të informacionit dhe dobësitë përmes të cilave zbatohen kërcënimet).
GRIF 2005 përfshin katalogë të gjerë të integruar të kërcënimeve dhe dobësive, që përmbajnë rreth 100 kërcënime dhe 200 dobësi. Për plotësinë dhe shkathtësinë maksimale të këtyre katalogëve, ekspertët e Sigurisë Dixhitale kanë zhvilluar një klasifikim të veçantë të kërcënimeve, DSECCT, i cili zbaton përvojë shumë vjeçare praktike në fushën e sigurisë së informacionit. Duke përdorur këto drejtori, përdoruesi mund të zgjedhë kërcënimet dhe dobësitë që lidhen me sistemin e tij të informacionit.
Algoritmi i sistemit GRIF 2005 analizon modelin e ndërtuar dhe gjeneron një raport që përmban vlerat e rrezikut për secilin burim. Konfigurimi i raportit mund të jetë pothuajse çdo, i cili ju lejon të krijoni si raporte përmbledhëse për menaxhimin ashtu edhe raporte të hollësishme për punë të mëtejshme me rezultatet (Fig. 6).
 |
| Oriz. 6. Një shembull i një raporti në sistemin GRIF 2005. |
Sistemi GRIF 2005 përmban një modul të menaxhimit të rrezikut që ju lejon të analizoni të gjitha arsyet që pas përpunimit të të dhënave të futura nga algoritmi, merret pikërisht kjo vlerë rreziku. Kështu, duke ditur arsyet, është e mundur të merren të dhënat e nevojshme për zbatimin e kundërmasave dhe, në përputhje me rrethanat, të zvogëlohet niveli i rrezikut. Pas llogaritjes së efektivitetit të secilës kundërmasë të mundshme, si dhe përcaktimit të vlerës së rrezikut të mbetur, mund të zgjidhni kundërmasa që do të zvogëlojnë rrezikun në nivelin e kërkuar.
Si rezultat i punës me sistemin GRIF, një raport i detajuar është ndërtuar mbi nivelin e rrezikut të secilit burim të vlefshëm të sistemit të informacionit të kompanisë, të gjitha arsyet e rrezikut tregohen me një analizë të hollësishme të dobësive dhe një vlerësim të ekonomisë efikasitetin e të gjitha kundërmasave të mundshme.
***
Praktikat më të mira në botë dhe standardet kryesore ndërkombëtare në fushën e sigurisë së informacionit, në veçanti ISO 17799, kërkojnë zbatimin e një sistemi të analizës dhe menaxhimit të rrezikut për të menaxhuar në mënyrë efektive sigurinë e një sistemi informacioni. Në këtë rast, ju mund të përdorni çdo mjet të përshtatshëm, por gjëja kryesore është që gjithmonë të kuptoni qartë se sistemi i sigurisë së informacionit është krijuar në bazë të një analize të rreziqeve të informacionit, të verifikuar dhe të justifikuar. Analiza dhe menaxhimi i rreziqeve të informacionit është një faktor kyç për ndërtimin e mbrojtjes efektive të një sistemi informacioni.
Universiteti i Hapur Kombëtar "INTUIT": www.intuit.ru Sergey Nesterov Ligjërata 4. Metodat dhe programet për vlerësimin e rrezikut
Më poshtë janë përshkrimet e shkurtra të një numri teknikash të zakonshme të analizës së rrezikut. Ato mund të ndahen në:
metodologjitë që përdorin një vlerësim cilësor të rrezikut (për shembull, në një shkallë "të lartë", "të mesëm", "të ulët"). Këto teknika përfshijnë, në veçanti, FRAP;
metodat sasiore (rreziku vlerësohet përmes një vlere numerike, për shembull, shumës së humbjeve të pritshme vjetore). Kjo klasë përfshin teknikën RiskWatch;
metodat që përdorin vlerësime të përziera (kjo qasje përdoret në CRAMM, metodologji
Microsoft, etj).
Metodologjia CRAMM
Kjo është një nga metodat e para të analizës së rrezikut në fushën e sigurisë së informacionit, puna në të filloi në mesin e viteve '80. Agjencia Qendrore e Kompjuterit dhe Telekomunikacionit (CCTA) në Mbretërinë e Bashkuar.
Metoda CRAMM bazohet në një qasje të integruar për vlerësimin e rrezikut, duke kombinuar metoda sasiore dhe cilësore të analizës. Metoda është universale dhe e përshtatshme për organizatat e mëdha dhe të vogla, si sektorët qeveritarë ashtu edhe ata tregtarë. Versionet e softuerit CRAMM që synojnë lloje të ndryshme organizatash ndryshojnë nga njëra -tjetra në bazat e tyre të njohurive (profilet). Ekziston një profil tregtar për organizatat tregtare dhe një profil qeveritar për organizatat qeveritare. Versioni qeveritar i profilit gjithashtu lejon auditimin për pajtueshmërinë me kërkesat e standardit amerikan ITSEC ("Libri Portokalli").
Hetimi i sistemit të sigurisë së informacionit duke përdorur CRAMM kryhet në tre faza.
Në fazën e parë, analizohet gjithçka që lidhet me identifikimin dhe përcaktimin e vlerës së burimeve të sistemit. Fillon me zgjidhjen e problemit të përcaktimit të kufijve të sistemit në studim: informacioni mblidhet në lidhje me konfigurimin e sistemit dhe se kush është përgjegjës për burimet fizike dhe softuerike, cilët janë përdoruesit e sistemit, si e përdorin atë ose do perdore.
Identifikimi i burimeve kryhet: fizike, softuer dhe informacion, të përfshira brenda kufijve të sistemit. Çdo burim duhet të caktohet në një nga klasat e paracaktuara. Pastaj një model i sistemit të informacionit është ndërtuar nga pozicioni i sigurisë së informacionit. Për secilin proces informacioni, i cili, sipas mendimit të përdoruesit, ka një kuptim të pavarur dhe quhet shërbim i përdoruesit, ndërtohet një pemë lidhjesh të burimeve të përdorura. Modeli i ndërtuar bën të mundur nxjerrjen në pah të elementeve kritikë.
Vlera e burimeve fizike në CRAMM përcaktohet nga kostoja e restaurimit të tyre në rast shkatërrimi.
Vlera e të dhënave dhe softuerit përcaktohet në situatat e mëposhtme: mungesa e burimit për një periudhë të caktuar kohe;
shkatërrimi i burimit, humbja e informacionit të marrë që nga rezervimi i fundit, ose shkatërrimi i tij i plotë;
shkelja e konfidencialitetit në rastet e aksesit të paautorizuar nga anëtarët e stafit ose personat e paautorizuar;
modifikimi konsiderohet për rastet e gabimeve të vogla të personelit (gabime në hyrje), gabime në program, gabime të qëllimshme;
gabimet që lidhen me transferimin e informacionit: refuzimi i dhënies, mosdhënia e informacionit, dërgimi në adresën e gabuar.
shkelja e legjislacionit aktual; dëmtimi i shëndetit të personelit;
dëmtimi i lidhur me zbulimin e të dhënave personale të individëve;
humbjet financiare nga zbulimi i informacionit; humbjet financiare të lidhura me rivendosjen e burimeve;
humbjet që lidhen me pamundësinë për të përmbushur detyrimet; mosorganizimin e aktiviteteve.
Për të dhënat dhe softuerin, zgjidhen kriteret e zbatueshme për IS -in e dhënë dhe dëmi vlerësohet në një shkallë me vlera nga 1 në 10.
Në përshkrimet e CRAMM, si shembull, një shkallë e tillë vlerësimi jepet sipas kriterit "Humbjet financiare të lidhura me rivendosjen e burimeve":
2 pikë më pak se $ 1000;
6 pikë nga $ 1000 në $ 10,000;
8 pikë nga 10,000 dollarë në 100,000 dollarë; 10 pikë mbi 100,000 dollarë.
Me një rezultat të ulët për të gjithë kriteret e përdorura (3 pikë dhe më poshtë), konsiderohet se sistemi në shqyrtim kërkon një nivel bazë mbrojtjeje (ky nivel nuk kërkon një vlerësim të detajuar të kërcënimeve të sigurisë së informacionit) dhe faza e dytë e studimi anashkalohet.
Faza e dytë shqyrton gjithçka që lidhet me identifikimin dhe vlerësimin e niveleve të kërcënimit për grupet e burimeve dhe dobësitë e tyre. Në fund të fazës, klienti merr nivelet e identifikuara dhe të vlerësuara të rrezikut për sistemin e tij. Në këtë fazë, varësia e shërbimeve të përdoruesve nga grupet e caktuara të burimeve dhe niveli ekzistues i kërcënimeve dhe dobësive vlerësohen, llogariten nivelet e rrezikut dhe analizohen rezultatet.
Burimet grupohen sipas llojit të kërcënimit dhe cenueshmërisë. Për shembull, nëse ekziston një kërcënim nga zjarri ose vjedhja si një grup burimesh, është e arsyeshme të merren parasysh të gjitha burimet e vendosura në një vend (dhoma e serverëve, dhoma e komunikimit, etj.). Vlerësimi i niveleve të kërcënimeve dhe dobësive bazohet në studimin e faktorëve indirekt.
Softueri CRAMM gjeneron një listë pyetjesh të paqarta për secilin grup burimesh dhe secilin nga 36 llojet e kërcënimeve. Niveli i kërcënimeve vlerësohet, në varësi të përgjigjeve, si shumë i lartë, i lartë, i mesëm, i ulët dhe shumë i ulët. Niveli i cenueshmërisë vlerësohet, në varësi të përgjigjeve, si i lartë, i mesëm dhe i ulët.
Bazuar në këtë informacion, nivelet e rrezikut llogariten në një shkallë diskrete me gradime nga 1 në 7. Nivelet rezultuese të kërcënimeve, dobësive dhe rreziqeve analizohen dhe bien dakord me klientin.
CRAMM integron kërcënimet dhe dobësitë në një matricë rreziku. Konsideroni se si rrjedh kjo matricë dhe çfarë nënkupton secili nga nivelet e rrezikut.
Qasja kryesore për zgjidhjen e këtij problemi është të merret parasysh: niveli i kërcënimit (shkalla është treguar në Tabelën 4.1);
niveli i cenueshmërisë (shkalla është treguar në Tabelën 4.2);
madhësia e humbjeve të pritshme financiare (shembull në Fig. 4.1).
Tabela 4.1. Shkallë për vlerësimin e niveleve të kërcënimit (shpeshtësia e shfaqjes).
Përshkrim |
Kuptim |
incidenti ndodh mesatarisht, jo më shpesh se çdo 10 vjet shumë i ulët |
|
një incident ndodh mesatarisht një herë në 3 vjet |
|
incidenti ndodh mesatarisht një herë në vit |
|
incidenti ndodh mesatarisht një herë në katër muaj |
|
incidenti ndodh mesatarisht një herë në muaj |
shumë i gjatë |
Tabela 4.2. Shkalla e vlerësimit të cenueshmërisë (probabiliteti i suksesit |
|
zbatimi i kërcënimit). |
|
Përshkrim |
Kuptim |
Në rast të një incidenti, mundësia e zhvillimit të ngjarjeve është e ulët
Bazuar në vlerësimet e kostos së burimeve të mbrojtura të IP, vlerësimet e kërcënimeve dhe dobësive, përcaktohen "humbjet e pritshme vjetore". Ne fig 4.1 është një shembull i një matricë për vlerësimin e humbjeve të pritshme. Në të, kolona e dytë nga e majta përmban vlerat e kostos së burimit, rreshti i lartë i titullit të tabelës është një vlerësim i shpeshtësisë së shfaqjes së një kërcënimi gjatë vitit (niveli i kërcënimit), rreshti i poshtëm i titullit është një vlerësim i mundësisë së suksesit të kërcënimit (niveli i cenueshmërisë).
Oriz. 4.1 Matrica e pritshme e humbjeve vjetore
Vlerat e humbjeve të pritshme vjetore (Humbja vjetore e pritshmërisë angleze) konvertohen në CRAMM në pika që tregojnë nivelin e rrezikut, sipas shkallës së treguar në Fig. 4.2 (në këtë shembull, humbjet raportohen në sterlina).
Oriz. 4.2 Shkalla e vlerësimit të nivelit të rrezikut
Në përputhje me matricën më poshtë, nxirret një vlerësim rreziku (Figura 4.3)
Oriz. 4.3 Matrica e Vlerësimit të Rrezikut
Faza e tretë e kërkimit është gjetja e kundërmasave adekuate. Në thelb, është një kërkim për një opsion të sistemit të sigurisë që i përshtatet më së miri kërkesave të klientit.
Në këtë fazë, CRAMM gjeneron disa opsione për kundërmasa që janë të përshtatshme për rreziqet e identifikuara dhe nivelet e tyre. Kundërmasat mund të grupohen në tri kategori: rreth 300 rekomandime të përgjithshme; më shumë se 1000 rekomandime specifike; rreth 900 shembuj se si mund të organizoni mbrojtjen në një situatë të caktuar.
Kështu, CRAMM është një shembull i një metodologjie llogaritëse në të cilën vlerësimet fillestare jepen në një nivel cilësor, dhe më pas bëhet kalimi në një vlerësim sasior (në pikë).
Teknika FRAP
Procesi i lehtësuar i analizës së rrezikut (FRAP) nga Peltier dhe Associates. http://www.peltierassociates.com/) zhvilluar nga Thomas R. Peltier dhe
botuar në (fragmente të këtij libri janë në dispozicion në sit, përshkrimi më poshtë është ndërtuar mbi bazën e tyre). Në metodologji, ofrimi i IS IS propozohet të merret parasysh në kuadrin e procesit të menaxhimit të rrezikut. Menaxhimi i rrezikut në fushën e sigurisë së informacionit është një proces që lejon kompanitë të gjejnë një ekuilibër midis kostos së fondeve dhe përpjekjeve për pajisjet mbrojtëse dhe efektit që rezulton.
Menaxhimi i rrezikut duhet të fillojë me një vlerësim të rrezikut: rezultatet e dokumentuara siç duhet të vlerësimit do të formojnë bazën për vendimet për të përmirësuar sigurinë e sistemit.
Pasi të përfundojë vlerësimi, kryhet një analizë kosto / përfitim, e cila ju lejon të përcaktoni mjetet juridike që nevojiten për të zvogëluar rrezikun në një nivel të pranueshëm.
Më poshtë janë fazat kryesore të vlerësimit të rrezikut. Kjo listë në masë të madhe përsërit një listë të ngjashme nga metodat e tjera, por FRAP zbulon në mënyrë më të detajuar mënyra për të marrë të dhëna në lidhje me sistemin dhe dobësitë e tij.
1. Përcaktimi i aseteve të mbrojtura kryhet duke përdorur pyetësorë, duke studiuar dokumentacionin për sistemin, duke përdorur mjete për analizë të automatizuar (skanim) të rrjeteve.
2. Identifikimi i kërcënimeve. Kur përpiloni një listë të kërcënimeve, mund të përdoren qasje të ndryshme:
listat e kërcënimeve (listat e kontrollit) të përgatitura paraprakisht nga ekspertët, nga të cilat përzgjidhen ato përkatëse për një sistem të caktuar;
analiza e statistikave të incidenteve në këtë IS dhe në ato të ngjashme, vlerësohet frekuenca e ndodhjes së tyre; për një numër kërcënimesh, për shembull, kërcënimi nga zjarri, statistika të tilla mund të merren nga organizatat përkatëse qeveritare;
sesion i stuhisë së mendimeve nga punonjësit e kompanisë.
3. Kur lista e kërcënimeve është e plotë, secila prej tyre krahasohet me mundësinë e shfaqjes. Pas kësaj, vlerësohet dëmi që mund të shkaktohet nga ky kërcënim. Bazuar në vlerat e marra, vlerësohet niveli i kërcënimit.
Gjatë kryerjes së analizës, si rregull, supozohet se në fazën fillestare sistemit i mungojnë mjetet dhe mekanizmat e mbrojtjes. Kështu, vlerësohet niveli i rrezikut për IS të pambrojtur, i cili më pas lejon shfaqjen e efektit të futjes së mjeteve të sigurisë së informacionit (ISS).
Vlerësimi bëhet për gjasat e një kërcënimi dhe dëmtimi prej tij në shkallët e mëposhtme.
Probabiliteti:
Probabilitet i lartë Ka shumë të ngjarë që kërcënimi të materializohet brenda vitit të ardhshëm;
Probabiliteti i Mesëm ka të ngjarë të materializohet brenda vitit të ardhshëm; Probabiliteti i ulët nuk ka gjasa të materializohet brenda vitit të ardhshëm.
Ndikimi është një masë e sasisë së humbjes ose dëmtimit të një aktivi:
E Lartë (Ndikim i Lartë): mbyllja e njësive kritike të biznesit, e cila rezulton në dëme të konsiderueshme për biznesin, humbje të imazhit ose humbje të fitimit të konsiderueshëm;
Ndikimi i Mesëm: ndërprerja afatshkurtër e proceseve ose sistemeve kritike që çon në humbje të kufizuara financiare në një njësi biznesi;
I ulët (Ndikim i ulët): një ndërprerje në punë që nuk shkakton humbje të prekshme financiare.
Vlerësimi përcaktohet në përputhje me rregullin e specifikuar nga matrica e rrezikut e treguar në Fig. 4.4 Vlerësimi i nivelit të rrezikut që rezulton mund të interpretohet si më poshtë:
Veprimet e lidhura me rrezikun e nivelit A (për shembull, zbatimi i një sistemi të sigurisë së informacionit) duhet të kryhen menjëherë dhe pa dështim;
Duhet të ndërmerren veprime të lidhura me rrezikun e nivelit B;
Niveli C kërkon monitorimin e situatës (por mund të mos jetë e nevojshme të merren masa të menjëhershme për t'iu kundërvënë kërcënimit);
Niveli D asnjë veprim nuk kërkohet në këtë kohë.
Oriz. 4.4 FRAP Matrica e Rrezikut
4. Pasi të jenë identifikuar kërcënimet dhe është bërë një vlerësim i rrezikut, kundërmasat duhet të identifikohen për të eleminuar rrezikun ose për ta zvogëluar atë në një nivel të pranueshëm. Në të njëjtën kohë, duhet të merren parasysh kufizimet ligjore që e bëjnë të pamundur ose, anasjelltas, të detyrueshëm, përdorimin e mjeteve dhe mekanizmave të caktuar të mbrojtjes. Për të përcaktuar efektin e pritshëm, mund të bëhet një vlerësim i të njëjtit rrezik, por i nënshtruar zbatimit të SIS të propozuar. Nëse rreziku nuk zvogëlohet sa duhet, mund të jetë e nevojshme të përdoret një SIZ tjetër. Së bashku me përcaktimin e mjeteve të mbrojtjes, është e nevojshme të përcaktohet se çfarë kosto do të sjellë blerja dhe zbatimi i tij (kostot mund të jenë të drejtpërdrejta dhe të tërthorta, shih më poshtë). Për më tepër, është e nevojshme të vlerësohet nëse mjeti në vetvete është i sigurt, nëse krijon dobësi të reja në sistem.
Për të përdorur mjetet juridike me kosto efektive, duhet të bëhet një analizë kosto-përfitim. Në këtë rast, është e nevojshme të vlerësohet jo vetëm kostoja e blerjes së zgjidhjes, por edhe kostoja e mirëmbajtjes së funksionimit të saj. Kostot mund të përfshijnë:
kostoja e zbatimit të projektit, duke përfshirë softuer dhe harduer shtesë;
ulje e efikasitetit të sistemit në detyrat e tij kryesore; zbatimi i politikave dhe procedurave shtesë për mirëmbajtjen e objektit; kostot e punësimit të personelit shtesë ose rikualifikimi i atyre ekzistues.
5. Dokumentimi. Kur vlerësimi i rrezikut të përfundojë, rezultatet e tij duhet të dokumentohen në detaje në një format të standardizuar. Raporti që rezulton mund të përdoret për të përcaktuar politikat, procedurat, buxhetin e sigurisë, etj.
Teknikë OCTAVE
OCTAVE (Vlerësimi i kërcënimit kritik operacional, pasurisë dhe cenueshmërisë)
rreziku në një organizatë të zhvilluar nga Instituti i Inxhinierisë Softuerike (SEI) në Universitetin Carnegie Mellon. Një përshkrim i plotë i teknikës është në dispozicion në internet në http://www.cert.org/octave. Ajo gjithashtu i është përkushtuar shumë artikujve shkencorë dhe shkencorë dhe teknikë.
E veçanta e kësaj teknike është se i gjithë procesi i analizës kryhet nga stafi i organizatës, pa përfshirjen e konsulentëve të jashtëm. Për këtë, krijohet një grup i përzier, duke përfshirë specialistë teknikë dhe menaxherë të niveleve të ndryshme, i cili lejon një vlerësim gjithëpërfshirës të pasojave për biznesin e incidenteve të mundshme të sigurisë dhe zhvillimin e kundërmasave.
OCTAVE ka tre faza të analizës:
1. zhvillimin e një profili kërcënimi të lidhur me aktivin;
2. identifikimi i dobësive të infrastrukturës;
3. zhvillimin e strategjive dhe planeve të sigurisë.
Profili i kërcënimit përfshin referenca për aktivin, llojin e qasjes në aktiv, burimin e kërcënimit (aktori), llojin e shkeljes ose motivin (motivin), rezultatin (rezultatin) dhe lidhjet me përshkrimet e kërcënimit në katalogët publikë. Sipas llojit të burimit, kërcënimet në OCTAVE ndahen në:
1. kërcënimet e paraqitura nga një ndërhyrës që vepron përmes një rrjeti të dhënash;
2. kërcënimet e paraqitura nga një ndërhyrës duke përdorur aksesin fizik;
3. kërcënimet që lidhen me dështimet e sistemit;
4. të tjerët.
Rezultati mund të jetë zbulimi, modifikimi, humbja / shkatërrimi i një burimi informacioni, ose shkëputja. Mohimi i shërbimit
Teknika OCTAVE sugjeron përdorimin e "pemëve variante" kur përshkruani një profil; një shembull i një peme të tillë për kërcënimet e klasës 1) është treguar në Fig. 4.5. Kur krijoni një profil kërcënimi, rekomandohet të shmangni një bollëk detajesh teknike - kjo është detyra e fazës së dytë të studimit. Detyra kryesore e fazës së parë është të përshkruajë kombinimin e kërcënimit dhe burimeve në një mënyrë të standardizuar.
Supozoni se ndërmarrja ka një bazë të dhënash të burimeve të informacionit (aseteve) (DB) të departamentit të personelit (Baza e të dhënave e burimeve njerëzore). Profili që korrespondon me kërcënimin e vjedhjes së informacionit nga një punonjës i ndërmarrjes është paraqitur në Tabelën 4.3.
Tabela 4.3. Shembull i një profili kërcënimi.
Aset |
Baza e të dhënave të burimeve njerëzore |
Lloji i hyrjes (Qasja) |
Përmes rrjetit të të dhënave |
Burimi i kërcënimit (Aktor) |
E brendshme (brenda) |
Lloji i shkeljes (Motivi) |
Me qëllim |
Cenueshmëria |
|
Rezultati |
Zbulimi |
zmadhoni imazhin Oriz. 4.5. Pema variante e përdorur kur përshkruani një profil
Faza e dytë e studimit të sistemit në përputhje me metodologjinë për identifikimin e dobësive të infrastrukturës. Gjatë kësaj faze, përcaktohet infrastruktura që mbështet ekzistencën e aktivit të alokuar më parë (për shembull, nëse kjo është një bazë të dhënash e departamentit të burimeve njerëzore, atëherë për të punuar me të kemi nevojë për një server në të cilin gjendet baza, një stacion pune i një punonjës i departamentit të burimeve njerëzore, etj.) dhe atë mjedis, i cili mund të lejojë qasje në të (për shembull, segmenti përkatës i rrjetit lokal). Komponentët e klasave të mëposhtme merren parasysh: serverët; pajisjet e rrjetit; sistemet e sigurisë së informacionit; kompjuterët personalë; kompjuterët personalë të shtëpisë të përdoruesve të "shtëpisë" që punojnë nga distanca, por kanë qasje në rrjetin e organizatës; kompjuterë celularë; sisteme ruajtjeje; pajisje pa tel; të tjerë Me
Ekipi që kryen analizën për secilin segment të rrjetit vëren se cilët përbërës në të kontrollohen për dobësitë. Dobësitë kontrollohen nga skanerët e sigurisë të nivelit të sistemit operativ, skanerët e sigurisë së rrjetit, skanerët e specializuar (për serverë të veçantë në internet, DBMS, etj.), Duke përdorur lista kontrolli, skripte testimi.
Për secilin komponent, përcaktohet:
një listë të dobësive që duhet të eliminohen menjëherë (dobësitë e ashpërsisë së lartë);
lista e dobësive që duhet të eliminohen në të ardhmen e afërt (dobësitë e mesme të ashpërsisë);
një listë të dobësive që nuk kërkojnë veprim të menjëhershëm (dobësi të nivelit të ulët).
Bazuar në rezultatet e fazës, përgatitet një raport, i cili tregon se cilat dobësi janë zbuluar, çfarë ndikimi mund të kenë në pasuritë e alokuara më parë, cilat masa duhet të merren për të eleminuar dobësitë.
Zhvillimi i strategjive dhe planeve të sigurisë është faza e tretë e kërkimit të sistemit. Fillon me një vlerësim të rrezikut, i cili bazohet në raportet nga dy fazat e mëparshme. Në OCTAVE, vlerësimi i rrezikut jep vetëm një vlerësim të dëmit të pritur, pa një vlerësim të gjasave. Shkalla: e lartë, e mesme, e ulët. Dëmi financiar, dëmtimi i reputacionit të kompanisë, jetës dhe
shëndetin e klientëve dhe punonjësve, dëm që mund të shkaktojë ndjekje ligjore si pasojë e një incidenti. Vlerat që korrespondojnë me secilën gradim të shkallës janë përshkruar (për shembull, një humbje financiare prej $ 10,000 është e lartë për një biznes të vogël, mesatar për një më të madh).
për periudhën afatmesme;
listat e detyrave për të ardhmen e afërt.
Për të përcaktuar masat për të luftuar kërcënimet në metodologji, propozohen katalogë fondesh.
Dua të theksoj edhe një herë se, ndryshe nga metodat e tjera, OCTAVE nuk nënkupton përfshirjen e ekspertëve të palëve të treta për studimin e sigurisë së IS, dhe i gjithë dokumentacioni i OCTAVE është publikisht dhe pa pagesë, gjë që e bën metodën veçanërisht tërheqëse për ndërmarrjet me një buxhet shumë të kufizuar të alokuar për sigurinë e informacionit. ...
Teknika e RiskWatch
RiskWatch ka zhvilluar metodologjinë e vet të analizës së rrezikut dhe një familje mjetesh softuare në të cilat është zbatuar deri diku.
Familja RiskWatch përfshin produkte softuerësh për lloje të ndryshme të auditimeve të sigurisë:
RiskWatch për Sigurinë Fizike për analizën e mbrojtjes fizike të IP;
RiskWatch për Sistemet e Informacionit për rreziqet e informacionit;
HIPAAWATCH për Industrinë e Kujdesit Shëndetësor për të vlerësuar pajtueshmërinë me kërkesat e Aktit të Transportit dhe Llogaridhënies të Sigurimeve të Kujdesit Shëndetësor të SHBA (HIPAA), të cilat janë të rëndësishme kryesisht për institucionet mjekësore që veprojnë në Shtetet e Bashkuara;
RiskWatch RW17799 për ISO 17799 për vlerësimin e konformitetit të IP me kërkesat e standardit ndërkombëtar ISO 17799.
Metoda RiskWatch përdor Pritshmërinë Vjetore të Humbjeve (ALE) dhe Kthimin në Investime (ROI) si kritere për vlerësimin dhe menaxhimin e rrezikut. RiskWatch është përqendruar në përcaktimin e sasisë së saktë të marrëdhënies midis humbjeve të kërcënimit të sigurisë dhe kostove të mbrojtjes. Produkti RiskWatch bazohet në një metodologji të analizës së rrezikut që përbëhet nga katër faza.
Faza e parë është përcaktimi i subjektit të kërkimit. Ai përshkruan parametra të tillë si lloji i organizatës, përbërja e sistemit në studim (në terma të përgjithshëm), kërkesat themelore në fushën e sigurisë. Për të lehtësuar punën e analistit, modelet që korrespondojnë me llojin e organizatës ("sistemi i informacionit tregtar", "sistemi i informacionit shtetëror / ushtarak", etj.) Përmbajnë lista të kategorive të burimeve të mbrojtura, humbjeve, kërcënimeve, dobësive dhe masave mbrojtëse. Nga këto, ju duhet të zgjidhni ato që janë aktualisht të pranishme në organizatë (Figura 4.6).
Zbulimi i informacionit;
Humbjet direkte (për shembull, nga shkatërrimi i pajisjeve nga zjarri); Jeta dhe shëndeti (personeli, klientët, etj.);
Ndryshimi i të dhënave;
Humbjet indirekte (për shembull, kostot e restaurimit); Reputacioni.
Faza e dytë është futja e të dhënave që përshkruajnë karakteristikat specifike të sistemit. Të dhënat mund të futen me dorë ose të importohen nga raportet e krijuara nga mjetet kërkimore të cenueshmërisë së rrjetit kompjuterik. Në këtë fazë, në veçanti, burimet, humbjet dhe klasat e incidenteve janë përshkruar në detaje. Klasat e incidenteve merren duke përputhur kategorinë e humbjeve dhe kategorinë e burimeve.
Për të identifikuar dobësitë e mundshme, përdoret një pyetësor, baza e të dhënave e të cilit përmban më shumë se 600 pyetje. Pyetjet lidhen me kategoritë e burimeve.
Frekuenca e shfaqjes së secilit prej kërcënimeve të përzgjedhura, shkalla e cenueshmërisë dhe vlera janë vendosur gjithashtu.
burimet. Nëse sistemi ka vlerësime mesatare vjetore të shfaqjes (LAFE dhe SAFE) për klasën e zgjedhur të kërcënimit, ato përdoren. E gjithë kjo përdoret në të ardhmen për të llogaritur efektin e futjes së pajisjeve mbrojtëse.
zmadhoni imazhin Oriz. 4.6 Përcaktimi i kategorive të burimeve të mbrojtura
Faza e tretë është një vlerësim sasior i rrezikut. Në këtë fazë, llogaritet një profil rreziku dhe zgjidhen masat e sigurisë. Së pari, krijohen lidhje midis burimeve, humbjeve, kërcënimeve dhe dobësive të identifikuara në hapat e mëparshëm të studimit. Në thelb, rreziku vlerësohet duke përdorur pritjet matematikore të humbjeve për vitin. Për shembull, nëse kostoja e një serveri është 150,000 dollarë dhe probabiliteti që ai të shkatërrohet nga zjarri brenda një viti është 0.01, atëherë humbja e pritshme është 1.500 dollarë.
Formula e llogaritjes (m = p * v, ku m është pritshmëria matematikore, p është probabiliteti i një kërcënimi, v është kostoja e një burimi) ka pësuar disa ndryshime, për shkak të faktit se RiskWatch përdor vlerësimet e përcaktuara nga amerikanët Instituti i NIST, i quajtur LAFE dhe SAFE. LAFE (Vlerësimi vjetor i frekuencës lokale) tregon se sa herë në vit, mesatarisht, një kërcënim i caktuar zbatohet në një vend të caktuar (për shembull, në një qytet). SAFE (Vlerësimi Standard i Frekuencës Vjetore) tregon se sa herë në vit, mesatarisht, një kërcënim i caktuar ndodh në këtë "pjesë të botës" (për shembull, në Amerikën e Veriut). Gjithashtu futet një faktor korrigjues, i cili bën të mundur të merret parasysh se si rezultat i zbatimit të një kërcënimi, burimi i mbrojtur mund të mos shkatërrohet plotësisht, por vetëm pjesërisht.
Formulat (4.1) dhe (4.2) tregojnë opsionet për llogaritjen e treguesit ALE:
Vlera e Aseteve është vlera e aktivit në shqyrtim (të dhëna, softuer, pajisje, etj.); Faktori i ekspozimit faktori i ekspozimit tregon se cilën pjesë (në përqindje) të vlerës
aktivi është në rrezik;
Frekuenca e shpeshtësisë së shfaqjes së një ngjarjeje të padëshiruar;
ALE është një vlerësim i humbjeve të pritshme vjetore për një aktiv specifik nga zbatimi i një kërcënimi.
Kur të gjitha aktivet dhe ndikimet identifikohen dhe mblidhen së bashku, bëhet e mundur të vlerësohet rreziku i përgjithshëm ndaj PI si shuma e të gjitha vlerave të veçanta.
Ju mund të futni "Shkalla Vjetore e Ndodhjes ARO" dhe "Pritshmëria e Humbjes së Humbjes së Vetëm", të cilat mund të llogariten si diferenca midis vlerës fillestare të aktivit dhe vlerës së tij të mbetur pas incidentit (megjithëse kjo metodë e vlerësimit nuk është e zbatueshme në të gjitha rastet, për shembull, nuk është i përshtatshëm për vlerësimin e rreziqeve që lidhen me shkeljen e konfidencialitetit të informacionit). Pastaj, për një kombinim të veçantë të burimeve të kërcënimit, formula (4.2) është e zbatueshme
Për më tepër, çfarë-nëse skenarët konsiderohen për të përshkruar situata të ngjashme, me kusht që të ketë masa mbrojtëse. Duke krahasuar humbjet e pritshme me dhe pa masa mbrojtëse, është e mundur të vlerësohet efekti i masave të tilla.
RiskWatch përfshin bazat e të dhënave me vlerësimet LAFE dhe SAFE, si dhe përshkrime të përgjithësuara të llojeve të ndryshme të produkteve mbrojtëse.
Treguesi i kthimit të investimit (ROI), i cili tregon kthimin e investimit të bërë gjatë një periudhe të caktuar kohore, përcakton sasinë e ndikimit të zbatimit të mjeteve juridike. Ajo llogaritet me formulën:
Shpenzimet j kostot e zbatimit dhe mirëmbajtjes j masat mbrojtëse;
Përfitimet i një vlerësim të përfitimeve (dmth. Zvogëlimi i pritshëm i humbjeve) që sjell zbatimi i kësaj mase mbrojtëse;
NPV (Vlera aktuale Neto) është vlera aktuale neto.
Faza e katërt është krijimi i raporteve. Llojet e raporteve: Përmbledhje të shkurtra.
Raporte të plota dhe koncize të artikujve të përshkruar në fazat 1 dhe 2.
Raport mbi koston e burimeve të mbrojtura dhe humbjet e pritshme nga zbatimi i kërcënimeve. Raporti i Kërcënimeve dhe Kundërmasave.
Raporti i ROI (fragmenti në Fig. 4.7). Raporti i auditimit të sigurisë.
http://www.intuit.ru/studies/courses/531/387/print_lecture/8996 |
CRAMM, RiskWatch dhe GRIF
Rëndësia e detyrës së sigurimit të sigurisë së informacionit për biznesin
Sot, nuk ka dyshim për nevojën për të investuar në sigurinë e informacionit të biznesit modern të madh. Pyetja kryesore e biznesit modern është se si të vlerësohet niveli i mjaftueshëm i investimeve në sigurinë e informacionit për të siguruar efikasitetin maksimal të investimeve në këtë fushë. Për të zgjidhur këtë çështje, ekziston vetëm një mënyrë - përdorimi i sistemeve të analizës së rrezikut që lejojnë vlerësimin e rreziqeve ekzistuese në sistem dhe zgjedhjen e opsionit më efektiv të mbrojtjes (sipas raportit të rreziqeve ekzistuese në sistem me kostot e informacionit siguri).
Për të konfirmuar faktin e urgjencës së detyrës për të siguruar sigurinë e biznesit, ne do të përdorim raportin e FBI për 2003. Të dhënat u mblodhën nga një sondazh i 530 kompanive amerikane (biznese të mesme dhe të mëdha).
Statistikat e incidenteve të sigurisë së TI -së janë të pafalshme. Sipas FBI -së, në 2003, 56% e kompanive të anketuara u sulmuan:
Humbjet nga llojet e ndryshme të ndikimeve të informacionit tregohen në grafikun e mëposhtëm:
Arsyetimi i nevojës për investim në sigurinë e informacionit të kompanisë
Sipas statistikave, pengesa më e madhe për marrjen e masave për të siguruar sigurinë e informacionit në një kompani janë dy arsye:
- kufizimi i buxhetit;
- mungesa e mbështetjes nga menaxhmenti.
Të dy arsyet dalin nga keqkuptimi i menaxhmentit për seriozitetin e çështjes dhe vështirësia që menaxheri i TI -së të justifikojë pse është e nevojshme të investohet në sigurinë e informacionit. Shpesh, shumë priren të mendojnë se problemi kryesor është se menaxherët dhe drejtuesit e IT flasin gjuhë të ndryshme- teknike dhe financiare, por në fund të fundit, vetë specialistët e IT shpesh e kanë të vështirë të vlerësojnë se për çfarë të shpenzojnë para dhe sa kërkohet për të siguruar siguri më të madhe.sistemet e kompanisë në mënyrë që këto kosto të mos humbasin apo të tepërta.
Nëse një menaxher i TI -së e kupton qartë se sa para mund të humbë një kompani në rast kërcënimesh, cilat vende në sistem janë më të cenueshme, cilat masa mund të merren për të rritur nivelin e sigurisë dhe në të njëjtën kohë të mos shpenzojnë para shtesë, dhe e gjithë kjo është e dokumentuar, atëherë zgjidhja e problemit është e bindur menaxhmenti që t'i kushtojë vëmendje dhe të ndajë fonde për sigurinë e informacionit bëhet shumë më reale.
Për të zgjidhur këtë problem, u zhvilluan sisteme softuerësh për analizën dhe kontrollin e rreziqeve të informacionit: CRAMM Britanike (kompania Insight Consulting), American RiskWatch (kompani) dhe GRIF (kompani) ruse. Le të shqyrtojmë më tej këto metoda dhe sisteme softuerike të ndërtuara mbi bazën e tyre.
NDRYSHIM
Metoda e Analizës dhe Menaxhimit të Rrezikut të Qeverisë në Mbretërinë e Bashkuar u zhvillua nga Shërbimi i Sigurisë në Mbretërinë e Bashkuar në emër të qeverisë britanike dhe u miratua si standard shtetëror. Hasshtë përdorur që nga viti 1985 nga qeveria dhe organizatat tregtare në MB. Deri tani CRAMM ka fituar popullaritet në të gjithë botën. Insight Consulting Limited zhvillon dhe mirëmban një produkt softuerik me të njëjtin emër që zbaton metodën CRAMM.
Ne kemi zgjedhur metodën CRAMM për një konsideratë më të detajuar, dhe kjo nuk është e rastësishme. Aktualisht CRAMM është një mjet mjaft i fuqishëm dhe i gjithanshëm që lejon, përveç analizës së rrezikut, të zgjidhë një sërë detyrash të tjera të auditimit, duke përfshirë:
- kryerja e një sondazhi IP dhe lëshimi i dokumentacionit shoqërues në të gjitha fazat e zhvillimit të tij;
- auditim në përputhje me kërkesat e qeverisë britanike, si dhe BS 7799: 1995 - Kodi i Praktikës për Menaxhimin e Sigurisë së Informacionit BS7799;
- zhvillimin e një politike të sigurisë dhe planit të vazhdimësisë së biznesit.
CRAMM, e cila kombinon metodat sasiore dhe cilësore të analizës, bazohet në një qasje të integruar për vlerësimin e rrezikut. Metoda është e gjithanshme dhe e përshtatshme për organizatat e mëdha dhe të vogla, si qeveritare ashtu edhe tregtare. Versionet e softuerit CRAMM që synojnë lloje të ndryshme organizatash ndryshojnë nga njëra -tjetra në bazat e tyre të njohurive (profilet). Për organizatat tregtare ekziston një profil tregtar (Profili Komercial), për organizatat qeveritare - një profil qeverie (Profili i Qeverisë). Versioni qeveritar i profilit gjithashtu lejon auditimin për pajtueshmërinë me kërkesat e standardit amerikan ITSEC ("Libri Portokalli").
Përdorimi kompetent i metodës CRAMM ju lejon të merrni rezultate shumë të mira, më e rëndësishmja prej të cilave, ndoshta, është mundësia e justifikimit ekonomik të kostove të organizatës për të siguruar sigurinë e informacionit dhe vazhdimësinë e biznesit. Një strategji e menaxhimit të rrezikut ekonomikisht të shëndoshë kursen para duke shmangur kostot e panevojshme.
CRAMM përfshin ndarjen e të gjithë procedurës në tre faza të njëpasnjëshme. Detyra e fazës së parë është t'i përgjigjet pyetjes: "A është e mjaftueshme për të mbrojtur sistemin duke përdorur mjete të nivelit bazë që zbatojnë funksionet tradicionale të sigurisë, apo është e nevojshme të bëhet një analizë më e detajuar?" Në fazën e dytë, rreziqet identifikohen dhe madhësia e tyre vlerësohet. Në fazën e tretë, vendoset çështja e zgjedhjes së kundërmasave adekuate.
Metodologjia CRAMM për secilën fazë përcakton një grup të dhënash fillestare, një sekuencë aktivitetesh, pyetësorë për intervista, lista kontrolli dhe një grup dokumentesh raportuese.
Nëse, sipas rezultateve të faza e parë, u zbulua se niveli i kriticitetit të burimeve është shumë i ulët dhe rreziqet ekzistuese sigurisht që nuk do të tejkalojnë një nivel të caktuar bazë, atëherë një grup minimal i kërkesave të sigurisë i imponohet sistemit. Në këtë rast, shumica e aktiviteteve të fazës së dytë nuk kryhen, por kalimi në fazën e tretë kryhet, në të cilën krijohet një listë standarde e kundërmasave për të siguruar pajtueshmërinë me grupin bazë të kërkesave të sigurisë.
Aktiv etapa e dyte analizon kërcënimet dhe dobësitë e sigurisë. Auditori merr të dhënat fillestare për vlerësimin e kërcënimeve dhe dobësive nga përfaqësuesit e autorizuar të organizatës gjatë intervistave të përshtatshme. Pyetësorët e specializuar përdoren për të kryer intervista.
Aktiv faza e tretë zgjidhet problemi i menaxhimit të rrezikut, i cili konsiston në përzgjedhjen e kundërmasave adekuate. Vendimi për futjen e mekanizmave të rinj të sigurisë në sistem dhe modifikimin e atyre të vjetër merret nga menaxhmenti i organizatës, duke marrë parasysh kostot e lidhura, pranueshmërinë e tyre dhe përfitimin përfundimtar për biznesin. Detyra e auditorit është të justifikojë kundërmasat e rekomanduara për menaxhimin e organizatës.
Nëse merret një vendim për futjen e kundërmasave të reja dhe modifikimin e të vjetrave, auditori mund të ngarkohet me përgatitjen e një plani për zbatimin e kundërmasave të reja dhe vlerësimin e efektivitetit të përdorimit të tyre. Zgjidhja për këto probleme është përtej fushëveprimit të metodës CRAMM.
Diagrami konceptual i një studimi CRAMM është treguar në diagram:
P TOR disavantazhet e metodës CRAMM përfshijnë sa vijon:
- Përdorimi i metodës CRAMM kërkon trajnim special dhe kualifikime të larta të auditorit.
- CRAMM është shumë më i përshtatshëm për auditimin e IS -ve ekzistuese në funksion sesa për IS -të në zhvillim.
- Auditimi CRAMM është një proces mjaft i mundimshëm dhe mund të kërkojë muaj punë të vazhdueshme të auditorit.
- Paketa e veglave të softuerit CRAMM gjeneron një sasi të madhe të dokumentacionit të letrës, i cili nuk është gjithmonë i dobishëm në praktikë.
- CRAMM nuk ju lejon të krijoni modelet tuaja të raportit ose të modifikoni ato ekzistuese.
- Aftësia për të bërë shtesa në bazën e njohurive CRAMM nuk është në dispozicion të përdoruesve, gjë që shkakton vështirësi të caktuara në përshtatjen e kësaj metode me nevojat e një organizate të veçantë.
- Softueri CRAMM është i disponueshëm vetëm në gjuhën angleze.
- Kosto e lartë e licencës.
RiskWatch
Softuer RiskWatch zhvilluar nga një kompani amerikane është një mjet i fuqishëm i analizës dhe menaxhimit të rrezikut. Familja RiskWatch përfshin produkte softuerësh për lloje të ndryshme të auditimeve të sigurisë. Ai përfshin mjetet e mëposhtme të auditimit dhe analizës së rrezikut:
- RiskWatch për Sigurinë Fizike - për metodat fizike të mbrojtjes IP;
- RiskWatch për Sistemet e Informacionit - për rreziqet e informacionit;
- HIPAA -WATCH për Industrinë e Kujdesit Shëndetësor - për të vlerësuar pajtueshmërinë me kërkesat e standardit HIPAA;
- RiskWatch RW17799 për ISO17799 - për vlerësimin e kërkesave të standardit ISO17799.
Metoda RiskWatch përdor Pritshmërinë Vjetore të Humbjeve (ALE) dhe Kthimin në Investime (ROI) si kritere për vlerësimin dhe menaxhimin e rrezikut. Familja e produkteve të softuerit RiskWatch ka shumë përparësi.
RiskWatch ju ndihmon të bëni analiza të rrezikut dhe të bëni zgjedhje të informuara në lidhje me masat dhe mjetet juridike. Teknika e përdorur në program përfshin 4 faza:
Faza e parë- përcaktimi i lëndës së hulumtimit. Në këtë fazë, përshkruhen parametrat e përgjithshëm të organizatës - lloji i organizatës, përbërja e sistemit në studim, kërkesat themelore të sigurisë. Përshkrimi është zyrtarizuar në një numër nën-klauzolash që mund të zgjidhni për një përshkrim më të detajuar ose kaloni.
Secili prej artikujve të zgjedhur është përshkruar në detaje më poshtë. Për të lehtësuar punën e analistit, modelet ofrojnë lista të kategorive të burimeve të mbrojtura, humbjeve, kërcënimeve, dobësive dhe masave mbrojtëse. Nga këto, ju duhet të zgjidhni ato që janë aktualisht të pranishme në organizatë.
Faza e dytë- futja e të dhënave që përshkruajnë karakteristikat specifike të sistemit. Të dhënat mund të futen me dorë ose të importohen nga raportet e krijuara nga mjetet kërkimore të cenueshmërisë së rrjetit kompjuterik. Në këtë fazë, burimet, humbjet dhe klasat e incidenteve janë të detajuara.
Klasat e incidenteve merren duke përputhur kategorinë e humbjeve dhe kategorinë e burimeve. Për të identifikuar dobësitë e mundshme, përdoret një pyetësor, baza e të dhënave e të cilit përmban më shumë se 600 pyetje që lidhen me kategoritë e burimeve. Lejohet korrigjimi i pyetjeve, fshirja ose shtimi i pyetjeve të reja. Frekuenca e shfaqjes së secilit prej kërcënimeve të zgjedhura, shkalla e cenueshmërisë dhe vlera e burimeve janë vendosur. E gjithë kjo përdoret në të ardhmen për të llogaritur efektivitetin e zbatimit të pajisjeve mbrojtëse.
Faza e tretë- vlerësimi i rrezikut. Së pari, krijohen lidhje midis burimeve, humbjeve, kërcënimeve dhe dobësive të identifikuara në fazat e mëparshme. Për rreziqet, pritjet matematikore të humbjeve për vitin llogariten duke përdorur formulën:
m = p * v, ku p është frekuenca e shfaqjes së kërcënimit gjatë vitit, v është kostoja e burimit që është nën kërcënim.
Për shembull, nëse kostoja e një serveri është 150,000 dollarë dhe probabiliteti që ai të shkatërrohet nga një zjarr brenda një viti është 0.01, atëherë humbjet e pritshme do të jenë 1.500 dollarë. Për më tepër, skenarët "çfarë nëse ..." janë konsiderohen, të cilat lejojnë përshkrimin e situatave të ngjashme, në varësi të zbatimit. mjetet e mbrojtjes. Duke krahasuar humbjet e pritshme me dhe pa masa mbrojtëse, është e mundur të vlerësohet efekti i masave të tilla.
Faza e katërt- krijimi i raporteve. Llojet e raporteve: përmbledhje të shkurtra; raporte të plota dhe përmbledhëse të elementeve të përshkruara në fazat 1 dhe 2; raport mbi koston e burimeve të mbrojtura dhe humbjet e pritshme nga zbatimi i kërcënimeve; raport mbi kërcënimet dhe kundërmasat; raporti i auditimit të sigurisë.
Disavantazhet e RiskWatch mund t'i atribuohet:
- Kjo metodë është e përshtatshme nëse keni nevojë të bëni një analizë rreziku në nivelin e mbrojtjes softuerike dhe harduerike, pa marrë parasysh faktorët organizativë dhe administrativë. Vlerësimet e rrezikut që rezultojnë (pritja matematikore e humbjeve) janë larg nga shterimi i të kuptuarit të rrezikut nga pikëpamja sistemike - metoda nuk merr parasysh një qasje të integruar ndaj sigurisë së informacionit.
- Softueri RiskWatch është i disponueshëm vetëm në gjuhën angleze.
- Kosto e lartë e licencës - nga 15,000 dollarë për vend për një kompani të vogël dhe nga 125,000 dollarë për një licencë vëllimi.
Qafë
Për të kryer një analizë të plotë të rreziqeve të informacionit, para së gjithash, është e nevojshme të ndërtohet një model i plotë i sistemit të informacionit nga pikëpamja e sigurisë së informacionit. Për të zgjidhur këtë problem, në kontrast me sistemet perëndimore të analizës së rrezikut në treg, të cilat janë mjaft të rënda dhe shpesh nuk përfshijnë përdorim të pavarur nga menaxherët e TI -së dhe administratorët e sistemit përgjegjës për të siguruar sigurinë e sistemeve të informacionit të kompanive, ai ka një ndërfaqe intuitive për përdoruesit. Sidoqoftë, pas thjeshtësisë së jashtme, ekziston një algoritëm kompleks i analizës së rrezikut që merr parasysh më shumë se njëqind parametra, i cili lejon një vlerësim të saktë të rreziqeve ekzistuese në sistemin e informacionit bazuar në analizën e veçorive të zbatimit praktik të sistemi i informacionit.
Detyra kryesore e sistemit GRIF është të mundësojë menaxherin e TI që në mënyrë të pavarur (pa përfshirjen e ekspertëve të palëve të treta) të vlerësojë nivelin e rreziqeve në sistemin e informacionit dhe efektivitetin e praktikës ekzistuese për të siguruar sigurinë e kompanisë, si si dhe të sigurojë mundësinë për të bindur menaxhmentin e kompanisë për nevojën për të investuar në sferën e saj sigurinë e informacionit.
Në fazën e parë të metodës GRIF, kryhet një studim i menaxherit të TI -së në mënyrë që të përcaktohet një listë e plotë e burimeve të informacionit që janë me vlerë për kompaninë.
Në fazën e dytë kryhet një studim i menaxherit të TI -së në mënyrë që të futen në sistemin GRIF të gjitha llojet e informacioneve që janë të vlefshme për kompaninë. Grupet e futura të informacionit të vlefshëm duhet të vendosen nga përdoruesi në objektet e ruajtjes së informacionit të specifikuar në fazën e mëparshme (serverët, stacionet e punës, etj.). Faza përfundimtare është një tregues i dëmit për secilin grup informacioni të vlefshëm të vendosur në burimet përkatëse, për të gjitha llojet e kërcënimeve.
Në fazën e tretë kalon përkufizimin e të gjitha llojeve të grupeve të përdoruesve me një tregues të numrit të përdoruesve në secilin grup. Pastaj regjistrohet se në cilat grupe informacioni mbi burimet ka qasje secili prej grupeve të përdoruesve. Si përfundim, përcaktohen llojet (lokale dhe / ose të largëta) dhe të drejtat (lexoni, shkruani, fshini) të aksesit të përdoruesit në të gjitha burimet që përmbajnë informacion të vlefshëm.
Në fazën e katërt kryhet një studim i menaxherit të TI -së për të përcaktuar mjetet e mbrojtjes së informacionit të vlefshëm mbi burimet. Për më tepër, informacioni futet në sistem në lidhje me kostot e njëhershme të blerjes së të gjitha mjeteve të përdorura të sigurisë së informacionit dhe kostot vjetore të mbështetjes së tyre teknike, si dhe kostot vjetore të mirëmbajtjes së sistemit të sigurisë së informacionit të kompanisë.
Në fazën përfundimtareështë e nevojshme t'i përgjigjeni pyetjeve në lidhje me politikën e sigurisë të zbatuar në sistem, e cila do të lejojë vlerësimin e nivelit real të sigurisë së sistemit dhe detajimin e vlerësimeve të rrezikut.
Prania e mjeteve të mbrojtjes së informacionit, të vërejtura në fazën e parë, në vetvete ende nuk e bën sistemin të sigurt në rast të përdorimit të tyre të papërshtatshëm dhe mungesës së një politike të plotë sigurie që merr parasysh të gjitha aspektet e mbrojtjes së informacionit, përfshirë çështjet e mbrojtja, siguria fizike, siguria e personelit, vazhdimësia e biznesit, etj.
Si rezultat i kryerjes së të gjitha veprimeve në këto faza, rezultati do të jetë një model i plotë i sistemit të informacionit nga pikëpamja e sigurisë së informacionit, duke marrë parasysh përmbushjen aktuale të kërkesave të politikës së integruar të sigurisë, e cila do ta bëjë atë e mundur për të vazhduar në një analizë programore të të dhënave të futura për të marrë një vlerësim gjithëpërfshirës të rrezikut dhe për të gjeneruar një raport përfundimtar.
Raport i detajuar i sistemit, e cila jep një pamje të dëmit të mundshëm nga incidentet, është gati për prezantim tek menaxhmenti i kompanisë:
Për disavantazhet e GRIF mund t'i atribuohet:
- Mungesa e lidhjes me proceset e biznesit (e planifikuar në versionin tjetër).
- Pamundësia për të krahasuar raportet në faza të ndryshme të zbatimit të një sërë masash sigurie (të planifikuara në versionin tjetër).
- Pamundësia për të shtuar kërkesat e politikave të sigurisë të veçanta të kompanisë.
- Teknologjitë moderne të analizës së rrezikut në sistemet e informacionit (PCWEEK N37 "2001), Sergey Simonov
- Materialet e kompanisë Jet Infosystems
- Materialet e kompanisë "Siguria dixhitale"
Instituti i Menaxhimit të Volgogradit
Dega RANEPA
E specializuar
softuer analize
rreziqet financiare
ndërmarrjeve
E kryer
student i grupit ME-100
Shahinyan Arpi Armenovna
rreziku i humbjeve monetare, ndodhja
e cila varet nga faktorë të caktuar
jeta ekonomike. Rreziku i shfaqjes
probleme të tilla janë kryesisht
rreziqet financiare. Qëllimi i punës është gjetja
programe të specializuara për të identifikuar
rreziqet financiare të ndërmarrjes Për ndërmarrjet ruse, pavarësisht nga forma e tyre
prona dhe fushat e veprimtarisë, më tipike
janë rreziqet e mëposhtme:
- humbje e mundshme (vdekje), mungesë ose dëmtim
aktivet fikse ose qarkulluese të ndërmarrjes;
- shfaqja e përgjegjësisë civile
ndërmarrjet për detyrimet që dalin
për shkak të dëmtimit të jetës, shëndetit dhe
pronë e palëve të treta ose natyrore përreth
mjedisi;
- humbjet e mundshme ose mospranimi i pritshëm
fitimet për shkak të ndryshimeve në kushtet e funksionimit
ndërmarrjet për shkak të rrethanave jashtë kontrollit të tij;
- shkelja e detyrimeve të tyre nga palët,
partnerët dhe të tjerët Më të përhapurit janë
produktet softuerike të kompanive të mëposhtme:
-Alt (paketat Alt-Invest, Alt-Invest
Shumat, Alt-Leasing, Alt-Finance, AltPlan, Alt-Forecast, Alt-Expert, etj.);
InEk (pako Investitor, Analist, etj.). Pavarësisht nga shumëllojshmëria e produkteve softuerike të ofruara, të dizajnuara për
automatizimi i zgjidhjes së problemeve të zhvillimit të planeve të biznesit për projekte investimi, ata
kemi shume te perbashketa. Kjo përcaktohet nga prania e krijuar
qasje standarde për llogaritjen e të gjithë treguesve dhe kritereve të një projekti investimi,
të përcaktuara në "Rekomandimet metodologjike për vlerësimin e efektivitetit të investimit
projektet dhe përzgjedhja e tyre për financim ”.
Kjo, pavarësisht nga shumëllojshmëria e gjerë e formave të paraqitjes së informacionit dalës, është e tij
përmbajtja zakonisht përfshin të njëjtat të dhëna për ekonominë kryesore
karakteristikat e projektit të investimit, të cilat bazohen në rrjedhën e parasë
projektit. Këto karakteristika përfshijnë: të dhëna mbi fitimin dhe humbjen; shikim përpara
ekuilibri; treguesit që pasqyrojnë gjendjen financiare të ndërmarrjes (koeficientët
përfitueshmëria, aftësia paguese, likuiditeti); treguesit e performancës
investimet (NPV, IRR, PBP, PI, etj).
Familja e produkteve të softuerit Project Expert, në veçanti versioni Project Expert-7,
përveç analizimit të ndjeshmërisë së projektit, kryen llogaritjet e rrezikut duke përdorur metodën e skenarit
analiza. Përdorimi i metodave të simulimit (metoda Monte Carlo) mund të rrisë ndjeshëm besueshmërinë e rezultateve të marra të analizës.
rreziku i projektit. Duke folur për mundësinë e përdorimit të paketave të caktuara, dikush duhet
vini re mënyrat e ndërtimit të secilës prej tyre - të hapura, të mbyllura,
e kombinuar. Një shembull i paketave me burim të hapur janë softuerët
zhvillimin e kompanisë Alt. Përdoruesi ka aftësinë për të bërë
ndryshimet në algoritmet e llogaritjes që mund të përcaktohen
specifikat e detyrave që zgjidhen. Me kualifikime të pamjaftueshme
përdoruesit, ndryshime të tilla mund të çojnë në gabime dhe shtrembërojnë
gjendjen aktuale të punëve. Një shembull i paketave të mbyllura janë
zhvillimet e softuerit nga ProInvestConsulting, në veçanti
Familja e paketave Eksperti i Projektit. Këtu produkti softuerik shfaqet në
formën e të ashtuquajturës "kuti të zezë". Në hyrjen e tij, inicialet
informacion, në dalje - rezultatet e llogaritjeve të planit të biznesit. Përdorues
nuk ka aftësinë për të ndryshuar algoritmin e llogaritjes. Programet e tilla nuk janë
bëjnë kërkesa të larta për kualifikimet e përdoruesit. Prandaj,
zgjedhja e një pakete të veçantë varet nga përdoruesi, kualifikimet e tij dhe
mundësitë financiare dhe disponueshmëria e duhur
stafi. Nga njëra anë, rreziku paraqet rrezik për
veprimtari sipërmarrëse, por nga ana tjetër, si
konkurrenca, ka një funksion pastrimi, d.m.th. ndihmon
tregu për të pastruar veten nga organizatat jo-mobile, kontribuon
me qasjen e duhur ndaj rrezikut, zhvillimit ekonomik.
Duhet mbajtur mend se nuk duhet shmangur rrezikun, por të jetë në gjendje
zvogëloni gjasat e shfaqjes së tij, e cila është e mundur me
puna e duhur e menaxhimit që përfaqëson
është një grup aktivitetesh që synojnë
parashikimi dhe zbulimi i hershëm
efekte negative në lëndë
veprimtaria sipërmarrëse, zhvillimi dhe zbatimi
masat për neutralizimin e tyre (analiza dhe vlerësimi i rrezikut,
sigurimi, etj).
, (, "", "", "" "). , FRAP; (,). RiskWatch; , (CRAMM, Microsoft ..).
CRAMM - 80-. (CCTA). CRAMM ,. , CRAMM, (profilet). (Profili Tregtar), - (Profili i Qeverisë). , ITSEC (""). RAMM. , :,. :,. ... ... , ...
NDRYSHIM. :
; - , ; ; - (), ; , : , .
; ; ; , ; ; , ; , ; .
1 10. CRAMM ",":
2 - $1000; 6 - $1000 $10 000; 8 - $10 000 $100 000; 10 - $100 000.
(3) , () . , . .
, ... , (, ..). ... CRAMM 36 ,. , , 1 7.,. NDRYSHIM. , ,:
(. 4.1); (. 4.2); (. 4.1).
4.1. (). , 10 3 4.2. (). , 0,33 , 0,33 0,66 , 0,66
, " ". . 4.1 . , - (), - ().
4.1 (. Humbja vjetore e pritshmërisë) CRAMM ,. 4.2 ().
4.2. , (. 4.3)
4.3 ... , CRAMM ,. : 300; 1000; 900 ,. , CRAMM -, ().
FRAP "Procesi i lehtësuar i analizës së rrezikut (FRAP)" Peltier and Associates (http://www.peltierassociates.com/) (Thomas R. Peltier) (,). , -,. : , (. analiza e kostos / përfitimit) ,. ... , FRAP. 1., () 2 .. : o (lista kontrolli) ,;
; ,; o "",. 3.,. , , .o
, , () ... (Probabiliteti): o o o
(Probabilitet i lartë) -,; (Probabiliteti mesatar) -; (Probabilitet i ulët) -,.
(Ndikimi) -,: o
(Ndikim të lartë):,; (Ndikimi i Mesëm) :, -; (Ndikim i ulet):,.
4.4 : o o o
A - (,); B -; C - (,);
4.4 FRAP 4.,. , , , , (, -.). , , , : o o
; ... 5. , , ..o o
OCTAVEOCTAVE (Kërcënimi kritik operacional, pasuria dhe vlerësimi i cenueshmërisë) -, Instituti i Inxhinierisë Softuerike (SEI) (Universiteti Carnegie Mellon). www.cert.org/octave. - , , OCTAVE: 1.,; 2 .; 3 .. (aktivi), (qasja), (aktori), (motivi), (rezultati). , OCTAVE: 1., -,; 2., -,; 3.,; 4. (zbulimi), (modifikimi), (humbja / shkatërrimi). (ndërprerje).
OCTAVE "", 1). 4.5. - - , () - () (Baza e të dhënave e burimeve njerëzore). , 4.3 4.3 ... (Aseti) (Baza e të dhënave HR) [Qasja] (Rrjeti) (Aktori) (Brenda) (Motivi) (Me qëllim) (Cenueshmëria) (Rezultati) (Zbulimi) (Referenca e katalogut) -
4.5. , - , (, ..), (,). :; ; ; ; "",; ; ; ; ... , , (web- ,.), (lista kontrolli) ,. :
, (dobësi me ashpërsi të lartë); , (dobësitë e ashpërsisë së mesme); , (dobësitë me ashpërsi të ulët).
OCTAVE ,. : (e lartë), (e mesme), (e ulët). , , (, 10000 dollarë -, -). ,:
OCTAVE, OCTAVE ,.
RiskWatch RiskWatch ,. RiskWatch:
RiskWatch për Sigurinë Fizike -; RiskWatch për Sistemet e Informacionit -; HIPAA -WATCH për Industrinë e Kujdesit Shëndetësor - HIPAA (Akti i Transportueshmërisë dhe Përgjegjshmërisë i Sigurimeve të Kujdesit Shëndetësor të SHBA) ,; RiskWatch RW17799 për ISO 17799 - ISO 17799.
RiskWatch (Pritshmëria vjetore e humbjeve, ALE) (Kthimi i Investimit, ROI). RiskWatch. RiskWatch ,. - , () ,. , ("", "/" ..) ,. , (. 4.6). ,:
; ; (,); (, ..); ; (,); .
600 ... , (LAFE SAFE) ,. ...
4.6 - , , , , 150,000 dollarë, 0,01, 1,500 dollarë. (m = p * v, m -, p -, v -), RiskWatch NIST, LAFE SAFE. LAFE (Vlerësimi Frekuenca Vjetore Lokale) -, (,). SAFE (Vlerësimi Standard i Frekuencës Vjetore) -, "" (,). ,
, (4.1) (4.2) ALE: (4.1):
Vlera e Aseteve - (, ..); Faktori i ekspozimit - -, () ,; Frekuenca -; ALE -.
, "" (Shkalla vjetore e shfaqjes - ARO) "" (Pritshmëria e humbjes së vetme - SLE), (,). , - (4.2) (4.2) ":",. ... RiskWatch LAFE SAFE ,. ROI (Kthimi i Investimit -) ,. : (4.3)
Costsj - j -; Benefitsi - (..) ,; NPV (Vlera aktuale Neto) -.
12.. ... ROI (-. 4.7). ...
4.7 ROI ,. ,
Microsoft.
, , :1. . . 2. . . 3. . .
. . . (. *8] , -). .
, . (,). , (,). -. - . , . , :1. () - , . , . 2. () - , . , . , . 3. () - , . ,
. . . . . .
. . . - . . .
(. 4.8). (Excel) Microsoft. , (-,).
4.10 .
. ; . ; . .
(" ") , :
; : , ; : .
4.13. - . 4.14. .
4.14. . , . , 100 20%, . ,
: , . . 4.15 .
4.15. " ", . - . . . . 1 5. , . 4.16, (. 4.17). , .
4.17. . 4.18 . .
4.20. . , - ": 5, : 1", - ": 5, : 5".
4.20. (SRMGTool3)
. (1 10) (0 10). 0 100. "", "" "" , . 4.21
... ... (pritshmëria e humbjes së vetme - SLE). (shkalla vjetore e shfaqjes - ARO). (pritshmëria vjetore e humbjes - ALE).
. . . . . . . . .
... , , ... ... , , (- () njëzet%). ... (SLE). ... 4.22.
4.23. ()
(ARO). ARO. 4.24
(ALE) SLE ARO.
ALE. , , -
(, ..); (,) ; ; , ; , .
