Методики и технологии

управления рисками
 Основная задача управления информационными рисками – объективно
идентифицировать и оценить наиболее значимые для бизнеса информационные
риски, а также адекватность используемых средств контроля рисков для
увеличения эффективности и рентабельности экономической деятельности
компании. Для эффективного управления рисками разработаны методики
международных стандартов ISO 15408, ISO 17799, BSI, а также методики
национальных стандартов NIST 80030, SAC, COSO и другие.

Соответствие управления рисками компанией и этих методик предполагает

следующее:
- определение основных целей и задач защиты информационных активов
компании,
- создание эффективной системы оценки и управления информационными
рисками,
- расчёт совокупности детализированных качественных и количественных оценок
рисков, адекватных поставленным целям бизнеса,
- применение специального инструментария оценивания и управления рисками.
2
 Качественные методики управления рисками простые, они разработаны на
основе требований международного стандарта ISO 17799, достаточно
распространённого во всём мире среди организаций и предприятий,
использующих такие стандарты добровольно. К качественным методикам
относятся Cobra и RA Software Tool. Рассмотрим эти методики.
Методика Cobra позволяет выполнить в автоматизированном режиме простой
вариант оценивания информационных рисков. Предполагается использовать
электронные базы знаний и процедуры логического вывода. Эта методика
представляет требования стандарта ISO 17799 в виде тематических опросников.
Ответы обрабатываются, и с помощью правил логического вывода
формируется итоговый отчёт с оценками рисков и рекомендациями по их
управлению. Методика может применяться при проведении аудита ИБ или для
работы служб, ответственных за обеспечении ИБ.
Методика и одноимённое инструментальное средство RA Software Tool
основаны на требованиях стандартов ISO 17999 и ISO 13335 и некоторых
руководств Британского национального института стандартов BSI. Эта методика
позволяет оценить информационные риски в соответствии с требованиями
ISO 17799. 3
Актуальность количественных методик управления рисками обусловлена
необходимость решения оптимизационных задач, суть которых сводится
к поиску единственного оптимального решения из множества
существующих. Количественные методики позволяют создавать модели
информационных активов компании с точки зрения безопасности,
классифицировать и оценивать ценности этих активов, составлять списки
значимых угроз и уязвимостей безопасности, ранжировать их,
обосновывать средства и меры контроля рисков, оценивать
эффективность и стоимость разных вариантов защиты, формализовать и
автоматизировать процедуры оценивания и управления рисками. Такие
методики основаны на структурных и реже объектно-ориентированных
методов системного анализа и проектирования (SSADM – Structured
Systems Analysis and Design).

4
 CRAMM – одна из наиболее известных количественных методик.

Цели это методики:

- формализация и автоматизация процедур анализа и управления рисками,
- оптимизация расходов на средства контроля и защиты,
- комплексное планирование и управление рисками на всех стадиях
жизненного цикла информационных систем,
- сокращение времени на разработку и сопровождение корпоративной
системы защиты информации,
- обоснование эффективности предполагаемых мер защиты и средств
контроля,
- управление изменениями и инцидентами,
- поддержка непрерывности бизнеса,
- оперативное принятие решений по вопросам управления безопасностью и
т.д.
5
Управление рисками в методике CRAMM осуществляется в несколько этапов:

1. Инициализация (Initiation). На этом этапе определяются границы

исследуемой ИС компании, состав и структура её основных информационных
активов и транзакций.
2. Идентификация и оценка ресурсов (Identification and Valuation of Assets). На
этом этапе чётко идентифицируются активы, определяется их стоимость, что
позволяет определить необходимость и достаточность предлагаемых средств
контроля и защиты.
3. Оценка угроз и уязвимостей (Threat and Vulnerability Assessment). На этом
этапе идентифицируются и оцениваются угрозы и уязвимости
информационных активов компании.
4. Анализ рисков (Risk Analysis). На этом этапе качественно и количественно
оцениваются риски.
5. Управление рисками (Risk Management). На этом этапе предлагаются меры и
средства уменьшения или уклонения от риска.
6
 Рассмотрим подробно эти этапы.

Сначала определяются границы системы, для этого собирается информация

об ответственных за физические и программные ресурсы, о пользователях и
их применении и использовании системы, о конфигурации системы.
Затем проводится идентификация и классификация материальных,
программных, информационных ресурсов. Строится модель
информационной системы с точки зрения ИБ. Для каждого информационного
процесса строится дерево связей используемых ресурсов.
Далее определяется ценность ресурсов. Она определяется ценой их
восстановления в случае разрушения. Ценность данных и ПО определяются в
следующих ситуациях: недоступность ресурса в определённое время,
разрушение ресурса, нарушение конфиденциальности в случае
несанкционированного доступа, допущение программных, преднамеренных
или связанных с передачей информации ошибок. Для оценки возможного
ущерба составляется совокупность критериев, применимые к исследуемой
ИС, оценка ущерба даётся по шкале от 1 до 10. На этом этапе можно
подготовить несколько видов отчётов. 7
 (продолжение)
На этапе оценивания угроз и уязвимостей оцениваются зависимости
пользовательских сервисов от определённых групп ресурсов и
существующий уровень угроз и уязвимостей. Затем активы компании
группируются с точки зрения угроз и уязвимостей. Предусмотрены
списки вопросов для каждой группы ресурсов и каждого типа угрозы. На
основании полученных ответов оцениваются уровни угроз и уязвимостей
по шкале от 1 до 7.
CRAMM объединяет угрозы и уязвимости в матрице риска.
Рассматриваются уровень угрозы (на основе частоты возникновения),
уязвимости (по вероятности успешной реализации угрозы) и размер
ожидаемых финансовых потерь. На основе оценок стоимости ресурсов
защищаемой ИС, оценок угроз и уязвимостей составляется матрица
ожидаемых годовых потерь (Annual Loss of Expectancy).
Далее выбираются адекватные контрмеры. Это поиск варианта системы
безопасности, удовлетворяющий требованиям заказчика. CRAMM
генерирует варианты подходящих мер противодействия. 8
 (продолжение)
Контрмеры группируются по следующим критериям:
- обеспечение безопасности на сетевом уровне,
- обеспечение физической безопасности,
- обеспечение безопасности поддерживающей инфраструктуры,
- меры безопасности на уровне системного администратора.

На этом этапе также формируются отчёты нескольких видов.

CRAMM имеет средства генерации отчётов, необходимые при

проведении аудита информационной безопасности в соответствии с
BS 7799 (ISO 17799). К этим отчётам относятся:
- политика ИБ,
- система управления ИБ,
- план обеспечения бесперебойной работы,
- ведомость соответствия.
9
Итак, CRAMM – методика расчёта, при которой первоначальные оценки
даются на качественном уровне, а потом производится переход к
количественной оценке в баллах. Методика актуальна при проведении
анализа рисков ИС с повышенными требованиями в области ИБ. Метод
позволяет получить обоснованные оценки существующих и допустимых
уровней угроз, уязвимостей, эффективности защиты.
Недостаток методики – большой объём выходных документов. Аналитик
должен сам писать итоговый отчёт, опираясь на все полученные данные.

10
Спасибо за внимание!

11