Критерии_оценки влияния риска на бизнес-процессы (Kv)
1. В виде обобщенного значения показателя влияния на бизнес-процессы, как функции от вероятности сценария инцидента (в шкале степени влияния на бизнес). Пример в приложении Е (табл.Е.1b) [1]. Конечные значения величины влияния угрозы могут быть заданы в форме лингвистической переменной «малое» [0-2], «среднее» [3-4], «высокое» [5-6], «критичное» [7-8]. Значения в квадратных скобках определяют границы интервалов метрики рисков заданных табл. E.1b [1].
2. В форме экспертных оценок влияния на бизнес-процессы, заданных в форме лингвистической переменной «малое», «среднее», «высокое», «критичное».
Критерии_принятия риска (Kp)
Представляют собой определённые значения критериев оценки рисков и влияние, которые являются пороговыми при принятии решения. Так как эти критерии трудно определить в начальном цикле оценки рисков, процесс оценки рисков повторяется начиная с первого этапа «Установления контекста» организации (раздел 6)[1].
Инвентаризация и классификация информационных активов (этап 1)
Основная цель этапа - изучение бизнес-процессов организации, инвентаризация и классификация информационных активов АКБ «X-trimBank».
В результате выполнения этого этапа определяются приоритеты активов по их ценности. Модель классификации информационных активов необходимо представить в форме кортежа
<A, F, H, V> (1)
|
|
|
где
А (active) – информационный актив АКБ «X-trimBank» (по варианту задания).
F (form)– форма представления актива (процесс, база данных, бумажный документ, программное обеспечение, оборудование, архив и т.д.).
H (holder) –владелец актива.
V (value)– оценка ценности активов в форме терм-переменной, принимающей значения «критичная», «высокая», «средняя», «низкая». Возможна и количественная оценка ценности актива при его утрате, выходе из строя или компрометации.
Результаты представляются в форме таблицы, ранжированной по уровню ценности активов. По результатам анализа таблицы делаются выводы о ценности информационных активов и ответственных за их безопасность. Результаты анализа представляются в форме гистограмм «распределение активов по ценности» и «распределение активов по ответственным». По результатам анализа делаются выводы.
Пример по инвентаризации и классификации актива
Пример моделирования и классификации активов в следующей табл.
Таблица 3.
| №№ | A (номер актива) | (БП-бизнес-процесс; Об-оборудование; По-программное обеспечение; Ос - операционная система; Ас-автоматизированная банковская система; Тк - телекоммуникационный канал связи ... ) | H (владелец: У-управляющий, З-заместитель, И-инж.-адм., Ф-отдел ФЛ, Ю-отдел Юрл) | V (ценность: высокая (В), средняя (С), низкая (Н) ) | Примечание
| ||
| 1 | 1 | БП | У | С | Техн. процесс | ||
| 2 | 4 | Об | З | Н | АРМ | ||
| 3 | 5 | Об | Ф | Н | Принтер |
Результаты анализа представляются в следующей форме (рис.4).
Рис.5
В конце анализа делаются выводы:
· Как распределяется ответственность персонала по активам ?
· Как распределяются активы по ценности ?
· Как распределяются активы по ценности и персоналу ?
Моделирование угроз и оценка рисков информационной безопасности (этап 2)
В таблице 4 приведены угрозы, актуальные для АКБ «X-trimBank[2, прил.1-С]
Таблица 4
Актуальные угрозы АКБ «X-trimBank
| N (актив) | Вид угрозы | Содержание угрозы | ||
| 1.1 | Физический ущерб | Пожар | ||
| 1.2 | Ущерб, причиненный водой | |||
| 2.1 | Природные явления | Климатическое явление | ||
| 3.1 | Утрата важных сервисов | Авария системы кондиционирования воздуха или водоснабжения | ||
| 3.2 | Нарушение энергоснабжения | |||
| 3.3 | Отказ телекоммуникационного оборудования | |||
| 4.1 | Помехи вследствие излучения | Электромагнитное излучение | ||
| 4.2 | Электромагнитные импульсы | |||
| 5.1 | Компрометация информации | Перехват компрометирующих сигналов помех | ||
| 5.2 | Дистанционный шпионаж | |||
| 5.3 | Прослушивание | |||
| 5.4 | Кража носителей или документов | |||
| 5.5 | Кража оборудования | |||
| 5.6 | Поиск повторно используемых или забракованных носителей | |||
| 5.7 | Данные из ненадежных источников | |||
| 5.8 | Преступное использование аппаратных средств | |||
| 5.9 | Преступное использование программного обеспечения | |||
| 6.1 | Технические неисправности | Отказ оборудования | ||
| 6.2 | Неисправная работа оборудования | |||
| 6.3 | Нарушение функционирования программного обеспечения | |||
| 6.4 | Нарушение сопровождения информационной системы | |||
| 7.1 | Несанкционированные действия
| Несанкционированное использование оборудования | ||
| 7.2 | Мошенническое копирование программного обеспечения | |||
| 7.3 | Использование контрафактного или скопированного программного обеспечения | |||
| 7.4 | Искажение данных | |||
| 7.5 | Незаконная обработка данных | |||
| 8.1 | Компрометация функций | Ошибка при использовании | ||
| 8.2 | Злоупотребление правами | |||
| 8.3 | Фальсификация прав | |||
| 8.4 | Отказ в осуществлении действий | |||
| 8.5 | Нарушение работоспособности персонала | |||
|
|
|
Моделирование угроз для информационных активов банка проводится по результатам аудита. Модель угроз представляются в форме кортежа [3]
<Nt, T, A, Ny, YTA , [PTY,]UTA, M, [Ktv]>, (2)
где
N –угроза (наименование) или код (табл.4).
T –классификация угрозы по шкале [0, 1, 2].
A– наименование актива (объекта) или его код (табл.2), в отношении которого реализуется угроза.
Ny – наименование уязвимости или её код (табл.1).
YTA– уязвимости актива по этой угрозе, заданные по шкале [0, 1, 2].
PTY– вероятность реализации угрозы по этой уязвимости (в том случае, если угроза оценивается по шкале вероятности ).
UTA – оценка возможных результатов реализации угрозы, оценивается как ценность актива по шкале [ 0, 1, 2, 3, 4 ].
Ktv– показатель влияния на бизнес-процессы (при необходимости).
M– метрика комплексной оценки угроз с учетом уязвимостей и ценности актив [2, прил.Е.1.а] , рассчитываемая как сумма M=T+Yta+Uta. Вариант моделирования угроз по одному активу представлен в табл.5.
Таблица 5
Результаты моделирования угроз (фрагмент)
| Nt | T | A | Ny | Yta | Uta | M |
| 8,5 | 2 | 3 | 50 | 2 | 5 | 9 |
| 5,3 | 2 | 39 | 50 | 2 | 3 | 7 |
| 7,5 | 2 | 3 | 48 | 2 | 5 | 9 |
| 8,1 | 1 | 8 | 48 | 2 | 4 | 7 |
| 8,5 | 2 | 29 | 48 | 2 | 5 | 9 |
| 8,2 | 0 | 35 | 48 | 2 | 3 | 5 |
| 8,5 | 2 | 39 | 48 | 2 | 3 | 7 |
| 8,4 | 2 | 3 | 44 | 2 | 5 | 9 |
| 8,2 | 1 | 8 | 44 | 1 | 4 | 6 |
| 8,2 | 2 | 29 | 44 | 2 | 5 | 9 |
| 8,2 | 2 | 39 | 44 | 2 | 3 | 7 |
| 5,3 | 2 | 39 | 41 | 2 | 3 | 7 |
| 7,5 | 2 | 8 | 25 | 2 | 4 | 8 |
| 7,5 | 2 | 29 | 25 | 1 | 5 | 8 |
| 7,3 | 2 | 29 | 22 | 2 | 5 | 9 |
| 8,1 | 0 | 35 | 22 | 1 | 3 | 4 |
| 8,1 | 2 | 39 | 22 | 2 | 3 | 7 |
| 7,3 | 2 | 3 | 21 | 1 | 5 | 8 |
| 7,3 | 2 | 19 | 21 | 2 | 4 | 8 |
| 7,3 | 2 | 29 | 21 | 2 | 5 | 9 |
| 7,3 | 0 | 35 | 21 | 1 | 2 | 3 |
| 7,3 | 2 | 39 | 21 | 2 | 4 | 8 |
| 8,1 | 2 | 3 | 20 | 1 | 5 | 8 |
| 8,5 | 2 | 8 | 20 | 1 | 4 | 7 |
| 8,1 | 1 | 19 | 20 | 2 | 5 | 8 |
| 8,2 | 2 | 3 | 19 | 2 | 5 | 9 |
| 5,9 | 1 | 8 | 19 | 1 | 4 | 6 |
| 5,9 | 2 | 19 | 19 | 1 | 4 | 7 |
Анализ проводится по сводной таблице (рис.5).
В результате анализа делаются выводы:
1. Как распределяются угрозы по вероятности и возможному ущербу ?
2. Как распределяются угрозы по степени опасности и ценности активов ?
3. Как распределяются угрозы по уязвимости активов и их ценности ?
| A | (Все) | |||
|
| Данные |
|
|
|
| Nt | Количество по полю Ny | Максимум по полю M | Максимум по полю Uta | Максимум по полю Yta |
| 7,3 | 6 | 9 | 5 | 2 |
| 8,1 | 5 | 8 | 5 | 2 |
| 8,2 | 5 | 9 | 5 | 2 |
| 7,5 | 4 | 9 | 5 | 2 |
| 1,1 | 4 | 6 | 5 | 2 |
| 1,2 | 4 | 6 | 5 | 2 |
| 8,5 | 4 | 9 | 5 | 2 |
| 6,2 | 3 | 8 | 5 | 1 |
| 6,3 | 3 | 9 | 5 | 2 |
| 6,1 | 3 | 8 | 5 | 2 |
| 3,2 | 2 | 9 | 5 | 2 |
| 5,9 | 2 | 7 | 4 | 1 |
| 5,4 | 2 | 7 | 5 | 1 |
| 5,3 | 2 | 7 | 3 | 2 |
| 7,4 | 1 | 9 | 5 | 2 |
| 8,4 | 1 | 9 | 5 | 2 |
| 3,3 | 1 | 8 | 5 | 2 |
| 5,7 | 1 | 7 | 5 | 1 |
| Общий итог | 53 | 9 | 5 | 2 |
Рис.6
Рис.7.Диаграмма анализа результатов моделирования угроз
Обработка рисков (этап 3)
При находятся показатели рисков, необходимые для принятия плана обработки рисков, включающие:
· вариант обработки риска (снижение, сохранение, предотвращение или перенос риска) (Var), Var={снижение, перенос, отказ, сохранение }
· предлагаемые меры контроля и управления (Мс);
· затраты на меры контроля и управления (Zat).
Модель обработки рисков может быть представлена в виде:
<Nt, T, A, Ny, YTA , [PTY,] UTA, M, Var, Mc, Zat, [Ktv]> (3)
В том случае, если оценка ущерба определялась в форме значения шкалы ценности актива [0-4], для перехода к денежному эквиваленту оценки ущерба определяют предельные значения ущерба для каждой шкалы, а затем применяя процедуру рандомизации, вычисляют случайное значение ущерба для каждой угрозы. Например, «малозначимый» ущерб возможен до 30 000 руб,«средний» до 200 000 руб, «высокий» до 1000000 руб, «критичный» [3] до 5000000 руб и свыше 5000000 руб «недопустимый» [4].Тогда процедура вычисления ущерба для категории «высокий» будет Uta=RND(200000, 1000000), где RND–датчик случайных чисел в заданном интервале.
Если критерий вероятности угрозы ( Т) необходимо выразить в численных значениях возможности, тогда используется аналогичная процедура рандомизации значения Р. Вариант моделирования представлен на рис.8.
Рис.8.Обработка рисков
Анализ проводится по диаграммам и графикам.
В результате анализа делаются выводы:
1. Как распределяются рисков по вариантам обработки и ценности активов ?
2. Как распределяются риски по мерам контроля ?
3. Какие риски взаимосвязаны по мерам контроля и управления ?
4. Как распределяются затраты по мерам контроля и управления в зависимости от мер опасности угроз (М) ?
5. Как распределяются риски по степени влияния на бизнес процессы ?
Моделирование плана обработки рисков (этап 4)
Моделирование плана обработки рисков предполагает анализ модели плана по различным стратегиям управления рисками. Модель плана имеет следующий вид:
<Nt, T, A, Ny, YTA , [PTY,]Uat, M, Var, Mc, Zat, [Ktv], Sz, Su, Uat-Zat> (4)
где Sz- накопленная сумма затрат на меры контроля ранжированных рисков;
Su - накопленная сумма возможных последствий от реализации угроз;
Uat-Zat – разница между двумя суммами.
Основными стратегиями обработки рисков являются:
1. Принятие рисков для которых выполняется условие: (М≤Mz)Ç (Ktv≤Kv) .
2. Принятие рисков при условии … (разработать самостоятельно).
3. Принятие рисков при условии … (разработать самостоятельно).
4. Принятие рисков при условии … (разработать самостоятельно).
5. Принятие рисков при условии … (разработать самостоятельно).
6. Принятие рисков при условии … (разработать самостоятельно).
7. Принятие рисков при условии … (разработать самостоятельно).
Анализ рисков информационной безопасности и разработка предложений по реорганизации системы защиты информации с учетом требований по обеспечению непрерывности бизнеса. Кроме того, на этом этапе разрабатывается, при необходимости, новая рациональная схема размещения информационных активов. По результатам анализа плана обработки рисков делаются выводы и оцениваются остаточные риски. При высокоуровневой оценке рисков предлагаемые меры включают организационные мероприятия, физическую защиту активов, резервное копирование и антивирусное ПО. Вариант моделирования плана обработки рисков представлен на рис.9.
Рис.9. Результаты моделирования плана обработки рисков
Графики результатов моделирования п различным стратегиям управления рисками представляются в форме (рис.10).
Рис.10.
Дата добавления: 2018-02-15; просмотров: 1429; Мы поможем в написании вашей работы! |
Мы поможем в написании ваших работ!