- •Введение
- •1. Методы управления рисками
- •1.1. Общая характеристика процесса управления рисками
- •1.2. Качественные методики управления рисками
- •1.2.1. Методика cobra
- •1.2.2. Методика ra Software Tool
- •1.3. Количественные методики управления рисками
- •1.3.1. Метод cramm
- •1.3.2. Метод RiskWatch
- •1.3.3. Метод гриф
- •1.3.4. Метод octave
- •1.3.5. Метод mitre
- •2. Стандарты в области оценки и управления рисками
- •2.1. Гост р исо/мэк 17799-2005
- •2.2. Стандарт СоbiТ
- •2.3. Стандарт score
- •2.4. Стандарт SysTrust
- •2.5. Анализ руководства по анализу и управлению рисками nist 800-30 (сша)
- •3. Методы анализа рисков на основе экспертных оценок и аппарата теории нечетких множеств
- •3.1. Классификация методов получения субъективной вероятности
- •3.2. Методы получения субъективной вероятности
- •3.3. Методы оценок непрерывных распределений
- •3.4. Некоторые рекомендации
- •4. Меры риска систем на основе вероятностных параметров и характеристик ущерба
- •4.1. Аналитический подход к расчету параметров рисков для компонентов систем
- •4.2. Расчет параметров риска для компонент систем
- •4.3. Алгоритмическое обеспечение риск-анализа систем в диапазоне ущербов
- •4.4. Оценка рисков сложных систем на основе параметров рисков их компонентов
- •4.4. Интегральная оценка риска системы, ущерб которых имеет гамма-распределение
- •5. Исследование движения параметров риска при изменении параметров атаки
- •5.1. Построение матрицы чувствительности рисков системы
- •5.1.1. Анализ чувствительности модели информационного риска системы к изменению параметров риска
- •5.2. Разработка динамических моделей рисков систем при изменении параметров атак
- •5.2.1. Уравнение движения вероятностной модели информационного риска системы относительно параметров риска
- •5.2.2. Исследование влияния функций чувствительности информационного риска на его движение
- •Заключение
- •Библиографический список
- •394026 Воронеж, Московский просп., 14
2.2. Стандарт СоbiТ
Концепция СоbiТ является продуктом независимой международной ассоциации аудита и управления информационными системами ISACA [13,23].
Ассоциация развивает свою концепцию управления информационными технологиями в соответствии с требованиями ИБ. На основе этой концепции описываются элементы информационной технологии, даются рекомендации по организации управления, обеспечению режима ИБ.
Разработанный документ называется СоbiТ и состоит из четырех частей:
1) краткое описание концепции, положенной в основу;
2) определения и основные понятия, где определяются основные управляющие процессы для информационной технологии и требования к ним;
3) спецификации управляющих процессов и возможные инструменты воздействия;
4) рекомендации по выполнению аудита информационной технологии.
Модель управления СоbiТ описывает универсальную модель управления информационной технологией [40]. В модели присутствуют ресурсы информационных технологий, являющиеся источником информации, которая используется в бизнес-процессе. Информационная технология должна удовлетворять требованиям бизнес-процесса, которые группируются следующим образом:
требования к качеству технологии показатели качества, стоимость, характеристики доставки. Показатели качества должны подробно описывать возможные негативные аспекты, которые в обобщенном виде входят в целостность и доступность. Кроме того, включаются и показатели, относящиеся к субъективным аспектам: стиль, удобство интерфейсов и др. Характеристики доставки показатели, в обобщенном виде входящие в доступность и частично конфиденциальность и целостность. Данная система показателей используется при управлении рисками и оценке эффективности информационной технологии;
доверие к технологии соответствие принятым стандартам и требованиям, достоверность информации, действенность;
показатели ИБ конфиденциальность, целостность, доступность. Обобщенные показатели для технологии, зависящие от соответствующих показателей качества;
Любая работающая информационная технология проходит следующие стадии жизненного цикла: а) планирование и организация, б) приобретение и ввод в действие, в) доставка и поддержка, г) мониторинг за процессами.
Всего выделяется 34 основные задачи, связанные с ресурсами информационных технологий и оказывающие воздействие на отдельные свойства информации, потребляемой бизнес-процессом. Кроме традиционных свойств информации: конфиденциальность, целостность, доступность. В данной модели используется еще четыре свойства действенность, эффективность, соответствие формальным требованиям, достоверность.
2.3. Стандарт score
SCORE является совместным проектом института SANS и Центра безопасности Интернет (CIS). Различные организации объединились в рамках проекта SCORE для разработки базового множества практических стандартов по обеспечению безопасности для различных операционных платформ. Требования и рекомендации широко обсуждаются и проверяются участниками проекта SCORE, и только после этого передаются в CIS, который занимается их формализацией и оформлением, а также разрабатывает программные средства для оценки соответствия операционных платформ предложенным стандартам [60]. Практические стандарты и руководства по обеспечению информационной безопасности, разрабатываемые в рамках проекта SCORE, ориентированны на технических специалистов и являются в техническом плане наиболее совершенными в настоящее время.
Методика оценки рисков, предложенная институтом SANS, прежде всего, связана с возможностью осуществления сетевых воздействий. Воздействия разной степени критичности требуют разного уровня реагирования (рис.2.1).
Рис. 2.1. Схема зависимости свойств системы обработки информации при оценке риска по методике SANS
Критичность воздействия определяется величиной риска, связанного с ее осуществлением, который определяется вероятностью успешной реализации этого воздействия и величиной потенциального ущерба.
Величина ущерба определяется критичностью ресурсов, на которые направлено воздействие.
Вероятность успешного осуществления воздействия определяется эффективностью методов и величиной уязвимости.
Величина уязвимости определяется эффективностью контрмер системного и сетевого уровня, используемых для противодействия данному виду угроз.