КАТЕГОРИИ МЕР БЕЗОПАСНОСТИ
Категории мер безопасности для технических и нетехнических мер могут быть дальше классифицированы как или детектирующие, или упреждающие. Эти две категории можно объяснить следующим образом:
- Упреждающие меры безопасности сдерживают попытки нарушения политики безопасности и включают такие меры безопасности, как принудительный контроль доступа, шифрование и аутентификация.
- Детектирующие меры безопасности сообщают о нарушениях или попытках нарушений политики безопасности и включают такие меры безопасности, как аудит журналов, методы обнаружения вторжений и контрольные суммы.
ТЕХНИКИ АНАЛИЗА МЕР БЕЗОПАСНОСТИ
В течение этого шага, персонал, выполняющий оценку рисков, определяет, реализуются ли требования безопасности, оговоренные для ИС и собранные в течение Шага 1 (Определения характеристик системы), существующими или планируемыми мерами безопасности. Результат этого процесса – опросный лист требований безопасности. Источники, которые могут быть использованы для создания такого опросного листа, могут включать, но не ограничиваясь, следующими государственными регулирующими документами, директивами безопасности и источниками применимыми к среде функционирования ИС:
В NIST SP 800-26, Руководство по Внутренней Оценке Безопасности для Систем Информационных Технологий, представлен обширный опросный лист, содержащий специфические целевые меры безопасности. Используя этот опросный лист, можно произвести оценку некоторой системы или группы связных систем. Целевые меры этого опросного листа абстрагированы из общих требований, которые можно найти в законах, политиках и руководствах по безопасности.
Результат использования опросных листов может быть использован как входные данные для оценки соответствия или несоответствия системы некоторому уровню безопасности. Этот процесс заключается в определении системных, процессных и процедурных недостатков, которые могут представлять потенциальные уязвимости.
Разработка собственных опросных листов в соответствии с некоторыми требованиями безопасности или же использование доступных опросных листов будет полезным эффективного и систематического анализа мер безопасности. Эти опросные листы для анализа требований безопасности могут быть использованы как для проверки несоответствия уровня безопасности также как и для проверки соответствия. Поэтому важно для того, чтобы гарантировать правильность опросных листов, для отражения в этих опросных листах изменений в среде мер безопасности организации (например, изменения в политиках, мерах и требованиях безопасности) необходимо, чтобы такие опросные листы регулярно обновлялись.
ТЕХНИКИ АНАЛИЗА МЕР БЕЗОПАСНОСТИ
Результаты Шага 4 – перечень действующих и планируемых мер безопасности, используемых в ИС для снижения вероятности использования уязвимости и снижения влияние подобных неблагоприятных событий.
ОПРЕДЕЛЕНИЕ ВЕРОЯТНОСТИ
Для получения общего рейтинга вероятностей, которые показывает возможность реализации потенциальной уязвимостью в данной, потенциально опасной, среде, должны рассматриваться следующие факторы:
- Мотивация и возможности источника угрозы,
- Природа уязвимости,
- Наличие и эффективность действующих мер безопасности.
Вероятность, с которой потенциальная уязвимость может быть реализована данным источником угрозы может быть описана как высокая, средняя или низкая. Таблица описывает эти три уровня вероятности.
Таблица Определения вероятности
| Уровень вероятности | Определение вероятности |
| Высокий | Источник угрозы высоко мотивирован и имеет достаточные возможности, и механизмы безопасности не эффективны. |
| Средний | Источник угрозы мотивирован и имеет возможности, но действующие механизмы безопасности могут быть помехой в реализации уязвимости. |
| Низкий | Источник угрозы недостаточно мотивирован или имеет недостаточные возможности, или действующие механизмы безопасности могут предотвратить или значительно снизить возможность реализации уязвимости. |
Результат Шага 5 – рейтинг вероятности (Высокий, Средний, Низкий).
Способы оценки вероятности реализации угрозы:
1. Дерево отказов
2. Модель защитных контуров.
3. Анализ статистики
АНАЛИЗ ВЛИЯНИЯ
Следующим важным шагом в измерении уровня риска является определение отрицательного влияния в результате успешной реализации уязвимостей. Перед началом анализа влияния необходимо получить следующую информацию, о которой было оговорено в Секции 3.1.1:
- Целевое назначение системы (например, процессы, выполняемые ИС).
- Критичность системы и данных (например, ценность и важность систем для организации).
- Конфиденциальность системы и данных.
Эта информация может быть получена из имеющейся в организации документации, такой как отчеты анализа влияния рисков на деятельности организации или отчеты по оценке критичности активов. Анализ влияния рисков на деятельность организации (также известный, как анализ бизнес влияния (Business Impact Analysis BIA) для некоторых организаций) определяет приоритеты уровней влияния, которое может оказать компрометация информационных активов, основываясь на качественной или количественной оценке критичности этих активов. Оценка критичности активов – определение и расстановка приоритетов конфиденциальности и критичности информационных активов организации (например, программного и аппаратного обеспечения, систем, служб, и связанных технологических активов), которые необходимы организации для функционирования.
Если эта документация отсутствует или подобная оценка для ИТ активов организации не проводилась, критичность систем и данных может быть определена, основываясь на уровне требований защиты для управления доступностью, конфиденциальностью и целостностью. В соответствии с методом, используемым для определения критичности ИС и данных, собственники системы и информации, ответственны за определение необходимого и достаточного уровня влияния. Следовательно, подходящим подходом анализа влияния является интервьюирование непосредственно собственников информации и систем.
АНАЛИЗ ВЛИЯНИЯ
Поэтому, неблагоприятное влияние происшествий безопасности может быть описано в терминах потери или деградации любых или комбинации любых из следующих целей безопасности: целостность,доступность и конфиденциальность. Следующий список представляет краткое описание каждой цели безопасности и последствия (или влияния), если цели не достигнуты:
В некоторых случаях влияние рисков может быть измерено количественно в потере прибыли, стоимости восстановления системы или уровне усилий необходимых для решения проблем, возникших в результате реализации угрозы. В других случаях влияние (например, потеря доверия общественности, ущерб интересам организации) не может быть измерено в конкретных цифрах, но может быть квалифицировано или описано в терминах высокое, среднее и низкое влияние.
В связи с тем, что руководство рассматривает методологию анализа рисков только в общем виде, здесь описываются только качественные категории оценки влияния – высокое, среднее и низкое.
Таблица Определение величины влияния
| Величина влияния | Определение влияния |
| Высокое | Потеря конфиденциальности, целостности или доступности может привести к тяжелым или катострофичным неблагоприятным последствиям, которые отразятся на функционировании организации, а также на активы или персонал этой организации. РАСШИРЕНИЕ: Тяжелые или катострофичным неблагоприятные последствия означают, что потеря конфиденциальности, целостности или доступности может: (1) вызвать невосполнимую деградацию целевых показателей, в результате чего организация не способна выполнять свои функции; (2) привести к невосполнимым повреждениям активов организации; (3) привести к невосполнимым финансовым потерям; или (4) привести к тяжелым последствиям в отношении персонала, включая потерю жизни или серьезные раны, которые могут угрожать жизни. |
| Среднее | Потеря конфиденциальности, целостности или доступности может привести к серьезным неблагоприятным последствиям, которые отразятся на функционировании организации, а также на активах или персонале к организации. РАСШИРЕНИЕ: Серьезные неблагоприятные последствия означают, что потеря конфиденциальности, целостности или доступности может: (1) вызвать значительную деградацию целевых показателей организации, при этом организация способна выполнять свои основные функции, но эффективность этих функций значительно снижена; (2) привести к значительным повреждениям активов организации; (3) привести к значительным финансовым потерям; или (4) привести к значительным повреждениям персоналу, исключая потерю жизни и серьезные раны, угрожающие жизни. |
| Низкое | Потеря конфиденциальности, целостности или доступности может вызвать ограниченные неблагоприятные последствия, которые отразятся на функционировании организации, а также активах или персонале организации. РАСШИРЕНИЕ: Ограниченные неблагоприятные последствия означают, что потеря конфиденциальности, целостности или доступности может: (1) вызвать деградацию целевых показателей организации, при этом организация способна выполнять свои основные функции, но эффективность этих функций заметно снижена; (2) привести к незначительным повреждениям активов организации; (3) привести к незначительным финансовым потерям; или (4) привести к незначительным повреждениям персоналу. |
АНАЛИЗ ВЛИЯНИЯ
ВИДЫ УЩЕРБА АКТИВАМ
Виды ущерба во многом определяется видом активов, на которые реализуются угрозы, а также характером угроз.
Информационные ресурсы:
Ущерб от нарушения конфиденциальности
Ущерб от нарушения целостности
Ущерб от нарушения доступности
Функциональные задачи
Отказ в доступе (невозможность выполнения функциональных задач, БП).
Оборудование
Разрушение
Персонал
Увольнение
Гибель людей.