ARIS модель процесу вироблення стратегії захисту інформації OCTAVE

Змістом третього процесу є здійснення аналізу ризиків й функцій по усуненню виявлених ризиків. Під час здійснення аналізу ризиків, група аналізу ідентифікує й аналізує ризики для критичних ресурсів організації.

Завдання процесу:

- зібрані дані використовуються для виміру ризиків критичним ресурсам (наприклад опису збитку або визначення ймовірності);

- визначення критеріїв і показників оцінки ризиків, опираючись на загальне розуміння якісних метрик збитку (високий, середній, низький);

- оцінка ризику відповідно до критеріїв оцінки.

У результаті група аналізу приймає рішення щодо усунення кожного типу ризиків і розробляє стратегію безпеки, що опирається на зібрану інформацію. Зокрема аналітики:

- розробляють стратегію безпеки й плани захисту ресурсів організації;

- визначають наступні дії, які повинні бути виконані для реалізації стратегії безпеки й планів захисту.

Члени групи аналізу є безпосередніми учасниками 3 процесу. Якщо необхідно, то до складу групи додатково включаються співробітники, що мають необхідні знання й уміння.

Керівники організації розглядають і затверджують стратегію безпеки й плани захисту.

Ісходами третього процесу є:

RO 3.1 Ризики для критичних ресурсів.

RO 3.2 Показники (міри) ризиків.

RO 3.3 Стратегія безпеки.

RO 3.4 План (плани) захисту.

RO 3.1 Ризики критичним активам

Вимоги. Процес оцінки повинен включати метод опису ризиків. Ризик - це можливість завдання збитків або втрат. Він є потенційною реалізацією несподіваних негативних наслідків конкретних подій. Ризики стосуються тих ситуацій, коли особи можуть реалізувати які-небудь небажані дії, або збої у функціонуванні систем або природних катаклізмів, реалізація яких приведе до негативних наслідків або збитку.

Важливість: Ідентифікація ризиків критичних активів характеризує вплив погроз безпеки на місію й цілі організації. Глибоке розуміння ризиків є важливим, оскільки це дозволяє розглянути й оцінити погрози безпеки в контексті цільових напрямків організації. Вони формують основу для визначення пріоритетів стратегії безпеки.

RO 3.2 Вимір ризиків

Вимоги: Процес оцінки повинен установити засоби виміру рівня ризику для кожного критичного ресурсу.

Важливість: Введення показників ризику важливо для визначення пріоритетів при формуванні стратегії безпеки.

RO 3.3 Стратегія безпеки

Вимоги: Стратегія безпеки повинна бути головним результатом процесу оцінки. Стратегія безпеки організації визначає основні напрямки прикладених зусиль по поліпшенню БІ. Вона включає підходи для організації, реалізації й підтримці практик безпеки в організації. Стратегія безпеки інтегрується в довгострокові ініціативи організації.

Важливість: Створення стратегії безпеки обумовлена тим, що вона є картою руху організації до необхідного рівня БІ.

RO 3.4 Плани захисту (усунення ризику)

Вимоги: Плани захисту ресурсів повинні бути одним з результатів оцінки. Ці плани визначають конкретні дії, спрямовані на зниження ризиків для практичних активів організації. У ході розробки цих класів, група аналізу повинна враховувати організаційні ресурси й обмеження.

Важливість: Створення класів захисту є важливим тому, що вони визначають безліч дій, необхідних для захисту критичних ресурсів організації.

Важливість третього процесу обумовлена тим, що саме в ході виконання функцій цього процесу, група аналізу глибоко усвідомлює проблеми безпеки інформації в результаті чого розробляється діюча стратегія безпеки й практичних планів захисту. Третій процес включає функції і по аналізу ризиків і по прийняттю рішень щодо їхнього усунення.

Дії по аналізі ризиків важливі тому, що вони:

- оцінюють погрози безпеки інформації в контексті цільових напрямків організації, у результаті чого формулюється точне визначення й зміст ризику для критичних ресурсів;

- вводять критерії для виміру ризиків і основу для визначення пріоритетів при розробці планів захисту (класів усунення ризиків).

Функції по прийняттю рішення по усуненню ризиків є важливими тому, що вони:

- формують стратегію безпеки, як напрямок поліпшення станів БІ в організації;

- формують класи захисту (усунення) ризиків для кожного критичного ресурсу;

- вимагають від вищого керівництва розглянути стратегії безпеки й плани захисту з погляду цільових перспектив організації, формуючи в такий спосіб підтримку керівництвом результатів оцінки;

- визначають, що повинна виконати організація в результаті оцінки, формуючи в такий спосіб послідовні рухи по поліпшенню БІ.

інформація ризик захист octave

6. ОПИС ДІЙ ПО ОЦІНЦІ РИЗИКІВ

Представимо загальну методику оцінки ризиків у вигляді моделі "чорного ящика". Процес оцінки ризиків ділиться на функції (процеси), які у свою чергу діляться на дії, а ті на процедури й роботи (рис. 6.1).

Размещено на http://www.allbest.ru/

Рисунок 6.1 - Загальна методика оцінки ризиків

Розглянемо більш докладно зміст функцій абстрактного процесу оцінки ризиків.

Формальний-графічний опис першого процесу.

Основна увага на першому процесі оцінки приділяється персоналу організації. Необхідно забезпечити участь співробітників з різних підрозділів організації для з'ясування їхньої точки зору й представлення:

- про інформаційні активи й пов'язаних з ними ресурсів, які необхідні для виконання службових обов'язків;

- про поточний стан практичної діяльності по забезпеченню БІ, що здійснюється в організації;

- які організаційні уразливості є в цей час в організації.

Група аналізу аналізує отриману інформацію й формує загальну картину, що відображає безліч інформаційних активів і пов'язаних з ними ресурсів організації, поточний стан практики забезпечення безпеки і процедурні уразливості організації.

Після цього, група аналізу:

- визначає активи й ресурси, які є найбільш важливими для досягнення головних цілей (місії) організації й рішенням основних завдань, тобто критичні активи й ресурси;

- створює безліч вимог безпеки для кожного критичного активу або ресурсу;

- розробляє унікальний профіль погроз (на основі еталонного профілю) для кожного типу критичних ресурсів, що описує діапазон погроз, які можуть бути реалізовані для критичних ресурсів.

Формально графічний опис абстрактних функцій процесу оцінки задається графом типу дерева, де коренева вершина Р (верхній або нульовий рівні) відповідає процесу в цілому. У цьому випадку під процесом будемо розуміти організовану сукупність функцій, що реалізуються з урахуванням зовнішніх і внутрішніх обмежень, і спрямовані на досягнення поставлених цілей.

Процес складається з функцій F,...,F, зв'язаних між собою об'єктами потока (в основному це інформаційні потоки). Кожна функція з 1-го рівня складається з функцій , що розкриває зміст функції (рис. 6.2)

Размещено на http://www.allbest.ru/

Рисунок 6.2 - Опис процесу

Дуги дерева визначають відносини на множині {P,F,...,F,..}.

Розглядаємо модель функцій, зіставлених з вершинами дерева (рис. 6.3).

Формально-графічний опис функцій складається з рамки (квадрат з округленими кутами) у яку:

- ліворуч входить стрілки, що позначають вхідні об'єкти дії. У загальному випадку вихідних об'єктів може бути декілька і вони утворюють множину вхідних об'єктів;

- зверху входять стрілки, що позначають ціль (цілі) виконуваної дії. Ціль може бути структурована на підцілі й задачі.;

- знизу входять стрілки, що позначають ресурси, необхідні для виконання дії. У загальному випадку для виконання дій може знадобитися множина ресурсів;

- праворуч із рамки виходять стрілки, позначені вихідними об'єктами (інформаційними об'єктами). У загальному випадку на виході дії формується множина вихідних об'єктів.

Размещено на http://www.allbest.ru/

Рисунок 6.3 - Модель графічного опису стратегії функцій

У моделі процесу 1 реалізуються наступні функції:

Р 1.1 Ідентифікація ресурсів.

Р 1.2 Визначення поточної практики безпеки.

Р 1.3 Визначення процедурних вразливостей організації.

Р 1.4 Визначення критичних ресурсів.

Р 1.5 Опис вимог безпеки для критичних ресурсів.

Р 1.6 Розробка профілю погроз для критичних ресурсів.

Метою функції Р 1.1 є створення загально організаційного переліку інформаційних ресурсів. У ході виконання функції необхідно відповісти на наступні питання:

- Який актив (ресурс) є важливим для організації?

- Чи існують інші ресурси в організації, що вимагають свого захисту (наприклад, відповідно до вимог законодавства)?

- Які зі зв'язаних ресурсів є важливим?

- Які ресурси є найбільш важливими (критичними) і чому?

У ході виконання функції визначаються інформаційні активи й пов'язані з ними ресурси, які важливі для досягнення головної мети (місії) і рішення різних завдань організації. Вхідним інформаційним об'єктом функції є неформалізовані знання співробітників різних підрозділів організації, керівників різного рівня про інформаційні активи й пов'язаних з ними ресурсів, необхідних для виконання своїх службових обов'язків. Група аналізу поєднуючи ці відомості, класифікує й обробляє їх, створює загальну картину, що відображає множину інформаційних активів і пов'язаних з ними ресурсів, необхідних для організації.

При виконанні цієї функції дуже важливо врахувати різні точки зору щодо цих ресурсів, урахувати наскільки вони необхідні й важливі для рішення конкретних задач. Саме тому перш ніж приступити до формування загального бачення щодо активів, необхідно визначити приватні погляди.

Основними учасниками функції є співробітники різних підрозділів організації й керівники різного рангу. Члени групи аналізу забезпечують організацію проведення функції.

Важливість цієї функції визначається тим, що знаючи які активи (ресурси) є найбільш важливими для організації, керівництво може сконцентрувати обмежені ресурси на захист найбільш важливих інформаційних активів і пов'язаних з ними ресурсів.

Метою функції Р 1.2 є визначення стану практичної діяльності по забезпеченню БІ. Тобто визначення того, які заходи щодо забезпечення БІ здійснюються в організації і як вони виконуються. У ході функції необхідно відповісти на наступні питання:

- Які заходи щодо забезпечення БІ реалізуються в організації в даний момент?

- Чи існують специфічні політики, процедури й заходи, які є унікальними для специфічних ресурсів? Що це за політики, процедури й заходи?

- Чи ефективна практична діяльність по забезпеченню БІ? Чому? Чому немає?

Основними учасниками функції є репрезентативна група співробітників і керівників організації.

Практика безпеки це діяльність, що допомагає ініціювати, реалізувати й підтримувати необхідний рівень БІ в організації. Дуже важливо, щоб співробітники організації розуміли, які заходи щодо забезпечення безпеки здійснюються в організації. Це допомагає співробітникам зрозуміти, що вони повинні робити з погляду забезпечення БІ. Оцінка практики безпеки є основною на якій будується стратегія безпеки організації.

Головною метою функції Р 1.3 є формування списку необхідних процедурних вразливостей організації. При виконанні функції необхідно відповісти на наступні питання:

- Що робить організація для захисту своїх ресурсів недостатньо добре?

- Чи є ефективною стратегія безпеки організації й чому?

Таким чином виконання функції Р 1.3 дозволяє визначити процедурні уразливості. Співробітники різних підрозділів організації й керівники різного рангу повинні висловити свою точку зору щодо існуючих процедурних вразливостей організації. Група аналізу аналізує різні відомості й формує загальне бачення цього питання.

Ціль співробітників організації й членів групи аналізу аналогічна ролі, визначеної для Р 1.1 і Р 1.2.

Під процедурною уразливістю будемо розуміти недоліки в організації практичних робіт із забезпечення безпеки інформації, що в результаті може привести до порушення конфіденційності, цілісності й доступності інформаційних активів і пов'язаних з ними ресурсів.

Процедурні уразливості вказують на відсутність або неадекватність тих або інших заходів захисту. Дуже важливо, щоб співробітники організації розуміли сутність процедурних вразливостей. Це допомагає визначити шляхи підвищення ефективності цих заходів. Процедурні уразливості також указують на напрямки забезпеченні БІ, шляхи поліпшення практичної діяльності, які повинні бути інтегровані в стратегію безпеки й плани захисту.

Метою функції Р 1.4 є вибір тих активів і ресурсів, які є найбільш важливими для організації. Такі активи й з будуть називатися критичними. При виконанні функції необхідно відповісти на наступні питання:

- Розкриття змісту яких активів (ресурсів) може завдати великої шкоди організації?

- Втрата або руйнування яких ресурсів (активів) може завдати великої шкоди організації?

- Відмова в доступі до таких ресурсів (активів) може завдати великої шкоди організації?

Основним результатом функції є класифікація переліку критичних ресурсів (активів) організації.

Для цього група аналізу аналізує зібрану на процедурних функціях інформацію, а потім здійснюють вибір найбільш важливих активів (ресурсів). Кількість критичних активів повинна бути мінімізована.

Ключовими учасниками функції є члени групи аналізу.

Важливість функції обумовлена тим, що після її виконання наші критичні ресурси будуть у центрі уваги організації і є об'єктом виконання наступних функцій по оцінці ризиків.

Головна мета функції Р 1.5 є формулювання й опис вимог безпеки для кожного критичного активу (ресурсу). У ході виконання цієї функції необхідно відповісти на наступні питання:

- Чи є критичним зміст інформаційних активів? Чи містить інформаційний актив персональну інформацію або будь-яку іншу таємницю захисту, що передбачається законодавством? Чи висуваються вимоги для обмеження осіб, що мають право ознайомиться із цією інформацією? Які сутності вимог по забезпеченню конфіденційності пред'явленої до активу (ресурсу)?

- Чи є важливим забезпечення дійсності, повноти, цілісності критичним активам (ресурсам)? Якщо так, які спеціальні вимоги по забезпеченню цілісності пред'являються?

- Чи є важливим забезпечити доступність критичного активу (ресурсу)? Яка сутність вимог по забезпеченню доступності пред'являється?

- Чи існують які-небудь інші вимоги, пов'язані із забезпеченням безпеки, які важливі для критичного активу? Що це за вимоги?

Основним результатом функції є опис (а при необхідності й формалізація) вимог безпеки для критичних ресурсів. Група аналізу повинна сформувати множину вимог безпеки для кожного критичного ресурсу. При виробленні цих вимог, група аналізу розглядає аспекти конфіденційності, цілісності й доступності цих ресурсів, а також взаємозв'язок між вимогами безпеки.

Ключовими учасниками функції є члени групи аналізу. До складу групи повинні входити особи, що мають необхідні знання й навички для рішення таких завдань.

Вимоги безпеки для критичних ресурсів підкреслюють значимість і якісні характеристики цих активів (ресурсів). Вимоги формують основу для розробки стратеги БІ.

Метою функції Р 1.6 є визначення діапазону погроз, які можуть впливати на кожний критичний ресурс (актив). Необхідно відповісти на наступні питання:

- Для яких погроз існує значна ймовірність реалізації?

- Для яких потенційних погроз існує мала ймовірність реалізації?

Результатом функції є визначення конкретної множини погроз, реалізованих для кожного критичного ресурсу. Група аналізу досліджує кожний критичний ресурс у контексті наявності для нього потенційних погроз (еталонний профіль погроз) Приймає рішення які погрози із профілю застосовні до ресурсу. Таким чином формується унікальна модель погроз для критичних ресурсів організації.

При розробці правила погроз, група аналізу також розглядає унікальні погрози, які можуть бути й не представлені в еталонній моделі.

Профіль погроз, створений у ході даної функції, допомагає сформувати основу для обстеження ІТІ організації (процес 2) і ідентифікації й аналізу ресурсів (процес 3).

Процес 2.

Основна увага при виконанні процесу 2 приділяється оцінці інформаційно-телекомунікаційної інфраструктури організації. У ході другого процесу члени групи аналізу й співробітники ІТ-підрозділів:

- вибирають специфічні компоненти ІТІ для аналізу технологічних вразливостей;

- вибирають підходи для оцінки кожного компонента;

- узагальнюють результати оцінки технологічних вразливостей, що впливають на кожний критичний актив;

- обновляють профіль погроз для кожного критичного активу, опираючись на результати оцінки компонентів ІТІ.

Другий процес містить у собі наступні функції:

Р 2.1 Вибір компонентів ІТІ для оцінки.

Р 2.2 Оцінка вразливостей з використанням засобів аналізу.

Р 2.3 Аналіз вразливостей і узагальнення результатів.

Р 2.1 Вибір компонентів ІТІ для оцінки.

Ціль: здійснити вибір специфічних компонентів ІТІ для проведення оцінки технологічних вразливостей через перевірку мережного доступу до критичного ресурсу й вибору підходу для оцінки вразливостей.

На даному етапі необхідно знайти компромісне рішення пов'язане із забезпеченням балансу між глибиною й шириною оцінки (обсягом оцінки) і витратами (тимчасовими, людськими й т.д.) на проведення такої оцінки. Необхідно відповісти на наступні питання:

- Які специфічні компоненти будуть піддані оцінці на наявність технологічних вразливостей?

- Чи є ці компоненти типовими для свого класу?

- Яка доступність цих компонентів? Чи належать вони іншій організації? Це домашні машини?

- Наскільки критичні ці компоненти для ділових процесів? Чи будуть ділові процеси перервані під час виконання оцінки?

- Яке обґрунтування для вибору цих компонентів?

- Який підхід буде використовуватися для оцінки кожного компонента?

- Хто буде виконувати оцінку?

- Які засоби оцінки вразливостей будуть використатися?

- Чи потрібні спеціальні дозволи або планування для проведення оцінки?

Результат: Множина специфічних компонентів ІТІ, які підлягаються оцінці на наявність технологічних вразливостей.

Для кожного критичного ресурсу група аналізу розглядає погрози, пов'язані з можливістю мережного доступу неавторизованими особами. Ці погрози впливають на ресурси через злочинне використання технологічних вразливостей або злочинні дії людей. Опираючись на такі специфічні погрози критичним ресурсам, група аналізу визначає компоненти, які можуть бути використані легітимними користувачами для доступу до критичних ресурсів.

Для організації з великою ІТІ додатково проводять визначення ключових класів інфраструктурних компонентів. Потім для оцінки вразливостей вибираються окремі компоненти з кожного ключового класу. Після того, як будуть обрані компоненти й кожний ключовий клас, здійснюється оцінка уразливості інфраструктури.

При цьому необхідно визначити:

- Які системи найбільше тісно пов'язані із критичними ресурсами? У яких системах критичні ресурси зберігаються й обробляються?

- Які типи компонентів є частиною цільових систем? Розглянете сервера, мережні компоненти, компоненти захисту, робочі станції, домашні комп'ютери, пристрої зберігання, безпровідні компоненти й ін.

- Які типи компонентів пов'язані із цільовими системами? З яких типів фактів може бути отриманий доступ до цільових систем? Розглянете робочі станції, домашні комп'ютери, стільникові телефони, PDA і ін.

- Як може зловмисник одержати доступ до системи? Через Інтернет, через внутрішню мережу? Загальні зовнішні мережі? Безпровідні пристрої? Інше?

- Які типи компонентів фактор погрози може використати для одержання доступу до цільової системи? Які з них служать як проміжні точки доступу. Розглянете фізичний і мережний доступ до серверів, мережним компонентам, засобам захисту, РС, notebook, домашні машини, пристрої зберігання, безпровідні компоненти й ін.

Учасник: Основні учасники - члени групи аналізу.

Додатково: співробітники ІТ-департамента, зовнішні експерти.

Важливість функції обумовлена необхідністю обґрунтування множини вимог для обсягу оцінки вразливостей. Обрані компоненти - ті компоненти, які підлягають подальшій оцінці на наявність технологічних вразливостей.

Функція Р 2.2 Оцінка вразливостей з використання засобів аналізу

Мета: Визначити технологічні уразливості, що мають місце в обраних компонентах ІТІ й створити попередній перелік вразливостей.

Ключові питання:

Які технологічні уразливості мають місце в кожному оцінюваному компоненті ІТІ?

Скільки технологічних вразливостей для кожного оцінюваного компонента повинно бути усунено негайно?

Скільки технологічних вразливостей для кожного оцінюваного компонента повинно бути усунено найближчим часом ?

Скільки технологічних вразливостей для кожного оцінюваного компонента можуть бути усунуті в останню чергу.

Для відповіді на перше питання необхідно здійснити оцінку вразливостей ІТІ організації опираючись на загальнодоступні каталоги уразливості. Це дозволяє врахувати самі останні відомості відносно вразливостей у системах інформаційних технологій.

Співробітники проводять оцінку вразливостей обраних компонентів за допомогою спеціальних (автоматизованих) засобів. Після цього здійснюється перегляд докладної інформації про вразливості, сформовані цими засобами, інтерпретація результатів і формування попередніх узагальнених даних про технологічний вразливості для кожного ключового компонента?

Учасники: Основні - члени групи аналізу.

Додаткові - співробітники ІТ-підрозділу, зовнішні експерти.

Вимоги - глибоке розуміння проблем інформаційних технологій і комп'ютерної безпеки.

Важливість функції обумовлена тим, що вони допомагають визначити специфічні слабості ІТІ організації, які можуть бути використанні факторами погроз.

Р 2.3 Аналіз вразливостей і узагальнення результатів.

Ціль: Розробка узагальнених результатів по технологічним уразливостям, які впливають на кожний критичний актив і обновити профіль погроз для кожного критичного активу, опираючись на результати оцінки ключових компонентів ІТІ.

Ключові питання:

Чи визначені які-небудь зміни для запропонованих вразливостей для кожного критичного ресурсу? Що це за зміни?

Чи визначені які-небудь дії або рекомендації щодо технологічних вразливостей, що впливають на кожний критичний ресурс? Що це за дії й рекомендації?

Результат: Узагальнена оцінка технологічних вразливостей для кожного критичного ресурсу.

Порядок виконання:

1. Аналіз узагальнених результатів оцінки вразливостей для кожного критичного ресурсу. При цьому необхідно забезпечити, щоб кожний член групи аналізу розумів ці результати.

2. Внесення змін у результати.

3. Визначення спеціальних дій і рекомендацій щодо усунення технологічних вразливостей.

4. Модифікація (відновлення) профілю погроз для критичних ресурсів.

Учасники: Основні - члени групи аналізу.

Додаткові - співробітники ІТ-підрозділів, зовнішні експерти.

Вимоги: глибоке розуміння проблем інформаційних технологій і комп'ютерної безпеки.

Важливість: Узагальнення технологічних вразливостей містить опис типів виявлених вразливостей (потрібна класифікація), які необхідно усунути й опис дій і рекомендації для їх усунення. Важливість функції обумовлена тим, що в результаті формується загальна картина технологічних слабостей, які можуть використатися зловмисниками.

Процесс 3

Третій процес оцінки носить аналітичний характер. У ході цього процесу група аналізу визначає ризики критичним ресурсам організації й приймає рішення щодо їхнього усунення. У результаті група аналізу розробляє стратегію безпеки й плани усунення ризиків критичним ресурсам. Керівництво організації розглядає запропоновану стратегію й плани, вносить у них зміни, опираючись на наявні обмеження на ресурси організації. Далі визначаються наступні кроки, необхідні для реалізації стратегії. Таким чином у ході третього процесу вирішуються завдання:

1. Визначення ризиків критичним ресурсам організації.

2. Визначення пріоритетів, заснованих на оцінці ризиків відповідно до введених критеріїв оцінки.

3. Розробка пропозицій щодо стратегії безпеки.

4. Розробка пропозицій у планах захисту.

Керівник організації:

1. Розглядає й вносить пропозиції в стратегію безпеки.

2. Розглядає та вносить пропозиції в плани захисту.

3. Затверджує стратегію безпеки й плани захисту.

4. Визначає наступні дії, необхідні для реалізації стратегії захисту й планів захисту.

Третя фаза включає виконання наступних функції:

Р 3.1 Визначення ризиків для критичних ресурсів.

Р 3.2 Розробка критеріїв оцінки ризиків.

Р 3.3 Оцінка ризиків для критичних ресурсів.

Р 3.4 Розробка стратегії безпеки.

Р 3.5 Розробка планів захисту.

Р 3.6 Розгляд стратегії безпеки й планів захисту керівництвом організації.

Р 3.7 Визначення плану наступних дій.

Функція Р 3.1

Мета: Описати потенційний збиток завданий організації, як можливий результат реалізації погроз для кожного критичного ресурсу.

Зібрати інформацію про ймовірності погроз.

Ключові питання: Для кожного критичного ресурсу, опираючись на результати реалізації погроз визначити:

- який потенційний збиток може бути нанесений репутації організації?

- який потенційний збиток може бути нанесений довірі споживачів?

- який потенційний збиток може бути нанесений здоров'ю споживачів?

- який потенційний збиток може бути нанесений продуктивності (ефективності) організації?

- які штрафи (санкції) і їхній розмір можуть бути застосовані до організації?

- який фінансовий (економічний, матеріальний) збиток може бути нанесений організації?

Результат: ризики визначені для кожного критичного ресурсу.

Група аналізу аналізує профіль погроз для кожного ресурсу. Для кожного результату реалізації погроз, представлених у профілі, аналітик дає оповідальний опис потенційного збитку.

Ризики можуть бути визначені у двох вимірах. Вимірюємо "збиток" і вимірюємо "імовірність". У випадку використання виміру "імовірність" необхідно описати мотив, засоби й сприятливі ситуації для фактору-людини по використанню мережного або фізичного доступу. Потім необхідно розглядати будь-які історичні (архівні) дані по цьому типі погроз, відзначити будь-які незвичайні умови, які можуть впливати на погрози. У цьому випадку необхідно визначити:

1. Які критичні ресурси є найбільш імовірними об'єктами атаки з боку фізичних осіб?

2. Які мотив, засоби й сприятливі умови для кожної фактору-людини, що може здійснити мережний доступ з метою порушення вимог безпеки для критичних ресурсів?

3. Які мотив, засоби й сприятливі умови для кожної фактору-людини, що може здійснити фізичний доступ з метою порушення безпеки?

4. Які історичні дані доступні по кожній погрозі із профілю погроз?

5. Які незвичайні умови або обставини можуть вплинути на ймовірність погрози.

Учасники: Члени групи аналізу й зовнішніх експертів.

Важливість: Збиток є важливою властивістю ризику, оскільки описує вплив погроз на місію й бізнес-цілі організації. Дана функція є важливим тому, що вона зосереджує увагу на вплив погроз на організацію, через розгляд погроз у контексті діяльності організації. Це формує основу для визначення пріоритетів при виконанні інших функцій. Дані щодо ймовірності погроз також корисні для уточнення пріоритетів.

Р 3.2 Розробка пріоритетів оцінки ризиків.

Мета: Визначити критерії оцінки ризиків для виміру "збиток", що забезпечують однозначне розуміння кількісного або якісного виміру збитку.

Визначити критерії оцінки ризиків по виміру " імовірність", що забезпечують однозначне розуміння кількісного або якісного виміру ймовірності.

Ключові питання:

1. Що означає "важливий" (великий) збиток для організації.

2. Що означає "середній" збиток для організації.

3. Що означає "низький" (дрібний) збиток для організації.

Результат: Розробка (визначення) критеріїв оцінки ризиків.

Група аналізу визначає, що становить високий, середній і низький рівень збитку в організації, розглядаючи різні з потенційного збитку.

Використовуючи імовірнісні показники в ході аналізу ризиків, група аналізу повинна визначити змісту високої, низький і середній імовірності погрози. При розробці такого критерію необхідно враховувати інформацію про мотиви, засоби й умови, які сприяють фактору-людині використати мережний або фізичний доступ, історію погроз і інші фактори.

Ключові питання:

Що означає "висока" імовірність настання погрози?

Що означає "середня" імовірність погрози?

Що означає "низька" імовірність погрози?

Основні учасники - члени групи аналізу, а також зовнішні експерти.

Важливість: Критерії оцінки - безліч якісних (кількісних) показників на відповідність яким здійснюється оцінка збитку й імовірності. Важливість функції обумовлена тим, що вводяться критерії для яких установлюється що є високий, середній і низький збиток для організації. Види збитку, опис яких було отримано в попередній функції (Р 3.1) оцінюється з використанням критеріїв, розроблених у ході даної функції. Показники збитку використовуються для визначення пріоритетів під час усунення ризику. Таким чином важливо розробити й ввести в практику організації критерій корисних і значимих для організації.

У випадку застосування імовірнісних показників необхідно визначити і їхню сутність. Використання цих показників дозволить уточнити пріоритети.

Критерії оцінки є якісними.

Критерії оцінки збитку розробляються в широкому діапазоні типів або категорій збитку. Звичайно розглядаються наступні категорії збитку:

- репутація організації/довіри споживачів;

- безпека/здоров'я споживачів;

- штрафи/санкції;

- фінансовий збиток;

- продуктивність.

Сфери збитку є контекстуальними й повинні адаптуватися для задоволення потреб організації. Перед виконанням оцінки, група аналізу повинна визначити унікальність сфер діяльності для організації, що підлягають розгляду. Одним зі способів визначення таких сфер є системний аналіз цілей організації й категорій збитку, пов'язаних із цими цілями.

Р 3.3 Оцінка ризиків для критичних ресурсів.

Цілі:

1) Визначити величину збитку для кожного типу збитку й розробити ризик-профіль для кожного ресурсу.

2) Визначити ймовірність кожної погрози й уточнити ризик-профіль.

Питання: Для кожного типу збитку визначити:

- Високий збиток;

- Середній збиток;

- Низький збиток.

Результат: Для кожного описаного типу збитку вводиться (визначається) його величина. Група аналізу розглядає опис кожного збитку та його оцінку відповідно до введених критеріїв, призначаючи збитку конкретну величину:

Якщо додатково використовуються ймовірності оцінки, то група аналізу аналізує відповідні дані для кожної погрози й здійснює оцінку ймовірності погрози, шляхом призначення відповідної величини.

Коли група аналізу призначить величину збитку для кожного типу збитку кожному ресурсу, а також призначить значення ймовірності кожної погрози для критичного ресурсу, здійснюється розробка профілю ризиків для цих критичних ресурсів.

При використанні імовірнісних оцінок необхідно відповісти на питання для кожної погрози із профілю:

- імовірність висока;

- імовірність середня;

- імовірність низька.

Основні учасники - члени групи аналізу.

Ризик-профіль для критичного ресурсу визначає діапазон ризиків, які впливають на ресурс. Ризик-профіль для критичного ресурсу складається з наступної інформації:

- профіль погроз для критичного ресурсу;

- вимоги безпеки для критичного ресурсу;

- опис збитку від реалізації погроз із профілю погроз;

- імовірнісні характеристики погроз із профілю погроз;

- величина збитку від погрози;

- значення ймовірності погрози;

- компоненти ІТІ пов'язані із критичними ресурсами, які потребують розгляду;

- психологічні уразливості для кожного досліджуваного компонента інфраструктури.

Р 3.4 Розробка стратегії безпеки.

Мета: Розробити стратегію забезпечення безпеки інформації в організації.

Із нормативної моделі практичної діяльності виникають ключові питання на які необхідно дати відповідь.

Результати: розробляється проект стратегії безпеки для організації.

Група аналізу аналізує поточну практику безпеки організації, поточні організаційні уразливості й слабості організації, а також ризик-профіль для кожного практичного ресурсу. Потім приступають до розробки стратегії забезпечення безпеки шляхом розгляду напрямків практичної діяльності з нормативної (еталонної) моделі. Аналітики розглядають стратегії, які допомагають організації підтримувати їхню поточну практику безпеки, звертаючи увагу на процедурні уразливості й на ризики з високим пріоритетом. Після цього аналітики розглядають основні напрямки практичної діяльності з еталонної моделі й визначають будь-які додаткові стратегії, які дозволяють співробітникам організації краще розуміти й виконувати свої обов'язки в даній сфері діяльності.

Учасники - члени групи аналізу.

Важливість: Стратегія безпеки визначає шляхи, які організація використовує для забезпечення БІ. Важливість дії обумовлена тим, що в результаті розробляється стратегія, заснована на інформації, яка зібрана в ході оцінки, а не стратегія, що опирається на абстрактні моделі. У проекті стратегії представляються пропозиції для керівництва організації від групи аналізу. Надалі цей проект пропонується для розгляду й затвердження керівництву компанії.

Р 3.5 Розробка планів усунення ризиків (Планів захисту).

Мета: Розробити проекти планів усунення ризиків з метою зменшення ризиків до критичних ресурсів.

Щодо кожної категорії погроз, визначених у профілі погроз необхідно відповісти на ряд питань. Питання спрямовані на виявлення здатностей організації розпізнавати й протистояти погрозам.

1. Які ризики критичним ресурсам мають найвищий пріоритет? Які типи погроз приводять до найбільшого збитку для місії організації й цілям (завданням) організації?

2. Які ризики організації підлягають усуненню шляхом реалізації відповідних дій по протидії (нейтралізації) відповідних погроз? Які ризики організація приймає і не буде вживати яких, або дій щодо них?

3. Які дії будуть виконуватися для реалізації функцій розпізнавання й виявлення погроз?

4. Які дії будуть виконуватися для протистояння й запобігання погроз?

5. Які дії будуть виконуватися для відновлення безпеки після реалізації погроз?

6. Які інші дії будуть виконуватися щодо цих погроз?

7. Які показники можуть бути використані для перевірки того, що ці плани працюють і є ефективними.

Результат: Проект планів усунення ризиків для зменшення ризиків критичним ресурсам.

Група аналізу розглядає поточну практику безпеки організації, що поточні процедурні уразливості організації й ризик-профіль для кожного критичного ресурсу.

Для кожного критичного ресурсу група аналізу визначає які ризики організація буде активно усувати, а які ризики будуть прийняті організацією.

Група аналізу використає для цього значення збитку. Як додатковий фактор можуть бути використані значення ймовірностей. Для ризиків, щодо яких було ухвалене рішення про їхнє усунення, група розробляє плани, які встановлюють конкретні функції по запобіганню погроз Для ранжирування функцій (установлення пріоритетів) використовуються величини збитку. Основна увага повинна приділятися усуненню погроз, реалізація яких приводить до найбільшого збитку місії організації або цілям (завданням) організації.

Якщо використовуються значення ймовірностей, вони застосовуються для уточнення пріоритетів, отриманих на основі аналізу збитку.

Плани усунення ризиків визначають функції необхідні для зниження ризиків критичним ресурсам. Це функції є важливими, оскільки вимагають щоб група аналізу розробила плани для кожного критичного ресурсу на основі інформації, зібраної в ході процесу оцінки.

Проекти планів містять пропозиції групи аналізу для керівників організації. Плани надалі підлягають розгляду й затвердженню керівництвом організації. Дана функція має важливість тому, що жадає від керівників організації розглядати плани з урахуванням перспектив організації.

Керівництво вносить зміни в політику й плани, опираючись на розумінні ресурсів і обмеження для компанії в цілому. Цей етап важливий також і тому, що сприяє формуванню активної підтримки з боку керівництва.

Р 3.7 Визначення плану наступних функцій.

Мета: Визначити для керівництва організації план функцій, які необхідний для реалізації стратегії безпеки й планів захисту.

Ключові питання:

Що збирається будувати організації на основі результатів оцінки?

Що може почати робити організація, щоб підтримати ініціативу поліпшення безпеки?

Які плани керівництва для подальшого вдосконалення процесу оцінки ризиків?

Результати: Конкретні функції (план функції) по реалізації стратегії безпеки й виконання планів захисту.

Вище керівництво організації визначає, що буде робити організація для реалізації результатів оцінки й визначає що будуть робити керівники для поліпшенню процесів забезпечення БІ.

Керівники організації також визначають чи існують які-небудь інші функції по поліпшенню питань для забезпеченню безпеки й визначають підходи організації до проведення оцінки ризиків у майбутньому.

Учасники: Основний - Вище керівництво компанії.

Група аналізу забезпечує проведення цієї функції.

Важливість даної функції обумовлена тим, що в результаті визначається конкретний план функцій для реалізації розробленої стратегії. Без чіткого визначення цих функцій і без активної підтримки вищого керівництва малоймовірно, що ініціатива по поліпшенню забезпечення безпеки інформації досягне успіху.

7. МОДЕЛЮВАННЯ В ARIS 5.0

7.1 Опис програми