Лабораторная работа Исследование системы анализа рисков и проверки политики информационной безопасности предприятия
жүктеу/скачать 7,35 Mb. Pdf көрінісі
|
Зертханалық жұмыстар
| Оценка рисков по трем факторам.
В большинстве методик, рассчитанных на более высокие требования, чем базовый уровень, используется модель оценки риска с тремя факторами: угроза, уязвимость, цена потери. Угроза и уязвимость определяются следующим образом. Угроза — совокупность условий и факторов, которые могут стать причиной нарушения целостности, доступности, конфиденциальности информации. Уязвимость — слабость в системе защиты, которая делает возможным реализацию угрозы. Цена потери — это качественная или количественная оценка степени серьезности происшествия. Вероятность происшествия, которая в данном подходе может быть объективной либо субъективной величиной, зависит от уровней (вероятностей) угроз и уязвимостей: Рпроисшествия = Ругрозы Х Руязвимости (2) Соответственно, риск определяется следующим образом: РИСК = Ругрозы Х Руязвимости Х ЦЕНА ПОТЕРИ (3) Данное выражение можно рассматривать как математическую формулу, если используются количественные шкалы, либо как формулировку общей идеи, если хотя бы одна из шкал - качественная. В последнем случае используются различного рода табличные методы для определения риска в зависимости от трех факторов. Например, показатель риска измеряется в шкале от 0 до 8 со следующими определениями уровней риска: 1) Риск практически отсутствует. Теоретически возможны ситуации, при которых событие наступает, но на практике это случается редко, а потенциальный ущерб сравнительно невелик: 2) Риск очень мал. События подобного рода случались достаточно редко, кроме того, негативные последствия сравнительно невелики; 36 . . . 8) Риск очень велик. Событие, скорее всего, наступит, и последствия будут чрезвычайно тяжелыми. Матрица может быть определена следующим образом (табл.2.3). В данной таблице уровни уязвимости Н, С, В означают соответственно низкий, средний и высокий уровни. Подобные таблицы используются как в «бумажных» вариантах методик оценки рисков, так и в различного рода инструментальных средствах анализа рисков. Таблица.3. Определение риска в зависимости от трех факторов Степень серьезности происшествия (цена потери) Уровень угрозы Низкий Средний Высокий Уровни уязвимостей Уровни уязвимостей Уровни уязвимостей Н С В Н С В Н С В Незначительная Несущественная Умеренная Серьезная Критическая 0 1 2 3 4 1 2 3 4 5 2 3 4 5 6 1 2 3 4 5 2 3 4 5 6 3 4 5 6 7 2 3 4 5 6 3 4 5 6 7 4 5 6 7 8 37 Практические сложности в реализации этого подхода следующие. Во-первых, должен быть собран весьма обширный материал о происшествиях в этой области. Во-вторых, применение этого подхода оправдано далеко не всегда. Если информационная система достаточно крупная (содержит много элементов, расположена на обширной территории), имеет давнюю историю, то подобный подход, скорее всего, применим. Если система сравнительно невелика, использует новейшие элементы технологии (для которых пока нет достоверной статистики), оценки угроз и уязвимостей могут оказаться недостоверными. жүктеу/скачать 7,35 Mb. Достарыңызбен бөлісу:
|