Сучасні підходи до оцінки ризиків інформаційних технологій (на підтримку

галузевих стандартів інформаційної безпеки
ГСТУ СУІБ 1.0/ISO/IES 27001:2010 та ГСТУ СУІБ

2.0/ISO/IES 27002:2010)

Володимир Ткаченко
Директор ТОВ “Агентство активного аудиту”

м. Київ - 2010 р.

Технологій США
(National Institute of Standards and Technology – NIST)
Методологія аналізу

інформаційних ризиків Міжнародного Форуму з інформаційної безпеки
(Information Risk Analysis Methodology – IRAM)

Методологія аналізу факторів ризиків інформаційних технологій (Factor Analysis of Information Risk - FAIR)

Методологія пропорційного аналізу ризиків (MESARI)

Метод оцінки операційно критичних загроз, активів та уразливостей
(Operationally critical threats, assets and vulnerability evaluation – OCTAVE)

дані
Вихідні дані
Ідентифікація загроз
Ідентифікація уразливостей
Аналіз заходів захисту
Імовірність реалізації загроз
Апаратне та програмне

забезпечення;
Інтерфейси системи;
Дані, що обробляються;
Люди, що задіяні;
Призначення системи.

Межі застосування системи;
Функції системи;
Критичність даних, що обробляються;
Чутливість системи до зовнішніх факторів.

Історія виникнення системи;
Дані від авторитетних джерел (дослідницькі агентства, NIPC, SANS, CIRT, мас-медіа).

Поточний стан загроз.

Звіти попередніх оцінок ризиків;
Аудиторські рекомендації;
Вимоги до безпеки;
Результати тестів заходів безпеки.

Перелік потенційних уразливостей.

Існуючі заходи безпеки;
Заплановані заходи безпеки.

Список запроваджених та запланованих заходів безпеки.

Мотивація джерела загрози;
Можливість реалізації загрози;
Природа уразливості;
Ефективність існуючих заходів безпеки.

Рейтинг імовірності реалізації загроз.

дані
Рекомендовані заходи безпеки
Звітна документація
Аналіз впливу на актив
Аналіз впливу втрат (КЦД);
Визначення

критичності активу;
Оцінка критичності інформації.

Рейтинг активу (цінність для банку).

Імовірність експлуатації загрози;
Величина збитку;
Адекватність запланованих або існуючих заходів безпеки.

Ризики із визначеними рівнями.

Рекомендовані заходи безпеки.

Звіт по оцінці ризиків.

кадрів великого банку записала пароль та логін на нотатку та

приклеїла до монітору. Таким чином, це полегшує цій особі вхід до мережних ресурсів та на сервер для запуску програмного забезпечення відділу кадрів. Перед початком поміркуємо над співвідношенням рівня ризику та оцінимо ризик від цієї події…

Кроки аналізу ризиків
1.1 Визначимо актив, на який впливає ризик (ПЗ та атрибути)

1.2 Визначимо чинники загрози (прибиральниця, інші співробітники, відвідувачі відділу, співробітники технічної підтримки, наймані особи)

2.1 Оцінимо можливу частоту виникнення загрози

загрози (знання та досвід)
2.3 Визначимо рівень захищеності активу (знання та

досвід)

(зусилля для отримання доступу – рівень захищеності активу)
2.5 Визначимо частоту

виникнення втрат (втрати конфіденційності активу)

найгіршому випадку
3.2 Визначимо величину можливих втрат

ризик

захищеності
(існуючі заходи безпеки)
Вибір адекватних заходів безпеки
Покриття ризиків
(усунення причин

виникнення та перелік можливих заходів безпеки)

Детальний аналіз ризиків
(можливі сценарії реалізації ризиків)

Методика оцінки ризиків MESARI

Опис та визначення проблемних питань

Рішення

Оцінка ризиків

Оцінка можливості застосування заходів безпеки

буде рекомендувати власну методику )

Окремі етапи оцінки ІТ ризиків повністю

автоматизовані;
- розроблені (або розробляються) системні утиліти для оцінки ризиків;
- надаються утиліти для моделювання загроз та уразливостей;
- є програмне забезпечення та документи для проведення оцінки.

Необхідно готувати персонал для проведення аудиту інформаційної безпеки (внутрішнього та зовнішнього) та управління ризиками ІТ

Необхідно забезпечити впровадження методики та консультаційну підтримку