Опубликован: 03.08.2009 | Уровень: специалист | Доступ: платный | ВУЗ: Санкт-Петербургский государственный политехнический университет
Лекция 4:

Методики и программные продукты для оценки рисков

Для детального изучения (составления "перечня на уровне детализации") отбираются риски, отнесенные по результатам оценки на обобщенном уровне к одной из трех групп:

  • риски высокого уровня;
  • граничные риски: риски среднего уровня, которые необходимо снижать;
  • противоречивые риски: риск является новым и знаний об этом риске у организации недостаточно или различные заинтересованные лица оценивают этот риск по-разному.

Формирование перечня рисков на уровне детализации является последней задачей процесса оценки рисков. В этом перечне каждому риску в итоге сопоставляется оценка в числовой (денежной) форме.

Вновь определяются:

  • величина влияния и подверженности воздействию;
  • текущие элементы контроля;
  • вероятности влияния;
  • уровень риска.

Уровень подверженности воздействию оценивается по пятибалльной шкале. Шкала для угрозы целостности и конфиденциальности приведена на рис. 4.13. Для угрозы отказа в обслуживании - на рис. 4.14. В качестве итогового уровня подверженности воздействию предлагается выберите максимальное значение.

Уровни подверженности воздействию для угроз конфиденциальности и целостности

увеличить изображение
Рис. 4.13. Уровни подверженности воздействию для угроз конфиденциальности и целостности
Уровни подверженности воздействию для доступности

увеличить изображение
Рис. 4.14. Уровни подверженности воздействию для доступности

После определения уровня подверженности воздействию производится оценка величины влияния. Каждому уровню подверженности воздействию сопоставляется значение в процентах, отражающее величину ущерба, причиненного активу, и называемое фактором подверженности воздействию. Майкрософт, рекомендует использовать линейную шкалу подверженности воздействию от 100 до 20%, которая может изменяться в соответствии с требованиями организации. Кроме того, каждой величине влияния сопоставляется качественная оценка: высокая, средняя или низкая. На рис. 4.15 показаны возможные значения для каждого класса влияния.

Определение величин влияния

Рис. 4.15. Определение величин влияния

Далее описываются "элементы контроля", используемые в организации для снижения вероятностей угроз и уязвимостей, определенных в формулировке влияния.

Следующая задача - определение вероятности влияния. Результирующий уровень вероятности определяется на основании двух значений. Первое значение определяет вероятность существования уязвимости в текущей среде. Второе значение определяет вероятность существования уязвимости исходя из эффективности текущих элементов контроля. Каждое значение изменяется в диапазоне от 1 до 5. Определение оценки проводится на основе ответов на вопросы, перечень которых представлен на рис. 4.16, с последующим переходом к результирующей оценке ( рис. 4.17). При этом разработчики руководства указывают, что оценка вероятности взлома имеет субъективный характер и предлагают при проведении оценки уточнять приведенный перечень.

Оценка уязвимости

Рис. 4.16. Оценка уязвимости
Оценка уровня вероятности

Рис. 4.17. Оценка уровня вероятности

Рис. 4.18 приведена шкала оценки эффективности текущих мер и средств защиты. Меньший результат означает большую эффективность элементов контроля и их способность уменьшать вероятность взлома.

Оценка эффективности текущего контроля

Рис. 4.18. Оценка эффективности текущего контроля

Полученные значения суммируются и заносятся в шаблон для уровня детализации.

Результирующая оценка

Рис. 4.19. Результирующая оценка
Роман Попов
Роман Попов

После прохождения курса Стандарты инфрмационной безопасности мне предложено получение Удостоверения о повышении квалификации от НИУ ВШЭ по программе Менеджмент информационной безопасности. Программа включает в себя ряд курсов которые я уже ранее проходил. Какой порядок действий в данном случае? Как прозводится перезачет результатов? И какие экщамены мне надо еще доздать чтобы получить удостоверение?

Татьяна Гусельникова
Татьяна Гусельникова
Araz Heyderov
Araz Heyderov
Россия
iketommoe ike
iketommoe ike
Тайвань (Китай)