ЛУГАНСКИЙ НАЦИОНАЛЬНЫЙ ПЕДАГОГИЧЕСКИЙ УНИВЕРСИТЕТ 

ИМЕНИ ТАРАСА ШЕВЧЕНКО 
 

Реферат 

“Риск в информационной системе ” 
 
 

   Выполнил:    студент I курса

   Института экономики и бизнеса

 специальность “Менеджмент 

 организаций”

   группа “Б”

   Слободчуков Дмитрий 
 
 
 
 
 
 
 
 
 
 
 
 

Луганск 2004

 

 
 

Содержание

 

Введение

 

   Информационная  система, в зависимости от своего класса, должна обладать подсистемой  безопасности с конкретными формальными  свойствами. Анализ рисков, как правило, выполняется формально, с использованием произвольных методик. В развитых странах это не так. К примеру, в американском глоссарии по безопасности можно найти термин Designated Approving Authority - лицо, уполномоченное принять решение о допустимости определенного уровня рисков.

   Вопросам  анализа рисков уделяется серьезное внимание: десятилетиями собирается статистика, совершенствуются методики.

 

Современные технологии анализа  рисков в информационных системах

     Целью анализа рисков, связанных  с эксплуатацией информационных  систем (ИС), является оценка угроз (т. е. условий и факторов, которые могут стать причиной нарушения целостности системы, ее конфиденциальности, а также облегчить несанкционированный доступ к ней) и уязвимостей (слабых мест в защите, которые делают возможной реализацию угрозы), а также определение комплекса контрмер, обеспечивающего достаточный уровень защищенности ИС. При оценивании рисков учитываются многие факторы: ценность ресурсов, значимость угроз, уязвимостей, эффективность имеющихся и планируемых средств защиты и многое другое.

   Однако  положение начинает меняться. Среди  отечественных специалистов служб  информационной безопасности (ИБ) зреет  понимание необходимости проведения такой работы. В первую очередь  это относится к банкам и крупным  коммерческим структурам, т. е. к тем, которые серьезно заботятся о безопасности своих информационных ресурсов.

 

Основные  подходы к анализу  рисков

 

           В настоящее время используются  два подхода к анализу рисков - базовый и полный вариант.  Выбор зависит от оценки собственниками  ценности своих информационных ресурсов и возможных последствий нарушения режима информационной безопасности. В простейшем случае собственники информационных ресурсов могут не оценивать эти параметры. Подразумевается, что ценность ресурсов с точки зрения организации не является чрезмерно высокой. В этом случае анализ рисков производится по упрощенной схеме: рассматривается стандартный набор наиболее распространенных угроз без оценки их вероятности и обеспечивается минимальный или базовый уровень ИБ [3].

           Полный вариант анализа рисков применяется в случае повышенных требований к ИБ. В отличие от базового варианта в том или ином виде оцениваются ресурсы, характеристики рисков и уязвимостей. Как правило, проводится анализ соотношения стоимость/эффективность нескольких вариантов защиты.

           Таким образом, при проведении  полного анализа рисков необходимо:

1. определить ценность ресурсов;
2. добавить к стандартному набору список угроз, актуальных для исследуемой информационной системы;
3. оценить вероятность угроз;
4. определить уязвимость ресурсов;
5. предложить решение, обеспечивающее необходимый уровень ИБ.

 

   

Методология анализа рисков в  ИС с повышенными  требованиями в области  ИБ

 

           При выполнении полного анализа  рисков приходится решать ряд  сложных проблем: как определить  ценность ресурсов? как составить полный список угроз ИБ и оценить их параметры? как правильно выбрать эффективные контрмеры?[3].

           Процесс анализа рисков делится  на несколько этапов:

1. идентификация информационных ресурсов;
2. выбор критериев оценки и определение потенциального негативного воздействия на ресурсы и приложения;
3. оценка угроз;
4. оценка уязвимостей;
5. оценка рисков;
6. оценка эффективности существующих и предполагаемых средств обеспечения информационной безопасности.

 

           На основе анализа рисков выбираются средства, обеспечивающие режим ИБ. Ресурсы, значимые для бизнеса и имеющие определенную степень уязвимости, подвергаются риску, если по отношению к ним существует какая-либо угроза. При оценке рисков учитываются потенциальное негативное воздействие от нежелательных происшествий и показатели значимости рассматриваемых уязвимостей и угроз.

           Риск характеризует опасность,  которой может подвергаться система  и использующая ее организация. 

           Степень риска зависит от ряда  факторов:

1. ценности ресурсов;
2. вероятности реализации угроз;
3. простоты использования уязвимости для реализации угроз;
4. существующих или планируемых к внедрению средств обеспечения ИБ, которые уменьшают число уязвимостей, вероятность возникновения угроз и возможность негативных воздействий.

Определение ценности ресурсов

 

           Ресурсы обычно подразделяются  на несколько классов - например, физические, программные ресурсы,  данные. Для каждого класса необходима  своя методика определения ценности  элементов, помогающая выбрать  подходящий набор критериев. Эти критерии служат для описания потенциального ущерба, связанного с нарушением конфиденциальности и целостности ИС, уровня ее доступности.

           Физические ресурсы оцениваются  с точки зрения стоимости их  замены или восстановления работоспособности. Эти стоимостные величины затем преобразуются в ранговую (качественную) шкалу, которая используется также для информационных ресурсов. Программные ресурсы оцениваются тем же способом, что и физические, на основе определения затрат на их приобретение или восстановление [1].

           Если для информационного ресурса  существуют особенные требования  к конфиденциальности или целостности  (например, если исходный текст  имеет высокую коммерческую ценность), то оценка этого ресурса производится по той же схеме, т. е. в стоимостном выражении.

           Кроме критериев, учитывающих  финансовые потери, коммерческие  организации могут применять  критерии, отражающие:

1. ущерб репутации организации;
2. неприятности, связанные с нарушением действующего законодательства;
3. ущерб для здоровья персонала;
4. ущерб, связанный с разглашением персональных данных отдельных лиц;
5. финансовые потери от разглашения информации;
6. финансовые потери, связанные с восстановлением ресурсов;
7. потери, связанные с невозможностью выполнения обязательств;
8. ущерб от дезорганизации деятельности.

 

           Могут использоваться и другие  критерии в зависимости от  профиля организации. К примеру,  в правительственных учреждениях  прибегают к критериям, отражающим  специфику национальной безопасности  и международных отношений.

Оценка  характеристик факторов риска

 

           Ресурсы должны быть проанализированы  с точки зрения оценки воздействия  возможных атак (спланированных  действий внутренних или внешних  злоумышленников) и различных  нежелательных событий естественного происхождения. Такие потенциально возможные события будем называть угрозами безопасности. Кроме того, необходимо идентифицировать уязвимости - слабые места в системе защиты, которые делают возможной реализацию угроз.

           Вероятность того, что угроза реализуется, определяется следующими основными факторами:

1. привлекательностью ресурса (этот показатель учитывается при рассмотрении угрозы умышленного воздействия со стороны человека);
2. возможностью использования ресурса для получения дохода (показатель учитывается при рассмотрении угрозы умышленного воздействия со стороны человека);
3. простотой использования уязвимости при проведении атаки [2].

 

Технология  анализа рисков

 

           Существует множество методик  анализа рисков. Некоторые из  них основаны на достаточно простых табличных методах и не предполагают применения специализированного ПО, другие, наоборот, его используют.

           В табличных методах можно  наглядно отразить связь факторов  негативного воздействия (показателей  ресурсов) и вероятностей реализации угрозы с учетом показателей уязвимостей.

           Подобные методы сводятся к  нескольким несложным шагам. Вот  пример одного из таких методов [2].

           На первом шаге оценивается  негативное воздействие (показатель  ресурса) по заранее определенной шкале (скажем, от 1 до 5) для каждого ресурса, которому угрожает опасность.

           На втором - по той же шкале  оценивается вероятность реализации  каждой угрозы.

           На третьем шаге вычисляется  показатель риска. В простейшем  варианте методики это делается путем умножения. Однако необходимо помнить, что операция умножения определена для количественных шкал. Должна быть разработана методика оценки показателей рисков применительно к конкретной организации.

           На четвертом шаге угрозы ранжируются по значениям их фактора риска.

         Применение каких-либо инструментальных  средств не является обязательным, однако позволяет уменьшить трудоемкость  анализа рисков и выбора контрмер. В настоящее время на рынке  есть около двух десятков программных  продуктов для анализа рисков: от простейших, ориентированных на базовый уровень безопасности, до сложных и дорогостоящих, позволяющих реализовать полный вариант анализа рисков и выбрать комплекс контрмер требуемой эффективности.

           Программные средства, необходимые для полного анализа рисков, строятся с использованием структурных методов системного анализа и проектирования (SSADM, Structured Systems Analysis and Design) и представляют собой инструментарий для выполнения следующих операций:

1. построения модели ИС с позиции ИБ;
2. оценки ценности ресурсов;
3. составления списка угроз и уязвимостей, оценки их характеристик;
4. выбора контрмер и анализа их эффективности;
5. анализа вариантов построения защиты;
6. документирования (генерация отчетов).

 

           Примерами программных продуктов  этого класса являются CRAMM (разработчик  - компания Logica, Великобритания), MARION (разработчик  CLUSIF, Франция), RiskWatch (США) [3].