МЕТОДИКА RISKWATCH

Компанія RiskWatch розробила власну методику аналізу ризиків і сімейство програмних засобів, в яких вона в тій чи іншій мірі реалізується [19, 28, 29, 30J.

У сімейство RiskWatch входять програмні продукти для проведення різних видів аудиту безпеки:

  • - RiskWatch for Physical Security - для аналізу фізичного захисту ІС;
  • - RiskWatch for Information Systems - для інформаційних ризиків:
  • - HIPAA-WATCH for Healthcare Industry - для оцінки відповідності вимогам стандарту HIPAA (від англ. «US Healthcare Insurance Portability and Accountability Act»), актуальним в основному для медичних установ, які працюють на території США;
  • - RiskWatch RW17799 for ISO 17799 - для оцінки відповідності ІС вимогам міжнародного стандарту ISO 17799.

У методі RiskWatch в якості критеріїв для оцінки і управління ризиками використовуються очікувані річні втрати (англ. «Annual Loss Expectancy», ALE) і оцінка повернення інвестицій (англ. «Return on Investment», ROI). RiskWatch орієнтована на точну кількісну оцінку співвідношення втрат від загроз безпеки і витрат на створення системи захисту. В основі продукту RiskWatch знаходиться методика аналізу ризиків, яка складається з чотирьох етапів.

Перший етап - визначення предмета дослідження. Тут описуються такі параметри, як тип організації, склад досліджуваної системи (в загальних рисах), базові вимоги в області безпеки. Для полегшення роботи аналітика в шаблонах, що відповідають типу організації ( «комерційна інформаційна система», «дер- дарчий / військова інформаційна система» і т. Д.), Є списки категорій захищаються ресурсів, втрат, погроз, вразливостей і заходів захисту. З них потрібно вибрати ті, що реально присутні в організації (рис. 4.11).

Визначення категорій захищаються ресурсів

Мал. 4.11. Визначення категорій захищаються ресурсів

Наприклад, категорії втрат:

  • - затримки і відмова в обслуговуванні;
  • - розкриття інформації;
  • - прямі втрати (наприклад, від знищення обладнання вогнем);
  • - життя і здоров'я (персоналу, замовників і т. Д.);
  • - зміна даних;
  • - непрямі втрати (наприклад, витрати на відновлення);
  • - репутація.

Другий етап - введення даних, що описують конкретні характеристики системи. Дані можуть вводитися вручну або імпортуватися з звітів, створених інструментальними засобами дослідження уразливості комп'ютерних мереж. На цьому етапі, зокрема, детально описуються ресурси, втрати і класи інцидентів. Класи інцидентів виходять шляхом зіставлення категорії втрат і категорії ресурсів.

Для виявлення можливих вразливостей використовується запитальник, база якого містить більше 600 питань. Питання пов'язані з категоріями ресурсів.

Також задається частота виникнення кожної з виділених загроз, ступінь уразливості і цінність ресурсів. Якщо для обраного класу загроз в системі є середньорічні оцінки виникнення (LAFE і SAFE), то використовуються вони. Все це використовується в подальшому для розрахунку ефекту від впровадження засобів захисту.

Третій етап - кількісна оцінка ризику. На цьому етапі розраховується профіль ризиків, і вибираються заходи забезпечення безпеки. Спочатку встановлюються зв'язки між ресурсами, втратами, загрозами і уразливими, виділеними на попередніх кроках дослідження. По суті, ризик оцінюється за допомогою математичного очікування втрат за рік. Наприклад, якщо вартість сервера $ 150000, а ймовірність того, що він буде знищений пожежею протягом року, дорівнює 0,01, то очікувані втрати складуть $ 1500..

Формула розрахунку (m = p * v, де ш - математичне очікування, р - ймовірність виникнення загрози, v - вартість ресурсу) зазнала деяких змін в зв'язку з тим, що RiskWatch використовує певні американським інститутом стандартів NIST оцінки, звані LAFE і SAFE. LAFE (від англ. «Local Annual Frequency Estimate») показує, скільки раз на рік в середньому ця загроза реалізується в даному місці (наприклад, в місті). SAFE (від англ. «Standard Annual Frequency Estimate») показує, скільки раз на рік в середньому ця загроза реалізується в цій «частини світу» (наприклад, в Північній Америці). Вводиться також поправочний коефіцієнт, який дозволяє врахувати, що в результаті реалізації загрози захищається ресурс може бути знищений в повному обсязі, а лише частково.

Формули (4.3) та (4.4) показують варіанти розрахунку показника

ALE

де Asset Value - вартість даного активу (даних, програм, апаратури і т. д.);

Exposure Factor - коефіцієнт впливу - показує, яка частина (у відсотках) від вартості активу наражається на ризик; Frequency - частота виникнення небажаної події;

ALE - це оцінка очікуваних річних втрат для одного конкретного активу від реалізації однієї загрози.

Коли всі активи і впливу ідентифіковані і зібрані разом, то з'являється можливість оцінити загальний ризик для ІС, як суму всіх приватних значень.

Можна ввести показники «очікувана річна частота події» (англ. «Annualized Rale of Occurrence» - ARO) і «очікуваний одиничний збиток» (англ. «Single Loss Expectancy» - SLE), який може розраховуватися як різниця первісної вартості активу і його залишкової вартості після події (хоча подібний спосіб оцінки можна застосувати не у всіх випадках, наприклад, він не підходить для оцінки ризиків, пов'язаних з порушенням конфіденційності інформації). Тоді для окремо взятого поєднання угроза- ресурс може бути застосована формула (4.4):

Додатково розглядаються сценарії «що якщо:», які дозволяють описати аналогічні ситуації за умови впровадження засобів захисту. Порівнюючи очікувані втрати за умови впровадження захисних заходів і без них можна оцінити ефект від таких заходів.

RiskWatch включає в себе бази з оцінками LAFE і SAFE, а також з узагальненим описом різних типів засобів захисту.

Ефект від впровадження засобів захисту кількісно описується за допомогою показника ROI (Return on Investment - повернення інвестицій), який показує віддачу від зроблених інвестицій за певний період часу. Розраховується він за формулою:

де Costsj - витрати на впровадження і підтримку у-заходи захисту; BenefitSi - оцінка тієї користі (т. Е. Очікуваного зниження втрат), яку приносить впровадження цього заходу захисту; NPV (Net Present Value) - чиста поточна вартість.

ROI

Приклад графіка показника ROI для різних заходів захисту

Мал. 4.12. Приклад графіка показника ROI для різних заходів захисту

Четвертий етап - генерація звітів. Типи звітів:

  • - короткі підсумки;
  • - повні і короткі звіти про елементи, описаних на стадіях 1 і
  • 2;
  • - звіт від вартості ресурсів, що захищаються і очікуваних втратах від реалізації загроз;
  • - звіт про загрози та заходи протидії;
  • - звіт про ROI (фрагмент наведено на рис. 4.12);
  • - звіт про результати аудиту безпеки.

Таким чином, розглядається засіб дозволяє оцінити не тільки ті ризики, які зараз існують у підприємства, але і ту вигоду, яку може принести впровадження фізичних, технічних, програмних та інших засобів і механізмів захисту. Підготовлені звіти і графіки дають матеріал, достатній для прийняття рішень про зміну системи забезпечення безпеки підприємства.

 
Переглянути оригінал
< Попер   ЗМІСТ   ОРИГІНАЛ   Наст >