Читайте также:
|
| Кількісний | Якісний | |
| Переваги | · Ризики є пріоритетнішими фінансових наслідків; · активи є пріоритетнішими фінансових цінностей; · отримання спрощених результатів управління ризиком та поверненням інвестицій у забезпечення безпеки; · результати можуть бути виражені в управлінській специфічній термінології (наприклад, грошові значення і ймовірність виражається у вигляді певного відсотка); · точність має тенденцію до збільшення з плином часу, так як організація постійно веде записи даних. | · Забезпечує прозорість і розуміння класифікації ризику; · можливість досягти консенсусу; · немає необхідності визначати фінансову вартість активів; · легше залучити людей, які не є експертами в області комп'ютерної безпеки. |
| Недоліки | · Вплив значення, привласнених ризикам на підставі суб'єктивних думок учасників; · процес для досягнення надійних результатів і консенсусу займає багато часу; · розрахунок може бути складним і трудомістким; · результати представлені тільки в грошовому еквіваленті і їх складно інтерпретувати для «нетехнічних людей»; · процес вимагає спеціальних знань, тому складно навчити персонал. | · Недостатня відмінність між важливими ризиками; · важко виправдати інвестиції в контроль реалізації, тому що немає підстав для аналізу витрат і переваг; · результати залежать від якості команди управління ризиками, яка буде створена. |
Далі будуть розглянуті кращі світові методи для проведення повноцінної оцінки ризиків.
Методи оцінки ризику:
1.1. ISAMM.
Виробник: Бельгія.
Опис: ISAMM була розроблена на основі Telindus. Це кількісний тип методології управління ризиками, де оцінюються ризики, виражаючи їх через щорічні очікувані збитків в грошових одиницях.
Щорічні очікувані збитки (ALE) = [ймовірність] Х [середнє вплив].
ISAMM дозволяє показувати й моделювати зниження ризику для кожного поліпшеного контролю і порівнювати з його вартістю реалізації. Ефективність методу дозволяє виконувати обгрунтовану оцінку ризику в рамках, з мінімальними витратами часу і зусиль. Останньою еволюцією в методології ISAMM є уявлення активів. Це означає, що він може бути використаний для запуску оцінки ризиків щодо активів або згрупувати набір активів. Цей метод оцінки ризиків складається з трьох основних частин: огляду; оцінки; результат розрахунків та звітність.
Метод оцінки ризику: кількісний.
Наявність допоміжних програмних інструментів: немає, але має хорошу керівну документацію.
1.2. Mehari.
Виробник: Франція.
Опис: Це модель управління ризиками, з модульними компонентами і процесами. Модуль оцінки охоплює, крім інформаційної системи, організацію та її місця розташування в цілому, а також умови роботи, правові та нормативні аспекти.
Метод оцінки ризику: якісний і кількісний.
Наявність допоміжних програмних інструментів: є.
1.3. EBIOS.
Виробник: Франція.
Опис: EBIOS являє собою повний набір посібників. Виробляються кращі практики, а також додатки документів, орієнтовані на кінцевих користувачів в різних контекстах. Цей метод широко використовується як в державному, так і приватному секторі. EBIOS формалізує підхід до оцінки ризику в області інформаційної безпеки систем. Метод враховує всі технічні об'єкти (програмне і апаратне забезпечення, мережі) і нетехнічні об'єкти (організації, людські аспекти, фізична безпека).
Метод оцінки ризику: якісний.
Наявність допоміжних програмних інструментів: є.
1.4. Octave.
Виробник: США.
Опис: OCTAVE є самостійним підходом, що вказує на те, що персонал несе відповідальність за встановлення стратегії безпеки організації. OCTAVE вимагає аналізу в розгляді відносини між критично важливими активами, загрозами для цих активів і вразливостями (як організаційні, так і технологічні). Він визначає пов'язані з інформацією активи, які важливі для організації і зосереджує діяльність на ці активи, тому що вони мають найбільш важливе значення для організації (акцент на кількох важливих активів, не більше п'яти). Існують різні OCTAVE методи, засновані на OCTAVE критеріях: OCTAVE, OCTAVE-S і OCTAVEAllegro.
Метод оцінки ризику: якісний.
Наявність допоміжних програмних інструментів: є.
1.5. IT-Grundschutz.
Виробник: Німеччина.
Опис: IT-Grundschutz пропонує спосіб для створення системи управління інформаційною безпекою. Вона включає в себе як загальні рекомендації по забезпеченню безпеки ІТ так і допоміжні технічні рекомендації для досягнення необхідного рівня ІТ безпеки для конкретного домену.
У методі IT-Grundschutz представлені каталоги: 1) модулі; 2) каталоги загроз; 3) каталоги захисту.
Метод оцінки ризику: якісний.
Наявність допоміжних програмних інструментів: є.
1.6. CRAMM.
Виробник: Великобританія.
Опис: Метод CRAMM досить складно використовувати без CRAMM інструменту. У інструмента такаж назва, як і у методу - CRAMM. В основі методу CRAMM лежить комплексний підхід до оцінки ризиків, поєднуючи кількісні та якісні методи аналізу. Метод є універсальним і підходить як для великих, так і для дрібних організацій, як урядового, так і комерційного сектора. Грамотне використання методу CRAMM дозволяє отримувати дуже хороші результати, найбільш важливим з яких є можливість економічного обгрунтування витрат організації на забезпечення інформаційної безпеки та безперервності бізнесу. Економічно обгрунтована стратегія управління ризиками дозволяє, в кінцевому підсумку, заощаджувати кошти, уникаючи невиправданих витрат.
Метод оцінки ризику: якісний і кількісний.
Наявність допоміжних програмних інструментів: є.
1.7. Назва методу: Magerit.
Виробник: Іспанія.
Опис: Magerit є відкритою методологією аналізу та управління ризиками пропонованої в якості основи і керівництва:
• для того, щоб особи відповідальні за інформаційні системи знали про існування ризиків і необхідность розглядати їх своєчасно;
• для пропозиції систематичного методу аналізу цих ризиків;
• для опису і планування відповідних заходів по утриманню ризику під контролем;
• для підготовки організації по процесу оцінки, аудиту, сертифікації та акредитації.
Метод оцінки ризику: кількісний і якісний.
Наявність допоміжних програмних інструментів: є.
2. Управляючі документи.
Крім методів оцінки ризиків використовують управляючі документи. Де теоретично описуються і даються методичні вказівки процесу оцінки ризиків, але не дається конкретних технологій. Найвідоміші стандарти, які використовуються на території України: ISO 27001, ISO 27005, ISO 17799.
2.1. ISO / IEC 27001.
Опис: Міжнародний стандарт ISO / IEC 27001 визначає процеси, що представляють можливість бізнесу встановлювати, застосовувати, переглядати, контролювати і підтримувати ефективну систему менеджменту інформаційної безпеки. У даному стандарті регламентовані вимоги до розробки, впровадження, функціонування, моніторингу, аналізу, підтримки та вдосконалення документованої системи менеджменту інформаційної безпеки в контексті існуючих бізнес ризиків організації. Зазначені вимоги реалізуються в рамках документованих процесів менеджменту інформаційної безпеки, структурованих по моделі PDCA (Plan-Do-Check-Act). Стандарт ISO / IEC 27001 являє наочну модель менеджменту, що дозволяє здійснювати оцінку ризиків, проектування і реалізацію системи інформаційної безпеки, її менеджмент і переоцінку.
2.2. ISO / IEC 27005.
Опис: Цей стандарт призначений для визначення в організації підходу до менеджменту ризиків в залежності, наприклад, від області дії СМІБ, області застосування менеджменту ризиків або сектора промисловості. Забезпечує рекомендації для менеджменту ризиків інформаційної безпеки, які включають інформацію і менеджмент ризиків безпеки технологій телекомунікації. Стандарт підтримує загальні концепції, визначені в ISO / IEC 27001, і призначений для сприяння адекватного забезпечення інформаційної безпеки на основі підходу, пов'язаного з менеджментом ризику. Застосуємо для організацій усіх типів (наприклад, комерційних підприємств, державних установ, некомерційних організацій), які планують здійснювати менеджмент ризиків, для компрометації інформаційної безпеки організації.
2.3. ISO / IEC 17799.
Опис: У відповідності зі стандартом ISO 17799, при створенні ефективної системи безпеки особливу увагу слід приділити комплексному підходу до управління інформаційною безпекою. З цих причин в якості елементів управління розглядаються не тільки технічні, але й організаційно-адміністративні заходи, спрямовані на забезпечення наступних вимог до інформації: 1) конфіденційність; 2) цілісність; 3) достовірність;4)доступність.
Порушення кожного з них може спричинити за собою значні втрати як у вигляді збитків, так і у вигляді неотриманого доходу.
3. Інструменти.
Крім методів та управляючих документів використовують інструменти для оцінки ризиків. Інструменти являють собою програмне забезпечення з документацією про правила використання. Найвідомішими інструментами, існуючими без методики з покроковою інструкцією є: Cobra, RiskWatch, ГРИФ 2006.
3.1. Cobra.
Виробник: Великобританія.
Опис: Cobra програмний інструмент, який дозволяє проводити оцінку ризиків у галузі безпеки. Він оцінює відносну важливість усіх загроз і вразливостей, генерує відповідні рішення та рекомендації. Це автоматично пов'язує виявлені ризики з потенційними наслідками для бізнес-одиниці. Крім того, конкретний район або питання може бути розглянуте "самостійно", без будь-яких наслідків для організації.
3.2. RiskWatch.
Виробник: США.
Опис: RiskWatch являє собою сімейство програмних продуктів, побудованих на загальному програмному ядрі, які призначені для управління різними видами ризиків та підтримки великого різновиду стандартів. УRiskWatch в якості критеріїв для оцінки та управління ризиками використовуються очікувані річні втрати (Annual Loss Expectancy, ALE) та оцінка повернення інвестицій (Return on Investment, ROI). RiskWatch орієнтована на точну кількісну оцінку співвідношення втрат від загроз безпеки і затрат на створення системи захисту.
3.3. ГРИФ 2006.
Виробник: Росія.
Опис: ГРИФ 2006 - потужний і зручний інструмент для аналізу захищеності ресурсів інформаційної системи та ефективного управління ризиками. Дозволяє провести повний аналіз ризиків - отримати повну картину всіх загроз, актуальних для інформаційної системи, оцінити, наскільки критичні уразливості і до яких втрат вони можуть привести. Крім аналізу ризиків, є можливість управління ризиками. Алгоритм системи «ГРИФ 2006» аналізує побудовану модель і генерує звіт, який містить значення ризику для кожного ресурсу. Конфігурація звіту може бути практично будь-якою, таким чином, дозволяючи створювати як короткі звіти для керівництва, так і детальні звіти для подальшої роботи з результатами.
Дата добавления: 2014-12-19; просмотров: 195 | Поможем написать вашу работу | Нарушение авторских прав |