2014-02-09
1187
Выбор допустимого уровня риска
Выбор допустимого уровня риска связан с затратами на реализацию подсистемы информационной безопасности. Как минимум существует два подхода к выбору допустимого уровня рисков.
Первый подход типичен для базового уровня безопасности. Уровень остаточных рисков не принимается во внимание. Затраты на программно-технические средства защиты и организационные мероприятия, необходимые для соответствия информационной системы спецификациям базового уровня (антивирусное ПО, МЭ, системы резервного копирования, системы контроля доступа), являются обязательными, их целесообразность не обсуждается. Дополнительные затраты (если такой вопрос будет поставлен по результатам проведения аудита ИБ либо по инициативе службы безопасности) должны находиться в разумных пределах и не превышать 5-15% средств, которые тратятся на поддержание работы информационной системы.
Второй подход применяется при обеспечении повышенного уровня безопасности. Собственник информационных ресурсов должен сам выбирать допустимый уровень остаточных рисков и нести ответственность за свой выбор.
В зависимости от уровня зрелости организации и характера основной деятельности обоснование выбора допустимого уровня риска может проводиться разными способами.
Наиболее распространенным является анализ по критерию «стоимость-эффективность» различных вариантов защиты. Приведем примеры постановки задач:
1) стоимость подсистемы безопасности должна составлять не более 20% от стоимости информационной системы. Найти вариант контрмер, максимально снижающих уровень интегральных рисков.
2) риски по всем классам не должны превышать очень низкий уровень. Найти вариант контрмер с минимальной стоимостью.
Если ставятся оптимизационные задачи, важно правильно выбрать комплекс контрмер (перечислить возможные варианты) и оценить его эффективность.
Система защиты строится комплексно, включает контрмеры разных уровней (административные, организационные, программно-технические). Для облегчения выбора комплекса контрмер в различных методиках используются таблицы, в которых классам угроз ставятся в соответствие возможные контрмеры. Приведем пример классификатора контрмер GRAMM 4.
Классы контрмер G RAMM (фрагмент)
| Masquerading of User Identity by Insiders | Masquerading of User Identity by Contracted Service Providers | Masquerading of User Identity by Outsiders |
| Identification and Authentication | Identification and Authentication | Identification and Authentication |
| Logical Access Control | Logical Access Control | Logical Access Control |
| Accounting | Accounting | Accounting |
| Audit | Audit | Audit |
| Object Re-use | Object Re-use | Object Re-use |
| Security Testing | Security Testing | Security Testing |
| Software Integrity | Software Integrity | Software Integrity |
| Mobile Computing and Teleworking | Mobile Computing and Teleworking | Mobile Computing and Teleworking |
| Software Distribution | Software Distribution | Software Distribution |
| System Input/Output Controls | System Input/Output Controls | System Input/Output Controls |
| Network Access Controls | Network Access Controls | Network Security Management |
| System Administration Controls | System Administration Controls | Network Access Controls |
| Application Input/Output Controls | Application Input/Output Controls | System Administration Controls |
| Back-up of Data | Back-up of Data | Application Input/Output Controls |
| Personnel | Personnel | Back-up of Data |
| Security Education and Training | Security Education and Training | Security Education and Training |
| Security Policy | Security Policy | Security Policy |
| Security Infrastructure | Security Infrastructure | Security Infrastructure |
| Data Protection Legalization | Outsourcing | Data Protection Legalization |
| Incident Handling | Data Protection Legalization | Incident Handling |
| Compliance Checks | Incident Handling | Compliance Checks |
| Compliance Checks |
Подобные классификаторы позволяют автоматически выбирать и предлагать конкретные варианты контрмер, возможных для рассматриваемой информационной системы. Владельцу информационных ресурсов остается отобрать из них приемлемые. Следующий шаг ‑ оценка эффективности контрмер.
Задача оценки эффективности контрмер не проще, чем оценка рисков.
Это объясняется тем, что оценка эффективности комплексной подсистемы безопасности, включающей контрмеры разных уровней (административные, организационные, программно-технические), в конкретной информационной системе ‑ методологически чрезвычайно сложная задача. По этой причине обычно ограничиваются упрощенными, качественными оценками эффективности контрмер.
Примером является таблица (см. табл. 3) типичных значений эффективности контрмер, используемых в методе анализа рисков RiskWatch.
Таблица 3.3. Ориентировочная эффективность мероприятий в области защиты информации по критерию ROI (Return of Investment - возврат вложений)
| Мероприятия | Степень эффективности |
| Разработка и внедрение политики информационной безопасности | |
| Работа с персоналом (наведение справок, контроль поведения и т.п.) | |
| Совершенствование организационной структуры | |
| Анализ рисков | |
| Управление жизненным циклом (управление рисками) | |
| Совершенствование должностных инструкций и условий контрактов | |
| Меры контроля за посетителями | |
| Управление имуществом компании | |
| Обучение персонала и контроль соблюдения режима ИБ | |
| Меры контроля за работой приложений |
Указанные в таблице значения представляют собой ориентировочные оценки эффективности вложений в различные классы мероприятий в области защиты информации.
В ряде случаев применяются более сложные таблицы, в которых отражена зависимость эффективности от ряда факторов (аналогичные примеру оценки угроз и уязвимостей).
На основе подобных таблиц делаются качественные оценки эффективности контрмер.
