2018-02-13
969
Методика "FacilitatedRiskAnalysisProcess (FRAP)" предлагаемая компанией PeltierandAssociates разработана Томасом Пелтиером (Thomas R. Peltier). В методике обеспечение информационной безопасности системы предлагается рассматривать в рамках процесса управления рисками. Управление рисками в сфере информационной безопасности - процесс, позволяющий предприятию найти баланс между затратами средств и сил на средства защиты и получаемым эффектом.
Управление рисками должно начинаться с оценки рисков: должным образом оформленные результаты оценки станут основой для принятия решений в области повышения безопасности системы.
После завершения оценки, проводится анализ соотношения затрат и получаемого эффекта (англ. cost/benefitanalysis), который позволяет определить те средства защиты, которые нужны, для снижения риска до приемлемого уровня.
Во FRAP более подробно раскрываются пути получения данных о системе и ее уязвимостях.
Определение защищаемых активов производится с использованием опросных листов, изучения документации на систему, использования инструментов автоматизированного анализа (сканирования) сетей. Производится идентификация угроз. Когда список угроз закончен, каждой из них сопоставляют вероятность возникновения. После чего оценивают ущерб, который может быть нанесен данной угрозой. Исходя из полученных значений, оценивается уровень угрозы. При проведении анализа, как правило, принимают, что на начальном этапе в системе отсутствуют средства и механизмы защиты. Таким образом оценивается уровень риска для незащищенной ИС, что в последствии позволяет показать эффект от внедрения средств защиты информации. Матрица методики представлена в таблице № 5.
|
|
|
Таблица № 5 – Матрица рисков
| УЩЕРБ | ||||
| ВЕРОЯТНОСТЬ | Высокий | Средний | Низкий | |
| Высокая | А | В | С | |
| Средняя | В | В | С | |
| Низкая | В | С | D | |
Полученная оценка уровня риска может интерпретироваться следующим образом:
- уровень A - связанные с риском действия (например, внедрение СЗИ) должны быть выполнены немедленно и в обязательном порядке;
- уровень B - связанные с риском действия должны быть предприняты;
- уровень C - требуется мониторинг ситуации (но непосредственных мер по противодействию угрозе принимать, возможно, не надо);
- уровень D -никаких действий в данный момент предпринимать не требуется.
После того как угрозы идентифицированы и дана оценка риска, должны быть определены контрмеры, позволяющие устранить риск или свести его до приемлемого уровня. При этом должны приниматься во внимание законодательные ограничения, делающие невозможным или, наоборот, предписывающие в обязательном порядке, использование тех или иных средств и механизмов защиты.
