ИТ-архитектура. Практическое руководство от А до Я. Первое издание

•Поиск и систематизация данных об объекте анализа

•Определение объекта и субъекта, участвующие в анализе

•Полное описание процесса или задачи

•Проверка точности и полноты данных, представленных для анализа

•Осуществление действий по выделению рисков

•Оценка вероятности и последствий возникновения угрозы

•Ликвидация угрозы

Метод OCTAVE (Operationally Critical Threat, Asset and Vulnerability Evaluation)

Метод быстрой оценки критических угроз, определения активов и выявления угроз. Характеризуется формированием специализированных групп и тесным вовлечением владельца бизнеса. Метод состоит из трех этапов:

Оценка организационных аспектов

Комплексный анализ информационной инфраструктуры организации

Разработка тактики обеспечения безопасности и формирование стратегии. Состоит из следующих действий:

•Документирование текущего состояния

•Выбор подходов по сокращению рисков

•Выбор подходов по сокращению расходов

•Указывают изменения, необходимые для внесения в текущую организацию

•Выявляют перспективные направления работ по обеспечению информационной безопасности

Матричный Метод Анализа

Метод связывает активы, уязвимости и средства управления и определяет важность различных средств управления различным активам организации. Методология включает в себя три различных матрицы, связанные между собой:

Матрица угроз – содержит в себе отношения между уязвимостями и угрозами.

Матрица уязвимостей – содержит связь между активами и уязвимостями.

Матрица контролей – содержит связи между угрозами и средствами управления.

Значение в каждой ячейке матрицы показывает ценность отношения между элементом строки и столбца. Используется следующая система оценок:

1 – низкая,

2 – средняя

3 – высокая.

В процессе первоначального анализа формируются списки активов, уязвимостей, угроз и средств управления. Матрицы заполняются путем добавления данных о связи элемента столбца матрицы с элементом строки.

Матрица угроз

Матрица уязвимостей

Матрица контролей

Затем данные из матрицы уязвимостей переносятся в матрицу угроз. Дальше по такому же принципу данные из матрицы угроз заносятся в матрицу контроля.

Одно из преимуществ данной методики является ее универсальность

Формулы расчетов

Иерархическая структура рисков (Risk Breakdown Structure, RBS)

Иерархическая структура рисков (Risk Breakdown Structure, RBS) – Иерархически организованное представление известных рисков проекта, распределенных по категориям и подкатегориям риска, указывающим различные области и причины возможных рисков. Иерархическая структура рисков часто подгоняется под конкретные типы проектов.

Методы расчета рисков

В качестве оценки рисков можно использовать как количественный, так и качественный метод оценки. Для количественного метода оценки рисков и угроз используются следующие показатели:

SLE (Single Loss Expectancy) = Asset Value x EF (Exposure Factor)

ALE (Annualized Loss Expectancy) = SLE x ARO (Annualized Rate of Occurrence)

Total Risk = Threats x Vulnerabilities x Asset Value

ACV (Actual Cost Evaluation)

Asset Value (AV) – Стоимость ресурса, отражает ценность ресурса. При качественном анализе можно использовать фиксированные величины (1 – низкая стоимость, 2- средняя и 3 – высокая стоимость). Например, сервер активного каталога будет иметь показатель AV=3, а рабочая станция AV=1.

Exposure Factor (EF) – Степень защищенности ресурса. Демонстрирует насколько данный ресурс подвержен угрозе. При качественном анализе можно использовать фиксированные величины (1 – низкая степень уязвимости или воздействия, 2- средняя степень уязвимости или большая вероятность восстановления ресурса и 3 – высокая степень уязвимости или возникнет необходимость замены ресурса). Например, сервер активного каталога будет иметь показатель EF=2.

Annualized Rate of Occurrence (ARO) – Оценка возможности возникновения угрозы. Указывает вероятность реализации конкретной угрозы за фиксированный промежуток времени (год). При качественном анализе можно использовать фиксированные величины (1 – низкая вероятность, 2- средняя и 3 – высокая вероятность). Например, сервер активного каталога будет иметь показатель ARO=1.

Annual Loss Exposure (ALE) – Оценка ожидаемых потерь вследствие воздействия определённой угрозы за определённый период времени. При качественном анализе можно использовать фиксированные величины (1 – низкая стоимость, 2- средняя и 3 – высокая стоимость). Например, сервер активного каталога будет иметь показатель AV=3, а рабочая станция AV=1.

При качественной оценке рисков можно воспользоваться следующей матрицей:

Оценка последствий – оценка потерь, в результате появления факта риска.

Оценка вероятности – оценка вероятности появления того или иного риска

Таблица классификации рисков

Комбинация значений обоих таблиц (последствия + вероятность) ведет к определению уровня риска. Критерий уровня риска, который может быть принят (например, значения от 0 до 2) или непринят (например, значения от 3 и выше) определяется в соответствующем стандарте или политике в организации самостоятельно или в соответствии с требованиями или рекомендациями регуляторов.