Управление риском (risk management)
Это весь спектр мероприятий (а также физический, технический, административный контроль и процедуры), которые приводят к эффективным решениям в области безопасности.
Целью управления риском является поиск наиболее эффективных мер предосторожности от случайных, преднамеренных атак против компьютерной системы.
В программу управления риском входят 4 обязательных элемента:
Рисунок — Программа управления риском
Выбор мер обеспечения безопасности (safeguard selection)
Это важная функция управления риском. Руководители должны проводить мероприятия направленные на устранение конкретной угрозы. Как правило, снижение вероятности угрозы до нуля не выгодно с точки зрения стоимости, т.к. при приближении вероятности к нулю расходы повышаются. Руководителям необходимо определить приемлемый уровень риска и установить эффективные (с точки зрения стоимости) меры безопасности для уменьшения потерь до заданного уровня. Меры могут быть предприняты в таких направлениях:
уменьшение вероятности возникновения угрозы;
уменьшение разрушительного воздействия при возникновении угрозы;
облегчение восстановления после возникновения угрозы.
Конечной целью анализа опасностей является помощь в выборе наиболее эффективных (прежде всего, по стоимости) мер безопасности, обеспечивающих снижение риска до приемлемого уровня.
Вычисление показателя степени риска
1. Министерством обороны США используется следующий подход к вычислению показателя степени риска, который может использоваться в любой организации. Следовательно, учитываются два ключевых фактора: доверие к пользователям системы и критичность данных в этой системе. Используются следующие предельные значения этих факторов: наименее безопасный пользователь, с одной стороны, и наиболее критичная информация, с другой.
Вводятся следующие категории и их значения:
Непрозрачная: 0
Непрозрачная, но разрешен доступ к важной негрифованной информации: 1
Конфиденциальная: 2
Секретная: 3
Совершенно секретная / текущее закрытое исследование: 4
Совершенно секретная / текущее специальное закрытое исследование: 5
Единичная категория: 6
Множественная категория: 7
Простая для применения система классификации использует следующие категории информации:
Открытая — не требует защиты (ежегодные отчеты, информационные письма, материалы по исследованию рынка).
Для служебного пользования — не требует защиты, обеспечивая сохранность информации, хранящейся внутри компании (процедуры, стратегии, стандарты, памятки, книги внутренних телефонов организации).
Ограниченная — включает любую информацию, раскрытие которой не в интересах организации (данные о клиентах, компьютерное ПО, документация, данные о персонале и бюджетная информация).
Конфиденциальная — включает все, что может серьезно повредить компании при разглашении (документы стратегического планирования, рыночные стратегии, собственное ПО).
Таблица — Максимальная оценка критичности данных
-
Классификация
Ранжирование без категорий
Ранжирование с категориями
Открытая
0
Не применяется
Для служебного пользования
1
С одной и более категориями: 2
Конфиденциальная
2
С одной и более категориями: 3
Секретная
3
С одной и более категориями, содержащими секретные данные: 4
С одной и более категориями, содержащими секретные данные: 5
Совершенно секретная
5
С одной и более категориями или категориями 0 и 1, содержащими секретные или совершенно секретные данные: 6
С двумя и более категориями, содержащими секретные или совершенно секретные данные: 7
Согласно подхода Министерства обороны США, если рейтинг доверия к пользователю меньше рейтинга критичности, показатель степени риска представляет собой абсолютную разность этих значений. Таким образом, система, создающая совершенно секретную информацию в двух и более категориях и имеющая небезопасного пользователя, будет иметь индекс риска 7-0 = 7. Индекс риска равен 1, если система имеет категории, к которым некоторые пользователи не имеют доступа, но минимальная безопасность пользователя меньше, чем максимальная критичность данных. В противном случае, индекс риска равен 0.