Особенности установки цен на информационные услуги

Правда необходимо отметить, что до сих пор однозначно не решены вопросы: что собственно называть приложением для Интернета; сколько должно стоить приложение, которое не принадлежит пользователю.

Риск информационной безопасности

1. Понятие угрозы, уязвимости, риска, определение эффективности сзи через риск

2. Этапы управления рисками информационной безопасности

3. Оценка рисков иб

4. Техники сбора информации о системе

5. Обзор документов

6. Определение уязвимостей

7. Источники уязвимостей

8. Тестирование безопасности ис

9. Идентификация угроз

10. Меры безопасности

11. Категории мер безопасности

12. Техники анализа мер безопасности

13. Определение вероятности

14. Анализ влияния

15. Виды ущерба активам

16. Ущерб на уровне организации и владельцев ир

17. Положение об определении требований по категорированию ресурсов ас

18. Определение уровня риска

19. Матрица уровня риска

20. Описание уровня риска

21. Выработка рекомендаций

22. Документирование результатов

23. Управление рисками иб

24. Страхование информационных рисков

25. Стоимость страхования

26. Принятие решения об ограничении распространения информации

риск информационной безопасности

1. Понятие угрозы, уязвимости, риска, определение эффективности сзи через риск

Понятие угрозы, уязвимости, риска, определение эффективности сзи через риск

Актив (Ресурс).В широком смысле, под этим термином понимают все, что представляет ценность с точки зрения организации и является объектом защиты. В прикладных методиках аудита и управления рисками обычно рассматриваются следующие классы активов:

1.           оборудование (физические ресурсы), в том числе носители информации.

2.           информационные ресурсы (базы данных, файлы, все виды документации, формы прикладной системы);

3.           функциональные задачи (сервисы), реализуемые КИС;

4.           сотрудники компании, получающие доступ к информационным ресурсам (пользовательские роли).

Под угрозой информационной безопасности (Threat) будем понимать потенциальную возможность злоумышленника совершить воздействия естественного либо искусственного характера, чреватых нанесением ущерба владельцам или пользователям информации и поддерживающей инфраструктуры. (Например, угроза прослушивания канала связи).

Задачей систем защиты информации (СЗИ) является реализация контрмер, направленных на нейтрализацию угроз, либо потерь, связанных с их реализацией.

Уязвимость (Vulnerability) — слабость в системе защиты, которая делает возможной реализацию определенной угрозы (Например, учетные записи сотрудников КИС удаляются спустя неделю после их увольнения).

Стандартных слов о том, что критичная для бизнеса информация должна быть доступной, целостной и конфиденциальной, явно недостаточно для бизнес-структур, поскольку информация – понятие достаточно абстрактное, угрозы ее безопасности носят вероятностный характер (может случиться, а может и нет), потери от реализации угроз могут быть различными.

Автоматизированная система (АС) может иметь достаточно большое количество угроз информационной безопасности и связанных с ними уязвимостей. С помощью таких каталогов, как BSI ITPM (600 угроз) и сканеров безопасности (1800 уязвимостей) их можно только идентифицировать. После этого, у специалиста по ЗИ возникает второй вопрос – стоит ли их все закрывать? Наверное нет!!! Закрытие всех этих угроз и уязвимостей приведет к трате большого количества временных и денежных ресурсов, в этом случае овчинка просто не будет стоить выделки. Возникает ответный вопрос – если все множество угроз и уязвимостей закрывать не следует, то какое подмножество следует закрывать и в какой последовательности? Этот вопрос требует ответа.

Понятие угрозы, уязвимости, риска, определение эффективности сзи через риск

С точки зрения собственника информации и поддерживающей ее инфраструктуры существование некой угрозы или уязвимости может быть не очень критично для него. Вероятность реализации этой угрозы либо использования уязвимости может быть настолько мала, что на факт ее существования можно просто закрыть глаза (например, утечка информации через ПЭМИН для домашнего компьютера). С другой стороны, вероятность реализации угрозы может быть достаточно велика, но стоимость потерь при реализации – столь мала, что нейтрализация данной угрозы потребует большие финансовые затраты, чем возможные потери при реализации.

С точки зрения собственника информации, основными показателями, связанными с угрозами ИБ и влияющими на степень их опасности для АС, является вероятность их реализации, а также возможный ущерб владельцам или пользователям информации. Комплексный показатель, объединяющий эти два показателя – риск информационной безопасности.

Под риском информационной безопасности будем понимать возможные потери собственника или пользователя информации и поддерживающей инфраструктуры связанные с реализацией некоторой угрозы.

NIST SP 800-30. Риск (R) – функция вероятности (P) реализации отдельным источником угрозы (T) отдельной потенциальной уязвимости (V) и результирующего влияния (I) этого враждебного события на организацию или индивида.

;

Согласно принципу разумной достаточности, риски в АС присутствуют всегда, их можно только понижать, не устраняя в принципе (даже ГОСТ можно взломать полным перебором, DES в США как раз и заменили на AES в связи с тем, что риски при его использовании стали очень велики).

Понятие угрозы, уязвимости, риска, определение эффективности сзи через риск

Некоторые из возможных потерь для собственника информации являются приемлемыми, другие нет, поэтому для специалиста по ИБ очень важно выделить множество неприемлемых рисков. Кроме этого, для эффективности управления ИБ, важно знать, какие риски необходимо понижать в первую очередь. Вообще говоря, для специалиста по ЗИ очень актуально решение следующей задачи:

ПОСТАНОВКА ЗАДАЧИ (*)

Задано множество рисков ИБ  для АС, выделенных на этапе идентификации рисков. Необходимо выделить подмножество  неприемлемых рисков, а также задать на множестве  отношение порядка , по отношении к величине рисков.

С точки зрения понятия риска ИБ, можно достаточно прозрачно определить такие понятия, как эффективность СЗИ и эффективность контрмеры. Можно сравнивать возможные варианты реализации СЗИ по своей эффективности. Можно определить такие экономические показатели, как коэффициент возврата инвестиций в ИБ (ROI).

Эффективность СЗИ (без учета затратной составляющей) логично определить через уровень остаточных рисков АС. Чем меньше уровень остаточных рисков, тем эффективнее работа СЗИ. То есть если риск при использовании СЗИ1 равен R1, а при введении СЗИ2 равен R2, то СЗИ1 эффективнее СЗИ2, если R1<R2

Эффективность контрмеры (без учета затратной составляющей) логично определить через достигнутый путем ее реализации уровень снижения  остаточных рисков.

Понятие угрозы, уязвимости, риска, определение эффективности сзи через риск

где  - величина остаточных рисков до реализации контрмеры,  - величина остаточных рисков после реализации контрмеры. То есть если уровень снижения риска при внедрении контрмеры С1 равен DR1, а при внедрении С2 равен DR2, то С1 эффективнее С2, если DR1>DR2

Эффективность контрмеры с учетом затратной составляющей можно определить через коэффициент возврата инвестиций ROI.

где СКонтрмеры – величина затрат на реализацию контрмеры. Большему ROI соответствуют более эффективные контрмеры.

Более правильно -

Введение меры риска позволяет также ставить перед специалистами по ИБ различные оптимизационные задачи, разрабатывать соответствующие им стратегии управления рисками. Например:

-             выбрать вариант подсистемы информационной безопасности, оптимизированной по критерию «стоимость-эффективность» при заданном уровне остаточных рисков;

-             выбрать вариант подсистемы информационной безопасности, при котором минимизируются остаточные риски при фиксированной стоимости подсистемы безопасности;

-             выбрать архитектуру подсистемы ИБ с минимальной стоимостью владения на протяжении жизненного цикла при установленном уровне остаточных рисков.