Категории мер безопасности
Категории мер безопасности для технических и нетехнических мер могут быть дальше классифицированы как или детектирующие, или упреждающие. Эти две категории можно объяснить следующим образом:
- Упреждающие меры безопасности сдерживают попытки нарушения политики безопасности и включают такие меры безопасности, как принудительный контроль доступа, шифрование и аутентификация.
- Детектирующие меры безопасности сообщают о нарушениях или попытках нарушений политики безопасности и включают такие меры безопасности, как аудит журналов, методы обнаружения вторжений и контрольные суммы.
Техники анализа мер безопасности
В течение этого шага, персонал, выполняющий оценку рисков, определяет, реализуются ли требования безопасности, оговоренные для ИС и собранные в течение Шага 1 (Определения характеристик системы), существующими или планируемыми мерами безопасности. Результат этого процесса – опросный лист требований безопасности. Источники, которые могут быть использованы для создания такого опросного листа, могут включать, но не ограничиваясь, следующими государственными регулирующими документами, директивами безопасности и источниками применимыми к среде функционирования ИС:
В NIST SP 800-26, Руководство по Внутренней Оценке Безопасности для Систем Информационных Технологий, представлен обширный опросный лист, содержащий специфические целевые меры безопасности. Используя этот опросный лист, можно произвести оценку некоторой системы или группы связных систем. Целевые меры этого опросного листа абстрагированы из общих требований, которые можно найти в законах, политиках и руководствах по безопасности.
Результат использования опросных листов может быть использован как входные данные для оценки соответствия или несоответствия системы некоторому уровню безопасности. Этот процесс заключается в определении системных, процессных и процедурных недостатков, которые могут представлять потенциальные уязвимости.
Разработка собственных опросных листов в соответствии с некоторыми требованиями безопасности или же использование доступных опросных листов будет полезным эффективного и систематического анализа мер безопасности. Эти опросные листы для анализа требований безопасности могут быть использованы как для проверки несоответствия уровня безопасности также как и для проверки соответствия. Поэтому важно для того, чтобы гарантировать правильность опросных листов, для отражения в этих опросных листах изменений в среде мер безопасности организации (например, изменения в политиках, мерах и требованиях безопасности) необходимо, чтобы такие опросные листы регулярно обновлялись.
Техники анализа мер безопасности
Результаты Шага 4 – перечень действующих и планируемых мер безопасности, используемых в ИС для снижения вероятности использования уязвимости и снижения влияние подобных неблагоприятных событий.
Определение вероятности
Для получения общего рейтинга вероятностей, которые показывает возможность реализации потенциальной уязвимостью в данной, потенциально опасной, среде, должны рассматриваться следующие факторы:
- Мотивация и возможности источника угрозы,
- Природа уязвимости,
- Наличие и эффективность действующих мер безопасности.
Вероятность, с которой потенциальная уязвимость может быть реализована данным источником угрозы может быть описана как высокая, средняя или низкая. Таблица описывает эти три уровня вероятности.
Таблица Определения вероятности
Уровень вероятности |
Определение вероятности |
Высокий |
Источник угрозы высоко мотивирован и имеет достаточные возможности, и механизмы безопасности не эффективны. |
Средний |
Источник угрозы мотивирован и имеет возможности, но действующие механизмы безопасности могут быть помехой в реализации уязвимости. |
Низкий |
Источник угрозы недостаточно мотивирован или имеет недостаточные возможности, или действующие механизмы безопасности могут предотвратить или значительно снизить возможность реализации уязвимости. |
Результат Шага 5 – рейтинг вероятности (Высокий, Средний, Низкий).
Способы оценки вероятности реализации угрозы:
1. Дерево отказов
2. Модель защитных контуров.
3. Анализ статистики
