Перейти к содержимому. | Перейти к навигации

Персональные инструменты
Вход Регистрация
Вы здесь: Главная ФОРУМ Общие вопросы ИБ Некоторые вопросы по оценке рисков
Protectiva Compliance Manager

Некоторые вопросы по оценке рисков

Операции с документом
Вверх к Общие вопросы ИБ

Некоторые вопросы по оценке рисков

Послано Александр Похилько в 17.Октябрь.2010 10:34

Здравствуйте!
Занимаюсь оценкой рисков для своей дипломной работы. Разбираюсь по книге Александра. Возникли некоторые непонятки с оценкой уязвимостей.
В книге говорится, что группу уязвимостей мы считаем как разность между суммой всех уязвимостей и суммой всех уровней контроля. Но оценивая уязвимость мы уже учитываем метод контроля, а точнее слабость защиты!
К примеру, я получил такие данные:
уязвимость1 - 0.5 контроль1 - 0.9
уязвимость2 - 0.1 контроль2 - 0.1
уязвимость3 - 0.1 контроль3 - 0.1
просуммировали и отняли - получили -0.4...вот непонятно, что означает данный результат и так ли я понял момент оценки уязвимостей? И почему контроль перевесит в том случае если у нас он будет слабым(судя по шкале)?

Ну а после заносим данные в таблицу для групп угроз и групп уязвимостей, ну сразу или в реестр информационных рисков!

Другой момент связан с таблицей оценки величины рисков(стр. 168 в книге) Для среднего уровня угроз у меня только два деления уровня уязвимости. Это ошибка, если нет, то почему такое деление неравномерное? Ведь, у нас три уровня угроз - три уровня уязвимостей!

Некоторые вопросы по оценке рисков

Послано Александр Астахов в 17.Октябрь.2010 20:07
В вашем примере имеем две уязвимости низкого уровня (вероятность реализации угрозы c использованием данных уязвимостей ~0.1) и одну среднего уровня (вероятность ~0.5), а также два механизма контроля высокого уровня (вероятность их обхода ~0.1) и один низкого (вероятность ~0.9).

Если для определения суммарного уровня уязвимости использовать предложенную в книге упрощенную формулу, тогда надо просто сложить уровни всех уязвимостей и вычесть из них уровни всех контролей. Так поступать на практике можно, хотя это сильно упрощенный подход. Однако в этом случае в качестве уровня механизма контроля надо использовать не вероятность его обхода, а ее дополнение до 1, т.е. уровень контроля = 1 - (вероятность обхода этого контроля).

Тогда в вашем случае имеем:
Суммарный уровень всех уязвимостей - суммарный уровень всех контролей = 0.5 + 0.1 + 0.1 - 0.1 - 0.9 - 0.9 = -1.2
Полученная отрицательная величина -1.2 не является каким либо количественным уровнем уязвимости. Она показывает только то, насколько имеющиеся контроли в данном случае перевешивают имеющиеся уязвимости. Итоговая уязвимость является низкой, т.к. имеется существенный перевес на стороне контролей. В случае примерного равенства между уязвимостями и контролями, итоговую уязвимость можно считать средней и т.п.

В таблице 26 (Матрица для определения величины риска) на стр. 128 очевидно ошибка с форматированием таблицы, допущенная издателями при верстке книги.

Некоторые вопросы по оценке рисков

Послано Александр Похилько в 18.Октябрь.2010 09:44
Спасибо Пересчитаю уровни уязвимостей.
А на практике прибегают чаще всего к экспертным оценкам?

Некоторые вопросы по оценке рисков

Послано Александр Астахов в 18.Октябрь.2010 09:51
На практике только экспертные оценки и используются. Тот способ оценки уровня уязвимости, который мы обсуждаем, тоже относится к их числу.

Некоторые вопросы по оценке рисков

Послано Александр Похилько в 19.Октябрь.2010 11:02

Понял. Разбираюсь дальше!
Поправьте, если что-то понял неверно!

После оценки величин групп уязвимостей и групп угроз(занесли их в таблицу) берем, к примеру, таблицу со стр 168(величина рисков) или же строим свою и по ней расчитываем ALE для каждого уровня уязвимости для всех угроз(групп угроз). До этого мы оценили стоимость ресурса по определенной шкале(в книге это 2) и 4 млн рублей(в количественном размере). То бишь есть шкала примерная стоимости ресурса. Далее, к примеру, по стат. данным мы определяли уровень угроз(средний = 2-10 раз в год), а в качестве вероятности успешной реализации угрозы берем то значение, которое занесли в таблицу выше и по формуле считаем ALE для каждой группы угроз и каждого уровня уязвимости из таблицы на стр 168.И тем самым получаем откалиброванную шкалу оценки риска. Организация по этим данным должна принять размер ALE для каждой угрозы или предпринять меры для снижения риска. Примерно так?
Если я все верно понял, далее строим отчет?

Некоторые вопросы по оценке рисков

Послано Александр Астахов в 19.Октябрь.2010 11:36
Примерно так. Только по таблице 26 на стр. 168 мы рассчитываем не ALE, а определяем качественный уровень риска. Процесс сопоставления каждому качественному уровню риска определенного диапазона значений ALE мы называем калибровкой качественной шкалы оценки риска.

Главное, чтобы по итоговому отчету можно было проследить откуда что взялось и на основании каких данных (экспертных суждений) были получены те или иные оценки угроз, уязвимостей и активов.

Некоторые вопросы по оценке рисков

Послано Александр Похилько в 19.Октябрь.2010 11:45

From astahov:
Процесс сопоставления каждому качественному уровню риска определенного диапазона значений ALE мы называем калибровкой качественной шкалы оценки риска.

Количественной все же?
Еще такой момент. Риски оцениваем дважды по-хорошему? До построения защиты и после. Так ведь? И какого плана отчет должен быть?
Спасибо Вам за ответы
Просто хочется научиться хоть чему-то, что связано со спец нашей "Компьютерная Безопасность", ибо по разным причинам пришлось, например, упор делать на программирование под веб!
А риски - довольно интересно и очень важно для организаций, может будет шанс устроиться по специальности все же!

Некоторые вопросы по оценке рисков

Послано Александр Астахов в 19.Октябрь.2010 11:58
From alex_p:

Количественной все же?


Чтобы не путаться с названиями, пускай это будет просто "калибровка шкалы оценки риска".


Еще такой момент. Риски оцениваем дважды по-хорошему? До построения защиты и после. Так ведь? И какого плана отчет должен быть?
Спасибо Вам за ответы


дважды, как минимум
об отчете на стр. 173 говорится

Некоторые вопросы по оценке рисков

Послано Александр Похилько в 19.Октябрь.2010 12:31
Что-то я запутался с калибровкой шкалы. У нас есть 8 уровней, к примеру, есть группы угроз и группы уязвимостей. Мы смотрим по таблице какой величине риска соответствует группы угроз и группы уязвимостей(например, как в книге средний и средний по стоимосте два...получаем уровень 4). Далее, расчетали ALE для данной группы угроз, уязвимостей. Так сделали для всех групп угроз/уязвимостей. Но ниже представлена откалиброванная шкала.
Так вот, та шкала, она расчитана по формуле ALE? Что-то не пойму каким образом получены пределы и низкий уровень! Просто взяли стоимость бизнеса и разбили на 8 уровней? Но расчитанная ALE попала именно в тот уровень, который был получен!

Некоторые вопросы по оценке рисков

Послано Александр Астахов в 19.Октябрь.2010 18:56
Все правильно. При калибровке мы каждому качественному уровню риска, определяемому по таблице оценки риска комбинацией уровня угрозы, уязвимости и ценности актива, сопоставляем определенный диапазон значений ALE. Эти значения ALE мы вычисляем по формуле. Пределы определяются ценностью информационных активов, т.е. максимально возможным ущербом наносимым бизнесу. Поэтому максимальному уровенью риска соответствует значение ALE, сопоставимое со стоимостью бизнеса и выше.

Некоторые вопросы по оценке рисков

Послано Александр Похилько в 20.Октябрь.2010 10:31

Я попробую иначе описать непонимание!
ALE по формуле мы расчитываем для групп идентифицированных угроз и уязимостей, а так же для определенного уровня стоимости ресурса, например, уровень 2 - 4 млн. руб. Например, после получили величины рисков: 2,2,3,4 с разным кол-во ущерба в рублях(по формуле).
Как мы определяем другие уровни диапазона в рублях ALE для калибровки шкалы?
Мы берем 0 уровень стоимости и вычисляем его низкие уязвимости по всем угрозам?
Потом берем след уровень, там где средний уровень риска равен 3,4 и 5? И последний уровень стоимости, где риск самый высокий и считаем для него ALE по высоким уязвимостям?
Если так, то у меня не сошлось значение ALE с уровнем шкалы ALE в рублях для уровня, например 2, вот в чем загвоздка! В остальных уровнях в рублях для ALE.

Некоторые вопросы по оценке рисков

Послано Александр Астахов в 20.Октябрь.2010 11:13
Если не сошлось, тогда подгоняйте, чтобы сходилось. Вы же количественные значения для уровней угроз, уязвимостей и активов сами выбираете. Можно и не подгонять, а просто внести изменения в таблицу 26, по которой определяется качественный уровень риска. В результате у вас уровней риска может стать меньше или больше.

Некоторые вопросы по оценке рисков

Послано Александр Похилько в 20.Октябрь.2010 11:51
Примерно понял, так сразу и думал, что шкалу мы подбираем к полученным уровням и ALE для этих уровней!
Работа посвящена защите персональных данных отдела кадров сотрудников. В качества актива я взял персональные данные, хранящиеся в СУБД и типовую модель угроз ФСТЭК. Я к тому, что на практике нужно составлять реестр активов, но для дипломной работы это ведь не так существенно? Подразумевается ведь только один актив! Но ход рассуждения начинать нужно именно с оценки активов.

Некоторые вопросы по оценке рисков

Послано Александр Похилько в 25.Октябрь.2010 12:36

Привидите, пожалуйста, пример калибровки шкалы со шкалой ценности актива.
А то я перемножил все значения уровней из таблицы величины рисков по формуле и один уровень накладывается на другой. В чем причина может быть? В оценки шкалы ущерба ресурса?

Некоторые вопросы по оценке рисков

Послано Александр Астахов в 25.Октябрь.2010 18:40
Уровни угроз:
t1 (высокий) ~ 100 раз в год (например, попытки НСД к веб-сайту компании)
t2 (средний) ~ 1 раз в год (например, сбой сервера)
t3 (низкий) ~ 0,01 раз в год (например, нападение террористов на ваше офисное здание, ожидается в среднем раз в сто лет)

Уровни уязвимостей:
v1 (высокий) ~ 0,9 (в среднем, 9 из 10 угроз с успехом реализуются)
v2 (средний) ~0,5 (в среднем, половина угроз достигает цели)
v3 (низкий) ~0,1 (в среднем, одна из 10 угроз достигает цели)

Размер ущерба (ценность актива):
s1 (низкий) ~ 10 000 руб.
s2 (средний) ~ 1000 000 руб.
s3 (высокий) ~ 100 000 000 руб.

Тогда по таблице 26 на стр. 168 имеем следующие соотношения между качественными уровнями риска и ожидаемым среднегодовым ущербом (ALE):

r0: ALE = 10 руб.
r1: ALE = 1000 руб.
r2: ALE = 100 000 руб.

и т.д.

Некоторые вопросы по оценке рисков

Послано Александр Похилько в 25.Октябрь.2010 20:43
Спасибо огромное!

А качественная шкала в таблице, может быть например такой:
ур. ущерба 2:низкий уровень угрозы( низкий риск - 2, средний риск - 3, высокий риск - 4)
средний уровень угрозы( низкий риск - 3, средний риск - 4, высокий риск - 5)
высокий уровень угрозы( низкий риск - 4, средний риск - 5, высокий риск - 5)
В денежном эквиваленте ущерб разный, но, например, в последнем случае для высокой угрозы и высокой и средней уязвимости уровни величины риска совпали, ущерб попал в один диапозон то бишь! Это нормально?

Некоторые вопросы по оценке рисков

Послано Александр Астахов в 26.Октябрь.2010 09:34
From alex_p:
В денежном эквиваленте ущерб разный, но, например, в последнем случае для высокой угрозы и высокой и средней уязвимости уровни величины риска совпали, ущерб попал в один диапозон то бишь! Это нормально?


Нормально. Шкалу оценки риска каждая организация для себя сама выбирает.

Некоторые вопросы по оценке рисков

Послано Александр Похилько в 29.Октябрь.2010 10:44
Возник такой вопрос: вероятность реализации угроз меняется при оценках величин рисков до и после провидения защитных мер? или остается постоянной с самого начала? а меняются только уровни уязвимостей!

Некоторые вопросы по оценке рисков

Послано Александр Астахов в 29.Октябрь.2010 11:27
Вероятность угроз после реализации защитных мер может меняться точно также, как и величина уязвимостей.
Например, многие физические угрозы и угрозы со стороны окружающей среды существенно изменяются при переносе производственных площадок в другое место.
Хотя чаще всего контрмеры влияют именно на уязвимости.

Некоторые вопросы по оценке рисков

Послано Александр Похилько в 29.Октябрь.2010 11:33
Непонятен тогда этот момент. Мы оцениваем величину угрозы как кол-во пыток реализации в год. Но, поставили мы на сервер шифрование, защиту от типичных атак, по идеи, кол-во попыток реализации не уменьшится, по крайней мере именно за данный период времени!

Некоторые вопросы по оценке рисков

Послано Александр Астахов в 29.Октябрь.2010 12:36
В случае шифрования можно было бы считать, что вероятность угрозы не изменится, но это не совсем так. Ведь, если известно, что данные зашифрованы, число желающих получить к ним НСД резко сокращается, следовательно вероятность умышленного НСД снижается.

Некоторые вопросы по оценке рисков

Послано Александр Похилько в 29.Октябрь.2010 12:45
Я понял этот момент, но тут опять же, пока это станет известно пройдет время(год например, тогда и уровень вероятности может упасть), а попытки, к примеру, все еще будут в этом году! Если у человека есть желание взломать систему, то для него это будет лишь препятствием в будущем, но попытки предпринимать он будет, а значит и вероятность угрозы останется такой же.
Как-то так вообщем, но если уровни меняются, то буду это учитывать!

Некоторые вопросы по оценке рисков

Послано Здасюк Дмитрий в 19.Январь.2012 15:59
Добрый день! Тоже пишу диплом об анализе и управлении рисками. Можно узнать о какой книге идет речь и как её получить? Очень буду признателен за помощь

Некоторые вопросы по оценке рисков

Послано Александр Астахов в 20.Январь.2012 16:29

Некоторые вопросы по оценке рисков

Послано Здасюк Дмитрий в 30.Январь.2012 03:14
Спасибо большое!!!

Некоторые вопросы по оценке рисков

Послано Nika Aleinikova в 16.Февраль.2012 11:07
кто-нибудь сталкивался с программами по управлению рисков? или стоит рассчитывать самой? Опять-таки, писать для этого похожее средство управления? и стоимость их интересует. Я посмотрела обзоры в книге, они достаточно подробные, и мне кажется они нам не очень подойдут

Некоторые вопросы по оценке рисков

Послано Александр Астахов в 17.Февраль.2012 19:45
в этом деле вполне можно обойтись без программ. если процесс управления рисками у вас еще не поставлен, то программы вам все-равно не помогут это сделать.
Быстрый ответ
Адреса автоматически превратятся в ссылки. Основные тэги HTML в порядке
Разработано Ploneboard
Как стать участником |  Что может участник  |  Как работать с порталом  |  Реклама |  Авторские права  |  Контакты  |  Конкурсы  |  RSS  |  Форум
©2003 - 2020 GlobalTrust
Рейтинг@Mail.ru Rambler's Top100 Yandex