Комплексні системи захисту інформації. Проектування, впровадження, супровід. Вадим Гребенніков
Читать онлайн книгу.вразливостей;
– списки вразливостей, що друкуються виробниками ПЗ;
– результати тестів на проникнення (проводяться адміністратором безпеки);
– аналіз звітів сканерів вразливостей (проводяться адміністратором безпеки).
У загальному випадку вразливості можна класифікувати таким чином:
– вразливості ОС і ПЗ (програмні помилки), виявлені виробником або незалежними експертами;
– вразливості системи, пов'язані з помилками в адмініструванні (наприклад, незакриті міжмережевим екраном порти з уразливими сервісами, загальнодоступні незаблоковані мережеві ресурси тощо);
– вразливості, джерелами яких можуть стати інциденти, не передбачені політикою безпеки, а також події стихійного характеру.
Як приклад поширеної вразливості ОС і ПЗ можна привести переповнювання буфера. До речі, абсолютну більшість з нині існуючих шкідливих програм реалізують клас вразливостей на переповнювання буфера.
Ідентифікація наслідків реалізації загроз
Мають бути ідентифіковані усі можливі наслідки реалізації загроз. Наслідком може бути втрата інформації, ресурсів ІТС, несприятливі операційні умови, втрата бізнесу, збиток, нанесений репутації тощо. Наслідки можуть бути тимчасовими або постійними, як у разі руйнування активів.
Вимірювання ризиків
Вимірювання ризиків складається з таких заходів:
– розробка методології вимірювання;
– оцінка наслідків реалізації загроз;
– оцінка вірогідності ризиків;
– вимір рівня ризиків.
Розробка методології вимірювання
Методологія вимірювання ризиків може бути якісною або кількісною, або їх комбінацією, залежно від обставин. На практиці якісна оцінка часто використовується першою для отримання загальних відомостей про рівень ризиків і виявлення їх основних значень. Надалі може виникнути необхідність в здійсненні кількісного аналізу значень ризиків, оскільки він є швидшим і менш витратним.
Якісна оцінка – використовує шкалу кваліфікації атрибутів для опису величини можливих наслідків (наприклад, низький, середній і високий) і вірогідності виникнення цих наслідків. Перевага якісної оцінки полягає в простоті її розуміння усім персоналом, а недоліком є залежність від суб'єктивного підходу.
Кількісна оцінка – використовує шкалу з числовими значеннями наслідків і вірогідностей з урахуванням отримання даних з різних джерел. Якість аналізу залежить від точності та повноти числових значень і обгрунтованості використовуваних моделей. У більшості випадків кількісна оцінка використовує фактичні дані за минулий період, забезпечуючи перевагу в тому, що вона може бути безпосередньо пов'язана з цілями захисту інформації і проблемами організації.
При розробці методології виміру ризику використовуються методи системного аналізу, в результаті виходять оцінки гранично допустимого та реального ризику здійснення