İnformasiya sistemlərində risklərin təhlili və idarə edilməsi üsulları və alətləri. Riskin qiymətləndirilməsi proqramı İnformasiya axını modeli

"INTUIT" Milli Açıq Universiteti: www.intuit.ru Sergey Nesterov Mühazirə 4. Risklərin qiymətləndirilməsi üçün metodlar və proqram məhsulları

Aşağıda bir sıra ümumi risk təhlili üsullarının qısa təsvirləri verilmişdir. Onları bölmək olar:

riskin qiymətləndirilməsini keyfiyyət səviyyəsində istifadə edən üsullar (məsələn, “yüksək”, “orta”, “aşağı” miqyasında). Belə üsullara, xüsusən də FRAP;

kəmiyyət üsulları (risk ədədi dəyər vasitəsilə qiymətləndirilir, məsələn, gözlənilən illik itkilərin ölçüsü). RiskWatch metodologiyası bu sinfə aiddir;

qarışıq qiymətləndirmələrdən istifadə edən üsullar (bu yanaşma CRAMM-də istifadə olunur

Microsoft və s.).

CRAMM texnikası

Bu, 80-ci illərin ortalarında informasiya təhlükəsizliyi sahəsində risk analizinin ilk üsullarından biridir; Böyük Britaniya Kompüter və Telekommunikasiya Agentliyi (CCTA).

CRAMM metodu kəmiyyət və keyfiyyət təhlili üsullarını birləşdirərək risklərin qiymətləndirilməsinə inteqrasiya olunmuş yanaşmaya əsaslanır. Metod universaldır və həm böyük, həm də kiçik təşkilatlar, həm dövlət, həm də kommersiya sektorları üçün uyğundur. Müxtəlif tipli təşkilatlara yönəlmiş CRAMM proqram təminatının versiyaları bir-birindən bilik bazalarına (profillərinə) görə fərqlənir. Kommersiya təşkilatları üçün Kommersiya Profili, dövlət təşkilatları üçün Hökumət profili var. Profilin dövlət versiyası həmçinin Amerika ITSEC standartının (“Narıncı kitab”) tələblərinə uyğunluğunu yoxlamağa imkan verir.

CRAMM-dən istifadə etməklə informasiya təhlükəsizliyi sisteminin tədqiqi üç mərhələdə aparılır.

Birinci mərhələdə sistem resurslarının dəyərinin müəyyən edilməsi və müəyyən edilməsi ilə bağlı hər şey təhlil edilir. O, tədqiq olunan sistemin sərhədlərinin müəyyən edilməsi probleminin həllindən başlayır: sistemin konfiqurasiyası və fiziki və proqram təminatı resurslarına kimin cavabdeh olduğu, sistemin istifadəçiləri arasında kimlərin olduğu, ondan necə istifadə etdikləri və ya istifadə edəcək.

Resursların müəyyənləşdirilməsi həyata keçirilir: fiziki, proqram təminatı və sistemin hüdudlarında olan məlumatlar. Hər bir resurs əvvəlcədən təyin edilmiş siniflərdən birinə təyin edilməlidir. Sonra informasiya təhlükəsizliyi perspektivindən informasiya sisteminin modeli qurulur. İstifadəçinin fikrincə, müstəqil məna daşıyan və istifadəçi xidməti adlanan hər bir informasiya prosesi üçün istifadə olunan resursların əlaqələr ağacı qurulur. Qurulmuş model kritik elementləri müəyyən etməyə imkan verir.

CRAMM-də fiziki resursların dəyəri onların məhv edildiyi halda bərpasının dəyəri ilə müəyyən edilir.

Verilənlərin və proqram təminatının dəyəri aşağıdakı hallarda müəyyən edilir: resursun müəyyən müddət ərzində əlçatmazlığı;

resursun məhv edilməsi, sonuncu ehtiyat nüsxədən sonra əldə edilən məlumatın itirilməsi və ya onun tam məhv edilməsi;

heyət üzvləri və ya icazəsiz şəxslər tərəfindən icazəsiz daxil olma hallarında məxfiliyin pozulması;

modifikasiya kiçik kadr səhvləri (giriş səhvləri), proqram təminatı səhvləri, qəsdən səhvlər halları üçün nəzərdə tutulur;

məlumatın ötürülməsi ilə bağlı səhvlər: çatdırılmadan imtina, məlumatın çatdırılmaması, yanlış ünvana çatdırılma.

qüvvədə olan qanunvericiliyin pozulması;

fiziki şəxslərin şəxsi məlumatlarının açıqlanması ilə bağlı zərər;

məlumatların açıqlanmasından yaranan maliyyə itkiləri, resursların bərpası ilə bağlı maliyyə itkiləri;

öhdəliklərin yerinə yetirilməməsi ilə bağlı itkilər;

Məlumat və proqram təminatı üçün müəyyən İS-ə aid olan meyarlar seçilir və zərər 1-dən 10-a qədər olan miqyasda qiymətləndirilir.

CRAMM təsvirlərində, nümunə olaraq, "Resursların bərpası ilə bağlı maliyyə itkiləri" meyarı üçün aşağıdakı reytinq şkalası verilmişdir:

1000 dollardan az 2 bal;

1000 dollardan 10 000 dollara qədər 6 bal;

10,000 ABŞ dollarından 100,000 dollara qədər 8 bal;

İstifadə olunmuş bütün meyarlar (3 bal və aşağı) üzrə bal aşağı olarsa, hesab edilir ki, sözügedən sistem əsas qorunma səviyyəsini tələb edir (bu səviyyə informasiya təhlükəsizliyi təhdidlərinin ətraflı qiymətləndirilməsini tələb etmir) və ikinci mərhələ təhsil atlanır.

İkinci mərhələdə resurslar qrupları və onların zəiflikləri üçün təhlükə səviyyələrinin müəyyən edilməsi və qiymətləndirilməsi ilə bağlı hər şey nəzərdən keçirilir. Mərhələnin sonunda müştəri öz sistemi üçün müəyyən edilmiş və qiymətləndirilmiş risk səviyyələrini alır. Bu mərhələdə istifadəçi xidmətlərinin müəyyən resurslar qruplarından asılılığı və mövcud təhlükə və zəiflik səviyyəsi qiymətləndirilir, risk səviyyələri hesablanır və nəticələr təhlil edilir.

Resurslar təhlükə və zəiflik növlərinə görə qruplaşdırılır. Məsələn, yanğın və ya oğurluq təhlükəsi varsa, bir yerdə yerləşən bütün resursları (server otağı, rabitə otağı və s.) bir qrup resurslar kimi nəzərdən keçirmək məqsədəuyğundur. Təhdidlərin və zəifliklərin səviyyələri dolayı amillərin öyrənilməsi əsasında qiymətləndirilir.

CRAMM proqramı hər bir resurs qrupu və 36 təhlükə növünün hər biri üçün açıq sualların siyahısını yaradır. Təhlükə səviyyəsi cavablardan asılı olaraq çox yüksək, yüksək, orta, aşağı və çox aşağı kimi qiymətləndirilir. Zəiflik səviyyəsi cavablardan asılı olaraq yüksək, orta və aşağı kimi qiymətləndirilir.

Bu məlumat əsasında risk səviyyələri 1-dən 7-yə qədər dərəcələrlə diskret miqyasda hesablanır. Nəticədə yaranan təhlükə, zəiflik və risk səviyyələri təhlil edilir və müştəri ilə razılaşdırılır.

CRAMM təhlükələri və zəiflikləri risk matrisində birləşdirir. Bu matrisin necə əldə edildiyinə və risk səviyyələrinin hər birinin nə demək olduğuna baxaq.

Bu problemin həllinə əsas yanaşma aşağıdakıları nəzərə almaqdır: təhlükə səviyyəsi (miqyas cədvəl 4.1-də verilmişdir);

zəiflik səviyyəsi (cədvəl 4.2-də göstərilən miqyas);

gözlənilən maliyyə itkilərinin ölçüsü (şək. 4.1-də misal).

Cədvəl 4.1. Təhdid səviyyələrinin qiymətləndirilməsi üçün miqyas (baş vermə tezliyi).

Hadisə baş verdikdə, hadisələrin baş vermə ehtimalı azdır

Qorunan ƏM-in resurslarının dəyərinin təxminlərinə, təhdidlərin və zəifliklərin qiymətləndirilməsinə əsasən “gözlənilən illik itkilər” müəyyən edilir. Şəkildə. 4.1 gözlənilən itkilərin qiymətləndirilməsi üçün matris nümunəsini göstərir. Orada, soldakı ikinci sütunda resursun dəyəri, cədvəl başlığının yuxarı cərgəsi il ərzində təhlükənin baş vermə tezliyinin təxmini (təhlükə səviyyəsi) və başlığın alt sətirində təhlükənin həyata keçirilməsində uğur ehtimalının qiymətləndirilməsi (zəiflik səviyyəsi).

düyü. 4.1. Gözlənilən illik itkilərin matrisi

Gözlənilən illik itkilərin dəyərləri (İngiliscə İllik Gözləmə İtkisi) CRAMM-də Şəkil 1-də təqdim olunan şkala uyğun olaraq risk səviyyəsini göstərən nöqtələrə çevrilir. 4.2 (bu nümunədə itkilərin məbləği funt sterlinqlə verilmişdir).

düyü. 4.2. Risk səviyyəsinin qiymətləndirilməsi şkalası

Aşağıdakı matrisə uyğun olaraq riskin qiymətləndirilməsi çıxarılır (Şəkil 4.3).

düyü. 4.3. Riskin Qiymətləndirilməsi Matrisi

Tədqiqatın üçüncü mərhələsi adekvat əks tədbirlər tapmaqdır. Əsasən, bu, müştərinin tələblərinə ən yaxşı cavab verən təhlükəsizlik sistemi variantının axtarışıdır.

Bu mərhələdə CRAMM müəyyən edilmiş risklərə və onların səviyyələrinə adekvat olan əks tədbirlər üçün bir neçə variant yaradır. Qarşı tədbirləri üç kateqoriyaya bölmək olar: 300-ə yaxın ümumi tövsiyyə 1000-dən çox konkret tövsiyyə;

Beləliklə, CRAMM ilkin qiymətləndirmələrin keyfiyyət səviyyəsində verildiyi, sonra isə kəmiyyət qiymətləndirməsinə (ballarla) keçidin həyata keçirildiyi hesablama metodologiyasına nümunədir.

FRAP texnikası

Peltier və Associates tərəfindən təklif olunan Asanlaşdırılmış Risk Təhlili Prosesi (FRAP) metodologiyası (veb saytı) http://www.peltierassociates.com/) Thomas R. Peltier tərəfindən hazırlanmış və

nəşr olunub (bu kitabın fraqmentləri internet saytında mövcuddur, aşağıdakı təsvir onlara əsaslanır). Metodologiyada İS təminatının risklərin idarə edilməsi prosesi çərçivəsində nəzərdən keçirilməsi təklif olunur. İnformasiya təhlükəsizliyi sahəsində risklərin idarə edilməsi şirkətlərə təhlükəsizlik tədbirlərinə pul və səy sərf etməsi və nəticədə əldə olunan təsir arasında balans tapmağa imkan verən bir prosesdir.

Riskin idarə edilməsi risklərin qiymətləndirilməsi ilə başlamalıdır: düzgün sənədləşdirilmiş qiymətləndirmə nəticələri sistemin təhlükəsizliyini yaxşılaşdırmaq üçün qərarların qəbulu üçün əsas təşkil edəcəkdir.

Qiymətləndirmə başa çatdıqdan sonra, riski məqbul səviyyəyə endirmək üçün lazım olan qoruyucu tədbirləri müəyyən etməyə imkan verən xərc/fayda təhlili aparılır.

Aşağıda risklərin qiymətləndirilməsində əsas addımlar verilmişdir. Bu siyahı əsasən digər metodlardan oxşar siyahını təkrarlayır, lakin FRAP sistem və onun zəiflikləri haqqında məlumatların necə əldə ediləcəyini daha ətraflı şəkildə ortaya qoyur.

1. Qorunan aktivlərin müəyyən edilməsi sorğu vərəqələri, sistem sənədlərinin öyrənilməsi və avtomatlaşdırılmış şəbəkə təhlili (skan) alətlərindən istifadə etməklə həyata keçirilir.

2. Təhlükənin identifikasiyası. Təhdidlərin siyahısını tərtib edərkən müxtəlif yanaşmalardan istifadə edilə bilər:

Mütəxəssislər tərəfindən əvvəlcədən hazırlanmış, müəyyən sistem üçün uyğun olanların seçildiyi təhdidlərin (yoxlama siyahıları) siyahıları;

bu İS-də və buna bənzər hadisələrin statistikasının təhlili, onların baş vermə tezliyi bir sıra təhlükələr üzrə qiymətləndirilir, məsələn, yanğın təhlükəsi ilə bağlı bu cür statistika müvafiq dövlət təşkilatlarından əldə edilə bilər;

şirkət əməkdaşları tərəfindən aparılan "beyin fırtınası".

3. Təhdidlərin siyahısı tamamlandıqdan sonra onların hər biri baş vermə ehtimalı ilə müqayisə edilir. Sonra bu təhlükənin vura biləcəyi zərər qiymətləndirilir. Əldə edilmiş dəyərlər əsasında təhlükə səviyyəsi qiymətləndirilir.

Təhlil apararkən adətən ilkin mərhələdə sistemdə təhlükəsizlik vasitələri və mexanizmlərinin olmadığı güman edilir. Bu yolla qorunmayan məlumat üçün risk səviyyəsi qiymətləndirilir ki, bu da sonradan informasiya təhlükəsizliyi alətlərinin (İŞİD) tətbiqinin təsirini göstərməyə imkan verir.

Təhlükə ehtimalı və ondan dəyən zərərin qiymətləndirilməsi aşağıdakı miqyaslarda aparılır.

Ehtimal:

Yüksək (Yüksək Ehtimal) təhlükənin növbəti il ​​ərzində reallaşacağı ehtimalı çox yüksəkdir;

Orta Ehtimal - təhlükənin növbəti il ​​ərzində reallaşması ehtimalı azdır.

Zərər (təsir) aktivə dəymiş itki və ya zərərin miqdarının ölçüsüdür:

Yüksək (Yüksək Təsir): biznesə əhəmiyyətli zərər, imic itkisi və ya əhəmiyyətli mənfəətin itirilməsinə səbəb olan kritik biznes bölmələrinin bağlanması;

Orta Təsir: Bir biznes vahidində məhdud maliyyə itkisi ilə nəticələnən kritik proseslərin və ya sistemlərin qısamüddətli kəsilməsi;

Aşağı təsir: əhəmiyyətli maliyyə itkisinə səbəb olmayan iş kəsilməsi.

Qiymətləndirmə Şəkildə göstərilən risk matrisi ilə müəyyən edilmiş qaydaya uyğun olaraq müəyyən edilir. 4.4. Nəticədə risk səviyyəsinin qiymətləndirilməsi aşağıdakı kimi şərh edilə bilər:

A səviyyəsi risklə bağlı tədbirlər (məsələn, informasiya mühafizə sistemlərinin tətbiqi) dərhal və mütləq yerinə yetirilməlidir;

B səviyyəli risklə bağlı tədbirlər görülməlidir;

C səviyyəsi vəziyyətin monitorinqini tələb edir (lakin təhlükənin qarşısını almaq üçün birbaşa tədbirlər görməyə ehtiyac olmaya bilər);

Səviyyə D Hazırda heç bir hərəkət tələb olunmur.

düyü. 4.4. FRAP Risk Matrisi

4. Təhdidlər müəyyən edildikdən və risk qiymətləndirildikdən sonra riski aradan qaldırmaq və ya onu məqbul səviyyəyə endirmək üçün əks tədbirlər müəyyən edilməlidir. Bu zaman onu qeyri-mümkün edən və ya əksinə, müəyyən mühafizə vasitələri və mexanizmlərindən istifadəni məcbur edən hüquqi məhdudiyyətlər nəzərə alınmalıdır. Gözlənilən effekti müəyyən etmək üçün eyni riski qiymətləndirmək mümkündür, lakin təklif olunan məlumatların mühafizəsi sisteminin tətbiqi şərtilə. Risk kifayət qədər azalmazsa, başqa qoruyucu vasitədən istifadə etmək lazım gələ bilər. Mühafizə vasitələrinin müəyyən edilməsi ilə yanaşı, onun əldə edilməsi və həyata keçirilməsinin hansı xərclərə səbəb olacağını müəyyən etmək lazımdır (xərclər həm birbaşa, həm də dolayı ola bilər, aşağıya baxın). Bundan əlavə, bu alətin özünün təhlükəsiz olub-olmadığını və sistemdə yeni boşluqlar yaradıb-yaratmadığını qiymətləndirmək lazımdır.

Effektiv mühafizə vasitələrindən istifadə etmək üçün məsrəflərlə nəticə arasındakı əlaqəni təhlil etmək lazımdır. Bu halda, yalnız həllin satın alınması xərclərini deyil, həm də onun fəaliyyətinin saxlanması xərclərini qiymətləndirmək lazımdır. Xərclərə aşağıdakılar daxil ola bilər:

əlavə proqram təminatı və avadanlıqlar daxil olmaqla layihənin həyata keçirilməsinin dəyəri;

əsas vəzifələrin yerinə yetirilməsi zamanı sistemin səmərəliliyinin azaldılması;

5. Sənədlər. Riskin qiymətləndirilməsi başa çatdıqdan sonra onun nəticələri standartlaşdırılmış formatda ətraflı şəkildə sənədləşdirilməlidir. Əldə edilən hesabat siyasətləri, prosedurları, təhlükəsizlik büdcələrini və s. müəyyən etmək üçün istifadə edilə bilər.

OCTAVE metodu

OCTAVE (Əməliyyat baxımından Kritik Təhlükə, Aktiv və Zəifliyin Qiymətləndirilməsi) davranış qiymətləndirməsi metodologiyası

Karnegi Mellon Universitetində Proqram Mühəndisliyi İnstitutu (SEI) tərəfindən hazırlanmış təşkilatdakı risklər. Metodologiyanın tam təsviri İnternetdə http://www.cert.org/octave ünvanında mövcuddur. Bir çox elmi-texniki məqalələr də ona həsr olunub.

Bu texnikanın özəlliyi ondan ibarətdir ki, bütün təhlil prosesi kənar məsləhətçilərin iştirakı olmadan təşkilatın işçiləri tərəfindən həyata keçirilir. Bunun üçün həm texniki mütəxəssislərin, həm də müxtəlif səviyyəli menecerlərin daxil olduğu qarışıq qrup yaradılır ki, bu da mümkün təhlükəsizlik insidentlərinin biznes nəticələrini hərtərəfli qiymətləndirməyə və əks tədbirlərin hazırlanmasına imkan verir.

OCTAVE analizin üç mərhələsini əhatə edir:

1. aktivlə əlaqəli təhlükə profilinin inkişafı;

2. infrastruktur zəifliklərinin müəyyən edilməsi;

3. təhlükəsizlik strategiyasının və planlarının hazırlanması.

Təhlükə profilinə aktivin (aktivin), aktivə giriş növü (giriş), təhlükə mənbəyi (aktor), pozuntu növü və ya motiv (motiv), nəticə (nəticə) və təhlükənin təsvirinə keçidlər daxildir. ictimai qovluqlarda. Mənbə növünə görə OCTAVE-də təhlükələr aşağıdakılara bölünür:

1. məlumat şəbəkəsi vasitəsilə fəaliyyət göstərən insan müdaxiləsindən yaranan təhdidlər;

2. fiziki girişdən istifadə edən bir insan tərəfindən törədilən təhlükələr;

3. sistem uğursuzluqları ilə əlaqəli təhlükələr;

4. başqaları.

Nəticə informasiya resursunun açıqlanması, dəyişdirilməsi, itirilməsi/dağıdılması və ya əlaqənin kəsilməsi ola bilər. Xidmətin rədd edilməsi

OCTAVE metodologiyası profili təsvir edərkən "seçim ağaclarından" istifadə etməyi təklif edir, 1-ci sinif təhlükələri üçün belə bir ağac nümunəsi Şəkil 1-də göstərilmişdir. 4.5. Təhdid profili yaratarkən, çoxlu texniki detallardan qaçınmaq tövsiyə olunur, bu, tədqiqatın ikinci mərhələsinin vəzifəsidir; Birinci mərhələnin əsas vəzifəsi təhlükə və resursun birləşməsini standartlaşdırılmış şəkildə təsvir etməkdir.

Tutaq ki, müəssisədə kadrlar şöbəsinin (HR Database) informasiya resursu (aktivi) bazası (VB) mövcuddur. Müəssisənin işçisi tərəfindən məlumat oğurluğu təhlükəsinə uyğun profil cədvəl 4.3-də təqdim olunur.

Cədvəl 4.3. Təhdid profilinin nümunəsi.

təsviri böyüt düyü. 4.5. Profili təsvir etmək üçün istifadə edilən seçimlər ağacı

İnfrastruktur zəifliklərinin müəyyən edilməsi metodologiyasına uyğun olaraq sistem tədqiqatının ikinci mərhələsi. Bu mərhələdə əvvəllər ayrılmış aktivin mövcudluğunu dəstəkləyən infrastruktur müəyyən edilir (məsələn, əgər bu kadrlar şöbəsinin məlumat bazasıdırsa, onda onunla işləmək üçün bizə verilənlər bazasının yerləşdiyi server, HR-nin iş stansiyası lazımdır. şöbə işçisi və s.) və ona daxil olmaq imkanı verə bilən mühit (məsələn, müvafiq lokal şəbəkə seqmenti). Aşağıdakı siniflərin komponentləri hesab olunur: "ev" istifadəçilərinin fərdi kompüterləri, lakin təşkilatın şəbəkəsinə girişi olan serverlər;

Hər bir şəbəkə seqmenti üzrə təhlil aparan komanda onun hansı komponentlərinin zəifliklərə görə yoxlanıldığını qeyd edir. Zəifliklər əməliyyat sistemi səviyyəli təhlükəsizlik skanerləri, şəbəkə təhlükəsizliyi skanerləri, xüsusi skanerlər (xüsusi veb-serverlər, DBMS-lər və s. üçün), boşluqların yoxlanılması siyahıları və test skriptlərindən istifadə etməklə yoxlanılır.

Hər bir komponent üçün müəyyən edilir:

dərhal aradan qaldırılmalı olan zəifliklərin siyahısı (yüksək zəifliklər);

yaxın gələcəkdə aradan qaldırılmalı olan zəifliklərin siyahısı (orta səviyyəli zəifliklər);

təcili tədbirlərin görülməsi tələb olunmayan zəifliklərin siyahısı (aşağı həssaslıq zəiflikləri).

Mərhələnin nəticələrinə əsasən hansı zəifliklərin aşkar edildiyi, onların əvvəllər ayrılmış aktivlərə hansı təsir göstərə biləcəyi və zəifliklərin aradan qaldırılması üçün hansı tədbirlərin görülməsi lazım olduğu barədə hesabat hazırlanır.

Təhlükəsizlik strategiyasının və planlarının hazırlanması sistem tədqiqatının üçüncü mərhələsidir. Bu, əvvəlki iki mərhələdən hesabatlar əsasında həyata keçirilən risklərin qiymətləndirilməsi ilə başlayır. OCTAVE-də riski qiymətləndirərkən ehtimalın qiymətləndirilməsi olmadan yalnız gözlənilən zərərin qiymətləndirilməsi verilir. Ölçək: yüksək, orta, aşağı. Maddi ziyan, şirkətin reputasiyasına, həyatına və

müştərilərin və işçilərin sağlamlığı, hadisə nəticəsində təqiblə nəticələnə biləcək zərər. Şkalanın hər bir dərəcəsinə uyğun olan dəyərlər təsvir edilmişdir (məsələn, kiçik bir müəssisə üçün 10.000 ABŞ dolları maliyyə itkisi yüksəkdir, daha böyük müəssisə üçün ortadır).

ortamüddətli dövr üçün;

yaxın gələcək üçün vəzifələrin siyahıları.

Təhdidlərə qarşı mübarizə tədbirlərini müəyyən etmək üçün metodologiya alətlərin kataloqlarını təklif edir.

Bir daha vurğulamaq istərdim ki, digər üsullardan fərqli olaraq, OCTAVE IS təhlükəsizliyi tədqiqatı üçün üçüncü tərəf ekspertlərinin cəlb edilməsini nəzərdə tutmur və OCTAVE-da bütün sənədlər ictimaiyyətə açıq və pulsuzdur, bu da metodu xüsusi olaraq, mühafizəsi olan müəssisələr üçün cəlbedici edir. informasiya təhlükəsizliyi məqsədləri üçün ayrılan ciddi məhdud büdcə.

RiskWatch metodologiyası

RiskWatch özünün risk analizi metodologiyasını və bu və ya digər dərəcədə həyata keçirildiyi proqram alətləri ailəsini işləyib hazırlayıb.

RiskWatch ailəsinə müxtəlif növ təhlükəsizlik yoxlamalarının aparılması üçün proqram məhsulları daxildir:

IP-nin fiziki mühafizəsini təhlil etmək üçün Fiziki Təhlükəsizlik üçün RiskWatch;

İnformasiya riskləri üçün İnformasiya Sistemləri üçün RiskWatch;

HIPAAWATCH for Healthcare Industry, əsasən ABŞ-da fəaliyyət göstərən tibb müəssisələri üçün müvafiq olan HIPAA (US Healthcare Insurance Portability and Accountability Act) standartının tələblərinə uyğunluğu qiymətləndirmək üçün;

IP-nin ISO 17799 beynəlxalq standartının tələblərinə uyğunluğunu qiymətləndirmək üçün ISO 17799 üçün RiskWatch RW17799.

RiskWatch metodu risklərin qiymətləndirilməsi və idarə olunması üçün meyar kimi İllik Zərər Gözləntiləri (ALE) və İnvestisiya Qaytarısından (ROI) istifadə edir. RiskWatch, təhlükəsizlik təhdidlərindən itkilərin nisbətinin və qorunma sisteminin yaradılması xərclərinin dəqiq ölçülməsinə yönəlib. RiskWatch məhsulu dörd mərhələdən ibarət olan risk təhlili metodologiyasına əsaslanır.

Birinci mərhələ tədqiqat predmetinin müəyyən edilməsidir. O, təşkilatın növü, öyrənilən sistemin tərkibi (ümumi mənada) və əsas təhlükəsizlik tələbləri kimi parametrləri təsvir edir. Analitikin işini asanlaşdırmaq üçün təşkilatın növünə uyğun şablonlar (“kommersiya informasiya sistemi”, “hökumət/hərbi informasiya sistemi” və s.) qorunan resursların kateqoriyalarının, itkilərin, təhlükələrin, zəifliklərin və mühafizə tədbirlərinin siyahılarını ehtiva edir. Bunlardan təşkilatda faktiki mövcud olanları seçmək lazımdır (Şəkil 4.6).

Məlumatın açıqlanması;

Birbaşa itkilər (məsələn, yanğın nəticəsində avadanlığın məhv edilməsindən (işçi heyəti, müştərilər və s.);

Məlumatların dəyişdirilməsi;

Dolayı itkilər (məsələn, bərpa xərcləri);

İkinci mərhələ sistemin spesifik xüsusiyyətlərini təsvir edən məlumatların daxil edilməsidir. Məlumatlar əl ilə daxil edilə və ya şəbəkə zəifliyi tədqiqat alətləri tərəfindən yaradılan hesabatlardan idxal edilə bilər. Bu mərhələdə, xüsusilə, resurslar, itkilər və insident sinifləri ətraflı təsvir edilir. İnsident sinifləri itki kateqoriyasını resurs kateqoriyasına uyğunlaşdırmaqla əldə edilir.

Mümkün zəiflikləri müəyyən etmək üçün verilənlər bazası 600-dən çox sualı ehtiva edən bir anketdən istifadə olunur. Suallar resurs kateqoriyalarına aiddir.

Müəyyən edilmiş təhdidlərin hər birinin baş vermə tezliyi, zəiflik dərəcəsi və dəyəri də göstərilir.

resurslar. Sistemdə seçilmiş təhlükə sinfi üçün orta illik baş vermə təxminləri (LAFE və SAFE) varsa, o zaman onlardan istifadə olunur. Bütün bunlar daha sonra qoruyucu vasitələrin tətbiqinin təsirini hesablamaq üçün istifadə olunur.

təsviri böyüt düyü. 4.6. Qorunan ehtiyatların kateqoriyalarının müəyyən edilməsi

Üçüncü mərhələ kəmiyyət riskinin qiymətləndirilməsidir. Bu mərhələdə risk profili hesablanır və təhlükəsizlik tədbirləri seçilir. Birincisi, əvvəlki tədqiqat addımlarında müəyyən edilmiş resurslar, itkilər, təhdidlər və zəifliklər arasında əlaqə qurulur. Əsasən, risk illik itkilərin riyazi gözləntisindən istifadə etməklə qiymətləndirilir. Məsələn, serverin qiyməti 150.000 dollardırsa və onun bir il ərzində yanğın nəticəsində məhv olma ehtimalı 0,01-dirsə, gözlənilən itki 1500 dollar olacaqdır.

Hesablama düsturu (m=p*v, burada m – riyazi gözlənti, p – təhlükənin baş vermə ehtimalı, v – resursun dəyəri) RiskWatch-in Amerikalılar tərəfindən müəyyən edilmiş qiymətləndirmələrdən istifadə etməsi səbəbindən bəzi dəyişikliklərə məruz qalmışdır. NIST Standartlar İnstitutu, LAFE və SAFE adlanır. LAFE (Yerli İllik Tezlik Təxmini) müəyyən bir yerdə (məsələn, şəhərdə) müəyyən bir təhlükənin orta hesabla ildə neçə dəfə baş verdiyini göstərir. SAFE (Standart İllik Tezlik Təxmini) müəyyən bir təhlükənin “dünyanın həmin hissəsində” (məsələn, Şimali Amerikada) ildə orta hesabla neçə dəfə baş verdiyini göstərir. Təhlükə nəticəsində qorunan resursun tamamilə yox, qismən məhv ola biləcəyini nəzərə almağa imkan verən korreksiya amili də tətbiq edilir.

Düsturlar (4.1) və (4.2) ALE göstəricisinin hesablanması variantlarını göstərir:

Aktivin dəyəri sözügedən aktivin dəyəridir (məlumat, proqramlar, avadanlıq və s. Təsir əmsalı, dəyərin hansı hissəsini (faizlə) göstərir);

risk altında olan aktiv;

arzuolunmaz hadisənin baş vermə tezliyi;

ALE bir təhlükənin həyata keçirilməsindən bir xüsusi aktiv üçün gözlənilən illik zərərin təxminidir.

Bütün aktivlər və təsirlər müəyyən edildikdə və birlikdə toplandıqda, ƏM üçün ümumi riski bütün fərdi dəyərlərin cəmi kimi qiymətləndirmək mümkün olur.

Aktivin ilkin dəyəri ilə hadisədən sonra onun qalıq dəyəri arasındakı fərq kimi hesablana bilən “İllik baş vermə dərəcəsi ARO” və “Vahid Zərər Gözlənilən SLE” göstəricilərini daxil edə bilərsiniz (baxmayaraq ki, bu qiymətləndirmə metodu tətbiq edilmir. bütün hallarda, məsələn, məxfi məlumatın pozulması ilə bağlı riskləri qiymətləndirmək üçün uyğun deyil). Sonra, müəyyən bir təhlükə-resurs birləşməsi üçün (4.2) düstur tətbiq olunur:

Bundan əlavə, təhlükəsizlik tədbirlərinin həyata keçirilməsi şərti ilə oxşar vəziyyətləri təsvir etməyə imkan verən “nə olarsa:” ssenariləri nəzərdən keçirilir. Qoruyucu tədbirlərin həyata keçirilməsi ilə və həyata keçirilmədən gözlənilən itkiləri müqayisə edərək, bu cür tədbirlərin təsirini qiymətləndirmək olar.

RiskWatch-a LAFE və SAFE reytinqli verilənlər bazası, eləcə də müxtəlif növ mühafizələrin ümumi təsvirləri daxildir.

Təhlükəsizlik tədbirlərinin həyata keçirilməsinin təsiri, müəyyən müddət ərzində qoyulmuş investisiyaların gəlirliliyini göstərən ROI (İnvestisiya gəliri) göstəricisindən istifadə etməklə kəmiyyətcə təsvir edilir. Bu düstura görə hesablanır:

Xərclər j mühafizə tədbirlərinin həyata keçirilməsi və saxlanması xərcləri;

Faydalar i müəyyən qorunma tədbirinin həyata keçirilməsinin gətirdiyi faydanın qiymətləndirilməsi (yəni itkilərdə gözlənilən azalma);

NPV (Net Present Value) xalis cari dəyər.

Dördüncü mərhələ hesabatın yaradılmasıdır. Hesabat növləri: Qısa xülasələr.

Mərhələ 1 və 2-də təsvir olunan elementlərin tam və qısa hesabatları.

Qorunan resursların dəyəri və təhlükələrin həyata keçirilməsindən gözlənilən itkilər haqqında hesabat. Təhdid və Qarşı Tədbirlər Hesabatı.

ROI hesabatı (Şəkil 4.7-də fraqment). Təhlükəsizlik audit hesabatı.

Riskin qiymətləndirilməsi proqramı müştəriyə risk dərəcəsinin (səviyyəsinin) qiymətləndirilməsi və təyin edilməsi prosedurlarını, onun müəyyənləşdirilməsi üçün tələbləri nəzərə alaraq müəyyən edir:

• a) müştəri ilə müqavilə münasibətləri yarandıqda (onun xidmətə qəbul edilməsi);
• b) müştəriyə xidmət göstərilməsi zamanı (əməliyyatlar (əməliyyatlar) yerinə yetirildikdə);
• c) daxili nəzarət qaydalarında təşkilat tərəfindən nəzərdə tutulmuş digər hallarda.

Riskin qiymətləndirilməsi proqramı müştərilərin cinayət yolu ilə əldə edilmiş pul vəsaitlərinin leqallaşdırılması (yuyulması) və terrorçuluğun maliyyələşdirilməsi məqsədilə əməliyyatlar həyata keçirməsi riski yüksək olan əməliyyatların xüsusiyyətləri, fəaliyyət növləri və şərtləri əsasında müştərilərin riskinin qiymətləndirilməsini nəzərdə tutur. , Financial Action Task Force money (FATF) tövsiyələrini nəzərə alaraq.

Rosfinmonitorinqin 2 avqust 2011-ci il tarixli 71 nömrəli məlumat məktubunda cinayət yolu ilə əldə edilmiş pul vəsaitlərinin leqallaşdırılması (yuyulması) və terrorizmin maliyyələşdirilməsi məqsədilə əməliyyatlar həyata keçirən müştərilərin riski artıran əməliyyatların əlamətləri, fəaliyyət növləri və şərtləri təqdim olunur. kredit təşkilatları istisna olmaqla). Bu:

• 1. Qumar oyunlarının təşkili və keçirilməsi ilə bağlı fəaliyyətlər.
• 2. İncəsənət əşyalarının, əntiq əşyaların, mebellərin, sərnişin nəqliyyat vasitələrinin və yüksək dəbdəbəli əşyaların satışı, o cümlədən komissiya ilə bağlı fəaliyyətlər.
• 3. Qiymətli metalların, qiymətli daşların, habelə tərkibində qiymətli metallar və qiymətli daşlar olan zərgərlik məmulatlarının və belə məmulatların qırıntılarının alqı-satqısı, alqı-satqısı ilə bağlı fəaliyyət.
• 4. Daşınmaz əmlakla əməliyyatlar və/və ya daşınmaz əmlakla əməliyyatlarda vasitəçilik xidmətlərinin göstərilməsi ilə bağlı fəaliyyət.
• 5. Turoperator və turizm agentliyinin fəaliyyəti, habelə səyahətin təşkili üzrə digər fəaliyyətlər (turizm fəaliyyəti).
• 6. İntensiv pul dövriyyəsi ilə bağlı istənilən fəaliyyət.
• 7. Hüquqi şəxsin, fərdi sahibkarın dövlət qeydiyyatına alındığı, vəkil, notarius statusu aldığı gündən fəaliyyət müddəti 1 ildən azdır.
• 8. Müştəriyə təşkilat tərəfindən xidmət göstərildiyi müddət (müştərinin xidmətə qəbul edildiyi tarixdən keçən müddət) 1 ildən azdır.
• 9. Hüquqi şəxsin olduğu ünvanda daimi fəaliyyət göstərən idarəetmə orqanlarının, digər orqanların və ya belə hüquqi şəxsin adından çıxış etmək hüququ olan şəxslərin etibarnaməsiz olmaması.
• 10. Müştərinin pul vəsaitləri və ya digər əmlakla əməliyyatlar aparan təşkilatla yalnız etibarnamə ilə fəaliyyət göstərən nümayəndəsi vasitəsilə qarşılıqlı əlaqəsi.
• 11. Müştərinin (benefisiarın, təsisçinin) federal məqsədli proqramlarda və ya milli layihələrdə iştirakı və ya onun xüsusi iqtisadi zonanın rezidenti kimi təyin edilməsi.
• 12. Müştəri (benefisiar, təsisçi) nizamnamə kapitalında dövlət mülkiyyətində payı olan təşkilat olduqda.
• 13. Müştərinin (benefisiarın) Rusiya Federasiyasının qeyri-rezidenti olması halı.
• 14. Müştərinin xarici dövlət məmuru olması və ya xarici dövlət məmurunun maraqlarına (mənfəətinə) uyğun hərəkət etməsi halı.
• 15. Sifarişçinin həyat yoldaşı, yaxın qohumu (birbaşa artan və enən xətt üzrə qohumu (valideyn və uşaq, baba, nənə və nəvə), tam və yarı (ümumi atası və ya anası olan) qardaş və ya bacı, övladlığa götürən şəxs olduqda; xarici dövlət məmurunun valideyni və övladlığa götürülmüş uşağı).
• 16. Müştəri tərəfindən Sənətin 2-ci bəndinə uyğun olaraq məcburi nəzarət altına alınan pul vəsaitləri və ya digər əmlakla əməliyyatların aparılması. Federal Qanunun 6-cı maddəsi.
• 17. Müştərinin fəaliyyətində şübhəli əməliyyatların olması, bu barədə məlumat səlahiyyətli orqana təqdim edilir.
• 18. Müştəri internet texnologiyalarından, elektron ödəniş sistemlərindən, alternativ pul köçürmə sistemlərindən və ya digər uzaqdan çıxış sistemlərindən istifadə etməklə və ya hər hansı digər üsulla birbaşa əlaqə olmadan (ödəniş terminalı vasitəsilə birdəfəlik ödənişlərin həyata keçirilməsi istisna olmaqla) əməliyyat (əməliyyat) üzrə hesablaşmaları həyata keçirir. 15.000 rubldan az məbləğdə və ya bu məbləğin xarici valyutada ekvivalentində).
• 19. Müştərinin (onun qarşı tərəfi, müştəri nümayəndəsi, benefisiar və ya müştərinin təsisçisi) ekstremist fəaliyyətdə iştirakı barədə məlumat olan təşkilatların və fiziki şəxslərin Siyahısına daxil edildiyi hal.
• 20. Müştərinin (müştəri nümayəndəsinin, benefisiarın və ya müştərinin təsisçisinin) qeydiyyat ünvanı (yeri və ya yaşayış yeri) ilə təşkilatların və təşkilatların Siyahısının iştirakçılarının qeydiyyat ünvanı (yeri və ya yaşayış yeri) üst-üstə düşdüyü halda. ekstremist fəaliyyətdə iştirakları barədə məlumat olan şəxslər.
• 21. Müştəri barəsində ekstremist fəaliyyətdə və ya terrorçuluqda iştirakı barədə məlumat olan təşkilatların və şəxslərin Siyahısına daxil edilmiş şəxsin yaxın qohumu olduqda.
• 22. Rusiya Federasiyasının ərazisində ictimai və dini təşkilatların (birliklərin), xeyriyyə fondlarının, xarici qeyri-kommersiya qeyri-hökumət təşkilatlarının və onların nümayəndəlik və filiallarının fəaliyyətinin həyata keçirilməsi.
• 23. Müştəri ictimai və ya dini təşkilatın (birliyin), xeyriyyə fondunun, xarici qeyri-kommersiya qeyri-hökumət təşkilatının, onun Rusiya Federasiyasının ərazisində fəaliyyət göstərən filialının və ya nümayəndəliyinin rəhbəri və ya təsisçisi olduqda.
• 24. Müştərinin (onun qarşı tərəfi, müştəri nümayəndəsi, benefisiar və ya müştərinin təsisçisi) terrorçu və ya ekstremist fəaliyyəti yüksək olan dövlətdə və ya ərazidə qeydiyyata alındığı hal.
• 25. Müştərinin (onun qarşı tərəfinin, müştərinin nümayəndəsinin, benefisiarın və ya müştərinin təsisçisinin) Maliyyə Fəaliyyəti üzrə İşçi Qrupunun tövsiyələrinə uyğun olmayan dövlətdə (ərazidə) müvafiq olaraq qeydiyyatı, yaşayış yeri və ya olduğu halda. çirkli pulların yuyulması (FATF) üzrə və ya göstərilən əməliyyatlar göstərilən dövlətdə (müəyyən edilmiş ərazidə) qeydiyyatdan keçmiş bankdakı hesabdan istifadə edilməklə həyata keçirilirsə.
• 26. Müştəri və ya onun təsisçisi (benefisiarı) və ya müştərinin əməliyyat (əməliyyat) üzrə kontragenti güzəştli vergi rejimini təmin edən və (və ya) məlumatların açıqlanmasını və təqdim edilməsini nəzərdə tutmayan dövlətdə və ya ərazidə qeydiyyata alındıqda və ya fəaliyyət göstərdikdə. maliyyə əməliyyatları apararkən (ofşor zona).
• 27. Təşkilatın qərarı ilə digər xüsusiyyətlər.

Yuxarıda göstərilən siyahı onun (onun) fəaliyyətinin xüsusiyyətləri, habelə həyata keçirilən əməliyyatların (əməliyyatların) xüsusiyyətləri nəzərə alınmaqla təşkilat (başqa şəxs) tərəfindən əlavə edilə bilər.

Riskin qiymətləndirilməsi proqramı risk dərəcəsini (səviyyəsini) və onun dəyişikliklərinə sonrakı nəzarəti qiymətləndirmək üçün müştərinin əməliyyatlarının (əməliyyatlarının) monitorinqinin prosedurunu və tezliyini təmin edir.

Bilik bazasında yaxşı işinizi göndərin sadədir. Aşağıdakı formadan istifadə edin

Tədris və işlərində bilik bazasından istifadə edən tələbələr, aspirantlar, gənc alimlər Sizə çox minnətdar olacaqlar.

haqqında yerləşdirilib http://www.allbest.ru/

Rostov vilayətinin dövlət büdcəli peşə təhsili müəssisəsi "Rostov-na-Don Rabitə və İnformatika Kolleci"

GBPOU RO "RKSI"

Mövzu ilə bağlı hesabat:

“Riscis Watch” riskinin qiymətləndirilməsi üçün metodlar və proqram məhsulları

Tələbə tərəfindən tamamlandı: Zheleznichenko Artem

Qrup № IB-22

Müəllim:

Timçenko Dmitri Anatolieviç

Rostov-na-Donu

Giriş

Bu gün müasir iri müəssisələrin informasiya təhlükəsizliyinin təmin edilməsinə investisiya qoyuluşunun zəruriliyi şübhəsizdir. Müasir biznesin əsas sualı bu sahəyə investisiyaların maksimum səmərəliliyini təmin etmək üçün informasiya təhlükəsizliyinə investisiyanın kifayət qədər səviyyəsini necə qiymətləndirməkdir. Bu problemi həll etmək üçün yalnız bir yol var - sistemdə mövcud olan riskləri qiymətləndirməyə və ən effektiv qorunma variantını (sistemdə mövcud olan risklərin xərclərə nisbəti əsasında) seçməyə imkan verən risk təhlili sistemlərinin istifadəsi. informasiya təhlükəsizliyi).

Statistikaya görə, şirkətdə hər hansı informasiya təhlükəsizliyi tədbirlərinin görülməsinə ən böyük maneə iki səbəbdir: büdcə məhdudiyyətləri və rəhbərliyin dəstəyinin olmaması.

Hər iki səbəb rəhbərliyin məsələnin ciddiliyini dərk etməməsindən və İT menecerinin informasiya təhlükəsizliyinə investisiya qoymağın nə üçün lazım olduğunu əsaslandırmaqda çətinlik çəkməsindən irəli gəlir. Çox vaxt bir çox insanlar düşünürlər ki, əsas problem İT menecerləri və rəhbərlərinin müxtəlif dillərdə - texniki və maliyyə dillərində danışmasıdır, lakin İT mütəxəssislərinin özləri üçün pulun nəyə xərclənəcəyini və təmin etmək üçün nə qədər lazım olduğunu qiymətləndirmək çox vaxt çətindir. bu xərclərin lazımsız və ya həddindən artıq olmaması üçün şirkət sisteminin daha çox təhlükəsizliyi.

Əgər İT meneceri təhdidlər reallaşarsa, şirkətin nə qədər pul itirə biləcəyini, sistemdə hansı yerlərin daha həssas olduğunu, əlavə pul xərcləmədən təhlükəsizlik səviyyəsini yüksəltmək üçün hansı tədbirlərin görülə biləcəyini aydın başa düşürsə və bütün bunlar sənədləşdirilirsə, o zaman problemin həlli rəhbərliyi diqqət yetirməyə və informasiya təhlükəsizliyini təmin etmək üçün vəsait ayırmağa inandırmaqdır.

Bu problemi həll etmək üçün məlumat risklərinin təhlili və nəzarəti üçün proqram sistemləri hazırlanmışdır. Belə proqram sistemlərindən biri American RiskWatch (RiskWatch şirkəti)-dir.

1. RiskWatch-in xüsusiyyətləri

1998-ci ildə ABŞ Milli Standartlar və Texnologiya İnstitutunun (ABŞ NIST), ABŞ Müdafiə Nazirliyinin (ABŞ DoD) və Kanada Milli Kanada Müdafiə Departamentinin iştirakı ilə hazırlanmış RiskWath metodu əslində Amerika üçün standartdır. təkcə ABŞ-da deyil, bütün dünyada dövlət təşkilatları.

Amerika şirkəti RiskWatch tərəfindən hazırlanmış RiskWatch proqramı güclü risk təhlili və idarəetmə vasitəsidir.

RiskWatch şirkəti əsasən iki məhsul təklif edir: biri informasiya təhlükəsizliyi sahəsində _ IT təhlükəsizliyi, ikincisi fiziki təhlükəsizlik sahəsində _ Fiziki təhlükəsizlik. Proqram təminatı müəssisənin kompüter və “fiziki” təhlükəsizliyi sahəsində qorunan resursları, təhdidləri, zəiflikləri və qorunma tədbirlərini müəyyən etmək və qiymətləndirmək üçün nəzərdə tutulmuşdur. Bundan əlavə, müxtəlif növ təşkilatlar üçün proqram təminatının müxtəlif versiyaları təklif olunur.

Müxtəlif sistemlərdə risklərin idarə edilməsi üçün nəzərdə tutulmuş məhsullar xətti aşağıdakı standartların (sənədlərin) tələblərini nəzərə alır: ISO 17799, ISO 27001, COBIT 4.0, NIST 800-53, NIST 800-66 və s.

RiskWatch ailəsinə müxtəlif növ təhlükəsizlik yoxlamalarının aparılması üçün proqram məhsulları daxildir. Buraya aşağıdakı audit və risk təhlili alətləri daxildir:

1. Fiziki Təhlükəsizlik üçün RiskWatch - IP mühafizəsinin fiziki üsulları üçün;

2. İnformasiya Sistemləri üçün RiskWatch - informasiya riskləri üçün;

3. HIPAA-WATCH for Healthcare Industry - HIPAA standartının tələblərinə uyğunluğu qiymətləndirmək;

4. ISO17799 üçün RiskWatch RW17799 - ISO17799 standartının tələblərini qiymətləndirmək üçün.

2. RiskWatch-in üstünlükləri və mənfi cəhətləri

İstehlakçı baxımından RiskWatch-in əhəmiyyətli üstünlüyü onun müqayisəli sadəliyi, ruslaşdırmanın aşağı mürəkkəbliyi və yeni kateqoriyalar, təsvirlər, suallar və s. təqdim etmək imkanı ilə təmin edilən metodun daha çox çevikliyidir. Bu metod əsasında yerli tərtibatçılar daxili təhlükəsizlik tələblərini nəzərə alan öz profillərini yarada, risklərin təhlili və idarə edilməsi üçün departament metodlarını inkişaf etdirə bilərlər.

Üstünlüklərinə baxmayaraq, RiskWatch-in mənfi cəhətləri də var.

Bu üsul, təşkilati və inzibati amilləri nəzərə almadan, proqram və texniki qorunma səviyyəsində risk təhlili aparmaq lazımdırsa uyğundur. Nəticədə risk qiymətləndirmələri (itkilərin riyazi gözləntiləri) sistemli perspektivdən risk anlayışını tükəndirmir - metod informasiya təhlükəsizliyinə inteqrasiya olunmuş yanaşmanı nəzərə almır.

1. RiskWatch proqramı yalnız ingilis dilində mövcuddur.

2. Yüksək lisenziya dəyəri - kiçik şirkət üçün bir yer üçün 15 000 dollardan və korporativ lisenziya üçün 125 000 dollardan.

3. RiskWatch-in əsasını təşkil edən risk təhlili metodologiyası

RiskWatch sizə risk təhlili aparmağa və qoruyucu tədbirlər və vasitələr haqqında məlumatlı seçimlər etməyə kömək edir. Proqramda istifadə olunan metodologiya 4 mərhələdən ibarətdir:

Risk təhlili metodologiyasının mərhələlərinin hər birini daha ətraflı nəzərdən keçirmək lazımdır.

1. Birinci mərhələdə təşkilatın ümumi parametrləri təsvir edilir - təşkilatın növü, öyrənilən sistemin tərkibi, əsas təhlükəsizlik tələbləri. Təsvir daha ətraflı təsvir üçün seçilə və ya atlana bilən bir sıra yarımbəndlərdə rəsmiləşdirilir.

2. İkinci mərhələ sistemin spesifik xüsusiyyətlərini təsvir edən məlumatların daxil edilməsidir. Məlumatlar əl ilə daxil edilə və ya şəbəkə zəifliyi tədqiqat alətləri tərəfindən yaradılan hesabatlardan idxal edilə bilər. Bu mərhələdə resurslar, itkilər və insident sinifləri ətraflı təsvir edilir.

3. Üçüncü mərhələ risklərin qiymətləndirilməsidir. Birincisi, əvvəlki addımlarda müəyyən edilmiş resurslar, itkilər, təhlükələr və zəifliklər arasında əlaqələr qurulur. Risklər üçün il üçün itkilərin riyazi gözləntiləri düsturla hesablanır:

burada p - il ərzində təhlükənin baş vermə tezliyi, v - təhlükəyə məruz qalan resursun dəyəri.

4. Dördüncü mərhələ hesabatın yaradılmasıdır. Hesabatların növləri: xülasə; 1 və 2-ci mərhələdə təsvir olunan elementlərin tam və qısa hesabatları; qorunan resursların dəyəri və təhlükələrin həyata keçirilməsindən gözlənilən itkilər haqqında hesabat; təhdidlər və əks tədbirlər haqqında hesabat; təhlükəsizlik audit hesabatı.

Nəticə

informasiya təhlükəsizliyi proqramı

RiskWatch Amerika şirkəti RiskWatch tərəfindən hazırlanmış proqramdır.

RiskWatch sizə risk təhlili aparmağa və qoruyucu tədbirlər və vasitələr haqqında məlumatlı seçimlər etməyə kömək edir. Buna baxmayaraq, RiskWatch-in bəzi çatışmazlıqları da var: yüksək lisenziya qiyməti var; RiskWatch proqramı yalnız ingilis dilində mövcuddur.

RiskWatch məhsulu dörd mərhələdən ibarət olan risk təhlili metodologiyasına əsaslanır.

Birinci mərhələ tədqiqat predmetinin müəyyən edilməsidir.

İkinci mərhələ sistemin spesifik xüsusiyyətlərini təsvir edən məlumatların daxil edilməsidir.

Üçüncü, ən vacib mərhələ kəmiyyət qiymətləndirməsidir.

Dördüncü mərhələ hesabatın yaradılmasıdır.

Allbest.ru saytında yerləşdirilib

Oxşar sənədlər

İnformasiya risklərinin qiymətləndirilməsi üsulları, onların xüsusiyyətləri və fərqləndirici xüsusiyyətləri, üstünlük və çatışmazlıqların qiymətləndirilməsi. Korporativ məlumatların təhlükəsizliyi üçün risklərin qiymətləndirilməsi modeli olan Microsoft metodologiyasının nümunəsindən istifadə etməklə risklərin qiymətləndirilməsi metodologiyasının işlənib hazırlanması.

dissertasiya, 08/02/2012 əlavə edildi


İnformasiya təhlükəsizliyinin qiymətləndirilməsinin mahiyyəti və üsulları. Onun həyata keçirilməsinin məqsədləri. İnformasiya texnologiyaları risklərinin təhlili üsulları. İnformasiya təhlükəsizliyi təhdidləri üçün risklərin hesablanması üçün göstəricilər və alqoritm. Ticarət şirkətinin veb-serverindən istifadə etməklə informasiya risklərinin hesablanması.

kurs işi, 25/11/2013 əlavə edildi


İnformasiyanın mahiyyəti, onun təsnifatı. Təminatın əsas problemləri və müəssisənin informasiya təhlükəsizliyinə təhdidlər. Riskin təhlili və müəssisənin informasiya təhlükəsizliyi prinsipləri. İnformasiya təhlükəsizliyini təmin etmək üçün tədbirlər kompleksinin hazırlanması.

kurs işi, 17/05/2016 əlavə edildi


Borcalanın kredit qabiliyyətinin təhlili və immunkomputinq yanaşması əsasında kredit risklərinin qiymətləndirilməsi üçün özünü öyrənən intellektual informasiya sisteminin yaradılması. Klasterləşdirmə prosedurlarının tətbiqi, təsnifat və risk qiymətləndirmələrinin yaradılması.

kurs işi, 06/09/2012 əlavə edildi


Proqram təminatının kompüter resurslarına icazəsiz daxil olmasını aşkar etmək üçün Windows sisteminin audit alətlərinin tədqiqi və təhlili metodologiyası. İnformasiya təhlükəsizliyi təhdidinin təhlili. Proqram təminatının işləmə alqoritmi.

dissertasiya, 28/06/2011 əlavə edildi


Müəssisə informasiya sistemlərinin proqram təminatı və texniki xüsusiyyətləri. Məlumat və proqram uyğunluğuna dair tələblər. Xüsusi proqram paketlərindən istifadə edərək proqram təminatının dizaynı. Verilənlər bazasının inkişafı.

təcrübə hesabatı, 04/11/2019 əlavə edildi


Əsas risklərin təsnifatı, onların müəyyənləşdirilməsi. Təşkilatda informasiya sisteminin risklərinin planlaşdırılması və qiymətləndirilməsi, risklərin aradan qaldırılması üçün tədbirlərin görülməsi. Layihənin zərərsizlik nöqtəsinin müəyyən edilməsi. Zərərlərin dəyərinin və riskin baş vermə ehtimalının hesablanması.

laboratoriya işi, 01/20/2016 əlavə edildi


Paylanmış proqram təminatının inkişafının konsepsiyası və əsas fərqi, onun üstünlükləri və mənfi cəhətləri. Konseptual həll və inkişaf növünün seçimi. Açıq mənbə proqram təminatının xüsusiyyətləri. Açıq Mənbə ideyası və inkişafı.

kurs işi, 12/14/2012 əlavə edildi


Müəssisənin biznes fəaliyyətini təhlil etmək üçün fəaliyyətlərin avtomatlaşdırılması. Təklif olunan metodologiyanın proqram təminatı şəklində həyata keçirilməsi, ona olan əsas tələblər. Proqram modulları kompleksinin strukturu və tərkibi, istifadəçi təlimatı.

kurs işi, 28/05/2013 əlavə edildi


İnformasiya təhlükəsizliyi riskinin təhlili. Mövcud və planlaşdırılan mühafizə vasitələrinin qiymətləndirilməsi. İnformasiya təhlükəsizliyini və müəssisə məlumatlarının mühafizəsini təmin etmək üçün təşkilati tədbirlər kompleksi. Layihənin həyata keçirilməsinin sınaq nümunəsi və onun təsviri.

Riskləri minimuma endirməyə imkan verən proqram məhsulları haqqında danışarkən qeyd etmək lazımdır ki, Rusiya tərtibatçılarının risklərin idarə edilməsi üçün xüsusi proqram təminatı təklif etməməsinə baxmayaraq, müəyyən risklərin idarə edilməsi vasitələrindən istifadə etməyə imkan verən həllərin əhəmiyyətli siyahısı mövcuddur. Rus tərtibatçılarının və istehsalçılarının proqram məhsulları arasında bunlar, məsələn, Project Expert, Alt-Invest paketi, Voronov&Maksimov MASTER PROJECTS paketi, Investor 3.0, TEO-INVEST, FOCCAL-UNI və s.

Xüsusi proqram məhsullarının imkanları olduqca müxtəlifdir və bu cür həllərin nümunələrinə, məsələn, EGAR Risk Systems, SAS® Risk Dimensions, Pertmaster və s. proqramları daxildir.

EGAR Risk Sistemləri inteqrasiya olunmuş yanaşma, müasir metodologiya (Basel II tələblərinə uyğun) əsasında qurulmuş və maliyyə risklərinin idarə edilməsinin təşkili üçün real vaxt rejimində sistemlər və məsləhət xidmətləridir - bazar, kredit və əməliyyat. Rusiya Mərkəzi Bankı. Həll risklərin idarə edilməsi prosesini maliyyə təşkilatında əməliyyatların aparılmasının ümumi texnologiyasına inteqrasiya etməyə imkan verir və onun maksimum səmərəliliyini təmin edən əməliyyatların emalı prosesinin (STP) tərkib hissəsidir.

Xarici əməliyyat və ödəniş sistemləri ilə inteqrasiya real vaxt rejimində öhdəliklərin yerinə yetirilməsi ilə bağlı məlumat almağa və bununla da istənilən vaxt risk mövqeyini adekvat şəkildə müəyyən etməyə imkan verir. EGAR Risk Sistemləri müxtəlif mənbələrdən məlumatların operativ şəkildə toplanmasını təmin edir, limitlərə konsolidasiya edilmiş nəzarəti həyata keçirir, adekvat riyazi risk qiymətləndirmə modellərindən və birbaşa əməliyyatların işlənməsi üçün yaxşı qurulmuş texnologiyalardan istifadə edir. Müasir maliyyə təşkilatında məhz belə mürəkkəb sistemlərin tətbiqi əsas məqsədə - bütün təzahürlərində maliyyə risklərinə effektiv nəzarət və idarə olunmasına nail olmağı təmin edə bilər.

SAS Company həlli - SAS Risk Management bütün bank səviyyəsində risklərin idarə edilməsi sahəsində geniş tanınan bir həlldir. SAS Risk Management çevik, açıq və genişləndirilə bilən risklərin idarə edilməsi mühitinə malikdir ki, bu da ona Rusiya xüsusiyyətlərini və Rusiya maliyyə institutlarına aid tapşırıqları tam əks etdirməyə imkan verir.

SAS Risk Management daxili və xarici məlumatlara giriş və konsolidasiyanı təşkil etmək üçün tam, hərtərəfli mühitdir; bütün növ risklərin tədqiqi, təhlili və qiymətləndirilməsi üçün; keyfiyyətli hesabatları effektiv şəkildə təqdim etmək. Sistemin fundamental strukturu istifadəçiyə bazar, kredit və digər növ maliyyə risklərini onların spesifik şərtlərinə və ehtiyaclarına uyğun idarə etməyə imkan verir.

Pertmaster risklərin idarə edilməsi, daha sadə proqram məhsuludur, onun köməyi ilə şirkət işçiləri layihənin başlanğıc mərhələsində layihədə hadisələrin inkişafını hesablayan əlavə “nə olarsa” nəzarət aləti alırlar. İxtisaslaşmasına baxmayaraq, Pertmaster eyni variantı olan Rusiya Layihə Ekspertindən çox da üstün deyil.

Pertmaster, icraçıların real təxminlərindən istifadə edərək, vaxt, əmək və xərclər baxımından layihə cədvəlinin əldə olunmasını təhlil etməyə, layihəni işin müddətinə və əmək xərclərinə təsir edən mümkün risklər nöqteyi-nəzərindən qiymətləndirməyə imkan verir. çətin iqlim şəraitində həyata keçirilən layihənin xarici mühiti və beynəlxalq layihənin valyutalarının məzənnəsi .

Pertmaster-dən istifadə (Şəkil 9.1) layihənin gedişatının real ssenarisini əldə etməyə, daxili gəlirlilik dərəcəsini və xalis cari dəyəri müəyyən etməklə layihənin dəyərini modelləşdirməyə, layihə xərclərini ödəniş cədvəli ilə balanslaşdırmağa, hesabatın yaradılmasına imkan verir. işin layihənin dəyərinə təsir dərəcəsi, həmçinin risk reyestrindən istifadə etməklə:

· risklərin müəyyən edilməsi;

· riskin keyfiyyət və kəmiyyət qiymətləndirilməsi;

· risklərə görə məsul şəxslərin təyin edilməsi;

· risk cavab planının hazırlanması və onun monitorinqi və nəzarəti.

Bu yazıda informasiya təhlükəsizliyi risklərinin qiymətləndirilməsi və idarə olunması mövzusunu davam etdirərək, risk qiymətləndirmələrini həyata keçirmək üçün istifadə edilə bilən proqram təminatı haqqında danışmaq istərdim. Niyə ümumiyyətlə bu proqrama ehtiyacınız var? Məsələ burasındadır ki, siz bu prosesi dərindən öyrəndikdən sonra dərhal aydın olacaq ki, qiymətləndirmənin aparılması kifayət qədər mürəkkəb kombinatorikaları əhatə edir. Müxtəlif aktivlərin, zəifliklərin, təhdidlərin və qoruyucu tədbirlərin birləşməsi riskləri təsvir edən yüzlərlə, minlərlə mümkün birləşmələrə səbəb olur və burada mövcud vasitələr olmadan edə bilməzsiniz. İndi İnternetdə nə tapa bilərsiniz:

vs Risk. Britaniyanın Vigilant Software şirkətinin proqram təminatı. Məhsul ilk növbədə ISO 27001 və BS7799-3 (indiki ISO27005) tələblərinə uyğun olaraq risklərin qiymətləndirilməsi proqramı kimi yerləşdirilib. Veb saytında siz 15 günlük sınaq versiyasını yükləyə bilərsiniz (ölçüsü - 390 MB). Sistem mənə olduqca ibtidai görünürdü və təhsilsiz istifadəçi üçün heç də dost deyil. Proqram, məsələn, mümkün təhdidlərin, zəifliklərin və əks tədbirlərin kifayət qədər geniş siyahılarına malikdir, lakin sistem özü onlar arasında heç bir əlaqəni müəyyən etmir, bu, istifadəçinin özü tərəfindən edilir; Ümumiyyətlə, proqrama 3 qiymət verərdim. Niyə 1700 avro istəyirlər?! 8-).

PTA. PTA Technologies tərəfindən hazırlanıb . Mənim fikrimcə çox maraqlı məhsul. O, heç bir standarta bağlı deyil və kəmiyyət riskinin qiymətləndirilməsi mexanizmini həyata keçirir (!). Yeri gəlmişkən, bunu daha çox bu proqramın çatışmazlığı kimi qeyd edərdim, çünki... Məsələ ondadır ki, hər şeyi ən yaxın dollara qədər qiymətləndirmək olmur və keyfiyyətcə qiymətləndirmə imkanı təmin edilmir. Sistem həmçinin təklif olunan əks tədbirlərin effektivliyinin qiymətləndirilməsi üçün maraqlı mexanizm təqdim edir, bunun əsasında, məsələn, müəyyən əks tədbirləri əlavə etdikdə və ya çıxardıqda risk xəritəsinin necə dəyişdiyini vurğulaya bilərik.

Tərtibatçının saytında məhsulun ödənişli olduğu və 30 gün ərzində yükləmək üçün yalnız sınaq versiyasının olduğu bildirilir. Məhsulun özü nə qədər başa gəlir və onu necə almaq olar - heç bir məlumat yoxdur (görünür, yanaşma fərdi :)).

RSA Archer. Bu yaxınlarda nəhəng RSA-ya məxsus olan Archer şirkətinin inkişafı. Ümumiyyətlə, Archer çoxlu müxtəlif modulları özündə cəmləşdirən nəhəng GRC kombinatıdır, onlardan biri risklərin idarə edilməsini təmin edir. Sınaqları yükləmək mümkün deyil; vebsaytda təqdimat videoları var. Bu məhsulun qiyməti də göstərilməyib, amma RSA-dan gələn hər şey kimi bahalı olacağını düşünürəm :)

Modul Risk Meneceri. Modulo tərəfindən hazırlanmışdır. Saytda funksionallığın yalnız kifayət qədər zəif təsviri mövcuddur. Sınaq versiyası, ətraflı videolar yoxdur. Buna baxmayaraq, məhsul SC Magazine-dən bir mükafat aldı, yəni hələ də bir şeyə dəyər. Təəssüf ki, hələ də onunla tanış ola bilməmişəm.

RM Studio. Eyni adlı təşkilatın məhsulu (veb-sayt). D 30 günlük sınaq versiyasını yükləmək mümkündür, əlavə olaraq veb saytında məhsuldan istifadə üçün ssenariləri nümayiş etdirən videolara baxa bilərsiniz. Fikrimcə, bu proqram riskin qiymətləndirilməsi baxımından çox primitivdir və yalnız “göstərmək üçün” risk qiymətləndirməsi edənlər üçün uyğundur.

Vuruş. Digital Security tərəfindən hazırlanıb. Mən bu proqram məhsulunu daha çox ümumi şəkil üçün gətirdim. Məhsulun özü uzun illərdir ki, inkişaf etdirici şirkət tərəfindən heç bir şəkildə dəstəklənmir. Ona görə də deyə bilərik ki, o, əslində artıq yoxdur. Hələlik bu, mənə məlum olan bu sahədə yeganə daxili inkişafdır.

Düzünü desəm, çox deyil. Mən başa düşürəm ki, rəyimin 100% tamamlandığını iddia edə bilməz, amma yenə də....

Risklərin qiymətləndirilməsi zamanı hər hansı digər proqram təminatı və ya digər avtomatlaşdırma üsullarını bilən varsa, şərhlərdə yazın və biz müzakirə edəcəyik.