Анализ рисков: что нужно учитывать при определении степени риска, который мы несем

Опубликовано: 10 Апреля, 2023

В информационную эпоху понимание риска является важным элементом при принятии решения о механизме защиты, выбранном для защиты информации. Специалисты по информационной безопасности сталкиваются с проблемами управления активами и другими препятствиями, которые затрудняют внедрение соответствующих средств контроля. В этой статье основное внимание будет уделено структуре, которая поможет обосновать соответствующие элементы управления.

Ни один риск не может быть полностью устранен. Как правило, риски можно только уменьшить, а средства контроля внедрить для уменьшения убытков от таких событий.

В области информационной безопасности существует два типа анализа рисков, а именно количественный анализ рисков и качественный анализ рисков. Количественный анализ риска определяет риск количественно, это означает, что риску придается значение, а результаты полностью основаны на фактах и цифрах. Качественный анализ риска основан на субъективной информации, результатом которой является ощущение того, насколько уязвимым или насколько высоким может быть риск. Разница между двумя методами заключается в фактах и мнениях. Однако большая часть анализа основана на мнении или качественной версии анализа.

Риск и расчеты

При расчете риска полезно понимать, какова стоимость актива, который вы пытаетесь защитить. Когда речь идет об огромном бизнес-активе, таком как данные, только опытные специалисты по оценке рисков могут количественно оценить стоимость этого актива. Это требует ввода данных из различных частей бизнеса, если данные распространяются по всему бизнесу. Данные всегда были трудным активом для оценки и количественной оценки, по этой причине рассмотрим следующее…

Примечание:
Стоимость данных измеряется не только влиянием, которое данные окажут на бизнес, если данные не будут доступны, но и стоимостью их обслуживания, воспроизведения и восстановления до того же уровня, что и до потери. Поэтому следует учитывать все эти факторы.

Формулы для расчета ценности данных могут быть очень сложными и трудными для понимания и количественной оценки.

Давайте возьмем пример данных, хранящихся на вашем мобильном телефоне, и поработаем над простым расчетом, чтобы вычислить ценность данных с учетом риска потери.

На мобильный телефон, который стоит 500 долларов США вместе с операционной системой, загружено примерно 5 других платных приложений стоимостью 300 долларов США (такие программы, как GPS, средства просмотра, инструменты резервного копирования и т. д.). Время, необходимое для загрузки программного обеспечения, можно рассчитать примерно за полдня, для аргументации предположим, что это будет стоить 100 долларов. Время, необходимое для настройки мобильного телефона и сбора всех контактов и информации, стоит 100 долларов. Общая стоимость актива плюс стоимость устройства составляет 1000 долларов США. Воздействие, связанное с тем, что пользователь не может получить доступ к устройству, будет стоить 400 долларов США; это связано с тем, что пользователю нужно будет потратить время на перезагрузку программного обеспечения, а также время, потерянное, когда устройство было в автономном режиме.

Механизм защиты актива данных может быть определен как часть программного или аппаратного обеспечения в виде устройства резервного копирования или реплики программного обеспечения в какой-либо другой форме.

Так как же рассчитать риск?

Расчет возможности является ключом к расчету риска. Мы должны учиться на своей истории, и в этом духе мы должны смотреть на частоту каждого агента угрозы. Агенты угроз проявляют себя во многих формах, ниже приведены несколько примеров.

Агенты угроз

Существуют различные агенты угроз, которые следует учитывать при расчете риска. Вот список, который ни в коем случае не является исчерпывающим, но который даст вам представление о том, что там есть.

  • Стихийные бедствия
  • Огонь
  • наводнения
  • Замораживание
  • Нагревать
  • Искусственные угрозы
  • Вирус
  • Вредоносное ПО
  • Шпионское ПО
  • трояны
  • черви
  • И многие другие подобные вопросы

Расчеты

Существует несколько расчетов, которые можно выполнить для количественной оценки риска. Простой расчет: Риск = Вероятность Риска X Стоимость Непредвиденных обстоятельств.

Ожидаемый единичный убыток (SLE) = стоимость активов (AV) X фактор риска (EF)

После того, как вы рассчитали это, вы можете использовать следующую формулу:

Ожидаемый годовой убыток (ALE) = ожидаемый единичный убыток (SLE) * годовой коэффициент возникновения (ARO)

Для получения дополнительной информации вы можете прочитать Оценка рисков и выявление угроз.

Управление рисками

Существует много способов управления рисками, во многих случаях рискам противодействуют путем внедрения контроля, который снижает или ограничивает риск, например, для снижения риска пожара устанавливается система пожарной сигнализации и огнезащитная система.

Советы от торговли

При ограничении рисков не забывайте изолировать актив, который вы защищаете. Если вы изолируете актив при применении элемента управления, вы обнаружите, что это более рентабельно, чем применение элемента управления ко всей среде. Возможно, имеет смысл удалить уязвимый актив из среды; это, в свою очередь, уменьшит риск.

Элементы управления

При управлении рисками важно понимать, каковы меры противодействия риску. Они бывают в форме средств контроля, технический или административный контроль реализуется в качестве контрмеры.

Технические средства контроля

Это типы элементов управления, которые можно установить и применить для снижения рисков. Элементы управления, такие как антивирус, резервное копирование, шифрование, контроль доступа, аппаратное и программное обеспечение.

Логические элементы управления также известны как технические элементы управления. Наилучший подход — реализовать режим наименьших привилегий, который гарантирует, что только законные пользователи или субъекты будут иметь доступ к рассматриваемому активу.

Физический

Физические средства контроля — это элементы управления, которые могут быть реализованы физически для контроля доступа к активам. Такие вещи, как замки, противовзломные решетки, камеры, баррикады, ограждения, охранники и собаки, являются хорошими примерами физического контроля. Разделение обязанностей составляет важную часть физического контроля, поскольку это мягкая часть контроля.

Административный контроль

Это элементы управления, написанные как политика и стандарты, которые применяются для снижения риска. Примерами являются политики безопасности и подобные документы.

Что следует учитывать

При анализе рисков всегда следует учитывать вклад клиента в процесс. Эти входные данные часто представляют собой мнение и мало влияют на ситуацию, если только они не будут должным образом поняты и отфильтрованы опытным аналитиком рисков. Вся информация всегда должна быть проверена, так как клиенту легко повлиять на результаты, отвечая на вопросы определенным образом; Вот почему оценщик должен быть аккредитован и иметь опыт работы в области рисков.

Во многих случаях оценщики, с которыми я встречаюсь, мало что знают о профиле риска и о том, как следует проводить анализ риска. Как правило, оценщики — это молодые люди, только что окончившие колледж, с небольшим опытом, которые следуют только схеме, предоставленной им организацией, которая консультирует клиента. Эти рамки предназначены для выявления рисков при правильном заполнении, но во многих случаях опрашиваемые клиенты могут легко изменить результат, тщательно обработав свой ответ. Это сводит на нет реагирование, риски четко не определяются, а правильные контрмеры не реализуются.

Классификация данных — это то, что становится все более распространенным средством контроля. Это хороший пример мягкого контроля, который является одновременно логическим и административным и может помочь снизить риск, поскольку позволяет организации защищать только конфиденциальные данные, а не все данные. Таким образом, стоимость решения значительно снижается, поскольку защищены только конфиденциальные данные.

Резюме

В этой статье мы рассмотрели расчеты рисков и типы контроля, которые можно реализовать. Понимание основ риска и механизмов оценки поможет в определении контрмер и средств контроля. Как сказал один мудрый человек, лучше успеть на два года раньше, чем опоздать на один день.

Кибер-безопасность

РЕКОМЕНДУЕМЫЕ СТАТЬИ

Информационная безопасность и системная IT-интеграция
27 Июня, 2024
Брандмауэр в ИТ-системе
15 Апреля, 2023
Почему одного брандмауэра недостаточно? Что такое IDS и почему их стоит иметь?
15 Апреля, 2023
Новые функции безопасности Internet Explorer 6.0 с браузером .NET Server по умолчанию
15 Апреля, 2023
Виртуальная частная сеть
15 Апреля, 2023
Microsoft ISA Server, часть II — функции брандмауэра, правила политики публикации
15 Апреля, 2023
Стратегия Microsoft в отношении .NET
15 Апреля, 2023
SSH
15 Апреля, 2023