Интервью. Обычно беседы проводятся у заказчика с административным и техническим персоналом и концентрируются на темах эксплуатации и управления. Кроме того, визиты к заказчику позволяют увидеть и оценить меры физической и эксплуатационной безопасности, защиту от угроз со стороны окружающей среды.
Вопросники. Они могут касаться прежде всего административных и процедурных регуляторов безопасности, существующих или планируемых. Вопросники распространяются среди административного и технического персонала, проектирующего и/или обслуживающего систему.
Для сбора сведений об информационной системы в пределах ее эксплуатационных границ могут использоваться следующие методы.
Для информационных систем, находящихся в производственной эксплуатации, собираются сведения об их эксплуатационном окружении, включая данные о конфигурации системы, ее связности, документированных и недокументированных процедурах и сложившейся практике эксплуатации. Таким образом, описание системы может основываться на мерах безопасности, реализованных в рамках существующей инфраструктуры, или на имеющихся планах повышения уровня безопасности ИС.
Если информационная система находится в стадии инициации или проектирования, необходимые сведения могут быть получены из проектной документации или спецификаций (требований). Если система находится в стадии разработки, необходимо определить ключевые правила и атрибуты безопасности, которые предполагается реализовать. В таком случае полезными источниками информации являются проектная документация и план обеспечения информационной безопасности.
функциональные требования к ИС;политики безопасности, положения которых затрагивают ИС;меры защиты доступности, конфиденциальности и целостности хранимых данных;потоки данных, принадлежащих системе, входные и выходные данные;существующие программно-технические регуляторы безопасности (то есть встроенные или дополнительные защитные средства, поддерживающие идентификацию и аутентификацию, управление доступом, протоколирование и аудит, защиту остаточной информации, криптографические функции и т.д.);существующие регуляторы безопасности административного уровня (политика и программы безопасности, меры планирования безопасности, правила поведения и т.п.);существующие регуляторы безопасности процедурного уровня (кадровая безопасность, процедуры управления пользователями, управление разделением обязанностей пользователей, обеспечение бесперебойной работы, резервное копирование, хранение данных вне производственных площадей, восстановление после аварий, сопровождение системы);меры физической защиты ИС (физическая защита производственных площадей, контроль доступа в центр обработки данных и т.п.);защита ИС от угроз со стороны окружающей среды (средства контроля температуры, влажности, загрязнения, электропитание, водоснабжение и т.д.).
Требуется также собрать информацию об эксплуатационном окружении системы:
архитектура ИС;используемое аппаратное обеспечение;используемое программное обеспечение;системные интерфейсы (внутренняя и внешняя связность);топология сети;присутствующие в системе данные и информация;поддерживающий персонал и пользователи;миссия системы (то есть процессы, выполняемые ИС);критичность системы и данных;чувствительность (то есть требуемый уровень защищенности) системы и данных.
О системе необходимо собрать следующую информацию:
Первым шагом в процессе оценки рисков является определение объекта оценки, то есть границ анализируемой информационной системы, а также ресурсов и информации, образующих ИС.
Опишем выделенные этапы более детально.
На показаны основные этапы процесса оценки рисков вместе с входной и выходной информацией для каждого из них.
Идентификация уязвимостей и угроз, а также анализ регуляторов безопасности и воздействий могут выполняться относительно независимо и параллельно после того, как завершен первый этап и определены характеристики информационной системы.
определение характеристик информационной системы;идентификация уязвимостей;идентификация угроз;анализ регуляторов безопасности;определение вероятностей;анализ воздействий;определение рисков;рекомендуемые контрмеры;результирующая документация.
Процесс оценки рисков можно подразделить на девять основных этапов:
Обзор подготовлен по материалам учебного курса "Основы информационной безопасности" доктора физ.-мат. наук, заведующего сектором в отделе информационной безопасности НИИ системных исследований РАН В.А. Галатенко
Информационный бюллетень
Управление рисками: обзор употребительных подходов
Море(!) аналитической информации!
Управление рисками: обзор употребительных подходов - Детальное рассмотрение процесса оценки рисков
Комментариев нет:
Отправить комментарий