Технология оценки угроз и уязвимостей
Для оценки угроз и уязвимостей используются различные методы, в основе которых могут лежать:
Экспертные оценки.
Статистические данные.
Учет факторов, влияющих на уровни угроз и уязвимостей.
Один из возможных подходов к разработке подобных методик — накопление статистических данных о реально случившихся происшествиях, анализ и классификация их причин, выявление факторов, от которых они зависят. На основе этой информации можно оценить угрозы и уязвимости в других информационных системах.
Практические сложности в реализации этого подхода следующие:
Во-первых, должен быть собран весьма обширный материал о происшествиях в этой области.
Во-вторых, применение этого подхода оправдано далеко не всегда. Если информационная система достаточно крупная (содержит много элементов, расположена на обширной территории), имеет давнюю историю, то подобный подход, скорее всего, применим. Если система сравнительно невелика, использует новейшие элементы технологии (для которых пока нет достоверной статистики), оценки угроз и уязвимостей могут оказаться недостоверными.
Наиболее распространенным в настоящее время является подход, основанный на учете различных факторов, влияющих на уровни угроз и уязвимостей. Такой подход позволяет абстрагироваться от малосущественных технических деталей, учесть не только программно-технические, но и иные аспекты.
Рассмотрим пример реализации подобного подхода, используемого в методе CRAMM 4.0 для одного из классов рисков: "Использование чужого идентификатора сотрудниками организации ("маскарад")".
Для оценки угроз выбраны следующие косвенные факторы:
Статистика по зарегистрированным инцидентам.
Тенденции в статистке по подобным нарушениям.
Наличие в системе информации, представляющей интерес для потенциальных внутренних или внешних нарушителей.
Моральные качества персонала.
Возможность извлечь выгоду из изменения обрабатываемой в системе информации.
Наличие альтернативных способов доступа к информации.
Статистика по подобным нарушениям в других информационных системах организации.
Для оценки уязвимостей выбраны следующие косвенные факторы:
Количество рабочих мест (пользователей) в системе.
Размер рабочих групп.
Осведомленность руководства о действиях сотрудников (разные аспекты).
Характер используемого на рабочих местах оборудования и ПО.
Полномочия пользователей.
По косвенным факторам предложены вопросы и несколько фиксированных вариантов ответов, которые "стоят" определенное количество баллов. Итоговая оценка угрозы и уязвимости данного класса определяется путем суммирования баллов.
Оценка угрозы (Ответьте на вопросы)
Сколько раз за последние 3 года сотрудники организации пытались получить несанкционированный доступ к хранящейся в информационной системе информации с использованием прав других пользователей?
Варианты ответов
а) Ни разу — 0
б) Один или два раза — 10
в) В среднем раз в год — 20
г) В среднем чаще одного раза в год — 30
д) Неизвестно — 10
Какова тенденция в статистике такого рода попыток несанкционированного проникновения в информационную систему?
Варианты ответов
а) К возрастанию — 10
б) Оставаться постоянной — 0
в) К снижению — -10
Хранится ли в информационной системе информация (например, личные дела), которая может представлять интерес для сотрудников организации и побуждать их к попыткам несанкционированного доступа к ней?
Варианты ответов
а) Да — 5
б) Нет — 0
Известны ли случаи нападения, угроз, шантажа, давления на сотрудников со стороны посторонних лиц?
Варианты ответов
а) Да — 10
б) Нет — 0
Существуют ли среди персонала группы лиц или отдельные лица с недостаточно высокими моральными качествами?
Варианты ответов
а) Нет, все сотрудники отличаются высокой честностью и порядочностью — 0
б) Существуют группы лиц и отдельные личности с недостаточно высокими моральными качествами, но это вряд ли может спровоцировать их на несанкционированное использование системы — 5
в) Существуют группы лиц и отдельные личности с настолько низкими моральными качествами, что это повышает вероятность несанкционированного использования системы сотрудниками — 10
Хранится ли в информационной системе информация, несанкционированное изменение которой может принести прямую выгоду сотрудникам?
Варианты ответов
а) Да — 5
б) Нет — 0
Предусмотрена ли в информационной системе поддержка пользователей, обладающих техническими возможностями совершить подобные действия?
Варианты ответов
а) Да — 5
б) Нет — 0
Существуют ли другие способы просмотра информации, позволяющие злоумышленнику добраться до нее более простыми методами, чем с использованием "маскарада"?
Варианты ответов
а) Да — -10
б) Нет — 0
Существуют ли другие способы несанкционированного изменения информации, позволяющие злоумышленнику достичь желаемого результата более простыми методами, чем с использованием "маскарада"?
Варианты ответов
а) Да — -10
б) Нет — 0
Сколько раз за последние 3 года сотрудники пытались получить несанкционированный доступ к информации, хранящейся в других подобных системах в вашей организации?
Варианты ответов
Ни разу — 0
Один или два раза — 5
В среднем раз в год — 10
В среднем чаще одного раза в год — 15
Неизвестно — 10
Степень угрозы при количестве баллов:
До 9 — Очень низкая
От 10 до 19 — Низкая
От 20 до 29 — Средняя
От 30 до 39 — Высокая
40 и более — Очень высокая
Оценка уязвимости (Ответьте на вопросы)
Сколько людей имеют право пользоваться информационной системой?
Варианты ответов
а) От 1 до 10 — 0
б) От 11 до 50 — 4
в) От 51 до 200 — 10
г) От 200 до 1000 — 14
д) Свыше 1000 — 20
Будет ли руководство осведомлено о том, что люди, работающие под их началом, ведут себя необычным образом?
Варианты ответов
а) Да — 0
б) Нет — 10
Какие устройства и программы доступны пользователям?
Варианты ответов
а)
Только терминалы или сетевые контроллеры, ответственные за предоставление и маршрутизацию информации, но не за передачу данных — -5
Только стандартные офисные устройства и программы и управляемые с помощью меню подчиненные прикладные программы — 0
Пользователи могут получить доступ к операционной системе, но не к компиляторам — 5
Пользователи могут получить доступ к компиляторам — 10
Возможны ли ситуации, когда сотрудникам, предупрежденным о предстоящем сокращении или увольнении, разрешается логический доступ к информационной системе?
Варианты ответов
а) Да — 10
б) Нет — 0
Каковы в среднем размеры рабочих групп сотрудников пользовательских подразделений, имеющих доступ к информационной системе?
Варианты ответов
а) Менее 10 человек — 0
б) От 11 до 20 человек — 5
в) Свыше 20 человек — 10
Станет ли факт изменения хранящихся в информационной системе данных очевидным сразу для нескольких человек (в результате чего его будет очень трудно скрыть)?
Варианты ответов
а) Да — 0
б) Нет — 10
Насколько велики официально предоставленные пользователям возможности по просмотру всех хранящихся в системе данных?
Варианты ответов
а) Официальное право предоставлено всем пользователям — -2
б) Официальное право предоставлено только некоторым пользователям — 0
Насколько необходимо пользователям знать всю информацию, хранящуюся в системе?
Варианты ответов
Всем пользователям необходимо знать всю информацию — -4
Отдельным пользователям необходимо знать лишь относящуюся к ним информацию — 0
Степень уязвимости при количестве баллов:
До 9 — Низкая
От 10 до 19 — Средняя
20 и более — Высокая
Дата добавления: 2015-12-29; просмотров: 1304;