Главная страница Случайная страница
Разделы сайта
АвтомобилиАстрономияБиологияГеографияДом и садДругие языкиДругоеИнформатикаИсторияКультураЛитератураЛогикаМатематикаМедицинаМеталлургияМеханикаОбразованиеОхрана трудаПедагогикаПолитикаПравоПсихологияРелигияРиторикаСоциологияСпортСтроительствоТехнологияТуризмФизикаФилософияФинансыХимияЧерчениеЭкологияЭкономикаЭлектроника
Анализ методики FRAP
|
|
Методика «Facilitated Risk Analysis Process (FRAP)», предлагаемая компанией Peltier and Associates, разработана Томасом Пелтиером (Thomas R. Peltier.
В методике, обеспечение ИБ предлагается рассматривать в рамках процесса управления рисками. Управление рисками в сфере ИБ - процесс, позволяющий компаниям найти баланс между затратами средств и сил на средства защиты и получаемым эффектом.
Управление рисков должно начинается с оценки рисков: должным образом оформленные результаты оценки станут основой для принятия решений в области повышения безопасности системы в будущем.
После завершения оценки, проводится анализ соотношения затрат и получаемого эффекта, который позволяет определить те средства защиты, которые нужны для снижения риска до приемлемого уровня.
Составление списка угроз поможет использовать разные подходы:
- заранее подготовленные экспертами перечни угроз, из которых выбираются актуальные для данной системы;
- анализ статистики происшествий, на основе которой в данной ИС происходит оценка частоты их возникновения по ряду угроз;
- «мозговой штурм», проводимый сотрудниками компании [4, 6, 9].
Когда список угроз закончен, каждой из них сопоставляют вероятность возникновения. После чего оценивают ущерб, который может быть нанесен данной угрозой. Исходя из полученных значений, оценивается уровень угрозы. Таким образом оценивается уровень риска для незащищенной ИС, что в последствии позволяет показать эффект от внедрения средств защиты информации (СЗИ).
Оценку можно произвести для вероятности возникновения угрозы и ущерба от нее по следующим пунктам:
Вероятность:
- высокая - очень вероятно, что угроза реализуется в течение следующего года;
- средняя - возможно угроза реализуется в течение следующего года;
- низкая - маловероятно, что угроза реализуется в течение следующего года.
Ущерб - мера величины потерь или вреда, наносимого активу:
- высокий: остановка критически важных бизнес-подразделений, которая приводит к существенному ущербу для бизнеса, потере имиджа или неполучению существенной прибыли;
- средний: кратковременное прерывание работы критических процессов или систем, которое приводит к ограниченным финансовым потерям в одном бизнес-подразделении;
- низкий: перерыв в работе, не вызывающий ощутимых финансовых потерь.
После идентификации угрозы и получении оценки риска, должны быть определены контрмеры, позволяющие устранить риск или свести его до приемлемого уровня. При этом должны приниматься во внимание законодательные ограничения, делающие невозможным или, наоборот, предписывающие в обязательном порядке, использование тех или иных средств и механизмов защиты. Если риск снижен недостаточно, возможно, надо применить другое СЗИ. Вместе с определением средства защиты надо определить, какие затраты повлечет его приобретение и внедрение (затраты могут быть как прямые, так и косвенные). Кроме того, необходимо оценить, безопасно ли само это средство, не создает ли оно новых уязвимостей в системе [27, 28].
Чтобы использовать экономически эффективные средства защиты, нужно проводить анализ соотношения затрат и получаемого эффекта. При этом надо оценивать не только стоимость приобретения решения, но и стоимость поддержания его работы. В затраты могут включаться:
- стоимость реализации проекта, включая дополнительное программное и аппаратное обеспечение;
- снижение эффективности выполнения системой своих основных задач;
- внедрение дополнительных политик и процедур для поддержания средства;
- затраты на найм дополнительного персонала или переобучение имеющегося.
Последний пункт в этой методике - документирование. Когда оценка рисков закончена, ее результаты должны быть подробно документированы в стандартизованном формате, для дальнейшего использования или для проведения более глубокого анализа[4].
Методика рассчитана на управленцев отделов по обеспечению информационной безопасностью предприятия с экономическим уклоном. Производится анализ затрат и полученного эффекта от применения средства защиты информационной системы предприятия. Методика позволяет снизить риск до приемлемого уровня, что позволяет избежать максимальных затрат на обеспечение безопасности современными средствами ИБ.
Характерным для этой методики является «мозговой штурм», проводимый сотрудниками организации, проведение анализа статистики происшествий для данных информационных систем.
Принимаются законодательные ограничения, делающие невозможным или, наоборот, предписывающие в обязательном порядке, использование тех или иных средств и механизмов защиты.
Методика позволяет просчитать, с точки зрения финансирования, применение средства для обеспечения безопасности предприятия, учитывая не только стоимость приобретения решения, но и стоимость поддержания его работы. Примером здесь может выступить внедрение антивирусного средства с файерволом и спам фильтром для каждого компьютера в сети, то есть его закупка, и сопровождение в последующее время его работы на обеспечение безопасности предприятия в пределах сети. Сразу же применяется программно-аппаратный комплекс для обеспечения безопасности информационной системы предприятия.
|
|