Разработка тактики обеспечения безопасности и формирование стратегии. Состоит из следующих действий:
•Документирование текущего состояния
•Выбор подходов по сокращению рисков
•Выбор подходов по сокращению расходов
•Указывают изменения, необходимые для внесения в текущую организацию
•Выявляют перспективные направления работ по обеспечению информационной безопасности
Матричный Метод Анализа
Метод связывает активы, уязвимости и средства управления и определяет важность различных средств управления различным активам организации. Методология включает в себя три различных матрицы, связанные между собой:
Матрица угроз – содержит в себе отношения между уязвимостями и угрозами.
Матрица уязвимостей – содержит связь между активами и уязвимостями.
Матрица контролей – содержит связи между угрозами и средствами управления.
Значение в каждой ячейке матрицы показывает ценность отношения между элементом строки и столбца. Используется следующая система оценок:
1 – низкая,
2 – средняя
3 – высокая.
В процессе первоначального анализа формируются списки активов, уязвимостей, угроз и средств управления. Матрицы заполняются путем добавления данных о связи элемента столбца матрицы с элементом строки.
Матрица угроз
Матрица уязвимостей
Матрица контролей
Затем данные из матрицы уязвимостей переносятся в матрицу угроз. Дальше по такому же принципу данные из матрицы угроз заносятся в матрицу контроля.
Одно из преимуществ данной методики является ее универсальность
Формулы расчетов
Иерархическая структура рисков (Risk Breakdown Structure, RBS)
Иерархическая структура рисков (Risk Breakdown Structure, RBS) – Иерархически организованное представление известных рисков проекта, распределенных по категориям и подкатегориям риска, указывающим различные области и причины возможных рисков. Иерархическая структура рисков часто подгоняется под конкретные типы проектов.
Методы расчета рисков
В качестве оценки рисков можно использовать как количественный, так и качественный метод оценки. Для количественного метода оценки рисков и угроз используются следующие показатели:
SLE (Single Loss Expectancy) = Asset Value x EF (Exposure Factor)
ALE (Annualized Loss Expectancy) = SLE x ARO (Annualized Rate of Occurrence)
Total Risk = Threats x Vulnerabilities x Asset Value
ACV (Actual Cost Evaluation)
Asset Value (AV) – Стоимость ресурса, отражает ценность ресурса. При качественном анализе можно использовать фиксированные величины (1 – низкая стоимость, 2- средняя и 3 – высокая стоимость). Например, сервер активного каталога будет иметь показатель AV=3, а рабочая станция AV=1.
Exposure Factor (EF) – Степень защищенности ресурса. Демонстрирует насколько данный ресурс подвержен