Анализ и оценка рисков информационной безопасности в АО "ЮниКредит Банк" с использованием разработанной методики - Анализ рисков информационной безопасности в банковской сфере на примере "ЮниКредит Банк"

Комплексный анализ и оценка рисков даже небольшой части информационной системы банка по разработанной методике - это крайне сложная и ответственная задача. В данной работе мы ограничимся проверкой логичности полученного алгоритма на примере АО "ЮниКредит Банк", а также качественной и количественной оценкой риска от реализации двух угроз, связанных с получением доступа к ресурсу. При расчете будем использовать метод анализа угроз и уязвимостей.

Первый этап - подготовительный.

1. Определяем критерии принятия риска.

Риск является допустимым, если на этапе качественной оценки риска ему будет присвоена оценка 1 или 2 по шкале от 1 до 7.

2. Определяем границы исследуемой системы.

В связи с тем, что мы ограничены в информации обо всей ИС банка, рассмотрим в качестве исследуемой системы рабочее место сотрудника отдела целевого маркетинга и клиентской аналитики.

    3. Назначаем роли:
      - ответственный за коррекцию методики оценки рисков в случае обнаружения ее недостаточной эффективности; - ответственный за нарушение подхода к оценке рисков; - ответственный за оценку рисков нарушения ИБ; - ответственный за разработку планов обработки рисков нарушения ИБ.
    4. Выбираем актуальные для нас классы ресурсов, угроз, уязвимостей, потерь и группы пользователей. - Ресурсы: аппаратные, программные. - Угрозы по источникам: связанные с ЧС, с внутренними/внешними нарушителями ИБ, с техническими сбоями и др. - Уязвимости: по недостатку технических, организационных, физических средств ЗИ. - Потери: конфиденциальности, целостности и доступности. - Группы пользователей: сотрудники компании.

Второй этап - более подробное описание исследуемой системы. В силу того, что мы ограничиваем исследуемую ИС до рабочего места сотрудника, выделим самые значительные ресурсы и наиболее ценную информацию в них (Таб.3).

Таблица 3

Самые ценные ресурсы исследуемой системы

Класс ресурса

Ресурс

Информация

Критичность ресурса, D

Аппаратный

Рабочая станция

Финансовая отчетность

= 10

Конфиденциальная информация о работе отдела

= 2

Персональные данные клиентов

= 5

Инф. о счетах

Инф. о транзакциях

Корпоративная электронная почта

Программный

SAS Enterprise Guide

Персональные данные клиентов

= 10

= 3

= 4

Инф. о счетах

Инф. о транзакциях

Lotus Notes

Корпоративная электронная почта

= 10

= 7

= 4

MyClient

Персональные данные клиентов

= 10

= 9

Финансовая отчетность

= 7

Далее составим перечень угроз и уязвимостей, через которые могут быть реализованы данные угрозы (Таб.4). Экспертами в области информационной безопасности должен быть составлен список вопросов, в результате ответов на которые будут получены оценки критичности ресурсов, критичности реализации угроз и вероятности реализации угроз. Мы назначим данные величины сами.

Выделим две угрозы по ресурсу "Рабочая станция", одна из которых реализуется с помощью двух уязвимостей Это необходимо для более полной апробации алгоритма расчета оценки риска.. Для каждой угрозы рассчитаем показатели конфиденциальности, целостности и доступности ресурса.

Таблица 4

Угрозы безопасности и уязвимости исследуемой системы

Угроза

Уязвимость

Критичность реализации угрозы, ER

Вероятность реализации угрозы, P(V)

Халатность сотрудника: покинул рабочее место без выхода из системы. Результат: открыт доступ к информации

Автоматический выход из системы происходит только через 10 минут бездействия пользователя

Получение обслуживающим персоналом логина и пароля сотрудника

Результат: открыт доступ к информации

Недостатки организационных мер защиты: сотрудник хранит логин и пароль под клавиатурой

Недостатки организационных мер защиты: обслуживающий персонал работает в то же время, когда и основные сотрудники - есть возможность подсмотреть логин и пароль при вводе

Третий этап - оценка рисков.

Определяем уровень риска качественным методом:

1. Переводим показатели ER и P(V) из процентов в качественные показатели следующим образом (Таб.5):

Таблица 5

Перевод показателей из количественных в качественные величины

ER

P(V)

0 - 20%

"очень низкий"

0 - 33%

"низкий"

21 - 40%

"низкий"

34 - 66%

"средний"

41 - 60%

"средний"

61 - 80%

"высокий"

67 - 100%

"высокий"

81 - 100%

"очень высокий"

2. По матрице оценки рисков методики CRAMM (Рис.3) смотрим, какому уровню соответствует риск реализации угрозы через определенную уязвимость. Результат качественной оценки показан в таблице 6.

Таблица 6

Результат количественной оценки рисков

Угроза

Уязвимость

Критичность реализации угрозы, ER

Вероятность реализации угрозы, P(V)

Качественная оценка

Халатность сотрудника: покинул рабочее место без выхода из системы. Результат: открыт доступ к информации

Автоматический выход из системы происходит только через 10 минут бездействия пользователя

- "высокий"

- "низкий"

6

- "очень низкий"

- "низкий"

5

- "средний"

- "низкий"

6

Получение обслуживающим персоналом логина и пароля сотрудника

Результат: открыт доступ к информации

Недостатки организационных мер защиты: сотрудник хранит логин и пароль под клавиатурой

- "высокий"

- "низкий"

6

- "очень низкий"

- "низкий"

5

- "средний"

- "низкий"

6

Недостатки организационных мер защиты: обслуживающий персонал работает в то же время, когда и основные сотрудники - есть возможность подсмотреть логин и пароль при вводе

- "высокий"

- "низкий"

6

- "очень низкий"

- "низкий"

5

- "средний"

- "низкий"

6

В результате качественной оценки получаем, что ни один риск не является приемлемым, а значит необходимо проведение количественной оценки. Для удобства обозначим первую угрозу, а вторую, при этом будет означать реализацию второй угрозы через первую уязвимость, а - реализацию второй угрозы через первую уязвимость с нарушением свойства конфиденциальности ресурса.

Определяем уровень риска количественным методом:

1. Рассчитываем уровень угрозы по конкретной уязвимости:

    2. Рассчитываем уровень угрозы по всем уязвимостям (для первой угрозы данный показатель уже рассчитан, так как она может быть реализована только через одну уязвимость): 01 3. Рассчитываем общий уровень угроз по ресурсу: 4. Рассчитывается риск по ресурсу:

5. Расчет риска по информационной системе для нас невозможен, так как в данной работе мы ограничиваемся оценкой риска по одному ресурсу.

Четвертый этап - составление краткосрочных, среднесрочных и долгосрочных планов обработки рисков и усовершенствования СЗИ.

Пятый этап - генерация отчетов. На этом шаге также рассчитываются финансовые показатели: ROI, ALE, затраты на реализацию планов обработки рисков.

Похожие статьи




Анализ и оценка рисков информационной безопасности в АО "ЮниКредит Банк" с использованием разработанной методики - Анализ рисков информационной безопасности в банковской сфере на примере "ЮниКредит Банк"

Предыдущая | Следующая