Также должна быть определена степень детализации описания ЛВС при управлении риском. Степень детализации можно представлять себе как сложность созданной логической модели всей ЛВС или ее части, отражающую, в рамках заданной границы, глубину процесса управления риском. Степень детализации будет отличаться для разных областей ЛВС (в пределах заданной границы) и, как следствие, в ходе процесса управления риском будут использоваться их описания различной детальности. Например, некоторые области могут рассматриваться в общем, или менее детально, в то время как другие области могут быть рассмотрены глубоко и очень детально. Для небольших ЛВС граница может располагаться таким образом, что будет анализироваться вся ЛВС, и в таком случае нужно определить согласованную степень детализации для всех частей ЛВС. Для больших ЛВС организация может принять решение учитывать при анализе только те области, которыми она управляет, и определить степень детализации таким образом, чтобы учесть все области внутри границы. Однако в любом случае может потребоваться детальное описание процесса передачи данных, соединений с внешними сетями, и ряда приложений. Кроме того, на степень детализации могут повлиять изменения в конфигурации ЛВС, появление новых внешних связей, модернизация или обновление системных или прикладных программ в ЛВС.
Соответствующая методология управления риском для ЛВС может быть определена до определения границы и степени детализации. Если методология уже была определена, то может оказаться полезным перепроверить выбранную методологию с точки зрения соответствия заданной границе и степени детализации. Если же методология не выбрана, то граница и степень детализации могут оказаться полезными в отборе методологии, которая производит наиболее эффективные результаты.
Этап 2 - Идентификация и оценка ценностей
В ходе оценки ценностей выявляются и назначаются стоимости ценностям ЛВС. Все части ЛВС имеют стоимость, хотя некоторые ценности определенно более ценны, чем другие. Этот шаг дает первый признак тех областей, на которые нужно обратить особое внимание. Для ЛВС, в которых обрабатывается большое количество информации, которая не может быть разумно проанализирована, может быть сделан начальный отбор ценностей. Определение и оценка ценностей может позволить организации первоначально разделить области на те, которые могут быть опущены на те, которые должны рассматриваться как высокоприоритетные.
Различные методы могут использоваться, чтобы идентифицировать и оценить ценности. Методология риска, которую выбирает организация, может обеспечить руководство рекомендациями по выделению ценностей и должна обеспечить его методикой оценки ценностей. Вообще ценности могут быть оценены на основании воздействий и последствий для организации. Оценка может включать не только стоимость замены ценности, но также последствия для организации раскрытия, искажения, разрушения или порчи ценности.
Так как стоимость ценности должна быть основана не только на стоимости замены, оценивание ценности по большей части - субъективный процесс. Однако, если оценка ценности выполняется с учетом конечной цели процесса, то есть определения ценностей в терминах иерархии важности или критичности, относительное сопоставление ценностей становится более важным, чем назначение им "правильной" стоимости.
Методология оценки риска должна определить, в каком виде представляются стоимости ценностей. Чисто количественные методологии типа FIPS 65 могут использовать долларовые стоимости. Однако необходимость назначить долларовую стоимость некоторым из последствий, которые могут происходить в современных вычислительных средах, может оказаться достаточным основанием для формирования мнения, что управление риском является глупостью.
Большое количество методологий оценки риска, используемых в наше время, требует оценки ценности в более качественных терминах. В то время как этот тип оценки может рассматриваться как более субъективный, чем количественный подход, если шкала, используемая для оценки ценностей, используется согласованно в течение всего процесса управления риском, полученные результаты должны быть полезны .Стоимость ценности может быть представлена в терминах потенциальных потерь. Эти потери могут быть основаны на стоимости восстановления, потерях при непосредственном воздействии и последствий. Одна из самых простых методик оценки потерь для ценности состоит в использовании качественного ранжирования на высокие, средние и низкие потери. Назначение чисел этим уровням (3 = высокие, 2 = средние, и 1 = низкие) может помочь в процессе измерения риска.
Одним из косвенных результатов этого процесса является то, что создается детальная конфигурация ЛВС и функциональная схема ее использования. Эта конфигурация должна описывать подключенные аппаратные средства ЭВМ, главные используемые приложения, важную информацию, обрабатываемую в ЛВС, а также то, как эта информация передается через ЛВС. Степень знания конфигурации ЛВС будет зависеть от использовавшихся границы и степени детализации. Конфигурация Аппаратных средств - включает серверы, автоматизированные рабочие места, ПК, периферийные устройства, соединения с глобальными сетями, схему кабельной системы, соединения с мостами или шлюзами и т.д..
Конфигурация Программного обеспечения - включает операционные системы серверов, автоматизированных рабочих мест и операционные системы ПК, операционную систему ЛВС, главное прикладное программное обеспечение, инструментальное программное обеспечение, средства управления ЛВС, и программное обеспечение, находящееся в процессе разработки. Она должна также включать местоположение программного обеспечения в ЛВС и указание мест, откуда к нему обычно осуществляется доступ.
Данные - включает разделение данных на ряд типов(которое привязано к специфике задач: решаемых с помощью ЛВС), обрабатываемых и передаваемых через ЛВС, а также типы пользователей, получающих доступ к данным. Важно указать, откуда к данным обращаются, и где они хранятся и обрабатываются в ЛВС. Должно также быть уделено внимание критичности данных.
После того, как описание конфигурации ЛВС закончено и ценности определены и оценены, организация должна получить вполне адекватное представление о том, из чего состоит ЛВС и какие области ЛВС должны защищаться.
Этап 3 - Идентификация угроз и определение их вероятности
Результатом этого процесса должно быть явное указание враждебных действий, которые могли бы повредить ЛВС, вероятности того, что эти действия могут произойти, и уязвимые места ЛВС, которые могут использоваться для реализации этих враждебных действий. Чтобы достигнуть этого результата, должны быть выявлены угрозы и уязвимые места, и определены вероятности того, что эти угрозы могут реализоваться.
Существует много информации относительно различных угроз и уязвимых мест. Некоторые методологии управления риском также содержат информацию относительно потенциальных угроз и уязвимых мест. Опыт пользователей и опыт по управлению ЛВС также позволяет выявить угрозы и уязвимые места.
Список угроз, которые будут рассматриваться, зависит от установленных границ анализа риска и степени детализации описания ЛВС. Концептуальный анализ может указать на абстрактные угрозы и уязвимые места; более детальный анализ может связать угрозу с конкретной компонентой. Например, высокоуровневый анализ может установить, что потеря конфиденциальности данных посредством раскрытия информации в ЛВС приводит к слишком большому риску. Детальный анализ ЛВС может установить, что раскрытие данных о сотрудниках при перехвате их при передаче по ЛВС приводит к слишком большому риску. Более чем вероятно, что абстрактность угроз, выявленных в результате концептуального анализа, в конечном счете приведет к тому, что и рекомендации относительно средств защиты тоже будут абстрактными. Это приемлемо, если проводится общая оценка риска. Более детальная оценка риска даст рекомендации относительно средства защиты, которое должно уменьшить конкретный риск, такой как раскрытие данных о сотрудниках.
Любая ценность в ЛВС, которая была определена как достаточно важная (то есть, не была отфильтрована в процессе отбора) должна быть исследована, чтобы можно было выявить те угрозы, которые могут потенциально повредить ей. Для более детальной оценки особое внимание должно быть уделено детализации путей, с помощью которых эти угрозы могли бы происходить. Например, методами нападения, которые приводят к неавторизованному доступу, могут быть воспроизведение сеанса регистрации, вскрытие пароля, подключение неправомочного оборудования к ЛВС, и т.д. Эти специфические особенности обеспечивают большее количество информации при определении уязвимых мест ЛВС и будут обеспечивать большее количество информации для предложения средств защиты.
Этот процесс может раскрыть некоторые уязвимые места, которые могут быть немедленно исправлены путем улучшения административного управления ЛВС и применения организационных мер. Эти организационные меры будут обычно сокращать риск угроз до некоторой степени , пока не будут запланированы и осуществлены более полные меры и средства защиты. Например, увеличение длины и изменение алфавита символов пароля для аутентификации может быть одним из путей сокращения уязвимого места - угадывания паролей. Использование более надежных паролей - мера, которая может быть быстро осуществлена для увеличения безопасности ЛВС. Одновременно может осуществляться планирование и внедрение более продвинутого механизма аутентификации.