Основа стратегической безопасности

Анализ рисков состоит  в том, чтобы выявить существующие риски и оценить их величину (дать им качественную либо количественную оценку). Процесс анализа рисков можно разделить на несколько последовательных этапов (рис 10):

 

 

 

 

 

 

 

 

 

 

 

 

 

 

• идентификация ключевых ресурсов ИС;
• определение важности тех или иных ресурсов для организации;
• идентификация существующих угроз безопасности и уязвимостей, делающих возможным осуществление угроз;
• вычисление рисков, связанных с осуществлением угроз безопасности.

Ресурсы ИС можно разделить  на следующие категории:

• информационные ресурсы;
• программное обеспечение;
• технические средства (серверы, рабочие станции, активное сетевое оборудование и т. п.)
• людские ресурсы.

В каждой категории ресурсы  делятся на классы и подклассы. Необходимо идентифицировать только те ресурсы, которые определяют функциональность ИС и существенны с точки зрения обеспечения безопасности.

Важность (или стоимость) ресурса определяется величиной  ущерба, наносимого в случае нарушения конфиденциальности, целостности или доступности этого ресурса. Обычно рассматриваются следующие виды ущерба: раскрытие, изменение, удаление или недоступность данных, повреждение или разрушение аппаратуры, нарушение целостности программного обеспечения.

Ущерб может быть нанесен  организации в результате локальных и удаленных атак на ресурсы ИС, стихийных бедствий, ошибок или умышленных действий персонала ИС, сбоев в работе ИС, вызванных ошибками в программном обеспечении или неисправностями аппаратуры.

Величина риска определяется на основе стоимости ресурса, вероятности осуществления угрозы и величины уязвимости по следующей формуле:

Риск = (стоимость ресурса * вероятность угрозы) : величина уязвимости

Задача управления рисками  заключается в выборе обоснованного  набора контрмер, позволяющих снизить  уровни рисков до приемлемой величины. Стоимость реализации контрмер должна быть меньше величины возможного ущерба. Разница между стоимостью реализации контрмер и величиной возможного ущерба должна быть обратно пропорциональна вероятности причинения ущерба.

Оценка рисков может даваться с использованием различных, как качественных, так и количественных шкал. Главное, чтобы существующие риски были правильно идентифицированы и проранжированы в соответствии со степенью их критичности для организации. На основе такого анализа может быть разработана система первоочередных мероприятий по уменьшению величины рисков до приемлемого уровня.

Практические правила  обеспечения ИБ на всех этапах жизненного цикла информационной технологии должны носить комплексный характер и основываться на проверенных практикой приемах и методах. Например, в информационной технологии должны обязательно использоваться некоторые средства идентификации и аутентификации пользователей (сервисов), средства резервного копирования, антивирусный контроль, и т.д.

Режим ИБ в подобных системах обеспечивается:

• на процедурном уровне — путем разработки и выполнения разделов инструкций для персонала, посвященных ИБ, а также мерами физической защиты;
• на программно-техническом уровне — применением апробированных и сертифицированных решений, стандартного набора контрмер: резервное копирование, антивирусная защита, парольная защита, межсетевые экраны, шифрование данных и т.д.

В настоящее время  используются два подхода к анализу  рисков — базовый и полный вариант. Выбор зависит от оценки собственниками ценности своих информационных ресурсов и возможных последствий нарушения режима информационной безопасности. Для обеспечения базового уровня ИБ используется упрощенный подход к анализу рисков, при котором рассматривается стандартный набор наиболее распространенных угроз безопасности без оценки их вероятностей. Для нейтрализации угроз применяется типовой набор контрмер, а вопросы эффективности защиты не рассматриваются. Подобный подход приемлем, если ценность защищаемых ресурсов с точки зрения организации не является чрезмерно высокой. Методология анализа рисков для базового уровня безопасности, предлагаемая в документах и стандартах различных организаций, различается и будет рассмотрена в подразделе «Базовый уровень информационной безопасности».

В ряде случаев базового уровня безопасности оказывается недостаточно. Примером может служить АСУТП предприятия  с непрерывным циклом производства, когда даже кратковременный выход из строя автоматизированной системы приводит к очень тяжелым последствиям. В этом и подобных случаях важно знать параметры, характеризующие уровень безопасности информационной системы (технологии): количественные оценки угроз безопасности, уязвимостей, ценности информационных ресурсов. В случае повышенных требований в области ИБ используется полный вариант анализа рисков. В отличие от базового варианта, в том или ином виде производится оценка ценности ресурсов, характеристик рисков и уязвимостей. Как правило, проводится анализ по критерию стоимость/эффективность нескольких вариантов защиты. Методология обеспечения информационной безопасности для этого случая рассматривается в подразделе «Обеспечение повышенных требований к ИБ».

Несмотря на существенную разницу  в методологии обеспечения базового и повышенного уровней безопасности, можно говорить о единой концепции ИБ (рис. 11).

Результатом проведения аудита в последнее время все  чаще становится сертификат, удостоверяющий соответствие обследуемой ИС требованиям  признанного международного стандарта. Наличие такого сертификата позволяет организации получать конкурентные преимущества, связанные с большим доверием со стороны клиентов и партнеров.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Как говорилось ранее, под  информационной безопасностью (ИБ) понимается защищенность информации и поддерживающей инфраструктуры от случайных и преднамеренных воздействий естественного или искусственного характера, чреватых нанесением ущерба владельцам или пользователям информации и поддерживающей инфраструктуры.

Вне зависимости от размеров организации и специфики ее информационной системы, работы по обеспечению режима ИБ в том или ином виде должны содержать следующие этапы (рис. 12):

• определение политики ИБ.
• определение сферы (границ) системы управления информационной безопасностью и конкретизация целей ее создания.
• оценка рисков.
• управление рисками.
• выбор контрмер, обеспечивающих режим ИБ.
• аудит системы управления ИБ.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Определение политики ИБ должно сводиться к следующим  практическим шагам:

• определение используемых руководящих документов и стандартов в области ИБ, а также основных положений политики ИБ, включая:
• управление доступом к средствам вычислительной техники (СВТ), программам и данным;
• антивирусную защиту;
• вопросы резервного копирования;
• проведение ремонтных и восстановительных работ;
• информирование об инцидентах в области ИБ.
• определение подходов к управлению рисками: является ли достаточным базовый уровень защищенности или требуется проводить полный вариант анализа рисков.
• структуризацию контрмер по уровням.
• порядок сертификации на соответствие стандартам в области ИБ.

Должна быть определена периодичность  проведения совещаний по тематике ИБ на уровне руководства, включая периодический пересмотр положений политики ИБ, а также порядок обучения всех категорий пользователей информационной системы по вопросам ИБ.

Необходимо определить границы системы, для которой  должен быть обеспечен режим ИБ. Соответственно, система управления ИБ должна строиться именно в этих границах.

Описание границ системы  рекомендуется выполнять по следующему плану:

• Структура организации. Описание существующей структуры и изменений, которые предполагается внести в связи с разработкой (модернизацией) автоматизированной системы.
• Размещение средств ВТ (СВТ) и поддерживающей инфраструктуры.
• Ресурсы информационной системы, подлежащие защите. Рекомендуется рассмотреть ресурсы автоматизированной системы следующих классов: СВТ, данные, системное и прикладное ПО. Все ресурсы представляют ценность с точки зрения организации. Для их оценки должна быть выбрана система критериев и методология получения оценок по этим критериям.
• Технология обработки информации и решаемые задачи. Для решаемых задач должны быть построены модели обработки информации в терминах ресурсов.

В результате должен быть составлен документ, в котором  зафиксированы границы системы, перечислены ресурсы, подлежащие защите, дана система критериев для оценки их ценности.

На этапе постановки задачи оценки рисков должна быть поставлена задача оценки рисков и обоснованы требования к методике оценки рисков.

Существуют различные  подходы к оценке рисков. Выбор  подхода зависит от уровня требований, предъявляемых в организации  к режиму информационной безопасности, характера принимаемых во внимание угроз (спектра воздействия угроз) и эффективности потенциальных контрмер.

Минимальным требованиям  к режиму ИБ соответствует базовый уровень ИБ. Во многих информационных системах требования в области ИБ не являются жесткими: недоступность системы может составлять несколько десятков часов в год, степень конфиденциальности сведений не очень высока. Примерами таких систем являются практически все офисные системы, системы поддержки принятия решений для приложений, где не требуется высокая оперативность. Практические правила обеспечения режима ИБ в подобных случаях обычно основываются на концепции базового уровня ИБ. Базовый уровень обеспечивается совокупностью проверенных практикой правил обеспечения ИБ на всех этапах жизненного цикла информационной технологии. Эти правила носят комплексный характер, то есть охватывают административный, процедурный, программно-технический уровни и все этапы жизненного цикла информационной технологии. Достоинством подобного подхода является сравнительно низкая трудоемкость и ориентация на проверенные стандартные решения. Недостатком является отсутствие оценок параметров, характеризующих режим ИБ. При подобном подходе можно упустить из вида специфические для конкретной информационной системы классы угроз. Существует ряд стандартов и спецификаций, в которых рассматривается минимальный (типовой) набор наиболее вероятных угроз, таких как вирусы, сбои оборудования, несанкционированный доступ и т. д. Для нейтрализации этих угроз обязательно должны быть приняты контрмеры вне зависимости от вероятности их осуществления и уязвимости ресурсов. Таким образом, характеристики угроз на базовом уровне рассматривать не обязательно.

В случаях, когда нарушения  режима ИБ чреваты тяжелыми последствиями, базовый уровень требований к режиму ИБ является недостаточным. Для того чтобы сформулировать дополнительные требования, необходимо:

• определить ценность ресурсов;
• к стандартному набору добавить список угроз, актуальных для исследуемой информационной системы;
• оценить вероятности угроз;
• определить уязвимости ресурсов.

Должна быть разработана  стратегия управления рисками разных классов.

Возможно несколько  подходов:

• уменьшение риска;
• уклонение от риска;
• изменение характера риска;
• принятие риска.

Уменьшение  риска. Многие риски могут быть существенно уменьшены путем использования весьма простых и дешевых контрмер. Например, грамотное управление паролями снижает риск несанкционированного доступа.

Уклонение от риска. От некоторых классов рисков можно уклониться. Например, вынесение Web-сервера организации за пределы локальной сети позволяет избежать риска несанкционированного доступа в локальную сеть со стороны Web-клиентов.

Изменение характера  риска. Если не удается уклониться от риска или эффективно его уменьшить, можно принять некоторые меры страховки. К примеру, оборудование может быть застраховано от пожара, могут быть заключены договора с поставщиками СВТ о сопровождении и компенсации ущерба, вызванного нештатными ситуациями и т.д.

Принятие риска. Многие риски не могут быть уменьшены до пренебрежимо малой величины.

На практике, после  принятия стандартного набора контрмер, ряд рисков уменьшается, но остается все еще значимым. Необходимо знать  остаточную величину риска.

В результате выполнения этапа для принимаемых во внимание рисков должна быть предложена стратегия управления.

 

§ 3. Практические инструкции по защите от внутренних угроз

 

Атаки внутренних нарушителей могут  иметь сокрушительные последствия  для деятельности компании. Обзор за 2006 г. E-Crime, сопровождаемый Службой безопасности национального центра оценки угроз США, SEI CERT (Computer Emergency Readiness Team), показал, что в случае, где респондент смог определить злоумышленника киберпреступления, 32% были совершены внутренними нарушителями. По приведенным данным, один лишь показатель по финансовому мошенничеству с участием внутренних нарушителей в финансовых институтах обусловил убытки примерно на 700 млн. долларов. Или, например, одним из представленных инцидентов является атака с применением «логической бомбы«, созданной техническим специалистом компании по безопасности, результатом которой стало увольнение 80 сотрудников и 10-миллионные убытки компании.