Смекни!
smekni.com

Введение в защиту информации (стр. 9 из 9)

Некоторые руководящие документы по информационной безопасности косвенно или явно формально указывают на основной принцип определения требуемого уровня защиты. Обычно он формулируется так: "Сумма затрат на обеспечение защиты не должна превосходить суммы ущерба от атаки, которую данная защита должна предотвратить". Реже принимается другой принцип: "Суммарные расходы, понесенные злоумышленником на преодоление защиты должны превышать выгоду от результатов атаки". Первый подход обычно характерен для коммерческих организаций, ориентированных на получение прибыли, второй подход — для организаций работающих, например, с государственными секретами, когда построение защиты подразумевает более существенные расходы.

Однако, если измерить произведенные расходы на приобретение и установку систем защиты информации достаточно легко, то оценить, сколько необходимо потратить на обеспечение безопасности, сложнее. В главе 14 будут представлены некоторые методики такой оценки, но следует учитывать, что увязывание числовых метрик с информационными активами вообще специфично для каждой конкретной организации, а на постсоветском пространстве еще и вносит дополнительные особенности. Скажем, если разглашение информации по компрометирующим действиям западного политика может привести к его отставке, то на территории бывшего СССР это может наоборот прибавить политику популярности.

Управлением рисками следует заниматься не только при планировании глобальных модификаций информационного пространства организации, но и в ряде более мелких случаев. Например, организация использует большую автоматизированную систему, приобретенную у стороннего поставщика, но при этом она открыта к модификации (в ней присутствуют детализированные описания API). Одним из элементов обеспечения информационной безопасности является анализ регистрационных журналов системы. Однако стандартная поставка системы такова, что журнал неполон и дополнительную информацию приходится собирать из других подсистем (допустим, из журналов операционной системы), для чего необходима дополнительная работа, которая выливается в одну штатную единицу оператора мониторинга журналов. Возможные альтернативные решения имеющейся проблемы:

□ принять на работу оператора для выполнения необходимых работ;

□ заказать у поставщика обновление системы с расширенным регистрационным журналом;

□ поручить своим программистам разработать дополнительный модуль с помощью имеющихся API;

□ приобрести отдельный продукт, который будет производить анализ разрозненных регистрационных журналов, возможно, как одну из подфункций к другой полезной деятельности.

Выбирать подходящий вариант из имеющихся можно только после оценки потенциального ущерба оттого, что атака будет реализована по причине отсутствия каких-либо работ по анализу регистрационных журналов системы. Ведь возможно, что стоимость реализации любого из четырех приведенных проектов окажется значительно больше вероятных потерь организации в случае атаки.

Оценка рисков как часть направления информационной безопасности — управления рисками, является существенным инструментом в построении защиты. Однако для эффективного использования этого инструмента необходимо выполнить ряд условий, например, перейти от качественных понятий к количественным. Скажем, "получение доступа к данной информации приведет к краху компании" — это качественное описание, а "разглашение данной информации потребует выплаты суммы п\ клиентам, «2 конкурентам, «з судебные издержки" — это количественное описание. Этот процесс значительно облегчен, если в организации уже произведена классификация информационных активов, о которой рассказывалось в главе 6.

Управление рисками — это процесс определения, анализа и оценки, снижения, устранения или переноса (перенаправления) риска, который (процесс) заключается в ответе на следующие вопросы.

1. Что может произойти?

2. Если это "что-то" произойдет, то каков будет результат или ущерб?

3. Как часто может происходить это событие?

4. Насколько мы уверены в ответах на вышеуказанные вопросы (оценка вероятности)?

5. Что может быть сделано для снижения или устранения вероятности события?

6. Сколько будет стоить то, что может быть сделано?

7. Насколько эффективно то, что может быть сделано?

Сам риск как таковой и состоит из понятия вероятности (четвертый вопрос), т. е. чем больше вероятность первых трех вопросов (событие происходит часто и с большим ущербом), тем больше риск, чем меньше вероятность, тем меньше риск.

Информационный актив — набор информации, который используется организацией в работе и может состоять из более мелких поднаборов. При оценке должно быть проведено отделение собственно информации, как виртуальной составляющей, от ее носителя, как физического объекта. Соответственно стоимость возможного ущерба должна быть оценена как сумма:

□ стоимости замены информации (если была произведена ее утрата в том или ином виде);

□ стоимости замены программного обеспечения поддержки (если оно было повреждено);

□ стоимости нарушения конфиденциальности, целостности, доступности (если таковые имели место).

Отдельно учитываются аппаратное и сетевое обеспечение, поскольку их оценка производится проще (они имеют известную рыночную стоимость).

Стандартная методика организации работ по управлению рисками следующая:

1. Определение политики управления рисками. Построенная на общепринятых принципах обеспечения информационной безопасности (англ. Generally Accepted System Security Principles — GASSP) [GASSP] политикапозволитизбежатьсубъективногоподхода.

2. Определение персонала, который будет заниматься управлением риска ми и обеспечить его финансирование. Помимо оплаты труда, скорее всего придется провести обучение кадров и, возможно, приобрести автоматизированные инструменты или платные методики оценки рисков.

3. Определение методологии и средств, с помощью которых будет производиться оценка риска. Важно быть уверенным в том, что оценка риска проведена правильно до того как будут потрачены средства, необходимые для управления рисками.

4. Идентификация и измерение риска. На первом этапе необходимо определить сферу применения работ, имеющиеся угрозы, информационные активы и их значимость (это, возможно, уже будет сделано при классификации), проанализировать уязвимости активов, которые могут повлиять на частоту появления или размер возможного ущерба. Далее производится сведение полученных данных с установкой метрик. Для качественной оценки это может быть таблица, в колонках которой указаны активы, а в столбцах — уровень риска (высокий, средний, низкий).

Для количественной оценки используется конкретная количественная методика.

Установка критериев приемлемости рисков. На основе полученных данных специалисты по управлению рисками совместно с руководством организации должны определить приемлемость риска на основе принятой методики, например, считать неприемлемым риск, если вероятность потери эквивалента 100 000 долларов США более чем 3/100.

Избежание или уменьшение рисков. Необходимо определить уязвимости, которые становятся неприемлемыми при принятых критериях, и определить меры для их устранения. Этот процесс проходит следующие фазы: выбор средств для снижения/устранения риска оценка эффективности этих средств (в смысле соответствия между ценой средства и его эффективностью), отчет руководству о предлагаемых мероприятиях.

Мониторинг работы управления рисками. Для обеспечения адекватности предпринимаемых мер соответствующим рискам, необходимо периодически производить переоценку рисков при изменении внешних и внутренних обстоятельств, угроз и другие превентивные действия.