Задачи и внедрение Бизнес-стратегия Стратегия в области ит основные тенденции развития ит (стр. 35 из 98)

│Механизмы │В данной главе описывается перечень файлов│Внутренний аудит, технические│

│мониторинга доступа│протокола, которые ведутся системой, а также│специалисты │

│к объектам│набор контрольных метрик, определяющих│ │

│информационной │состояние системы и угрозы нарушений в ее│ │

│системы │работе │ │

├────────────────────┼───────────────────────────────────────────────┼─────────────────────────────┤

│Обязанности │В этом разделе рассматриваются различные│Руководитель │

│должностных лиц в│нарушения или угрозы нарушений, выявленные в│информационно-технологическо-│

│случае нарушений│результате анализа механизмов мониторинга, и│го подразделения,│

│информационной │определяются действия должностных лиц по│представители службы│

│безопасности системы│устранению или предотвращению нарушений │безопасности │

└────────────────────┴───────────────────────────────────────────────┴─────────────────────────────┘

Рассмотрим основные механизмы защиты информационных систем. Реализация концепции информационной безопасности, как правило, строится на стандартных механизмах. Преимуществом использования типовых решений являются их надежность, наличие опыта их эксплуатации у персонала, прозрачность возможности реализации и низкая стоимость. Недостаток стандартных механизмов - их доступность для злоумышленника. Поэтому, используя типовые решения, следует знать об их слабых сторонах, особенно когда информация имеет высокую коммерческую стоимость и возможно привлечение злоумышленниками профессиональных специалистов в области информационной безопасности.

Меры информационной безопасности можно разделить на четыре категории.

1. Сдерживающие социальные меры. Как правило, направлены на устранение первичных причин нарушений в информационном пространстве организации. К ним относятся:

- создание здорового социального климата в организации;

- снижение нагрузки на персонал и развитие системы восстановления работоспособности сотрудников;

- разработка системы наказания за различные нарушения, в том числе за нарушение режима информационной безопасности. Информирование всех о применяемых наказаниях;

- ограничение знания сотрудников только областью их непосредственных обязанностей;

- контроль и анализ нетипичных действий сотрудников и сторонних лиц (партнеров, клиентов);

- четкая система обучения.

2. Установка систем защиты. Данные средства основываются на программно-аппаратных решениях. Обычно они предлагаются сторонними организациями и за определенную плату или бесплатно доступны для каждой организации. К техническим средствам защиты относятся:

- шифрование;

- электронные подписи и электронная аутентификация;

- развитие системы доступа к данным;

- система защиты программных ресурсов;

- система защиты аппаратных ресурсов;

- физическое ограничение доступа к аппаратным ресурсам системы.

3. Компенсационные меры направлены на ограничение последствий нарушений в системе. К ним относятся следующие решения:

- установка лимитов на выполнение операций;

- страхование рисков;

- создание резервных систем;

- моделирование нарушений;

- подробное регламентирование действий сотрудников в исключительных ситуациях.

4. Мониторинг нарушений. Цель мониторинга - распознавание нарушений в информационных системах, а именно:

- аудит информационной системы;

- сравнение показателей системы с независимыми источниками;

- система контрольных метрик.

Управление рисками

Основой разработки системы информационной безопасности является ее целесообразность. Современные средства позволяют свести к нулю практически любой вид нарушений в информационной системе. Однако стоимость идеальной защиты может многократно превышать любой ожидаемый ущерб. Поэтому при проведении работ, связанных с информационной безопасностью, следует соблюдать баланс между приемлемым уровнем риска и затратами на его снижение.

Основные этапы управления рисками:

* инициирование и планирование;

* сбор информации о существующих процедурах ИБ и внутреннего контроля;

* идентификация потенциальных угроз;

* оценка вероятности их наступления и возможных последствий;

* составление и обновление карты рисков;

* разработка дополнительных мер информационной безопасности и контрольных процедур;

* подготовка отчетов для руководства;

* контроль внедренных процедур.

В данной главе риск рассматривается как среднестатистическая сумма ущерба от негативного события, произведение вероятности события на сумму ущерба:

риск = вероятность х среднестатистическая сумма ущерба.

Очевидно, что каждая из составляющих носит приблизительный характер. Это объясняется отсутствием не только детальной статистики, но даже единой методики получения этих значений. Однако анализ уже имеющихся данных позволяет выявить некоторые зависимости для проведения корректировок в политике. Рассмотрим более детально обе составляющие этого выражения.

Под вероятностью нарушения системы безопасности подразумевается среднее количество подобных событий за определенный период времени.

Оценивая вероятность, необходимо учитывать, что:

1) часть нарушений непосредственно связана с каким-либо событием. Так, ошибки ввода информации пользователями связаны с количеством вводимых документов (рис. 14).

"Рис. 14. Зависимость ошибочных действий от объема операций"

Пик в начале графика связан с отсутствием у пользователей постоянной практики в выполнении рассматриваемой функции, что приводит к росту ошибок для редких событий. Правый конец графика также носит условный характер, поскольку на него начинают оказывать факторы усталости сотрудника или рефлексы, например информационное поле заполняется без осмысления вводимого значения. Для наиболее часто используемых ручных операций пользователи разрабатывают собственные приемы ускорения ввода данных (шаблоны, копирование), которые также влияют на вероятность ошибки;

2) вероятность злоупотребления имеет линейную зависимость от количества людей, знающих о возможности злоупотребления, а также от количества людей, знающих всю последовательность действий. В тоже время вероятность обратно пропорциональна количеству необходимых участников и количеству альтернативных систем. Последний фактор часто оказывается ключевым в расчете эффективности интернет-службы банка. Вероятность взлома сервера этой службы случайным хакером невелика, поскольку существует множество других серверов, предоставляющих такой же интерес;

3) вероятность технического сбоя в дублируемой системе, имеющей модульную структуру, равна:

вероятность = SUMi (V2i х Тi),

где Vi - вероятность сбоя i-го модуля;

Тi - время устранения неисправности для данного модуля;

4) вероятность несанкционированного доступа к копируемым данным равна сумме вероятностей несанкционированного доступа к каждой копии;

5) количество сбоев в программном обеспечении, как правило, носит случайный характер, однако следует знать, что существует почти линейная зависимость ошибок разработки от количества используемых систем и от количества связей между ними. Если системы образуют сетевую архитектуру, то зависимость становится квадратичной.

Приведенный анализ носит условный характер, однако он позволяет оценить эффективность принимаемых мер для обеспечения информационной безопасности.

Что касается оценки возможного ущерба, то она тоже носит до определенной степени относительный характер. При оценке ущерба от исключительной ситуации в информационной системе необходимо рассматривать два вида нарушений: нарушение, приводящее к разовому ущербу, и нарушение, приносящее ущерб во весь период своего действия. Во втором случае сумма ущерба является функцией, зависимой от времени устранения последствий. Форма данной функции зависит от типа нарушения (табл. 12).

Таблица 12

Зависимость алгоритма расчета ожидаемого ущерба от типа нарушения

┌──────────────────────┬─────────────────────────────────────────────┬─────────────────────────────┐

│ Тип нарушения │ Ущерб от нарушения │ Стоимость восстановительных │

│ │ │ работ │

├──────────────────────┼─────────────────────────────────────────────┼─────────────────────────────┤