logo search
Материалы для PDF / Информационная безопасность

Основные этапы управления рисками

Этапы, предшествующие анализу угроз, можно считать подготови­тельными, поскольку, строго говоря, они напрямую с рисками не связа­ны. Риск появляется там, где есть угрозы.

Краткий перечень наиболее распространенных угроз был рассмот­рен нами ранее. К сожалению, на практике угроз гораздо больше, причем далеко не все из них носят компьютерный характер. Так, вполне реальной угрозой является наличие мышей и тараканов в занимаемых организаци­ей помещениях. Первые могут повредить кабели, вторые вызвать корот­кое замыкание. Как правило, наличие той или иной угрозы является следствием пробелов в защите информационной системы, которые, в свою очередь, объясняются отсутствием некоторых сервисов безопаснос­ти или недостатками в реализующих их защитных механизмах. Опасность прогрызания кабелей возникает не просто там, где есть мыши, она связа­на с отсутствием или недостаточной прочностью защитной оболочки.

Первый шаг в анализе угроз — их идентификация. Рассматриваемые виды угроз следует выбирать исходя из соображений здравого смысла (ис­ключая, например, землетрясения, однако не забывая о возможности за­хвата организации террористами), но в пределах выбранных видов провес­ти максимально подробный анализ.

Целесообразно выявлять не только сами угрозы, но и источники их возникновения — это поможет в выборе дополнительных средств защиты. Например, нелегальный вход в систему может стать следствием воспро­изведения начального диалога, подбора пароля или подключения к сети неавторизованного оборудования. Очевидно, для противодействия каж­дому из перечисленных способов нелегального входа нужны свои меха­низмы безопасности. После идентификации угрозы необходимо оценить вероятность ее осуществления. Допустимо использовать при этом трехбалльную шкалу (низкая (1), средняя (2) и высокая (3) вероятности).

Кроме вероятности осуществления важен размер потенциального ущерба. Например, пожары бывают нечасто, но ущерб от каждого из них, как правило, велик. Тяжесть ущерба также можно оценить по трех­балльной шкале.

Оценивая размер ущерба, необходимо иметь в виду не только непо­средственные расходы на замену оборудования или восстановление ин­формации, но и более отдаленные, такие как подрыв репутации, ослабле­ние позиций на рынке и т.п. Пусть, например, в результате дефектов в уп­равлении доступом к бухгалтерской информации сотрудники получили возможность корректировать данные о собственной заработной плате. Следствием такого состояния дел может стать не только перерасход бюд­жетных или корпоративных средств, но и полное разложение коллектива, грозящее развалом организации.

Уязвимые места обладают свойством притягивать к себе не только злоумышленников, но и сравнительно честных людей. Не всякий устоит перед искушением немного увеличить свою зарплату, если есть уверен­ность, что это сойдет в рук. Поэтому, оценивая вероятность осуществле­ния угроз, целесообразно исходить не только из среднестатистических данных, но учитывать также специфику конкретных информационных систем. Если в подвале дома, занимаемого организацией, располагается сауна, а сам дом имеет деревянные перекрытия, то вероятность пожара, к сожалению, оказывается существенно выше средней.

После того как накоплены исходные данные и оценена степень не­определенности, можно переходить к обработке информации, то есть собственно к оценке рисков. Вполне допустимо применить такой прос­той метод, как умножение вероятности осуществления угрозы на предпо­лагаемый ущерб. Если для вероятности и ущерба использовать трехбалль­ную шкалу, то возможных произведений будет шесть: 1, 2, 3, 4, 6 и 9. Пер­вые два результата можно отнести к низкому риску, третий и четвертый — к среднему, два последних — к высокому, после чего появляется возмож­ность снова привести их к трехбалльной шкале. По этой шкале и следует оценивать приемлемость рисков. Правда, граничные случаи, когда вы­численная величина совпадает с приемлемой, целесообразно рассматри­вать более тщательно из-за приближенного характера результата.

Если какие-либо риски оказались недопустимо высокими, необхо­димо их нейтрализовать, реализовав дополнительные меры защиты. Как правило, для ликвидации или нейтрализации уязвимого места, сделавше­го угрозу реальной, существует несколько механизмов безопасности, раз­личных по эффективности и стоимости. Например, если велика вероят­ность нелегального входа в систему, можно потребовать, чтобы пользова­тели выбирали длинные пароли (скажем, не менее восьми символов), за­действовать программу генерации паролей или закупить интегрирован­ную систему аутентификации на основе интеллектуальных карт. Если есть вероятность умышленного повреждения сервера баз данных, что мо­жет иметь серьезные последствия, можно врезать замок в дверь серверной комнаты или поставить около каждого сервера по охраннику.

Оценивая стоимость мер защиты, приходится, разумеется, учиты­вать не только прямые расходы на закупку оборудования и/или про­грамм, но и расходы на внедрение новинки и, в частности, обучение и переподготовку персонала. Эту стоимость также можно оценить по трехбалльной шкале и затем сопоставить ее с разностью между вычис­ленным и допустимым риском. Если по этому показателю новое средст­во оказывается экономически выгодным, его можно взять на заметку (подходящих средств, вероятно, будет несколько). Однако если средст­во окажется дорогим, его не следует сразу отбрасывать, памятуя о при­ближенности расчетов.

Выбирая подходящий способ защиты, целесообразно учитывать воз­можность экранирования одним механизмом обеспечения безопасности сразу нескольких прикладных сервисов. Так поступили в Массачусетском технологическом институте, защитив несколько тысяч компьютеров сер­вером аутентификации Kerberos.

Важным обстоятельством является совместимость нового средства со сложившейся организационной и аппаратно-программной структу­рой, с традициями организации. Меры безопасности, как правило, носят недружественный характер, что может отрицательно сказаться на энтузи­азме сотрудников. Порой сохранение духа открытости важнее минимиза­ции материальных потерь. Впрочем такого рода ориентиры должны быть расставлены в политике безопасности верхнего уровня.

Можно представить себе ситуацию, когда для нейтрализации риска не существует эффективных и приемлемых по цене мер. Например, ком­пания, базирующаяся в сейсмически опасной зоне, не всегда может позво­лить себе строительство защищенной штаб-квартиры. В таком случае при­ходится поднимать планку приемлемого риска и переносить центр тяжес­ти на смягчение последствий и выработку планов восстановления после аварий, стихийных бедствий и иных происшествий. Продолжая пример с сейсмоопасностью, можно рекомендовать регулярное тиражирование данных в другой город и овладение средствами восстановления первичной базы данных.

Как и всякую иную деятельность, реализацию и проверку новых регуляторов безопасности следует предварительно планировать. В плане необходимо учесть наличие финансовых средств и сроки обучения персонала. Если речь идет о программно-техническом механизме защиты, нужно составить план тестирования (автономного и ком­плексного).

Когда намеченные меры приняты, необходимо проверить их дейст­венность, то есть убедиться, что остаточные риски стали приемлемыми. Если это на самом деле так, значит, можно спокойно намечать дату бли­жайшей переоценки. В противном случае придется проанализировать до­пущенные ошибки и провести повторный сеанс управления рисками не­медленно.