Совершенствование системы информационной безопасности в помещениях ОАО "Расчет"

дипломная работа

1.2.5 Оценка рисков

Понятие информационной безопасности неразрывно связано с рисками для информационных ресурсов, под которыми (рисками) понимается возможность нанесения ущерба информационным ресурсам, снижения уровня их защищенности. Риски могут иметь различную природу и характеристики; одной из основных классификаций рисков для информационной безопасности (так же, как и многих других рисков в экономике и управлении) является их разделение:

- на системные риски - неуправляемые риски, связанные с той средой и технической инфраструктурой, в которой функционируют информационные системы;

- операционные риски - как правило, управляемые риски, связанные с особенностями использования определенных информационных систем, их технической реализации, применяемыми алгоритмами, аппаратными средствами и т.п.

Управление рисками рассматривается на административном уровне ИБ, поскольку только руководство организации способно выделить необходимые ресурсы, инициировать и контролировать выполнение соответствующих программ.

Управление рисками, равно как и выработка собственной политики безопасности, актуально только для тех организаций, информационные системы которых и/или обрабатываемые данные можно считать нестандартными. Обычную организацию вполне устроит типовой набор защитных мер, выбранный на основе представления о типичных рисках или вообще без всякого анализа рисков (особенно это верно с формальной точки зрения, в свете проанализированного нами ранее российского законодательства в области ИБ).

Использование информационных систем связано с определенной совокупностью рисков. Когда возможный ущерб неприемлемо велик, необходимо принять экономически оправданные меры защиты. Периодическая оценка рисков необходима для контроля эффективности деятельности в области безопасности и для учета изменений обстановки.

С количественной точки зрения уровень риска является функцией вероятности реализации определенной угрозы (использующей некоторые уязвимые места), а также величины возможного ущерба.

Таким образом, суть мероприятий по управлению рисками состоит в том, чтобы оценить их размер, выработать эффективные и экономичные меры снижения рисков, а затем убедиться, что риски заключены в приемлемые рамки (и остаются таковыми).

По отношению к выявленным рискам возможны следующие действия:

ликвидация риска (например, за счет устранения причины);

уменьшение риска (например, за счет использования дополнительных защитных средств);

принятие риска (и выработка плана действия в соответствующих условиях).

Процесс управления рисками можно разделить на следующие этапы:

1. Выбор анализируемых объектов и уровня детализации их рассмотрения.

2. Выбор методологии оценки рисков.

3. Идентификация активов.

4. Анализ угроз и их последствий, выявление уязвимых мест в защите.

5. Оценка рисков.

6. Выбор защитных мер.

7. Реализация и проверка выбранных мер.

8. Оценка остаточного риска.

Этапы 6 и 7 относятся к выбору защитных средств (нейтрализации рисков), остальные - к оценке рисков.

Риски нужно контролировать постоянно, периодически проводя их переоценку. Отметим, что добросовестно выполненная и тщательно документированная первая оценка может существенно упростить последующую деятельность.

Управление рисками, как и любую другую деятельность в области информационной безопасности, необходимо интегрировать в жизненный цикл ИС. Тогда эффект оказывается наибольшим, а затраты - минимальными. Ранее мы определили пять этапов жизненного цикла. Кратко опишем, что может дать управление рисками на каждом из них.

На этапе закупки (разработки) знание рисков поможет выбрать соответствующие архитектурные решения, которые играют ключевую роль в обеспечении безопасности.

На этапе установки выявленные риски следует учитывать при конфигурировании, тестировании и проверке ранее сформулированных требований, а полный цикл управления рисками должен предшествовать внедрению системы в эксплуатацию.

Выбор анализируемых объектов и уровня детализации их рассмотрения - первый шаг в оценке рисков. Для небольшой организации допустимо рассматривать всю информационную инфраструктуру; однако если организация крупная, всеобъемлющая оценка может потребовать неприемлемых затрат времени и сил. В таком случае следует сосредоточиться на наиболее важных сервисах, заранее соглашаясь с приближенностью итоговой оценки. Если важных сервисов все еще много, выбираются те из них, риски для которых заведомо велики или неизвестны.

При идентификации активов, то есть тех ресурсов и ценностей, которые организация пытается защитить, следует, конечно, учитывать не только компоненты информационной системы, но и поддерживающую инфраструктуру, персонал, а также нематериальные ценности, такие как репутация организации. Отправной точкой здесь является представление о миссии организации, то есть об основных направлениях деятельности, которые желательно (или необходимо) сохранить в любом случае. Выражаясь объектно-ориентированным языком, следует в первую очередь описать внешний интерфейс организации, рассматриваемой как абстрактный объект.

Методика оценки рисков применяется на основании ценовой шкалы оценки, где каждому риску, для каждого актива сопоставляется появление различных угроз.

Методика оценки рисков применяется на основании ценовой шкалы оценки, где каждому риску, для каждого актива сопоставляется появление различных угроз.

Для базовой оценки рисков достаточно трехуровневой шкалы оценки критичности - низкий, средний и высокий уровни. В этом случае оценка каждого уровня в деньгах будет выполняться на основе принципов.

Пример трехуровневой шкалы с оценкой в денежных единицах представлен в таблице 9.

Таблица 9.

Оценка в денежных единицах

Название уровня

Оценка уровня, у.е.

Низкий

до 100 тыс.

Средний

от 100 тыс. до 3 млн.

Высокий

свыше 3 млн.

Принципы оценки критичности каждого указанного актива:

1. информационные активы (или виды информации) оцениваются с точки зрения нанесения компании ущерба от их раскрытия, модификации или недоступности в течение определенного времени;

2. программное обеспечение, материальные ресурсы и сервисы оцениваются, как правило, с точки зрения их доступности или работоспособности. Т.е. требуется определить, какой ущерб понесет компания при нарушении функционирования данных активов. Например, нарушение системы кондиционирования в течение трех суток приведет к отказу серверов компании, к ним будет нарушен доступ, и вследствие этого компания понесет убытки;

3. сотрудники компании с точки зрения конфиденциальности и целостности оцениваются, учитывая их доступ к информационным ресурсам с правами на чтение и на модификацию. Доступность сотрудников оценивается с точки зрения их отсутствия на рабочем месте. Т.е. оценивается, какой ущерб понесет компания при отсутствии сотрудника в течение определенного периода времени. Здесь важно учесть опыт сотрудника, его квалификацию, выполнение им каких-либо специфичных операций;

4. репутация компании оценивается в связи с информационными ресурсами. Т.е. оценивается, какой ущерб репутации компании будет нанесен в случае нарушения безопасности информации компании.

Оценка риска представляет собой оценку соотношения потенциальных негативных воздействий на деловую деятельность в случае нежелательных инцидентов и уровня оцененных угроз и уязвимых мест. Риск фактически является мерой незащищенности системы и связанной с ней организации. Величина риска зависит от:

- ценности активов;

- угроз и связанной с ними вероятности возникновения опасного для активов события;

- легкости реализации угроз в уязвимых местах с оказанием нежелательного воздействия;

- существующих или планируемых средств защиты, снижающих степень уязвимости, угроз и нежелательных воздействий.

Ценность активов определялась на основе оценок их владельцев, специалиста по ИТ. Угрозы и уязвимые места определялись ИТ-специалистами.

Существует несколько методов для оценки риска. Важно, чтобы организация пользовалась наиболее удобным и внушающим доверие методом, приносящим воспроизводимые результаты.

Оценивание рисков будет производиться экспертным путем на основе анализа ценности активов, возможности реализации угроз и использования уязвимостей, определенных в предыдущих пунктах. Для оценивания предлагается таблица с заранее предопределенными «штрафными баллами» для каждой комбинации ценности активов, уровня угроз и уязвимостей (таблица 10).

Таблица 10

Уровень угроз и уязвимостей

В случае определения уровня уязвимости из результатов аудита или самооценки для различных процессов и при наличии экспертных оценок уровня соответствующих угроз и ценности активов можно получить меру риска ИБ для каждого процесса (таблица 11).

Таблица 11.

Результаты оценки рисков информационным активам организации

Риск

Актив

Ранг риска

Кража

Сервера

6

Несанкционированный доступ

БД

6

Отсутствие надзора за работой лиц, приглашенных со стороны, или за работой уборщиц

БД

6

Сбои / ошибки

БД

6

Несанкционированный доступ

Сервера

5

Сбои / ошибки

Сервера

5

Отсутствие надзора за работой лиц, приглашенных со стороны, или за работой уборщиц

БД

5

Сбои / ошибки

ПО

5

Отсутствие надзора за работой лиц, приглашенных со стороны, или за работой уборщиц

Документы

5

Кража

ПК

5

Несанкционированный доступ

ПК

5

Сбои / ошибки

ПК

5

Несанкционированный доступ

ПО

4

Несанкционированный доступ

Документы

4

Сбои / ошибки

Документы

4

Делись добром ;)