logo
Материалы для PDF / Информационная безопасность

Подготовительные этапы управления рисками

Опишем первые три этапа процесса управления рисками. Выбор анализируемых объектов и уровня детализации их рассмотре­ния — первый шаг в оценке рисков. Для небольшой организации допусти­мо рассматривать всю информационную инфраструктуру, однако если организация крупная, всеобъемлющая оценка может потребовать непри­емлемых затрат времени и сил. В таком случае следует сосредоточиться на наиболее важных сервисах, заранее соглашаясь с приближенностью ито­говой оценки. Если важных сервисов все еще много, выбираются те из них, риски для которых заведомо велики или неизвестны.

Мы уже указывали на целесообразность создания карты информа­ционной системы организации. Для управления рисками подобная карта особенно важна, поскольку она наглядно показывает, какие сервисы вы­браны для анализа, а какими пришлось пренебречь. Если ИС меняется, а карта поддерживается в актуальном состоянии, то при переоценке рисков сразу станет ясно, какие новые или существенно изменившиеся сервисы нуждаются в рассмотрении.

Вообще говоря, уязвимым является каждый компонент информаци­онной системы — от сетевого кабеля, который могут прогрызть мыши, до базы данных, которая может быть разрушена из-за неумелых действий ад­министратора. Как правило, в сферу анализа невозможно включить каж­дый винтик и каждый байт. Приходится останавливаться на некотором уровне детализации, опять-таки отдавая себе отчет в приближенности оценки. Для новых систем предпочтителен детальный анализ; старая си­стема, подвергшаяся небольшим модификациям, может быть проанали­зирована более поверхностно.

Очень важно выбрать разумную методологию оценки рисков. Це­лью оценки является получение ответа на два вопроса: приемлемы ли существующие риски и если нет, то какие защитные средства стоит ис­пользовать. Значит, оценка должна быть количественной, допускаю­щей сопоставление с заранее выбранными границами допустимости и расходами на реализацию новых регуляторов безопасности. Управле­ние рисками — типичная оптимизационная задача, и существует до­вольно много программных продуктов, способных помочь в ее реше­нии (иногда подобные продукты просто прилагаются к книгам по ин­формационной безопасности). Принципиальная трудность, однако, состоит в неточности исходных данных. Можно, конечно, попытаться получить для всех анализируемых величин денежное выражение, вы­считать все с точностью до копейки, но большого смысла в этом нет. Практичнее пользоваться условными единицами. В простейшем и вполне допустимом случае можно пользоваться трехбалльной шкалой. Далее мы продемонстрируем, как это делается.

При идентификации активов, то есть тех ресурсов и ценностей, ко­торые организация пытается защитить, следует, конечно, учитывать не только компоненты информационной системы, но и поддерживающую инфраструктуру, персонал, а также нематериальные ценности, такие как репутация организации. Отправной точкой здесь является представление о миссии организации, то есть об основных направлениях деятельности, которые желательно (или необходимо) сохранить в любом случае. Выра­жаясь объектно-ориентированным языком, следует, в первую очередь, описать внешний интерфейс организации, рассматриваемой как абст­рактный объект.

Одним из главных результатов процесса идентификации активов яв­ляется получение детальной информационной структуры организации и способов ее (структуры) использования. Эти сведения целесообразно на­нести на карту ИС в качестве граней соответствующих объектов.

Информационной основой сколько-нибудь крупной организации является сеть, поэтому в число аппаратных активов следует включить компьютеры (серверы, рабочие станции, ПК), периферийные устройст­ва, внешние интерфейсы, кабельное хозяйство, активное сетевое обору­дование (мосты, маршрутизаторы и т.п.). К программным активам, ве­роятно, будут отнесены операционные системы (сетевая, серверные и клиентские), прикладное программное обеспечение, инструментальные средства, средства управления сетью и отдельными системами. Важно зафиксировать, где (в каких узлах сети) хранится программное обеспе­чение и из каких узлов оно используется. Третьим видом информаци­онных активов являются данные, которые хранятся, обрабатываются и передаются по сети. Следует классифицировать данные по типам и сте­пени конфиденциальности, выявить места их хранения и обработки, способы доступа к ним. Все это важно для оценки последствий наруше­ний информационной безопасности.

Управление рисками — процесс далеко не линейный. Практически все его этапы связаны между собой, и по завершении почти любого из них может возникнуть необходимость возврата к предыдущему. Так, при иден­тификации активов может оказаться, что выбранные границы анализа следует расширить, а степень детализации — увеличить. Особенно труден первичный анализ, когда многократные возвраты к началу неизбежны.