7.1. Политика безопасности как фундамент комплексной защиты. Понятие риска

7.1. Политика безопасности как фундамент комплексной защиты. Понятие риска

Зачем нужна информационная безопасность (ИБ), какими средствами ее можно достичь и как с этим связана политика безопасности?

Информация– это актив, ее можно купить и продать. Любая информационная система предполагает некий обмен. Здесь и появляются риски.

Информацию можно украсть, подменить, сделать недоступной тому, кому она предназначается. Все эти действия и составляют нарушение информационной безопасности (нарушение трех главных концепций ИБ: конфиденциальности, целостности и доступности).

Ключевым понятием в контексте обеспечения информационной безопасности является политика безопасности. Политика безопасности как набор правил и указаний находит свое отражение в документе политики безопасности. Кратко рассмотрим некоторые аспекты применения политики безопасности в контексте управления предприятием.

Итак, мы остановились на документе политики безопасности. Прежде всего необходимо обратить внимание на следующее (более подробно об управлении информационной безопасностью можно узнать на страницах международного стандарта ISO 17799:2005):

? документ политики безопасности (далее – ПБ) должен соответствовать конкретной системе и максимально адекватно отражать правила, указания и нормы, благодаря которым возможно поддержание ИБ;

? документ политики информационной безопасности должен быть утвержден руководством, опубликован и доведен до сведения всех сотрудников и, при необходимости, внешних сторон;

? руководству следует назначить роли безопасности, а также координировать и контролировать внедрение мер безопасности в рамках организации;

? руководству следует активно поддерживать безопасность внутри организации посредством четких указаний, наглядного примера исполнения, точных заданий и утверждения обязанностей по обеспечению информационной безопасности;

? политику информационной безопасности следует пересматривать с определенным интервалом для поддержания ее в адекватном и эффективном состоянии;

? система управления информационной безопасностью и ее реализация должны подвергаться независимому аудиту со стороны.

Требования к безопасности устанавливаются путем методического определения рисков безопасности.

Как только установлены требования к безопасности и риски, а также приняты решения по обработке рисков, следует выбрать и внедрить допустимые средства управления для снижения рисков до приемлемого уровня.

Управление рисками. Известно, что риск – это вероятность реализации угрозы информационной безопасности. Анализ риска заключается в моделировании картины наступления неблагоприятных условий посредством учета всех возможных факторов, определяющих риск.

ПРИМЕЧАНИЕ

Более подробно про управление рисками можно узнать на страницах специального руководства NIST "Risk Management Guide for Information Technology Systems".

С математической точки зрения, при анализе рисков такие факторы можно считать входными параметрами. Перечислю эти параметры.

? Активы – ключевые компоненты инфраструктуры системы, вовлеченные в бизнес-процесс и имеющие определенную ценность.

? Угроза, реализация которой возможна посредством эксплуатации уязвимости.

? Уязвимости – слабость в средствах защиты, вызванная ошибками или несовершенством в процедурах, проекте, реализации, которая может быть использована для проникновения в систему.

? Ущерб, который оценивается с учетом затрат на восстановление системы возможного инцидента ИБ. Оценка ущерба включает в себя не только калькуляцию прямых убытков вследствие реализации угроз. Удобнее говорить о степени нанесенного ущерба в диапазоне от незначительного до высокого.

Итак, первым этапом при проведении многофакторного анализа рисков являются идентификация и классификация анализируемых входных параметров.

Далее необходимо провести градацию каждого параметра по уровням значимости (например, высокий, средний, низкий).

На заключительном этапе моделирования вероятного риска (предшествующем получению численных данных уровня риска) происходит привязка выявленных угроз и уязвимостей к конкретным компонентам ИТ-инфраструктуры (такая привязка может подразумевать, к примеру, анализ риска с учетом и без учета наличия средств защиты системы, вероятности того, что система будет скомпрометирована ввиду неучтенных факторов, и т. д.).

Рассмотрим процесс моделирования рисков пошагово. Для этого прежде всего обратим свое внимание на активы компании.

Активы. Прежде всего необходимо определить, что является ценным активом компании с точки зрения информационной безопасности. Стандарт ISO 17799, подробно описывающий процедуры системы управления ИБ, выделяет следующие виды активов:

? информационные ресурсы (базы и файлы данных, контракты и соглашения, системная документация, научно-исследовательская информация, документация, обучающие материалы и пр.);

? программное обеспечение;

? материальные активы (компьютерное оборудование, средства телекоммуникаций и пр.);

? сервисы (сервисы телекоммуникаций, системы обеспечения жизнедеятельности и др.);

? сотрудники компании, их квалификация и опыт;

? нематериальные ресурсы (репутация и имидж компании).

Следует определить, нарушение информационной безопасности каких активов может нанести ущерб компании и в какой мере.

Угрозы. Согласно авторитетной классификации NIST, включенной в «Risk Management Guide for Information Technology Systems», категорированию и оценке угроз предшествует непосредственная идентификация их источников. Так, согласно вышеупомянутой классификации, можно выделить следующие основные типы угроз:

? природного происхождения (землетрясения, наводнения и т. п.);

? исходящие от человека (неавторизованный доступ, сетевые атаки, ошибки пользователей и т. п.);

? техногенного происхождения (аварии различного рода, отключение электроснабжения, химическое загрязнение и т. п.).

Вышеописанная классификация может быть далее категорирована более подробно. Так, к самостоятельным категориям источников угроз, происходящим от человека, согласно упомянутой классификации NIST, относятся:

? хакеры;

? криминальные структуры;

? террористы;

? компании, занимающиеся промышленным шпионажем;

? инсайдеры.

Каждый из перечисленных видов угроз, в свою очередь, должен быть детализирован и оценен по шкале значимости (например, низкий, средний, высокий).

Уязвимости. Очевидно, что анализ угроз должен рассматриваться в тесной связи с уязвимостями исследуемой нами системы. Задачей данного этапа управления рисками является составление перечня возможных уязвимостей системы и категорирование этих уязвимостей с учетом их «силы».

Так, согласно общемировой практике, градацию уязвимостей можно разбить по уровням:

? критический;

? высокий;

? средний;

? низкий.

Источниками составления такого перечня/списка уязвимостей могут стать:

? общедоступные, регулярно публикуемые списки уязвимостей (к примеру, на www.securityLab.ru);

? список уязвимостей, публикуемых производителями ПО;

? результаты тестов на проникновение (проводится администратором безопасности внутри компании);

? анализ отчетов сканеров уязвимостей (проводится администратором безопасности внутри компании).

В общем случае уязвимости можно классифицировать следующим образом:

? уязвимости операционной системы и программного обеспечения (ошибки кода), обнаруженные производителем или независимыми экспертами;

? уязвимости системы, связанные с ошибками в администрировании (например, незакрытые межсетевым экраном порты с уязвимыми сервисами, общедоступные незаблокированные сетевые ресурсы C$, D$ и т. д.);

? уязвимости, источниками которых могут стать инциденты, непредусмотренные политикой безопасности, а также события стихийного характера.

В качестве яркого примера распространенной уязвимости операционных систем и программного обеспечения можно привести переполнение буфера (buffer overflow). К слову будет сказано, абсолютное большинство из ныне существующих вредоносных программ реализуют класс уязвимостей на переполнение буфера.

Простейшая оценка информационных рисков заключается в расчете рисков, который выполняется с учетом сведений о критичности активов, а также вероятностей реализации уязвимостей.

Классическая формула оценки рисков:

R = D • P(V),

где R – информационный риск;

D – критичность актива (ущерб);

P(V) – вероятность реализации уязвимости.

Поделитесь на страничке

Следующая глава >

Похожие главы из других книг

RSA как фундамент ЭЦП

Из книги Защити свой компьютер на 100% от вирусов и хакеров автора Бойцев Олег Михайлович

RSA как фундамент ЭЦП Не секрет, что наибольшую популярность среди криптоалгоритмов цифровой подписи приобрела RSA (применяется при создании цифровых подписей с восстановлением документа).На начало 2001 года криптосистема RSA являлась наиболее широко используемой


1. СУЩНОСТЬ И ЗАДАЧИ КОМПЛЕКСНОЙ СИСТЕМЫ ЗАЩИТЫ ИНФОРМАЦИИ

Из книги Организация комплексной системы защиты информации автора Гришина Наталия Васильевна

1. СУЩНОСТЬ И ЗАДАЧИ КОМПЛЕКСНОЙ СИСТЕМЫ ЗАЩИТЫ ИНФОРМАЦИИ 1.1. Подходы к проектированию систем защиты информацииБытует мнение, что проблемы защиты информации относятся исключительно к информации, обрабатываемой компьютером. Это, по-видимому, связано с тем, что


2. МЕТОДОЛОГИЧЕСКИЕ ОСНОВЫ КОМПЛЕКСНОЙ СИСТЕМЫ ЗАЩИТЫ ИНФОРМАЦИИ

Из книги Инфраструктуры открытых ключей автора Полянская Ольга Юрьевна

2. МЕТОДОЛОГИЧЕСКИЕ ОСНОВЫ КОМПЛЕКСНОЙ СИСТЕМЫ ЗАЩИТЫ ИНФОРМАЦИИ 2.1. Методология защиты информации как теоретический базис комплексной системы защиты информацииГлавная цель создания СЗИ — достижение максимальной эффективности защиты за счет одновременного


6. МОДЕЛИРОВАНИЕ ПРОЦЕССОВ КОМПЛЕКСНОЙ СИСТЕМЫ ЗАЩИТЫ ИНФОРМАЦИИ

Из книги Добавьте в корзину. Ключевые принципы повышения конверсии веб-сайтов автора Айзенберг Джеффри

6. МОДЕЛИРОВАНИЕ ПРОЦЕССОВ КОМПЛЕКСНОЙ СИСТЕМЫ ЗАЩИТЫ ИНФОРМАЦИИ 6.1. Понятие модели объектаМоделирование — это замещение одного объект; (оригинала) другим (моделью) и фиксация или изучение свойств оригинала путем исследования свойств модели. Замещение производится с


7. ТЕХНОЛОГИЧЕСКОЕ ПОСТРОЕНИЕ КОМПЛЕКСНОЙ СИСТЕМЫ ЗАЩИТЫ ИНФОРМАЦИИ

Из книги Халявные антивирусы и другие бесплатные программы из Интернета! автора Халявин Василий

7. ТЕХНОЛОГИЧЕСКОЕ ПОСТРОЕНИЕ КОМПЛЕКСНОЙ СИСТЕМЫ ЗАЩИТЫ ИНФОРМАЦИИ 7.1. Общее содержание работСистема защиты информации характеризуется большим числом взаимодействующих между собой средств и многофункциональным характером решаемых с ее помощью задач.Чтобы такая


8. КАДРОВОЕ ОБЕСПЕЧЕНИЕ КОМПЛЕКСНОЙ СИСТЕМЫ ЗАЩИТЫ ИНФОРМАЦИИ

Из книги IT-безопасность: стоит ли рисковать корпорацией? автора Маккарти Линда

8. КАДРОВОЕ ОБЕСПЕЧЕНИЕ КОМПЛЕКСНОЙ СИСТЕМЫ ЗАЩИТЫ ИНФОРМАЦИИ 8.1. Подбор персоналаБольшинство систем не может функционировать без участия человека, что является верным и для комплексных систем ЗИ. Группа обеспечения таких систем, с одной стороны, ее необходимый элемент,


10. УПРАВЛЕНИЕ КОМПЛЕКСНОЙ СИСТЕМОЙ ЗАЩИТЫ ИНФОРМАЦИИ

Из книги iOS. Приемы программирования автора Нахавандипур Вандад

10. УПРАВЛЕНИЕ КОМПЛЕКСНОЙ СИСТЕМОЙ ЗАЩИТЫ ИНФОРМАЦИИ 10.1. Понятие и цели управленияСоциотехнические системы, представляя собой единение человека и техники, всегда характеризуются определенными целями, которые ставят перед собой люди, достигая их с помощью технических


11. УПРАВЛЕНИЕ КОМПЛЕКСНОЙ СИСТЕМОЙ ЗАЩИТЫ ИНФОРМАЦИИ В УСЛОВИЯХ ЧРЕЗВЫЧАЙНЫХ СИТУАЦИЙ

Из книги автора

11. УПРАВЛЕНИЕ КОМПЛЕКСНОЙ СИСТЕМОЙ ЗАЩИТЫ ИНФОРМАЦИИ В УСЛОВИЯХ ЧРЕЗВЫЧАЙНЫХ СИТУАЦИЙ 11.1. Понятие и виды чрезвычайных ситуацийОбеспечение продолжительного нормального функционирования в любой системе требует пристального внимания по отношению к потенциальным


Политика безопасности и способы ее реализации

Из книги автора

Политика безопасности и способы ее реализации Политика - это набор установленных правил для управления определенными аспектами функционирования организации. Политика определяет, что должно быть сделано для обеспечения целей бизнеса, юридических требований или


Политика безопасности

Из книги автора

Политика безопасности Этот раздел подчеркивает необходимость согласованности политики PKI с имеющимися корпоративными политиками безопасности и перечисляет ту информацию по безопасности PKI, которая важна для принятия решения о выборе поставщика:* способы


Крепкий фундамент

Из книги автора

Крепкий фундамент Есть три основных способа повысить доход от сайта.Привлечь больше посетителей. Чем больше клиентов попадает на сайт, тем чаще они превращаются в покупателей. Увеличить число посещений можно с помощью рекламы, позиционирования в поисковых системах,


1.1.1. Panda Cloud Antivirus — основа нашей комплексной защиты

Из книги автора

1.1.1. Panda Cloud Antivirus — основа нашей комплексной защиты Panda Cloud Antivirus — это революция в области антивирусной защиты. Работа этого антивируса основана на защите компьютера с сервера Panda в режиме реального времени. Panda Cloud Antivirus имеет огромные преимущества по сравнению с


Несколько недель спустя; Политика установки средств безопасности

Из книги автора

Несколько недель спустя; Политика установки средств безопасности Дэйв закончил свою часть работы первым. Время отклика Drug10 уже его не удовлетворяло. Поэтому перед подключением сервера к Интернету Дэйв установил в него более мощную систему и загрузил программное


Выяснение риска

Из книги автора

Выяснение риска Из разговора с Марией я не получила много информации. Она говорила лишь о подозрении на риск. Я попросила у нее сетевую схему компьютерного зала и список систем, подозреваемых на риск.Мария предоставила мне временный офис с телефоном и системой. Она также