Нефть и песок О стали Компрессор - подбор и ошибки Из истории стандартизации резьб Соперник ксерокса - гектограф Новые технологии производства стали Экспорт проволоки из России Прогрессивная технологическая оснастка Цитадель сварки с полувековой историей Упрочнение пружин Способы обогрева Назначение, структура, характеристики анализаторов Промышленные пылесосы Штампованные гайки из пружинной стали Консервация САУ Стандарты и качество Технология производства Водород Выбор материала для крепежных деталей Токарный резец в миниатюре Производство проволоки Адгезия резины к металлокорду Электролитическое фосфатирование проволоки Восстановление корпусных деталей двигателей Новая бескислотная технология производства проката Синие кристаллы Автоклав Нормирование шумов связи Газосварочный аппарат для тугоплавких припоев
Главная страница / Архитектура отрасли

Анализируем риски собственными силами



Эффективность инвестиций в информационную безопасность – весьма непростой вопрос. Зачастую информационная безопасность финансируется по остаточному принципу, прежде всего из-за непонимания руководством компаний необходимости инвестиций должного уровня. Во многом такое отношение обусловлено неумением специалистов по безопасности убедить топ-менеджмент вкладывать в информационную безопасность соответствующие средства.

Сегодня существуют два основных аргумента в пользу того, что вопросам безопасности следует уделять должное внимание. Во-первых, это необходимость соответствовать тому или иному нормативному акту (например, для компаний, котирующихся на Нью-Йоркской фондовой бирже, акту Сарбаниса-Оксли). Во-вторых, анализ информационных рисков, который позволяет определить необходимую сумму инвестиций в обеспечение информационной безопасности, а также наглядно показать руководству важность и необходимость инвестиций в систему безопасности.

Анализ рисков помогает руководству компании, во-первых, определить разумную сумму для создания системы защиты своей информации, во-вторых, понять, какие угрозы через какие уязвимости могут быть реализованы, и на основании этих данных спроектировать правильную систему защиты.

Исходя из определения риска для проведения анализа рисков требуются следующие данные об информационной системе: перечень ценной информации с указанием уровня ее критичности, сведения об уязвимостях информационной системы и угрозах, которые на нее действуют.

Таким образом, для получения данной информации необходимо выполнить:

инвентаризацию информационных ресурсов компании;

оценку стоимости информационных ресурсов компании;

определение защищенности информационной системы компании;

оценку информационных рисков;

категоризацию информационных ресурсов по уровню риска;

определение уровня приемлемого риска;

управление рисками (определение мер по снижению рисков);

Рассмотрим данные этапы более подробно.

Результатом инвентаризации информации компании является перечень ценной информации. Его можно составить из списка всей информации, обрабатываемой в компании, полученного, например, у системного администратора.

Зачастую этот этап является самым сложным, так как оценить стоимость информации специалист по информационной безопасности не может, такая задача находится в компетенции владельца информации.

Для облегчения задачи можно использовать следующую методику. Сначала собирается экспертная комиссия, состоящая, например, из заместителей генерального директора, главного бухгалтера, специалиста службы информационной безопасности, начальников основных отделов, т. е. людей, которые знают назначение различных видов информации и могут оценить примерный уровень ее стоимости, в том числе относительную стоимость информации с учетом других информационных ресурсов. Экспертная комиссия определяет следующие параметры, которые в дальнейшем используются для оценки информации ее владельцем:

количество уровней критичности информации (наиболее простой является трехуровневая шкала);

оценка уровней (оценка максимального уровня определяется как некоторый критичный процент общей капитализации компании; оценка минимального уровня является суммой, потеря которой не нанесет компании значительного ущерба; оценка остальных уровней распределяется в выбранных границах).

По полученной шкале владелец определяет уровень критичности информации. Для проведения анализа рисков критичность информации достаточно определить в уровнях (без оценки в денежных единицах), но денежный эквивалент всегда дает более точную оценку и наглядный результат.

Прежде всего необходимо описать угрозы и уязвимости информационной системы и исходя из их критичности и вероятности реализации оценить уровень защищенности. Угрозы и уязвимости можно определить, во-первых, с помощью технологического аудита защищенности информационной системы. Специалисты, проводящие аудит, выявляют угрозы и уязвимости, через которые они реализуются в информационной системе, их критичность и вероятность реализации. Во-вторых, специалист компании, ответственный за информационную безопасность, может самостоятельно описать защищенность системы. Для выполнения этой задачи существуют классификации угроз и уязвимостей, например OCTAVE (Operationally Critical Threat, Asset, and Vulnerability Evaluation, США), BSI (Federal Office for Information Security, Германия), DSECCT (Digital Security Classification of Threats, Россия). Классификация позволяет определить максимальное количество угроз и уязвимостей. Кроме того, для некоторых классификаций (BSI, DSECCT) разработаны базы, содержащие наиболее распространенные угрозы и уязвимости. Используя классификации и базы угроз и уязвимостей, специалист по информационной безопасности компании может определить угрозы своей информационной системы и уязвимости, через которые они реализуются.

После определения критичности информации, угрозы и уязвимости информационной системы, в которой она обрабатывается, можно приступать к оценке рисков. Классическая формула оценки риска: Критичность информации должна оцениваться с точки зрения трех угроз: конфиденциальности, целостности и доступности, так как ущерб компании от их реализации может существенно различаться, и оценка общего ущерба приведет к неадекватным результатам анализа рисков. Вероятность реализации угрозы оценивается экспертом в области информационной безопасности на основании собственного опыта и особенностей информационной системы компании. Основными факторами при определении вероятности реализации угрозы являются такие параметры, как частота возникновения угрозы и простота ее реализации.Информационные ресурсы компании классифицируют по уровням риска, для того чтобы определить порядок снижения рисков. В подавляющем большинстве случаев максимальные риски следует снижать в первую очередь.

К сожалению, условия функционирования информационной системы не позволяют полностью исключить риск, и руководство компании должно учитывать это, чтобы возникновение чрезвычайной ситуации не стало нерешаемой проблемой. В настоящее время существует концепция определения уровня приемлемого остаточного риска (рис. 1).

Для снижения уровня риска специалистам по информационной безопасности необходимо внедрить контрмеры: организационные, технические, программные и программно-аппаратные.

Управление рисками заключается в определении стратегии, которая будет описывать меры по снижению рисков до приемлемого уровня. В соответствии с приоритетностью снижения рисков и уровнем приемлемого риска, специалисты службы информационной безопасности (или сотрудники компании, ответственные за обеспечение информационной безопасности), как правило, совместно со сторонними консультантами определяют и внедряют меры для снижения рисков.

Автоматизированные средства анализа и управления рисками

Для облегчения проведения анализа информационных рисков существуют автоматизированные средства анализа и управления информационными рисками – CRAMM (Central Computer and Telecommunications Agency, Великобритания), RiskWatch (RiskWatch, США), Digital Security Office (Digital Security, Россия). Данные программные продукты позволяют смоделировать информационную систему компании и рассчитать информационные риски. Кроме того, они генерируют отчет, содержащий рекомендации по снижению уровня риска в соответствии с особенностями информационной системы.

Риск – это вероятный ущерб, который понесет компания при раскрытии, модификации, утрате или недоступности своей информации. Риск зависит от двух факторов: стоимости информации и защищенности информационной системы, в которой она обрабатывается.

Чем отличается отношение топ-менеджера современной компании и его коллеги из 70-х годов прошлого века к ценной корпоративной информации? Ничем. Они одинаково ясно понимают, что ее исчезновение, либо опубликование, могут нанести существенный ущерб не только репутации, но и бизнесу компании, привести к ощутимым материальным потерям. Однако задачи, которые в этой связи решает наш современник, требуют совершенно иных подходов к организации защиты ценных данных. И это, в первую очередь, связано с использованием информационных технологий в деятельности предприятия с хорошими рыночными амбициями. Быстрота принятия решений, контроль деятельности в режиме реального времени, минимальная задержка реакции на запросы клиентов и партнеров – малая часть списка тех преимуществ, которые дают бизнесу современные информационные технологи. Одновременно с этим существенно возрастает число каналов для несанкционированного доступа к конфиденциальной корпоративной информации, а значит, возрастают риски ее утраты. То, что в 70-х гг. решалось организационными процедурами доступа и покупкой нового сейфа, сегодня требует иных подходов. Применяются и иные методики оценки информационных рисков, независимо от размеров предприятия, а зависимо от уровня его информатизации. Где размещена информация, какие данные считать конфиденциальными, кому разрешено пользоваться ими и каков потенциальный ущерб может возникнуть в связи с потерей или несанкционированным доступом к ним? Понимание этих вопросов является индикатором грамотности «топов», характеризует их умение эффективно работать в современных условиях. Анализ информационных рисков и выработка разумной системы обеспечения информационной безопасности предприятия на его основе позволит организовать управление этими рисками. Это свидетельство зрелости компании в части выработки мер обеспечения безопасности (читай «непрерывности») бизнеса, в целом. Нет необходимости говорить, что работа на международных рынках требует от организаций обеспечения высокого уровня защищенности бизнеса и, следовательно, соблюдения стандартов информационной безопасности., Меня довольно часто спрашивают о том, сколько должна стоить «правильная» система информационной безопасности и система антивирусной защиты. Я всегда отвечаю – адекватно стоимости информации, циркулирующей в сети. По аналогии с охранными системами у автомобиля. Нет смысла ставить спутниковую охранную систему на «запорожец» или для защиты Mercedes ограничиться запором на руль. Авторы статьи доходчиво, а главное с практической точки зрения показали, как можно подсчитать риски и как можно оценить адекватность тех или иных вложений в построение системы информационной безопасности. К счастью для консультантов, прочтение заказчиком статьи не отберет у них хлеб, а скорее наоборот. Грамотный заказчик поймет, что правильно рассчитать риски и предложить меры по их снижению дело очень непростое и требует высокой квалификации и большого опыта.

Главная страница / Архитектура отрасли