Организация защиты информации

Формирование списка управляющих воздействий организации

Составляется список управляющих воздействий, структурированный по уровням или областям ответственности, в соответствии с принятой моделью комплексного обеспечения режима информационной безопасности (см. табл. 2.5).

Таблица 2.5. Управление ИБ

Уровень Классы управляющих воздействий и критерии безопасности
Организационный уровень - разграничение ответственности; - периодический пересмотр системы управления в области ИБ; - протоколирование и разбор инцидентов в области ИБ; - оценка рисков; - обучение в области ИБ; - процедура авторизации в ИС и удаления учетных записей; - поддержание в актуальном состоянии плана обеспечения ИБ
Процедурный уровень Обеспечение правил поддержания режима ИБ, в частности: - доступ к носителям информации; - контроль за работой сотрудников в ИС; - обеспечение должного качества работы силовой сети, климатических установок; - контроль за поступающими в ИС данными
Программно-технический уровень Комплекс мер защиты программно-технического уровня: - активный аудит и система реагирования; - идентификация и аутентификация; - криптографическая защита; - реализация ролевой модели доступа; - контроль за режимом работы сетевого оборудования

Подробно эти и некоторые другие средства управления описываются в различных руководствах, например в NIST SP 800-26.

Анализ системы управления ИС

Параметры угроз, определяемых на следующем шаге, зависят от организации системы управления ИС. На данном шаге анализируется система управления с позиции возможного воздействия на выявленные угрозы и уязвимости.

Обычно рассматриваются две категории методов управления: технического и нетехнического уровня.

Методы технического уровня, в свою очередь, подразделяются на:

– обеспечение требований базового уровня (идентификация, управление системой распределения ключей, администрирование, способы защиты элементов системы и ПО);

– упреждающие меры (аутентификация, авторизация, обеспечение безотказности, контроль доступа, сохранение конфиденциальности транзакций);

– обнаружение нарушений в области ИБ и процедуры восстановления (аудит, выявление вторжений, антивирусная защита, проверка целостности ПО и данных).

Методы нетехнического уровня - множество методов управления организационного и процедурного характера.

Выбор шкалы для оценки параметров рисков

Под оценкой параметров рисков понимается определение вероятности реализации потенциальной уязвимости, которая приведет к инциденту.

Типичной (наиболее распространенной) шкалой является качественная (балльная) шкала с несколькими градациями, например: низкий средний и высокий уровень. Оценка производится экспертом с учетом ряда объективных факторов. Уровни рисков устанавливаются, например, как в табл. 2.6.

Таблица 2.6. Пример качественной шкалы для оценки риска

Уровень риска Определение
Высокий Источник угрозы (нарушитель) имеет очень высокий уровень мотивации, существующие методы уменьшения уязвимости малоэффективны
Средний Источник угрозы (нарушитель) имеет высокий уровень мотивации, однако используются эффективные методы уменьшения уязвимости
Низкий Источник угрозы (нарушитель) имеет низкий уровень мотивации, либо существуют чрезвычайно эффективные методы уменьшения уязвимости

Анализ возможных последствий нарушения режима ИБ

Определяется цена нарушения режима ИБ. Последствия нарушения режима ИБ могут быть разноплановыми, например: прямые финансовые убытки, потеря репутации, неприятности со стороны официальных структур и т.д.

На данном шаге выбирается система критериев для оценки последствий нарушения режима ИБ и принимается интегрированная шкала для оценки тяжести последствий.

Пример шкалы приводится в табл. 2.7.

Оценка рисков

На этом шаге измеряется уровень рисков нарушения конфиденциальности, целостности и доступности информационных ресурсов. Уровень риска зависит от уровней угроз, уязвимостей и цены возможных последствий.

Таблица 2.7. Оценка тяжести последствий нарушения режима ИБ

Уровень тяжести последствий нарушения режима ИБ Определение
Высокий Происшествие оказывает сильное (катастрофичное) воздействие на деятельность организации, что выражается в одном или нескольких проявлениях: - большая сумма (должна быть конкретизирована) прямых финансовых потерь; - существенный ущерб здоровью персонала (гибель, инвалидность или необходимость длительного лечения сотрудника); - потеря репутации, приведшая к существенному снижению деловой активности организации; - дезорганизация деятельности на длительный (конкретизируется) период времени
Средний Происшествие приводит к заметным негативным результатам, выражающимся в одном или нескольких проявлениях: - заметная сумма (должна быть конкретизирована) прямых финансовых потерь; - потеря репутации, которая может вызвать уменьшение потока заказов и негативную реакцию деловых партнеров; - неприятности со стороны государственных органов, в результате чего снизилась деловая активность компании
Низкий Происшествие сопровождается небольшими негативными последствиями, выражающимися в одном или нескольких проявлениях: - небольшая сумма (должна быть конкретизирована) прямых финансовых потерь; - задержки в работе некоторых служб либо дезорганизация деятельности на непродолжительный период времени; - необходимость восстановления информационных ресурсов

Существуют различные методики измерения рисков. Чаще всего используются табличные методы, рассматриваемые в главе 3.

Если применяются качественные методы, возможные риски нарушения ИБ должны быть ранжированы по степени их опасности с учетом таких факторов, как цена возможных потерь, уровень угрозы и уязвимости.

Риски могут быть оценены с помощью количественных шкал. Это даст возможность упростить анализ по критерию «стоимость-эффективность» предлагаемых контрмер. Однако в этом случае предъявляются более высокие требования к шкалам измерения исходных данных и проверке адекватности принятой модели.

Выработка рекомендаций по управлению рисками

Рекомендации по уменьшению рисков до допустимого уровня являются необходимыми. Они должны быть комплексными и учитывать возможные меры различных уровней, например:

– внесение изменений в политику ИБ;

– изменения в регламентах обслуживания и должностных инструкциях;

– дополнительные программно-технические средства.

Разработка итоговых отчетных документов

Существуют определенные требования к содержанию отчетных документов. Обязательно наличие следующих разделов:

– цели работы;

– принятая методология;

– описание ИС с позиции ИБ;

– угрозы;

– уязвимости;

– риски;

– предлагаемые контрмеры.