Риски информационной безопасности

Риск – это возможность того, что произойдет определенное неблагоприятное событие, имеющее свою цену (размер ожидаемого ущерба) и вероятность наступления.

Риск информационной безопасности представляет собой возможность нарушения ИБ с негативными последствиями.

Основными рисками информационной безопасности являются:

• — риск утечки конфиденциальной информации
• — риск потери или недоступности важных данных
• — риск использования неполной или искаженной информации
• — риск неправомочной скрытой эксплуатации информационно-вычислительных ресурсов (например, при создании бот-сети)
• — риск распространения во внешней среде информации, угрожающей репутации организации.

Компания ARinteg предлагает весь комплекс услуг по оценке и снижению рисков информационной безопасности заказчиков, включая:

• — установление регламента обследования
• — проведение тщательного обследования информационной системы
• — анализ полученных данных, создание моделей угроз и нарушителей ИБ
• — выявление рисков информационной безопасности
• — разработку исчерпывающих рекомендаций по минимизации существующих рисков.

В ходе выполнения проектов по оценке рисков информационной безопасности, эксперты ARinteg учитывают то, что риски ИБ могут иметь различную цену (вызывать разный ущерб). Например, степень негативного влияния наступления события риска на репутацию пострадавшей организации может меняться от очень низкой до высокой:

События риска оказывают разное влияние на репутацию пострадавшей стороны

Ущерб от реализации рисков информационной безопасности может быть как материальным (потеря дохода, выплаты по судебным искам), так и нематериальным (снижение репутации и уровня доверия). Поэтому, чтобы учесть все составляющие возможного ущерба, специалисты ARinteg дают ему интегральную оценку:

Влияние на репутацию Материальный ущерб	Очень низкое	Низкое	Среднее	Высокое
Незначительный	Небольшой ущерб	Небольшой ущерб	Средний ущерб	Большой ущерб
Умеренный	Небольшой ущерб	Средний ущерб	Средний ущерб	Большой ущерб
Большой	Средний ущерб	Большой ущерб	Большой ущерб	Большой ущерб
Очень большой	Большой ущерб	Большой ущерб	Очень большой ущерб	Очень большой ущерб
Критический	Очень большой ущерб	Критический ущерб	Критический ущерб	Критический ущерб

Пример таблицы интегральных показателей ущерба, рассчитанных по величинам материального ущерба и степени влияния события риска на репутацию

На основе интегральных показателей ущерба и показателей вероятности наступления событий риска рассчитываются величины имеющихся информационных рисков:

Вероятность наступления события риска Ущерб	Очень низкая	Низкая	Средняя	Высокая
Небольшой	Небольшой риск	Небольшой риск	Средний риск	Большой риск
Средний	Небольшой риск	Средний риск	Средний риск	Большой риск
Большой	Средний риск	Большой риск	Большой риск	Большой риск
Очень большой	Большой риск	Большой риск	Очень большой риск	Очень большой риск
Критический	Очень большой риск	Критический риск	Критический риск	Критический риск

Пример таблицы величин риска, рассчитанных по показателям ущерба и вероятности наступления события риска

После определения величин рисков информационной безопасности эксперты ARinteg разрабатывают детальные рекомендации по их минимизации, которые включают все необходимые организационные и технические меры.

Виды угроз информационной безопасности.

Тема 24. Методы защиты информации.

Общие понятия информационной безопасности.

Виды угроз информационной безопасности.

Определение и классификация вирусов.

Средства и методы защиты информации.

Антивирусная защита.

Криптографическая защита.

 

Общие понятия информационной безопасности.

В последние годы большое внимание уделяется вопросам защиты информации, накапливаемой, хранимой и обрабатываемой как в отдельных компьютерах, так и построенных на их основе вычислительных системах. При этом под защитой информации понимается создание совокупности средств, методов и мероприятий, предназначенных для предупреждения искажения, уничтожения и несанкционированного использования защищаемой информации.

Основными факторами, способствующими повышению уязвимости информации, являются:

— постоянно возрастающие объемы обрабатываемых данных;

— сосредоточение в единых базах данных информации различного назначения и принадлежности;

— резкое расширение круга пользователей, имеющих непосредственный доступ к ресурсам вычислительной системы;

— расширение использования компьютерных сетей, в частности глобальной сети Интернет, по которым передаются большие объемы информации государственного, военного, коммерческого и частного характера и т.д.

Учитывая эти факты, защита информации в процессе ее сбора, хранения, обработки и передачи приобретает исключительно важное значение.

Введем ряд определений, используемых при описании средств и методов защиты информации в системах автоматизированной обработки, построенных на основе средств вычислительной техники.

Компьютерная система (КС) – организационно-техническая система, представляющую совокупность следующих взаимосвязанных компонентов:

— технические средства обработки и передачи данных;

— методы и алгоритмы обработки в виде соответствующего программного обеспечения;

— данные – информация на различных носителях и находящаяся в процессе обработки;

— конечные пользователи – персонал и пользователи, использующие КС с целью удовлетворения информационных потребностей;

— объект доступа, или объект, – любой элемент КС, доступ к которому может быть произвольно ограничен (файлы, устройства, каналы);

— субъект доступа, или субъект, – любая сущность, способная инициировать выполнение операций над объектом (пользователи, процессы).

Информационная безопасность – состояние КС, при котором она способна противостоять дестабилизирующему воздействию внешних и внутренних информационных угроз и при этом не создавать таких угроз для элементов самой КС и внешней среды.

Под безопасностью информации понимается защищенность информации от нежелательного (для соответствующих субъектов информационных отношений) ее разглашения (нарушения конфиденциальности), искажения (нарушения целостности), утраты или снижения степени доступности информации, а также незаконного ее тиражирования.

 

Под уязвимостью информации понимается подверженность информации воздействию различных дестабилизирующих факторов, которые могут привести к нарушению ее конфиденциальности, целостности, доступности, или неправомерному ее тиражированию.

Конфиденциальность информации – свойство информации быть доступной только ограниченному кругу конечных пользователей и иных субъектов доступа, прошедших соответствующую проверку и допущенных к ее использованию.

Целостность информации – свойство сохранять свою структуру и содержание в процессе хранения, использования и передачи.

Достоверность информации – свойство, выражаемое в строгой принадлежности информации субъекту, который является ее источником.

Доступность информации – свойство системы, в которой циркулирует информация, характеризующееся способностью обеспечивать своевременный беспрепятственный доступ к информации субъектов, имеющих на это надлежащие полномочия.

Санкционированный доступ к информации – доступ с выполнением правил разграничения доступа к информации.

Несанкционированный доступ (НСД) – доступ с нарушением правил разграничения доступа субъекта к информации, с использованием штатных средств (программного или аппаратного обеспечения), предоставляемых КС.

Правила разграничения доступа – регламентация прав доступа субъекта к определенному компоненту системы.

Идентификация – это присвоение пользователю уникального обозначения для проверки его соответствия.

Аутентификация – установление подлинности пользователя для проверки его соответствия.

Угроза информационной безопасности КС – возможность воздействия на информацию, обрабатываемую КС, с целью ее искажения, уничтожения, копирования или блокирования, а также возможность воздействия на компоненты КС, приводящие к сбою их функционирования.

Атака КС – действия злоумышленника, предпринимаемые с целью обнаружения уязвимости КС и получения несанкционированного доступа к информации.

Безопасная, или защищенная, КС – КС, снабженная средствами защиты для противодействия угрозам безопасности.

Комплекс средств защиты – совокупность аппаратных и программных средств, обеспечивающих информационную безопасность.

Политика безопасности – совокупность норм и правил, регламентирующих работу средств защиты от заданного множества угроз.

Дискреционная модель разграничения доступа – способ разграничения доступа субъектов к объектам, при котором права доступа задаются некоторым перечнем прав доступа субъекта к объекту.

При реализации представляет собой матрицу, строками которой являются субъекты, а столбцами – объекты; элементы матрицы характеризуют набор прав доступа.

Полномочная (мандатная) модель разграничения доступа – способ разграничения доступа субъектов к объектам, при котором каждому объекту ставится в соответствие уровень секретности, а каждому субъекту уровень доверия к нему. Субъект может получить доступ к объекту, если его уровень доверия не меньше уровня секретности объекта.

 

Виды угроз информационной безопасности.

Все угрозы безопасности информации в информационных системах принято делить на активные и пассивные.

Пассивные угрозы направлены в основном на несанкционированное использование информационных ресурсов ИС, не оказывая при этом влияния на ее функционирование, несанкционированный доступ к базам данных, прослушивание каналов связи и т.д.

Активные угрозы имеют целью нарушение нормального функционирования ИС путем целенаправленного воздействия на ее компоненты. К активным угрозам относятся, например, вывод из строя компьютера или его операционной системы, искажение сведений в банке данных, разрушение ПО компьютеров, нарушение работы линий связи и т.д. Источником активных угроз могут быть действия взломщиков, вредоносные программы и т.п.

Умышленные угрозы подразделяются также на внутренние (возникающие внутри управляемой организации) и внешние.

Внутренние угрозы чаще всего определяются социальной напряженностью и тяжелым моральным климатом в организации.

Внешние угрозы могут вызываться злонамеренными действиями конкурентов, экономическими условиями и другими причинами (например, даже стихийными бедствиями). По данным зарубежной литературы, широкое распространение получил промышленный шпионаж – это наносящие ущерб владельцу коммерческой тайны незаконные сбор, присвоение и передача сведений, составляющих коммерческую тайну, лицом, не уполномоченным на это ее владельцем.

К основным угрозам безопасности информации и нормального функционирования ИС относятся:

— утечка конфиденциальной информации;

— компрометация информации;

— несанкционированное использование информационных ресурсов;

— ошибочное использование информационных ресурсов;

— несанкционированный обмен информацией между абонентами;

— отказ от информации;

— нарушение информационного обслуживания;

— незаконное использование привилегий.

Утечка конфиденциальной информации – это бесконтрольный выход конфиденциальной информации за пределы ИС или круга лиц, которым она была доверена по службе или стала известна в процессе работы. Данная утечка может быть следствием:

— разглашения конфиденциальной информации;

— ухода информации по различным, главным образом техническим, каналам;

— несанкционированного доступа к конфиденциальной информации различными способами.

К разглашению информации ее владельцем или обладателем ведут умышленные или неосторожные действия должностных лиц и пользователей, которым соответствующие сведения в установленном порядке были доверены по службе.

Возможен бесконтрольный уход конфиденциальной информации по визуально-оптическим, акустическим, электромагнитном и другим каналам.

Несанкционированный доступ – это противоправное преднамеренное овладение конфиденциальной информацией лицом, не имеющим права доступа к охраняемым сведениям.

Наиболее распространенными путями несанкционированного доступа к информации являются:

— перехват электронных излучений;

— применение подслушивающих устройств (закладок);

— дистанционное фотографирование;

— перехват акустических излучений;

— чтение остаточной информации в памяти системы после выполнения санкционированных запросов;

— копирование носителей информации с преодолением защиты;

— маскировка под зарегистрированного пользователя;

— маскировка под запросы системы;

— использование программных ловушек;

— использование недостатков языков программирования и операционных систем;

— незаконное подключение к аппаратуре и линиям связи специально разработанных аппаратных средств, обеспечивающих доступ к информации;

— злоумышленный вывод из строя механизмов защиты;

— расшифровка специальными программами зашифрованной информации;

— информационные инфекции.

Перечисленные пути несанкционированного доступа требуют достаточно больших технических знаний и соответствующих аппаратных или программных разработок со стороны взломщика.

Однако есть и достаточно примитивные пути несанкционированного доступа:

— хищение носителей информации и документальных отходов;

— инициативное сотрудничество;

— склонение к сотрудничеству со стороны взломщика;

— выпытывание;

— подслушивание;

— наблюдение и другие пути.

Любые способы утечки конфиденциальной информации могут привести к значительному материальному и моральному ущербу как для организации, где функционирует ИС, так и для ее пользователей.

Менеджерам следует помнить, что довольно большая часть причин и условий, создающих предпосылки и возможность неправомерного овладения конфиденциальной информацией, возникает из-за элементарных недоработок руководителей предприятий и их сотрудников.

Например, к причинам и условиям, создающим предпосылки для утечки коммерческих секретов, могут относиться:

— недостаточное знание работниками предприятия правил защиты конфиденциальной информации и непонимание необходимости их тщательного соблюдения;

— использование неаттестованных технических средств обработки конфиденциальной информации;

— слабый контроль за соблюдением правил защиты информации правовыми, организационными и инженерно-техническими мерами;

— текучесть кадров, в том числе владеющих сведениями, составляющими коммерческую тайну;

— другие варианты, организационных недоработок, в результате которых виновниками утечки информации являются люди – сотрудники ИС и ИТ.

Большинство из перечисленных технических путей несанкционированного доступа поддаются надежной блокировке при правильно разработанной и реализуемой на практике системе обеспечения безопасности.

Но борьба с информационными инфекциями представляет значительные трудности, так как существует и постоянно разрабатывается огромное множество вредоносных программ, направленных на порчу информации в БД и ПО компьютеров. Большое число разновидностей этих программ не позволяет разработать постоянных и надежных средств защиты против них.

Компрометация информации (один из видов информационных инфекций).

Риски информационной безопасности

Реализуется, как правило, посредством несанкционированных изменений в базе данных, в результате чего ее потребитель вынужден либо отказаться от нее, либо предпринимать дополнительные усилия для выявления изменений и восстановления истинных сведений. В случае использования скомпрометированной информации потребитель подвергается опасности принятия неверных решений со всеми вытекающими отсюда последствиями.

Несанкционированное использование информационных ресурсов имеет самостоятельное значение, так как может нанести большой ущерб управляемой системе (вплоть до полного выхода ИТ из строя) или ее абонентам. Для предотвращения этих явлений проводятся идентификация и аутентификация.

Ошибочное использование информационных ресурсов, будучи санкционированным, тем не менее может привести к разрушению, утечке или компрометации указанных ресурсов. Данная угроза чаще всего является следствием ошибок, имеющихся в ПО ИТ.

Несанкционированный обмен информацией между абонентами может привести к получению одним из них сведений, доступ к которым ему запрещен. Последствия – те же, что и при несанкционированном доступе.

Кроме того, существует ряд случайных угроз информации, таких как проявление ошибок программно-аппаратных средств, некомпетентное использование, настройка или неправомерное отключение средств защиты персоналом службы безопасности, неправомерное включение оборудования или изменение режимов работы устройств и программ, неумышленная порча носителей информации, пересылка данных по ошибочному адресу и т.д.

 

---

💀 Методики анализа и оценки рисков ИБ

ТЕХНОЛОГИИ

Базовый (baseline) анализ рисков – анализ рисков, проводимый в соответствии с требованиями базового уровня защищенности. Прикладные методы анализа рисков, ориентированные на данный уровень, обычно не рассматривают ценность ресурсов и не оценивают эффективность контрмер. Методы данного класса применяются в случаях, когда к информационной системе не предъявляется повышенных требований в области ИБ. Полный (full) анализ рисков – анализ рисков для информационных систем, предъявляющих повышенные требования в области ИБ. Включает в себя определение ценности информационных ресурсов, оценку угроз и уязвимостей, выбор адекватных контрмер, оценку их эффективности. При анализе рисков, ожидаемый ущерб в случае реализации угроз, сравнивается с затратами на меры и средства защиты, после чего принимается решение в отношении оцениваемого риска, который может быть:  снижен, например, за счет внедрения средств и механизмов защиты, уменьшающих ве- роятность реализации угрозы или коэффициент разрушительности;  устранен за счет отказа от использования подверженного угрозе ресурса;  перенесен , например, застрахован, в результате чего в случае реализации угрозы без- опасности, потери будет нести страховая компания, а не владелец ресурса;  принят . Наиболее трудоемким является процесс оценки рисков, который условно можно разделить на следующие этапы: идентификация риска; анализ риска; оценивание риска 1 .

На рисунке 1 схематично изображен процесс оценки рисков информационной безопасности.

Рисунок 1 − Процесс оценки рисков информационной безопасности Идентификация риска заключается в составлении перечня и описании элементов риска: объектов защиты, угроз, уязвимостей. Принято выделять следующие типы объектов защиты: информационные активы; программное обеспечение; физические активы; сервисы; люди, а также их квалификации, навыки и опыт; нематериальные ресурсы, такие как репутация и имидж организации. Как правило, на практике рассматривают первые три группы. Остальные объекты защиты не рассматриваются в силу сложности их оценки.

риск информационной безопасности

На этапе идентификации рисков так же выполняется идентификация угроз и уязвимостей. В качестве исходных данных для этого используются результаты аудитов; данные об инцидентах информационной безопасности; экспертные оценки пользователей, специалистов по информационной безопасности, ИТ-специалистов и внешних консультантов.

1 ГОСТ Р ИСО/МЭК 13335-1-2006 «Информационная технология. Методы и средства обеспечения безопасности. Часть 1. Концепция и модели менеджмента безопасности информационных и телекоммуникационных технологий».

74

Образовательные ресурсы и технологии  2015’1(9)

Made with FlippingBook flipbook maker

^ вернуться к содержанию ^

Контролировать и оценивать эффективность политик и механизмов контроля

  Как и любой вид деятельности, информационная безопасность подлежит контролю и периодической переоценке, чтобы гарантировать адекватность (соответствие) политик и средств (методов) контроля поставленным целям.

Контролировать факторы, влияющие на риски и указывающие на эффективность информационной безопасности

  Контроль должен быть сосредоточен, прежде всего, на (1) наличии средств и методов контроля и их использования, направленного на уменьшение рисков и (2) оценке эффективности программы и политик информационной безопасности, улучшающих понимание пользователей и сокращающих количество инцидентов. Такие проверки предусматривают тестирование средств (методов) контроля, оценку их соответствия политикам организации, анализ инцидентов безопасности, а также другие индикаторы эффективности программы информационной безопасности. Эффективность работы руководящей группы может быть оценена, основываясь, например, на следующих показателях (но, не ограничиваясь ими):

• число проведенных тренингов и встреч;

• число выполненных оценок риска (рисков);

• число сертифицированных специалистов;

• отсутствие инцидентов, затрудняющих работу сотрудников организации;

• снижение числа новых проектов, внедренных с задержкой из-за проблем информационной безопасности;

• полное соответствие или согласованные и зарегистрированные отклонения от минимальных требований информационной безопасности;

• снижение числа инцидентов, влекущих за собой несанкционированный доступ, потерю или искажение информации.

Использовать полученные результаты для координации будущих усилий и повышения ответственности менеджмента

  Контроль, безусловно, позволяет привести организацию в соответствие с принятыми политикам информационной безопасности, однако полные выгоды от контроля не будут достигнуты, если полученные результаты не используются для улучшения программы обеспечения информационной безопасности. Анализ результатов контроля предоставляет специалистам в области информационной безопасности и менеджерам бизнес-подразделений средства (1) переоценки ранее идентифицированных рисков, (2) определения новых проблемных участков, (3) переоценки достаточности и уместности существующих средств и методов контроля (управления) и действий по обеспечению информационной безопасности, (4) определения потребностей в новых средствах и механизмах контроля, (5) переадресации контрольных усилий (контролирующих действий). Кроме того, результаты могут использоваться для оценки деятельности бизнес-менеджеров, ответственных за понимание и уменьшение рисков в бизнес-подразделениях.

Анализ рисков и управление информационными рисками

Отслеживать новые методы и средства контроля

  Важно гарантировать, что (1) специалисты в области информационной безопасности не «отстают» от разрабатываемых методов и инструментов (приложений) и располагают самой последней информацией об уязвимости информационных систем и приложений, (2) высший менеджмент гарантирует, что располагает для этого необходимыми ресурсами.

^ вернуться к содержанию ^

Заключение

  Развитие программы информационной безопасности, соответствующей основным принципам, описанным в этом документе – первый и основной шаг организации на пути построения эффективной системы информационной безопасности. Таким образом, организация должна непрерывно (1) исследовать и оценивать риски информационной безопасности, влияющие на бизнес-процессы, (2) установить централизованное управление информационной безопасностью, (3) установить политики, стандарты, и средства (механизмы) контроля (управления), направленные на уменьшение этих рисков, (4) содействовать осведомленности и пониманию, описанной проблемы среди сотрудников, и (5) оценивать соответствие и повышать эффективность.

Комментарий автора:

  В документе не зря упомянута «руководящая группа». Это в России практикуется подход направленный на создание подразделения (зачастую очень большого), решающего вопросы ИБ. Как показывает практика эти люди дублируют функции сотрудников ИТ подразделений, в любом случае, выполняющих функции ИБ. За рубежом, напротив, работу координирует менеджер (офицер безопасности) — административный и методологический центр управления ИБ. За риски отвечают менеджеры подразделений, они же делигируют функции управления ИБ подразделениям ИТ. В результате — эффективная и понятная система, с ясными ответственностью и обязанностями, и, что немаловажно — экономия денег.

Источник: ISACA.ru   

^ вернуться в начало ^

Оценка рисков занимает центральное место в системе управления информационной безопасностью.

Как оценить риски информационной безопасности

На рисунке 1 показана роль процесса оценки рисков в структуре процессов информационной безопасности.

   

Рисунок 1. Роль процесса оценки рисков в структуре процессов информационной безопасности 

Необходимость проведения оценки рисков определена в российских и международных стандартах по информационной безопасности (ГОСТ Р ИСО/МЭК 17799:2005, CRAMM, ISO 27001:2013) и нормативных документах государственных органов РФ (например, документах ФСТЭК России по защите персональных данных и ключевых систем информационной инфраструктуры). 

Под риском понимается неопределенность, предполагающая возможность ущерба, связанного с нарушением ИБ. Оценка рисков – это процесс, охватывающий индетификацию риска, анализ риска и сравнительную оценку риска.

Анализ рисков включает следующие обязательные этапы:

• идентификация ресурсов;
• идентификация бизнес-требований и требований законодательства, применимых к идентифицированным ресурсам;
• оценивание идентифицированных ресурсов с учетом выявленных бизнес требований и требований законодательства, а также последствий нарушения их конфиденциальности, целостности и доступности;
• идентификация значимых угроз и уязвимостей идентифицированных ресурсов;
• оценка вероятности реализации идентифицированных угроз и уязвимостей.

 Оценивание рисков включает: 

• вычисление риска;
• оценивание риска по заранее определенной шкале рисков.

 Оценка рисков является эффективным механизмом управления информационной безопасностью в компании, позволяющим:

• идентифицировать и оценить существующие информационные активы компании;
• оценить необходимость внедрения средств защиты информации;
• оценить эффективность уже внедренных средств защиты информации.

 Типовой проект по оценке рисков информационной безопасности, предлагаемый нашей компанией включает следующие стадии:

1. Подготовка проекта – определение границ проведения оценки рисков, согласование сроков проведения, определение привлекаемых специалистов со стороны Заказчика;

2. Начало проекта – получение исходных данных от Заказчика, изучение бизнес-целей компании и отраслевых особенностей, составление карты активов;

3. Проведение обследования, включающего сбор следующей информации:

•  об организационных мероприятиях – изучение политик, положений, инструкций, программ и результатов обучения сотрудников, проведение интервьюирования ответственных сотрудников Заказчика, наблюдение за работой сотрудников Заказчика;
• о технических средствах – инструментальный анализ информационной инфраструктуры, изучение документов, описывающих работу технических средств, изучение существующих настроек технических средств;
• о физической безопасности – осмотр помещений, анализ существующих процедур и применяемых средств обеспечения физической безопасности.

 4.    Построение модели угроз

• актуальность и полнота составленной модели угроз безопасности информации является определяющим условием успешной и достоверной оценки рисков;
• модель угроз безопасности информации является уникальной для каждой компании;
• при построении модели угроз безопасности информации используются каталоги угроз, например CRAMM или BSI. Полученный перечень угроз может дополняться, угрозами, описанными в методических документах регулирующих органов, например ФСТЭК России и ФСБ России, и отраслевых регуляторов, например Банк России;
• составленный перечень угроз дополняется угрозами, выявленными при проведении обследования Заказчика.

 5.    Анализ рисков, включающий:

• оценку активов на основе информации, полученной на этапах начала проекта и проведения обследования. Оценка активов может быть как количественная, так и качественная;
• оценку уязвимостей, выявленных в ходе проведения обследования. Оценка уязвимостей может проводиться с использованием различных методик, например CVSS;
• оценку угроз, включенных в модель угроз. Под оценкой угроз понимается вычисление вероятности возникновения угрозы;
• расчет рисков по качественной или количественной методике;
• ранжирование рисков с целью определения очередности обработки рисков.

6.    Разработка плана обработки рисков – выбор оптимальных защитных мер, оценка их стоимости и эффективности, разработка предложений по принятию, избеганию или передачи части рисков;

 7.    Презентация результатов оценки рисков руководству компании и техническому персоналу.

І. Постановка проблемы

В период глобальной компьютеризации и интернетизации, который сейчас переживает современное общество, все типы предприятий становятся зависимыми от информационных систем. Это делает их уязвимыми к угрозам различного характера. Поэтому, оценивание рисков информационной безопасности предприятия и создание его собственной политики информационной безопасности должны стоять на высоких позициях в списке бизнес–приоритетов собственников.

IІ. Цель работы

Целью исследования является обоснование необходимости управления рисками, а также проведение анализа методов оценивания рисков для формирования политики информационной безопасности малых предприятий.

III. Риск–менеджмент как эффективный способ для анализа рисков малых предприятий

В настоящий момент корпоративные сети предприятий считаются наиболее уязвимыми с точки зрения безопасности во всей их инфраструктуре. Рассмотрим стандартную схему корпоративной сети предприятия на примере интернет–магазина (рис.1).

Рисунок 1 – Структурная схема малого предприятия

Как следует из ее архитектуры и методов использования, определение границ безопасности для нее практически невозможно, так как предприятие использует сеть для хранения данных, пользуется связями типа peer–to–peer, ведет переписку с помощью мгновенных сообщений, имеет удаленный доступ, а также клиентские сервисы. Поэтому, для обеспечения ИБ данного предприятия необходимо выработать некие стандартные подходы.

По словам Петренко С.А. [1], независимо от размера компании и ее конкретных информационных систем, усилия для обеспечения режима безопасности информации состоят из следующих этапов:

• определение политики информационной безопасности;
• установление границ, которые предназначены для поддержки режима информационной безопасности;
• оценка рисков;
• выбор контрмер и управления рисками;
• выбор элементов управления в целях обеспечения режима информационной безопасности;
• сертификация систем управления информационной безопасностью на соответствие стандартам безопасности.

Набор минимальных требований, к режиму информационной безопасности, перечисленных в стандартах ISO 17799 (международный стандарт), BSI (Германия), NIST 800–30 (США), составляет основу информационной безопасности. Этого набора, как правило, достаточно для целого ряда стандартных проектов малого бизнеса. В его рамках можно использовать особые стандарты и спецификации, которые имеют минимальный перечень наиболее вероятных угроз, таких как вирусы, несанкционированный доступ, и другие.

15.Риски информационной безопасности.

Для выполнения более специфических требований к безопасности необходимо разрабатывать индивидуальный, повышенный режим безопасности [2]. Этот режим предусматривает стратегии работы с рисками разных классов, в которых реализуются следующие подходы:

• снижение рисков: многие риски могут быть снижены за счет использования простых и дешевых контрмер;
• неприятие риска: некоторые классы риска можно избежать с помощью выведения веб–сервера организации за пределы локальной сети;
• изменение характера риска: если невозможно уклониться от риска или уменьшить его, то лучше застраховать уязвимый объект;
• принятие риска: специалист должен знать остаточную ценность риска из–за невозможности сведения его к малой величине.

В результате, принимая во внимание все вышеперечисленные моменты, возможно создать достаточно эффективную систему риск–менеджмента для предприятия.

IV. Методы оценивания рисков в условиях политики информационной безопасности

Существует большое количество программ, для оценки рисков безопасности. Например, RA2 art of Risk, vsRisk, RiskWatch, COBRA, РискМенеджер, и многие другие.

С точки зрения использования таких программ в сфере малого бизнеса наилучших результатов с меньшими материальными затратами можно достичь с помощью методик OCTAVE–S и CRAMM.

Методы OCTAVE основаны на практических критериях OCTAVE, которые являются стандартными подходами для оценки ИБ. Данная методика реализуется вручную, без использования программных средств. Аналитическая команда, состоящая из 3–5 человек, рассматривает риски организационных активов в их соотношении с целями бизнеса. Конечным результатом метода является организацонно–направленная стратегия безопасности и план по смягчению последствий нарушений ИБ [3, 4].

В отличие от OCTAVE, CRAMM–CCTA Risk Analysis & Management реализуется с помощью специализированного программного обеспечения, которое можно настроить для различных отраслей. Текущая версия CRAMM 5 соответствует BS 7799 (ISO 17799).

Анализ рисков по методу CRAMM состоит из идентификации и расчета рисков на основе оценок определенных ресурсов, уязвимостей, угроз и ресурсов. Управление рисками с помощью CRAMM помогает выявить и выбрать контрмеры для снижения рисков предприятий рассматриваемых структур до приемлемого уровня [5].

Вывод

Согласно проведенному исследованию, информационная безопасность является чрезвычайно важным фактором корректного функционирования малого предприятия. Для его поддержания функционирования компании необходимо систематически проводить оценку рисков, анализ рисковых ситуаций, либо полный аудит предприятия.

Применение различных методов оценивания рисков в рамках риск–менеджмента позволяет обезопасить собственников предприятия от заранее предусмотренных рисков, а также способствует выработке методики защиты, отражения и принятия неучтенных рисков. Рассматриваемые подходы и приемы можно распространить на все типы предприятий малого бизнеса.

Список использованных источников

1. Петренко С.А. Управление информационными рисками. Экономически оправданная безопасность [Текст] / Петренко С.А., Симонов С.В. – М.: Компания АйТи; ДМК Пресс, 2004. – 384 с.: ил.
2. JetInfo, информационный бюллетень, вып. 1(68)/1999; [Текст]/М.:Джет Инфо Паблишер
3. Managing Risk: It’s Not Just for Big Business, Stephen Townsend, IS 8930 Information Security Administration, Summer 2010,7/14/2010 [Электронный ресурс]. – Режим доступа: http://stephendtownsend.com/wordpress/wp-content/uploads/2010/12/Stephen_Townsend_ResearchPaper2.pdf
4. Software Engineering Institute Carnegie Mellon [Электронный ресурс]. – Режим доступа: http://www.cert.org/octave/octaves.html
5. IT Expert [Электронный ресурс]. – Режим доступа: http://www.itexpert.ru/rus/ITEMS/77-33/index.php