ПЗ по ОЗИ. ПЗ по ОЗИ №2-3. Практическое задание 23 анализ рисков информационной безопасности цель
Скачать 62.32 Kb.
|
1 2 ПРАКТИЧЕСКОЕ ЗАДАНИЕ №2-3 АНАЛИЗ РИСКОВ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ Цель: приобретение практических навыков качественной и количественной оценки рисков информационной безопасности 2.1 Теоретические сведения Информационная безопасность – состояние защищенности сбалансированных интересов личности, общества и государства от внешних и внутренних угроз в информационной сфере. В такой формулировке этот термин определен в Концепции национальной безопасности Республики Беларусь, а также фигурирует в Концепции информационной безопасности Республики Беларусь, утвержденной Постановлением Совета Безопасности Республики Беларусь от 18 марта 2019 г. № 1. Угроза информационной безопасности – потенциальная или реальная существующая возможность нанесения ущерба интересам личности, общества и государства в информационной сфере. Защита информации – комплекс правовых, организационных и технических мер, направленных на обеспечение конфиденциальности, целостности, подлинности, доступности и сохранности информации. Уязвимость – некоторое свойство информационного объекта (информационной системы), делающее возможным возникновение и реализацию угрозы. Атака – действие злоумышленника, заключающееся в поиске и использовании той или иной уязвимости. Целью защиты информационного объекта (информационной системы) является противодействие угрозам безопасности. Защищенный информационный объект (информационная система) — это объект (система) со средствами защиты, которые успешно и эффективно противостоят угрозам безопасности. Риск – сочетание вероятности события и его последствий. Информационный риск – сочетание вероятности реализации угрозы информационной безопасности и последствий от реализации угрозы информационной безопасности. Управление информационными рисками представляет собой одно из наиболее динамично развивающихся направлений стратегического и оперативного менеджмента в области защиты информации. Его основная задача – объективно идентифицировать и оценить наиболее значимые для бизнеса информационные риски компании, а также адекватность используемых средств контроля рисков для увеличения эффективности и рентабельности экономической деятельности компании. Поэтому под термином «управление информационными рисками» обычно понимается системный процесс идентификации, контроля и уменьшения информационных рисков компаний в соответствии с определенными ограничениями нормативно–правовой базы (НПБ) в области защиты информации и собственной корпоративной политики безопасности. Качественное управление рисками позволяет использовать оптимальные по эффективности и затратам средства контроля рисков и средства защиты информации, адекватные текущим целям и задачам бизнеса компании. При этом основной НПБ являются британский стандарт BS 7799 «Практические правила управления информационной безопасностью (ИБ)» и германский стандарт BSI, на основе которых были приняты международные стандарты ISO 17799 и ISO 13335. Методики управления рисками делятся на количественные и качественные. Качественные методики относительно просты, и разработаны на основе требований стандарта ISO 17799. К качественным методикам управления рисками относятся методики COBRA и RA Software Tool. Вторую группу методик управления рисками составляют количественные методики. К количественным методикам управления рисками относятся методики CRAMM, MethodWare и др. 2.2 Оценка необходимости защиты информационной системы Методика COBRA представляет требования стандарта ISO 17799 в виде тематических вопросников (check list’s), на которые следует ответить в ходе оценки рисков информационных активов и электронных бизнес–транзакций компании. Далее введенные ответы автоматически обрабатываются, и с помощью соответствующих правил логического вывода формируется итоговый отчет c текущими оценками информационных рисков компании и рекомендациями по их управлению. Методика предназначена для проведения общей и частных оценок, позволяющих руководителю организации принять обоснованное решение о необходимости защиты конфиденциальной информации, циркулирующей внутри организации, от конкурентов с оценкой предстоящих расходов на защиту. Методика позволяет быстро и достаточно объективно провести экспресс-оценку необходимости защиты конфиденциальной информации и на ее основе оперативно принять соответствующее решение. Методика состоит из двух взаимосвязанных частей. Первая часть позволяет на основе обработки результатов анкетного опроса принципиально ответить на вопрос, нужно или не нужно защищать информацию, циркулирующую на фирме, а вторая часть, в случае положительного решения первого вопроса, позволяет приближенно оценить затраты на предстоящую ЗИ. Перечень анкетных вопросов Вопросы анкеты сформулированы таким образом, что не требуют пространных ответов, а сводятся к односложным ответам «да», «нет». Заполнение анкеты не требует специальной подготовки в области ЗИ и не вызывает трудностей и больших временных затрат. Специальные знания по ЗИ учтены при разработке анкетных вопросов и при последующей обработке результатов опроса с участием специалистов по ЗИ. Количественная оценка наличия конфиденциальной информации в организации и необходимости ее защиты получается путем математической обработки ответов на анкетные вопросы. С этой целью каждому вопросу анкеты поставлена в соответствие весовая величина, численно выражающая долевой вклад содержания вопроса в необходимость защиты конфиденциальной информации. Значения весовых коэффициентов получены экспертным методом. При обработке результатов анкетного опроса можно получить как общую оценку необходимости защиты на фирме, так и ряд частных оценок по возможным направлениям защиты. Совокупность всех оценок позволяет руководителю, в конечном счете, принять решение о необходимости организации защиты путем проведения режимных, организационных и технических мер. На основе анализа полученных оценок выявляются те звенья защиты, где она не обеспечена и вероятность перехвата информации конкурентом (утечка) недопустимо высока. Проведя такой анализ, руководитель организации может целенаправленно проводить работы по устранению утечки информации по выявленным направлениям. Порядок проведения оценок и существо первой части методики заключается в следующем. На первом этапе заинтересованная в ЗИ сторона в лице учредителя или руководителя организации заполняет анкету, отвечая на ее вопросы, приведенные в таблице 1. Ответы на вопросы анкеты в форме «да» или «нет» заносятся в графу 3 против соответствующих вопросов (см. таблица 2). Таблица 1
продолжение таблицы 1
продолжение таблицы 1
На втором этапе с привлечением консультанта проводится анализ результатов опроса. Если ответ на вопрос соответствует увеличению опасности утечки информации, то в графе 4 табл. 3 проставляется знак «+», в противном случае проставляется знак «-». На третьем этапе производится суммирование долевых коэффициентов графы 5, соответствующих знаку «+» по всем вопросам анкеты. Результат суммирования является общей оценкой (G) для принятия решения о необходимости защиты конфиденциальной информации на фирме в Целом. При этом если общая оценка G равна или больше 50 (G>50), то защиту необходимо проводить по всем направлениям. Если общая оценка G больше 20, но меньше 50 (50>G>20), то вероятность утечки информации достаточно велика и защита необходима по отдельным направлениям. Если общая оценка меньше 20 (G < 20), то вероятность утечки информации мала и дополнительную защиту информации можно не проводить. На четвертом этапе проводится анализ с помощью частных оценок по всем 5 пунктам опросной анкеты. Для получения частных оценок проводят суммирование долевых коэффициентов графы 6 табл. 2, помеченных знаком «+» для каждого пункта отдельно. При этом получится пять частных оценок: 1) по пункту 1 – оценка конкурентоспособности продукции (услуг) – G1; 2) по пункту 2 – оценка степени конфиденциальности информации – G2; 3) по пункту 3 – оценка временных характеристик конфиденциальности информации – G3; 4) по пункту 4 – оценка ЗИ режимными и организационными методами – G4; 5) по пункту 5 – оценка возможности утечки информации через технические средства – G5. Если частная оценка по каждому из пунктов 1-3 равна или больше 20 (G 1, 2, 3 > 20), то это подтверждает необходимость ЗИ. Если частная оценка по каждому из пунктов 4, 5 равна или больше 20 (G 4, 5 > 20), то это указывает на необходимость проведения ЗИ режимными и организационными методами или с помощью технических средств защиты соответственно. В том случае, если частная оценка по одному из пунктов 1-3 меньше 20 (G 1, 2, 3 < 20), то ЗИ можно не проводить. Таблица 2 – Результаты анализа ответов на вопросы анкеты
Таким образом, на основе проведенных оценок руководитель организации принимает решение о необходимости проведения работ по организации ЗИ. Вполне естественно, что перед руководителем организации встает другой очень важный вопрос о предстоящих затратах на организацию ЗИ. Этот вопрос решается с помощью второй части методики. Вторая часть методики предназначается для определения ориентировочной оценки ожидаемых затрат, связанных с защитой конфиденциальной информации. В общем случае затраты на ЗИ складываются из затрат на проведение организационно-режимных и технических мер. В свою очередь, затраты на техническую защиту складываются из затрат на проведение защиты речевой информации и на защиту других видов информации, в частности, дискретной, обрабатываемой на ПК, телеграфной, факсимильной и других видов, используемых в деятельности организации. Затраты на режимные и организационные меры ЗИ определяются главным образом заработной платой работников режимных подразделеий (групп) обеспечивающих организацию и контроль режимных мер, повышающих безопасность информации. Расчет этих затрат полностью находится в ведении руководителя организации и затруднений не вызывает. Затраты на техническую ЗИ складываются из затрат на проведение исследований, позволяющих выявить каналы утечки информации, определить способы ее защиты и из ожидаемых затрат на реализацию технических решений защиты. Расчет стоимости защитных мероприятий каждого из видов информации имеет некоторые особенности, но на этапе ориентировочных расчетов можно использовать методику защиты речевой информации как наиболее простой и общей. Такая методика, являющаяся второй составной частью общей методики оценки, разработана и представлена ниже. Учитывая, что методика предназначена для проведения экспресс-оценки стоимости ЗИ, позволяющей руководителю организации грубо оценить предстоящие затраты, она максимально упрощена и предусматривает проведение элементарных расчетов. С этой целью все техническое оборудование, которое может быть установлено на объекте (фирме) и через которое возможна утечка информации, условно разделено на три группы. Критерием такого деления выбрана доля (процент) затрат на защиту оборудования от стоимости самого оборудования (техники). Долевые коэффициенты (Kl, К2, КЗ) определены экспертным путем и приведены в табл. 3. Таблица 3 – Стоимость защиты оборудования
Примечание: в табл. 3. приводится расчет стоимости защиты оборудования, не предназначенного для передачи, обработки и хранения конфиденциальной информации. Стоимость защиты оборудования, предназначенного для обработки конфиденциальной информации, определяется индивидуально и может существенно превышать указанную в табл. 3. В таблице обозначено: С1, С2, С3 – суммарная стоимость технического оборудования соответствующей группы, установленного в организации. Значения стоимости образцов техники, находящихся в помещениях организации, определяются по каталогам действующих цен изготовителя данной техники (можно воспользоваться приближенными ценами из таблицы 4). Стоимость технической защиты всего оборудования (Стз), состоящего из техники различных групп, определяется по формуле:
Примечание: в таблице 3 не приводится расчет стоимости защиты специального оборудования, используемого для передачи, обработки и хранения конфиденциальной информации. Стоимость защиты такого оборудования определяется индивидуально и может существенно превышать указанную в таблице 3. Стоимость ежегодного профилактического контроля определяется по формуле:
Таким образом, зная перечень и количество установленного в организации технического оборудования и его стоимость, можно без труда рассчитать общие ожидаемые затраты на ЗИ техническими средствами:
где Сраз – ежегодные затраты на режимные и организационные меры, которые определяются заработной платой работников службы информационной безопасности. В случае отсутствия данной службы коэффициентом можно пренебречь. Получив такие оценки, руководитель организации принимает решение на проведение работ по защите информации.
1 2 |