информационная безопасность. Лекции ИБ. Учебник для вузов В. Г. Олифер, Н. А. Олифер 2е изд. Спб. Питер 2009 669 с ил. Межсетевое экранирование учеб пособие О. Р. Лапонина М. Интернет Ун т Информ. Технологий бином. Лаб знаний 2007 343 с ил
Скачать 0.82 Mb.
|
1 Конспект лекций по дисциплине «Информационная безопасность» 2013 г. 2 Основная литература 1. Современная компьютерная безопасность. Теоретические основы. Практические аспекты учеб. пособие для вузов А. Ю. Щербаков - М. Книж. мир 2009 - 352 с. ил. 2. Закон Российской Федерации «Об информации, информатизации и защите информации» от 25.01.95 г. 3. Защита информации в компьютерных системах и сетях Ю. В. Романец, П. А. Тимофеев, В. Ф. Шаньгин; под ред. В. Ф. Шаньгина - 2-е изд., перераб. и доп. - М. Радио и связь 2001 - 376 с. ил. 4. Программно-аппаратные средства обеспечения информационной безопасности. Защита в операционных системах учеб. пособие для вузов В.Г. Проскурин, С.В. Крутов, И.В. Мацкевич - М. Радио и связь 2000 - 168 с. ил Дополнительная литература 5. Обнаружение хакерских атак. Для профессионалов Дж. Чирилло; пер. с англ. А. Ярцева - СПб. Питер 2003 - 864 с. Ил 6. Сетевые операционные системы учебник для вузов В. Г. Олифер, Н. А. Олифер - 2-е изд. - СПб. Питер 2009 - 669 с. ил. 7. Межсетевое экранирование учеб. пособие О. Р. Лапонина - М. Интернет Ун- т Информ. Технологий БИНОМ. Лаб. знаний 2007 - 343 с. ил. 8. Информационно-справочная система по документам в области технической защиты информации [Электронный ресурс]/ ФСТЭК России - ФСТЭК России, 2011 – Режим доступа: http://www.fstec.ru/_razd/_isp0o.htm , свободный. – заглавие с экрана. 3 1. Управление безопасностью Управление безопасностью включает в себя управление рисками, политики информационной безопасности, процедуры, стандарты, руководства, базисы, классификацию информации, организацию безопасности и обучение по вопросам безопасности. Эти ключевые аспекты служат основой корпоративной программы безопасности. Целью безопасности и программы безопасности является защита компании и ее активов. Анализ рисков позволяет идентифицировать эти активы, выявить угрозы, вызывающие риски для них, оценить возможные потери и потенциальные убытки, которые компания может понести в случае реализации любой из этих угроз. Результаты анализа рисков помогают руководству подготовить бюджет, учитывающий все необходимые затраты для защиты идентифицированных активов от выявленных угроз, и разрабатывать применимые на практике политики безопасности, которые направляют деятельность по обеспечению безопасности. Обучение и повышение осведомленности по вопросам безопасности позволяет довести необходимый объем информации до сведения всех и каждого сотрудников компании, что упрощает их работу и позволяет достичь целей безопасности. Процесс управления безопасностью является непрерывным. Он начинается с оценки рисков и определения потребностей, затем следует мониторинг и оценка систем и применяемых методов работы. После этого проводится повышение осведомленности сотрудников компании, которое обеспечивает понимание вопросов, которые должны учитываться. Последним шагом является внедрение политик и защитных мер, направленных на снижение рисков и реализацию потребностей, определенных на первом шаге. Затем цикл начинается сначала. Таким образом, этот процесс постоянно анализирует и контролирует безопасность компании, позволяет ей адаптироваться и развиваться с учетом потребностей в обеспечении безопасности и тех условий, в которых компания существует и работает. Управление безопасностью со временем меняется, так как меняется сетевое окружение, компьютеры и приложения, обрабатывающие информацию. Интернет, сети экстранет (сети бизнес-партнеров), сети интранет делают безопасность не только более сложной, но и более критичной. Ядро сетевой архитектуры изменилось с локализованных автономных вычислений на среду распределенных вычислений, что многократно увеличило ее сложность. Хотя доступ из внутренней сети в Интернет дает пользователям ряд важных возможностей и удобств, он увеличивает уязвимость компании из Интернета, что может стать источником дополнительных рисков безопасности. Сегодня большинство организаций не смогут работать без компьютеров и их вычислительных возможностей. Многие крупные корпорации уже осознали, что их данные – это важнейший актив, который нужно защищать наравне со зданиями, оборудованием и другими физическими активами. Безопасность должна меняться одновременно с изменениями сетей и окружения. Безопасность – это больше, чем просто межсетевой экран и маршрутизатор со списком контроля доступа. Эти системы, несомненно, важны, но гораздо большее значение для безопасности имеет управление действиями пользователей и процедурами, которым они следуют. Это приводит к практике управления безопасностью, которая сосредоточена на постоянной защите активов компании. 1.1. Роли в управлении безопасностью В функции руководителя входит определение целей, границ, политик, приоритетов и стратегий. Руководству нужно определить четкие границы и актуальные цели, достижение которых ожидается в результате выполнения программы безопасности. Также 4 руководству нужно оценить цели бизнеса, риски безопасности, продуктивность пользователей, функциональные требования и цели. Наконец, руководство должно определить шаги, обеспечивающие правильное распределение и решение этих задач. Обеспечение информационной и компьютерной безопасности не входит в обязанности ИТ-администратора. Руководство, считающее обратное не воспринимает защиту своих данных и активов всерьез, в результате чего безопасность в таких компаниях выглядит недоразвитой, плохо поддерживаемой, недостаточно финансируемой и неудачной. Безопасность должна учитываться на уровне высшего руководства. Администратор безопасности может консультировать руководство по вопросам безопасности, но безопасность компании не должна быть полностью делегирована ИТ-администратору или администратору безопасности. Управление безопасностью основывается на четко идентифицированных и оцененных активах компании. После идентификации и оценки активов внедряются политики безопасности, процедуры, стандарты и руководства по обеспечению целостности, конфиденциальности и доступности для этих активов. Для классификации данных, выполнения анализа и оценки рисков используются различные инструменты. Эти инструменты помогают выявить уязвимости и показывают уровень их критичности, что позволяет внедрить эффективные контрмеры для снижения рисков наиболее оптимальным способом. В обязанности руководства входит обеспечение защиты ресурсов компании в целом. Этими ресурсами являются люди, капитал, оборудование и информация. Руководство должно принимать в этом участие, чтобы убедиться, что программа безопасности внедрена, угрозы, которые влияют на ресурсы компании, учтены, а также чтобы иметь уверенность в том, что необходимые защитные средства эффективны. Должна быть обеспечена доступность необходимых ресурсов и финансирования, ответственные лица должны быть готовы принять участие в мерах по защите информации и активов предприятия. Руководство должно распределить обязанности и определить роли, необходимые для начала выполнения программы безопасности, обеспечения ее успешного развития и эволюционирования по мере изменения окружения. Руководство также должно интегрировать программу безопасности в имеющуюся бизнес-среду и контролировать их работу. Поддержка руководства – одна из важнейших частей программы безопасности. 1.2. Подход "сверху-вниз". В процессе планирования и внедрения программы безопасности специалист по безопасности должен определить выполняемые функции и ожидаемый конечный результат. Часто компании просто начинают блокировать компьютеры и устанавливать межсетевые экраны, не понимая требования безопасности в целом, цели и уровни доверия, которые они хотели бы получить от безопасности в рамках всего окружения. Группе, вовлеченной в данный процесс, следует начать сверху, с очень широких идей и терминов, и двигаться вниз к детальным конфигурациям и системным параметрам. На каждом этапе члены группы должны держать в уме основные цели безопасности, чтобы каждый новый компонент добавлял больше деталей к соответствующей цели. Политика безопасности является своеобразным фундаментом для программы безопасности компании – совокупности мер и мероприятий по защите информауции. К этой политике нужно относиться серьезно с самого начала, в нее должны быть заложены идеи постоянной актуализации, обеспечивающие постоянное функционирование всех компонентов безопасности и работу по достижению целей, соответствующих целям бизнеса. Следующим шагом является разработка и внедрение процедур, стандартов и руководств, поддерживающих политику безопасности и определяющих контрмеры и 5 методы, которые должны применяться для обеспечения безопасности. Когда эти элементы разработаны, программу безопасности следует детализировать, разработав базисы и конфигурации для выбранных средств и методов безопасности. Если безопасность основана на прочном фундаменте и разработана с учетом целей и задач, компании не придется вносить в нее существенные изменения. В этом случае процесс может быть более методичным, требующим меньше времени, денег и ресурсов, обеспечивая при этом правильный баланс между функциональностью и защитой. Это не является обязательным требованием, но понимание этого может сделать подход вашей компании к безопасности более управляемым. Вы можете объяснить компании, каким образом следует планировать, внедрять и обеспечивать безопасность организованными способами, позволяющими избежать гигантской кучи средств безопасности, разрозненных и полных недостатков. Для программы безопасности следует использовать подход "сверху-вниз", означающий, что инициатива, поддержка и определение направления исходит от топ- менеджмента и идет через руководителей среднего звена к сотрудникам. Противоположный подход "снизу-вверх" относится к ситуации, когда ИТ- департамент пытается самостоятельно разработать программу безопасности, без должных указаний и поддержки руководства. Подход "снизу-вверх", как правило, менее эффективен, достаточно узок, и обречен на провал. Подход "сверху-вниз" гарантирует, что движущей силой программы являются люди (высшее руководство), которые действительно ответственны за защиту активов компании. 2. Администрирование безопасности и защитные меры Если обязанности администратора безопасности никто не выполняет, руководство должно возложить их. Обязанности администратора безопасности включают в себя контроль основных аспектов программы безопасности. В зависимости от организации, ее размеров и потребностей в безопасности, администрированием безопасности может заниматься один сотрудник или группа сотрудников, работающих централизованно или децентрализовано. Независимо от размеров, администрирование безопасности требует четкой структуры отчетности, понимания обязанностей, а также возможностей проверки и мониторинга, чтобы убедиться в отсутствии нарушений безопасности, вызванных недостатками взаимодействия или понимания. Владельцы информации должны указывать, какие пользователи могут иметь доступ к их ресурсам и что они могут делать с этими ресурсами. Задача администратора безопасности – убедиться, что этот процесс внедрен. Следующие защитные меры следует использовать для выполнения указаний руководства по вопросам безопасности: • Административные меры. Включают в себя разработку и публикацию политик, стандартов, процедур и руководств, управление рисками, подбор персонала, проведение тренингов по вопросам безопасности, внедрение процедур управления изменениями. • Технические (логические) меры включают внедрение и поддержку механизмов управления доступом, управления паролями и ресурсами, методами идентификации и аутентификации, устройствами безопасности, а также настройками инфраструктуры. • Физические меры включают в себя контроль доступа людей в здание и различные помещения, использование замков и удаление неиспользуемых дисководов и приводов CD-ROM, защиту периметра здания, выявление вторжений, контроль окружения. Рис. 1 иллюстрирует совместную работу административных, технических и физических мер безопасности, обеспечивающую необходимый уровень защиты. 6 Рис. 1 – Уровни защитных мер Владельцем информации обычно является ответственный сотрудник, входящий в руководящий состав компании или руководитель соответствующего департамента. Владелец информации обязан обеспечить надлежащую защиту данных, он несет единоличную ответственность за любую халатность в отношении защиты информационных активов компании. Сотрудник, который выполняет эту роль, несет ответственность за классификацию информации, он указывает, как эта информация должна быть защищена. Если защита данных не основана на требованиях владельца информации, если он не контролирует выполнение своих требований, может быть нарушена концепция due care (должной заботы). Следует обеспечить постоянное взаимодействие между группой администраторов безопасности и высшим руководством, чтобы гарантировать, что программа безопасности получает достаточную поддержку, а руководство принимает необходимые решения по ее реализации. Часто высшее руководство полностью исключает свое участие в вопросах безопасности, не принимая во внимание, что в случае возникновения серьезных инцидентов, связанных с безопасностью, именно высшее руководство будет объяснять их причины бизнес-партнерам, акционерам и публике. После такого случая отношение коренным образом изменяется, руководство максимально включается в вопросы безопасности. Следует обеспечить процесс постоянного взаимодействия между группой администраторов безопасности и высшим руководством, обеспечивающий двусторонние взаимоотношения. Неадекватное руководство может свести на нет все усилия компании в области безопасности. Возможными причинами неадекватного руководства может быть недостаточное понимание руководством потребностей компании в обеспечении безопасности, конкуренция безопасности с другими целями руководства, взгляд руководства на безопасность как на дорогую и ненужную затею, поддержка безопасности руководством компании только на словах. Мощные и полезные технологии, устройства, программное обеспечение, процедуры и методология обеспечивают определенный уровень безопасности, но без полноценного управления безопасностью и поддержки руководства они не имеют никакого значения. 7 2.1. Основные принципы безопасности Существует несколько маленьких и больших задач программы безопасности, но 3 основных принципа есть во всех программах: доступность, целостность и конфиденциальность. Это называется AIC-триадой (Availability, Integrity, Confidentiality). Уровень безопасности, необходимый для реализации этих принципов, отличается в различных компаниях, так как каждая компания имеет собственное уникальное сочетание целей бизнеса и безопасности, а также потребностей. Все защитные меры и механизмы безопасности внедряются для реализации одного (или нескольких) из этих принципов, а все риски, угрозы и уязвимости измеряются по их потенциальной способности нарушения одного или всех принципов AIC. AIC-триада показана на Рис. 2. Рис. 2 – Цели безопасности Доступность. Системы и сети должны обеспечивать достаточный уровень предсказуемости в сочетании с приемлемым уровнем производительности. Они должны иметь возможность восстанавливаться после сбоев быстро и безопасно, чтобы это не оказывало негативного воздействия на производительность работы компании. Следует избегать "единых точек отказа", осуществлять резервное копирование, при необходимости обеспечивать определенный уровень избыточности, предотвращать негативное влияние со стороны внешней среды. Необходимо внедрить механизмы защиты от внутренних и внешних угроз, которые могут сказаться на доступности и производительности сети, систем и информации. Доступность обеспечивает уполномоченным лицам надежный и своевременный доступ к данным и ресурсам. На доступность системы может повлиять сбой аппаратного или программного обеспечения. Следует использовать резервное оборудование для возможности оперативной замены критически важных систем. Обслуживающий персонал должен обладать всеми необходимыми знаниями и быть доступен для своевременного перехода на резервные системы и выполнения соответствующих настроек. Внешние факторы, такие как температура, влажность, статическое электричество, пыль могут также повлиять на доступность системы. DoS-атаки являются популярной методикой хакеров, нарушающей работу компании. Такие атаки снижают возможности доступа пользователей к ресурсам систем и информации. Чтобы защититься от них, следует ограничивать количество доступных портов, использовать системы IDS, контролировать сетевой трафик и работу компьютеров. Правильная настройка межсетевых экранов и маршрутизаторов также может уменьшить угрозу DoS-атак. Целостность. Целостность обеспечивает гарантии точности и надежности информации и предоставляющих ее информационных систем, предотвращает возможность 8 несанкционированных изменений. Аппаратные средства, программное обеспечение и коммуникационное оборудование должны работать совместно для надлежащего хранения и обработки данных, их правильного перемещения до места назначения в неизменном виде. Системы и сети должны быть защищены от вмешательства извне. Атаки на системы или ошибки пользователей не должны влиять на целостность систем и данных. Если злоумышленник установит вирус, логическую бомбу или скрытый вход (backdoor), целостность системы будет нарушена. Это может негативно повлиять на целостность информации, хранящейся в системе, и привести к мошенничеству, несанкционированным изменениям программного обеспечения и данных. Для борьбы с этими угрозами необходим строгий контроль доступа, системы выявления вторжений. Пользователи, как правило, влияют на целостность систем или данных в результате ошибок (хотя внутренние пользователи также могут совершать мошеннические или злоумышленные действия). Например, случайное удаление конфигурационных файлов, ввод ошибочной суммы операции и т.д. Меры безопасности должны ограничить возможности пользователей только минимально необходимым набором функций, что снизит вероятность и последствия их ошибок. Доступ к критичным системным файлам должен быть ограничен для пользователей. В приложениях следует предусмотреть механизмы контроля входящей информации, проверяющие ее корректность и адекватность. Права изменения данных в базах данных должны быть предоставлены только уполномоченным лицам, передаваемые по каналам связи данные должны быть защищены с помощью шифрования или других механизмов. Конфиденциальность. Конфиденциальность обеспечивает необходимый уровень секретности в каждой точке обработки данных и предотвращает их несанкционированное раскрытие. Конфиденциальность должна обеспечиваться как при хранении информации, так и в процессе ее передачи. Атакующие могут нарушить конфиденциальность, перехватывая сетевой трафик, подглядывая за работой сотрудников, похищая файлы с паролями, применяя методы социальной инженерии. Пользователи могут преднамеренно или случайно разглашать конфиденциальную информацию, забывая зашифровать ее перед отправкой другому лицу, став жертвой атаки с использованием социальной инженерии, предоставляя доступ к секретной информации компании, не обеспечивая необходимой защиты при обработке конфиденциальной информации. Конфиденциальность может быть обеспечена путем шифрования данных при их хранении и передаче, применения строгой системы контроля доступа, классификации данных, а также обучения персонала правильным методам работы с конфиденциальной информацией. 2.2. Определения безопасности Важно понимать значение слов "уязвимость", "угроза", "риск", "воздействие", а также взаимосвязь между ними. Уязвимость - это недостаток в программном обеспечении, оборудовании или процедуре, который может предоставить атакующему возможность доступа к компьютеру или сети и получения несанкционированного доступа к информационным ресурсам компании. Уязвимость - это отсутствие или слабость защитных мер. Уязвимостью может являться служба, запущенная на сервере, "непропатченное" приложение или операционная система, открытый порт на межсетевом экране, слабая физическая безопасность, позволяющая любому войти в серверную комнату, отсутствие управления паролями на серверах и рабочих станциях. Угроза - это потенциальная опасность для информации или системы. Угрозой является, если кто-то или что-то выявит наличие определенной уязвимости и использует ее против компании или человека. Нечто, дающее возможность использования 9 уязвимости, называется источником угрозы (threat agent). Источником угрозы может быть хакер, получивший доступ к сети через открытый на межсетевом экране порт; процесс, осуществляющий доступ к данным способом, нарушающим политику безопасности; стихийное бедствие, разрушившее здание; сотрудник, совершивший ошибку, которая может привести к утечке конфиденциальной информации или нарушению целостности файлов. Риск - это вероятность того, что источник угрозы воспользуется уязвимостью, что приведет к негативному воздействию на предприятие. Если межсетевой экран имеет несколько открытых портов, существует высокая вероятность, что злоумышленник воспользуется одним из них для несанкционированного доступа к сети. Если пользователи не обучены правильным процессам и процедурам, существует высокая вероятность совершения ими умышленных и неумышленных ошибок, которые могут привести к уничтожению данных. Если в сети не внедрена система IDS, существует высокая вероятность того, что факт проведенной атаки останется не выявленным, пока уже не будет слишком поздно. Воздействие (exposure) - это нечто, приводящее к потерям в связи с действиями источника угрозы. Уязвимости воздействуют на компанию, приводя к возможности нанесения ей ущерба. Если управление паролями слабое, а требования к паролям не внедрены, компания подвержена возможному воздействию в результате компрометации паролей пользователей и их использования для несанкционированного доступа. Если компания не следит за своей электропроводкой и не предпринимает шагов для предотвращения пожара, она подвержена потенциальному воздействию пожара. Контрмеры (или защитные меры) - это меры, внедрение которых позволяет снизить уровень потенциального риска. Контрмерами может быть настройка программного обеспечения, оборудования или процедур, устраняющая уязвимости или снижающая вероятность того, что источник угрозы сможет воспользоваться уязвимостью. Примером контрмер является строгое управление паролями, охрана, механизмы контроля доступа операционных систем, установка паролей BIOS, проведение обучения пользователей по вопросам безопасности. Если компания использует антивирусное программное обеспечение, но не обновляет базы вирусных сигнатур – это уязвимость. Компания уязвима для вирусных атак. Угрозой является то, что вирус проникнет в сеть компании и парализует ее работу. Риск в данном случае - это вероятность проникновения вируса в сеть компании и нанесения ей ущерба. Если вирус проникнет в сеть компании, уязвимость будет использована и компания окажется под воздействием нанесенного им ущерба. Контрмерами в этой ситуации будет поддержка актуальности баз вирусных сигнатур. Взаимосвязь между рисками, уязвимостями, угрозами и контрмерами показана на Рис. 3. Рис. 3 – Взаимосвязь компонентов безопасности 10 2.3. Безопасность посредством неизвестности Неправильное понимание рисков может привести к множеству различных проблем для компании и не позволит обеспечить хорошую работу безопасности. К сожалению, достаточно часто применяется такая практика, как "безопасность посредством неизвестности", которая ведет к плачевным результатам. Корень этой проблемы заключается в отсутствии понимания возможностей современных компьютерных злоумышленников, незнании инструментов, которые они имеют в своем распоряжении, а также недооценке их изобретательности. Это ведет защитников информации к серьезнейшей ошибке – они считают себя умнее своего потенциального противника. Следствием этого являются элементарные ошибки в защите, небрежности и распространение ложного чувства безопасности. Например, распространены ошибочные мнения, что: уязвимости не могут быть использованы, если они не общеизвестны; скомпилированный код более безопасен, чем открытый исходный код; перевод HTTP-трафика на порт 8088 обеспечит достаточную защиту; алгоритмы шифрования собственной разработки остановят злоумышленниками т.п. Это лишь немногие варианты потенциально опасных мнений, возникающих вследствие использования подхода к безопасности посредством неизвестности. Хотя всем хочется верить во врожденную доброту и порядочность своих коллег, если бы это на самом деле было бы так, у специалистов по безопасности не было бы работы. Безопасность не должна строиться на основе неизвестности! В мире криптографии, аналогичные идеи воплощены в принципе Кирхгофа, который еще в 1880-х годах, заявил о том, что нет смысла хранить в тайне алгоритм, т.к. злоумышленник может узнать (или предположить) его. Единственное, что должно быть тайной – это ключ. 3. Организационная модель безопасности Организационная модель безопасности является структурой, состоящей из многих элементов, механизмов защиты, логических, административных и физических компонентов, процедур, бизнес-процессов и конфигураций, которые работают совместно, обеспечивая необходимый уровень безопасности окружения. Каждая модель имеет свои отличия, но все модели реализованы в виде слоев: каждый слой поддерживает вышестоящий слой и защищает нижестоящий слой. Поскольку модель безопасности является структурой, компании могут наполнять ее различными видами технологий, методов и процедур для достижения необходимого уровня защиты своего окружения. Рис. 4 иллюстрирует компоненты, из которых может состоять модель безопасности. Эффективная безопасность требует взвешенного подхода и применения всех компонентов и процедур безопасности. Некоторые компоненты безопасности являются техническими (списки контроля доступа, шифрование), а некоторые - не техническими (физическими и административными, такими, как разработка политики безопасности и обеспечение соответствия ей), но каждый имеет важное место в рамках общей модели. Если один компонент отсутствует или реализуется не в полной мере, это может оказать негативное воздействие на всю структуру. Модель безопасности имеет различные слои и различные виды целей, которые должны быть достигнуты за различные промежутки времени. Цели могут быть ежедневными (операционными), среднесрочными (тактическими) и долгосрочными (стратегическими). 11 Рис. 4 – Эффективная модель безопасности То же самое происходит и в сфере планирования безопасности. Ежедневные (операционные) цели связаны с продуктивностью и выполнением текущих задач, обеспечивающих функционирование компании предсказуемым образом. Среднесрочной (тактической) целью является, например, объединение всех рабочих станций и ресурсов в один домен, чтобы обеспечить возможность централизованного контроля. Примером долгосрочных (стратегических) целей может являться объединение всех беспроводных технологий с целью единого подхода к обеспечению их безопасности. Стратегическое планирование работает с планами, которые находятся на одном уровне с бизнес-целями и целями ИТ. Цели стратегического планирования долгосрочны и имеют широкий горизонт. Стратегическое планирование может включать некоторые из следующих целей: • обеспечить правильное понимание и учет рисков; • обеспечить соответствие требованиям законодательства и регуляторов; • интегрировать обязанности по безопасности в деятельность компании; • создать модель зрелости для обеспечения постоянного улучшения; • использовать безопасность как бизнес-преимущество, чтобы привлечь больше клиентов. Тактическое планирование относится к деятельности и поддержке, которые необходимы для достижения широких целей, выдвинутых в процессе стратегического планирования. В общем случае, тактические планы имеют более короткие сроки и более узкий горизонт планирования по сравнению со стратегическими планами. И, наконец, оперативное планирование – это весьма конкретные планы, сроки и цели. Оперативное планирование предполагает указание конкретных мероприятий, установление жестких сроков и графиков выполнения плана. Это конкретные действия, которые нужно предпринять для достижения целей тактических и стратегических планов. Ниже приводятся несколько примеров оперативного планирования: • выполнения оценки рисков безопасности; • недопущение негативного влияния изменений в системе безопасности на продуктивность; • поддержка и внедрение защитных мер; • постоянное сканирование уязвимостей и установка программных обновлений; 12 • контроль соответствия политикам. Такой подход к планированию называется горизонтом планирования(planning horizon). Безопасность работает лучше всего, если оперативные, тактические и стратегические цели компании определены и работают поддерживая друг друга. 3.1. Компоненты программы безопасности В настоящее время компании, корпорации, государственные учреждения и частные лица значительно больше внимания уделяют вопросам информационной безопасности, чем когда-либо прежде. Это правильно, поскольку означает большую степень вовлеченности в вопросы безопасности тех, кто принимает решения в компании. Ведь технологии являются лишь небольшой частью общей организационной безопасности компании. Однако наиболее часто события в компаниях развиваются по следующему сценарию. Генеральный директор и совет директоров вынуждены обратить внимание на вопросы информационной безопасности, так как появляются новые требования законодательства (ситуация в России с Федеральным законом №152 «О персональных данных»), существенно возрастает ущерб от хакерских и фрикерских атак (характерно для банковского и телекоммуникационного секторов), против компании подаются судебные иски за нарушение защиты информации (утечка СМС-сообщений клиентов с сайтов операторов «большой тройки»). Компания обычно нанимает консультанта, который объясняет генеральному директору и совету директоров, что они нуждаются в политике безопасности и оценке информационных активов. Компания платит за проведение этих работ и верит в то, что теперь она защищена. Однако это ложное чувство, поскольку в компании до сих пор нет программы безопасности, которая выполняется непрерывно. Затем компания нанимает специалиста по безопасности (обычно называемого CSO - Corporate Security Officer (руководитель Службы безопасности компании) или CISO - Corporate Information Security Officer (руководитель Службы информационной безопасности компании) и делегирует ему всю работу по обеспечению безопасности и ответственность за нее, но не дает при этом ему каких-либо реальных полномочий и бюджета. Потом, когда инциденты с безопасностью все же случаются, всю ответственность за это возлагают на CISO (CSO). Таким образом, специалисты по безопасности имеют 3 возможных варианта действий: • Спрятать голову в песок, и надеяться, что проблемы обойдут стороной компанию в целом и этого специалиста в частности • Продолжать работать в том же духе, виня судьбу за все разочарования • Понимая, что наше общество делает только первые шаги в развитии информационной безопасности, изучать и использовать лучшие практики, уже разработанные в данной отрасли CISO обязан хорошо понимать бизнес-процессы и цели компании, доводить до сведения высшего руководства информацию о рисках, которые угрожают компании, а также о требованиях законодательства и регуляторов, которым должна соответствовать компания. Он должен разработать и внедрить программу обучения (повышения осведомленности) сотрудников компании по вопросам безопасности. Другими задачами CISO является разработка документов по безопасности: политик, процедур, базисов, стандартов и руководств. CISO должен быть в курсе новых технологий, отслеживать новую информацию, касающуюся вопросов безопасности. Также, в задачи CISO входит оценка реакции на инциденты, подготовка программ обеспечения соответствия компании новым требованиям, разработка метрик безопасности. Выполняя все эти обязанности и требования, CISO будет работать эффективно и обеспечит уверенность компании в надлежащей работе безопасности и учете рисков. 13 Важно, чтобы вопросы безопасности обсуждались и указывались в отчетах на максимально высоком уровне управления компанией, так как негативное воздействие на бизнес проблем безопасности и несоответствия требованиям может быть катастрофическим. Отчитываясь перед CEO (Chief Executive Officer – генеральный директор или президент компании) и другими руководителями высшего звена, CISO должен предоставить достоверную информацию и исключить любое недопонимание. Помимо высшего руководства CISO должен предоставлять отчеты и информацию в департамент ИТ, административный департамент, департамент страхования и управления рисками, юридический департамент, департамент внутреннего аудита, а также в бизнес- подразделения. 3.2. Стандарты безопасности CobiT(Control Objectives for Information and related Technology) – это набор стандартов и лучших практик, разработанный ISACA(Information Systems Audit and Control Association) и ITGI(IT Governance Institute). CobiT определяет цели контроля ИТ, которые следует использовать для надлежащего управления ИТ и обеспечения соответствия информационных технологий компании потребностям ее бизнеса. CobiT состоит из четырех доменов: Планирование и Организация, Приобретение и Внедрение, Эксплуатация и Сопровождение, Мониторинг и Оценка. Каждый домен делится на подкатегории. Таким образом, домены CobiT предоставляют компаниям цели и инструкции, применимые при покупке, установке, тестировании, сертификации и аккредитации ИТ-продуктов. CobiT очень полезен, т.к. большинство компаний используют неформальные и непродуманные подходы при закупке ИТ-продуктов и выполнении процедур. Многие требования, а также аудиты основываются на стандарте CobiT. Поэтому, если вы хотите сделать своих аудиторов счастливыми, изучайте, используйте в работе, внедряйте контрольные объекты, которые считаются лучшими практиками. Людей, которые впервые видят CobiT, он просто ошеломляет, так как он имеет очень большой объем и не поддается полномасштабному внедрению даже за пару лет. По каждой из категорий CobiT определяет цели и методы контроля, целевые показатели, факторы успеха, а также модель зрелости. В нем излагается подробный план, которому можно следовать для выполнения каждой из 34 предусмотренных в нем целей контроля. Рис. 5 показывает, как структура CobiT объединяет бизнес требования, ИТ-ресурсы и ИТ-процессы. Многие аудиторы информационной безопасности используют CobiT в качестве критериев оценки результативности применяемых защитных мер. Поэтому, если вы хотите успешно пройти аудит, компании было бы неплохо знать и осмысленно выполнять указанные в CobiT задачи управления. CobiT основан на стандарте COSO, разработанном в 1985 году (разработчик: Committee of Sponsoring Organizations of the Treadway Commission) для борьбы с мошеннической финансовой деятельностью и недостоверной отчетностью. Структура COSO состоит из следующих компонентов: • управление средой • философия управления и стиль работы • культура компании, как отношение к этике и мошенничеству • оценка риска • определение целей в области рисков • возможность управлять внутренними и внешними изменениями • деятельность по контролю • политики, процедуры и практика, применяемая для снижения риска • информация и коммуникации 14 • структура, обеспечивающая, что только уполномоченные лица получают достоверную информацию в то время, когда она им необходима • мониторинг • выявление и реакция на недостатки контроля Рис. 5 - Компоненты CobiT COSO – это модель корпоративного управления, а CobiT – модель управления ИТ. COSO в большей степени относится к стратегическому уровню, а CobiT больше сосредоточен на оперативном уровне. Разработка и внедрение программы безопасности не так сложны, как кажутся многим компаниям, однако это новые для них вещи, которые представляются страшными и запутанными. Поэтому им следует обратиться к отраслевым стандартам и лучшим практикам, которые дают конкретные рекомендации по созданию и реализации полноценной программы безопасности. Наиболее широко для этих целей используется стандарт ISO 17799, основой которого является Британский Стандарт BS 7799. Это признанный на международном уровне стандарт управления информационной безопасностью, который предоставляет высокоуровневые концептуальные рекомендации по обеспечению безопасности компании. BS 7799 состоит из двух частей: в первой части описываются цели управления и ряд средств управления, которые могут быть использованы для достижения этих целей, а во второй части приводится порядок внедрения и поддержки программы безопасности. Вторая часть BS 7799 является базисом, на соответствие которому может быть сертифицирована компания. Сертификация компании может проводиться, например, с целью повышения доверия к ней со стороны клиентов и партнеров, а также с целью использования факта сертификации в качестве инструмента маркетинга. Сертификацию проводит уполномоченная независимая третья сторона, при этом компания может быть сертифицирована на соответствие всему ISO 17799 Part II, либо только отдельным его частям. В настоящее время произведен переход от стандарта ISO 17799 к целой группе стандартов ISO, которые помогают понять и структурировать лучшие практики. ISO 15 использует различные номера серий для различных видов стандартов. Например, серия ISO 9000 содержит ряд стандартов, которые относятся к управлению качеством для бизнес-процессов. Новая серия ISO/IEC 27000 используется для стандартов безопасности и гарантий. ISO подкорректировал стандарты 17799 для их соответствия новому формату нумерации. Ниже представлены стандарты ISO/IEC, которые следует использовать компаниям при разработке своей программы безопасности: • ISO/IEC 27001. Основан на стандарте BS7799 Part II, связанном с организацией, внедрением, контролем и совершенствованием Системы управления информационной безопасностью. • ISO/IEC 27002. Свод правил по управлению защитой информации (предыдущее название – ISO 17799), основан на стандарте BS 7799 Part I. • ISO/IEC 27004. Стандарт для измерений в области управления информационной безопасностью. • ISO/IEC 27005. Предназначен для реализации надлежащей информационной безопасности на основе ориентированного на риски подхода. • ISO/IEC 27006. Руководство по процессу сертификации / регистрации. • ISO/IEC 27799. Руководство по защите персональных данных о здоровье. Домены стандарта ISO/IEC 27002 (который ранее назывался ISO 17799), приведенные ниже, очень близки CISSP CBK (Common Body of Knowledge): • Политика информационной безопасности компании. Карта бизнес-целей в отношении безопасности, поддержки со стороны руководства, целей безопасности и обязанностей. • Создание инфраструктуры информационной безопасности. Создание и поддержка организационной структуры безопасности посредством распределения обязанностей по безопасности, процессов авторизации, учета требований безопасности при аутсорсинге, независимого контроля обеспечения информационной безопасности. • Классификация и управление активами. Разработка инфраструктуры безопасности для защиты активов компании посредством учета, инвентаризации, классификации, процедур использования активов. • Безопасность, связанная с персоналом. Снижение рисков, вызванных "человеческим фактором" за счет тщательного отбора персонала, определения ролей и обязанностей, надлежащего обучения сотрудников, документирования мер воздействия в случае несоблюдения требований. • Физическая безопасность и безопасность окружения. Защита активов компании посредством правильного размещения здания компании, установления и поддержания периметра безопасности, внедрения контроля доступа, защиты оборудования. • Управление коммуникациями и функционированием. Обеспечение безопасности функционирования посредством операционных процедур, надлежащего управления изменениями, разделения обязанностей, планирования ресурсов, управления сетью, работы с носителями информации, мониторинга. • Контроль доступа. Контроль доступа к активам на основе требований бизнеса, управления пользователями, методов аутентификации. • Разработка и поддержка систем. Обеспечение безопасности на всех этапах жизненного цикла систем посредством разработки требований безопасности, криптографии, контроля целостности и процедур разработки программного обеспечения. • Управление инцидентами безопасности. Обеспечение своевременного получения сведений о произошедших инцидентах и возникших уязвимостях, разработка порядка управления инцидентами и их анализа. • Управление непрерывностью бизнеса. Противодействие нарушению нормального функционирования посредством планирования непрерывности и тестирования планов. 16 • Соответствие требованиям. Обеспечение соответствия требованиям регуляторов, законодательства, условиям договоров и другим предписанным требованиям, посредством технических средств контроля и аудита. CobiT и COSO говорят о том, что должно быть достигнуто, но не говорят как. На помощь здесь приходят ITILи серия ISO/IEC 27000. ITIL (Information Technology Infrastructure Library) фактически является стандартом оптимального управления ИТ- службой. ITIL был создан для удовлетворения потребностей бизнеса, в связи с его растущей зависимостью от ИТ. К сожалению, слишком часто в компаниях существует целая пропасть между персоналом бизнес-подразделений и ИТ-подразделений, поскольку они используют различную терминологию и имеют разные цели в компании. Отсутствие понимания между бизнесом и ИТ ведет к неправильному (неэффективному) сочетанию целей бизнеса и функций ИТ, что, в свою очередь, ведет к путанице, нарушению сроков, упущенным возможностям, увеличению затрат времени и сил, а также разочарованиям с обеих сторон. Для решения этой проблемы предназначен ITIL. Там, где CobiT определяет ИТ- цели, ITIL указывает шаги на уровне процессов, предназначенные для достижения этих целей. Хотя в ITIL есть раздел, связанный с безопасностью, его внимание в основном сконцентрировано на внутренних соглашениях об уровне обслуживания (SLA– Service Level Agreement) между ИТ-департаментом и другими подразделениями компании, которые он обслуживает. В РФ перечисленные стандарты появились в виде следующих стандартов (по сути переводы аналогичных стандартов): ГОСТ Р ИСО/МЭК. 17799 - 2005. Информационная технология. Практические правила управления информационной безопасностью. ГОСТ Р ИСО/МЭК 27001 – 2005. Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования. 3.3. Управление безопасностью на стратегическом уровне Стратегическое управление безопасностью - очень похоже по своему характеру на корпоративное управление и управление ИТ на том же уровне, поскольку существуют дублирующиеся функции и задачи во всех трех. Все три вида управления работают в рамках организационной структуры компании, и имеют одни и те же цели – обеспечение выживания и процветания компании, просто каждый вид управления фокусируется на своей части. Количество требований, которым должны удовлетворять компании, постоянно растет. Советы Директоров компаний несут все больше и больше ответственности за работу бизнеса и эффективность всей компании. В связи с этим, более важную роль начинает играть стратегическое управление безопасностью и защитой информации, что обеспечивает использование надлежащих механизмов и предоставление Совету Директоров (и руководству компании) возможности эффективного надзора с целью управления рисками, поддержания их на приемлемом для компании уровне и ограничения потенциального ущерба. Существует множество различных определений стратегического управления безопасностью. Вот вариант определения, подготовленного ITGI: "Стратегическое управление (governance) – это набор функций, выполняющихся Советом Директоров и высшим руководством, которые задают стратегическое направление, контролируют достижение целей, надлежащее управление рисками и ответственное использование ресурсов компании". Это абсолютно правильное определение, но оно очень высокоуровневое и его трудно понять. Чтобы упростить понимание, давайте сравним две компании. Компания 17 "А" внедрила эффективную программу стратегического управления безопасностью, а компания "Б" нет. Обе компании имеют политику безопасности, процедуры, стандарты, одинаковые технологии управления безопасностью (межсетевые экраны, системы выявления вторжений, системы управления идентификацией и т.д.), подразделение безопасности, которой руководит CISO. Может показаться, что уровень безопасности компаний "А" и "Б" одинаков... Но это не так. Посмотрите на некоторые критические различия, приведенные в таблице 1. Таблица 1. – Сравнение подходов к информационной езопасности. Компания «А» Компания «Б» Члены совета директоров понимают, что информационная безопасность имеет решающее значение для компании, и требуют ежеквартально предоставлять сведения об эффективности безопасности и выявленным недостаткам. Члены Правления не понимают, что информационная безопасность находится в их сфере ответственности, и сосредотачиваются исключительно на корпоративном управлении и прибыли. CEO, CFO,CIO и руководители бизнес- подразделений участвуют в работе комитета по управлению рисками, который собирается каждый месяц, тема информационной безопасности всегда является одной из тем повестки дня. CEO, CFO и руководители бизнес- подразделений считают, что информационная безопасность находится в сфере ответственности CIO, CISO и ИТ- департамента. И поэтому не вмешиваются. Высшее руководство устанавливает приемлемый уровень риска, что является основой для политики безопасности компании и всей деятельности в области безопасности CISO использует шаблонные политики безопасности, включая в них название компании и подпись CEO. Высшее руководство делегировало руководителям бизнес-подразделений обязанности по управлению рисками, относящиеся непосредственно к их подразделениям. Вся деятельность, касающаяся безопасности, осуществляется департаментом безопасности. Таким образом, безопасность остается не интегрированной в работу компании. Критичные бизнес-процессы документированы с учетом рисков, которые им присущи на различных шагах. Бизнес-процессы не документированы, не проанализированы на наличие потенциальных рисков, которые могут повлиять на операции, производительность и рентабельность. Сотрудники несут ответственность за любые нарушения безопасности, произошедшие по их вине умышленно или случайно. Политики и стандарты разработаны, но не исполняются или не осуществляется контроль, так как он не был предусмотрен или внедрен. Средства безопасности и различные услуги покупаются и внедряются эффективными способами. Их применение постоянно анализируется, чтобы убедиться, что они остаются экономически целесообразными. Средства безопасности и различные услуги покупаются и внедряются без каких-либо исследований, позволяющих определить отдачу от инвестиций и эффективность. Компания постоянно пересматривает свои процессы, включая вопросы обеспечения безопасности, с целью их постоянного совершенствования. Компания не анализирует свою деятельность с целью ее улучшения, но постоянно движется вперед, совершая одни и те же ошибки снова и снова. Большинство компаний на сегодняшний день имеют множество частей программы безопасности (политики, стандарты, межсетевые экраны, подразделение безопасности, 18 системы выявления вторжений и т.д.), но руководство в обеспечении безопасности не участвует, а безопасность не интегрирована в деятельность компании. За обеспечение безопасности компании отвечает исключительно подразделение безопасности, что является невозможным практически. Безопасность в таких компаниях является вопросом техники. Но сегодня в мире информационной безопасности такой подход не работает. Сегодняшняя безопасность – это намного большее, чем чисто техническое решение. Специалисты по безопасности должны понимать, что безопасность должна соблюдаться в рамках всей компании, и крайне важно иметь несколько центров ответственности и подотчетности. Стратегическое управление безопасностью является целостной системой, состоящей из различных компонентов (технических средств, персонала, процессов, политик и т.д.), которые существуют для выживания и процветания компании. ПРИМЕЧАНИЕ. Следует также учитывать такой важнейший фактор, как корпоративная культура компании. Даже если компания использует самые современные и передовые решения на рынке, она не сможет обеспечить необходимый уровень безопасности, если эти решения используются необученным, апатичным и беззаботным персоналом. Оценка культуры компании, очень важна при оценке положения безопасности в ней. Для того, чтобы обеспечить управление безопасностью, должно быть нечто такое, чем можно управлять. Набор объектов управления, которыми должна обладать компания, в общем виде называется программой безопасности. Разработка программы безопасности Важно понимать, что программа безопасности имеет непрерывный жизненный цикл, т.к. она должна постоянно оцениваться и совершенствоваться. Для описания жизненного цикла программы безопасности, будем использовать следующие шаги. 1. Планирование и Организация. 2. Реализация (внедрение). 3. Функционирование и Поддержка. 4. Мониторинг и Оценка. Однако многие компании не применяют подход жизненного цикла при разработке, внедрении и поддержании своей программы управления безопасностью. Они не знают, как это делать, или считают, что это слишком сложно и бесполезно. В результате это, как правило, приводит к следующим последствиям: • Написанные политики и процедуры, не отражаются на деятельности по обеспечению безопасности и не поддерживают ее. • Отсутствует взаимодействие и координация между различными сотрудниками компании, задействованными в обеспечении защиты ее активов. • Не проводится оценка результатов, отдачи от инвестиций и распределения ресурсов. • Отсутствует понимание недостатков программы безопасности, не применяются единообразные способы исправления недостатков. • Нет гарантий соответствия требованиям законодательства, регуляторов, требованиям политик. • Компания полностью полагается на технологии для решения всех вопросов безопасности. • Отсутствует единый орган принятия решений в компании. • К любым нарушениям применяется подход "пожарной тревоги", а не спокойный проактивный, детективный подход. • Появляется ложное чувство безопасности. Также, отсутствие жизненного цикла программы безопасности и управления безопасностью приводит к тому, что безопасность рассматривается просто как еще одна задача. А все задачи имеют дату начала и дату завершения, которая означает, что все участники переключаются на другую задачу. В результате компания с течением времени 19 выполняет одни и те же задачи, на них расходуются большие средства, но результат при этом минимален. Основные элементы каждой фазы жизненного цикла программы безопасности представлены ниже: Планирование и Организация • Получение одобрения от руководства. • Создание руководящего комитета по надзору (oversight steering committee). • Оценка бизнес-драйверов (бизнес-драйверы – это люди, информация или задачи, которые обеспечивают реализацию бизнес-целей компании). • Создание профиля угроз компании. • Проведение оценки рисков. • Разработка архитектуры безопасности на организационном, прикладном, сетевом и компонентном уровнях. • Определение решений на каждом уровне архитектуры. • Получение согласия руководства на дальнейшие действия. Реализация (внедрение) • Распределение ролей и обязанностей • Разработка и внедрение политик безопасности, процедур, стандартов, базисов и руководств • Выявление критичных данных на этапах хранения и передачи • Реализация следующих проектов: • Идентификация и управление активами • Управление рисками • Управление уязвимостями • Соответствие требованиям • Управление идентификацией и доступом • Управление изменениями • Жизненный цикл разработки программного обеспечения • Планирование непрерывности бизнеса • Обучение и повышение осведомленности • Физическая безопасность • Реакция на инциденты • Внедрение решений (административных, технических, физических) по каждому проекту • Разработка решений по аудиту и мониторингу для каждого проекта • Установка целей, соглашений об уровне обслуживания (SLA) и метрик по каждому проекту Эксплуатация и Сопровождение • Соблюдение установленных процедур для обеспечения соблюдения базисных уровней в каждом реализованном проекте. • Проведение внутренних и внешних аудитов. • Выполнение задач, намеченных в каждом проекте. • Управление соглашениями об уровне обслуживания по каждому проекту. Мониторинг и Оценка • Анализ лог-файлов, результатов аудита, собранных значений метрик и SLA по каждому проекту • Оценка достижения целей по каждому проекту • Проведение ежеквартальных встреч с руководящими комитетами • Совершенствование действий каждого этапа и их интеграция в фазу Планирования и Организации ПРИМЕЧАНИЕ. Различные компании, консультанты и специалисты по безопасности могут использовать различные подходы к созданию программы 20 безопасности, но в общем они охватывают те же разделы. Каждая компания имеет различные приемлемые для нее уровни риска, внедренные защитные меры, угрозы и бизнес-драйверы, однако их программы безопасности в основном содержат похожие элементы – просто одна компания больше внимания уделяет одним элементам, а другая – другим. Это связано с деятельностью компаний и их потребностях в безопасности. Модели и структуры весьма полезны, но они находятся на очень высоком уровне. Для воплощения их в жизнь необходимо разработать соответствующие проекты (blueprint). Проекты должны соответствовать требованиям безопасности компании, основанным на обязательствах компании, бизнес-драйверах и внутренних требованиях. Например, компания "В" имеет политику конфиденциальности, подразделение безопасности компании разработало стандарты и процедуры, реализующие стратегию обеспечения конфиденциальности, которым все сотрудники компании должны следовать. Затем разрабатывается проект, в проектной документации к которому указывается больше деталей, учитываются процессы и компоненты, к которым относятся требования политики, стандартов и процедур. В проектной документации должно быть, как минимум, следующее: • Схема сети компании • Места в сети, где находятся критичные данные • Сегменты сети, через которые проходят критичные данные • Различные применяемые решения по безопасности (VPN, SSL, PGP), которые защищают критичные данные • Подключения третьих сторон, с которыми совместно используются критичные данные • Используемые меры безопасности в отношении подключений третьих сторон. Проекты должны соответствовать потребностям компании. Если компания "В" использует систему управления идентификацией ( identity management), у нее должен быть соответствующий проект, проектная документация к которому содержит описание ролей, управления регистрацией, источников авторизации, хранения идентификационных данных, применения решений единого входа ( single sign-on) и т.д. Если компания "В" не использует систему управления идентификацией, то ей не нужен проект для этой системы. Ряд проектов, которые следует разработать большинству компаний, приведен ниже: • Управление безопасностью • Непрерывность бизнеса • Журналирование и мониторинг • Управление идентификацией • Целостность приложений • Инфраструктура • Управление активами • Физическая безопасность и безопасность окружения Таким образом, проект должен учитывать решения безопасности, процессы и компоненты, которые использует компания на основании своих потребностей в безопасности. Эти проекты имеют отношение к различным бизнес-подразделениям компании. Например, использование системы управления идентификацией предусматривает участие каждого подразделения компании. Четкое выполнение компанией этих проектов позволяет обеспечить стандартизацию, упростить сбор метрик и управление. Проекты следует разрабатывать с учетом лучших практик (как правило, с учетом ISO 17799). На рисунке 6 показано, где эти проекты вступают в силу при разработке программы безопасности. 21 Рис. 6. – Взаимодействие проектов ИБ в рамках 4. Управление информационными рисками Риск - это вероятность причинения ущерба и возможные последствия. Управление информационными рисками (IRM - Information Risk Management)представляет собой процесс выявления и оценки рисков, снижения их до приемлемого уровня, а также внедрения адекватных механизмов для поддержания этого уровня. Стопроцентной защиты не существует. Каждая система имеет уязвимости и подвержена угрозам. Необходимо выявлять эти угрозы, оценивать вероятность их реализации и ущерб, к которому это может привести. Затем нужно предпринимать правильные шаги для снижения общего уровня риска всего окружения до уровня, считающегося в компании приемлемым. Риски могут иметь различные формы, не обязательно связанные с компьютерами. С точки зрения информационной безопасности, существует несколько видов рисков, которые компания должна понимать и учитывать. Ниже представлен список основных категорий: • Физический ущерб. Пожар, затопление, вандализм, отсутствие электроэнергии, стихийные бедствия. • Действия человека. Случайные или намеренные действия или бездействие, которые могут нарушить работу компании. • Неисправность оборудования. Неработоспособность систем или периферийных устройств. • Внутренние и внешние атаки. Хакинг, крекинг и проведение атак. • Неправильное использование данных. Предоставление совместного доступа к конфиденциальной информации компании, мошенничество, шпионаж, кражи. • Утрата данных. Преднамеренное или непреднамеренное уничтожение информации. 22 • Ошибки приложений. Ошибки в вычислениях, ошибки ввода информации, переполнения буфера. Эти угрозы должны быть выявлены, категорированы, и оценены с точки зрения масштабов потенциальных потерь. Реальные риски очень трудно измерить, однако расставить приоритеты в списке потенциальных рисков и выбрать те, которыми следует заняться в первую очередь, вполне достижимо. |