Усі лекції ОІБ в одному файлі. Усі лекції оіб в одному файлі Найпоширеніші загрози. Основні визначення і класифікація загроз Загроза
 Скачать 273.05 Kb.
|
Управління ризиками Основні поняттяУправління ризиками розглянемо на адміністративному рівні інформаційної безпеки, оскільки тільки керівництво організації може виділити необхідні ресурси, ініціювати і контролювати виконання відповідних програм. Управління ризиками, так само як і вироблення власної політики безпеки, є особливо актуальним для тих організацій, інформаційні системи котрих і/або оброблювані дані можна вважати нестандартними. Звичайну організацію цілковито влаштує типовий набір захисних заходів, вибраний на підставі уявлення про типові ризики або взагалі без всякого аналізу ризиків. Можна провести аналогію між індивідуальним будівництвом і отриманням квартири в районі масової забудови. У першому випадку необхідно прийняти багато рішень, оформити велику кількість документів, в другому досить визначитись лише з кількома параметрами. Використання інформаційних систем є пов’язаним з певною сукупністю ризиків. Коли можливі збитки є неприйнятно великими, необхідно вжити економічно виправданих заходів захисту. Періодична переоцінка ризиків є необхідною для контролю ефективності діяльності в галузі інформаційної безпеки і для врахування змін обстановки. З кількісної точки зору рівень ризику є функцією ймовірності реалізації певної загрози, що використовує деякі вразливі місця, а також розмірів можливих збитків. Отже, суть заходів з управління ризиками полягає в тому, щоб оцінити їх розмір, виробити ефективні і економічні заходи зниження ризиків, а потім пересвідчитися, що ризики лежать в прийнятних межах і залишаються такими. Таким чином, управління ризиками передбачає два види діяльності, які циклічно чергуються: переоцінка (вимірювання) ризиків; вибір ефективних і економічних заходів захисту (нейтралізація ризиків). Стосовно виявлених ризиків можливими є такі дії (стратегії): • ліквідація ризику (наприклад, за рахунок усунення причини)  зменшення ризику (наприклад, за рахунок використання додаткових заходів захисту; прийняття ризику (і вироблення плану дії у відповідних умовах); переадресація ризику (наприклад, шляхом укладення страхової угоди). Процес управління ризиками можна поділити на такі етапи: Вибір аналізованих об’єктів і рівня деталізації їх розгляду. Вибір методології оцінки ризиків. Ідентифікація активів. Аналіз загроз та їх наслідків, виявлення вразливих місць в захисті. Оцінка ризиків. Вибір засобів захисту засобів захисту захисту. Реалізація і перевірка вибраних заходів захисту. Оцінка залишкового ризику. Етапи 6 та 7 відносяться до вибору засобів захисту (нейтралізації ризиків), інші – до оцінки ризиків. Управління ризиками є циклічним процесом. По суті, останній етап – це оператор кінця циклу, що передбачає повернення до початку. Ризики необхідно контролювати постійно, періодично здійснювати їх переоцінку. Зазначимо, що сумлінно виконана і старанно задокументована перша оцінка може істотно спростити подальшу діяльність. Управління ризиками, як і будь-яку іншу діяльність в галузі інформаційної безпеки, необхідно інтегрувати в життєвий цикл інформаційної системи. Тоді ефект є найбільшим, а затрати – мінімальними. Раніше було визначено п’ять етапів життєвого циклу. Зупинимось на тому, що дасть управління ризиками на кожному з них. На етапі ініціації відомі ризики слід враховувати при виробленні вимог до системи в цілому і засобів безпеки зокрема. На етапі закупівлі (розробки) знання ризиків допоможе вибрати відповідні архітектурні рішення, які відіграють вирішальну роль в забезпеченні безпеки. На етапі встановлення виявлені ризики слід враховувати при конфігуруванні, тестуванні і перевірці раніше сформульованих вимог, а повний цикл управління ризиками повинен передувати впровадженню системи в експлуатацію. На етапі експлуатації управління ризиками повинно супроводжувати всі істотні зміни в системі. При виведенні системи з експлуатації управління ризиками допомагає переконатись в тому, що міграція даних відбувається безпечно. Підготовчі етапи управління ризикамиРозглянемо перші три етапи процесу управління ризиками. Першим етапом оцінки ризиків є вибір аналізованих об’єктів і рівня деталізації їх розгляду. Для невеликої організації припустимо розглядати всю інформаційну інфраструктуру. Якщо організація є великою, всеохоплююча оцінка може вимагати неприйнятних затрат часу і сил. В цьому випадку необхідно зосередити увагу на найважливіших сервісах, заздалегідь погоджуючись з наближеністю підсумкової оцінки. Якщо важливих сервісів все ще надто багато, вибирають ті з них, ризики для яких є завідомо великими або невідомими. Доцільним є створення карти інформаційної системи організації. При керуванні ризиками така карта є особливо важливою, тому що вона наочно показує , які сервіси обрано для аналізу, а якими довелося знехтувати. Якщо АС змінюється, а карта підтримується в актуальному стані, то при переоцінці ризиків відразу стає ясно, які нові або істотно змінені сервіси потребують розгляду. Взагалі, вразливим є кожна компонента інформаційної системи – від мережного кабеля , який можуть прогризти миші, до бази даних, яка може бути зруйнована через невмілі дії адміністратора. Звичайно в сферу аналізу ризиків неможливо включити кожен елемент системи. Зупиняються на деякому рівні деталізації, усвідомлюючи наближеність оцінки. Для нових систем віддають перевагу детальному аналізу, стара система, яка піддавалась невеликим модифікаціям, може бути проаналізована більш поверхнево. Дуже важливо обрати розумну методологію оцінки ризиків. Метою оцінки є отримання відповіді на два питання: чи прийнятними є існуючі ризики, і якщо ні, то які засоби захисту варто використати. Отже, оцінка має бути кількісною, для можливості порівняння з попередньо вибраними межами допустимості і видатків на реалізацію нових регуляторів безпеки. Управління ризиками є типовою оптимізаційною задачею. Існує досить багато програмних продуктів, здатних допомогти в її вирішенні. Принципові труднощі полягають в неточності початкових даних. Не має сенсу намагатись отримати для всіх аналізованих величин грошове вираження. Практичніше користуватись умовними одиницями. В найпростішому і цілком прийнятному випадку можна користуватись трибальною шкалою. При ідентифікації активів, тобто ресурсів і цінностей, які організація прагне захистити, слід враховувати не тільки компоненти інформаційної системи, але і підтримуючу інфраструктуру, персонал, а також нематеріальні цінності, такі як репутація організації. Відправною точкою тут є уявлення про місію організації, тобто про основні напрями діяльності, котрі бажано (або необхідно) зберегти в будь-якому випадку. Одним з головних результатів процесу ідентифікації активів є отримання детальної інформаційної структури організації і способів її використання. Ці віідомості доцільно нанести на карту АС. Інформаційною основою скільки-небудь великої організації є мережа, тому до числа апаратних активів слід включити комп’ютери, периферійні пристрої, зовнішні інтерфейси, кабельне господарство, активне мережне обладнання (маршрутизатори, мости, тощо). До програмних активів відносять операційні системи (мережеві, серверні, клієнтські), прикладне програмне забезпечення, інструментальні засоби, де (у яких вузлах мережі) зберігається програмне забезпечення та з яких вузлів воно використовується, засоби управління мережею і окремими системами. мережі. Третім видом інформаційних активів є дані, що зберігаються, обробляються і передаються мережею. Дані слід класифікувати за типами і ступенем конфіденційності, виявити місця їх зберігання і обробки, способи доступу до них. Це є важливим для оцінки наслідків порушень інформаційної безпеки. Управління ризиками є нелінійним процесом. Практично всі його етапи є пов’язаними між собою, і після завершення майже кожного з них може виникнути потреба повернення до попереднього. Наприклад, при ідентифікації активів може виявитись, що вибрані межі аналізу слід розширити, а ступінь деталізації – збільшити. Особливо важким є первісний аналіз, коли багаторазові повернення до початку є неминучими. |