Анализ и модернизация системы информационной безопасности в тран. Выпускная квалификационная работа на тему Анализ
 Скачать 0.6 Mb.
|
Оценка рисковОценка рисков информационной безопасности представляет из себя оценку соотношения потенциальных деструктивных воздействий уставной деятельности объекта защиты в случае реализации нежелательных инцидентов, а также уровней оцененных угроз и уязвимостей. По сути риск является мерой незащищенности системы и связанного с ней объекта. Величина риска зависит от следующих факторов [15]: ценность активов; угрозы и связанные с ними вероятности возникновения опасного для актива события; легкость реализации угроз в уязвимых местах с оказанием деструктивного воздействия; существующих средств защиты, снижающих степень уязвимости, угроз и деструктивных воздействий. Задача анализа риска сводится к определению и оценке рисков, которым подвергаются информационные активы объекта, с целью определения и выбора целесообразных и обоснованных мер по обеспечению безопасности. При проведении оценки рисков рассматриваются несколько различных его аспектов, включая воздействие опасного события, а также его вероятность. Оценка риска информационной безопасности необходима в целях: определения угроз и их источников; определения существующих и парируемых мер и средств контроля и управления; определения уязвимостей, которые могут в случае угрозы нанести ущерб информационным активам или самой компании; определения последствий потери конфиденциальности, сохранности, доступности, неотказуемости или нарушения других требований к безопасности для информационных активов; оценки влияния на предприятие, которое может возникнуть в результате предполагаемых или фактических инцидентов информационной безопасности; оценки вероятности чрезвычайных сценариев; оценки уровня риска; сравнения уровней риска с критериями оценки и приемлемости рисков; выбора наиболее подходящего способа обработки риска; предотвращения новых инцидентов, на основе проведенного анализа предыдущих инцидентов; получения информации, необходимой для распределения риска по величине возможного ущерба; получения информации, на основании которой происходит обоснование решения о принятии риска в соответствии с имеющимися критериями. Оценка риска является процессом, позволяющим определить потенциальные угрозы и уязвимости активов, а также понять какими контрмерами они могут быть нейтрализованы. Процесс оценки рисков состоит из следующих шагов: идентификация активов; идентификация угроз; идентификация уязвимостей; идентификация принятых контрмер; идентификация последствий; измерение риска; оценка последствий; измерение уровня риска. Идентификация активов выполняется в целях выявления ресурсов, нуждающихся в защите. Идентификация угроз. Угроза обладает потенциалом оказания деструктивного воздействия на актив. На данном этапе идентифицируются все источники угроз и каналы их реализаций. Идентификация уязвимостей производится в целях определения уязвимостей, которые могут быть использованы угрозами для нанесения деструктивного воздействия на актив. В качестве уязвимостей могут быть рассмотрены: уязвимости операционных систем, уязвимости СУБД, уязвимости приложений, уязвимости протоколов передачи данных, уязвимости сетевых устройств, уязвимости организации функционирования информационной системы. Идентификация принятых контрмер проводится в целях выявления актуальных угроз и уязвимостей, а также для оптимизации расходов на построение системы информационной безопасности. Кроме того, идентификация контрмер проводится, чтобы определить – работают ли штатно принятые контрмеры, отсутствие штатного функционирования может послужить наличием уязвимости в системе безопасности. Обычно к принятым контрмерам относятся: сведения об охране объекта и его элементов, сведения о физической защищенности активов, сведения о технических средствах охраны, штатные механизмы безопасности операционных систем и приложений, механизмы безопасности сетевого оборудования. Идентификация последствий. К последствиям реализации угроз относят нарушение конфиденциальности, целостности и доступности функционирования информационной системы. Измерение риска базируется на оцененных последствиях и вероятностях реализации инцидентов информационной безопасности применительно к активам. Измеренный риск является комбинацией вероятности инцидента информационной безопасности и его последствий. Оценка последствий начинается с классификации активов в соответствии с их критичностью, с точки зрения важности активов для осуществления бизнес процессов организации. Последствия влияния рисков на активы определяются путем моделирования результатов событий либо совокупности событий, или экстраполяции экспериментальных исследований или данных за прошедшее время. Последствия могут быть выражены с точки зрения финансовых, технических, репутационный или иных критериев, значимых для организации. Измерение уровня риска базируется на оцененных последствиях и вероятности реализации риска. Измеренный риск является комбинацией вероятности риска информационной безопасности и его последствий. Как правило на данном этапе заканчивается процесс оценки рисков. Выходными данными после проведенной работы являются: совокупность рисков информационной безопасности, активы подверженные рискам, значения вероятности реализации риска и последствия реализации риска На рисунке 5 показана структура понятийного аппарата информационной безопасности, а также роль оценки риска в нем.  Рис.5. Роль и место оценки риска Для оценки рисков информационной безопасности применяется методика штрафных баллов. Оценивание производится экспертным путем на базе анализа ценности информационных активов, а также возможности по реализации угроз и эксплуатации уязвимостей, определенных в разделах 1.2.1 – 1.2.4. Для оценки разрабатывается таблица уровней угроз с заранее предопределенными, для каждой комбинации ценности активов, уровня угроз и уязвимостей, штрафными баллами (таблица 8). Таким образом в случаях определения уровней уязвимости активов по результатам аудита безопасности для различных процессов и при наличии экспертных оценок уровня соответствующих угроз и ценности активов можно получить меру риска информационной безопасности для каждого типа актива. Нарушители (источники угроз) реализуют угрозы на уязвимости информационных технологий ведут, что ведет к увеличению рисков. В свою очередь владельцы информационных активов предпринимают контрмеры для предотвращения риска или стараются минимизировать риски информационной безопасности. Поскольку риск представляет из себя комбинацию последствий, которые происходят из-за деструктивного воздействия и вероятности реализации такого воздействия все риски информационной безопасности информационной системы должны быть идентифицированы, количественно определены, качественно показаны и приоритезированы в соответствии с критериями оценки рисков организации. Далее организация должна выработать по каждому риску стратегию его обработки: отказ от риска, снижение риска, передача (делегирование) риска, принятие риска. В соответствии с данной концепцией должна быть реализован процесс управления рисками информационной безопасности. Одним из примеров методов управления рисков информационной безопасности является метод OCTAVE (Operationally Critical Threat, Asset, and Vulnerability Evaluation – Оценка оперативной критической угрозы, активов и уязвимостей). Особенность метода OCTAVE заключается в том, что процедура анализа рисков производится исключительно силами сотрудников предприятия, без привлечения сторонних консультантов. В этих целях создается рабочая группа, включающая как технических специалистов, так и управленческий персонал разного уровня, что позволяет многогранно оценить последствия реализации инцидентов информационной безопасности и разработать контрмеры. Структурно OCTAVE предполагает следующие уровни управления рисками: Разработка профиля угроз активу. Идентификация инфраструктурных уязвимостей. Разработка концепции и политики безопасности. На первом этапе, в ходе проведения практических семинаров внутри предприятия, осуществляется разработка профилей угроз безопасности, включающих в себя аудит активов и оценку их ценности, идентификацию применимых требований нормативной базы и действующего законодательства, выявление угроз и оценку вероятности их реализации, а также определение комплекса действующих мер по поддержанию режима информационной безопасности. На втором этапе проводится технический аудит уязвимостей информационных активов предприятия в отношении угроз информационной безопасности, профили которых были определены на предыдущем этапе, который состоял из идентификации имеющихся уязвимостей информационных активов предприятия и оценки их величины. Третий этап включает в себя оценку рисков и обработку рисков информационной безопасности, включающий в себя расчёт величин и вероятностей нанесения ущерба в результате реализации угроз информационной безопасности с использованием уязвимостей, которые были идентифицированы ранее. Определение стратегии и политики защиты информации, а также подбор вариантов и принятие решений по реагированию на риски. Величина риска вычисляется как средняя величина годовых потерь предприятия от реализации угроз информационной безопасности. Выбор между качественным или количественным подходами к оценке рисков, определяется характером ведения бизнеса организации, а также уровнем его информатизации, т.е. важностью и критичностью его информационных активов, а также уровнем зрелости предприятия. Эффективность управления рисками информационной безопасности заключается в точности, полноте анализа, а также детальности оценки факторов риска, в том числе эффективности используемых на предприятии механизмов внедрения управленческих решений и контроля за их исполнением. В оценке риска принимает участие весь персонал, ответственный за эксплуатацию и нормальное функционирование информационных активов ТК «Шерл». Непосредственная обязанность по оценке рисков лежит на специалисте по информационной безопасности. Таблица 8 Комбинации ценности активов
В соответствии с комбинацией ценности активов, а также таблицами 5, 6 можно заключить следующие положения о рисках информационной безопасности в ТК «Шерл» (таблица 9). Таблица 9 Результаты оценки рисков информационным активам ТК «Шерл»
Выбор комплекса задач обеспечения информационной безопасности. С учетом приведенной информации сформируем круг задач по совершенствованию системы обеспечения информационной безопасности ТК «Шерл»: обеспечение безопасности обработки персональных данных сотрудников и учащихся ТК «Шерл»; предотвращение несанкционированного доступа к информационным активам ТК «Шерл» через сети информационного обмена; нейтрализация угроз информационной безопасности; минимизация последствий от реализованных инцидентов информационной безопасности; обеспечение целостности, конфиденциальности и доступности информационных активов ТК «Шерл».
Место проектируемого комплекса задач – область взаимодействия всех участников информационного обмена ТК «Шерл», а также обмена информацией с контрагентами. Задачи совершенствования системы обеспечения информационной безопасности [16]: обеспечить соответствие актуальным стандартам в области защиты персональных данных; обеспечить защиту от всех типов угроз, в первую очередь связанных с сетевыми угрозами и угрозами программно-математического воздействия; обеспечить защиту от несанкционированных действий со стороны внутренних нарушителей. Взаимодействие с иными подразделениями ТК «Шерл»: в части стратегического управления – с руководящим составом ТК «Шерл»; в части юридической обоснованности – с юридическим отделом ТК «Шерл»; в части финансирования работ – с заместителем директора по финансовым вопросам. | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||