Нир Виталий. Выпускная квалификационная работа разработка модели оценки рисков информационной безопасности корпоративной сети
 Скачать 0.65 Mb.
|
3.7 Рекомендации по информационной безопасности человеческих ресурсовПри разработке и внедрении защиты информационной безопасности автоматизированной системы организации большое внимание уделяется комплексу средств автоматизации деятельности человека, и гораздо меньше самому человеку. Но информационная безопасность средств автоматизации настолько развита, что позволяет заимствовать такие технологии как: антивирусная защита, межсетевое экранирование, системы обнаружения атак, написание защищенного кода, контроль целостности, защиту от DoS атак персоналу организации, как компонентам автоматизированной системы. Ни для кого не секрет что сотрудники могут иметь уязвимости в понимании своих обязанностей, инструкций и важности информации с которой они работают. В определенный момент сотрудник может повести себя не так, как этого ожидает руководство. Иногда не правильно настроено взаимодействие между отделами. Таким образом, есть возможность проведения атаки на информацию через человека как компонента автоматизированной системы организации. Эксплуатация уязвимостей, распространение вредоносных V-программ, манипуляция действиями (считаем троянской программой) - все эти действия можно совершать над человеком. Например, распространение внутри организации информационного вируса с негативом о руководителе, с мифом о скором закрытии организации, о плохих условиях работы по сравнению с конкурентами, с негативом о партнерах организации[35]. Особую проблему безопасности для корпоративной информации составляют инсайдеры. Инсайдер - член какой-либо группы людей, имеющей доступ к информации, недоступной широкой публике. Термин используется в контексте, связанном с секретной, скрытой или какой-либо другой закрытой информацией или знаниями: инсайдер - это член группы, обладающий информацией, имеющейся только у этой группы. Учесть риск среди инсайдерства довольно сложно, обычно этот контингент составляют люди специально устроенные в организацию, сотрудники затаившие обиду на руководителей предприятия, и сотрудники разглашающие закрытые сведения из-за незнания этого. Среди главных причин прерывания деятельности компании были названы отказы в работе вычислительного оборудования и программного обеспечения (56%), а также средств связи (49%). Около четверти всех отказов было вызвано ошибками в обращении с системой, техническими характеристиками системы и сбоями в работе третьих лиц. В настоящее время вопросы анализа защищенности корпоративных АС хорошо проработаны. Имеется богатый арсенал средств и методов для проведения подобных мероприятий. Отработанные методики проведения обследования (аудита) безопасности АС в соответствии с проверенными критериями, утвержденными в качестве международных стандартов, делают возможным получение исчерпывающей информации о свойствах АС, имеющих отношение к безопасности. На практике анализ защищенности АС проводится при помощи мощного программного инструментария, в достаточном объеме представленного на рынке средств защиты информации. Поскольку полностью исключить возможность отказа или некорректной работы техники невозможно, решение заключается в том, чтобы обнаруживать проблемы на наиболее ранних стадиях, и получать о них наиболее подробную информацию. Для этого, как правило, применяется различное ПО мониторинга и контроля сети, которое способно как своевременно оповещать технических специалистов об обнаруженной проблеме, так и накапливать статистические данные о стабильности и других параметрах работы серверов, сервисов и служб, доступные для подробного анализа Для достижения наибольшей эффективности средства защиты должны адекватно защищать информацию, в соответствии с ее ценностью в корпорации. Недостаточная изученность вопросов количественной оценки ценности информации в современной науке не дает возможности оценки и обоснования необходимых затрат на построение систем защиты информационных и телекоммуникационных систем, обоснованных моментах их приложения и составе защитных функций. Одновременно, такая ситуация приводит к растущим затратам на компенсацию действия угроз безопасности информации ТКС и ИТ. ЗаключениеВ сфере информационной безопасности оценка рисков играет такую же первостепенную роль, как и во всех других областях человеческой деятельности. Из-за неадекватной оценки рисков, связанных с осуществлением угроз информационной безопасности в современном высокотехнологичном обществе, государство, организации и отдельные личности несут весьма ощутимый ущерб, подсчитать который вряд ли кому-либо удастся. Величина риска определяется вероятностью успешного выполнения угрозы и величиной ущерба, который в результате будет нанесен. Возможный ущерб далеко не всегда может быть выражен в денежных единицах, а вероятность успешной реализации угрозы вообще не поддается точной оценке. Поэтому наши оценки рисков весьма приблизительны. Их точность зависит от того, насколько хорошо мы ориентируемся в текущей ситуации, правильно ли представляем себе природу и способы реализации угроз, а также от нашей способности анализировать и оценивать их последствия. Разработанная модель на основе методики Microsoft позволяет снизить риски для предприятия, тем самым сохранив денежные средства на восстановление в случае отказа или перебоя в работе средств информационно обработки информации предприятия, а также выработать рекомендации по обеспечению (повышению) информационной безопасности компании. В том числе снизить потенциальные потери компании путем повышения устойчивости функционирования корпоративной сети, разработать концепцию и политику безопасности компании. Также рассмотренная методика позволяет предложить планы защиты конфиденциальной информации компании, передаваемой по открытым каналам связи, защиты информации компании от умышленного искажения (разрушения), несанкционированного доступа к ней, ее копирования или использования. Одним из важных этапов построения системы IT-безопасности является создание эффективного механизма управления рисками, что позволит принимать обоснованные решения в данном направлении. Хотелось бы отметить, что мероприятия по IT-безопасности могут накладывать ограничения, но надо четко представлять себе необходимость данных ограничений и пытаться находить компромиссы. Ни одна из методик не предлагает оценку рисков в корпоративной среде предприятия, кроме методики от Microsoft. Современный бизнес диктует скорость развития бизнеса, как с экономической, так и с технической стороны. Любая средняя организация имеет как минимум два удаленных офиса. Необходимая степень конкретизации деталей зависит от уровня зрелости организации, специфики ее деятельности и ряда других факторов. Таким образом, невозможно предложить какую-либо единую, приемлемую для всех отечественных компаний и организаций, универсальную методику, соответствующую определенной концепции управления рисками. В каждом частном случае приходится адаптировать общую методику анализа рисков и управления ими под конкретные нужды предприятия с учетом специфики его функционирования и ведения бизнеса. Рассмотрим сначала типичные вопросы и проблемы, возникающие при разработке таких методик, возможные подходы к решению этих проблем, а затем обсудим примеры адаптации и разработки соответствующих корпоративных методик. Список литературы 1 Обзор системы анализа рисков CRAMM [сайт] URL:http://www.cramm.com/overview/expert.htm (дата обращения: 01.08.2010). 2 Обзор системы анализа рисков ГРИФ [сайт] URL:http://www.dsec.ru/products/grif/overview/start/ (дата обращения: 05.07.2010). Обзор системы анализа рисков для корпоративных сетей и управления ими [сайт] URL:http://www.intuit.ru/department/itmngt/riskanms/4/1.html (дата обращения: 06.07.2010). Обзор системы анализа рисков Microsoft expert [сайт] URL:http://www.microsoft.com (дата обращения: 01.08.2010). Обзор системы анализа и управления рисками [сайт] URL:http://www.osp.ru/lan/2004/10/139689/ (дата обращения: 17.08.2010). Обзор системы учета, управления и анализа рисков предприятия [сайт] URL:http://www.peltierassociates.com/ (дата обращения 11.08.2010). Обзор систем анализа [сайт] http://www.riskwatch.com/InformationSystems.html (дата обращения: 10.08.2010) Обзор систем и учета рисков для корпоративных сетей предприятия CRAMM, FRAP, RiskWatch [сайт] http://www.securitylab.ru/opinion/264493.php (дата обращения 15.10.2010) 9 Балашов П.А., Кислое Р.И., Безгузиков В.П. Оценка рисков информационной безопасности на основе нечеткой логики // Безопасность компьютерных систем. Конфидент. 2007. №5. С. 56-59. Биячуев Т.А. / под ред. Л.Г. Осовецкого Безопасность корпоративных сетей. - СПб.:изд-во СПб ГУ ИТМО, 2006. - 161 с. 11 Гладких А.А., В.Е. Дементьев / Базовые принципы информационной безопасности вычислительных сетей: учебное пособие для студентов; - Ульяновск: изд-во УлГТУ, 2009. - 168 с. 12 Кононов А.А. Автоматизация построения профилей защиты с использованием комплексной экспертной системы «АванГард». Оголюк А.А., А.В. Щеглов / Технология и программный комплекс защиты рабочих станций. - М.: изд-во Финансы и статистика, 2007 г. - 280 с. 14 Петренко С.А., Симонов С.В. /Управление информационными рисками. Экономически оправданная безопасность - М. 2005. - 384 с.: 15 Расторгуев С.П. Об обеспечении защиты АИС от недокументированных возможностей программного обеспечения // Конфидент. Защита информации. - №2. - 2005. - С. 26-29. 16 Романец Ю.В., Тимофеев П.А., Шаньгин В.Ф. Защита информации в компьютерных системах и сетях. - М.: Радио и связь, 2005. Саати Т. Принятие решений: метод анализа иерархий. - М: Радио и связь, 1993. Сабынин В.Н. Давайте говорить на одном языке // Системы безопасности. - №1. - 2001. Сардак И.Г. Борьба с экономическими преступлениями выходит на новый уровень // Системы безопасности связи и телекоммуникаций. - №3. - 2003. 20 Симонов С.В. Методология анализа рисков в информационных системах // Защита информации. Конфидент. 2001. №1. C. 72-76. 21 Симонов С.В. Анализ рисков в информационных системах. Практические аспекты // Конфидент. Защита информации. - №2. - 2001. - С. 48-53. 22 Симонов С.В. Анализ рисков, управление рисками //Jet Info. - №1. - 1999. Симонов С.В. Аудит безопасности информационных систем //Jet Info. - №9. - 1999. Симонов С.В. Методология анализа рисков в информационных системах // Конфидент. Защита информации. - №1. - 2008. - С. 72-76. Симонов С.В. Технологии аудита информационной безопасности // Конфидент. Защита информации. - №2. - 2006. - С. 36-41. Симонов С.В. Технологии и инструментарий для управления рисками //Jet Info.- №1. - 2004. 27 Староверов Д. Конфликты в сфере безопасности. Социально-психологические аспекты защиты // Системы безопасности связи и телекоммуникаций. - №6. - 2001. 28 Староверов Д. Оценка угроз воздействия конкурента на ресурсы организации // Конфидент. Защита информации. - №2. - 2005. - С. 58-62. Сырков Б. Компьютерная преступность в России. Современное состояние // Системы безопасности связи и телекоммуникаций. - №4. - 2007. Трубачев А.П., Долинин М.Ю., Кобзарь М.Т., Сидак А.А., Сороковиков В.И. Оценка безопасности информационных технологий / Под общ. ред. В.А. Галатенко. - М.: Издательство СИП РИА, 2008. Турский А., Панов С. Защита информации при взаимодействии корпоративных сетей в Internet // Конфидент. Защита информации. - №5. - 2008. - С. 38-43. Шпак В.Ф. Методологические основы обеспечения информационной безопасности объекта // Конфидент. Защита информации. - №1. - 2000. - С. 75-86. Шумский А.А., Системный анализ в защите информации / А.А. Шумский, А.А. Шелупанов. - М.: Гелиос АРВ, 2008. - 224 с. 34 Щеглов А.Ю. / Защита информации он несанкционированного доступа. - М.: изд-во Гелиос АРВ, 2005. - 384 с. |