Нир Виталий. Выпускная квалификационная работа разработка модели оценки рисков информационной безопасности корпоративной сети
 Скачать 0.65 Mb.
|
.5 Анализ методики ГрифДля проведения полного анализа информационных рисков, прежде всего, необходимо построить полную модель информационной системы с точки зрения ИБ. Для решения этой задачи ГРИФ, в отличие от прередставленных на рынке западных систем анализа рисков, которые громоздки, сложны в использовании и часто не предполагают самостоятельного применения ИТ-менеджерами и системными администраторами, ответственными за обеспечение безопасности информационных систем компаний, обладает простым и интуитивно понятным для пользователя интерфейсом. Основная задача методики ГРИФ - дать возможность ИТ менеджеру самостоятельно оценить уровень рисков в информационной системе, оценить эффективность существующей практики по обеспечению безопасности компании и иметь возможность доказательно (в цифрах) [6]. На первом этапе методики ГРИФ проводится опрос ИТ-менеджера с целью определения полного списка информационных ресурсов, представляющих ценность для компании. На втором этапе проводится опрос ИТ-менеджера с целью ввода в систему ГРИФ всех видов информации, представляющей ценность для компании. Введенные группы ценной информации должны быть размещены пользователем на ранее указанных на предыдущем этапе объектах хранения информации (серверах, рабочих станциях и т.д.). Заключительная фаза - указание ущерба по каждой группе ценной информации, расположенной на соответствующих ресурсах, по всем видам угроз. На третьем этапе вначале проходит определение всех видов пользовательских групп (и число пользователей в каждой группе). Затем определяется, к каким группам информации на ресурсах имеет доступ каждая из групп пользователей. В заключение определяются виды (локальный и / или удаленный) и права (чтение, запись, удаление) доступа пользователей ко всем ресурсам, содержащих ценную информацию. На четвертом этапе проводится опрос ИТ-менеджера для определения средств защиты информации, которыми защищена ценная информация на ресурсах. Кроме того, в систему вводится информация о разовых затратах на приобретение всех применяющихся средств защиты информации и ежегодные затраты на их техническую поддержку, а также - ежегодные затраты на сопровождение системы информационной безопасности компании[4]. На завершающем этапе пользователь должен ответить на список вопросов по политике безопасности, реализованной в системе, что позволяет оценить реальный уровень защищенности системы и детализировать оценки рисков. Наличие средств информационной защиты, отмеченных на первом этапе, само по себе еще не делает систему защищенной в случае их неадекватного использования и отсутствия комплексной политики безопасности, учитывающей все аспекты защиты информации, включая вопросы организации защиты, физической безопасности, безопасности персонала, непрерывности ведения бизнеса. К недостаткам ГРИФ можно отнести: - отсутствие привязки к бизнесс-процессам; - нет возможности сравнения отчетов на разных этапах внедрения комплекса мер по обеспечению; - отсутствует возможность добавить специфичные для данной компании требования политики безопасности. В результате выполнения всех действий по данным этапам, на выходе сформирована полная модель информационной системы с точки зрения информационной безопасности с учетом реального выполнения требований комплексной политики безопасности, что позволяет перейти к программному анализу введенных данных для получения комплексной оценки рисков и формирования итогового отчета. Отчет представляет собой подробный, дающий полную картину возможного ущерба от инцидентов документ, готовый для представления руководству компании. Существующая методика оценки риска позволяет самостоятельно оценить степень риска предприятия в пределах одной сети, но не даст полной картины, что существенно влияет на безопасность информации в целом. Рассмотренные методики в той или иной степени позволяют показать примерную оценку информационного риска для предприятия. Невозможно дать точную оценку риску, ввиду сложности представления ущерба для системы из-за большого количества компонентов вычислительной среды и различных топологий локальных и корпоративных сетей с их программно-аппаратным наполнением и управлением. Ни одна из методик не предлагает оценку рисков в корпоративной среде предприятия, кроме методики анализа корпоративных рисков от Microsoft. Современный бизнес диктует скорость развития технологий, как с экономической, так и с технической стороны. Любая средняя организация имеет как минимум два удаленных офиса. В России в настоящее время чаще всего используются разнообразные «бумажные» методики, достоинствами которых являются гибкость и адаптивность. Как правило, разработкой данных методик занимаются компании - системные и специализированные интеграторы в области защиты информации. По понятным причинам методики обычно не публикуются, поскольку относятся к этой компании. В силу закрытости данных методик судить об их качестве, объективности и возможностях достаточно сложно. Рассмотренные методики ориентированы на те сети, которые построены по доменному принципу, имеющие четкие разделения прав пользователей, группы, общие ресурсы, что в некоторой степени позволяет применят групповую политику на весь домен, но с другой стороны, при падении домена, сеть оказывается полностью не работоспособной. Доменная структура сложна в настройке, но ее производительность того стоит. Для сетей с небольшим количеством компьютеров доменная организация не имеет смысла. Не все системы учета рисков не предлагают выделить системы защиты по ступеням, то есть от технической защите к программной, то есть самой теоретически стойкой к взлому. Большинство организаций среднего размера, и покупка очень дорогостоящего средства учета рисков просто не по карману предприятию. Следует учитывать тот факт, что и то, количество информации, которая является коммерческой тайной ее не очень большое количество. Необходимая степень конкретизации деталей зависит от уровня зрелости организации, специфики ее деятельности и ряда других факторов. Таким образом, невозможно предложить какую-либо единую, приемлемую для всех отечественных компаний и организаций, универсальную методику, соответствующую определенной концепции управления рисками. В каждом частном случае приходится адаптировать общую методику анализа рисков и управления ими под конкретные нужды предприятия с учетом специфики его функционирования и ведения бизнеса. Рассмотрим сначала типичные вопросы и проблемы, возникающие при разработке таких методик, возможные подходы к решению этих проблем, а затем обсудим примеры адаптации и разработки соответствующих корпоративных методик. Таким образом, учет рисков должен быть: – недорогостоящим; – профильными; – эффективным; – масштабируемым; – управляемым; – легко адаптируемым к системе; – учитывать все особенности построенной сети. Компания может приобрести лучшие технологии по безопасности, какие только можно купить за деньги, натренировать своих людей так, что они станут прятать все свои секреты, прежде чем пойти ночью домой, и нанять охранников в лучшей охранной фирме на рынке. Но эта компания всё ещё остаётся полностью уязвимой. Сами люди могут полностью следовать лучшей практике по безопасности, рекомендованной экспертами, по-рабски устанавливать каждый вновь появившийся рекомендованный программный продукт по безопасности и тщательно следить за конфигурацией своей системы и следить за выпуском патчей. Но и они всё равно полностью уязвимы. |