Нир Виталий. Выпускная квалификационная работа разработка модели оценки рисков информационной безопасности корпоративной сети
 Скачать 0.65 Mb.
|
2.3 Подготовительные аналитические работыТемпы развития современных информационных технологий значительно опережают темпы разработки рекомендательной и нормативно-правовой базы руководящих документов, действующих на территории России. Поэтому решение вопроса об оценке уровня защищенности информационных активов компании обязательно связано с проблемой выбора критериев и показателей защищенности, а также эффективности корпоративной системы защиты информации. Для более точной картины при учете рисков, нужно заблаговременно произвести некоторые аналитические работы [13,14]. Аналитические работы в области информационной безопасности могут проводиться по следующим направлениям: - комплексный анализ информационных систем (ИС) компании и подсистемы информационной безопасности на правовом, методологическом, организационно-управленческом, технологическом и техническом уровнях; - разработка комплексных рекомендаций по методологическому, организационно-управленческому, технологическому, общетехническому и программно-аппаратному обеспечению режима ИС компании; - организационно-технологический анализ ИС компании; - экспертиза решений и проектов; - работы по анализу документооборота и поставке типовых комплектов организационно-распорядительной документации; - работы, поддерживающие практическую реализацию плана защиты; - повышение квалификации и переподготовка специалистов. К первой области также относятся работы, проводимые на основе анализа рисков, инструментальные исследования (исследование элементов инфраструктуры компьютерной сети и корпоративной информационной системы на наличие уязвимостей, исследование защищенности точек доступа в Internet). Данный комплекс работ также включает в себя и анализ документооборота, который, в свою очередь, можно выделить и как самостоятельное направление. Рекомендации могут касаться общих основополагающих вопросов обеспечения безопасности информации (разработка концепции информационной безопасности, разработка корпоративной политики охраны информации на организационно-управленческом, правовом, технологическом и техническом уровнях), применимых на многих компаниях. Также рекомендации могут быть вполне конкретными и относится к деятельности одной единственной компании (план защиты информации, дополнительные работы по анализу и созданию методологического, организационно-управленческого, технологического, инфраструктурного и технического обеспечения режима информационной безопасности компании) [12,28]. Правильная экспертиза решений и проектов играет важную роль в обеспечении функционирования всей системы информационной безопасности и должна соответствовать требованиям по обеспечению информационной безопасности экспертно-документальным методом. Экспертиза проектов подсистем - требованиям по безопасности экспертно-документальным методом. Работы по анализу документооборота и поставке типовых комплектов организационно-распорядительной документации, как правило, включают два направления: - анализ документооборота компании категории «конфиденциально» на соответствие требованиям концепции информационной безопасности, положению о коммерческой тайне, прочим внутренним требованиям компании по обеспечению конфиденциальности информации; - поставку комплекта типовой организационно-распорядительной документации в соответствии с рекомендациями корпоративной политики ИБ компании на организационно-управленческом и правовом уровне. Работы, поддерживающие практическую реализацию плана информационной безопасности, в частности, заключаются в следующем: - разработка технического проекта модернизации средств защиты ИС, установленных на фирме по результатам проведенного комплексного аналитического исследования корпоративной сети; - разработка расширенного перечня сведений ограниченного распространения как части политики безопасности; - разработка пакета организационно-распорядительной документации в соответствии с рекомендациями корпоративной политики ИБ компании на организационно-управленческом и правовом уровне; - поставка комплекта типовой организационно-распорядительной документации в соответствии с рекомендациями корпоративной политики ИБ компании на организационно-управленческом и правовом уровнях [14,28,30]. Уровень информационной безопасности компании во многом зависит от квалификации специалистов. В целях повышения квалификации и переподготовки кадров рекомендуется проводить тренинги по применению средств защиты информации, технологии защиты информации, обучать сотрудников основам экономической безопасности[17]. Немаловажную роль играет и ежегодная переоценка состояния информационной безопасности компании. Поясним ключевые моменты управления рисками. Для начала излагается общий сценарий. Допустим, возникает возможность угрозы несанкционированного доступа к конфиденциальной информации в связи с обнаруженной уязвимостью в учетной системе, которая принимает электронные заказы через Интернет. На основе информации об угрозах и уязвимостях информационной системы изучается вопрос о возможности реализации риска и экономической целесообразности определения мероприятий по его минимизации (если мероприятия по предотвращению рисков стоят дороже, чем ущерб от реализации угрозы, то, скорее всего, применять их нецелесообразно). После оценки важности риска планируются необходимые мероприятия и выделяются соответствующие ресурсы. Затем реализуются контрмеры в соответствии с графиком работ и оценивается их эффективность. После более подробного изучения процесса и выявления потенциальных угроз следует сформировать перечень рисков, которые необходимо минимизировать. Цель процесса сбора (идентификации) рисков - выяснить, в какой степени организация подвержена угрозам, способным нанести существенный ущерб. Для сбора рисков проводится анализ бизнес-процессов компании и опрос экспертов предметной области. По результатам проделанной работы перечень всех потенциальных рисков классифицируется. Причем для проверки полноты перечня выделенных рисков необходимо построить классификацию рисков по определенному принципу, например по этапам жизненного цикла документа [18,28]. Существует два подхода к определению рисков. Первый основан на описании процессов и их анализе на предмет нахождения рисков IT-безопасности. Обычно его применение требует больших затрат как на описание, так и на анализ бизнес-процессов, но неоспоримым преимуществом данного метода является гарантированная полнота определения перечня рисков. Второй подход к определению рисков базируется на экспертных знаниях, информации по инцидентам IT-безопасности и понесенному компанией убытку от произошедших инцидентов. Этот подход имеет меньшую трудоемкость, но не гарантирует полноты перечня рисков и требует большого экспертного опыта при выделении рисков без анализа описания процессов. Если говорить о практике применения, то на первых этапах развертывания процесса управления рисками IT-безопасности возможно использование второго метода, как менее трудоемкого, однако на следующих этапах анализа рисков следует перейти к полноценному определению рисков с помощью описания и анализа бизнес-процессов. В представленном примере угроза несанкционированного доступа к финансовой информации представляет собой исходные данные для идентификации, например, такого риска, как «Утечка информации о клиентах к конкурентам через незащищенный канал связи». В связи с тем, что последствия от различных угроз неравноценны, недостаточно лишь идентифицировать риск. Необходимо оценить величину угрозы и возможность реализации риска (уязвимость), а также убыток в виде прямых или косвенных потерь в денежном выражении. Если говорить об оценке рисков, то на первом этапе следует использовать качественные критерии, поскольку они просты в применении. Примером качественных критериев оценки может быть куб (четыре на четыре на четыре): - угроза - низкая, средняя, высокая, критическая; - уязвимость - низкая, средняя, высокая, критическая; - ущерб - низкий, средний, высокий, критический. Суммарную оценку риска можно определить путем перемножения или взвешенного суммирования полученных качественных коэффициентов[3]. Затем определятся порог или уровень существенности для рисков. Фактически перечень рисков делится уровнем существенности на две части. Во-первых, риски, по которым в данном цикле системы будет производиться предотвращение или минимизация последствий. Во-вторых, риски, по которым в данном цикле системы не будет производиться предотвращение или минимизация последствий. При дальнейших реализациях процесса можно перейти от качественных к числовым оценкам, но это потребует анализа вероятностей для угроз и уязвимостей, и числовых оценок для убытков, что усложнит систему управления рисками. Но главное - при запуске процесса управления рисками IT-безопасности сосредоточиться на самом процессе, а методики можно отточить в дальнейшем, когда механизм будет работать в циклическом режиме [29,30]. Основным результатом (выходом) процесса оценки рисков является перечень всех потенциальных рисков с их количественными и качественными оценками ущерба и возможности реализации. Данный перечень рисков имеет большой объем, поэтому возникает вопрос, нужно ли защищаться от всех рисков? Необходимо определить перечень особо опасных рисков, к минимизации которых следует приступить немедленно и минимизация которых повысит уровень безопасности организации. То есть речь идет лишь о понимании, сколько риска организация готова взять на себя и какому риску она подвергается в действительности. Что делать с оставшимися рисками? Скорее всего, их минимизация не требуется, поскольку стоимость мероприятий по их минимизации может превысить убытки от данных рисков. Вот почему основной задачей становится определение логической границы между рисками, требующими минимизации, и остаточными рисками. В начале построения системы IT-безопасности данная граница может иметь высокий уровень, дальнейшее понижение границы возможно при проведении работ по IT-безопасности, но необходимо определить тот момент, когда ее дальнейшее понижение станет убыточным для организации. Иначе нельзя исключить переход в состояние, когда мероприятия по защите информации будут работать сами на себя. Для оценки данной границы необходимо четко оценивать свои ресурсы и возможные расходы. Дополнительным результатом процесса оценки рисков является перечень рисков информационной безопасности, которые не будут отслеживаться в организации, но на следующем цикле анализа рисков будут оценены. Все данные, важные с точки зрения управления рисками, моделируются [128,30]. На основе оценок риска выбираются необходимые методы и средства управления информационной безопасностью. Для нашего примера: если величина и возможность убытков для риска «Утечка информации о клиентах к конкурентам» достаточно велика, целесообразно наметить мероприятия по минимизации риска - планирование процесса оперативного обновления ПО (установка «заплаток»), формирование регламентов доступа к информации о клиентах, внедрение средств защиты от утечек конфиденциальных данных и т.д. Цель процесса планирования мероприятий по минимизации рисков - определение сроков и перечня работ по исключению или сведению к минимуму ущерба в случае реализации риска. Данный процесс позволяет сформулировать кто, где, когда и какими ресурсами будет минимизировать определенные риски. Результатом (выходом) процесса планирования является план-график работ по исключению или минимизации ущерба от реализованного риска. Например, «До 10.10.10 установить пакет обновлений Service Pack 2 для операционной системы Windows XP на все рабочие станции компании. Ответственный: Иванов И.И.». Практика показывает, что большинство мероприятий находится в плоскости организационных решений, тогда как технические меры защиты не являются превалирующими. В дальнейшем необходимо производить агрегацию мероприятий для того, чтобы одно мероприятие «закрывало» несколько рисков одновременно, что минимизирует затраты и требует меньше ресурсов для контроля [10,11]. Однако большинство компаний начинает установку технических решений без предварительной оценки рисков, определения целей IT-безопасности и ее влияния на бизнес-процессы, что приводит к отрицательному влиянию на бизнес-процессы и потере контроля над ними. Можно установить в компании различные средства сетевой защиты, контроля физического доступа и т.п., после чего пребывать в спокойном состоянии, считая, что все необходимые меры по обеспечению IT-безопасности приняты. Однако вскоре конфиденциальная информация опять оказывается у конкурентов или сотрудник «случайно» стирает материалы проекта[16]. Эти факты показывают, что проблема IT-безопасности является не только технической, но и управленческой. Большинство рисков можно минимизировать управленческими решениями, рассматривая данные риски в качестве операционных, а остальные риски минимизировать программными и аппаратными средствами. Мало понять, что, как и когда делать, однако требуется реализовать все запланированное точно в срок. Поэтому целью процесса реализации мероприятий становится выполнение запланированных мероприятий по минимизации рисков, контроль качества полученных результатов и сроков их выполнения. Итог данного процесса - выполненные работы по минимизации рисков и время их проведения. Целесообразно спланировать свою деятельность на случай возникновения критической ситуации или риска. Введение в действие процессов, предусмотренных на экстренный случай, позволит не допустить убытки или минимизировать их, а также возобновить хозяйственную деятельность как можно быстрее[15]. Основная сложность - не создать план-график (поскольку подобная работа связана с анализом рисков и формированием мероприятий, необходимых для его минимизации и предотвращения), а выполнять план-график, выделяя финансовые ресурсы, назначая и мотивируя ответственных за конкретные мероприятия. Однако, определяя мероприятия, надо все время помнить: IT-безопасность должна гарантировать, что будут достигнуты следующие цели. Во-первых, конфиденциальность информации, критически важной для организации или для принятия решения. Во-вторых, целостность информации и связанных с ней процессов (создания, ввода, обработки и вывода). В-третьих, оперативная доступность информации в любой момент времени. В-четвертых, возможность накопления информации, т.е. сохранения предшествующих вариантов. В-пятых, учет всех процессов, связанных с информацией. Во многих компаниях системы информационной безопасности строятся по принципу «все запретить», что вызывает неудобства в работе сотрудников, а самое важное - может служить причиной замедления развития компании, поскольку корпоративные знания перестают быть доступными. Необходимо найти золотую середину между ограничениями, связанными с мероприятиями IT-безопасности, и свободой обмена информацией внутри и вне компании. Главное, чтобы безопасность из средства не превратилась в цель. Часто вместо того, чтобы придерживаться принципа, подразумевающего сохранение текущей ситуации всегда, когда это допустимо, сотрудники, отвечающие за IT-безопасность, занимают формальную позицию и по максимуму минимизируют возможности пользователей. Как правило, большое количество запретительных мероприятий порождает способы обмена информацией в обход защищенных каналов, что сводит все усилия по обеспечению защиты данных к нулю, то есть бизнес-процессы компании перестраиваются, обходя все запретительные мероприятия. Следующий цикл анализа рисков позволяет определить, какие мероприятия эффективны для минимизации и предотвращения рисков, а какие нет. На основе анализа эффективности можно корректировать понимание риска, его оценки и требуемых действий. Кроме того, анализ эффективности предоставит возможность увидеть минимизацию параметров уязвимости и ущерб для всех рисков, что в целом усилит режим IT-безопасности. Оценка эффективности системы управления IT-безопасностью - это системный процесс получения и оценки объективных данных о текущем состоянии систем, действиях и событиях, происходящих в ней, устанавливающий уровень их соответствия определенным критериям. На данной стадии выполняется мониторинг заранее установленных мероприятий, нацеленных на уменьшение объема убытка или частоты появления рисков. Результаты указанного процесса могут использоваться в целях аудита для подготовки компании к сертификации [15,16]. Для координации работ по управлению рисками требуются следующие организационные мероприятия: разработка концепции IT-безопасности, создание комитета по IT-безопасности (включающего топ-менеджеров компании), выделение ответственного, определение бюджета на работы, формирование процесса управления и регламента, назначение экспертов по предметным областям для предоставления информации по бизнес-процессам и рискам, определение схем мотивирования для участвующих в работах. Также нельзя забывать, что для обеспечения работающего процесса управления IT-безопасностью очень критична организационная составляющая. В заключение следует отметить, что построение эффективной системы IT-безопасности в компании - сложный и непрерывный процесс, от которого зависит жизнеспособность бизнеса. Для грамотного построения такой системы надо привлекать к участию в ее создании топ-менеджмент, IT-специалистов, консультантов по данной тематике, технических экспертов. Одним из важных этапов построения системы IT-безопасности является создание эффективного механизма управления рисками, что позволит принимать обоснованные решения в данном направлении. Хотелось бы отметить, что мероприятия по IT-безопасности могут накладывать ограничения, но надо четко представлять себе необходимость данных ограничений и пытаться находить компромиссы [19,25]. Методика Microsoft в большей части рассчитана для ее же программных продуктов, среди которых часто встречаются операционные системы семейства Microsoft (Microsoft XP, Vista, Seven, Server 2003, 2008) Microsoft office, Microsoft Exchange. Учитывая большую стоимость программных средств, российский бизнес использует альтернативные программные продукты других производителей, зачастую куда более лучшего качества. Все это позволяет только частично применить эту методику в для проведения учета рисков информационной безопасности мероприятия. Как известно, крупные поставщики аппаратного оборудования такие как HP, DELL, IBM поставляют готовые серверные решения на основе CISCO, D-LINK, INTEL, AMD, NVIDIA, для предприятия с сертификатом совмести с продуктами MICROSOFT что подтверждает совместимость оборудования с программным обеспечением, что повышает надежность отказоустойчивости, так и производительности. Но учитывая бизнес в России, не все организации способны закупить высокопроизводительные и дорогостоящие сервера. Основную нагрузку на себя берут обычные компьютеры выступающие в роли рядового сервера. Так же стоит учесть тот факт, что сети организаций построены на разных программных платформах - операционных системах для повышения производительности и снижения себестоимости владения продуктом. В отличие от MS Windows, некоторые версии Linux распространяется бесплатно, а за небольшую плату еще и с поддержкой конечных пользователей. Недостаточность финансирования IT хозяйства предприятия ведет к незаметным простоям и перебоям в работе информационной инфраструктуры предприятия, что в конечном итоге выходит предприятию в копеечку. Информационные риски - это опасность возникновения убытков или ущерба в результате применения компанией информационных технологий. К сожалению, имеющиеся справочники опираются на зарубежный опыт и потому с трудом применимы к российским реалиям. К тому же определение величины стоимости информационного ресурса (будь то физический сервер или файлы и записи СУБД) тоже зачастую затруднено. Современные методики управления рисками, проектирования и сопровождения корпоративных систем защиты информации должны позволять решить ряд задач перспективного стратегического развития компании. Управление рисками предполагает оценку стоимости реализации контрмер, которая должна быть меньше величины возможного ущерба. Разница между стоимостью принятия контрмер и величиной возможного ущерба должна быть тем больше, чем меньше вероятность причинения ущерба. Разработанная модель на основе методики Microsoft позволяет снизить риски для предприятия, с учетом рисков для корпоративной сети, тем самым сохранив денежные средства на восстановление в случае отказа или перебоя в работе средств информационно обработки информации предприятия, а также выработать рекомендации по обеспечению (повышению) информационной безопасности компании. В том числе снизить потенциальные потери компании путем повышения устойчивости функционирования корпоративной сети, разработать концепцию и политику безопасности компании. Также рассмотренная методика позволяет предложить планы защиты конфиденциальной информации компании, передаваемой по открытым каналам связи, защиты информации компании от умышленного искажения (разрушения), несанкционированного доступа к ней, ее копирования или использования. Одним из важных этапов построения системы IT-безопасности является создание эффективного механизма управления рисками, что позволит принимать обоснованные решения в данном направлении. Хотелось бы отметить, что мероприятия по IT-безопасности могут накладывать ограничения, но надо четко представлять себе необходимость данных ограничений и пытаться находить компромиссы. Оценка IT-рисков, а также разработка и обновление планов по их минимизации должны производиться с определенной периодичностью, например раз в квартал. Периодический аудит системы работы с информацией (информационный аудит), проводимый независимыми экспертами, будет дополнительно способствовать минимизации рисков. В заключение отметим, что разработка и реализация политики по минимизации IT-рисков не принесет пользы, если рекомендуемые стандарты и правила неверно используются, например, если сотрудники не обучены их применению и не понимают их важности. Поэтому работа по обеспечению IT-безопасности должна быть комплексной и продуманной. В заключение следует отметить, что построение эффективной системы IT-безопасности в компании - сложный и непрерывный процесс, от которого зависит жизнеспособность бизнеса. Для грамотного построения такой системы надо привлекать к участию в ее создании топ-менеджмент, IT-специалистов, консультантов по данной тематике, технических экспертов. 3. Разработка модели оценки рисков по безопасности корпоративной информации |