Нир Виталий. Выпускная квалификационная работа разработка модели оценки рисков информационной безопасности корпоративной сети
Скачать 0.65 Mb.
|
3.1 Первичное управление безопасностью на современных предприятияхПовсеместное внедрение информационных технологий в структуры современных организаций стало объективной реальностью. На всех управленческих уровнях есть необходимость и возможность расширить свои коммуникационные и информационные возможности за счет внедрения современных информационных технологий. В результате информационные структуры организаций разрастаются: локальные сети организаций подключаются к Internet, объединяются в офисные многоярусные структуры, разрастаются до уровня распределенных корпоративных сетей. Внедрение средств вычислительной техники в структуру управления современных предприятий и организаций является, безусловно, передовым процессом, поэтому вполне объяснимо, что до определенного момента не возникает вопросов и опасений, связанных с использованием информационных технологий[36]. Эволюция вычислительных технологий постоянно ускоряется, руководителям предприятий приходится отслеживать новые тенденции, принимать решения, связанные с обновлением инфраструктуры информационных технологий. Новые технологии приводят к появлению новых способов организации дальнейшей работы, а также служат источниками новых услуг Следствием этого часто является стихийный рост информационной инфраструктуры предприятия, которая по мере приобретения средств вычислительной техники разрастается «вширь», приобретая неструктурированный гетерогенный характер. Это, в свою очередь, приводит к неконтролируемому росту уязвимостей системы и увеличению возможностей доступа к управленческой, коммерческой и производственной информации со стороны внешних и внутренних нарушителей. Информационные системы становятся потенциально опасными для своих собственников, своего рода «миной замедленного действия». До определенного момента не возникает вопросов и об оценке величины риска, рост которого следует рассматривать как обратную сторону процесса информатизации. Проблема усугубляется тем, что вопросы информационной безопасности, обычно, отдаются на откуп специалистам по информационным технологиям, которые часто не в состоянии определить реальные последствия для организации угроз информационной безопасности [38,39]. Таким образом, в организации часто не оказывается специалиста, который мог бы оценить реальные риски, связанные с использованием информационных технологий, хотя, очевидно, что оценка риска нужна не только с точки зрения безопасности уже определившейся инфраструктуры, но и для точной оценки перспектив применения и развития информационных технологий. Более того, своевременную оценку риска следует рассматривать не только как функцию управления ИС, но и как защиту организации в целом, ее способности выполнять свои функции пусть даже и частично, после восстановления от сбоя. Следовательно, процесс управления рисками следует рассматривать не как техническую функцию, которую можно поручить техническим специалистам, а как основную управляющую функцию организации. Говорить о том, что информационная безопасность (ИБ) стала частью корпоративной культуры, у нас в стране можно с большой натяжкой, не все организации обращают на это внимание или мало выделяют средств на ее обеспечение. Необходимость обеспечения ИБ осознали только крупные компании. Да и они до недавнего времени проблемы безопасности воспринимали исключительно как технические, связанные с внедрением межсетевых экранов, антивирусного программного обеспечения, средств обнаружения вторжений и виртуальных частных сетей. На самом деле, по рекомендациям исследовательских фирм, от 60 до 80% всех усилий по обеспечению безопасности следует направлять на разработку политики безопасности и сопутствующих ей документов. Почему? Потому, что политика безопасности является самым дешевым и одновременно самым эффективным средством обеспечения информационной безопасности (конечно, если ей следовать). Кроме того, если политика сформулирована, то она является и руководством по развитию и совершенствованию системы защиты[35]. Конкретные продукты и решения по информационной безопасности совершенствуются год от года, интегрируются между собой. Все это происходит так стремительно, что кажется, будто недалек тот день, когда кто-нибудь предложит универсальный продукт для защиты любых информационных систем всеми доступными средствами. Это могло бы быть шуткой, если бы мы не наблюдали воочию, как усилия многих специализированных компаний «размазываются» в попытках создать универсальный продукт. Характеристики информации. Прежде всего, у каждой «единицы» защищаемой информации есть несколько параметров, которые необходимо учитывать: - статичность; - размер и тип доступа; - время жизни; - стоимость создания; - стоимость потери конфиденциальности; - стоимость скрытого нарушения целостности; - стоимость утраты. Статичность определяет, может ли защищаемая информация изменяться в процессе нормального использования. Так, например, передаваемое по сети зашифрованное сообщение и документ с цифровой подписью изменяться не должны, а данные на зашифрованном диске, находящемся в использовании, изменяются постоянно. Также изменяется содержимое базы данных при добавлении новых или модификации существующих записей [17,20]. Размер единицы защищаемой информации может накладывать дополнительные ограничения на используемые средства защиты. Так блочные алгоритмы шифрования в некоторых режимах оперируют порциями данных фиксированной длины, а использование асимметричных криптографических алгоритмов приводит к увеличению размера данных при зашифровании[36]. Тип доступа (последовательный или произвольный) также накладывает ограничения на средства защиты - использование потокового алгоритма шифрования для больших объемов данных с произвольным доступом требует разбиения данных на блоки и генерации уникального ключа для каждого из них. Время жизни информации очень важный параметр, определяющий, насколько долго информация должна оставаться защищенной. Существует информация, время жизни которой составляет минуты, например отданный приказ о начале атаки или отступления во время ведения боевых действий. Содержимое приказа и без расшифровки сообщения станет ясно противнику по косвенным признакам. Время жизни большей части персональной информации (банковской, медицинской и т.п.) соответствует времени жизни владельца после его смерти разглашение такой информации уже никому не принесет ни вреда, ни выгоды. Для каждого государственного секрета, как правило, тоже определен период, в течение которого информация не должна стать публичной. Однако с некоторых документов грифы не снимаются никогда - это случай, когда время жизни информации не ограничено. Никогда не должна разглашаться информация и о ключах шифрования, вышедших из употребления, т.к. у противника могут иметься в наличии все старые зашифрованные сообщения и, получив ключ, он сможет обеспечить себе доступ к тексту сообщений [18,19]. Стоимость создания является численным выражением совокупности ресурсов (финансовых, человеческих, временных), затраченных на создание информации. Фактически, это ее себестоимость. Стоимость потери конфиденциальности выражает потенциальные убытки, которые понесет владелец информации, если к ней получат неавторизованный доступ сторонние лица. Как правило, стоимость потери конфиденциальности многократно превышает себестоимость информации. По истечении времени жизни информации стоимость потери ее конфиденциальности становится равной нулю. Стоимость скрытого нарушения целостности выражает убытки, которые могут возникнуть вследствие внесения изменений в информацию, если факт модификации не был обнаружен. Нарушения целостности могут носить различный характер. Они могут быть как случайными, так и преднамеренными[35]. Модификации может подвергаться не только непосредственно текст сообщения или документа, но также дата отправки или имя автора. Стоимость утраты описывает ущерб от полного или частичного разрушения информации. При обнаружении нарушения целостности и невозможности получить ту же информацию из другого источника информация считается утраченной. Четыре различных стоимости, перечисленные выше, могут очень по-разному соотноситься друг с другом. Анализ защищенности АС от угроз безопасности информации работа сложная. Умение оценивать и управлять рисками, знание типовых угроз и уязвимостей, критериев и подходов к анализу защищенности, владение методами анализа и специализированным инструментарием, профессиональное знание различных программно-аппаратных платформ, используемых в современных компьютерных сетях, - вот далеко не полный перечень профессиональных качеств, которыми должны обладать специалисты, проводящие работы по анализу защищенности АС. |