Секция Техническое регулирование информационной безопасности




НазваниеСекция Техническое регулирование информационной безопасности
страница1/7
Дата конвертации29.10.2012
Размер0.84 Mb.
ТипДокументы
  1   2   3   4   5   6   7

Секция Техническое регулирование информационной безопасности

Техническое регулирование

информационной безопасности


*А.А. Круглов, **Б.И. Скородумов

Россия, *г. Москва, ЗАО «РНТ “ Технологии безопасности”»,

**г. Москва, МИФИ


ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ: ОТ УГРОЗ К РИСКАМ


Ранее, до наших дней и сейчас, в отечественных нормативно-методических материалах по информационной безопасности широко упоминалось и применяется понятие «угроза». В последнее время в нормативно-методических документах, созданных уполномоченными государственными организациями появилось родственное понятие «риск». Например, этот термин присутствует в стандарте ГОСТ Р ИСО/МЭК 15408 – 2002 [1]. Понятие «риск» является доминантным в стандарте ISO17799, который готовится к гармонизации в нашей стране, и в стандарте Банка России СТО БР ИББС-1.0-2004 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения».

В конце 2004 года был утвержден и вступил в силу упомянутый стандарт ЦБ РФ, созданный в рамках банковского подкомитета «Защита информации в кредитно-финансовой сфере» ТК 362 «Защита информации» (www.techcom3623.ru.). В печати была освещена позиция Банка России: создание серии стандартов по информационной безопасности в кредитно-финансовой сфере с опорой на стандарты управления безопасностью и аудиту ISO 17799, BS 7799, ISO 13335, ISO 9000, COBIT, OCTAVE, ГОСТ Р ИСО/МЭК 15408 – 2002 использование лучших мировых практик управления рисками и управления персоналом. Указанный новый стандарт является первым базовым документом.

Тенденция развития управления информационным риском прослеживается последнее время в России. В отечественной периодической печати появилась масса публикаций по рассматриваемой теме. Одновременно выходят монографии на данную тему, например, [2]. При этом в зарубежной нормативной литературе и практике понятие риск применяется с давних времен. Отчасти это объясняется тем, что категория «риск» присуща рыночной экономике. Следует отметить, что риск является метрикой информационной безопасности, что не характерно для угрозы. Понятие «риск» тесно связано со стоимостными показателями возможного ущерба для информационных ресурсов и всесторонне характеризует вероятность ущерба. Определение риска дано в законе Российской Федерации «О техническом регулировании» в 2002 г. [3]. Исходя из идеологии понятия «риск», принятой в законе, можно сформулировать следующее его определение для конкретных технических применений: «риск — количественная (стоимостная) оценка вероятностного события, ведущего к ущербу».

Целью анализа рисков, связанных с эксплуатацией автоматизированных информационных систем, является оценка угроз (т.е. условий и факторов, которые могут стать причиной нарушения целостности системы, ее конфиденциальности, а также облегчить несанкционированный доступ к ней) и уязвимостей (слабых мест в защите, которые делают возможной реализацию угрозы), а также количественно обоснованное определение комплекса контрмер, обеспечивающего достаточный уровень защищенности АС. При оценивании рисков учитываются многие факторы: ценность ресурсов, значимость угроз, уязвимостей, эффективность имеющихся и планируемых средств защиты и многое другое.

В настоящее время технологии анализа рисков в России развиты слабо. Основная причина такого положения состоит в том, что в российских нормативных документах не рассматривается аспект рисков, их допустимый уровень и ответственность за принятие определенного уровня рисков. Информационная система, в зависимости от своего класса, должна обладать подсистемой безопасности с определенными формальными свойствами. Анализ рисков, как правило, выполняется формально, с использованием собственных методик неизвестного качества. В развитых зарубежных странах это не так. К примеру, в американском глоссарии по безопасности можно найти термин: Designated Approving Authority – лицо, уполномоченное принять решение о допустимости определенного уровня рисков. Вопросам анализа рисков уделяется серьезное внимание: десятилетиями собирается статистика, совершенствуются методики.

Однако и у нас в стране положение начинает меняться. Среди отечественных специалистов служб информационной безопасности зреет понимание необходимости проведения такой работы. В первую очередь это относится к крупным коммерческим структурам, то есть к тем, кто в первую очередь обязан серьезно заботиться о безопасности своих информационных ресурсов.

Про угрозы информационной безопасности написано достаточно в учебной и прочей отечественной литературе, поэтому основное внимание уделим классификации рисков с точки зрения их значимости для организации. Практически все риски вне зависимости от категорий, источников, подходов к управлению ими можно классифицировать с нескольких различных позиций.

Динамический риск − это риск случайных колебаний результатов деятельности как в лучшую, так и в худшую строну, не способные значимо повлиять на жизнеспособность организации. Статический риск − риск возникновения событий, ситуаций, в результате возникновения которых под угрозу ставится дальнейшая деятельность организации, жизнеспособность отдельных направлений деятельности, отдельных проектов. Это риск качественных, катастрофических потерь, в результате возникновения которых организация уже не сможет функционировать в прежнем режиме.

Представляет интерес классификация рисков с точки их отображения в модели рисков. Систематический риск − это риск, связанный с факторами, рассматриваемыми как значимые в рамках некоторой модели. Систематические риски не должны значимо снижаться с течением времени, в противном случае факторы, их определяющие, целесообразно игнорировать и данные риски могут быть отнесены к несистематическим. Систематические риски являются основным предметом исследования при оценке и управлении рисками.

Несистематический риск − риск, источники которого и чувствительность к которому не рассматриваются в рамках модели оценки и управления рисками. При построении адекватной модели несистематические риски не должны приводить к сколько либо значимым потерям, и при большом их числе не должны быть связаны друг с другом. В отношении несистематических рисков действует закон больших чисел, они выявляются при анализе отдельных элементов деятельности организации на каком-то небольшом промежутке времени в совокупности в целом по организации или с течением времени. Их вклад в возможные потери стремится в дальнейшем к нулю. Несистематические риски, как правило, игнорируются при решении задач оценки и управления рисками.

Каждая конкретная организация имеет свой спектр рисков и соответственно - возникающие задачи по их предотвращению или минимизации негативных последствий. В то же время организации с позиций риск-менеджмента имеют и нечто общее - некий «каркас», вид риска, характеризуемый в трех измерениях: 1) ценность, находящаяся под угрозой; 2) источник, который может вызвать потерю этой ценности; 3) финансовые или иные последствия потери.

В настоящее время используются два подхода к анализу рисков. Их выбор зависит от оценки собственниками ценности своих информационных ресурсов и возможных последствий нарушения режима информационной безопасности. В простейшем случае собственники информационных ресурсов могут не оценивать эти параметры. Неявно предполагается, что ценность защищаемых ресурсов с точки зрения организации не является чрезмерно высокой. В этом случае анализ рисков производится по упрощенной схеме: рассматривается стандартный набор наиболее распространенных угроз безопасности без оценки их вероятности и обеспечивается минимальный или базовый уровень информационной безопасности.

Обычной областью использования этого уровня являются типовые проектные решения. Существует ряд стандартов и спецификаций, в которых рассматривается минимальный (типовой) набор наиболее вероятных угроз, таких как вирусы, сбои оборудования, несанкционированный доступ и т. д. Для нейтрализации этих угроз должны быть приняты контрмеры вне зависимости от вероятности их осуществления и уязвимости ресурсов. Таким образом, характеристики угроз на базовом уровне рассматривать не обязательно.

Полный вариант анализа рисков применяется в случае повышенных требова­ний в области информационной безопасности. В отличие от базового варианта в том или ином виде производится оценка ценности ресурсов, характеристик рисков и уязвимостей ресурсов. Как правило, проводится анализ стоимость/эффективность нескольких вариантов защиты.

Рассмотрим основные этапы полного анализа рисков. Прежде всего должны быть установлены границы исследования. Следует разделить рассматриваемые ресурсы и внешние элементы, с которыми осуществляется взаимодействие. Ресур­сами могут быть средства вычислительной техники, программное обеспечение, данные. Примерами внешних элементов являются сети связи, внешние сервисы и т.п. Ресурсы должны быть проанализированы с точки зрения оценки воздействия возможных атак (спланированных действий внутренних или внешних злоумыш­ленников) и различных нежелательных событий естественного происхождения. Такие потенциально возможные события обычно называются угрозами безопасности.

Между ресурсами, очевидно, существуют взаимосвязи. Например, выход из строя какого-либо оборудования может привести к потере данных или выходу из строя другого критически важного элемента системы. Подобные взаимосвязи необходимо учитывать, для чего строится модель АС организации с точки зрения информационной безопасности. Эта модель обычно строится следующим образом. Для выделенных ресурсов определяется их ценность как с точки зрения ассоциированных с ними возможных финансовых потерь, так и с точки зрения ущерба репутации организации, дезорганизации ее деятельности, нематериального ущерба от разглашения конфиденциальной информации и т.д. Затем описываются взаимосвязи ресурсов, определяются угрозы безопасности и оцениваются вероятности их реализации.

На основе построенной модели можно обоснованно выбрать систему контрмер, снижающих риски до допустимых уровней и обладающих наибольшей ценовой эффективностью. Частью системы контрмер должны являться рекомендации по проведению регулярных проверок эффективности системы защиты.

Обеспечение повышенных требований к информационной безопасности предполагает соответствующие мероприятия на всех этапах жизненного цикла информационных технологий. Планирование этих мероприятий производится по завершении этапа анализа рисков и выбора контрмер. Обязательной составной частью этих планов является периодическая проверка соответствия существующего режима политике безопасности, сертификация информационной системы (технологии) на соответствие требованиям определенного стандарта безопасности. Все перечисленное и есть управление рисками.

При выполнении полного анализа рисков приходится решать ряд сложных проблем. Процесс оценивания рисков содержит несколько этапов:

- идентификация ресурса и оценивание его количественных показателей или определение потенциального негативного воздействия на бизнес;

- оценивание угроз;

- оценивание уязвимостей;

- оценивание существующих и предполагаемых средств обеспечения информационной безопасности;

- оценивание рисков.

На основе оценивания рисков выбираются средства, обеспечивающие режим информационной безопасности. Ресурсы, значимые для бизнеса и имеющие определенную степень уязвимости, подвергаются риску, если по отношению к ним существует какая-либо угроза. При оценивании рисков учитываются возможное негативное воздействие от нежелательных происшествий и показатели значимости рассматриваемых уязвимостей, а также угроз для них.

Ресурсы обычно подразделяются на несколько классов, например, физические, программные и данные. Для каждого класса должна существовать своя методика оценки ценности элементов. Для оценки ценности ресурсов выбирается подходящая система критериев. Кроме критериев, учитывающих финансовые потери, в организациях могут присутствовать критерии, отражающие:

- ущерб репутации организации;

- неприятности, связанные с нарушением действующего законодательства;

- ущерб для здоровья персонала;

- ущерб, связанный с разглашением персональных данных отдельных лиц;

- потери, связанные с невозможностью выполнения обязательств;

- ущерб от дезорганизации деятельности.

Могут использоваться и другие критерии в зависимости от профиля организации. К примеру, в правительственных учреждениях могут добавляться критерии, отражающие такие области, как национальная безопасность и международные отношения.

Кроме того, необходимо идентифицировать уязвимости – слабости в системе защиты, которые делают возможным реализацию угроз.

Для того чтобы конкретизировать вероятность реализации угрозы, рассматривается некоторый отрезок времени, в течение которого предполагается защищать ресурс. Вероятность того, что угроза реализуется, определяется следующими факторами:

- привлекательностью ресурса (этот показатель учитывается при рассмотрении угрозы умышленного воздействия со стороны человека);

- возможностью использования ресурса для получения дохода (показатель учитывается при рассмотрении угрозы умышленного воздействия со стороны человека);

- простотой использования уязвимости при проведении атаки.

В настоящее время известно множество методов оценивания угроз. Существует множество методик анализа рисков.

Применение каких-либо инструментальных средств не является обязательным, однако позволяет уменьшить трудоемкость анализа рисков и выбора контрмер. В настоящее время на рынке есть около двух десятков программных продуктов для анализа рисков: от простейших, ориентированных на базовый уровень безопасности, до сложных и дорогостоящих, позволяющих реализовать полный вариант анализа рисков и выбрать комплекс контрмер требуемой эффективности.

Примерами программных продуктов этого класса являются CRAMM (разработчик — компания Logica, Великобритания), MARION (разработчик CLUSIF, Франция), RiskWatch (США). Обязательным элементом этих продуктов является база данных, содержащая информацию по инцидентам в области информационной безопасности, позволяющая оценить риски и уязвимости, эффективность различных вариантов контрмер в определенной ситуации.

Один из возможных подходов к разработке подобных методик − накопление статистических данных о реальных происшествиях, анализ и классификация их причин, выявление факторов риска. На основе этой информации можно оценить угрозы и уязвимости в других информационных системах.

Практические сложности в реализации этого подхода следующие.

Во-первых, должен быть собран весьма обширный материал о происшествиях в этой области.

Во-вторых, применение этого подхода оправдано далеко не всегда. Если информационная система достаточно крупная (содержит много элементов, расположена на обширной территории), имеет давнюю историю, то подобный подход скорее всего применим. Если система сравнительно невелика, использует только новейшие элементы технологии (для которых пока нет достаточной статистики), оценки рисков и уязвимостей могут оказаться недостоверными.       

 Рассмотренная методология анализа рисков и управления ими полностью применима и в российских условиях при соблюдении ряда условий. Особенно полезным представляется использование инструментальных средств типа метода CRAMM при проведении анализа рисков информационных систем с повышенными требованиями в области информационной безопасности. Это позволяет получать обоснованные оценки рисков, уязвимостей, эффективности защиты. Существенным достоинством таких методов является возможность проведения исследования в сжатые сроки с документированием результатов.

Итак, следует отметить, что для проведения высококачественного анализа и оценки рисков обязательна разработка собственных методик (с использованием существующих рекомендаций и методик), как правило, подобные методики закрыты и составляют ноу-хау компании, предоставляющей свои услуги в области информационной безопасности.

Большим сдерживающим фактором при проведении количественной оценки рисков является высокая стоимость таких работ, которая может превышать выгоду от реализации рекомендаций по управлению рисками. Также большая длительность количественного анализа рисков в значительной мере обесценивает его результаты, поскольку на практике состояние работающей АС постоянно меняется.


Библиографический список

1. ГОСТ Р ИСО/МЭК 15408-1-2002 Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий

2. Петренко С.А. , Симонов С.В. Управление информационными рисками. Экономически оправданная безопасность. –М.: Компания АйТи; ДМК Пресс, 2004.

3. Закон Российской Федерации от 27.12.2002 № 184-ФЗ «О техническом регулировании».

4. С. Симонов. Технологии и инструментарий для управления рисками.- Jet Info, 2, 2003

5. Мельников Ю. Общие принципы защиты банковской информации. Банковские технологии, №1.- 1997.

6. Гайкович В. Роль консалтинга в сфере информационной безопасности только возрастает - www.rbc.ru

7. Симонов С. Современные технологии анализа рисков в информационных системах - www.pcweeek.ru

8. www.finrisk.ru

9. www.franklin-grant.ru

10. www.md.mos.ru

11. www.usam.md

  1   2   3   4   5   6   7

Добавить в свой блог или на сайт

Похожие:

Секция Техническое регулирование информационной безопасности iconУчебно-методический комплекс дисциплины Правовое регулирование финансово-информационной безопасности Для студентов юридического факультета
Учебно-методический комплекс дисциплины «Правовое регулирование финансово-информационной безопасности» / сост. В. И. Ступаков. М....

Секция Техническое регулирование информационной безопасности iconУрок по информатике и праву в 11 классе (2 часа)
Тема «Правовое регулирование в информационной сфере. Проблема информационной безопасности»

Секция Техническое регулирование информационной безопасности icon«Информационная безопасность» Москва мгту им. Н. Э. Баумана
В «Доктрине информационной безопасности Российской Федерации» сформулированы основные задачи по обеспечению информационной безопасности,...

Секция Техническое регулирование информационной безопасности icon1. теоретические основы информационной безопасности предприятия
Понятие информационной безопасности предприятия. Роль информационной безопасности в бизнесе

Секция Техническое регулирование информационной безопасности iconР. В. Мещеряков основы информационной безопасности
«0755 — Комплексное обеспечение информационной безопасности автоматизированных систем»

Секция Техническое регулирование информационной безопасности iconОтветы на вопросы к экзамену
Информационная безопасность. Основные определения. Базовые свойства защищаемой информации. Методы обеспечения информационной безопасности....

Секция Техническое регулирование информационной безопасности iconЭкзаменационные вопросы интернет-курсов интуит (intuit): 134. Менеджмент в сфере информационной безопасности
Анализ состояния информационной безопасности в интересах Конгресса США осуществляет

Секция Техническое регулирование информационной безопасности iconАудит информационной безопасности предприятий и систем учебное пособие Тула,2008 Содержание
Международные правовые аспекты, стандарты и руководства по основам аудита информационной безопасности

Секция Техническое регулирование информационной безопасности iconОб администраторе информационной безопасности
Настоящее Положение определяет задачи, функции, обязанности, права и ответственность администратора информационной безопасности участника...

Секция Техническое регулирование информационной безопасности icon«наука и молодежь – 20 10» секция информационные технологии п одсекция вычислительные системы и информационная безопасность
Бондаренко А. Ю., Архипова А. Б., Белов В. М. Разработка программного обеспечения по оценке качества педагогической деятельности...


Разместите кнопку на своём сайте:
lib.convdocs.org


База данных защищена авторским правом ©lib.convdocs.org 2012
обратиться к администрации
lib.convdocs.org
Главная страница