Захист інформації від копіювання та руйнування.

Защита от копирования

Средства защиты от копирования предотвращают использование нелегальных копий программного обеспечения и являются в настоящее время единственно надежным средством — защищающим авторское право разработчиков. Под средствами защиты от копирования понимаются средства, обеспечивающие выполнение программой своих функций только при опознании некоторого уникального некопируемого элемента. Таким элементом (называемым ключевым) может быть определенная часть компьютера или специальное устройство.

Защита информации от разрушения

Одной из задач обеспечения безопасности для всех случаев пользования компьютером является защита информации от разрушения. Так как причины разрушения информации весьма разнообразны (несанкционированные действия, ошибки программ и оборудования, компьютерные вирусы и пр.), то проведение защитных мероприятий обязательно для всех, кто пользуется компьютером.

Необходимо специально отметить опасность компьютерных вирусов. Вирус компьютерный — небольшая, достаточно сложнаяя и опасная программа, которая может самостоятельно размножаться, прикрепляться к чужим программам и передаваться по информационным сетям. Вирус обычно создается для нарушения работы компьютера различными способами — от «безобидной» выдачи какого-либо сообщения до стирания, разрушения файлов. Антивирус — программа, обнаруживающая и удаляющая вирусы

 

 

Існуючі підходи до управління ризиками.

 

Існуючі підходи до управління ризиками

 

Оскільки ризики інформаційної безпеки є основними далеко не для всіх організацій, що практикуються три основні підходи до управління цими ризиками, що розрізняються глибиною і рівнем формалізму.

Для некритичних систем, коли інформаційні активи є допоміжними, а рівень інформатизації не високий, що характерно для більшості сучасних російських компаній, що існує мінімальна необхідність в оцінці ризиків. У таких організаціях слід вести мову про деяке базовому рівні ІБ, що визначається існуючими нормативами та стандартами, кращими практиками, досвідом, а також тим, як це робиться в більшості інших організацій. Однак, існуючі стандарти, описуючи деякий базовий набір вимог і механізмів безпеки, завжди обумовлюють необхідність оцінки ризиків та економічної доцільності застосування тих чи інших механізмів контролю для того, щоб вибрати з загального набору вимоги і механізмів ті з них, що застосовуються в конкретній організації.

Для критичних систем, в яких інформаційні активи не є основними, проте рівень інформатизації бізнес процесів дуже високий та інформаційні ризики можуть суттєво вплинути на основні бізнес-процеси, оцінку ризиків застосовувати необхідно, однак у цьому випадку доцільно обмежитися неформальними якісними підходами до вирішення цього завдання, приділяючи особливу увагу найбільш критичних систем.

Коли ж бізнес організації побудований навколо інформаційних активів і ризики інформаційної безпеки є основними, для оцінки цих ризиків необхідно застосовувати формальний підхід і кількісні методи.

У багатьох компаніях одночасно кілька видів активів можуть бути життєво важливими, наприклад, коли бізнес диверсифікований або компанія займається створенням інформаційних продуктів і для неї можуть бути однаково важливі і людські та інформаційні ресурси. У цьому випадку, раціональний підхід полягає в проведенні високорівневої оцінки ризиків, з метою визначення того, які системи схильні до ризиків у високому ступені і які мають критичне значення для ведення ділових операцій, з подальшим проведенням детальної оцінки ризиків для виділених систем. Для всіх інших некритичних систем доцільно обмежитися застосуванням базового підходу, приймаючи рішення з управління ризиками на основі існуючого досвіду, експертних висновків та кращої практики.

 

 

Оцінка ризиків.

Оцінка ризиків (risk assessment) - перший етап в управлінні системи інформаційної безпеки, призначений для ідентифікації джерел ризиків і визначення його рівня значущості. Оцінку розбивають на аналіз ризиків та оцінювання ризиків.

У рамках аналізу проводиться інвентаризація і категоризація захищаються ресурсів, з'ясовуються нормативні, технічні, договірні вимоги до ресурсів у сфері ІБ, а потім з урахуванням цих вимог визначається вартість ресурсів. У вартість входять всі потенційні витрати, пов'язані з можливою компрометацією захищаються ресурсів. Наступним етапом аналізу ризиків є складання переліку значущих загроз і вразливостей для кожного ресурсу, а потім обчислюється ймовірність їх реалізації. Стандарт допускає двояке тлумачення поняття загрози ІБ: як умова реалізації вразливості ресурсу (в цьому випадку уразливості і загрози ідентифікуються окремо) і як загальне потенційне подія, здатне привести до компрометації ресурсу (коли наявність можливості реалізації вразливості і є загроза). Не забороняється поділ загроз ІБ на загрози цілісності, доступності та конфіденційності.

Оцінювання ризику проводиться шляхом його обчислення і зіставлення із заданою шкалою. Обчислення ризику полягає в збільшенні ймовірності компрометації ресурсу на значення величини збитку, пов'язаного з його компрометацією. Зіставлення ризику виконується з метою спрощення процесу використання на практиці точкових значень ризику.

BS 7799-3 допускає використання як кількісних, так і якісних методів оцінки ризиків, але, на жаль, у документі немає обгрунтування та рекомендацій з вибору математичного і методичного апарату оцінки ризиків ІБ. Додаток до стандарту містить єдиний приклад, який умовно можна віднести до якісного методу оцінки. Даний приклад використовує три-і п'ятибальні оцінні шкали:

Оцінюються рівні вартості ідентифікованого ресурсу за п'ятибальною шкалою: «незначний», «низький», «середній», «високий», «дуже високий».

Оцінюються рівні ймовірності загрози по трьохбальной шкалою: «низький», «середній», «високий».

Оцінюються рівні ймовірності уразливості: «низький», «середній», «високий».

 

 

Кількісна оцінка ризиків.

Метою кількісної оцінки ризиків є обчислення об'єктивних числових значень кожного компонента, виявленого в ході оцінки ризиків і аналізу вигод і витрат. Наприклад, організація може оцінити реальну вартість кожного бізнес-активу з точки зору витрат на його заміну, збитку в показниках зниження продуктивності, збитку в показниках зниження ділової репутації і інших прямих і непрямих бізнес-цінностей. Цей же підхід слід застосовувати при визначенні схильності активу дії, вартості елементів контролю і інших величин, виявлених в ході управління ризиками.

Даний підхід містить декілька вад, які нелегко здолати. По-перше, не існує ефективного формалізованого методу, що дозволяє точно визначити вартості активів і елементів контролю. Іншими словами, не дивлячись на точність отриманих характеристик, що здається, фінансові показники фактично ґрунтуються на оцінках. Як, наприклад, точно визначити вплив проблеми з безпекою, що отримала широкий розголос, на імідж фірми? В деяких випадках цього можна добитися, проаналізувавши статистичні дані, проте частенько це неможливо.

По-друге, організації, що намагалися скрупульозно реалізувати всі аспекти кількісного підходу до управління ризиками, виявили, що це вимагає дуже великих витрат. Як правило, завершення першого повного циклу подібних проектів вимагає довгого часу, а в самі проекти залучено велике число співробітників, які не можуть погоджувати принципи обчислення конкретних фінансових показників. По-третє, організації, в яких схильність дії дорогих бізнес-активів може наводити до дуже великих збитків, можуть порахувати доцільним виділити значні додаткові кошти на зниження всіх ризиків, які можуть виникнути (хоча дана ситуація маловірогідна - організація не витрачатиме весь бюджет на захист одного активу або навіть п'яти основних активів).