Часть 3. Организационно-техническое обеспечение информационной безопасности

ЧАСТЬ 3. организационно-техниЧеское обеспеЧение ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

АДМИНИСТРАТИВНЫЙ УРОВЕНЬ ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

После определения правовых основ безопасности автоматизированных (АС) следует осуществление практических мероприятий по созданию системы обеспечения безопасности информации (ОБИ). Указанные мероприятия включают следующие этапы [14, 24, 45, 56, 57, 60, 62, 70]:

1. Разработка политики безопасности;

2. Проведение анализа рисков;

3. Планирование обеспечения информационной безопасности;

4. Планирование действий в чрезвычайных ситуациях;

5. Подбор механизмов и средств обеспечения информационной безопасности.

Первые два этапа обычно трактуются как выработка политики безопасности и составляют так называемый административный уровень системы ОБИ предприятия.

Третий и четвертый этапы заключаются в разработке процедур безопасности. На этих этапах формируется уровень планирования системы ОБИ.

На последнем этапе практических мероприятий определяется программно-технический уровень системы ОБИ.

Законы и стандарты в области информационной безопасности являются лишь отправным нормативным базисом системы ОБИ информационной системы. Основой практического построения интегрированной системы является создание административного уровня системы, определяющее генеральное направление работ по ОБИ.

Целью административного уровня является разработка программы работ в области информационной безопасности и обеспечение ее выполнения. Программа представляет официальную политику безопасности, отражающую собственный концептуальный подход организации к ОБИ. Конкретизация политики безопасности выражается в планах по информационной защите АС.

Проведение анализа риска

Использование АС связано с определенной совокупностью рисков, под которыми понимается стоимостные выражения событий (обычно вероятностных), ведущих к потерям. Если риск не приемлем, то необходимо предпринять защитные меры, не превышающие по стоимости возможный ущерб.

Анализ риска главным образом необходим для следующего:

· выявления уязвимости АС и ее системы защиты,

· определения необходимых и достаточных затрат на ОБИ,

· выбора конкретных мер, методов, средств и систем защиты,

· повышения информированности и компетентности персонала АС.

В целом, периодический анализ риска необходим для планирования компромисса между степенью безопасности АС и ее качественными характеристиками, как-то: стоимость, производительность, функциональность, удобство работы, масштабируемость, совместимость и др.

Основные этапы анализа риска

Работа по анализу риска состоит в том, чтобы оценить величину рисков, выработать меры по их уменьшению и затем убедиться, что риски заключены в приемлемые рамки. Алгоритм анализа риска представлен на рисунке 6.1.

Анализ риска — процесс нелинейный и взаимосвязанный. Практически все его этапы связаны между собой, и по завершении почти любого из них может выявиться необходимость возврата к предыдущему.

Выбор анализируемых объектов и степени детализации

Выбор методологии оценки рисков

Идентификация активов

Анализ угроз и уязвимости защиты

Оценка рисков

Выбор защитных мер

Реализация и проверка выбранных мер

Оценка остаточного риска

 

Рис. 6.1. Алгоритм анализа риска

Предварительный этап анализа риска

На начальном этапе методом экспертной оценки решаются общие вопросы проведения анализа риска.

Первым делом выбираются компоненты АС и степень детальности их рассмотрения. Всеобъемлющий анализ требует рассмотрения всей информационной инфраструктуры. Но на практике из принципа разумной достаточности могут быть выделены и подвергнуты большей детализации отдельные наиболее важные компоненты и службы, в первую очередь, где риски велики или неизвестны. Более тщательному анализу подвергаются новые и модифицированные компоненты АС, а также компоненты, где имели место новые инциденты и нарушения безопасности.

Далее выбираются методологии оценки рисков как процесса получения количественной или качественной оценки ущерба, который может произойти в случае реализации угроз безопасности АС. Методологии носят частный характер, присущий организации и АС, и зависят от конкретного множества дестабилизирующих факторов и условий функционирования АС, возможности их количественной оценки, степени их неточности, неполноты, нечеткости и т.д. На практике, с учетом допустимой приближенной оценки рисков, часто используют простые наглядные методы, основанные на элементах теории вероятности и математической статистики.

Идентификация активов

Основу процесса анализа риска составляет определение: что надо защищать, от кого и как. Для этого выявляются активы (компоненты АС), нуждающиеся в защите. Некоторые активы (например, технические и программные средства) идентифицируются очевидным образом. Про некоторые активы (люди, расходные материалы) часто забывают. При идентификации активов могут быть затронуты и нематериальные ценности, способные, однако, пострадать от нарушения режима безопасности, например: репутация компании, моральный климат в коллективе.

В таблице 6.2. представлены основные категории активов АС предприятия.

 

Таблица 6.2.

Анализ угроз

После идентификации активов АС следует рассмотреть все возможные угрозы указанным активам, оценить риски и ранжировать их по степени возможного ущерба.

Под угрозой обычно понимают любое событие (действие), которое потенциально может нанести ущерб АС путем нарушения нарушению конфиденциальности, целостности или доступности информации. Угрозы могут быть преднамеренными, являющимися следствием умышленных (злонамеренных) действий людей, и непреднамеренные, вызванные ошибками человека или сбоями и отказами работы технических и программных средств, или стихийными действиями.

В таблице 6.3. приведены примеры общих угроз, способных привести к нарушению конфиденциальности, целостности и доступности информации.

 

Таблица 6.3.

Примеры угроз информационной системы

	Объекты воздействия
Реализация угроз	Информацион-ное обеспечение	Программное обеспечение	Техническое обеспечение	Персонал
Нелегальное ознакомление (чтение)	НСД, копирование, размножение, хищение, перехват, дешифрование	НСД, внедрение вирусов и закладок, использование дефектов, ошибки	НСД, внедрение закладок, нарушение режимов работы, хищение носителей, отказы, ошибки	некомпетентность, халатность, разглашение, подкуп, вербовка
Несанкционированное уничтожение или модификация	НСД, искажение, удаление, модификация	НСД, внедрение вирусов и закладок, использование дефектов, ошибки	НСД, внедрение закладок, нарушение режимов работы, отказы, ошибки	некомпетентность, халатность, подкуп, вербовка
Отказ в обслуживании	НСД, удаление, искажение адресации	НСД, искажение, удаление, подмена, внедрение вирусов и закладок, использование дефектов, ошибки	НСД, внедрение закладок, разрушение, перегрузка, выход из строя, нарушение режимов работы, отказы, ошибки	некомпетентность, халатность, нарушение режимов работы, болезнь

 

В реальной жизни список существенно полнее и конкретнее. Например, распространенными угрозами в среде Интернет являются:нарушение работы сетевых устройств и служб, макровирусы, передаваемые вместе с присоединяемыми файлами электронной почты, вандалы — плохо отлаженные апплеты Java и ActiveX, перехват электронной почты, взлом корпоративных сетей, кража или неавторизованное изменение корпоративной информации.

При анализе угроз необходимо выявить их источники (см. табл. 6.4) и условия реализации. Это поможет в выборе дополнительных средств защиты. Часто одни угрозы могут быть следствием или условием проявления ряда других угроз. Например, несанкционированный доступ (в различных формах его проявления) к ресурсам облегчает реализацию практически любой угрозы: от порчи магнитного носителя до комплексной удаленной атаки.

 

Таблица 6.4.

Оценка рисков

После идентификации угрозы необходимо оценить риск проявления угрозы. В большинстве случаев возможно получить количественную оценку риска. Она может быть получена на базе экспертного опроса, оценена статистически или рассчитана по некоторой математической зависимости (адекватной конкретной угрозе конкретному активу).

Кроме вероятности осуществления угрозы, важен размер ожидаемых потерь. В общем случае ожидаемые потери рассчитываются по следующей формуле: e = p·v, где p — вероятностная оценка риска проявления угрозы, v — ущерб при реализации угрозы. Однако, как вероятности угрозы, так и ожидаемые потери не всегда можно оценить количественно. Например, рассчитать замену компьютера достаточно просто, но трудно оценить потенциальный ущерб в случае задержки выдачи данных, искажения информации, разглашения отдельных сведений и т.д. Некоторые инциденты могут нанести ущерб репутации фирмы, вызвать социальную напряженность в коллективе, повлечь юридическое преследование предприятия со стороны пользователей и т.д.

Приведем примеры простых способов оценки вероятностей проявления угроз и возможных потерь:

1. Экспертная оценка событий. Методы экспертных оценок применяются при оценке трудно предсказуемых угроз, например стихийных бедствий, и являются самыми неточными.

2. Методика определения приемлемости уровня риска по трехбалльной шкале [45]. Согласно методике, оцениваемым рискам и ущербам ставятся оценки по трехбалльной шкале {1, 2, 3}. Полученные два множества оценок рисков и ущербов перемножаются. Множество возможных значений будет следующим: {1, 2, 3, 4, 6, 9}. Полагается, что первые два значения характеризуют низкий уровень риска, третий и четвертый — средний, два последних — высокий.

3. Методика определения приемлемости уровня риска с учетом видимости угроз и их последствий [60]. Здесь вводится понятие видимости угрозы для внешнего мира — мера информации о системе, доступной злоумышленнику (и вызывающей нездоровый интерес). Согласно указанной методике, оцениваемым рискам, видимости, физическим ущербам и моральным ущербам ставятся оценки по трехбалльной шкале {1, 2, 3}. Значения рисков умножаются на значения для видимости, а значения для физического ущерба умножаются на значения для морального ущерба. Затем полученные два числа складываются. Считается, что уровень риска низкий, если итоговое число меньше 7, высокий, если итоговое число больше 11, иначе — средний.

4. Статистическая оценка событий и использование статистических моделей (отражающих законы распределения конкретных типов угроз). Данный метод позволяет получить приемлемые результаты для оценки часто проявляемых регистрируемых угроз, например: сбоев и отказов вычислительного процесса.

5. Использование аналитических моделей (возможно в виде таблиц) потенциального ущерба в зависимости от заранее определенных коэффициентов. Примером может быть модель IBM [84], где логарифмическая степень возможных потерь приближенно вычисляется по следующей формуле:

E» (0.3)(10^P+V-3),

где: V » log₁₀v — коэффициент, характеризующий значение возможного ущерба при реализации угрозы;

P» 3 + log₁₀3p — коэффициент, характеризующий возможную частоту возникновения соответствующей угрозы.

Физически коэффициент P представляет логарифмическую частоту угрозы, рассчитываемую согласно следующей таблице.

 

Таблица 6.5.

ЧАСТЬ 3. организационно-техниЧеское обеспеЧение ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ