5. Выбор защитных мер
Система защиты строится комплексно, включает контрмеры разных уровней (программно-технические, административные, организационные). Для облегчения выбора комплекса контрмер в различных методиках используются таблицы, в которых классам угроз соответствуют возможные контрмеры. Ниже приводится пример классификатора контрмер, CRAMM 4:
Подобные классификаторы позволяют автоматически выбирать и предлагать конкретные варианты контрмер, возможных для рассматриваемой информационной системы. Таким образом, владелец информационных ресурсов может выбирать из них приемлемые для себя варианты.
Можно представить себе ситуацию, когда для нейтрализации риска не существует эффективных и приемлемых по цене мер. Например, компания, базирующаяся в сейсмически опасной зоне, не всегда может позволить себе строительство защищенной штаб-квартиры. В таком случае приходится поднимать планку приемлемого риска и переносить центр тяжести на смягчение последствий и выработку планов восстановления после аварий, стихийных бедствий и иных происшествий. Продолжая пример с сейсмоопасностью, можно рекомендовать регулярное тиражирование данных в другой город и овладение средствами восстановления первичной базы данных.
6. Реализация и проверка выбранных мер. Следующий шаг – оценка эффективности контрмер.
Оценка эффективности мер защиты
Когда намеченные меры приняты, необходимо проверить их действенность, то есть убедиться, что остаточные риски стали приемлемыми. Если это на самом деле так, значит, можно спокойно намечать дату ближайшей переоценки. В противном случае придется проанализировать допущенные ошибки и провести повторный сеанс управления рисками немедленно.
Задача оценки эффективности контрмер является не менее сложной, чем оценка рисков. Причина в том, что оценка эффективности комплексной подсистемы безопасности, включающей контрмеры разных уровней (административные, организационные, программно-технические), в конкретной информационной системе – методологически чрезвычайно сложная задача. По этой причине обычно используются упрощенные, качественные оценки эффективности контрмер. Примером является следующая таблица типичных значений эффективности контрмер, применяемых в методе анализа рисков RiskWatch.
Таблица 4. Ориентировочная эффективность мероприятий в области защиты информации по критерию ROI (Return of Investment – возврат вложений)
Разработка и внедрение политики информационной безопасности |
2 |
Мероприятия по работе с персоналом (наведение справок, контроль за поведением и т. п.) |
3 |
Совершенствование организационной структуры |
4 |
Анализ рисков |
5 |
Управление жизненным циклом (управление рисками) |
5 |
Совершенствование должностных инструкций и условий контрактов |
5 |
Меры контроля за посетителями |
6 |
Управление имуществом компании |
7 |
Обучение персонала и контроль за соблюдением режима ИБ |
9 |
Меры контроля за работой приложений |
10 |
Указанные в таблице значения являются ориентировочными оценками эффективности вложений в различные классы мероприятий в области защиты информации.
В ряде случаев используются более сложные таблицы, в которых эффективность зависит от определенных факторов. На основе подобных таблиц делаются качественные оценки эффективности контрмер.