- •Формирование технологической среды сферы информатизации предприятия
- •Развитие информационной системы и обеспечение ее обслуживания
- •Планирование в сфере информатизации
- •Организация сферы информатизации
- •Мотивация в сфере информатизации
- •Контроль использования вычислительных средств
- •Разработка инновационных программ
- •Управление затратами в сфере информатизации
- •Показатели безотказности невосстанавливаемых систем
- •Показатели ремонтопригодности
- •План n,б,r
- •Модель Symantec LifeCycle Security
Модель Symantec LifeCycle Security
Модель Lifecycle Security состоит из семи основных этапов:
Политики безопасности, стандарты, процедуры и метрики. На этом этапе определяются границы и рамки, в которых осуществляются мероприятия по обеспечению информационной безопасности, и задаются критерии для оценивания полученных результатов.
Анализ рисков. Этот этап является своего рода отправной точкой для установления и поддержки эффективного управления системой защиты. По данным анализа рисков удается подробно описать состав и структуру информационной системы (если по каким-то причинам это не было сделано ранее), ранжировать имеющиеся ресурсы по приоритетам, базируясь на степени их важности для нормальной работы предприятия, выявить угрозы и идентифицировать уязвимости системы.
Стратегический план построения системы защиты Наличие подобного плана помогает распределить по приоритетам бюджеты и ресурсы, а в последующем выбрать средства защиты информации и разработать стратегию и тактику их внедрения.
Выбор и внедрение решений.
Обучение персонала.
Мониторинг защиты. Данный этап помогает выявить аномалии или вторжения в корпоративную информационную систему, а также позволяет оперативно контролировать эффективность системы защиты информации.
Разработка методов реагирования в случае инцидентов и восстановление.
При этом этапу анализа информационных рисков в данной модели отводится достаточно важная роль. Анализ рисков рекомендуется проводить в случаях:
обновления информационной системы или существенных изменений в ее структуре;
перехода на новые информационные технологии построения КИС;
организации новых подключений в компании (например, подключения локальной сети филиала к сети головного офиса);
подключения к глобальным сетям (в первую очередь к Internet);
изменений в стратегии и тактике ведения бизнеса (например, при открытии электронного магазина);
проверки эффективности корпоративной системы защиты информации.
Ключевыми моментами анализа информационных рисков КИС являются:
подробное документирование и картирование системы, причем особое внимание необходимо уделять критически важным для бизнеса приложениям;
определение степени зависимости организации от штатного функционирования и структурных элементов системы, безопасности хранимых и обрабатываемых данных;
обнаружение и учет уязвимых мест;
выявление и учет потенциальных угроз;
оценка и учет информационных рисков;
оценка потенциального ущерба собственникам информации и КИС в целом.
Методики и программные продукты, применяемые при оценке рисков.
Исследование ИБ системы с помощью CRAMM проводится в несколько этапов .
На первой стадии Initiation, производится формализованное описание границ информационной системы, ее основных функций, категорий пользователей, а также персонала, принимающего участие в обследовании.
На стадии идентификации и оценки ресурсов, Identification and Valuation of Assets, описывается и анализируется все, что касается идентификации и определения ценности ресурсов системы.
Стадия оценивания угроз и уязвимостей. Эта стадия выполняется при проведении полного анализа рисков. В конце стадии заказчик получает идентифицированные и оцененные уровни угроз и уязвимостей для своей системы.
Стадия анализа рисков, Risk Analysis, позволяет оценить риски либо на основе сделанных оценок угроз и уязвимостей при проведении полного анализа рисков, либо путем использования упрощенных методик для базового уровня безопасности.
На стадии управления рисками, Risk Management, производится поиск адекватных контрмер. По существу речь идет о нахождении варианта системы безопасности, наилучшим образом удовлетворяющей требованиям заказчика.
Ценность ресурсов
Метод позволяет установить ценность ресурсов. Этот шаг является обязательным в полном варианте анализа рисков. Ценность физических ресурсов в данном методе зависит от цены их восстановления в случае разрушения. Ценность данных и программного обеспечения определяется в следующих ситуациях:
Для данных и программного обеспечения выбираются применимые к исследуемой ИС критерии, дается оценка ущерба по шкале со значениями от 1 до 10.
Для оценки возможного ущерба рекомендуется воспользоваться некоторыми из перечисленных критериев;
ущерб репутации организации;
нарушение действующего законодательства;
ущерб для здоровья персонала;
ущерб, связанный с разглашением персональных данных отдельных лиц;
финансовые потери от разглашения информации;
финансовые потери, связанные с восстановлением ресурсов;
потери, связанные с невозможностью выполнения обязательств;
дезорганизация деятельности.
Ущерб для здоровья персонала:
2 - минимальный ущерб (последствия не связаны с госпитализаций или длительным лечением);
4 - ущерб среднего размера (необходимо лечение для одного или нескольких сотрудников, но длительных отрицательных последствий нет);
6 - серьезные последствия (продолжительная госпитализация, инвалидность одного или нескольких сотрудников);
10 - гибель людей.
На стадии оценивания угроз и уязвимостей:
оценивается зависимость пользовательских сервисов от определенных групп ресурсов;
оценивается существующий уровень угроз и уязвимостей;
анализируются результаты.
Уровень угроз оценивается, в зависимости от ответов, как (см. рис. 4.10):
очень высокий;
высокий;
средний;
низкий;
очень низкий.
На основе этой информации рассчитываются уровни рисков в дискретной шкале с градациями от 1 до 7 (этап анализа рисков).
FRAP более подробно раскрываются пути получения данных о системе и ее уязвимостях.
Этапы оценки рисков:
Определение защищаемых активов производится с использованием опросных листов, изучения документации на систему, использования инструментов автоматизированного анализа (сканирования) сетей.
Идентификация угроз.
Оценка уровня риска для незащищенной ИС посредством сопоставления вероятностей возникновения.
Определение контрмер, позволяющих устранить риск или свести его до приемлемого уровня.
Документирование.