6.4. Моделі

Відомо, що існує багато моделей для керування безпекою інформаційних технологій. Моделі представляють концепції, необхідні для розуміння процесів керування безпекою у інформаційних технологій. Описувані моделі:

– залежності елементів безпеки;

– залежності керування ризиком;

– керування процесом безпеки інформаційних технологій.

Концепції, що їх попередньо представляють, і бізнесові цілі організації спільно формують плани, стратегії і методики для убезпечнюваня інформаційних технологій організації. Змінювання цілей має гарантувати, що організація буде здатна до ділової активності з допустимими рівнями ризику. Будь-яка безпека не може бути цілком ефективна, і тому важливо наперед планувати дії з відновлювання після небажаного інциденту і структурувати безпеку, щоб обмежити ступінь ушкодженості.

Безпека системи інформаційних технологій є багатовимірною проблемою, яку розглядають у різних аспектах. Тому, щоб визначити і реалізувати загальну й чітку стратегію і методики безпеки інформаційних технологій, організація має брати до уваги всі доречні аспекти. Рис. 7.1 показує, що активи є потенційними об’єктами для численних загроз. Цей набір загроз з часом змінюється і лише частково відомий.

Ця модель представляє:

– оточення з загрозами, що постійно змінюються і тільки частково відомі;

– активи організації;

– уразливості цих активів;

– засоби безпеки активів і зменшення наслідків уражень;

– засоби безпеки, що зменшують ризики;

– залишкові ризики, прийняті організацією як припустимі.

Як показано на рис. 7.1, деякі засоби безпеки можуть бути ефективними для зменшення ризиків, пов’язаних із множинними загрозами і (або) множинними вразливостями. Іноді потрібні декілька засобів безпеки, щоб звести залишковий ризик до допустимого рівня. У деяких випадках, коли ризик допустимий, немає потреби застосовувати засоби безпеки, навіть якщо є загрози. В інших випадках уразливість може існувати, але не обов’язкова наявність відомих загроз щодо неї. Засоби безпеки можуть забезпечувати контролювання наявності загроз в оточенні, щоб запобігти ураженню у разі прояву загрози.

Обмеження, не показані на рис. 7.1, впливають на вибір засобів безпеки.

Рис. 7.1. Залежності елементів безпеки (Р – ризик, ЗР – залишковий ризик, ЗС – засіб захисту, З – загроза, В – вразливість)

Рис. 7.2 ілюструє залежність між елементами безпеки, тісно пов’язаними з керуванням ризиком. Для ясності відображені тільки основні залежності.

Рис.7.2. Залежність у керуванні ризиком (Напис на стрільці між будь-якими полями вказує на залежність між ними)

Рис. 7.3, 7.4 та 7.5 відображають залежності між необхідними умовами безпеки і загрозами, уразливостями і вартістю активів відповідно. На цих рисунках проілюстровано перспективи деяких підходів до керування безпекою інформаційних технологій. Однак такі підходи можуть не враховувати деякі важливі аспекти.

Рис. 7.3. Залежності у керуванні ризиком у аспекті загроз

Рис. 7.4. Залежності у керуванні ризиком у аспекті вразливостей

Рис. 7.5 Залежності у керуванні ризиком у аспекті ураження

Керування безпекою інформаційних технологій є тривалим процесом, що має враховувати весь життєвий цикл системи безпеки (рис. 7.6)

Рис. 7.6. Керування процесом безпеки інформаційних технологій

Запитання для самоконтролю

1. Які дії містить процес керування безпекою інформаційних технологій?

2. Як треба приймати цілі безпеки, стратегії і методики?

3. Що містить методика безпеки по суті?

4. Що належать до активів організації?

5. Як можуть варіювати обсяги шкоди заподіяні загрозою?

6. Як можна отримати кількісні і якісні характеристики ураження?

7. Наведіть приклади засобів безпеки?

8. Що є метою настроювання з погляду безпеки?

9. Що містять зміни в системах інформаційних технологій?

10. Що є метою програми компетентності безпеки?

11. Які етапи має програми компетентності безпеки в межах організації?