Козьминых С.И. Организация защиты информации в ОВД. Ч. 2
.pdf131
проверки организации. При наличии только одного аудитора последний должен выполнятьвсепредусмотренныеобязанностируководителяаудиторскойгруппы.
Приопределенииразмераисоставааудиторскойгруппыдолжныучитываться:
–цели, область аудита ИБ, критерии аудита и его ориентировочная продолжительность;
–общаякомпетентностьиуровеньквалификацииаудиторскойгруппы;
–необходимостьисполненияпринциповпроведенияаудитаИБ;
–законодательные, регламентирующие, контрактные требования и требования органоваккредитации/сертификации, еслиприменимо;
–способность членов аудиторской группы к совместной работе и к эффективномувзаимодействиюспроверяемойорганизацией;
–понимание социальных и культурных особенностей проверяемой организации(достигаетсялибособственнымопытомаудитора, либоспомощьюэксперта).
Если в определенной области (по определенному вопросу) знаний аудиторской группы недостаточно, то недостающие знания и умения могут быть восполнены включением в группу экспертов. Эксперты должны работать под руководством аудитора.
Для взаимодействия с аудиторской группой руководством проверяемой организации должны быть назначены лица, на которых возлагается ответственность за своевременность, достоверность и полноту предоставления запрошенной аудиторами информации в объеме, не выходящем за пределы их полномочий и условий, определенныхдоговором.
Руководитель аудиторской группы должен установить первоначальный контакт с проверяемой организацией, который может быть неофициальным или официальным. Целипервоначальногоконтактаследующие:
–установлениеканаловсвязиспредставителямипроверяемойорганизации;
–подтверждениеполномочийнапроведениеаудитаИБ;
–предоставление информации по предполагаемымсрокам аудитаИБ и составу аудиторскойгруппы;
–запросдоступакнеобходимымдокументампроверяемойорганизации;
–определение применимых правил техники безопасности на месте проведения аудитаИБ;
–подготовкамероприятийаудитаИБ;
–достижение соглашения о присутствии со стороны проверяемой организации наблюдателейинеобходимостивсопровождающихдляаудиторскойгруппы.
Этап анализа документов проверяемой организации проводится аудиторской группой для определения соответствия положений, отраженных в документации организации, критериямаудитаИБ. Документацияможетсодержать:
–информацию об организационно-правовой форме и организационной структурепроверяемойорганизации;
–выдержки или копии необходимых юридических документов, соглашений и протоколов;
–политику, действующуюворганизации;
–информациюопроцессахорганизации;
–информациюоприменяемыхворганизациисредствах, втомчисле:
–аппаратныедиаграммы, чертежиимодели;
–программнуюдокументацию;
–спецификацииинтерфейсов;
132
–рабочиеинструкции;
–учебникидлятренировкиперсонала;
–описаниепроцедурсопровождения;
–вопросыснятиясэксплуатации;
–отчетыпопредыдущимаудитамИБ;
–любую другую документацию, в которой отражаются вопросы, регламентируемыеположениямидействующихстандартовинормативоввобластиИБ.
Анализ должен учитывать размер, тип и сложность организации, а также цели
иобласть аудита ИБ. Если документация признается неадекватной, то руководитель аудиторской группы должен сообщить об этом заказчику аудита ИБ и проверяемой организации. Аудиторской группой должно быть принято решение, может ли аудит ИБ продолжаться или он приостанавливается до момента решения всех вопросовподокументации.
Этап подготовкикаудитуИБнаместеегопроведениявключаетвсебярас-
пределение работ в аудиторской группе и подготовку рабочей документации. Руководитель аудиторской группы должен подготовить план аудита ИБ, который облегчит составление графика и координацию действий при проведении аудита ИБ. ПланаудитаИБдолженвключатьследующееразделы:
–цельаудита;
–критерииаудита;
–область аудита, включая идентификацию организационных и функциональныхединиципроцессов, подлежащихпроверке;
–датуиместоосуществлениядействияпоаудиту;
–ожидаемое время и продолжительность действий по аудиту на месте, включаясовещаниясруководствомпроверяемойорганизацииисовещанияаудиторской группы;
–ролииобязанностичленоваудиторскойгруппыисопровождающихлиц. ПринеобходимостипланаудитаИБможетвключатьследующеедополнения:
–перечень представителей проверяемой организации, которые будут сопровождатьаудиторскуюгруппу;
–разделыотчета;
–техническоеобеспечение(поездки, оборудованиенаместеит.д.);
–рассмотрениевопросовконфиденциальности;
–срокиицелипоследующихаудитовИБ.
План должен быть проанализирован и представлен проверяемой организации до начала проведения аудита ИБ на месте. Любые возражения со стороны проверяемой организации должны быть разрешены совместно руководителем аудиторской группы, проверяемой организацией и заказчиком аудита ИБ. Любой пересмотренный план аудита ИБ должен быть согласован вовлеченными сторонами до продолженияаудита.
Руководитель аудиторской группы путем консультаций с аудиторской группой должен установить ответственность каждого члена группы за проверку конкретных процессов, функций, площадок, областей или действий. Такие назначения должны учитывать необходимость выполнения принципов аудита ИБ и эффективность использования аудитором ресурсов, а также различные роли и обязанности аудиторов и экспертов. В процессе аудита ИБ для достижения его цели в распределениеобязанностеймогутбытьвнесеныизменения.
133
Члены аудиторской группы должны проанализировать информацию, относящуюся к распределению обязанностей при проведении аудита ИБ, и подготовить документы, необходимыедлярегистрациирезультатов, которыемогутвключать:
–контрольныелистыипланывыборкидляаудитаИБ;
–формы для регистрации данных, подтверждающие свидетельства, выводы аудитаИБипротоколысовещаний.
Вышеперечисленные документы войдут в состав рабочей документации: она может быть создана самой аудиторской организацией либо получена от проверяемой организации или от других лиц. Рабочие документы могут быть собраны в виде данных, записанных на бумаге, электронных носителях, путем микрофильмированияили другимиспособами.
Документы должны быть составлены и систематизированы таким образом, чтобы отвечать обстоятельствам каждой конкретной аудиторской проверки и потребностям аудитора в ходе ее проведения. Состав, количество и содержание документов, входящих в рабочую документацию аудита ИБ, определяются аудиторскойорганизацией, исходяизследующихфакторов:
–видапроводимогоаудитаИБ(внутреннегоиливнешнего);
–сложностидеятельностипроверяемойорганизации;
–состояниясистемывнутреннегоконтроляи(или) мониторингаИБ.
Рабочаядокументациявключаетследующиеосновныедокументы:
–информацию, касающуюся организационно-правовой формы и организационнойструктурыпроверяемойорганизации;
–выдержки или копии необходимых юридических документов, соглашений и протоколов;
–планпроведенияаудитаИБ;
–описание использованных аудиторской организацией процедур и их результатов;
–объяснения, поясненияизаявленияпроверяемойорганизации;
–копии переписки с другими аудиторскими организациями, экспертами и прочимилицамивсвязиспроводимымаудитомИБ;
–описаниесистемывнутреннегоконтроляи(или) мониторингаИБ;
–аналитическиедокументыаудиторскойорганизации.
Рабочие документы, включая записи по результатам их использования, должны храниться до окончания аудита ИБ. Документы, содержащие конфиденциальную или запатентованную информацию, должны храниться в течение всего времени членами аудиторской группы с соблюдением соответствующих требований безопасности.
ЭтаппроведенияаудитаИБнаместевключаетвсебя:
–проведениепредварительногосовещания;
–обменинформациейвовремяаудитаИБ;
–назначениеролейиобязанностейсопровождающихинаблюдателей;
–сборсвидетельстваудитаИБ;
–оценкасвидетельстваудитаИБ;
–проведениезаключительногосовещания.
Перед началом проведения аудита ИБ на месте должно быть проведено вступительное совещание с участием аудиторской группы и лиц, ответственных за функцииилипроцессы, подлежащиепроверке. Целисовещанияследующие:
– подтверждениепланааудитаИБ;
134
–краткоеизложениедействийпоаудиту;
–подтверждение каналов обмена информацией между аудиторской группой и представителямипроверяемойорганизации.
Вслучаях внутреннего аудита организации вступительное совещание может состоятьизсообщенияопроведенииаудитаИБиразъясненияегохарактера.
Вдругих случаях проведения аудита ИБ совещание должно быть официальным, должен быть составлен список присутствующих. Председательствовать на совещаниидолженруководительаудиторскойгруппы.
Взависимости от области и сложности аудита ИБ может возникнуть необходимость в официальных мероприятиях для обеспечения связи между аудиторской группой и проверяемой организацией в процессе проведения аудита. Аудиторская группа должна периодически совещаться для обмена информацией, оценки хода аудита ИБ и при необходимости перераспределения обязанностей между аудиторами.
Впроцессе проведения аудита ИБ руководитель аудиторской группы должен периодически доводить до сведения проверяемой организации и заказчика аудита информацию о ходе аудита и любых возникающих проблемах. Свидетельства, собранные при аудите ИБ, которые выявляют критические для ИБ проверяемой организации места уязвимости, должны быть немедленно доведены до сведения проверяемой организации и по возможности заказчика аудита.
Если имеющееся свидетельство аудита ИБ указывает на то, что цель аудита недостижима, то руководитель аудиторской группы должен сообщить причины заказчику аудита и проверяемой организации для определения дальнейших действий. Действия могут включать в себя повторное подтверждение или изменение плана аудита ИБ либо изменение цели или области аудита, либо прекращение аудита.
Любая необходимость изменения области аудита ИБ, которая может стать очевидной по мере выполнения аудита на месте, должна быть проанализирована и утвержденазаказчикомаудитаипроверяемойорганизацией.
Ваудиторской группе могут присутствовать сопровождающие и наблюдатели, не являющиеся ее членами. Они не должны влиять или вмешиваться в проведение аудитаИБ.
Если сопровождающие лица были назначены проверяемой организацией, то они должны помогать аудиторской группе и действовать по просьбе руководителя аудиторскойгруппы. Вихобязанностиможетвходитьследующее:
–установлениеконтактовивременидляопроса;
–организацияпосещенийконкретныхместворганизации;
–обеспечение ознакомления и соблюдения членами аудиторской группы правил, касающихсятехникибезопасностинаместеиохранныхпроцедур;
–выступлениевкачествесвидетеляпопоручениюпроверяемойорганизации;
–разъяснениеилипомощьвсбореинформации.
Впроцессе проведения аудита ИБ информация, относящаяся к цели, области и критериям аудита, включая информацию по взаимодействию функций, видов деятельности и процессов, должна собираться методом соответствующей выборки и быть проверяемой. Только проверяемая информация может стать свидетельством аудитаИБ. Свидетельствааудитадолжнырегистрироваться.
Выделяютследующиевидысвидетельстваудита:
135
–внутренние, включающие в себя информацию, полученную от проверяемой организациивписьменномилиустномвиде;
–внешние, включающие в себя информацию, полученную от третьей стороны
вписьменномвиде(обычнопописьменномузапросуаудиторскойорганизации);
–смешанные, включающие в себя информацию, полученную от проверяемой организации в письменном или устном виде и подтвержденную третьей стороной в письменномвиде.
Качество свидетельств аудита зависит от их источников. Наиболее ценными считаются свидетельства аудита, полученные аудиторской организацией непосредственноврезультатеисследованиядеятельностиорганизациипообеспечениюИБ.
Определение достаточности свидетельств аудита зависит от следующих факторов:
–степени аудиторского риска, т.е. вероятности принятия неверного решения аудиторскойорганизацией;
–наличия свидетельства от независимого источника (третьих лиц) как более достоверного, чем полученное непосредственно от сотрудников проверяемой организации;
–получения свидетельства аудита на основе данных системы внутреннего контроля и (или) мониторинга ИБ, достоверность которых определяется состоянием самойсистемывнутреннегоконтроляи(или) мониторингаИБ;
–получения информации в результате самостоятельного анализа или проверки аудиторской организацией как более достоверной, чем сведения, полученные от другихлиц;
–получения свидетельств аудита в форме документов и письменных показанийкакболеедостоверных, чемпоказаниявустнойформе;
–возможности сопоставления выводов, сделанных в результате использования свидетельств, полученныхизразличныхисточников.
Свидетельства аудита ИБ должны быть оценены с точки зрения критериев аудитадляформированиявыводоваудитаИБ.
Оценка свидетельств аудита ИБ должна проводиться на основе постоянного и непрерывного накопления и обобщения федеральным органом исполнительной власти, ответственным в пределах своих полномочий за нормативно-методологи- ческое обеспечение деятельности в области аудита ИБ, соответствующего мирового опыта, а также лучших практик отечественных организаций, аккредитованных на право осуществления деятельности по аудиту ИБ. Для этого аккредитованные аудиторы должны представлять в федеральный орган исполнительной власти регулярныеотчетыосвоейдеятельности.
Выводы аудита ИБ могут указывать либо на соответствие, либо на несоответствие критериям аудита ИБ. Выводы аудита ИБ о несоответствии критериям и подтверждающие их свидетельства аудита ИБ должны быть рассмотрены и проанализированы аудиторами совместно с представителем проверяемой организации для получения подтверждения того, что свидетельства аудита ИБ верны и несоответствияпонятны. Нерешенныевопросыдолжныбытьзарегистрированы.
Дозаключительногосовещанияаудиторскаягруппадолжнасобраться, чтобы:
–проанализировать выводы аудита и любую другую соответствующую информацию, собраннуювпроцессеаудитаИБ, сточкизренияцелейаудита;
–согласовать заключения по результатам аудита ИБ с учетом элемента неопределенности, свойственногопроцессуаудитаИБ;
136
–подготовить рекомендации для проверяемой организации по результатам проведенногоаудитаИБ;
–обсудитьпоследующийаудитИБ, еслиэтобыловключеновпланаудитаИБ. ЗаключениепорезультатамаудитаИБдолжноохарактеризовать:
–степеньсоответствияпроверяемойорганизациикритериямаудитаИБ;
–оценку системы внутреннего контроля и (или) мониторинга ИБ проверяемой организации;
–способность со стороны руководства обеспечить постоянную пригодность, адекватность, результативность системы внутреннего контроля и (или) мониторингаИБиеесовершенствование.
Аудиторскойгруппойможетбытьподготовленочетыретипазаключений:
–безусловноположительное;
–условноположительное;
–отрицательное;
–отказотвыражениязаключения.
Вслучае, если по результатам аудита ИБ сформировано аудиторское заключение, отличное от безусловно положительного, должны быть изложены причины, приведшиексоставлениюданногозаключения.
Отказ от выражения заключения бывает в тех случаях, когда ограничение области аудита настолько глубоко, что аудитор не может получить достаточных доказательств и, следовательно, не в состоянии провести оценку показателей, отражающихсоответствиеИБорганизациикритериямаудита.
Заведомо ложное аудиторское заключение признается таковым только по решениюсуда.
ПоокончанииаудитаИБдолжнобытьпроведенозаключительноесовещание. При проведении внутреннего аудита ИБ в небольшой организации заключительное совещание может состоять только из доведения до сведения выводов ауди-
таизаключенияпорезультатамаудита.
Вдругих случаях совещание должно быть официальным с ведением протокола
испискаприсутствующих.
Совещание должно вестись под председательством руководителя аудиторской группы. На нем должны быть представлены выводы аудита ИБ и заключения по результатам аудита таким образом, чтобы они были понятны и признаны проверяемой организацией. Участниками заключительного совещания должны быть представители проверяемой организации, могут быть заказчик аудита и другие стороны. В случае возникновения в процессе аудита ситуаций, которые могут отразиться на надежности заключений по результатам аудита, руководитель аудиторскойгруппыдолженсообщитьобэтомпроверяемойорганизации.
Любые разногласия в отношении выводов аудита и/или заключений по результатамаудитаИБ между аудиторской группой ипроверяемой организацией должны быть обсуждены и по возможности разрешены. В противном случае все мнения сторондолжныбытьзарегистрированы.
На совещании должны быть представлены рекомендации по улучшению состоянияИБпроверяемойорганизации.
Этап подготовки, утверждения и рассылки отчета по аудиту ИБ. По за-
вершении проверки аудиторская группа должна представить отчет по результатам проведения аудита ИБ. Руководитель аудиторской группы должен нести ответственность за подготовку и содержание отчета. Отчет должен предоставлять полные,
137
точные, четкие и достаточные записи по аудиту ИБ и должен включать следующее:
–сведенияобаудиторскойорганизации;
–сведенияопроверяемойорганизации;
–сведенияозаказчикеаудитаИБ;
–датуиместопроведенияаудитаИБ;
–идентификациюруководителяичленоваудиторскойгруппы;
–цельаудитаИБ;
–область аудита ИБ, в частности, идентификацию проверенных организационныхифункциональныхединицилипроцессови охваченныйпериодвремени;
–критерииивыводыаудитаИБ;
–заключенияпорезультатамаудитаИБ;
–выводы по результатам аудита ИБ и рекомендации по улучшению ИБ организации;
–листрассылкиотчетапорезультатамаудитаИБ.
Отчетможетсодержатьтакжеследующеедокументы:
–планаудитаИБ;
–перечень представителей со стороны проверяемой организации, которые сопровождалиаудиторскуюгруппуприпроведенииаудита;
–краткое изложение процесса аудита ИБ, включая элемент неопределенности и/или проблемы, которые могут отразиться на надежности заключения по результатамаудита;
–подтверждение, что цель аудита ИБ достигнута в области аудита в соответствииспланомаудита;
–списоклюбыхнеохваченныхобластей, входящихвобластьаудитаИБ;
–любые неразрешенные разногласия между аудиторской группой и проверяемойорганизацией;
–согласованныепланыпоследующихаудитов;
–заявлениеоконфиденциальномхарактересодержанияотчета.
Отчет по результатам проведения аудита ИБ должен быть выпущен в согласованные сроки. Если это невозможно, то причины задержки должны быть доведены до сведения заказчика аудита ИБ, должна быть согласована новая дата выпуска. Утвержденный отчет подлежит рассылке получателям, определенным заказчиком аудитаИБ.
Отчет по результатам проведения аудита ИБ является собственностью заказчика аудита. Члены аудиторской группы и все получатели отчета должны учитывать иобеспечиватьконфиденциальностьсодержанияотчета.
Этап завершения аудита ИБ. Аудит ИБ считается завершенным, если все процедуры, предусмотренные планом аудита ИБ, выполнены и утвержденный отчет разослан заинтересованным сторонам.
Этап выполнения действий по результатам аудита ИБ. В заключении по результатам аудита ИБ может быть указано на необходимость корректирующих, предупреждающих действий или действий по улучшению в случае необходимости. Такиедействияобычноразрабатываютсяипроводятсяпроверяемойорганизациейв течение согласованного срока и не рассматриваются как часть аудита. Проверяемая организациядолжнаинформироватьзаказчикааудитаостатусетакихдействий.
Должны проверяться выполнение и результативность корректирующего действия. ДаннаяпроверкаможетбытьчастьюочередногоаудитаИБ.
138
Методы анализа данных при аудите информационной безопасности
В настоящее время используются три основных метода (подхода) к проведениюаудитаИБ, которыезначительноотличаютсядруготдруга.
Первый метод, самый сложный, базируется на анализе рисков. Опираясь на анализ рисков, аудитор определяет для обследуемой организации индивидуальный набор требований безопасности, в наибольшей степени учитывающий ее особенности, среды ее функционирования и существующие в данной среде угрозы безопасности. Данный подход является наиболее трудоемким и требует наивысшей квалификации аудитора. На качество результатов аудита в этом случае сильно влияет используемая методология анализа и управления рисками и ее применимостькданнойорганизации.
Второй метод, самый практичный, опирается на использование стандартов информационной безопасности. Стандарты определяют базовый набор требований безопасности для широкого класса информационных систем (ИС), который формируется в результате обобщения мировой практики. Стандарты могут определять разные наборы требований безопасности в зависимости от уровня защищенности ИС, который требуется обеспечить (коммерческая организация либо государственное учреждение). От аудитора в данном случае требуется правильно определить набор требований стандарта, соответствие которым необходимо обеспечить для данной ИС. Из-за своей простоты и надежности описанный подход наиболее распространен на практике (особенно при проведении внешнего аудита ИБ). Он позволяет при минимальных затратах ресурсов делать обоснованные выводы о состоянииИБ.
Третий метод, наиболее эффективный, предполагает комбинирование вышеуказанныхдвухметодов.
Если для проведения аудита безопасности выбран подход, базирующийся на анализе рисков, то на этапе анализа данных аудита ИБ обычно выполняются следующиегруппызадач:
1.Анализ ресурсов ИС, включая информационные ресурсы, программные и техническиесредства, атакжелюдскиересурсы.
2.Анализгруппзадач, решаемыхсистемойипроцессомдеятельности.
3.Построение (неформальной) модели ресурсов ИС, определяющей взаимосвязи между информационными, программными, техническими и людскими ресурсами, ихвзаимноерасположениеиспособывзаимодействия.
4.Оценка критичности информационных ресурсов, а также программных и техническихсредств.
5.Определениекритичностиресурсовсучетомихвзаимозависимостей.
6.Определение наиболее вероятных угроз безопасности в отношении ресурсов ИСиуязвимостейзащиты, делающихвозможнымреальностьугроз.
7.Оценка вероятности осуществления угроз, величины уязвимостей и ущерба, наносимогоорганизациивслучаеуспешногоосуществленияугроз.
8.Определение величины рисков для каждого члена триады: угроза – группа ресурсов– уязвимость.
Перечисленный набор задач является достаточно общим. Для их решения могут использоваться различные формальные и неформальные, количественные и качественные, ручные и автоматизированные методики анализа рисков. Суть подходаотэтогонеменяется.
139
Оценка рисков может даваться с использованием различных как качественных, так и количественных шкал. Главное – правильно идентифицировать и ранжировать существующие риски в соответствии со степенью их критичности для организации. На основе такого анализа может быть разработана система первоочередных мероприятийпоуменьшениювеличинырисковдоприемлемогоуровня.
При проведении аудита безопасности на соответствие требованиям стандарта аудитор, полагаясь на свой опыт, оценивает применимость требований стандарта к обследуемой ИС и ее соответствие этим требованиям. Данные о соответствии различных областей функционирования ИС требованиям стандарта обычно представляются в табличной форме, дающей понимание какие именно требования безопасности в системе не реализованы. Далее делаются выводы о соответствии обследуемой ИС требованиям стандарта и даются рекомендации по реализации механизмовбезопасностивсистеме.
Анализ информационных рисков объекта
Анализ рисков должен начинаться с построения любой системы информационной безопасности, необходимой для проведения аудита ИБ. Он включает в себя мероприятия по обследованию системы безопасности организации с целью определения: какиересурсыиоткакихугрознадозащищать, атакжевкакойстепените или иные ресурсы нуждаются в защите. Определение набора адекватных контрмер осуществляется в ходе управления рисками. Риск определяется вероятностью причинения ущерба и величиной ущерба, наносимого ресурсам информационных систем, вслучаереализацииугрозыбезопасности.
Анализрисковпредусматриваетрешениеследующихзадач:
1.ИдентификацияключевыхресурсовИС.
2.Определениеважноститехилииныхресурсовдляорганизации.
3.Идентификация существующих угроз безопасности и уязвимостей, делающихвозможнымосуществлениеугроз.
4.Вычислениерисков, связанныхсосуществлениемугрозбезопасности. РесурсыИСможноразделитьнаследующиекатегории:
– информационныересурсы;
– программноеобеспечение;
– технические средства (серверы, рабочие станции, активное сетевое оборудо-
ваниеит.п.);
– людскиересурсы.
В каждой категории ресурсы делятся на классы и подклассы. Необходимо идентифицировать только те ресурсы, которые определяют функциональность ИС исущественнысточкизренияобеспечениябезопасности.
Важность (или стоимость) ресурса определяется величиной ущерба, наносимого в случае нарушения конфиденциальности, целостности или доступности этого ресурса.
Рассматриваютсяследующиевидыущерба:
–информационныеданныераскрыты, изменены, удаленыилисталинедоступны;
–аппаратураповрежденаилиразрушена;
–нарушенацелостностьпрограммногообеспечения.
Ущерб может быть нанесен организации в результате успешного осуществленияследующихвидовугрозбезопасности:
– локальныеиудаленныеатакинаресурсыИС;
140
–стихийныебедствия;
–ошибкилибоумышленныедействияперсоналаИС;
–сбои в работе ИС, вызванные ошибками в программном обеспечении или неисправностямиаппаратуры.
Величина риска (в относительных единицах) может быть определена на основе стоимости ресурса, вероятности осуществления угрозы и величины уязвимости по следующейформуле:
Риск = (стоимость ресурса × веростность угрозы) . величина уязвимости
Задача управления рисками заключается в выборе обоснованного набора контрмер, позволяющих снизить уровни рисков до приемлемой величины. Стоимость реализации контрмер должна быть меньше величины возможного ущерба. Разница между стоимостью реализации контрмер и величиной возможного ущерба должнабытьобратнопропорциональнавероятностипричиненияущерба.
Подход на основе анализа информационных рисков организации является наиболее значимым для практики обеспечения информационной безопасности, посколькуанализрискапозволяетэффективноуправлятьИБорганизации.
Одной из важнейших задач в рамках защиты информации является обеспечение ее целостности и доступности для пользователей. При этом следует иметь в виду, что нарушение целостности может произойти не только вследствие преднамеренныхдействий, ноипорядудругихпричин:
–сбоевоборудования, ведущихкпотереилиискажениюинформации;
–физическихвоздействий, втомчислеврезультатестихийныхбедствий;
–ошибок в программном обеспечении (в том числе недокументированных возможностей).
Поэтому под термином «атака» следует понимать не только воздействия человеканаинформационныересурсы, но и воздействияокружающей среды, в которой функционируетсистемаобработкиинформацииорганизации.
Припроведениианализарискаисследуютсяиуточняются:
–общая стратегия и тактика проведения потенциальным нарушителем «наступательныхоперацийибоевыхдействий»;
–возможные способы проведения атак на систему обработки и защиты информации;
–сценарийосуществленияпротивоправныхдействий;
–характеристикиканаловутечкиинформациииНСД;
–вероятностиустановленияинформационногоконтакта(реализацииугроз);
–переченьвозможныхинформационныхинфекций;
–модельдействийнарушителя;
–выборметодикиоценкиинформационнойбезопасности.
Кроме того, для построения надежной системы защиты информации в организациинеобходимо:
–выявитьвсевозможныеугрозыбезопасностиинформации;
–оценитьпоследствияихпроявления;
–определить необходимые меры и средства защиты с учетом требований нормативных документов, экономической целесообразности, совместимости и бесконфликтностисиспользуемымпрограммнымобеспечением;
–оценитьэффективностьвыбранныхмерисредствзащиты.