Козьминых С.И. Организация защиты информации в ОВД. Ч. 2

141

Анализ риска рекомендуется проводить согласно следующей методике по сценарию(рис. 6).

Рис. 6. Сценарий анализа информационных рисков.

Сценарийанализаинформационныхрисковразделеннашестьэтапов:

На первом и втором этапах определяются сведения, составляющие для организации информацию ограниченного доступа, которую предстоит защищать. Понятно, что такие сведения хранятся в определенных местах и на конкретных носителях, а также передаются по каналам связи. При этом определяющим фактором в технологи и обращения с информацией является архитектура ИС, которая во многомопределяетзащищенностьинформационныхресурсоворганизации.

Третий этап анализа риска заключатся в определении каналов доступа, утечки или воздействия на информационные ресурсы основных узлов ИС. Каждый канал доступа характеризуется множеством точек, с которых можно «снять» информацию. Именно они и представляют уязвимости и требуют применения мер недопущениянежелательныхвоздействийнаинформацию.

Четвертый этап анализа способов защиты от всех возможных точек атак соответствует целям защиты, его результатом должна быть характеристика возможных уязвимостей в обороне, в том числе за счет неблагоприятного стечения обстоятельств.

На пятом этапе исходя из известных на данный момент способов и средств преодоления оборонительных рубежей определяются вероятности реализации угрозпокаждойизвозможныхточекатак.

142

На заключительном, шестом, этапе оценивается ущерб организации в случае реализации каждой из атак, который вместе с оценками уязвимости позволяет получитьранжированныйсписокугрозинформационнымресурсам.

Результаты работы представляются в виде, удобном для их восприятия и выработки решений по коррекции существующей системы защиты информации. При этом каждый информационный ресурс может быть подвержен воздействию нескольких потенциальных угроз. Принципиальное значение имеет суммарная вероятность доступа к информационным ресурсам, которая складывается из элементарныхвероятностейдоступакотдельнымточкампрохожденияинформации.

Величина информационного риска по каждому ресурсу определяется как про-

изведение вероятности нападения на ресурс, вероятности реализации угрозы и вероятного ущерба от информационного вторжения. В этом произведении могут использоватьсяразличныеспособывзвешиваниясоставляющих.

Сложение рисков по всем ресурсам дает величину суммарного риска при принятойархитектуреИСивнедреннойвнеесистемезащитыинформации.

Таким образом, варьируя варианты построения системы защиты информации и архитектуры ИС, становится возможным представить и рассмотреть различные значения суммарного риска за счет изменения вероятности реализации угроз. Весьма важным шагом является выбор одного из вариантов в соответствии с отобранным критерием принятия решения. Таким критерием может быть допустимая величина риска или отношение затрат на обеспечение информационной безопасностикостаточномуриску.

При построении систем обеспечения информационной безопасности нужно определитьтакжестратегиюуправлениярискамиворганизации.

На сегодня известно несколько подходов к управлению рисками. Один из наиболее распространенных – уменьшение риска путем использования соответствующих способов и средств защиты. Близким по сути является подход, связанный с уклонением от риска. Известно, что от некоторых классов рисков можно уклониться: например, вынесение Web-сервера организации за пределы локальной сети позволяет избежать риска несанкционированного доступа в локальную сеть со сторо- ныWeb-клиентов.

Наконец, в некоторых случаях допустимо принятие риска. Здесь важно определиться со следующей дилеммой: что для организации выгоднее – бороться с рисками или же с их последствиями. В этом случае приходится решать оптимизационнуюзадачу.

После того как определена стратегия управления рисками, производится окончательная оценка мероприятий по обеспечению информационной безопасности с подготовкой экспертного заключения о защищенности информационных ресурсов. В экспертное заключение по результатам проведения аудита ИБ включаются все материалыанализарисковирекомендациипоихснижению.

5. Инструментальное обеспечение аудита информационной безопасности

При проведении аудита ИБ должно применяться соответствующее инструментальное обеспечение, включающее в себя средства автоматизации анализа выполнениятребованийИБисредстваавтоматизацииоценкирисков.

Инструментальные средства автоматизации анализа выполнения требований ИБ(критериеваудитаИБ) должныпозволять:

143

–автоматизировать процесс оценки степени выполнения требований ИБ с учетомихважности;

–оцениватьэффективностьразличныхвариантовзащитныхмер;

–автоматизировать процессы анализа идентифицированных и зафиксированных системами мониторинга ИБ, используемых в аудируемых организациях, внештатныхдействийпользователейиинцидентовИБ;

–генерировать документальные отчеты с результатами выполнения различных процедур.

Инструментальныесредстваавтоматизацииоценкирисковдолжныпозволять:

–анализироватьвыполнениеполитикиИБворганизации;

–оценивать риски с использованием принятых в организации подходов и методик (для негосударственных организаций, обрабатывающих конфиденциальную информацию, не являющуюся собственностью государства) или с использованием подходов и методик, утвержденных уполномоченным федеральным органом исполнительной власти в области технической защиты информации (для государственных и негосударственных организаций, обрабатывающих конфиденциальную информацию, являющуюсясобственностьюгосударства);

–идентифицироватьиоцениватьвариантыкорректировкириска;

–вырабатывать рекомендации по методам и средствам снижения риска при сборе, обработке, хранении конфиденциальной информации при использовании в организацииразличныхСИТ;

–вырабатыватьипредоставлятьобоснованиядлявыборазащитныхмер;

–генерироватьотчетыпорезультатамоценки.

Инструментальные средства автоматизации анализа выполнения требований ИБиинструментальныесредстваавтоматизацииоценкирисковмогут применяться при необходимости как при проведении внешнего, так и при проведении внутреннегоаудита.

6.Требования к кадровому обеспечению аудиторской деятельности

вобласти информационной безопасности

Доверие к аудиту ИБ зависит от компетентности аудиторов по ИБ. Они должныпродемонстрировать:

–образование, опыт проведения аудита ИБ, способность постоянного совершенствованияпрофессиональныхкачестваудиторапоИБ;

–умение применять знания и навыки по принципам, процедурам и методам аудита ИБ, системе управления ИБ и ссылочным документам, организационным моментам, используемым законам, техническим регламентам и другим требованиям, относящимсякИБ;

–личные качества (порядочность, открытость, тактичность, наблюдательность, проницательность в оценке ситуации, готовность к различным ситуациям, упорство в достижении цели, решительность в своевременном принятии решений, самостоятельность);

Оценка аудиторов по ИБ и руководителей аудиторских групп должна быть спланирована, реализована и запротоколирована в соответствии с процедурами программы аудита ИБ с целью обеспечения объективных, последовательных, достоверных и надежных результатов. Процесс оценки должен выявить потребности в обучении и приобретении других навыков.

ОценкааудиторовпоИБпроисходитнаследующихэтапах:

144

–начальноеоцениваниелиц, желающихстатьаудиторамипоИБ;

–оценивание аудиторов как части процесса формирования аудиторской группы;

–постоянное оценивание характеристик аудитора по ИБ с целью идентификациипотребностей, необходимыхдляподдержанияиулучшениязнанийинавыков.

Процессоценкивключаетдваосновныхэтапа:

–определение критериев оценки. Критерии могут быть количественными (опыт работы в годах, образование, количество проведенных аудитов, количество часов обучения аудиту) или качественными (демонстрируемые личные качества, знанияили характеристики навыковприобученииили при нахождении нарабочем месте);

–идентификация личных качеств, знаний и навыков для соответствия потребностям программы аудита ИБ с учетом: размера, вида деятельности и сложности проверяемой организации; целей и объема программы аудита; требований сертификации/регистрации и аккредитации; роли процесса аудита ИБ для руководства проверяемой организации; уровня конфиденциальности, требуемого в программе аудитаИБ; сложностипроверяемойсистемыуправленияИБ.

Собранную информацию о персонале сравнивают с критериями. Если персонал не соответствует критериям, указывают на необходимость дополнительного обучения, опыта работы и (или) участия в аудите, после чего проводят повторную оценку.

Требованиякуровнюквалификацииаудиторскойгруппыследующие:

–наличие базового образования. Базовым образованием для аудитора в области ИБ является высшее техническое образование по специальностям, связанным с ИБ, СИТ, вычислительной техникой или по другим специальностям, которые могут иметь отношение к рассматриваемой области. Образование должно быть получено в учебном учреждении Российской Федерации, имеющем государственную аккредитацию, либо в учебном учреждении иностранного государства, дипломы которогоимеютюридическуюсилувРоссийскойФедерации;

–наличие практического опыта. Практический опыт работы определяется стажемработынеменеетрехизпоследнихпятилетвкачестве:

–руководителя, аудитора или специалиста аудиторской организации, оказывающейаудиторскиеуслугивобластиИБ;

–руководителя или сотрудника службы (или подразделения) организации, отвечающейзаобеспечениеееИБ;

–научногоработникаилипреподавателяпопрофилю, связанномусИБ;

–наличие специального профессионального образования включает в себя обучение с отрывом или без отрыва от производства в учебно-методических центрах и организациях по обучению и переподготовке аудиторов и стажировку в аудиторскойорганизации;

–знание законов, зарубежных и отечественных стандартов, инструкций и других нормативных актов, вносимых в них дополнений и изменений, относящихся к областиинформационнойбезопасности;

–свободное владение деловым русским языком включает в себя наличие навыков владения русским языком в объеме, необходимом для изучения нормативных актов, проверки документации, ведения рабочей документации, делового общения с клиентами и составления аудиторского заключения и отчета по результатампроведенияаудитаИБ.

145

Кроме перечисленных требований к уровню квалификации, каждый аттестованный аудитор должен ежегодно проходить курс повышения квалификации и систематическисамостоятельноповышатьсвоюквалификациюпутем:

–изучения законов, стандартов, инструкций и других нормативных актов, вносимыхвнихдополненийиизменений;

–изучения зарубежного и отечественного опыта по организации и методике проведенияаудитаИБ;

–участиявсеминарах, конференциях, симпозиумах;

–разработкипособий, монографийповопросамтеорииипрактикиаудитаИБ;

–участия в работе над правилами (стандартами), методиками, программами учебныхкурсовпоаудитуИБ.

Контрольные вопросы

1.Какие документы на сегодняшний день в Российской Федерации регулируютаудиторскуюдеятельность?

2.В чем отличие и особенности проведения внешнего и внутреннего аудита информационнойбезопасности?

3.Какиеосновныецелипроведенияаудитаинформационнойбезопасности?

4.Какие принципы и критерии положены в основу проведения аудита информационнойбезопасности?

5.Чемопределяютсямасштабыаудитаинформационнойбезопасности?

6.Как осуществляется управление программой аудита информационной безопасности?

7.Каковы последовательность и содержание этапов при проведении аудита информационнойбезопасности?

8.Какие применяются методы анализа данных при аудите информационной безопасности?

9.Как проводится анализ информационных рисков при аудите информационнойбезопасности?

10.Какие задачи решаются при анализе информационных рисков при проведенииаудитаинформационнойбезопасности?

11.Какможетбытьоцененавеличинариска?

12.Какое инструментальное обеспечение используется для аудита информационнойбезопасности?

13.Какие требования предъявляются к кадровому обеспечению аудиторской деятельностивобластиинформационнойбезопасности?

БИБЛИОГРАФИЧЕСКИЙ СПИСОК

Федеральный закон от 21 июля 1993 г. №5485-1 (в ред. от 6 октября 1997 г.) «О государственнойтайне».

Федеральныйзаконот27 июля2006 г. №149-ФЗ«Обинформации, информационных технологияхиозащитеинформации».

Федеральный закон от 11 марта1992 г. №2487-1«О частной детективной и охранной деятельностивРоссийскойФедерации».

Федеральныйзаконот7 августа2001 г. №119-ФЗ«Обаудиторскойдеятельности». Федеральный закон от 10 июня 1993 г. (в ред. Федерального закона №211-ФЗ от

27 декабря1995 г.) №5151-1 «Осертификациипродукциииуслуг».

146

Федеральный закон от 7 февраля 1992 г. (в ред. Федерального закона №160-ФЗ от 23 июля2008 г.) №2300-1 «Озащитеправпотребителей».

Федеральный закон от 10 июня 1993 г. (в ред. Федерального закона № 211-ФЗ от 27 декабря 1995 г.) № 5154-1 «О стандартизации».

Федеральный закон от24 декабря 1993 г. (дата введения 19 февраля 1993 г. сизм. от 24 декабря 1993 г.). №4524-1 «О федеральных органах правительственной связи и информации».

Указ Президента Российской Федерации от 6 марта 1997 г. №188 «Об утверждении перечнясведенийконфиденциальногохарактера».

Указ Президента Российской Федерации от 24 января 1998 г. № 61 «Об утверждении перечня сведений, отнесенных кгосударственной тайне».

Постановление Правительства РСФСР от 5 декабря 1991 г. №35 «О перечне сведений, которыенемогутсоставлятькоммерческуютайну».

Постановление Правительства Российской Федерации от 15 апреля 1995 г. №333 «Олицензировании деятельности предприятий и организаций по проведению работ, связанных с использованием средств защиты информации, а также с осуществлением мероприятийи(или) оказаниемуслугпозащитегосударственнойтайны».

Постановление Правительства Российской Федерации от 24 декабря 1994 г. №1418 «Олицензированииотдельныхвидовдеятельности».

Постановление Правительства Российской Федерации от 26 июня 1995 г. №608 «Осертификации средств защиты информации» (с изм. от 23 апреля 1996 г., 29 марта

1999 г.).

Положение по аттестации объектов информатизации по требованиям безопасности информации. Утверждено председателем Государственной технической комиссии при ПрезидентеРоссийскойФедерации25 ноября1994 г.

Руководящий документ. Защита от несанкционированного доступа к информации. Термины и определения. Утверждено решением председателя Гостехкомиссии России от

30 марта1992 г.

Положение о Федеральной службе по техническому и экспортному контролю, утвержденноеУказомПрезидентаРоссийскойФедерацииот16 августа2004 г. №1085.

Положение о сертификации средств защиты информации по требованиям безопасности информации. Утверждено приказом председателя Государственной технической комиссииприПрезидентеРоссийскойФедерацииот27 октября1995 г. №199.

Аверченков В. И., Рытов М. Ю. Организационная защита информации: учебное пособиедлявузов. Брянск: ИздательствоБГТУ, 2005.

БарсуковВ. В., Водолазкий В. В. Современные технологии безопасности. Интегральныйподход. М. : Нолидж, 2000.

Введениевзащитуинформации: учебноепособие. М. : ИНФРА-М, 2004. ВолокитинА. В., МаношкинА. П., СолдатенковА. В. и др. Информационная безо-

пасность государственных организаций и коммерческих фирм: справочное пособие / под ред. Л. Д. Реймана. М. : ФИОРД-ИНФО, 2002.

Все о защите коммерческой информации: настольная книга для делового человека / подред. А. В. Жукова. М. : Махаон, 1992.

ГерасименкоВ. А., Мецатунян М. В. Организация комплексной защиты информации насовременныхобъектах// Вопросызащитыинформации. – 1995. – №1.

Государственная тайна в Российской Федерации: учебно-методическое пособие, 2-е изд. перераб. идоп. / подред. М. А. Вуса. СПб. : СПб. университет, 2000.

Гринберг А. С. Защита информационных ресурсов государственного управления: учебноепособиедлявузов. М. : ЮНИТИ-ДАНА, 2003.

Дубейковская Я. С. Стоп. Кадры! Управление персоналом для умных. Екатеринбург: Уральскийуниверситет, 2000.

147

Основы информационной безопасности / Н. И. Журавленко, В. Е. Кадулин, К. К. Борзунов. М. : МосУМВДРоссии, 2007.

Информационная безопасность открытых систем: учебник для вузов. В 2 т. Т. 1. Угрозы, уязвимости, атаки и подходы к защите/ С. В. Запечников и др. М. : Горячая линия – Телеком, 2006.

Козьминых С. И. Системный подход к обеспечению информационной безопасности объектов: учебно-методическоепособие. М. : МосУМВДРоссии, 2005.

Козьминых С. И. Методологические основы обеспечения комплексной безопасности объекта, фирмы, предпринимательской деятельности : монография. В 2 ч. М. : МосУ МВДРоссии, 2005.

Копылов В. А. Информационное право: учебник. 2-е изд., перераб. и доп. М. : Юристь, 2002.

КортС. С. Теоретическиеосновызащитыинформации: учебноепособие. М. : Гелиос АРВ, 2004.

Крысин А. В. Безопасность предпринимательской деятельности. М. : Финансы и статистика, 1996.

КудряевВ. А., Степанов Е. А. Защита информационных ресурсов в негосударственнойсфере: учебноепособие. М. : ГУУ, 2002.

ЛифшицА. С. Основыуправленияперсоналом. Иваново, 1995.

Лопатин В. Н. Правовая охрана информации с ограниченным доступом: учебное пособие. Калининград: КЮИМВДРоссии, 2000.

МалюкА. А. Информационная безопасность: концептуальные и методологические основы защиты информации: учебное пособие для вузов. М. : Горячая линия – Телеком,

2004.

МельниковВ. П., КлейменовС. А., Петраков А. М. Информационная безопасность и защитаинформации: учебноепособиедлявузов. М. : Академия, 2007.

ПетраковА. В., ДорошенкоП. С., Савлуков Н. В. Охрана и защита современного предприятия. М. : Энергоатомиздат, 1999.

Расторгуев С. П. Основы информационной безопасности: учебное пособие для студентоввысшихучебныхзаведений. М. : Академия, 2007.

СтаробинскийЭ. Е. Менеджериеговремя// Управлениеперсоналом. – 1997. – №4. Степанов Е. А. Персонал и конфиденциальная информация // Управление персона-

лом. – 1999. – №11.

СтепановЕ. А., Корнеев И. К. Информационная безопасность и защита информации: учебноепособиедлявузов. М. : Инфра-М, 2001.

Степанов Е. А. Документирование функций кадровой службы и защита персональныхданных: учебноепособие. М. : ГУУ, 2002.

Степанов Е. А. Управление персоналом: Персонал в системе защиты информации: учебноепособие. М. : ФОРУМ; ИНФРА–М, 2002.

Торокин А. А. Инженерно-техническая защита информации: учебное пособие. М. : ГелиосАРВ, 2005.

Шлыков В. В. Безопасность предприятия в условиях рынка: учебное пособие для студентоввысшихучебныхзаведений. Рязань: Горизонт, 1997.

ШумскийА. А., Шелупанов А. А. Системный анализ в защите информации: учебное пособиедлявузов. М. : ГелиосАРВ, 2005.

Ярочкин В. И. Служба безопасности коммерческого предприятия. Организационные вопросы. М. : Ось-89, 1995.

КозьминыхСергейИгоревич доктортехническихнаук, профессор

Организациязащитыинформации в органах внутренних дел

Учебное пособие

Часть II

8,60 усл. печ. л.

Московский университет МВД России 117997, г. Москва, ул. Академика Волгина, д. 12