- •Методика проведения анализа риска и потерь
- •Методика проведения анализа риска и потерь
- •Определение границ управления информационной безопасностью объекта.
- •Разработка сценария действий по нарушению информационной безопасности
- •Выбор анализируемых объектов и степени детальности их рассмотрения
- •Моделирование каналов утечки информации и нсд
- •Оценка вероятности реализации угроз (установления информационного контакта)
- •Оценка возможного ущерба (потерь)
- •Определение стратегии управления рисками
- •Ранжирование угроз и выбор контрмер обеспечения информационной безопасности
- •Проверка системы защиты информации
- •Оценка эффективности вариантов построения защиты
- •Тестирование системы защиты
- •В настоящее время cramm является, судя по числу ссылок в Интернет, самым распространенным методом анализа и контроля рисков.
Проверка системы защиты информации
Когда намеченные меры приняты, необходимо проверить их действенность, то есть убедиться, что остаточные риски стали приемлемыми. Если это на самом деле так, то можно намечать дату ближайшей переоценки. В противном случае придется проанализировать допущенные ошибки и провести повторный сеанс анализа уязвимости с учетом изменений в системе защиты.
Независимо от того, насколько хорошо разработаны технические и организационные меры безопасности и соблюдения конфиденциальности, они, в конце концов, основываются на человеческой деятельности, в которой возможны ошибки и злой умысел. Если отдельный сотрудник обманет доверие, то никакая система безопасности не сможет предотвратить утечку информации.
Для обеспечения уверенности в том, что данная организация успешно поддерживает функционирование системы безопасности, применяются различные методы проверки. Это регулярные независимые инспекции и ревизии, а также проверочные комиссии, состоящие из представителей всех лиц, участвующих в работе с конфиденциальной информацией.
Так как ни одна из форм не является идеальной, то общий контроль за деятельностью системы защиты и ее функционированием должен осуществлять высший орган руководства организации, предприятия через специальные подразделения обеспечения безопасности.
На конкретных объектах при контроле эффективности защиты, обеспечиваемой конкретными средствами защиты информации, может иметь место значительное разнообразие задач проверки. Так на одном объекте, может быть, достаточно осуществить проверку эффективности экранирования, на другом — проверить эффективность шумовой защиты, а на третьем — необходимо убедиться, что излучения ПЭМИН могут быть приняты за пределами охраняемой территории организации (предприятия). Аналогичное имеет место и при проверке эффективности защиты информации от несанкционированного доступа: на одном объекте используется, например, монопольный режим обработки подлежащей защите информации, а на другом — программная защита. Все это означает, что работа по контролю эффективности защиты должна начинаться с определения состава проверяемых мер и средств.
Кроме того, организационно-режимные средства и мероприятия должны иметь преимущественное значение по отношению к другим мерам и средствам защиты, поскольку их состав и эффективность оказывают определяющее значение на эффективность защиты от несанкционированного доступа (НСД). Это связано с тем, что при неправильном определении степени конфиденциальности защищаемой информации может оказаться неэффективным как воспрещение, так и защита от НСД. Иначе говоря, необходимо начинать контроль эффективности защиты с контроля организационно-режимных мер и средств защиты. Далее последовательность проверки может быть произвольной.
Организация и проведение проверки организационных мероприятий осуществляется с целью выявления нарушений требований соответствующей инструкции по обеспечению режима, которая действует на данном объекте, а также того, как данная инструкция и действующие по ней исполнители предотвращают возникновение нарушений. При подготовке к проверке целесообразно на основе анализа составить перечень возможных нарушений, что может оказать существенную помощь в организации проверки.
Эффективность защиты на объекты обеспечивается, как известно, в соответствии с категорией важности этого объекта. В свою очередь, категория важности определяется в соответствии с грифом защищаемой информации.
Контроль эффективности защиты информации от утечки за счет ПЭМИН предусматривает проведение работ с использованием определенной контрольно-измерительной аппаратуры в соответствии с существующими методиками. Этот контроль имеет целью определить наличие каналов утечки информации и их уровень за пределами охраняемой территории объекта.
Особое внимание при оценке эффективности системы защиты техническими средствами необходимо обратить на их надежность и безотказность. При их эксплуатации имеют место поломки, сбои, отказы, вследствие чего они не обеспечивают выполнение задачи защиты. Отсюда задача обеспечения надлежащей надежности технических средств обретает значительную важность, от которой в прямой зависимости находится качество и безопасность защиты.