Добавил:
Upload Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз: Предмет: Файл:
ЛЕБЕДЕВА / ИБ_политикаИБ2.ppt
Скачиваний:
80
Добавлен:
29.03.2016
Размер:
838.66 Кб
Скачать

Политика безопасности компьютерных систем и ее реализация

28

I Управленческие меры обеспечения информационной безопасности:

3 Анализ и управление рисками при реализации ИБ

Оценка стоимости защитных мер должна учитывать не только прямые расходы на закупку оборудования и/или программного обеспечения, но и расходы на внедрение новинки, обучение и переподготовку персонала. Эту стоимость можно выразить в некоторой шкале и затем сопоставить ее с разностью между вычисленным и приемлемым риском. Если по этому

показателю средство защиты оказывается экономически выгодным, его можно принять к дальнейшему рассмотрению.

Контроль остаточных рисков в обязательном порядке включается в текущий контроль системы ИБ. Когда намеченные меры приняты, необходимо проверить их действенность – убедиться, что остаточные риски стали приемлемыми. В случае систематического повышения остаточных рисков необходимо проанализировать допущенные ошибки и немедленно принять корректирующие меры.

Управление рисками является многоступенчатым итерационным процессом. Практически все его этапы связаны между собой, и по завершении почти любого из них может выявиться необходимость возврата к предыдущему. Так, при идентификации активов может возникнуть понимание, что выбранные границы анализа следует расширить, а степень детализации – увеличить. Особенно труден первичный анализ, когда многократные возвраты к началу неизбежны. Управление рисками – типичная оптимизационная задача, принципиальная трудность состоит в её грамотной постановке на уровне высшего менеджмента, сочетании оптимальных методик и описания исходных данных.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

начало

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Определение контента

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Идентификация риска

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Обработка

 

 

 

 

 

 

риска

 

Количественная оценка риска

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Предот-

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

враще-ние

 

 

 

 

 

 

 

 

 

 

 

 

 

Оценивание риска

 

 

 

риска

 

Перенос

 

 

Снижение

 

 

 

 

 

 

 

 

 

 

 

 

риска

 

 

 

риска

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

нет

 

Достигнут ли

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

допустимый риск?

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

да

Анализ

риска

Оценка

риска

Принятие риска

Конец Рисунок – Итеративный процесс оценки и оценивания риска

Политика безопасности компьютерных систем и ее реализация

30

I Управленческие меры обеспечения информационной безопасности:

3 Анализ и управление рисками при реализации ИБ

Не может быть абсолютной безопасности. Всегда будет оставаться остаточный риск. Остаточный риск – риск , оставшийся после предпринятых защитных мер. Защитная мера – мера, используемая для уменьшения риска.

Безопасность достигают путем снижения уровня риска до допустимого риска.

Допустимый риск – риск, который в данной ситуации считают приемлемым при существующих общественных ценностях.

Допустимый риск представляет собой оптимальный баланс между безопасностью и требованиями, которым должна удовлетворять продукция, процесс или услуга, а так же такими факторами, как выгодность для пользователя, эффективность затрат, обычаи и др. допустимый риск достигается с помощью итеративного процесса оценки и уменьшения риска как показано на рисунке.

Оценка риска – общий процесс анализа риска и оценивания риска.

Анализ риска – систематическое использование информации для выявления опасности и количественной оценки риска.

Политика безопасности компьютерных систем и ее реализация

31

I Управленческие меры обеспечения информационной безопасности:

3 Анализ и управление рисками при реализации ИБ

Оценивание риска – основанная на результатах анализа риска процедура проверки, устанавливающая, не превышен ли допустимый риск.

Для обработки риска доступны четыре варианта: предотвращение риска, снижение риска, перенос риска и принятие риска. Обычно результатом решения об обработке риска является комбинация четырех вариантов; эти четыре варианта не являются взаимоисключающими.

Предотвращение риска: рассмотрение способов устранения угрозы или уязвимости или изменения процесса или деятельности таким образом, чтобы угроза

кним больше не была применима.

Перенос риска: перенос риска на третью сторону, которая может взять на себя

риск, как например страховые компании, или через передачу функций поставщикам сетевых решений или службам управления безопасностью.

Снижение риска: применение соответствующих защитных мер для снижения

риска (в терминах снижения уязвимостей или возможных последствий).

Принятие риска (объективным образом): принятие решения в отношении всего оставшегося риска.

Политика безопасности компьютерных систем и ее реализация

32

I Управленческие меры обеспечения информационной безопасности:

3 Анализ и управление рисками при реализации ИБ

Методологии «Оценка рисков» (Risk Assessment) и «Управление рисками» (Risk Management) стали неотъемлемой составляющей деятельности в области обеспечения непрерывности бизнеса (Business Continuity) и информационной безопасности (Information Security).

Подготовлены и активно используются более десятка различных международных стандартов и спецификаций, детально регламентирующих процедуры управления информационными

рисками:

ISO 15408: 1999 (Common Criteria for Information Technology Security Evaluation),

ISO 17799:2002 (Code of Practice for Information Security Management),

NIST 80030, SAS 78/94, COBIT.

На сегодняшний день существует достаточно широкое множество инструментальных средств и методик управления информационными рисками, под которыми подразумевается определение параметров риска, анализ и оценка риска (АОР), а также определение операций над рисками.

Для интегрированного представления параметров риска с отображением

на сферу ИБ, предлагается представить их в виде десятикомпонентного кортежа

<E, A, M,C, P, D, S, F, L, V>, где E – событие, A – действие, M – мера риска,

C – характеристика ситуации, P – вероятность, D – опасность, S – ситуация выбора, F – частота, L – затраты и потери (расходы), V – отклонение от цели.

 

Сводная таблица результатов исследования методик

и ПО для АОР

Информация

Название

Информация на

 

 

входе

на выходе

1.

COBRA (компания C & A Systems Security

E, A, М, C

P, М

 

Ltd.)

 

 

2.

ГРИФ 2006 и Digital Security Office 2006

А, Е, М

M, Р, L, D

 

(Россия)

 

 

3.

CRAMM (the UK Goverment Risk Analysis

E, A, М, C, F, P, L

E, A, М, F, P, L

 

and Managment Method)

 

 

4.

Комплексная экспертная система (КЭС)

Е, А, M, D, Р

L, M

 

управления ИБ «АванГард» (Россия)

 

 

5.

Microsoft Security Assessment Tool

Е, А, С, M

D, M

6.

Методика РС БР ИББС-2.2-2009

Е, А, С, M, F

Р, D, M, L

 

(Рекомендации в области стандартизации

 

 

 

Банка России)

 

 

7.

Методика Risk Matrix (приложение для

А, С, D, M

Р, D

 

Microsoft Excel)

 

 

Политика безопасности компьютерных систем и ее реализация

33

I Управленческие меры обеспечения информационной безопасности:

3 Анализ и управление рисками при реализации ИБ

На практике такие методики управления рисками позволяют:

создавать модели информационных активов компании с точки зрения безопасности;

классифицировать и оценивать ценности активов;

составлять списки наиболее значимых угроз и уязвимостей безопасности;

ранжировать угрозы и уязвимости безопасности;

обосновывать средства и меры контроля рисков;

оценивать эффективность/стоимость различных вариантов защиты;

формализовать и автоматизировать процедуры оценивания и управления рисками.

Политика безопасности компьютерных систем и ее реализация

34

I Управленческие меры обеспечения информационной безопасности: 4 Безопасность в жизненном цикле системы

Если синхронизировать программу безопасности нижнего уровня с жизненным циклом защищаемого сервиса, можно добиться большего эффекта с меньшими затратами. Известно, что добавить новую возможность к уже готовой системе на порядок труднее и дороже, чем изначально запроектировать и реализовать ее. То же справедливо и для информационной безопасности.

Выделим в жизненном цикле следующие этапы:

Инициация. На этом этапе выявляется необходимость в приобретении нового сервиса, документируется его предполагаемое назначение.

Закупка. На этом этапе составляются спецификации, прорабатываются варианты закупки, выполняется собственно закупка.

Установка. Сервис устанавливается, конфигурируется, тестируется и вводится в

эксплуатацию.

Эксплуатация. На этом этапе сервис не только работает и администрируется, но и подвергается модификациям.

Выведение из эксплуатации. Происходит переход на новый сервис.

Политика безопасности компьютерных систем и ее реализация

35

I Управленческие меры обеспечения информационной безопасности:

4 Безопасность в жизненном цикле системы

На этапе инициации оформляется понимание того, что необходимо приобрести новый или значительно модернизировать существующий сервис.

Вплане ИБ важнейшим действием на этом этапе является оценка критичности как самого сервиса, так и информации, которая с его помощью будет обрабатываться. Необходимо сформулировать ответы на следующие вопросы:

1)Какого рода информация предназначается для обслуживания новым сервисом?

2)Каковы возможные последствия нарушения конфиденциальности, целостности и доступности этой информации?

3)Каковы угрозы, по отношению к которым сервис и информация будут наиболее уязвимы?

4)Есть ли какие-либо особенности нового сервиса, требующие принятия специальных операционных мер (например, территориальная распределенность компонентов)?

5)Каковы характеристики персонала, имеющие отношение к безопасности (квалификация, благонадежность)?

6)Каковы законодательные положения и внутренние правила, которым должен удовлетворять новый сервис?

Результаты оценки критичности являются отправной точкой в составлении спецификаций. Кроме того, они определяют ту меру внимания, которую служба безопасности организации должна уделять новому сервису на последующих этапах его жизненного цикла.

Политика безопасности компьютерных систем и ее реализация

36

I Управленческие меры обеспечения информационной безопасности: 4 Безопасность в жизненном цикле системы

Этап закупки — один из самых сложных. Нужно окончательно сформулировать требования к защитным средствам нового сервиса, к компании, которая может претендовать на роль поставщика, и к квалификации, которой должен обладать персонал, использующий или обслуживающий закупаемый продукт.

Все эти сведения оформляются в виде спецификации, куда входят не только аппаратура и программы, но и документация, послепродажное обслуживание, обучение персонала. Разумеется, особое внимание должно быть уделено вопросам совместимости нового сервиса с существующей конфигурацией.

Подчеркнем также, что нередко средства безопасности являются необязательными компонентами коммерческих продуктов, и нужно проследить, чтобы соответствующие пункты не выпали из спецификации.

Все технические средства должны иметь соответствующие сертификаты.