Алгоритм проведения анализа информационного риска на предприятии
8.1
Алгоритм проведения анализа информационного риска на предприятии
Содержание
Введение ........................................................................................................................... |
8.3 |
|
1. |
Оценка возможного ущерба (потерь) ..................................................................... |
8.3 |
2. |
Алгоритм проведения анализа информационного риска на предприятии ......... |
8.4 |
3. |
Стратегия управления рисками ............................................................................... |
8.6 |
4. |
Проверка системы защиты информации ............................................................... |
8.9 |
Заключение .................................................................................................................... |
8.10 |
|
8.2
Алгоритм проведения анализа информационного риска на предприятии
Введение
Информационный риск, характеризующий степень неопределенности исхода принимаемых решений по за щите информации, непосредственно связан с величиной ущерба, который наступает в случае реализации какой либо угрозы информационной безопасности.
Оценка ущерба в случае реализации информационного воздействия на систему дело достаточно сложное. Здесь чаще всего используются экспертные оценки квалифицированных специалистов. Кроме того, иногда бывает по лезно оценить вероятность самого нападения на те или иные защищаемые ресурсы. Этим вопросам и посвящено это занятие.
1. Оценка возможного ущерба (потерь)
Желательно, чтобы эта оценка была количественной. В качестве возможных вариантов оценки потерь могут быть использованы как точные методы современной математики, так и методы экспертных оценок, которые весьма широко используются при решении подобных задач.
Необходимо отметить, что в том случае, если затрагиваются интересы третьей стороны, которая по роду деятельности вашей организации доверила вам деньги, ценные бумаги, личные данные и т.п., необходимо и третью сторону включать в рассмотрение оценки ущерба.
В общем случае существуют прямые и косвенные потери.
Прямые потери определяются непосредственными расходами, возникающими в результате нарушения ин" формационной безопасности, которые достаточно точно можно подсчитать.
К таким расходам можно отнести расходы на:
•замену оборудования; анализ причин нарушения информационной безопасности;
•производство, восстановление или покупку информационного ресурса;
•восстановление работоспособности АСОИ предприятия;
•вынужденный простой;
•упущенную выгоду (потерянный контракт);
•выплату неустоек, штрафов (за невыполнение обязательств контракта) и ряд подобных “непредвиден ных” расходов.
Косвенные потери оценить гораздо сложнее. К решению этой задачи, как правило, привлекаются опытные эксперты (опять экспертные оценки!).
Им приходится решать примерно следующие задачи:
•какими материальными затратами грозит нарушение конфиденциальности информации, включенной в Пере чень сведений, составляющих коммерческую тайну предприятия (информация о планах, переговорах, кон трактах, технологиях, управлении, организации производства и т.п.);
•во что обойдется восстановление доброго имени организации (престиж, авторитет, репутация, имя, имидж, т.е. так называемые ментальные потери);
•стоимость борьбы со слухами, дезинформацией, неправильной интерпретацией и непониманием (ком муникативные потери);
•стоимость восстановления отношений, доверия клиентов (банковских и не только), а также поиска но вых партнеров и клиентов взамен более не доверяющих фирме;
•стоимость восстановления позиций на рынке услуг или производства продукции
•и ряд других.
Для оценки косвенных потерь необходимо проанализировать путь достижения целей восстановительных дей ствий, исходя из которого может в значительной степени проясниться задача экспертного оценивания мате риального ущерба.
Естественно, что информационные потери требуют расходов на их восстановление, что приводит к времен ным задержкам, вызывающим соответствующие претензии пользователей, потерю интересов, а иногда и фи нансовые санкции.
Это свидетельствует о тесной взаимообусловленности прямых и косвенных потерь, что обязательно должно найти отражение в действиях экспертов при подсчете убытков и разработке плана реагирования на создав шуюся ситуацию.
При этом, например, затраты на восстановление репутации определяются степенью ее подрыва:
•негативная реакция отдельных чиновников, общественных деятелей;
•критика в средствах массовой информации, не имеющая широкого общественного резонанса;
8.3
Алгоритм проведения анализа информационного риска на предприятии
•негативная реакция отдельных депутатов Государственной Думы;
•критика в средствах массовой информации, имеющая последствия в виде крупных скандалов, парламен
тских слушаний, широкомасштабных проверок и т.п.; негативная реакция на уровне Президента и Правительства РФ.
То же можно сказать и о степени затрат на восстановление деятельности предприятия при его дезорганиза ции в случае недоступности данных если отсутствует доступ к информации 1 час, это одна ситуация, а если, например, сутки, это совсем другая.
В зависимости от последствий нарушения информационной безопасности потери могут выражаться и качествен ными характеристиками, например, низкие, средние, высокие и очень высокие. При этом каждому уровню соот ветствует определенный диапазон материального ущерба, совершенно конкретный для каждого предприятия.
Непосредственно с оценкой ущерба связана величина вероятности самого факта обращения оппонентов к интересующим их ресурсам (не путать с вероятностью реализации угроз!). На значение указанной вероятно сти оказывает непосредственное и косвенное влияние ряд факторов, таких, как:
•внутренняя ценность информационного ресурса стоимость потерь и влияние отсутствующего ресурса на работу организации (стоимость его замещения); если нарушитель имеет цель подорвать экономическое по ложение предприятия, то велика вероятность нападения на ресурс;
•внешняя ценность заинтересованность в этом ресурсе конкурента (цена, которую он готов запла тить за приобретение этого ресурса). Если ценность ресурса высока, но потребность в нем у конкурен тов в значительной степени удовлетворена, то вероятность нападения минимальна. В противном слу чае ваши оппоненты могут решиться на противоправные действия. Оценить заинтересованность кон курента в каком то ресурсе и спрогнозировать его действия достаточно сложно, но необходимо. Этим должен заниматься отдел экономической безопасности и аналитический (маркетинговый) отдел (если фирма небольшая специально выделенный сотрудник СБ).
•рыночная ценность стоимость и наличие этого ресурса на рынке (возможность приобретения ресурса в нужном количестве, нужного качества и в нужное время). Если данный ресурс доступен и цена прием лема, он вряд ли подвергнется нападению. В противном случае вероятность нападения возрастает. (Ин формацию о стоимости ресурсов и их доступности собирает маркетинговый отдел, предоставляя СБ ана литический обзор).
•уровень защиты (стоимость взлома защиты). Нарушитель только тогда решится на противоправные дей ствия, когда затраты на взлом системы защиты будут меньше стоимости ресурса (плюс потери пострадав шей стороны, которые дадут конкуренту преимущество во времени и финансах).
•возможность реализации ресурса после получения его оппонентом. Важно не только получить доступ к ресурсу, но и суметь воспользоваться им. А этому могут помешать по крайней мере два фактора огра ниченное время эффективного использования информации и уникальность ресурса (некоторые ресур сы легко идентифицировать).
Вероятность подвергнуться какому либо информационному ресурсу нападению со стороны оппонента прямо про порциональна сумме вероятностей, определенных для каждой из пяти позиций. Еще раз оговоримся, что эта веро ятность характеризует возможность самого нападения на информационную систему. А дальше уже может вестись речь о вероятности преодоления защиты.
В результате анализа информационных ресурсов можно выделить те из них, опасность нападения на которые наиболее высока. Видимо ранжирование конфиденциальной информации и в целом информационных ресурсов по степени опасности нападения будет оказывать решающее значение в выборе способов защи ты информации.
Однако уже здесь проявляется качество системы защиты информации (чем оно выше, тем меньше одна из со ставляющих общей вероятности – вероятности того, что оппонент решится на взлом системы защиты). А если по каждому информационному ресурсу добавить его уязвимость, т.е. вероятность удачного осуществления ата ки по одному или нескольким каналам доступа, то получим наиболее полную картину, характеризующую состо яние информационной безопасности АСОИ предприятия.
Таким образом, получены фактически все составляющие для оценки информационного риска на предприя тии.
2. Алгоритм проведения анализа информационного риска на предприятии
Общий алгоритм оценки рисков представлен на рис. 1.
На рис. 1 представлены все 6 этапов анализа риска (каждый из которых при желании может быть детализи рован). На первом этапе определяются сведения, составляющие для предприятия одну из тайн, которую при дется защищать.
Понятно, что такие сведения хранятся в определенных местах и на конкретных носителях, передаются по ка налам связи, обрабатываются для организации таких передач и наконец подлежат соответствующей профи лю предприятия переработке. При этом определяющим фактором в технологии обращения с информацией является архитектура АСОИ. В дальнейшем именно она во многом будет определять защищенность информа ционных ресурсов.
8.4
ИНФОРМАЦИОННЫЕ |
РЕСУРСЫ |
Алгоритм проведения анализа информационного риска на предприятии
Места |
|
|
|
|
|
|
хранения |
|
Каналы |
Способы и |
|
|
|
информации |
|
|
|
|
||
|
доступа, |
средства |
Способы |
|
|
|
Узлы |
|
|
Ущерб от |
|||
|
обеспечения |
|
||||
формальной |
|
утечки или |
и средства |
|
неправомерного |
|
|
воздействия |
информационной |
|
|||
обработки |
|
преодоления |
|
доступа к |
||
Узлы |
|
на |
безопасности |
защиты |
|
информа |
переработки |
|
информацию |
(в соответствии |
|
|
ционным |
|
|
с целями |
|
|
||
информации |
|
|
|
|
ресурсам |
|
|
|
защиты) |
|
|
||
Каналы |
|
|
|
|
|
|
|
|
|
|
|
|
|
передачи |
|
|
|
|
|
|
данных |
|
|
|
|
|
|
|
|
|
|
|
|
|
Из
Перечня
сведений
Архитектура |
Угрозы |
|
Вероятные |
|
Уязвимости |
|
Ранжированный |
|
|
бреши |
|
|
|||||
АСОИ |
|
|
по каждой |
|
список |
|||
|
|
в обороне |
|
угрозе |
|
|||
|
|
|
|
|
угроз |
|||
|
|
|
|
|
|
|
||
Рис.1 Алгоритм анализа информационного риска на предприятии |
||||||||
|
|
|||||||
|
|
|||||||
В связи с этим необходимо еще раз подчеркнуть, что степень информационной безопасности определяется не только (а может быть и не столько) средствами и способами защиты, но и особенностями построения АСОИ. И когда говорят об АСОИ в защищенном исполнении, речь должна вестись прежде всего о выборе такой архи тектуры (топологии) системы обработки информации, расположения средств обработки конфиденциальной информации, выбора способов ее хранения и передачи, которые в значительной степени уменьшат количе ство мест доступа к информации.
Третий этап анализа риска – построение каналов доступа, утечки или воздействия на информационные ре сурсы основных узлов АСОИ. Каждый канал доступа характеризуется множеством точек, с которых можно “снять” информацию. Именно они и представляют угрозы на уровне применения средств недопущения не желательных воздействий на информацию.
Анализ способов защиты всех возможных точек атак соответствует целям защиты и его результатом должна быть характеристика возможных брешей в обороне, в том числе за счет неблагоприятного стечения обстоя тельств (4 ый этап).
На пятом этапе, исходя из известных на данный момент способов и средств преодоления оборонительных рубежей, определяются уязвимости (вероятности реализации угроз) по каждой из возможных точек атак.
Ну, и, наконец, заключительным аккордом является оценка ущерба организации в случае реализации каж дой из атак, который вместе с оценками уязвимости позволяет получить ранжированный список угроз ин формационным ресурсам.
Результаты действий по анализу риска желательно представить в виде, удобном для их восприятия и выра ботки решений по корректуре системы защиты информации. Пример табличного представления приведен в табл. 1.
Некоторые пояснения к таблице. Каждый информационный ресурс имеет несколько потенциальных угроз. Принципиально же анализирующего риски должна интересовать суммарная вероятность доступа к инфор мационным ресурсам, которая складывается из элементарных вероятностей доступа к отдельным точкам прохождения информации.
Величина информационного риска по каждому ресурсу определяется как произведение вероятности напа дения на ресурс, вероятности реализации угрозы и ущерба от информационного вторжения. В этом произве дении могут использоваться различные способы взвешивания составляющих.
Сложение рисков по всем ресурсам даст величину суммарного риска при принятой архитектуре АСОИ и внедрен ной в нее системы защиты информации.
8.5