2015-06-26
2630
Работа по анализу риска состоит в том, чтобы оценить величину рисков, выработать методы по их уменьшению, а затем убедиться, что риски заключены в приемлемые рамки. Алгоритм анализа риска представлен на рисунке 2.
Выбор анализируемых объектов и степени детализации
Выбор методологии оценки рисков
Идентификация объектов
Анализ угроз и уязвимостей защиты
Оценка рисков
Выбор защитных мер
Реализация и проверка выбранных мер
Оценка остаточного риска
Рисунок 2
Предварительные этапы анализа риска
На начальном этапе методом экспертной оценки решаются общие вопросы проведения анализа рисков. Первым делом выбираются компоненты АС и степени детальности их рассмотрения.
Более тщательному анализу подвергаются новые и модифицированные компоненты АС, а так же компоненты, где имели место новые инциденты и нарушения безопасности. Далее выбираются методологии оценки рисков, как процесса получения количественной или качественной оценки ущерба, который может произойти в случае реализации угроз безопасности АС. Методология носит частный характер, присущий организации и АС. На практике, с учетом допустимой приближенной оценки рисков, часто используют простые, наглядные методы, основанные на элементах теории вероятности и математической статистики.
|
|
|
Идентификация активов
Основу процесса анализа риска составляет определение, что надо защищать, от кого и как. Для этого выделяют активы (компоненты АС), нуждающиеся в защите. Некоторые активы (например, технические и программные средства) идентифицируются очевидным образом. Про некоторые активы (люди, расходные материалы) часто забывают. При идентификации активов могут быть затронуты и нематериальные ценности, например, репутация компании, моральный климат в коллективе и т.д.
В таблице представим основные категории активов АС предприятия.
| Категории активов | Компоненты информационной системы |
| Аппаратное обеспечение | Компьютеры, периферийные устройства, коммуникационные линии, сетевое оборудование и их составные части |
| Программное обеспечение | Исходные, объектные и загрузочные модули ОС, вспомогательных систем, инструментарных средств разработки, прикладных программных пакетов |
| Информационное обеспечение | Вводимые, обрабатываемые, хранимые, передаваемые и резервные данные |
| Персонал | Обслуживающий персонал и пользователи |
| Документация | Конструкторская, техническая, пользовательская и иная документация |
| Расходные материалы | Бумага, картриджи и т.д. |
Планом результата идентификации активов является получение детальной информационной структуры организации и способов использования информации. Дальнейшие этапы анализа риска основываются именно на данной, зафиксированной на данный момент времени, информации.
|
|
|
Анализ угроз
После идентификации активов АС следует рассмотреть все возможные угрозы, оценить риски и ранжировать их по степени возможного ущерба. Под угрозой обычно понимают любое событие (действие), которое потенциально может нанести ущерб АС путем нарушения конфиденциальности, целостности или доступности информации.
В таблице приведем примеры общих угроз, способных привести к нарушению целостности, конфиденциальности и доступности информации.
| Реализация угроз | Объекты воздействия | |||
| Информационное обеспечение | Программное обеспечение | Техническое обеспечение | Персонал | |
| Нелегальное ознакомление (чтение) | НСД, копирование, размножение, хищение, перехват, дешифрование | НСД, внедрение вирусов и закладок, использование дефектов, ошибки | НСД, внедрение закладок, нарушение режимов работы, хищение носителей, отказы, ошибки | Некомпетентность, халатность, разглашение, подкуп и вербовка |
| Несанкционированное уничтожение или модификация | НСД, искажение, удаление, модификация | НСД, искажение, удаление, модификация | НСД, внедрение закладок, нарушение режимов работы, отказы, ошибки | Некомпетентность, халатность, подкуп и вербовка |
| Отказ в обслуживании | НСД, искажение, удаление, адресация | НСД, искажение, удаление, внедрение вирусов и закладок, отмена, использование дефектов, ошибки | НСД, внедрение закладок, нарушение режимов работы, выход из строя отказы, ошибки, разрушение, перезагрузка | Некомпетентность, халатность, болезнь, нарушение режимов работы |
После идентификации угрозы необходимо оценить риск проявления угрозы. Кроме вероятности осуществления угрозы важен размер ожидаемых потерь: 
(произведение вероятностной оценки риска проявления угрозы на ущерб при реализации угроз).
Приведем примеры простых способов оценки вероятности проявления угроз и возможных потерь:
1) Экспертная оценка событий. Методы экспертных оценок применяются при оценки трудно предсказуемых угроз, например, стихийных бедствий и являются самыми неточными.
2) Методика определения приемлемости уровня риска по трехбалльной шкале. Согласно методике, оцениваемым рискам и ущербам ставятся оценки по трехбалльной шкале {1 2 3}. Полученные два множества оценок рисков и ущерба перемножаются. Множество значений будет следующим {1 2 3 4 6 9}. Предполагается, что первые два значения характеризуют низкий уровень риска, третий и четвертый – средний, два последних – высокий.
3) Методика определения приемлемости уровня риска с учетом видимости угроз и их последствий. Здесь вводится понятие видимости угрозы для внешнего мира – меры информации о системе, доступной злоумышленнику. Согласно указанной методике, оцениваемым риском, видимости, физическим ущербом и моральным ущербом ставятся оценки по трехбалльной шкале {1 2 3}. Значение рисков умножаются на значения для видимости, а значение для физического ущерба умножаются на значения для морального ущерба. Затем, полученные два числа складываются.
Стержнем плана являются рекомендации по реализации системы обеспечения безопасности информации. Здесь целесообразно отметить следующие сведения:
1. Рекомендации по выбору общих средств и способов защиты. Выбираемые средства образуют первостепенную линию обороны.
2. Определение стратегии защит. Важнейшим способом защиты активов является использование нескольких различных стратегий (принцип эшелонированность обороны). Если одна линия обороны прорвана, вступает следующая стратегия.
3. Физическая защита.
4. Выявление неавторизированной деятельности. Для этого могут использоваться следующие способы и средства:
|
|
|
- анализ сообщений пользователей;
- отслеживание пользователем системы с помощью несложных пакетных файлов и программ;
- мониторинг системы администратором;
- ведение и анализ регистрационного журнала системы.
5. В разделе могут быть освещены действия в случае подозрений неавторизированной деятельности.
6. Правила безопасности работы персонала. Обычно правила делятся в соответствии с категориями персонала, а именно:
- правила безопасной работы, различные действия, процедуры докладов пользователей;
- правила администрирования конфигурационного управления процедуры сохранения-восстановления и процедуры докладов администраторов.
7. Ресурсы для предупреждения нарушений безопасности. В данном разделе описываются программные, аппаратные и процедурные ресурсы, реализующие политику безопасности. Интегрированная система безопасности корпоративной сети обычно включает следующие средства:
- системы и средства аутентификации;
- средства обеспечения целостности информации;
- средства обеспечения конфиденциальности (шифрование);
- средства аутентификации источника данных (ЭЦП);
- сетевые соединения, МСЭ и средства ограничения сетевого доступа.
В плане могут быть выделены типы процедур безопасности АС предприятия. Перечислим наиболее типичные процедуры ЗИ:
1) Проверка системной безопасности. Элементом таких проверок является ревизия политики безопасности и защитных механизмов. Примерами могут быть плановые учения и отдельные поверки некоторых процедур.
2) Процедуры управления счетами. Это необходимо для предотвращения несанкционированного доступа к системам. Должны быть процедуры управления счетами и администраторов и пользователей. Администраторы отвечают за заведение, удаление из счетов и осуществляют общий контроль. Пользователь может контролировать, пользуется кто его счетом или нет.
3) Процедура управления паролями (процедуры выбора и смены пароля).
4) Процедура конфигурационного управления.
|
|
|
После рекомендации по реализации защиты в плане могут быть конкретизированы ответственность и обязанность персонала. Заканчивается план определением общих вопросов жизненного цикла системы защиты: внедрение, эксплуатация, сопровождение и снятие с эксплуатации. Здесь могут быть определены сроки и периодичность проверки системы защиты в соответствии с порядком пересмотра политики безопасности и анализа риска.
План обеспечения непрерывной работы и восстановление функционирования автоматизированной системы
Частью реакции на нарушение безопасности является предварительная подготовка ответных мер, т.е. поддержание должного уровня защиты так, чтобы ущерб мог быть ограничен, а в дальнейшем и исключен. Указанный план определяет действия персонала АС в критических ситуациях с целью обеспечения непрерывной работы и восстановления функционирования АС. Необходимость указанного плана диктуется следующим:
1) Предотвращением угрозы жизни людей.
2) Экономическими целями.
3) Требованиям по защите секретной и критически важной информации.
4) Нежелательной оглаской в прессе.
5) Правовым аспектом.
Обычно план состоит из двух частей, описывающих меры реагирования на нарушение безопасности и восстановительные работы. Меры реагирования на нарушения направлены на обнаружение и нейтрализацию нарушений с целью снижения ущерба и ограничения распространения угрозы. а так же недопущения повторных нарушений. Указанная часть плана содержит следующую группу сведений:
1) Основные положения.
2) Оценка инцидента.
3) Оповещение.
4) ответные меры.
5) Правовой аспект.
6) Регистрационная документация.
После нарушения следует предпринять ряд действий по восстановлению нормального функционирования АС. Основными положениями документа являются следующие:
1) Оперативный пересмотр политики.
2) Устранение слабостей.
3) Усвоение уроков.
4) Совершенствование политики и процедур.
Реализация плана
К основным процедурам обеспечения безопасности относятся:
1) Проверка системы и средств безопасности.
2) Управление паролями.
3) Управление счетами.
4) Поддержка пользователей.
5) сопровождение ПО.
6) Конфигурационное управление
7) Резервное копирование.
8) Управление носителями.
9) Документирование.
