ВВЕДЕНИЕ На сегодняшний день быстрый темп развития информационных технологий (ИТ)

реклама
ВВЕДЕНИЕ
На сегодняшний день быстрый темп развития информационных технологий (ИТ)
обработки, хранения и передачи информации изменил жизнь современности. Все сферы
жизнедеятельности человека не обходятся без применения средств вычислительной техники (ВТ)
и телекоммуникаций. Таким образом, информация приобретает уникальную ценность и является
одним из важнейших ресурсов современного общества. В связи с этим особенно возрастает роль
обеспечения надежной защиты информации (ЗИ) от неправомерного доступа к ней.
Защита информации – это комплекс мероприятий. Современный подход к обеспечению
информационной безопасности (ИБ) главным образом предусматривает направление защитных
мероприятий на гарантирование конфиденциальности, целостности и доступности информации.
Благодаря повсеместному внедрению ИТ, задачи обеспечения безопасности информации
становятся востребованными для большинства организаций.
От степени безопасности ИТ в настоящее время зависит достоверность и актуальность
информации, а значит и дальнейшая судьба организации. Утечка конфиденциальной информации
может нанести непоправимый ущерб: значительные финансовые убытки, потеря клиентов,
падение конкурентоспособности, а также удар по репутации. Модификация и уничтожение
информационных ресурсов способно надолго вывести из строя организацию во всех отношениях,
а в некоторых ситуациях привести к банкротству. Поэтому, очевидно, что проблемы обеспечения
ИБ играют первостепенную роль в функционировании и развитии организации.
Ввиду этого остро встает задача обеспечения защищенности информационных ресурсов,
однако это дорогостоящий процесс. Главным препятствием является сложность обоснования
необходимых мер и затрат на их выполнение. Вопрос экономической эффективности является
ключевым при принятии решения финансирования реализации мероприятий по обеспечению ИБ.
Но к сожалению, из-за отсутствия поддержки со стороны руководства, вопросы безопасности
остаются на втором плане. Такое отношение становится причиной возникновения рисков и
увеличения угроз ИБ, что приводит к огромному количеству проблем связанных с потерей,
утечкой информации.
Острая необходимость в ЗИ возникла не только из-за прогресса в сфере ИТ, но и с ростом
таких негативных явлений, как киберпреступность, промышленный шпионаж,
несанкционированный доступ к конфиденциальной информации. Этому свидетельствует
активность кибератак не только на крупные IT-корпорации, банковские системы и сетевые
средства массовой информации (СМИ), но и на государственные структуры. Также стоит отметить,
что сегодня актуальными темами обсуждения стали такие как кибертерроризм, информационная
война.
Очевидно, что существование проблемы ЗИ на всех уровнях: государственный,
общественный и личностный, свидетельствует о значимости ИБ в общей системе национальной
безопасности, иными словами является важнейшей государственной задачей в каждом
государстве.
В настоящее время наиболее эффективным способом решения вопросов ЗИ является
применение универсальной технологии – анализ рисков (АР), что позволит продуктивно управлять
ИБ организации.
На сегодняшний день существуют различные методы АР. Самые распространенные из
которых были взяты за основу при разработке инструментальных средств для АР. Выбор
оптимальной методики зависит от постановки задач ИБ в организации.
Специализированные программные средства, ориентированные на анализ ИР значительно
упрощают процесс оценки рисков и имеют ряд преимуществ как для самой организации, так и для
сотрудников.
Сейчас на рынке наиболее востребованными стали такие программные продукты, как
CRAMM (Великобритания), COBRA (Великобритания), Risk Watch (США), ГРИФ (Россия) и ряд
других.
Отмеченное выше свидетельствует об актуальности темы и обусловило выбор и
направления данного исследования.
1 Роль анализа рисков в области защиты информации
1.1 Информационные риски
В настоящее время вопросы безопасности предприятий и систем в различных предметных
областях вызывают широкий интерес, не только среди специалистов Комитета Национальной
Безопасности РК, Администрации РК, Администрации Призидента РК, Администрации
Правительства РК, Министерства Внутренних дел РК, а так же в образовании, в медицине, в
бизнесе и других предметных областях [1].
Жизнедеятельность любой организации всегда связана с наличием рисков, как на этапе
создания и развития предприятия, так и в процессе дальнейшего функционирования. Это не
зависит от уровня зрелости, а наоборот связано с разновидностью деятельности организации, а
также с последствиями принимаемых управленческих решений. Несомненно свою роль играют и
конкуренция, и нынешние условия рыночных отношений, да и государственное регулирование в
целом. Поэтому, в сложившейся ситуации, участники предпринимательства не могут точно
рассчитать свои действия относительно осуществления задуманных задач.
В организациях как руководители, так и сотрудники нередко сталкиваются с ситуациями,
когда приходится принимать решения в условиях неопределенности. Особенно, когда возникает
необходимость выбора только одного из несколько возможных вариантов действий. Ожидая
благоприятный исход дела, им приходится идти на риск, в первую очередь для того, чтобы
опередить конкурентов и получить дополнительный доход.
Риск является неотъемлемой частью любой сферы человеческой деятельности, при этом
полностью избежать его невозможно. Это связано с влиянием многих условий и обстоятельств.
Ведь не зря говорят: кто не рискует, тот не выигрывает. Иными словами, фактор риска
способствует повышению эффективности работы системы организации, что является залогом
успеха и получения значительной прибыли.
В процессе деятельности предприятия встречаются различные виды рисков, которые
отличаются между собой по ряду признаков. В большинстве случаев они взаимосвязаны и имеют
большое влияние на функционирование организации в общем. Но изменение одного вида риска
способно стать причиной перемены других [2].
Классификация рисков, с учетом присущих им свойств, дает возможность объединить их в
такие категории, как: характер возникновения (неблагоприятные условия, непредвиденные
ситуации, неопределенность, негативный курс развития), источник влияния (природа, общество,
государство, экономика и др.), степень воздействия (незначительная, значительная,
катастрофичная), уровень страхования (страхуемые, не страхуемые) и др. Систематизация рисков
создает удобства и упрощает процедуру АР. Но наиболее известным вариантом распределения
рисков считается деление на: политические, экономические, социальные, экологические,
техногенные.
Однако высокий темп развития ИТ и активное применение организациями данных
нововведений привело к возникновению новой категории рисков – информационных. Правда
пока не существует общепринятого толкования понятия "информационный риск", но оно уже
нашло широкое применение не только в области ИТ, а в первую очередь в сфере ИБ.
Примером одного из таких толкований является следующее определение:
"Информационные риски (ИР) — это опасность возникновения убытков или ущерба в результате
применения компанией ИТ. Иными словами, IT-риски связаны с созданием, передачей,
хранением и использованием информации с помощью электронных носителей и иных средств
связи"[3].
На сегодняшний день ИР можно разбить на две группы:
- риски, возникшие в результате утечки информации;
- риски, вызванные техническими сбоями каналов передачи информации.
Для того, чтобы контролировать и управлять рисками применяется уникальная технология
– АР, что несомненно вызвало интерес в кругу специалистов ИБ.
Управление ИР предполагает три стратегии управления, которые в различных сочетаниях
могут применяться в отношении конкретных ИР [4]:
- воздействие на источники рисков для устранения причин рисковых событий;
- влияние на факторы рисков, способствующие реализации рисковых событий;
- создание условий для снижения ущерба от наступившего рискового события
Процесс анализа ИР стал неотъемлемой частью вопроса ЗИ, а значит необходимость
использования данного подхода, обуславливается способностью решить ряд проблем, связанных
с безопасностью предприятия. Поэтому неудивительно, что анализ и управление ИР выходит на
первый план среди вопросов обеспечения режима защищенности организации.
1.2 Международный опыт защиты информации
В настоящее время сформировалась общепринятая международная практика в области
ИБ, которая применяется как и у нас в стране, так и в других сранах. Стоит отметить тот факт, что
международные специалисты в области ЗИ давно взяли на вооружение технологию АР и активно
применяют ее на практике.
Актуальность применения АР связана не только с обеспечением стабильности, но с
возможностью избежать множества проблем, в частности глобального кризиса, не только на
уровне предприятия, но и государства в целом. Поначалу АР не воспринимался всерьез, связано
это было с незначительным количеством угроз, да и с ограниченным выбором технологий и
стандартов в области ЗИ. Однако при появлении новых угроз, следовать традиционным взглядам
на ИБ уже недостаточно. Поскольку стремительный рост развития ИТ заметно увеличил не только
количество, но и качество угроз в сфере ИБ.
Расширение миллионной базы: вредоносных кодов, интернет — уязвимостей,
уязвимостей системного и прикладного программного обеспечения (ПО) привело к увеличению
сетевых атак на ресурсы сетей, подключенных к интернет. Стоит отметить, что атаки данного рода
являются мощным средством ведения информационных войн как между государствами, таки
внутри самого государства при совершении преступлений в финансовой и других сферах, включая
террористические акты.
Ежедневно во всем мире регистрируются миллионы сетевых атак, вместе с тем растет
сложность реализации и уровень опасности. Так одной из крупных атак на СМИ ушедшего года
является взлом аккаунта Twitter агентства Associated Press, где было размещено ложное
сообщение о двух взрывах в Белом доме, в результате которых Барак Обама получил травму, что
естественно вызвало панику в СМИ и на фондовых рынках. В итоге данный резонанс вызвал
падение основных активов многих компаний, что привело к многомиллионному убытку. Однако
Белый дом мгновенно опубликовал опровержение, после чего ситуация на рынках
стабилизировалась.
Насколько широкомасштабными могут быть последствия недооценки рисков, можно
наблюдать сегодня как раз на примерах такого рода, при этом распространение ИТ и зависимость
жизнедеятельности людей от них должны насторожить каждого. Ведь взлом особо важных
объектов жизнеобеспечения, таких например, как объекты энергетики, гидротехнические
сооружения может нанести непоправимый ущерб и стать причиной глобальной катастрофы.
В настоящее время обеспечение режима ИБ не всегда основано на АР, но при этом
достичь определенных положительных результатов все еще возможно, однако достичь
стабильности намного сложнее. Поэтому организации, применяющие АР, по крайней мере,
обладают важнейшим конкурентным преимуществом.
Вне зависимости от размеров и специфики организации, обеспечение режима ИБ обычно
состоит из нескольких этапов, где ключевую роль играет этап оценки рисков.
В соответствии с рисунком 1.1 выделяют 6 этапов обеспечения режима ИБ [5].
Этап 1. Разработка политики безопасности. Этот этап определяет цели, принципы и задачи,
направленные на решение вопроса обеспечения безопасности информационных ресурсов.
Результат отражается в систематизированном документе.
Этап 2. Определение границ управления ИБ. Данный этап предусматривает определение
защищаемого периметра, в пределах которых должен быть обеспечен режим ИБ. Также
необходимым является наличие документов, в которых фиксируются границы информационной
системы (ИС), перечисляются ресурсы, подлежащие защите с оценкой их значимость.
Рисунок 1.1 – Основные этапы режима ИБ
Этап 3. Оценка рисков. Этот этап отражает существующие методы оценивания рисков. При
выборе метода учитывается перечень требований, который предъявляют на предприятии к
организации режима ИБ, спектр принимаемых угроз и уровень эффективности мер по ЗИ.
Этап 4. Контрмеры и управление рисками. Этап предусматривает разработку сценария
управления рисками и формирование контрмер по нормативно-правовому, организационноуправленческому, технологическому и аппаратно-программному уровням обеспечения ИБ.
Этап 5. Выбор защитных средств. На этом этапе утверждается комплекс средств для ЗИ.
Этап 6. Аудит системы ИБ. Заключительный этап позволяет объективно оценить
соответствие выбранных контрмер целям и задачам, отраженным в политике безопасности
организации, а также международным стандартам.
Сегодня актуальным считается представление наиболее результативных вариантов
организации режима ИБ в качестве эталонных моделей, одним из таких примеров является
известная всем модель Symantec LifeCycle Security.
Модель Symantec Lifecycle Security.
Значение технологии АР при создании режима ИБ предприятия можно
продемонстрировать на примере известной модели Lifecycle Security [6]. Данная модель
разработана компанией AXENT, но спустя некоторое время совет директоров компании одобрил
приобретение AXENT компанией Symantec.
Модель Lifecycle Security представляет собой универсальную схему, которая описывает
этапы построения комплексной защиты для системы безопасности предприятия. Предлагаемый в
ней набор процедур предоставляет возможность решить задачи, связанные как с ЗИ, так и с
оценкой эффективности затрат на средства обеспечения ИБ.
Модель Lifecycle Security состоит из семи основных этапов и представлена на рисунке 1.2.
Рисунок 1.2 – Модель Lifecycle Security
Политики безопасности, стандарты, процедуры и метрики. Этот этап определяет
границы, в рамках которых происходит реализация мероприятий по обеспечению ИБ, а также
устанавливаются критерии оценивания полученных результатов. Стоит заметить, что речь идет не
только о международных и государственных стандартах в сфере ИБ, но учитываются и
корпоративные стандарты. Влияние которых существенно заметно во многих процессах при
проектировании системы защиты информации (СЗИ). Нельзя не отметить, что рекомендуется
введение метрики. Это позволит объективно оценить состояние защищенности информации до и
после внедрения СЗИ. Роль метрики заключается не только в измерении надежности системы, но
и в помощи соотношения распределенных затрат на внедрение СЗИ и полученные при этом
результаты.
Анализ рисков. Данный этап способствует установлению и поддержанию эффективности
системы управления защитой. Результаты АР позволяют получить расширенную оценку состояния
состава и структуры ИС, классифицировать ресурсы организации по привилегиям, при этом взяв за
основу уровень значимости для нормальной работоспособности, идентифицировать уязвимости в
системе и определить наиболее существенные угрозы.
Разработка плана безопасности. На этом этапе за основу берутся результаты АР, который
станет незаменимым помощником при распределении бюджетов и ресурсов по степени
правомерности, и поможет в дальнейшем с выбором не только продуктов ЗИ, но и с разработкой
сценария их внедрения.
Выбор и внедрение решений. Принятие решения о выбор средств в области ЗИ зависит от
определенных критериев и программы внедрения, что позволяет снизить вероятность закупа
невостребованных средств ЗИ, которые могут стать причиной медленного развития ИС
организации. Данный этап предусматривает учет качества предоставляемых поставщиками
необходимых услуг. Обязательным является контроль внедряемого решения и определение его
места в выполнении намеченных планов и достижении целей в отрасли ИБ.
Проведение обучения. Этот этап предназначен для того, чтобы повысить
работоспособность вычислительной среды и эффективность мер ИБ не только программнотехническими средствами, но и учитывая человеческого фактора. Стоит помнить, что время не
стоит на месте, а методы ЗИ усовершенствуются с каждым днем. Поэтому целесообразным
является проведение обучения персонала, что поспособствует значительному повышению уровня
безопасности на предприятии и увеличит шансы противодействию действиям злоумышленников.
Мониторинг защиты. Необходимость данного этапа обуславливается способностью
выявить подозрительные нежелательные действия в системе и оперативно контролировать
надежность СЗИ.
Реакция в случае инцидентов и восстановление. Способность системы противостоять
инцидентам невозможно гарантировать бз наличия заранее продуманных и выработанных мер
реагирования. Методы реагирования в случае невозможности системы защиты противостоять
инцидентам выступают в качестве гарантии быстрого восстановления работоспособности ИС.
В модели Lifecycle Security все этапы несомненно взаимосвязаны, а это говорит о
непрерывности процесса развития системы защиты, при этом этап занимает одну из ключевых
позиций.
Основными моментами этапа АР согласно данной модели можно считать:
- документирование ИС, при этом особое внимание уделяется наиболее важным
элементам;
- выявление потенциальных угроз;
- обнаружение уязвимостей ИС;
- оценка вероятных потерь.
Правда, стоит отметить, что существует взаимосвязь между этапами модели. В случае
изменений требуются пересмотреть состояние всей системы.
1.3 Национальные особенности защиты информации
На сегодняшний день наше государство уверенно занимает достойное место в мировом
сообществе наряду с другими странами мира. Вместе с тем растет и интерес к стране со стороны,
особенно учитывая рост в области информатизации общества и продвижении ИТ. Однако
быстрый темп развития и повсеместное применение ИТ привело к усилению существовавших и
появлению новых проблем в ИБ не только в нашей стране, но в мире в целом.
Развитые страны мира уже взяли на вооружение проведение регулярных исследований
распространяемой информации, при этом полученные результаты используются с целью
достижения личных преимуществ во всех аспектах на мировой арене.
В межгосударственных отношениях нарастает тенденция использования
информационного давления как действенного механизма глобальной конкуренции.
Использование различных средств информационной войны и информационной экспансии стали
неотъемлемым инструментом решения политических конфликтов. Активно используется методы
блокирования Интернет-СМИ путем проведения распределенных компьютерных атак "отказ в
обслуживании". Ведущие страны мира уже создали в составе своих вооруженных сил
информационные войска и не скрывают намерений их активного использования [7].
Существенной проблемой является динамическое развитие такого негативного фактора
как киберпреступность (информационная преступность). Хотя, в настоящее время данный вид
преступности не считается столь распространенным на территории нашего государства, однако
широкое использование населением Интернет ресурсов как социальные сети и блоги создают
благоприятные условия для злоумышленников. При реализации данных возможностей,
негативным исходом может стать воздействие на внутриполитическую ситуацию, что способно
причинить ущерб национальным интересам страны.
Одним из ярких примеров целенаправленной информационной атаки являются события
нынешного года, связанные с распространением сомнительной информации посредством smsсообщений и сообщений в WhatsApp Messenger о возможном банкротстве трех банков: Банка
ЦентрКредит, Kaspi bank’a и Альянс банка. Несомненно это вызвало ажиотаж среди населения, в
первую очередь среди вкладчиков и привело к массовому снятию денег с банковских счетов.
Однако данная информация не подтвердилась и выяснилось, что это провокация, целью которой
является дестабилизация финансовой системы страны. Тем не менее, банки понесли
значительные убытки, но главным отрицательным моментом является удар по репутации страны.
В связи с этим растет спрос на квалифицированных специалистов не только в области ИТ,
но в том числе и в сфере ИБ. Особенно остро ощущается нехватка именно таких кадров не только
в коммерческих организациях, но и в государственных структурах страны.
Согласно данным компании IDC, одной из лидирующих аналитических компаний на рынке
информационно-коммуникационных технологий, количество ИТ-специалистов на 100 тыс.
жителей в Казахстане в 2010 году составило 113 человек, что более чем в 12 раз ниже, чем в
Малайзии и в 29 раз ниже, чем в США [7].
В настоящее время вопросу ЗИ уделяется особое внимание не только по причине
появления новых способов совершения атак на ИС, но и с распространением одной из
серьезнейших проблем, как утечка конфиденциальной информации. Но бороться с ней по ряду
причин сложно.
К сожалению, все чаще становится общедоступной информация закрытого характера, а
именно коммерческая, банковская тайна, персональные данные граждан. Раскрытие информации
данной категории в лучшем случае приводит к потере конкурентных преимуществ, снижению
прибыли, но чаще становится причиной катастрофических последствий для отдельных
организаций, граждан и даже государства в целом. А это может сказаться как на развитии всех
отраслей в стране, так и поспособствовать снижению уровня защищенности общества в общем, но
главное повысить степень террористической угрозы. Ведь уже известны факты, когда ИС
государства использовались в качестве лазейки для осуществления террористической
деятельности.
Стоит отметить, что главным условием развития любого государства является обеспечение
национальной безопасности, при этом ИБ занимает одну из ключевых позиций. Но для того, чтобы
гарантировать ИБ государства требуется применение комплексного подхода, который включает в
себя и организационные, и социальные, и программно – технические меры, что действительно
заметно улучшит и отразит эффективность мер ИБ. Для минимизации угроз ИБ необходимо
внедрение многоуровневой системы ЗИ [8].
Но прежде, чем утвердить необходимость данного комплекса мер требуется наличие
весомых аргументов. Чтобы справиться с этой задачей и вышеперечисленными в ИБ применяется
технология АР, которая позволяет не только оценить состояние защищенности, но и
существующие угрозы, а также минимизировать появление новых и совершенствовать меры
защиты.
Отечественные компании уже проявили интерес к данной технологии и даже начали
постепенно внедрять АР в процесс обеспечения режима ИБ, но понимания всей серьезности и
должного отношения пока не наблюдается, скорее больше как необходимость факта наличия. Это
обуславливается отсутствием практических профессиональных навыков, а также модным
направлением – ориентированность на зарубежный опыт и вынужденное применение их
методологий и оборудования. Однако это возможно связано и с нежеланием специалистов в
области ИТ и ИБ заниматься такой трудоемкой работой. Ведь АР — это действительно рутинный
процесс, но в умелых руках может стать ключом в решении большинства задач ИБ и достижения
долговременного успеха. В связи с этим требуется не только развитие данного направления, но и
поддержка в первую очередь государства, как наиболее заинтересованной и влиятельной
стороны.
1.4 Защита и бизнес
В настоящее время главным ресурсом современного бизнеса является информация,
которая зачастую выступает и в качестве товара. Объясняется это и стремительным ростом объема
доступной информации, что непосредственно связано с внедрением новых информационнокоммуникационных технологий, за счет которых скорость доступа к ней увеличилась во много раз,
но главное значимостью ее роли в современном стремительно развивающимся мире.
Сегодня бизнес и информация связаны одной нитью. Владение информацией
предоставляет не только преимущество перед конкурентами, но эффективную возможность
контролировать, а тем более управлять бизнесом. Но современное состояние
конкурентоспособности диктует свои жесткие условия.
Не секрет, кто владеет информацией — тот владеет ситуацией. По этой причине
конкуренты никогда не бездействуют и посредством доступных им способов пытаются опередить
как минимум, на два-три шага вперед. Но бывают моменты, когда они прибегают и к более новым
изощренным методам добывания информации с целью оставить соперников позади, без
возможности восстановления. Поэтому для успешного функционирования и развития бизнеса,
необходимо особое внимание уделить вопросу практического применения ИБ.
Однако управление ИБ требует выработки осознанных и эффективных решений, принятие
которых способствует достижению значимых результатов при ведении бизнеса. Но данные
решения должны приниматься на основе достоверных фактов, ведь от этого зависит дальнейшая
судьба организации.
Также стоит отметить, что обеспечение и поддержание ИБ бизнеса требует немалого
финансирования со стороны руководства. Однако специалистам отделов ИБ часто приходится
сталкиваться с ситуацией, когда руководство требует отчета, который убедит в обязательности
данных затрат. Объяснить это можно тем, что не всегда является уместным приобретение всех
средств, представленных в перечне запросов, особенно при ограниченном бюджете, а значит
придется их минимизировать, что не так просто. Поэтому обилие средств ЗИ (СрЗИ) и выбор
лучшего создают своего рода проблему.
Стоит помнить, что защите подлежит только та информация, которая представляет
интерес. И главный принцип в этом случае заключается в том, что затраты на ЗИ не должны
превышать цену защищаемой информации.
Но как определить приоритетность информации, какое СрЗИ действительно выбрать, есть
ли смысл в дополнительных затратах и мерах обеспечения ИБ. Для решения данных задач и ряда
других наиболее подходящим методом является применение именно АР, который позволит
оценить потенциальные риски и выбрать оптимальный по эффективности вариант защиты.
На выбор метода АР оказывает влияние уровень зрелости компании с точки зрения ИБ, так
как это упростит процесс оценки рисков и увеличит точность полученных в итоге результатов. Ведь
именно степень зрелости является определяющим обстоятельством, от которого зависит
отношение организации к вопросам ИБ. Наиболее известными вариантами определения зрелости
организации считаются модели предложенные Группой Гартнер (Gartner Group), Ассоциацией
Аудита и Контроля Информационных Систем (ISACA), а также Университетом Карнеги Меллон
(Carnegie Mellon University), пример которой представлен в Приложении А.
Так, например, исследовательская компания Gartner Group выделяет четыре уровня
зрелости компании — начиная с нулевого и заканчивая третьим [9].
На нулевом уровне осознание необходимости обеспечения ИБ компании как таковое
отсутствует, нет специально выделенного отдела ИБ финансирование неприемлемо, ИБ
реализуется базовыми средствами систем управления базами данных (СУБД), операционных
систем и приложений (процедура распределения ролей доступа, парольная защита).
На первом уровне вопрос обеспечения ИБ рассматривается руководством только с
технической стороны, организационные меры развития ИБ отсутствуют, источником
финансирования является общий ИТ-бюджет, ИБ осуществляется на базе нулевого уровня с
применением дополнительных мер, таких как резервное копирование, антивирусные средства,
межсетевые экраны, технология VPN.
На втором уровне в организации проблеме ИБ отведена особая роль, руководство
осознает ответственность и применяет комплексный подход, а это означает что используются не
только технические, но и организационные меры, также утверждена политика ИБ, реализована
базовая процедура АР, работает специально выделенная служба ИБ, при этом финансирование
ведется на отдельном учете, а защита реализуется посредством предыдущих уровней и
применением средств идентификации и аутентификации, средства обработки сообщений
электронной почты, IDS (системы обнаружения вторжений), а также организационные меры
(проведение аудита, разработка внутренних документов, определяющих требования к системе ИБ
и пр.), предусмотренные политикой безопасности.
Третий уровень характеризуется применением ИБ в полной мере. Управление ИБ
становится значимым звеном корпоративной культуры, больше внимания уделено
управленческим кадрам в службе ИБ, принято решение о введении новой должности — CISO
(главный управляющий по вопросам ИБ), также определены подразделения, занимающиеся
организационными мероприятиями по ИБ, особый интерес представляет вопрос соответствия
требованиям стандартов ИБ, в полном объеме применяются методы и программные средства АР,
финансирование обеспечивается в рамках отдельного бюджета, специалисты ИБ используют как
средства предыдущих уровней, так и системы централизованного управления ИБ.
Однако большинство компаний в настоящий момент относятся к группе организаций
первого уровня, связано это с предпочтением использовать минимально необходимый набор
СЗИ. Переход на более высшие уровни требует внедрения дополнительных средств защиты, что
означает больше финансовых вложений. При этом руководство забывает о том, что каждый
неосознанный шаг, как часто бывает на уровне интуиции, а это неприемлемо в вопросах ИБ,
грозит потерей материальных средств, но в худшем случае это может привести к банкротству.
Отсутствие единой системы развития ИБ, принятой руководством, усугубляет вопрос
обоснования вложений в развитие ИБ. В то время как именно процедура АР и его результаты
способны выступить в качестве обоснования, при этом определение уровня зрелости является ее
вспомогательным процессом.
АР необходимо проводить во всех организациях, вне зависимости от каких-либо критерий,
для которых проблема обеспечения ИБ не на последнем месте, так как именно такие организации
способны достичь значительных успехов и процветания в бизнесе.
1.5 Анализ рисков и международные стандарты
В настоящее время для специалистов в области ИБ обязательным является знание
соответствующих стандартов. Объясняется это рядом причин, но главное, что необходимость
следования некоторым стандартам определено законодательном.
С точки зрения убедительности и содержательности роль стандартов заключается в том,
что они содержат первоклассные решения и методологии, разработанные опытнейшими
специалистами в процессе практической деятельности, преимущественно описаны знания о
процедурном и программно-техническом уровнях ИБ. Также неоспоримым аргументом считается
возможность стандартов обеспечить взаимную совместимость аппаратно-программных систем и
их составляющих.
Система международных и национальных стандартов в сфере ИБ насчитывает более сотни
различных документов.
Важнейшими функциями, которые выполняют данные стандарты являются:
- выработка системы терминов и их определений в области ИБ;
- формирование специальной шкалы, определяющей степень ИБ;
- единая система оценки средств, обеспечивающих ИБ;
-обеспечение технической и информационной совместимости средствам ИБ;
- придание стандартам особого назначения законной силы с условием обязательного
выполнения.
В существующих стандартах, описывающие требования и механизмы обеспечения ИБ,
оговаривается вопрос АР, при этом ему уделяется особое внимание. Ведь управление рисками ИБ
включает понимание и подготовку к потенциальной компрометации ИБ и увеличению стоимости
сокращения риска до приемлемого уровня [10].
Однако на сегодняшний день в связи с актуальностью АР в структуре ИБ были разработаны
специальные стандарты, ориентированные именно на анализ и управление рисками, но их не так
много. В целом исчерпывающий ответ можно найти как в стандартах ИБ, так и в новых,
посвященных АР.
Скачать