Реорганизация корпоративных систем безопасности
(продолжение)
С. А. Петренко
руководитель направления
"Безопасность компьютерных систем"
ООО "Конфидент"
s.petrenko@confident.spb.ru
Возможная методика построения системы информационной безопасности предприятия
Главной целью любой системы информационной безопасности является обеспечение устойчивого функционирования объекта, предотвращение угроз его безопасности, защита законных интересов Заказчика от противоправных посягательств, недопущение хищения финансовых средств, разглашения, утраты, утечки, искажения и уничтожения служебной информации, обеспечение нормальной производственной деятельности всех подразделений объекта. Другой целью системы информационной безопасности является повышение качества предоставляемых услуг и гарантий безопасности имущественных прав и интересов клиентов.
Достижение заданных целей возможно в ходе решения следующих основных задач:
* отнесение информации к категории ограниченного доступа (служебной тайне);
* прогнозирование и своевременное выявление угроз безопасности информационным ресурсам, причин и условий, способствующих нанесению финансового, материального и морального ущерба, нарушению его нормального функционирования и развития;
* создание условий функционирования с наименьшей вероятностью реализации угроз безопасности информационным ресурсам и нанесения различных видов ущерба;
* создание механизма и условий оперативного реагирования на угрозы информационной безопасности и проявления негативных тенденций в функционировании, эффективное пресечение посягательств на ресурсы на основе правовых, организационных и технических мер и средств обеспечения безопасности;
* создание условий для максимально возможного возмещения и локализации ущерба, наносимого неправомерными действиями физических и юридических лиц, ослабление негативного влияния последствий нарушения информационной безопасности на достижение стратегических целей. Модель построения системы информационной безопасности
При выполнении работ можно использовать следующую модель построения системы информационной безопасности (рис. 1), основанную на адаптации ОК (ISO 15408) и проведении анализа риска (ISO 17799).
Рис. 1. Модель построения системы информационной
безопасности предприятия
Эта модель соответствует специальным нормативным документам по обеспечению информационной безопасности, принятым в Российской Федерации, международному стандарту ISO/IEC 15408 "Информационная технология - методы защиты - критерии оценки информационной безопасности", стандарту ISO/IEC 17799 "Управление информационной безопасностью", и учитывает тенденции развития отечественной нормативной базы (в частности, Гостехкомиссии РФ) по вопросам информационной безопасности.
Представленная модель информационной безопасности - это совокупность объективных внешних и внутренних факторов и их влияние на состояние информационной безопасности на объекте и на сохранность материальных или информационных ресурсов.
Рассматриваются следующие объективные факторы:
* угрозы информационной безопасности, характеризующиеся вероятностью возникновения и вероятностью реализации;
* уязвимости информационной системы или системы контрмер (системы информационной безопасности), влияющие на вероятность реализации угрозы;
* риск - фактор, отражающий возможный ущерб организации в результате реализации угрозы информационной безопасности: утечки информации и ее неправомерного использования (риск в конечном итоге отражает вероятные финансовые потери - прямые или косвенные). Для построения сбалансированной системы информационной безопасности предполагается первоначально провести анализ рисков в области информационной безопасности. Затем определить оптимальный уровень риска для организации на основе заданного критерия. Систему информационной безопасности (контрмеры) предстоит построить таким образом, чтобы достичь заданного уровня риска.
Методика проведения аналитических работ
Предлагаемая методика позволяет:
* полностью проанализировать и документально оформить требования, связанные с обеспечением информационной безопасностью;
* избежать расходов на излишние меры безопасности, возможные при субъективной оценке рисков;
* оказать помощь в планировании и осуществлении защиты на всех стадиях жизненного цикла информационных систем;
* обеспечить проведение работ в сжатые сроки;
* представить обоснование для выбора мер противодействия;
* оценить эффективность контрмер, сравнить различные варианты контрмер. Определение границ исследования
В ходе работ должны быть установлены границы исследования. Для этого необходимо выделить ресурсы информационной системы, для которых в дальнейшем будут получены оценки рисков. При этом предстоит разделить рассматриваемые ресурсы и внешние элементы, с которыми осуществляется взаимодействие. Ресурсами могут быть средства вычислительной техники, программное обеспечение, данные. Примерами внешних элементов являются сети связи, внешние сервисы и т. п.
Построение модели информационной технологии
При построении модели будут учитываться взаимосвязи между ресурсами. Например, выход из строя какого-либо оборудования может привести к потере данных или выходу из строя другого критически важного элемента системы. Подобные взаимосвязи определяют основу построения модели организации с точки зрения ИБ.
Эта модель, в соответствие с предлагаемой методикой, строится следующим образом: для выделенных ресурсов определяется их ценность, как с точки зрения ассоциированных с ними возможных финансовых потерь, так и с точки зрения ущерба репутации организации, дезорганизации ее деятельности, нематериального ущерба от разглашения конфиденциальной информации и т. д. Затем описываются взаимосвязи ресурсов, определяются угрозы безопасности и оцениваются вероятности их реализации.
Выбор контрмер
На основе построенной модели можно обоснованно выбрать систему контрмер, снижающих риски до допустимых уровней и обладающих наибольшей ценовой эффективностью. Частью системы контрмер будут являться рекомендации по проведению регулярных проверок эффективности системы защиты.
Управление рисками
Обеспечение повышенных требований к ИБ предполагает соответствующие мероприятия на всех этапах жизненного цикла информационных технологий. Планирование этих мероприятий производится по завершении этапа анализа рисков и выбора контрмер. Обязательной составной частью этих планов является периодическая проверка соответствия существующего режима ИБ политике без-опасности, сертификация информационной системы (технологии) на соответствие требованиям определенного стандарта безопасности.
Оценка достигаемой защищенности
В завершение работ, можно будет определить меру гарантии безопасности информационной среды Заказчика, основанную на оценке, с которой можно доверять информационной среде объекта.
Данный подход предполагает, что большая гарантия следует из применения больших усилий при проведении оценки безопасности. Адекватность оценки основана на:
* вовлечении в процесс оценки большего числа элементов информационной среды объекта Заказчика;
* глубине, достигаемой за счет использования при проектировании системы обеспечения безопасности большего числа проектов и описаний деталей выполнения;
* строгости, которая заключается в применении большего числа инструментов поиска и методов, направленных на обнаружение менее очевидных уязвимостей или на уменьшение вероятности их наличия. Методология анализа рисков
Цель процесса оценивания рисков состоит в определении характеристик рисков в информационной системе и ее ресурсах. На основе таких данных выбираются необходимые средства управления ИБ.
Процесс оценивания рисков содержит несколько этапов:
* описание объекта и мер защиты;
* идентификация ресурса и оценивание его количественных показателей (определение потенциального негативного воздействия на бизнес);
* анализ угроз информационной безопасности;
* оценивание уязвимостей;
* оценивание существующих и предполагаемых средств обеспечения информационной безопасности;
* оценивание рисков. Риск характеризует опасность, которой может подвергаться система и использующая ее организация, и зависит от:
* показателей ценности ресурсов;
* вероятностей нанесения ущерба ресурсам (выражаемых через вероятности реализации угроз для ресурсов);
* степени легкости, с которой уязвимости могут быть использованы при возникновении угроз (уязвимости системы защиты);
* существующих или планируемых средств обеспечения ИБ.
Расчет этих показателей выполняется на основе математических методов, имеющих такие характеристики, как обоснование и параметры точности метода.