Информатизация бизнеса. Управление рисками
Шрифт:
Процесс управления рисками информационной безопасности можно подразделить на следующие основные этапы:
1) выбор анализируемых объектов и уровня детализации их рассмотрения;
2) выбор методики оценки рисков;
3) идентификация активов;
4) анализ угроз и их последствий, определение уязвимостей в защите;
5) оценка рисков;
6) выбор защитных мер;
7) реализация и проверка выбранных мер;
8) оценка остаточного риска.
Процесс управления безопасностью является непрерывным. Регулярная переоценка рисков позволит поддерживать данные о безопасности информационной системы организации в актуальном состоянии, оперативно выявлять новые опасные риски и нейтрализовывать их экономически целесообразным образом. Процесс начинается с анализа объектов информационной
Целесообразно выявлять не только сами угрозы, но и источники их возникновения для выбора наиболее подходящего средства защиты. Например, нелегальный вход в систему может стать следствием подбора пароля или подключения к сети неавторизованного оборудования. Для противодействия каждому из способов нелегального входа нужны свои механизмы безопасности.
После идентификации угрозы необходимо оценить вероятность ее осуществления и размер потенциального ущерба с использованием шкал и критериев оценки. При этом величина ущерба и вероятности не обязательно должна быть выражена в абсолютных денежных показателях. Используемые методы анализа и оценки рисков информационной безопасности (сценарный анализ, прогнозирование) допускают применение порядковой или количественной шкалы. Можно также использовать трехбалльную шкалу оценки вероятности и угроз: низкая/средняя/высокая. Но при этом надо одинаково понимать, что стоит за каждым из этих значений.
Оценивая тяжесть ущерба, необходимо иметь в виду не только непосредственные расходы на замену оборудования или восстановление информации, но и более отдаленные, такие как подрыв репутации, ослабление позиций на рынке и т. п.
После оценки рисков следует выбрать защитные меры, направленные на снижение рисков и реализацию потребностей информационной безопасности. В качестве защитных мер могут использоваться дополнительная настройка программного обеспечения, строгое управление паролями, охрана, механизмы контроля доступа операционных систем, обучение пользователей вопросам безопасности.
В конце цикла управления рисками ИБ проводится повышение осведомленности сотрудников компании в области политики безопасности, стандартов и руководств по обеспечению целостности, конфиденциальности и доступности данных.
Политика безопасности является своеобразным фундаментом для программы безопасности компании. К этой политике нужно относиться серьезно с самого начала, в нее должны быть заложены идеи постоянной актуализации, обеспечивающие постоянное функционирование всех компонентов безопасности и работу по достижению целей, соответствующих целям бизнеса. Выработка собственной уникальной политики безопасности нужна только для тех организаций, чьи информационные системы и обрабатываемые данные можно считать нестандартными. Для типовой организации можно использовать типовой набор защитных мер, выбранный из наиболее распространенных рисков информационной безопасности в базе международных или локальных стандартов (ISO 27001). При использовании западных стандартов следует провести анализ на соответствие требованиям национального законодательства в области информационной безопасности.
Разработка политики в области ИБ включает формирование соответствующего комплекта организационно-распорядительной и нормативно-методической документации, положений по обеспечению ИБ компании и методики проведения внутреннего аудита безопасности.
Внедрение политики информационной безопасности относится к организационным мерам управления безопасностью. Ввод в действие политики начинается с момента ознакомления всех сотрудников (под роспись) с актуальной политикой ИБ и ее основными принципами касательно применения видов связи, коммуникаций, хранения,
использования и передачи данных. Так, например, политика безопасности может содержать регламенты использования следующих устройств:внешние носители. Запрет личных носителей, ограничение использования по принципу необходимости, строгий учет используемых носителей, назначение ответственных за ИБ в каждом подразделении;
Интернет. Регламентация получения доступа, использования и контроля использования ресурсов сети Интернет, регламентация использования корпоративной и внешней электронной почты;
дополнительные устройства. Регламентация самостоятельной установки/подключения дополнительных устройств, таких как USB, Fire-Wire, LPT, COM, IrDA, HDD, Floppy, DVD/CD-ROM, Tape, Modem, Bluetooth, Wi-Fi, мобильные устройства, прочее.
В некоторых компаниях используются так называемые «белые списки» устройств (например, USB, CD/DVD), доступных к использованию в соответствии с политикой безопасности, регламентированных по определенному производителю, модели, серийному номеру или по пользователям/группам пользователей.
Также в политике безопасности могут быть прописаны следующие ограничения:
• запрет/контроль использования личных мобильных телефонов, фото– и видеотехники, переносных компьютеров, дополнительных устройств передачи информации;
• контроль помещений и использование видеонаблюдения;
• регламентация учета, хранения и использования, а также контроль за перемещением всех накопителей информации и средств вычислительной техники;
• ограничения использования факсов, модемов, телефонной связи;
• разграничение полномочий пользователей информационных систем при помощи ведения и контроля журналов доступа к критичным ресурсам и использования частных политик безопасности для всех операционных систем, программных комплексов, коммуникационного оборудования, сетей;
• контроль каналов печати: локальных, сетевых, виртуальных;
• регламентация жизненного цикла, в том числе утилизации цифровых и бумажных носителей информации.
Помимо организационных принципов информационной безопасности, целесообразно использовать технические меры в соответствии с утвержденной политикой ИБ. Введение технических ограничений на внешние носители, аппаратное и программное ограничение рабочих станций предусматривает обязательное шифрование и автоматизированный контроль использования внешних носителей с помощью специального ПО.
Техническое разграничение доступа к ресурсам сети Интернет (выделенные компьютеры либо терминальный доступ) и предоставление доступа только к необходимым ресурсам либо разграничение специальным ПО позволяет осуществлять контроль использования сети Интернет, исключение взаимодействия с внутренней сетью организации и передачу данных. С помощью технических средств возможны отключение неиспользуемых устройств, постоянный контроль конфигураций компьютеров, а также аппаратное (либо программное) отключение возможности подключения дополнительных устройств. Дополнительно применяются регламентация использования переносных компьютеров и внешних носителей информации, обязательное шифрование всей критически важной информации. Существует техническое ограничение использования факсов, модемов (на офисных АТС), учет/аудиозапись использования телефонной связи, исключение возможности использования личных мобильных телефонов, контроль использования копировальной техники с помощью установки на открытых пространствах и видеонаблюдения.
Еще одной технической мерой информационной безопасности являются хранение резервных носителей в безопасных хранилищах, физическая защита и проектирование и внедрение систем бесперебойного и гарантированного электропитания, контроля и управления доступом в помещения и к оборудованию, видеоконтроля и теленаблюдения.
Разграничение доступа пользователей информационных систем, адекватная настройка систем безопасности операционных систем, программных комплексов, коммуникационного оборудования, своевременное обновление систем безопасности и использование систем обнаружения/предотвращения вторжений позволит снизить уязвимость информационных систем на техническом уровне.