Файл: Опорный конспект.doc

Список літератури

84. Столлингс Вильям. Криптография и защита сетей: принципы и практика /Пер. с англ – М.: Издательский дом «Вильямс», 2001.

85. Иванов М.А. Криптографические методы защиты информации в компьютерных системах и сетях. – М.: КУДИЦ-ОБРАЗ, 2001.

86. Жельников В. Криптография от папируса до компьютера. – М.: ABF, 1996.

87. Бабенко Л.К. Введение в специальность «Организация и технология защиты информации». – Таганрог: Изд-во ТРТУ, 1999. –54с.

88. Брюхомицкий Ю.А. Введение в информационные системы. – Таганрог: Изд-во ТРТУ, 2001. – 151 с.

89. Зегжда Д.П., Ивашко А.М. Как построить защищенную информационную систему Под научной редакцией Зегжды Д.П. и Платонова В.В. – СПб: Мир и семья-95,1997. – 312 с.

90. Гайкович В.Ю., Ершов Д.В. «Основы безопасности информационных технологий»

91. Котухов М.М., Марков А.С. Законодательно-правовое и организационно-техническое обеспечение информационной безопасности автоматизированных систем. – 1998. – 158 с.

92. Информационно-безопасные системы. Анализ проблемы: Учеб. пособие Алешин Н. В, Коэлод В. Н., Нечаев Д. А., Смирнов А. С., Сычев М. П., Пальчун Б. П., Черноруцкий И. Г., Черносвитов А. В. Под ред. В. Н. Козлова. – СПб.: Издательство С.-Петербургского, гос. техн. университета, 1996. – 69 с.

93. Громов В.И., Василева Г.А. «Энциклопедия компьютерной безопасности»

Інформаційна безпека Управління ризиками План

1 Основні поняття

2 Підготовчі етапи управління ризиками

3 Основні етапи управління ризиками

1 Основні поняття

Управління ризиками розглядається нами на адміністративному рівні ІБ, оскільки тільки керівництво організації здатне виділити необхідні ресурси, ініціювати і контролювати виконання відповідних програм.

Взагалі кажучи, управління ризиками, рівно як і вироблення власної політики безпеки, актуальне тільки для тих організацій, інформаційні системи яких и/или оброблювані дані можна вважати нестандартними. Звичайну організацію цілком влаштує типовий набір захисних заходів, вибраний на основі уявлення про типові ризики або взагалі без жодного аналізу ризиків (особливо це вірно з формальної точки зору, в світлі проаналізованого нами раніше російського законодавства в області ІБ). Можна провести аналогію між індивідуальним будівництвом і отриманням квартири в районі масової забудови. В першому випадку необхідно прийняти безліч рішень, оформити велику кількість паперів, в другому достатньо визначитися лише з декількома параметрами. Більш детально даний аспект розглянутий в статті Сергія Симонова "Аналіз ризиків, управління ризиками" (Jet Info, 1999, 1).

Використовування інформаційних систем пов’язано з певною сукупністю ризиків. Коли можливий збиток неприйнятно великий, необхідно вжити економічно виправданих заходів захисту. Періодична (пері) оцінка ризиків необхідна для контролю ефективності діяльності в області безпеки і для обліку змін обстановки.

З кількісної точки зору рівень ризику є функцією вірогідності реалізації певної загрози (використовуючої деякі вразливі місця), а також величини можливого збитку.

Таким чином, суть заходів щодо управління ризиками полягає в тому, щоб оцінити їх розмір, виробити ефективні і економічні заходи зниження ризиків, а потім переконатися, що ризики укладені в прийнятні рамки (і залишаються такими). Отже, управління ризиками включає два види діяльності, які чергують циклічно:

• (пері)оценка (вимірювання) ризиків;

• вибір ефективних і економічних захисних засобів (нейтралізація ризиків).

По відношенню до виявлених ризиків можливі наступні дії:

• ліквідація ризику (наприклад, за рахунок усунення причини);

• зменшення ризику (наприклад, за рахунок використовування додаткових захисних засобів);

• ухвалення ризику (і вироблення плану дії у відповідних умовах);

• переадресація ризику (наприклад, шляхом висновку угоди страховки).

Процес управління ризиками можна розділити на наступні етапи:

1. Вибір аналізованих об’єктів і рівня деталізації їх розгляду.

2. Вибір методології оцінки ризиків.

3. Ідентифікація активів.

4. Аналіз загроз і їх наслідків, виявлення вразливих місць в захисті.

5. Оцінка ризиків.

6. Вибір захисних заходів.

7. Реалізація і перевірка вибраних заходів.

8. Оцінка залишкового ризику.

Етапи 6 і 7 відносяться до вибору захисних засобів (нейтралізації ризиків), інші - до оцінки ризиків.

Вже перелік етапів показує, що управління ризиками - процес циклічний. По суті, останній етап - це оператор кінця циклу, приписуючий повернутися до початку. Ризики потрібно контролювати постійно, періодично проводячи їх переоцінку. Відзначимо, що сумлінно виконана і ретельно документована перша оцінка може істотно спростити подальшу діяльність.

Управління ризиками, як і будь-яку іншу діяльність в області інформаційної безпеки, необхідно інтегрувати в життєвий цикл ІС. Тоді ефект виявляється найбільшим, а витрати - мінімальними. Раніше ми визначили п’ять етапів життєвого циклу. Стисло опишемо, що може дати управління ризиками на кожному з них.

На етапі ініціації відомі ризики слід врахувати при виробленні вимог до системи взагалі і засобам безпеки зокрема.

На етапі закупівлі (розробки) знання ризиків допоможе вибрати відповідні архітектурні рішення, які грають ключову роль в забезпеченні безпеки.

На етапі установки виявлені ризики слід враховувати при конфігуруванні, тестуванні і перевірці раніше сформульованих вимог, а повний цикл управління ризиками повинен передувати упровадженню системи в експлуатацію.

На етапі експлуатації управління ризиками повинне супроводжувати всі істотні зміни в системі.

При виведенні системи з експлуатації управління ризиками допомагає переконатися в тому, що міграція даних відбувається безпечним чином.

2 Підготовчі етапи управління ризиками

В цьому розділі будуть описано перші три етапи процесу управління ризиками.

Вибір аналізованих об’єктів і рівня деталізації їх розгляду - перший крок в оцінці ризиків. Для невеликої організації допустимо розглядати всю інформаційну інфраструктуру; проте якщо організація крупна, всеосяжна оцінка може зажадати неприйнятні витрати часу і сил. У такому разі слід зосередитися на найважливіших сервісах, наперед погоджуючись з наближеністю підсумкової оцінки. Якщо важливих сервісів все ще багато, вибираються ті з них, ризики для яких явно великі або невідомі.

Ми вже указували на доцільність створення карти інформаційної системи організації. Для управління ризиками подібна карта особливо важлива, оскільки вона наочно показує, які сервіси вибрані для аналізу, а якими довелося нехтувати. Якщо ІС міняється, а карта підтримується в актуальному стані, то при переоцінці ризиків відразу буде ясно, які нові або істотно змінилися сервіси потребують розгляду.

Взагалі кажучи, уразливим є кожний компонент інформаційної системи - від мережного кабелю, який можуть прогризти миші, до бази даних, яка може бути зруйнована через невмілі дії адміністратора. Як правило, в сферу аналізу неможливо включити кожний гвинт і кожний байт. Доводиться зупинятися на деякому рівні деталізації, знову-таки віддаючи собі звіт в наближеності оцінки. Для нових систем переважний детальний аналіз; стара система, що піддалася невеликим модифікаціям, може бути проаналізована більш поверхнево.

Дуже важливо вибрати розумну методологію оцінки ризиків. Метою оцінки є отримання відповіді на два питання: чи прийнятні існуючі ризики, і якщо ні, то які захисні засоби варто використовувати. Значить, оцінка повинна бути кількісною, допускаючою зіставлення з наперед вибраними межами допустимості і витратами на реалізацію нових регуляторів безпеки. Управління ризиками - типова оптимізаційна задача, і існує досить багато програмних продуктів, здатних допомогти в її рішенні (іноді подібні продукти просто додаються до книг по інформаційній безпеці). Принципова трудність, проте, полягає в неточності початкових даних. Можна, звичайно, спробувати одержати для всіх аналізованих величин грошовий вираз, вирахувати все з точністю до копійки, але великого значення в цьому ні. Практичніше користуватися умовними одиницями. В найпростішому і цілком допустимому випадку можна користуватися трибальною шкалою. Далі ми продемонструємо, як це робиться.

При ідентифікації активів, тобто тих ресурсів і цінностей, які організація намагається захистити, слід, звичайно, враховувати не тільки компоненти інформаційної системи, але і підтримуючу інфраструктуру, персонал, а також нематеріальні цінності, такі як репутація організації. Відправною крапкою тут є уявлення про місію організації, тобто про основні напрями діяльності, які бажано (або необхідно) зберегти у будь-якому випадку. Виражаючись об’єктно-орієнтованою мовою, слід в першу чергу описати зовнішній інтерфейс організації, що розглядається як абстрактний об’єкт.

Одним з головних результатів процесу ідентифікації активів є отримання детальної інформаційної структури організації і способів її (структури) використовування. Ці відомості доцільно нанести на карту ІС як грані відповідних об’єктів.

Інформаційною основою скільки-небудь крупній організації є мережа, тому в число апаратних активів слід включити комп’ютери (сервери, робочі станції, ПК), периферійні пристрої, зовнішні інтерфейси, кабельне господарство, активне мережне устаткування (мости, маршрутизатори і т.п.). До програмних активів, ймовірно, будуть віднесені операційні системи (мережна, серверні і клієнтські), прикладне програмне забезпечення, інструментальні засоби, засоби управління мережею і окремими системами. Важливо зафіксувати, де (в яких вузлах мережі) зберігається програмне забезпечення, і з яких вузлів воно використовується. Третім видом інформаційних активів є дані, які зберігаються, обробляються і передаються по мережі. Слід класифікувати дані по типах і ступені конфіденційності, виявити місця їх зберігання і обробки, способи доступу до них. Все це важливо для оцінки наслідків порушень інформаційної безпеки.

Управління ризиками - процес далеко не лінійний. Практично всі його етапи зв’язані між собою, і після закінчення майже будь-якого з них може виникнути необхідність повернення до попереднього. Так, при ідентифікації активів може виявитися, що вибрані межі аналізу слід розширити, а ступінь деталізації - збільшити. Особливо важкий первинний аналіз, коли багатократні повернення до початку неминучі.