Файл: Опорный конспект.pdf

ми визначили п’ять етапів життєвого циклу. Стисло опишемо, що може дати управління ризиками на кожному з них.

На етапі ініціації відомі ризики слід врахувати при виробленні вимог до системи взагалі і засобам безпеки зокрема.

На етапі закупівлі (розробки) знання ризиків допоможе вибрати відповідні архітектурні рішення, які грають ключову роль в забезпеченні безпеки.

На етапі установки виявлені ризики слід враховувати при конфігуруванні, тестуванні і перевірці раніше сформульованих вимог, а повний цикл управління ризиками повинен передувати упровадженню системи в експлуатацію.

На етапі експлуатації управління ризиками повинне супроводжувати всі істотні зміни в системі. При виведенні системи з експлуатації управління ризиками допомагає переконатися в тому, що

міграція даних відбувається безпечним чином.

2 Підготовчі етапи управління ризиками

В цьому розділі будуть описано перші три етапи процесу управління ризиками.

Вибір аналізованих об’єктів і рівня деталізації їх розгляду - перший крок в оцінці ризиків. Для невеликої організації допустимо розглядати всю інформаційну інфраструктуру; проте якщо організація крупна, всеосяжна оцінка може зажадати неприйнятні витрати часу і сил. У такому разі слід зосередитися на найважливіших сервісах, наперед погоджуючись з наближеністю підсумкової оцінки. Якщо важливих сервісів все ще багато, вибираються ті з них, ризики для яких явно великі або невідомі.

Ми вже указували на доцільність створення карти інформаційної системи організації. Для управління ризиками подібна карта особливо важлива, оскільки вона наочно показує, які сервіси вибрані для аналізу, а якими довелося нехтувати. Якщо ІС міняється, а карта підтримується в актуальному стані, то при переоцінці ризиків відразу буде ясно, які нові або істотно змінилися сервіси потребують розгляду.

Взагалі кажучи, уразливим є кожний компонент інформаційної системи - від мережного кабелю, який можуть прогризти миші, до бази даних, яка може бути зруйнована через невмілі дії адміністратора. Як правило, в сферу аналізу неможливо включити кожний гвинт і кожний байт. Доводиться зупинятися на деякому рівні деталізації, знову-таки віддаючи собі звіт в наближеності оцінки. Для нових систем переважний детальний аналіз; стара система, що піддалася невеликим модифікаціям, може бути проаналізована більш поверхнево.

Дуже важливо вибрати розумну методологію оцінки ризиків. Метою оцінки є отримання відповіді на два питання: чи прийнятні існуючі ризики, і якщо ні, то які захисні засоби варто використовувати. Значить, оцінка повинна бути кількісною, допускаючою зіставлення з наперед вибраними межами допустимості і витратами на реалізацію нових регуляторів безпеки. Управління ризиками - типова оптимізаційна задача, і існує досить багато програмних продуктів, здатних допомогти в її рішенні (іноді подібні продукти просто додаються до книг по інформаційній безпеці). Принципова трудність, проте, полягає в неточності початкових даних. Можна, звичайно, спробувати одержати для всіх аналізованих величин грошовий вираз, вирахувати все з точністю до копійки, але великого значення в цьому ні. Практичніше користуватися умовними одиницями. В найпростішому і цілком допустимому випадку можна користуватися трибальною шкалою. Далі ми продемонструємо, як це робиться.

При ідентифікації активів, тобто тих ресурсів і цінностей, які організація намагається захистити, слід, звичайно, враховувати не тільки компоненти інформаційної системи, але і підтримуючу інфраструктуру, персонал, а також нематеріальні цінності, такі як репутація організації. Відправною крапкою тут є уявлення про місію організації, тобто про основні напрями діяльності, які бажано (або необхідно) зберегти у будь-якому випадку. Виражаючись об’єктно-орієнтованою мовою, слід в першу чергу описати зовнішній інтерфейс організації, що розглядається як абстрактний об’єкт.

Одним з головних результатів процесу ідентифікації активів є отримання детальної інформаційної структури організації і способів її (структури) використовування. Ці відомості доцільно нанести на карту ІС як грані відповідних об’єктів.

Інформаційною основою скільки-небудь крупній організації є мережа, тому в число апаратних активів слід включити комп’ютери (сервери, робочі станції, ПК), периферійні пристрої, зовнішні інтерфейси, кабельне господарство, активне мережне устаткування (мости, маршрутизатори і т.п.). До програмних активів, ймовірно, будуть віднесені операційні системи (мережна, серверні і клієнтські),

109

прикладне програмне забезпечення, інструментальні засоби, засоби управління мережею і окремими системами. Важливо зафіксувати, де (в яких вузлах мережі) зберігається програмне забезпечення, і з яких вузлів воно використовується. Третім видом інформаційних активів є дані, які зберігаються, обробляються і передаються по мережі. Слід класифікувати дані по типах і ступені конфіденційності, виявити місця їх зберігання і обробки, способи доступу до них. Все це важливо для оцінки наслідків порушень інформаційної безпеки.

Управління ризиками - процес далеко не лінійний. Практично всі його етапи зв’язані між собою, і після закінчення майже будь-якого з них може виникнути необхідність повернення до попереднього. Так, при ідентифікації активів може виявитися, що вибрані межі аналізу слід розширити, а ступінь деталізації - збільшити. Особливо важкий первинний аналіз, коли багатократні повернення до початку неминучі.

3 Основні етапи управління ризиками

Етапи, передуючі аналізу загроз, можна вважати підготовчими, оскільки, строго кажучи, вони напряму з ризиками не пов’язані. Ризик з’являється там, де є загрози.

Короткий перелік найпоширеніших загроз був розглянутий нами раніше. На жаль, на практиці загроз набагато більше, причому далеко не всі з них носять комп’ютерний характер. Так, цілком реальною загрозою є наявність мишей і тарганів в займаних організацією приміщеннях. Перші можуть пошкодити кабелі, другі викликати коротке замикання. Як правило, наявність тієї або іншої загрози є слідством пропусків в захисті інформаційної системи, які, у свою чергу, пояснюються відсутністю деяких сервісів безпеки або недоліками в реалізовуючих їх захисних механізмах. Небезпека прогризання кабелів виникає не просто там, де є миші, вона пов’язана з відсутністю або недостатньою міцністю захисної оболонки.

Перший крок в аналізі загроз - їх ідентифікація. Дані види загроз слід вибирати виходячи з міркувань здорового глузду (виключивши, наприклад, землетруси, проте не забуваючи про можливість захоплення організації терористами), але в межах вибраних видів провести максимально докладний аналіз.

Доцільно виявляти не тільки самі загрози, але і джерела їх виникнення - це допоможе у виборі додаткових засобів захисту. Наприклад, нелегальний вхід в систему може стати слідством відтворення початкового діалогу, підбору пароля або підключення до мережі неавторизованого устаткування. Очевидно, для протидії кожному з перерахованих способів нелегального входу потрібні свої механізми безпеки.

Після ідентифікації загрози необхідно оцінити вірогідність її здійснення. Допустимо використовувати при цьому трибальну шкалу (низька (1), середня (2) і висока (3) вірогідність).

Окрім вірогідності здійснення, важливий розмір потенційного збитку. Наприклад, пожежі бувають нечасто, але збиток від кожного з них, як правило, великий. Тяжкість збитку також можна оцінити за трибальною шкалою.

Оцінюючи розмір збитку, необхідно мати у вигляді не тільки безпосередні витрати на заміну устаткування або відновлення інформації, але і віддаленіші, такі як підривши репутації, ослаблення позицій на ринку і т.п. Хай, наприклад, в результаті дефектів в управлінні доступом до бухгалтерської інформації співробітники дістали можливість коректувати дані про власну заробітну платню. Слідством такого стану справ може стати не тільки перевитрата бюджетних або корпоративних засобів, але і повне розкладання колективу, що загрожує розвалом організації.

Вразливі місця володіють властивістю притягати до себе не тільки зловмисників, але і порівняльно чесних людей. Не всякий встоїть перед спокусою трохи збільшити свою зарплату, якщо є упевненість, що це зійде з рук. Тому, оцінюючи вірогідність здійснення загроз, доцільно виходити не тільки з середньостатистичних даних, але враховувати також специфіку конкретних інформаційних систем. Якщо в підвалі удома, займаного організацією, розташовується сауна, а сам будинок має дерев’яні перекриття, то вірогідність пожежі, на жаль, виявляється істотно вище середньою.

Після того, як накопичені початкові дані і оцінений ступінь невизначеності, можна переходити до обробки інформації, тобто власне до оцінки ризиків. Цілком допустимо застосувати такий простий метод, як множення вірогідності здійснення загрози на передбачуваний збиток. Якщо для вірогідності і збитку використовувати трибальну шкалу, то можливих творів буде шість: 1, 2, 3, 4, 6 і 9. Перші два результати можна віднести до низького ризику, третій і четвертий - до середнього, два останніх - до високого, після чого з’являється можливість знову привести їх до трибальної шкали. За цією шкалою і

110

слід оцінювати прийнятність ризиків. Правда, граничні випадки, коли обчислена величина співпала з прийнятною, доцільно розглядати більш ретельно через наближений характер результату.

Якщо які-небудь ризики виявилися неприпустимо високими, необхідно їх нейтралізувати, реалізувавши додаткові заходи захисту. Як правило, для ліквідації або нейтралізації вразливого місця, що зробило загрозу реальної, існує декілька механізмів безпеки, різних по ефективності і вартості. Наприклад, якщо велика вірогідність нелегального входу в систему, можна зажадати, щоб користувачі вибирали довгі паролі (скажімо, не менше восьми символів), задіювати програму генерації паролів або закупити інтегровану систему аутентифікації на основі інтелектуальних карт. Якщо є вірогідність умисного пошкодження серверу баз даних, що може мати серйозні наслідки, можна врізати замок в двері серверної кімнати або поставити біля кожного серверу по охоронцю.

Оцінюючи вартість заходів захисту, доводиться, зрозуміло, враховувати не тільки прямі витрати на закупівлю устаткування и/или програм, але і витрати на упровадження новинки і, зокрема, навчання і перепідготовку персоналу. Цю вартість також можна оцінити за трибальною шкалою і потім зіставити її з різницею між обчисленим і допустимим ризиком. Якщо по цьому показнику новий засіб виявляється економічно вигідним, його можна узяти на замітку (відповідних засобів, ймовірно, буде дещо). Проте якщо засіб виявиться дорогим, його не слід відразу відкидати, пам’ятаючи про наближеність розрахунків.

Вибираючи відповідний спосіб захисту, доцільно враховувати можливість екранування одним механізмом забезпечення безпеки відразу декількох прикладних сервісів. Так поступили в массачусетському технологічному інституті, захистивши декілька тисяч комп’ютерів сервером аутентифікації Kerberos.

Важливою обставиною є сумісність нового засобу з організаційною і апаратно-програмною структурою, що склалася, з традиціями організації. Заходи безпеки, як правило, носять недружній характер, що може негативно позначитися на ентузіазмі співробітників. Деколи збереження духу відвертості важливе мінімізації матеріальних втрат. Втім, такого роду орієнтири повинні бути розставлені в політиці безпеки верхнього рівня.

Можна уявити собі ситуацію, коли для нейтралізації ризику не існує ефективних і прийнятних за ціною заходів. Наприклад, компанія, що базується в сейсмічно небезпечній зоні, не завжди може дозволити собі будівництво захищеної штаб-квартири. У такому разі доводиться піднімати планку прийнятного ризику і переносити центр тяжкості на пом’якшення наслідків і вироблення планів відновлення після аварій, стихійних бід і інших подій. Продовжуючи приклад з сейсмоопасностью, можна рекомендувати регулярне тиражування даних в інше місто і оволодіння засобами відновлення первинної бази даних.

Як і всяку іншу діяльність, реалізацію і перевірку нових регуляторів безпеки слід заздалегідь планувати. В плані необхідно врахувати наявність фінансових коштів і терміни навчання персоналу. Якщо йдеться про програмно-технічний механізм захисту, потрібно скласти план тестування (автономного і комплексного).

Коли намічених заходів вжиті, необхідно перевірити їх дієвість, тобто переконатися, що залишкові ризики сталі прийнятними. Якщо це насправді так, значить, можна спокійно намічати дату найближчої переоцінки. Інакше доведеться проаналізувати допущені помилки і провести повторний сеанс управління ризиками негайно.

Список літератури

94 Столлингс Вильям. Криптография и защита сетей: принципы и практика /Пер. с англ – М.: Издательский дом «Вильямс», 2001.

95Иванов М.А. Криптографические методы защиты информации в компьютерных системах и сетях.

–М.: КУДИЦ-ОБРАЗ, 2001.

96Жельников В. Криптография от папируса до компьютера. – М.: ABF, 1996.

97Бабенко Л.К. Введение в специальность «Организация и технология защиты информации». – Таганрог: Изд-во ТРТУ, 1999. –54с.

98Брюхомицкий Ю.А. Введение в информационные системы. – Таганрог: Изд-во ТРТУ, 2001. – 151 с.

99Зегжда Д.П., Ивашко А.М. Как построить защищенную информационную систему Под научной редакцией Зегжды Д.П. и Платонова В.В. – СПб: Мир и семья-95,1997. – 312 с.

100Гайкович В.Ю., Ершов Д.В. «Основы безопасности информационных технологий»

111

101 Котухов М.М., Марков А.С. Законодательно-правовое и организационно-техническое обеспечение информационной безопасности автоматизированных систем. – 1998. – 158 с.

102Информационно-безопасные системы. Анализ проблемы: Учеб. пособие Алешин Н. В, Коэлод В. Н., Нечаев Д. А., Смирнов А. С., Сычев М. П., Пальчун Б. П., Черноруцкий И. Г., Черносвитов А. В. Под ред. В. Н. Козлова. – СПб.: Издательство С.-Петербургского, гос. техн. университета, 1996. – 69 с.

103Громов В.И., Василева Г.А. «Энциклопедия компьютерной безопасности»

112