- •Актуальность проблемы обеспечения безопасности информационных технологий Место и роль информационных систем в управлении бизнес-процессами
- •Основные причины обострения проблемы обеспечения безопасности информационных технологий
- •Защита информационных технологий как процесс управления рисками. Сложность количественной оценки рисков
- •Особенности современных автоматизированных систем как объектов защиты
- •Основные понятия в области безопасности информационных технологий Что такое безопасность информационных технологий
- •Информация и информационные отношения
- •Субъекты информационных отношений, их безопасность
- •Цель защиты автоматизированной системы и циркулирующей в ней информации
- •Угрозы безопасности информационных технологий Уязвимость основных структурно-функциональных элементов распределённых автоматизированных систем
- •Угрозы безопасности информации, автоматизированных систем и субъектов информационных отношений
- •Источники угроз безопасности
- •Классификация угроз безопасности
- •Классификация каналов проникновения в автоматизированную систему и утечки информации
- •Неформальная модель нарушителя
- •Виды мер и основные принципы обеспечения безопасности информационных технологий Виды мер противодействия угрозам безопасности
- •Достоинства и недостатки различных видов мер защиты
- •Основные принципы построения системы обеспечения безопасности информации в автоматизированной системе
- •Правовые основы обеспечения безопасности информационных технологий Введение
- •Защищаемая информация
- •Лицензирование
- •Сертификация средств защиты и аттестация объектов информатизации
- •Новое поколение нормативно-технических документов (гост р исо/мэк 15408-2008)
- •Часть 2 рд содержит универсальный систематизированный каталог функциональных требований безопасности и предусматривает возможность их детализации и расширения по определённым правилам.
- •Специальные требования и рекомендации по технической защите конфиденциальной информации
- •Юридическая значимость электронных документов с электронной подписью
- •Ответственность за нарушения в сфере защиты информации
- •Государственная система защиты информации Введение
- •Государственная система защиты информации
- •Организация защиты информации в системах и средствах информатизации и связи
- •Контроль состояния защиты информации
- •Финансирование мероприятий по защите информации
- •Основные защитные механизмы, реализуемые в рамках различных мер и средств защиты Основные механизмы защиты информационных систем
- •Разграничение доступа зарегистрированных пользователей к ресурсам автоматизированной системы
- •Регистрация и оперативное оповещение о событиях безопасности
- •Криптографические методы защиты информации
- •Контроль целостности программных и информационных ресурсов
- •Обнаружение атак
- •Защита периметра компьютерных сетей
- •Управление механизмами защиты
- •Страхование информационных рисков
- •Организационная структура системы обеспечения безопасности информационных технологий Понятие технологии обеспечения (управления) безопасности информации и ресурсов в автоматизированной системе
- •Цели создания системы обеспечения информационной безопасности
- •Регламентация действий пользователей и обслуживающего персонала автоматизированной системы
- •Политика безопасности организации
- •Основные организационные и организационно-технические мероприятия по созданию и обеспечению функционирования комплексной системы защиты
- •Распределение функций по обеспечению безопасности информационных технологий
- •Система организационно-распорядительных документов по обеспечению безопасности информационных технологий
- •Документы , регламентирующие правила парольной и антивирусной защиты Инструкция по организации парольной защиты
- •Инструкция по организации антивирусной защиты
- •Документы, регламентирующие порядок допуска к работе и изменения полномочий пользователей автоматизированной системы Допуск сотрудников подразделений к работе с ас
- •Обеспечение и контроль физической целостности и неизменности конфигурации аппаратно-программных средств автоматизированной системы
- •Регламентация процессов обслуживания и осуществления модификации аппаратных и программных средств автоматизированной системы
- •Процедура внесения изменений в конфигурацию аппаратных и программных средств защищённых серверов и рабочих станций
- •Регламентация процессов разработки, испытания, опытной эксплуатации, внедрения и сопровождения задач Основы процессов разработки, испытания, опытной эксплуатации, внедрения и сопровождения задач
- •Взаимодействие подразделений на этапах проектирования, разработки, испытания и внедрения новых автоматизированных подсистем
- •Назначение, возможности, и основные защитные механизмы межсетевых экранов Введение
- •Мэ - основные сведения
- •Классификация мэ
- •Варианты расположения мэ
- •Политика безопасности и мэ
- •Недостатки мэ
- •Что такое «HoneyNet»?
Защита информационных технологий как процесс управления рисками. Сложность количественной оценки рисков
Следует помнить, что создать абсолютно непреодолимую систему защиты принципиально невозможно. Пока информация находится в обращении, принимаемые меры могут только снизить вероятность негативных воздействий или ущерб от них, но не исключить их полностью. При достаточном количестве времени и средств можно преодолеть любую защиту. Поэтому имеет смысл рассматривать некоторый приемлемый уровень обеспечения безопасности соответствующий существующим угрозам (рискам).
Суть защиты ресурсов корпоративных сетей — есть управление рисками, связанных с использованием этих сетей.
Что же такое риск?
Мы уже уточнили, что угроза - это нежелательное событие, наносящее ущерб субъектам.
Риск - это оценка опасности определённой угрозы. Риск выражает вероятностно стоимостную оценку возможных потерь (ущерба) и характеризуется:
вероятностью успешной реализации угрозы А,;
стоимостью потерь (ущерба) в случае реализации угрозы В,.
Стоимостную составляющую информационной безопасности хорошо иллюстрирует упрощённая формула оценки издержек, связывающая количественные характеристики рисков, стоимость реализации мер защиты и суммарные издержки. ОБОБЩЕННАЯ ОЦЕНКА ИЗДЕРЖЕК
п - количество рисков (угроз) А - вероятностная оценка риска (0-1) В - стоимостная оценка риска ($) С - стоимость реализации мер защиты ($) R - суммарные издержки ($) Rmax - допустимые издержки ($)
Анализ рисков состоит в том, чтобы выявить существующие угрозы и оценить их опасность (дать им количественную или качественную оценку). На этапе анализа рисков должны быть выявлены все значимые угрозы, то есть угрозы с большой частотой (вероятностью) реализации и/или приводящие к существенным (ощутимым) потерям. Управление рисками заключается в принятии мер защиты (контрмер), направленных на снижение частоты успешной реализации угроз и/или на снижение размера ущерба в случае их реализации. При этом защитные меры выбираются на основе принципа разумной достаточности (экономической целесообразности, сопоставимости возможного ущерба и затрат на защиту) исходя из минимизации общих издержек - затрат на защиту плюс остаточных потерь от угроз.
Известно два основных подхода к анализу рисков - качественный и количественный. Наиболее привлекательным, на первый взгляд, является количественный подход, позволяющий сравнивать защищённость различных систем. К сожалению, имеются сложности его внедрения, связанные с:
отсутствием достоверной статистики в быстро меняющемся мире ИТ;
трудностью оценки ущерба по нематериальным активам (репутация, конфиденциальность сведений, идеи, бизнес-планы, здоровье персонала);
трудностью оценки всех косвенных потерь от реализации угроз;
обесцениванием результатов длительной количественной оценки рисков из-за постоянной модификации и реконфигурации АИС.
Поэтому в основном для анализа рисков в настоящее время используется качественный подход, предусматривающий простое ранжирование угроз и связанных с ними рисков по степени их опасности.
Существует несколько вариантов противодействия выявленным рискам (угрозам).
Первый из них связан с признанием допустимости риска от конкретной угрозы, например, если вероятность реализации угрозы ничтожна мала или затраты на защиту от неё катастрофически велики.
Второй вариант действий предусматривает частичную передачу ответственности за инциденты в сфере безопасности ИТ сторонней организации, например страховой компании.
Третий и основной вариант действий связан с проведением комплекса мероприятий (мер противодействия), позволяющих либо уменьшить риск до разумных величин, либо полностью исключить его.
Основными этапами анализа и управления рисками являются:
определение границ системы и методологии оценки рисков;
идентификация и оценка информационных ресурсов системы (ценностей);
идентификация угроз и оценка вероятностей их реализации;
определение риска и выбор средств защиты;
внедрение средств защиты и оценка остаточного риска.
При выборе метода оценки целесообразности затрат на обеспечение безопасности ИТ необходимо чётко представлять преследуемые цели:
во-первых - метод должен обеспечивать количественную оценку затрат на безопасность ИТ, используя качественные показатели оценки вероятностей событий и их последствий;
во-вторых — метод должен быть прозрачен с точки зрения пользователя, и давать возможность вводить собственные эмпирические данные;
в-третьих - метод должен быть универсален, то есть одинаково применим к оценке затрат на приобретение аппаратных средств, специализированного и ниверсального программного обеспечения, затрат на услуги, затрат на перемещение персонала и обучение конечных пользователей и т.д.;
в-четвертых - метод должен позволять моделировать ситуацию, при которой существует несколько контрмер, направленных на предотвращение определённых угроз, в разной степени влияющих на сокращение вероятности происшествия.
Затраты, связанные с безопасность ИТ, подразделяются на несколько категорий:
1. Затраты на формирование и поддержание звена управления системой защиты информации (организационные затраты);
2. Затраты на контроль (определение и подтверждение достигнутого уровня защищённости ресурсов АИС);
3. Внутренние затраты на ликвидацию последствий нарушений политики безопасности ИТ (затраты, понесённые в результате того, что требуемый уровень защищённости не был достигнут);
4. Внешние затраты на ликвидацию последствий нарушения политики безопасности ИТ;
5. Затраты на техническое обслуживание системы безопасности ИТ и мероприятия по предотвращению нарушений политики безопасности ИТ (предупредительные мероприятия).
Затраты на формирование и под держание звена управления системой защиты информации (организационные затраты):
затраты на формирование политики безопасности ИТ;
затраты на приобретение и ввод в эксплуатацию программно-технических средств (серверов, компьютеров конечных пользователей (настольных и мобильных), периферийных устройств и сетевых компонентов;
затраты на приобретение и настройку средств защиты информации;
затраты на содержание персонала, стоимость работ и аутсорсинг.
Затраты на контроль (определение и подтверждение достигнутого уровня защищённости ресурсов АИС):
■ контроль за соблюдением политики безопасности ИТ:
- затраты на контроль реализации функций, обеспечивающих управление безопасностью ИТ; - затраты на организацию взаимодействия между подразделениями для решения конкретных задач по обеспечению безопасности ИТ; - затраты на проведение аудита безопасности по каждой части АС; - материально-техническое обеспечение системы контроля доступа к объектам и ресурсам;
■ плановые проверки и испытания:
- затраты на проверки и испытания средств защиты информации; - затраты на проверку навыков эксплуатации средств защиты персоналом; - затраты на обеспечение работы лиц, ответственных за реализацию конкретных процедур безопасности по подразделениям; - оплата работ по контролю правильности ввода данных в прикладных системах; - оплата инспекторов по контролю требований, предъявляемых к средствам защиты при разработке систем (контроль на стадии проектирования и спецификации требований);
■ внеплановые проверки и испытания:
- оплата работы испытательного персонала специализированных организаций; - обеспечение испытательного персонала материально-техническими средствами;
■ затраты на внешний аудит:
- затраты на контрольно-проверочные мероприятия, связанные с лицензионно-разрешительной деятельностью в сфере безопасности ИТ.
Внутренние затраты на ликвидацию последствий нарушений политики безопасности ИТ (затраты, понесённые в результате того, что требуемый уровень защищённости не был достигнут):
■ пересмотр политики безопасности ИТ (проводится периодически):
- затраты на идентификацию угроз безопасностью ИТ; - затраты на поиск уязвимостей системы безопасности ИТ; - оплата специалистов, выполняющих работы по определению возможного ущерба и переоценки степени риска;
■ затраты на ликвидацию последствий нарушения режима безопасности:
- восстановление системы безопасности ИТ до соответствия требованиям политики безопасности; - установка патчей или приобретение последних версий программных средств защиты информации; - приобретение технических средств взамен, пришедших в негодность; - проведение дополнительных испытаний и проверок технологических информационных систем; - затраты на утилизацию скомпрометированных ресурсов;
■ восстановление информационных ресурсов:
- затраты на восстановление баз данных и прочих информационных массивов; - затраты на проведение мероприятий по контролю достоверности данных, подвергшихся атаке на целостность;
■ затраты на выявление причин нарушения политики безопасности:
- затраты на проведение расследований нарушений политики безопасности ИТ (сбор данных о способах совершения, механизме и способах сокрытия неправомерного деяния, поиск следов, орудий, предметов посягательства, выявление мотивов неправомерных действий и т.д.); - затраты на обновление планов обеспечения непрерывности деятельности службы безопасности;
■ затраты на переделки:
- затраты на внедрение дополнительных средств защиты, требующих существенной перестройки системы безопасности ИТ; - затраты на повторные проверки и испытания системы безопасности ИТ. Внешние затраты на ликвидацию последствий нарушения политики безопасности ИТ:
■ внешние затраты на ликвидацию последствий нарушения политики безопасности ИТ:
- обязательства перед государством и партнёрами; - затраты на юридические споры и выплаты компенсаций; - потери в результате разрыва деловых отношений с партнёрами;
■ потери новаторства:
- затраты на проведение дополнительных исследований и разработки новой рыночной стратегии; - отказ от организационных, научно-технических или коммерческих решений, ставших неэффективными в результате утечки сведений, и затраты на разработку новых средств ведения конкурентной борьбы; - потери от снижения приоритета в научных исследованиях и невозможности патентования и продажи лицензий на научно технические достижения;
■ прочие затраты:
- заработная плата секретарей и служащих, организационные и прочие расходы, которые непосредственно связаны с предупредительными мероприятиями; - другие виды возможного ущерба, в том числе связанные с невозможностью выполнения функциональных задач.
Затраты на техническое обслуживание системы безопасности ИТ и мероприятия по предотвращению нарушений политики безопасности ИТ (предупредительные мероприятия):
■ затраты на управление системой безопасности ИТ:
- затраты на планирование системы безопасности ИТ; - затраты на изучение возможностей инфраструктуры по обеспечению безопасности ИТ; - затраты на техническую поддержку персонала при внедрении средств защиты информации и процедур, а также планов по безопасности ИТ; - проверка сотрудников на лояльность, выявление угроз безопасности ИТ; - организация системы допуска исполнителей и сотрудников к защищаемым ресурсам;
■ регламентное обслуживание средств защиты информации:
- затраты, связанные с обслуживанием и настройкой программно технических средств защиты информации, ОС и сетевого оборудования; - затраты, связанные с организацией сетевого взаимодействия и безопасного использования ИС; - затраты на поддержание системы резервного копирования и ведения архива данных; - проведение инженерно-технических работ по установлению сигнализации, оборудованию хранилищ конфиденциальных документов, защите телефонных линий связи, СВТ и т.п.;
■ аудит системы безопасности ИТ:
- затраты на контроль изменений состояния информационной среды; - затраты на систему контроля за действиями исполнителей;
■ обеспечение соответствия используемых ИТ заданным требованиям:
- затраты на обеспечение соответствия используемых ИТ требованиям по безопасности, совместимости и надёжности, в том числе анализвозможных негативных аспектов ИТ, которые влияют на целостность и доступность; - затраты на доставку (обмен) конфиденциальной информации; - удовлетворение субъективных требований пользователей (стиль, удобство интерфейса и др.);
■ обеспечение требований стандартов:
- затраты на обеспечение соответствия принятым стандартам и требованиям;
■ обучение персонала:
- повышение квалификации сотрудников по вопросам использования имеющихся средств защиты, выявления и предотвращения угроз безопасности ИТ; - развитие нормативной базы и технической оснащённости подразделения безопасности.
Как видим, высокоэффективная система защиты стоит дорого, использует при работе существенную часть ресурсов компьютерной системы. Излишние меры безопасности, помимо экономической неэффективности, приводят к созданию дополнительных неудобств и раздражению персонала. Важно правильно выбрать тот достаточный уровень защиты, при котором затраты на контрмеры и размер возможного ущерба были бы приемлемыми.