Файловый архив студентов. Файловый архив студентов.
1261 вуз, 4614 предмет.
/ Регистрация
FAQ Обратная связь Вопросы и предложения
Добавил:
Upload Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз:
Кузбасский государственный технический университет
Предмет:
[НЕСОРТИРОВАННОЕ]
Файл:
Лекции.docx
Скачиваний:
797
Добавлен:
10.05.2015
Размер:
378.13 Кб
Скачать
►Содержание►

Защита информационных технологий как процесс управления рисками. Сложность количественной оценки рисков

Следует помнить, что создать абсолютно непреодолимую систему защиты принципиально невозможно. Пока информация находится в обращении, принимаемые меры могут только снизить вероятность негативных воздействий или ущерб от них, но не исключить их полностью. При достаточном количестве времени и средств можно преодолеть любую защиту. Поэтому имеет смысл рассматривать некоторый приемлемый уровень обеспечения безопасности соответствующий существующим угрозам (рискам).

Суть защиты ресурсов корпоративных сетей — есть управление рисками, связанных с использованием этих сетей.

Что же такое риск?

Мы уже уточнили, что угроза -  это нежелательное событие, наносящее ущерб субъектам.

Риск -  это оценка опасности определённой угрозы. Риск выражает вероятностно­ стоимостную оценку возможных потерь (ущерба) и характеризуется:

  •   вероятностью успешной реализации угрозы А,;

  •   стоимостью потерь (ущерба) в случае реализации угрозы В,.

Стоимостную составляющую информационной безопасности хорошо иллюстрирует упрощённая формула оценки издержек, связывающая количественные характеристики рисков, стоимость реализации мер защиты и суммарные издержки. ОБОБЩЕННАЯ ОЦЕНКА ИЗДЕРЖЕК

п - количество рисков (угроз)  А - вероятностная оценка риска (0-1)  В - стоимостная оценка риска ($)  С - стоимость реализации мер защиты ($)  R - суммарные издержки ($)  Rmax - допустимые издержки ($)

Анализ рисков состоит в том, чтобы выявить существующие угрозы и оценить их опасность (дать им количественную или качественную оценку). На этапе анализа рисков должны быть выявлены все значимые угрозы, то есть угрозы с большой частотой (вероятностью) реализации и/или приводящие к существенным (ощутимым) потерям. Управление рисками заключается в принятии мер защиты (контрмер), направленных на снижение частоты успешной реализации угроз и/или на снижение размера ущерба в случае их реализации. При этом защитные меры выбираются на основе принципа разумной достаточности (экономической целесообразности, сопоставимости возможного ущерба и затрат на защиту) исходя из минимизации общих издержек - затрат на защиту плюс остаточных потерь от угроз.

Известно два основных подхода к анализу рисков - качественный и количественный.  Наиболее привлекательным, на первый взгляд, является количественный подход, позволяющий сравнивать защищённость различных систем. К сожалению, имеются сложности его внедрения, связанные с:

  •  отсутствием достоверной статистики в быстро меняющемся мире ИТ;

  •  трудностью оценки ущерба по нематериальным активам (репутация, конфиденциальность сведений, идеи, бизнес-планы, здоровье персонала);

  •  трудностью оценки всех косвенных потерь от реализации угроз;

  •  обесцениванием результатов длительной количественной оценки рисков из-за постоянной модификации и реконфигурации АИС.

Поэтому в основном для анализа рисков в настоящее время используется качественный подход, предусматривающий простое ранжирование угроз и связанных с ними рисков по степени их опасности.

Существует несколько вариантов противодействия выявленным рискам (угрозам).

Первый из них связан с признанием допустимости риска от конкретной угрозы, например, если вероятность реализации угрозы ничтожна мала или затраты на защиту от неё катастрофически велики.

Второй вариант действий предусматривает частичную передачу ответственности за инциденты в сфере безопасности ИТ сторонней организации, например страховой компании.

Третий и основной вариант действий связан с проведением комплекса мероприятий (мер противодействия), позволяющих либо уменьшить риск до разумных величин, либо полностью исключить его.

Основными этапами анализа и управления рисками являются:

  •  определение границ системы и методологии оценки рисков;

  •  идентификация и оценка информационных ресурсов системы (ценностей);

  •  идентификация угроз и оценка вероятностей их реализации;

  •  определение риска и выбор средств защиты;

  •  внедрение средств защиты и оценка остаточного риска.

При выборе метода оценки целесообразности затрат на обеспечение безопасности ИТ необходимо чётко представлять преследуемые цели:

во-первых - метод должен обеспечивать количественную оценку затрат на безопасность ИТ, используя качественные показатели оценки вероятностей событий и их последствий;

во-вторых — метод должен быть прозрачен с точки зрения пользователя, и давать возможность вводить собственные эмпирические данные;

в-третьих - метод должен быть универсален, то есть одинаково применим к оценке затрат на приобретение аппаратных средств, специализированного и ниверсального программного обеспечения, затрат на услуги, затрат на перемещение персонала и обучение конечных пользователей и т.д.;

в-четвертых - метод должен позволять моделировать ситуацию, при которой существует несколько контрмер, направленных на предотвращение определённых  угроз, в разной степени влияющих на сокращение вероятности происшествия.

Затраты, связанные с безопасность ИТ, подразделяются на несколько категорий:

1. Затраты на формирование и поддержание звена управления системой защиты информации (организационные затраты);

2. Затраты на контроль (определение и подтверждение достигнутого уровня защищённости ресурсов АИС);

3. Внутренние затраты на ликвидацию последствий нарушений политики безопасности ИТ (затраты, понесённые в результате того, что требуемый уровень защищённости не был достигнут);

4. Внешние затраты на ликвидацию последствий нарушения политики безопасности ИТ;

5. Затраты на техническое обслуживание системы безопасности ИТ и мероприятия по предотвращению нарушений политики безопасности ИТ (предупредительные мероприятия).

Затраты на формирование и под держание звена управления системой защиты  информации (организационные затраты):

  •  затраты на формирование политики безопасности ИТ;

  •  затраты на приобретение и ввод в эксплуатацию программно-технических средств (серверов, компьютеров конечных пользователей (настольных и мобильных), периферийных устройств и сетевых компонентов;

  •  затраты на приобретение и настройку средств защиты информации;

  •  затраты на содержание персонала, стоимость работ и аутсорсинг.

Затраты на контроль (определение и подтверждение достигнутого уровня защищённости  ресурсов АИС):

■ контроль за соблюдением политики безопасности ИТ:

- затраты на контроль реализации функций, обеспечивающих управление безопасностью ИТ; - затраты на организацию взаимодействия между подразделениями для решения конкретных задач по обеспечению безопасности ИТ; - затраты на проведение аудита безопасности по каждой части АС; - материально-техническое обеспечение системы контроля доступа к объектам и ресурсам;

■ плановые проверки и испытания:

- затраты на проверки и испытания средств защиты информации; - затраты на проверку навыков эксплуатации средств защиты персоналом; - затраты на обеспечение работы лиц, ответственных за реализацию конкретных процедур безопасности по подразделениям; - оплата работ по контролю правильности ввода данных в прикладных системах; - оплата инспекторов по контролю требований, предъявляемых к средствам защиты при разработке систем (контроль на стадии проектирования и спецификации требований);

■ внеплановые проверки и испытания:

- оплата работы испытательного персонала специализированных организаций; - обеспечение испытательного персонала материально-техническими средствами;

■ затраты на внешний аудит:

- затраты на контрольно-проверочные мероприятия, связанные с лицензионно-разрешительной деятельностью в сфере безопасности ИТ.

Внутренние затраты на ликвидацию последствий нарушений политики безопасности ИТ (затраты, понесённые в результате того, что требуемый уровень защищённости не был достигнут):

■ пересмотр политики безопасности ИТ (проводится периодически):

- затраты на идентификацию угроз безопасностью ИТ; - затраты на поиск уязвимостей системы безопасности ИТ; - оплата специалистов, выполняющих работы по определению возможного ущерба и переоценки степени риска;

■ затраты на ликвидацию последствий нарушения режима безопасности:

- восстановление системы безопасности ИТ до соответствия требованиям политики безопасности; - установка патчей или приобретение последних версий программных средств защиты информации; - приобретение технических средств взамен, пришедших в негодность; - проведение дополнительных испытаний и проверок технологических информационных систем; - затраты на утилизацию скомпрометированных ресурсов;

■ восстановление информационных ресурсов:

- затраты на восстановление баз данных и прочих информационных массивов; - затраты на проведение мероприятий по контролю достоверности данных, подвергшихся атаке на целостность;

■ затраты на выявление причин нарушения политики безопасности:

- затраты на проведение расследований нарушений политики безопасности ИТ (сбор данных о способах совершения, механизме и способах сокрытия неправомерного деяния, поиск следов, орудий, предметов посягательства, выявление мотивов неправомерных действий и т.д.); - затраты на обновление планов обеспечения непрерывности деятельности службы безопасности;

■ затраты на переделки:

- затраты на внедрение дополнительных средств защиты, требующих существенной перестройки системы безопасности ИТ; - затраты на повторные проверки и испытания системы безопасности ИТ. Внешние затраты на ликвидацию последствий нарушения политики безопасности ИТ:

■ внешние затраты на ликвидацию последствий нарушения политики безопасности ИТ:

- обязательства перед государством и партнёрами; - затраты на юридические споры и выплаты компенсаций; - потери в результате разрыва деловых отношений с партнёрами;

■ потери новаторства:

- затраты на проведение дополнительных исследований и разработки новой рыночной стратегии; - отказ от организационных, научно-технических или коммерческих решений, ставших неэффективными в результате утечки сведений, и затраты на разработку новых средств ведения конкурентной борьбы; - потери от снижения приоритета в научных исследованиях и невозможности патентования и продажи лицензий на научно­ технические достижения;

■ прочие затраты:

- заработная плата секретарей и служащих, организационные и прочие расходы, которые непосредственно связаны с предупредительными мероприятиями; - другие виды возможного ущерба, в том числе связанные с невозможностью выполнения функциональных задач.

Затраты на техническое обслуживание системы безопасности ИТ и мероприятия по предотвращению нарушений политики безопасности ИТ (предупредительные мероприятия):

■ затраты на управление системой безопасности ИТ:

- затраты на планирование системы безопасности ИТ; - затраты на изучение возможностей инфраструктуры по обеспечению безопасности ИТ; - затраты на техническую поддержку персонала при внедрении средств защиты информации и процедур, а также планов по безопасности ИТ; - проверка сотрудников на лояльность, выявление угроз безопасности ИТ; - организация системы допуска исполнителей и сотрудников к защищаемым ресурсам;

■ регламентное обслуживание средств защиты информации:

- затраты, связанные с обслуживанием и настройкой программно­ технических средств защиты информации, ОС и сетевого оборудования; - затраты, связанные с организацией сетевого взаимодействия и безопасного использования ИС; - затраты на поддержание системы резервного копирования и ведения архива данных; - проведение инженерно-технических работ по установлению сигнализации, оборудованию хранилищ конфиденциальных документов, защите телефонных линий связи, СВТ и т.п.;

■ аудит системы безопасности ИТ:

- затраты на контроль изменений состояния информационной среды; - затраты на систему контроля за действиями исполнителей;

■ обеспечение соответствия используемых ИТ заданным требованиям:

- затраты на обеспечение соответствия используемых ИТ требованиям по безопасности, совместимости и надёжности, в том числе анализвозможных негативных аспектов ИТ, которые влияют на целостность и доступность; - затраты на доставку (обмен) конфиденциальной информации; - удовлетворение субъективных требований пользователей (стиль, удобство интерфейса и др.);

■ обеспечение требований стандартов:

- затраты на обеспечение соответствия принятым стандартам и требованиям;

■ обучение персонала:

- повышение квалификации сотрудников по вопросам использования имеющихся средств защиты, выявления и предотвращения угроз безопасности ИТ; - развитие нормативной базы и технической оснащённости подразделения безопасности.

Как видим, высокоэффективная система защиты стоит дорого, использует при работе существенную часть ресурсов компьютерной системы. Излишние меры безопасности, помимо экономической неэффективности, приводят к созданию дополнительных неудобств и раздражению персонала. Важно правильно выбрать тот достаточный уровень защиты, при котором затраты на контрмеры и размер возможного ущерба были бы приемлемыми.

Соседние файлы в предмете [НЕСОРТИРОВАННОЕ]
Помощь Обратная связь Вопросы и предложения Пользовательское соглашение Политика конфиденциальности