Следует помнить, что создать абсолютно непреодолимую систему защиты принципиально невозможно. Пока информация находится в обращении, принимаемые меры могут только снизить вероятность негативных воздействий или ущерб от них, но не исключить их полностью. При достаточном количестве времени и средств можно преодолеть любую защиту. Поэтому имеет смысл рассматривать некоторый приемлемый уровень обеспечения безопасности соответствующий существующим угрозам (рискам).
Суть защиты ресурсов корпоративных сетей — есть управление рисками, связанных с использованием этих сетей.
Что же такое риск?
Мы уже уточнили, что угроза - это нежелательное событие, наносящее ущерб субъектам.
Риск- это оценка опасности определённой угрозы. Риск выражает вероятностно стоимостную оценку возможных потерь (ущерба) и характеризуется:
o вероятностью успешной реализации угрозы А,;
o стоимостью потерь (ущерба) в случае реализации угрозы В,.
Стоимостную составляющую информационной безопасности хорошо иллюстрирует упрощённая формула оценки издержек, связывающая количественные характеристики рисков, стоимость реализации мер защиты и суммарные издержки.
ОБОБЩЕННАЯ ОЦЕНКА ИЗДЕРЖЕК
п - количество рисков (угроз) А - вероятностная оценка риска (0-1) В - стоимостная оценка риска ($) С - стоимость реализации мер защиты ($) R - суммарные издержки ($) Rmax - допустимые издержки ($)
Анализ рисков состоит в том, чтобы выявить существующие угрозы и оценить их опасность (дать им количественную или качественную оценку). На этапе анализа рисков должны быть выявлены все значимые угрозы, то есть угрозы с большой частотой (вероятностью) реализации и/или приводящие к существенным (ощутимым) потерям.
Управление рискамизаключается в принятии мер защиты (контрмер), направленных на снижение частоты успешной реализации угроз и/или на снижение размера ущерба в случае их реализации. При этом защитные меры выбираются на основе принципа разумной достаточности (экономической целесообразности, сопоставимости возможного ущерба и затрат на защиту) исходя из минимизации общих издержек - затрат на защиту плюс остаточных потерь от угроз.
Известно два основных подхода к анализу рисков - качественный и количественный. Наиболее привлекательным, на первый взгляд, является количественный подход, позволяющий сравнивать защищённость различных систем. К сожалению, имеются сложности его внедрения, связанные с:
o отсутствием достоверной статистики в быстро меняющемся мире ИТ;
o трудностью оценки ущерба по нематериальным активам (репутация, конфиденциальность сведений, идеи, бизнес-планы, здоровье персонала);
o трудностью оценки всех косвенных потерь от реализации угроз;
o обесцениванием результатов длительной количественной оценки рисков из-за постоянной модификации и реконфигурации АИС.
Поэтому в основном для анализа рисков в настоящее время используется качественный подход, предусматривающий простое ранжирование угроз и связанных с ними рисков по степени их опасности.
Существует несколько вариантов противодействия выявленным рискам (угрозам).
Первый из них связан с признанием допустимости риска от конкретной угрозы, например, если вероятность реализации угрозы ничтожна мала или затраты на защиту от неё катастрофически велики.
Второй вариант действий предусматривает частичную передачу ответственности за инциденты в сфере безопасности ИТ сторонней организации, например страховой компании.
Третий и основной вариант действий связан с проведением комплекса мероприятий (мер противодействия), позволяющих либо уменьшить риск до разумных величин, либо полностью исключить его.
Основными этапами анализа и управления рисками являются:
o определение границ системы и методологии оценки рисков;
o идентификация и оценка информационных ресурсов системы (ценностей);
o идентификация угроз и оценка вероятностей их реализации;
o определение риска и выбор средств защиты;
o внедрение средств защиты и оценка остаточного риска.
При выборе метода оценки целесообразности затрат на обеспечение безопасности ИТ необходимо чётко представлять преследуемые цели:
во-первых - метод должен обеспечивать количественную оценку затрат на безопасность ИТ, используя качественные показатели оценки вероятностей событий и их последствий;
во-вторых — метод должен быть прозрачен с точки зрения пользователя, и давать возможность вводить собственные эмпирические данные;
в-третьих - метод должен быть универсален, то есть одинаково применим к оценке затрат на приобретение аппаратных средств, специализированного и ниверсального программного обеспечения, затрат на услуги, затрат на перемещение персонала и обучение конечных пользователей и т.д.;
в-четвертых - метод должен позволять моделировать ситуацию, при которой существует несколько контрмер, направленных на предотвращение определённых угроз, в разной степени влияющих на сокращение вероятности происшествия.
Затраты, связанные с безопасность ИТ, подразделяются на несколько категорий:
1. Затраты на формирование и поддержание звена управления системой защиты информации (организационные затраты);
2. Затраты на контроль (определение и подтверждение достигнутого уровня защищённости ресурсов АИС);
3. Внутренние затраты на ликвидацию последствий нарушений политики безопасности ИТ (затраты, понесённые в результате того, что требуемый уровень защищённости не был достигнут);
4. Внешние затраты на ликвидацию последствий нарушения политики безопасности ИТ;
5. Затраты на техническое обслуживание системы безопасности ИТ и мероприятия по предотвращению нарушений политики безопасности ИТ (предупредительные мероприятия).
Затраты на формирование и под держание звена управления системой защиты информации (организационные затраты):
o затраты на формирование политики безопасности ИТ;
o затраты на приобретение и ввод в эксплуатацию программно-технических средств (серверов, компьютеров конечных пользователей (настольных и мобильных), периферийных устройств и сетевых компонентов;
o затраты на приобретение и настройку средств защиты информации;
o затраты на содержание персонала, стоимость работ и аутсорсинг.
Затраты на контроль (определение и подтверждение достигнутого уровня защищённости ресурсов АИС):
■ контроль за соблюдением политики безопасности ИТ:
- затраты на контроль реализации функций, обеспечивающих управление безопасностью ИТ; - затраты на организацию взаимодействия между подразделениями для решения конкретных задач по обеспечению безопасности ИТ; - затраты на проведение аудита безопасности по каждой части АС; - материально-техническое обеспечение системы контроля доступа к объектам и ресурсам;
■ плановые проверки и испытания:
- затраты на проверки и испытания средств защиты информации; - затраты на проверку навыков эксплуатации средств защиты персоналом; - затраты на обеспечение работы лиц, ответственных за реализацию конкретных процедур безопасности по подразделениям; - оплата работ по контролю правильности ввода данных в прикладных системах; - оплата инспекторов по контролю требований, предъявляемых к средствам защиты при разработке систем (контроль на стадии проектирования и спецификации требований);
■ внеплановые проверки и испытания:
- оплата работы испытательного персонала специализированных организаций; - обеспечение испытательного персонала материально-техническими средствами;
■ затраты на внешний аудит:
- затраты на контрольно-проверочные мероприятия, связанные с лицензионно-разрешительной деятельностью в сфере безопасности ИТ.
Внутренние затраты на ликвидацию последствий нарушений политики безопасности ИТ (затраты, понесённые в результате того, что требуемый уровень защищённости не был достигнут):
■ пересмотр политики безопасности ИТ (проводится периодически):
- затраты на идентификацию угроз безопасностью ИТ; - затраты на поиск уязвимостей системы безопасности ИТ; - оплата специалистов, выполняющих работы по определению возможного ущерба и переоценки степени риска;
■ затраты на ликвидацию последствий нарушения режима безопасности:
- восстановление системы безопасности ИТ до соответствия требованиям политики безопасности; - установка патчей или приобретение последних версий программных средств защиты информации; - приобретение технических средств взамен, пришедших в негодность; - проведение дополнительных испытаний и проверок технологических информационных систем; - затраты на утилизацию скомпрометированных ресурсов;
■ восстановление информационных ресурсов:
- затраты на восстановление баз данных и прочих информационных массивов; - затраты на проведение мероприятий по контролю достоверности данных, подвергшихся атаке на целостность;
■ затраты на выявление причин нарушения политики безопасности:
- затраты на проведение расследований нарушений политики безопасности ИТ (сбор данных о способах совершения, механизме и способах сокрытия неправомерного деяния, поиск следов, орудий, предметов посягательства, выявление мотивов неправомерных действий и т.д.); - затраты на обновление планов обеспечения непрерывности деятельности службы безопасности;
■ затраты на переделки:
- затраты на внедрение дополнительных средств защиты, требующих существенной перестройки системы безопасности ИТ; - затраты на повторные проверки и испытания системы безопасности ИТ. Внешние затраты на ликвидацию последствий нарушения политики безопасности ИТ:
■ внешние затраты на ликвидацию последствий нарушения политики безопасности ИТ:
- обязательства перед государством и партнёрами; - затраты на юридические споры и выплаты компенсаций; - потери в результате разрыва деловых отношений с партнёрами;
■ потери новаторства:
- затраты на проведение дополнительных исследований и разработки новой рыночной стратегии; - отказ от организационных, научно-технических или коммерческих решений, ставших неэффективными в результате утечки сведений, и затраты на разработку новых средств ведения конкурентной борьбы; - потери от снижения приоритета в научных исследованиях и невозможности патентования и продажи лицензий на научно технические достижения;
■ прочие затраты:
- заработная плата секретарей и служащих, организационные и прочие расходы, которые непосредственно связаны с предупредительными мероприятиями; - другие виды возможного ущерба, в том числе связанные с невозможностью выполнения функциональных задач.
Затраты на техническое обслуживание системы безопасности ИТ и мероприятия по предотвращению нарушений политики безопасности ИТ (предупредительные мероприятия):
■ затраты на управление системой безопасности ИТ:
- затраты на планирование системы безопасности ИТ; - затраты на изучение возможностей инфраструктуры по обеспечению безопасности ИТ; - затраты на техническую поддержку персонала при внедрении средств защиты информации и процедур, а также планов по безопасности ИТ; - проверка сотрудников на лояльность, выявление угроз безопасности ИТ; - организация системы допуска исполнителей и сотрудников к защищаемым ресурсам;
■ регламентное обслуживание средств защиты информации:
- затраты, связанные с обслуживанием и настройкой программно технических средств защиты информации, ОС и сетевого оборудования; - затраты, связанные с организацией сетевого взаимодействия и безопасного использования ИС; - затраты на поддержание системы резервного копирования и ведения архива данных; - проведение инженерно-технических работ по установлению сигнализации, оборудованию хранилищ конфиденциальных документов, защите телефонных линий связи, СВТ и т.п.;
■ аудит системы безопасности ИТ:
- затраты на контроль изменений состояния информационной среды; - затраты на систему контроля за действиями исполнителей;
■ обеспечение соответствия используемых ИТ заданным требованиям:
- затраты на обеспечение соответствия используемых ИТ требованиям по безопасности, совместимости и надёжности, в том числе анализвозможных негативных аспектов ИТ, которые влияют на целостность и доступность; - затраты на доставку (обмен) конфиденциальной информации; - удовлетворение субъективных требований пользователей (стиль, удобство интерфейса и др.);
■ обеспечение требований стандартов:
- затраты на обеспечение соответствия принятым стандартам и требованиям;
■ обучение персонала:
- повышение квалификации сотрудников по вопросам использования имеющихся средств защиты, выявления и предотвращения угроз безопасности ИТ; - развитие нормативной базы и технической оснащённости подразделения безопасности.
Как видим, высокоэффективная система защиты стоит дорого, использует при работе существенную часть ресурсов компьютерной системы. Излишние меры безопасности, помимо экономической неэффективности, приводят к созданию дополнительных неудобств и раздражению персонала. Важно правильно выбрать тот достаточный уровень защиты, при котором затраты на контрмеры и размер возможного ущерба были бы приемлемыми.
