Анализ рисков, управление рисками
Сергей Симонов- СОДЕРЖАНИЕ
- Введение
- Концепция обеспечения ИБ
- Базовый уровень ИБ
- Обеспечение повышенных требований к ИБ
- Инструментальные средства для анализа рисков и управления рисками
- Заключение
- Литература
- I. Термины и определения
- II. Основные положения стандарта BS7799
-
- Раздел 1. Политика ИБ
- Раздел 2. Организация защиты
- Раздел 3. Классификация ресурсов и их контроль
- Раздел 4. Управление персоналом
- Раздел 5. Физическая безопасность
- Раздел 6. Администрирование информационных систем
- Раздел 7. Управление доступом
- Раздел 8. Разработка и сопровождение информационных систем
- Раздел 9. Планирование бесперебойной работы организации
- Раздел 10. Проверка системы на соответствие требованиям ИБ
- III. Спецификация XBSS
-
- Требования к подсистеме идентификации и аутентификации:
- Требования к подсистеме протоколирования/аудита:
- Минимальные требования к протоколированию/аудиту:
- Требования к подсистеме управления доступом:
- Требования к подсистеме защиты повторного использования объектов:
- Требования к защите критичной информации:
- Требования к средствам обеспечения целостности:
- Требования к средствам обеспечения доступности:
- Обеспечение безопасности порождения и получения информации:
- Требования к средствам управления ИБ:
- IV. Классификация физических ресурсов, используемая в методе CRAMM.
-
- Несетевые серверы:
- Сетевые серверы:
- Несетевые рабочие станции:
- Сетевые рабочие станции:
- Локальные запоминающие устройства:
- Сетевые запоминающие устройства:
- Локальные печатающие устройства:
- Сетевые печатающие устройства:
- Сетевые распределительные компоненты:
- Сетевые шлюзы:
- Управление сетью и управляющие серверы:
- Сетевые интерфейсы:
- Cетевые сервисы:
- Сервисы конечного пользователя:
- Коммуникационные протоколы:
- Носители данных (Media)
- V. Угрозы в методе CRAMM:
- VI. Классы контрмер в методе CRAMM:
Введение
Вопросы обеспечения информационной безопасности (ИБ) исследуются в разных странах достаточно давно. Можно констатировать, что к настоящему времени сложилась общепринятая точка зрения на концептуальные основы ИБ. Суть ее заключается в том, что подход к обеспечению ИБ должен быть комплексным, сочетающим меры следующих уровней:
- законодательного (законы, нормативные акты, стандарты);
- административного (действия общего характера, предпринимаемые руководством организации);
- процедурного (меры безопасности, реализуемые персоналом);
- программно-технического (конкретные технические меры).
При обеспечении ИБ существует два аспекта: формальный — определение критериев, которым должны соответствовать защищенные информационные технологии, и практический — определение конкретного комплекса мер безопасности применительно к рассматриваемой информационной технологии.
Критерии, которым должны соответствовать защищенные информационные технологии, являются объектом стандартизации более пятнадцати лет. В настоящее время разработан проект международного стандарта "Общие критерии оценки безопасности информационных технологий", его обзор публиковался в Jet Info (см. [1] ).
Попытки стандартизации практических аспектов безопасности начались сравнительно недавно. Первой удачной попыткой в этой области стал британский стандарт BS 7799 "Практические правила управления информационной безопасностью" [2] , изданный в 1995 году, в котором обобщен опыт обеспечения режима ИБ в информационных системах (ИС) разного профиля. Впоследствии было опубликовано несколько аналогичных документов: стандарты различных организаций и ведомств, например, [3] [4] , германский стандарт BSI [5] . Содержание этих документов в основном относится к этапу анализа рисков, на котором определяются угрозы безопасности и уязвимости информационных ресурсов, уточняются требования к режиму ИБ.
Идеи, содержащиеся в этих документах, заключаются в следующем. Практические правила обеспечения ИБ на всех этапах жизненного цикла информационной технологии должны носить комплексный характер и основываться на проверенных практикой приемах и методах. Например, в информационной технологии должны обязательно использоваться некоторые средства идентификации и аутентификации пользователей (сервисов), средства резервного копирования, антивирусный контроль, и т.д. Режим ИБ в подобных системах обеспечивается:
- на процедурном уровне — путем разработки и выполнения разделов инструкций для персонала, посвященных ИБ, а также мерами физической защиты;
- на программно-техническом уровне — применением апробированных и сертифицированных решений, стандартного набора контрмер: резервное копирование, антивирусная защита, парольная защита, межсетевые экраны, шифрование данных и т.д.
При обеспечении ИБ важно не упустить каких-либо существенных аспектов. Это будет гарантировать некоторый минимальный (базовый) уровень ИБ, обязательный для любой информационной технологии. Таким образом, для обеспечения базового уровня ИБ используется упрощенный подход к анализу рисков, при котором рассматривается стандартный набор наиболее распространенных угроз безопасности без оценки их вероятностей. Для нейтрализации угроз применяется типовой набор контрмер, а вопросы эффективности защиты не рассматриваются. Подобный подход приемлем, если ценность защищаемых ресурсов с точки зрения организации не является чрезмерно высокой. Методология анализа рисков для базового уровня безопасности, предлагаемая в документах и стандартах различных организаций, различается и будет рассмотрена в разделе "Базовый уровень информационной безопасности".
В ряде случаев базового уровня безопасности оказывается недостаточно. Примером может служить АСУТП предприятия с непрерывным циклом производства, когда даже кратковременный выход из строя автоматизированной системы приводит к очень тяжелым последствиям. В этом и подобных случаях важно знать параметры, характеризующие уровень безопасности информационной системы (технологии): количественные оценки угроз безопасности, уязвимостей, ценности информационных ресурсов. В случае повышенных требований в области ИБ используется полный вариант анализа рисков. В отличие от базового варианта, в том или ином виде производится оценка ценности ресурсов, характеристик рисков и уязвимостей. Как правило, проводится анализ по критерию стоимость/эффективность нескольких вариантов защиты. Методология обеспечения информационной безопасности для этого случая рассматривается в разделе "Обеспечение повышенных требований к ИБ".
Несмотря на существенную разницу в методологии обеспечения базового и повышенного уровней безопасности, можно говорить о единой концепции ИБ ( Рис. 1 ).
