Олеся Фирсова - Экономическая безопасность предприятия

Обеспечение повышенных требований к ИБ предполагает соответствующие мероприятия на всех этапах жизненного цикла информационных технологий. Планирование этих мероприятий производится по завершении этапа анализа рисков и выбора контрмер. Обязательной составной частью этих планов является периодическая проверка соответствия существующего режима ИБ политике безопасности, сертификация информационной системы (технологии) на соответствие требованиям определенного стандарта безопасности.

Оценка достигаемой защищенности.

В завершение работ, можно будет определить меру гарантии безопасности информационной среды Заказчика, основанную на оценке, с которой можно доверять информационной среде объекта.

Данный подход предполагает, что большая гарантия следует из применения больших усилий при проведении оценки безопасности. Адекватность оценки основана на:

– вовлечении в процесс оценки большего числа элементов информационной среды объекта Заказчика;

– глубине, достигаемой за счет использования при проектировании системы обеспечения безопасности большего числа проектов и описаний деталей выполнения;

– строгости, которая заключается в применении большего числа инструментов поиска и методов, направленных на обнаружение менее очевидных уязвимостей или на уменьшение вероятности их наличия.

Методология анализа рисков.

Цель процесса оценивания рисков состоит в определении характеристик рисков в информационной системе и ее ресурсах. На основе таких данных выбираются необходимые средства управления ИБ.

Процесс оценивания рисков содержит несколько этапов:

– описание объекта и мер защиты;

– идентификация ресурса и оценивание его количественных показателей (определение потенциального негативного воздействия на бизнес);

– анализ угроз информационной безопасности;

– оценивание уязвимостей;

– оценивание существующих и предполагаемых средств обеспечения информационной безопасности;

– оценивание рисков.

Риск характеризует опасность, которой может подвергаться система и использующая ее организация, и зависит от:

– показателей ценности ресурсов;

– вероятностей нанесения ущерба ресурсам (выражаемых через вероятности реализации угроз для ресурсов);

– степени легкости, с которой уязвимости могут быть использованы при возникновении угроз (уязвимости системы защиты);

– существующих или планируемых средств обеспечения ИБ.

Расчет этих показателей выполняется на основе математических методов, имеющих такие характеристики, как обоснование и параметры точности метода.

Построение профиля защиты.

На этом этапе разрабатывается план проектирования системы защиты информационной среды Заказчика. Производится оценка доступных средств, осуществляется анализ и планирование разработки и интеграции средств защиты (рисунок 5).

Рисунок 5. Возможный алгоритм оценивания информационных рисков.

Необходимым элементом работы является утверждение у Заказчика допустимого риска объекта защиты.

Обеспечение повышенных требований к информационной безопасности предполагает соответствующие мероприятия на всех этапах жизненного цикла информационных технологий.

Планирование этих мероприятий производится по завершении этапа анализа рисков и выбора контрмер. Обязательной составной частью этих планов является периодическая проверка соответствия существующего режима ИБ политике безопасности, сертификация информационной системы (технологии) на соответствие требованиям определенного стандарта безопасности.

Работа по построению плана защиты объекта начинается с построения профиля защиты данного объекта. При этом часть этой работы уже была проделана при проведении анализа рисков.

Формирование организационной политики безопасности.

Прежде чем предлагать какие-либо технические решения по системе информационной безопасности объекта, предстоит разработать для него политику безопасности.

Собственно организационная политика безопасности описывает порядок предоставления и использования прав доступа пользователей, а также требования отчетности пользователей за свои действия в вопросах безопасности.

Система информационной безопасности (СИБ) объекта окажется эффективной, если она будет надежно поддерживать выполнение правил политики безопасности, и наоборот. Шагами построения организационной политики безопасности являются: