Читаем Экономическая безопасность предприятия полностью

Методика проведения аналитических работ.

Предлагаемая методика позволяет:

– полностью проанализировать и документально оформить требования, связанные с обеспечением информационной безопасностью;

– избежать расходов на излишние меры безопасности, возможные при субъективной оценке рисков;

– оказать помощь в планировании и осуществлении защиты на всех стадиях жизненного цикла информационных систем;

– обеспечить проведение работ в сжатые сроки;

– представить обоснование для выбора мер противодействия;

– оценить эффективность контрмер, сравнить различные варианты контрмер.

Определение границ исследования.

В ходе работ должны быть установлены границы исследования. Для этого необходимо выделить ресурсы информационной системы, для которых в дальнейшем будут получены оценки рисков. При этом предстоит разделить рассматриваемые ресурсы и внешние элементы, с которыми осуществляется взаимодействие. Ресурсами могут быть средства вычислительной техники, программное обеспечение, данные. Примерами внешних элементов являются сети связи, внешние сервисы и т. п.

Построение модели информационной технологии.

При построении модели будут учитываться взаимосвязи между ресурсами. Например, выход из строя какого-либо оборудования может привести к потере данных или выходу из строя другого критически важного элемента системы. Подобные взаимосвязи определяют основу построения модели организации с точки зрения ИБ.

Эта модель, в соответствие с предлагаемой методикой, строится следующим образом: для выделенных ресурсов определяется их ценность, как с точки зрения ассоциированных с ними возможных финансовых потерь, так и с точки зрения ущерба репутации организации, дезорганизации ее деятельности, нематериального ущерба от разглашения конфиденциальной информации и т. д. Затем описываются взаимосвязи ресурсов, определяются угрозы безопасности и оцениваются вероятности их реализации.

Выбор контрмер.

На основе построенной модели можно обоснованно выбрать систему контрмер, снижающих риски до допустимых уровней и обладающих наибольшей ценовой эффективностью. Частью системы контрмер будут являться рекомендации по проведению регулярных проверок эффективности системы защиты.

Управление рисками.

Обеспечение повышенных требований к ИБ предполагает соответствующие мероприятия на всех этапах жизненного цикла информационных технологий. Планирование этих мероприятий производится по завершении этапа анализа рисков и выбора контрмер. Обязательной составной частью этих планов является периодическая проверка соответствия существующего режима ИБ политике безопасности, сертификация информационной системы (технологии) на соответствие требованиям определенного стандарта безопасности.

Оценка достигаемой защищенности.

В завершение работ, можно будет определить меру гарантии безопасности информационной среды Заказчика, основанную на оценке, с которой можно доверять информационной среде объекта.

Данный подход предполагает, что большая гарантия следует из применения больших усилий при проведении оценки безопасности. Адекватность оценки основана на:

– вовлечении в процесс оценки большего числа элементов информационной среды объекта Заказчика;

– глубине, достигаемой за счет использования при проектировании системы обеспечения безопасности большего числа проектов и описаний деталей выполнения;

– строгости, которая заключается в применении большего числа инструментов поиска и методов, направленных на обнаружение менее очевидных уязвимостей или на уменьшение вероятности их наличия.

Методология анализа рисков.

Цель процесса оценивания рисков состоит в определении характеристик рисков в информационной системе и ее ресурсах. На основе таких данных выбираются необходимые средства управления ИБ.

Процесс оценивания рисков содержит несколько этапов:

– описание объекта и мер защиты;

– идентификация ресурса и оценивание его количественных показателей (определение потенциального негативного воздействия на бизнес);

– анализ угроз информационной безопасности;

– оценивание уязвимостей;

– оценивание существующих и предполагаемых средств обеспечения информационной безопасности;

– оценивание рисков.

Риск характеризует опасность, которой может подвергаться система и использующая ее организация, и зависит от:

– показателей ценности ресурсов;

– вероятностей нанесения ущерба ресурсам (выражаемых через вероятности реализации угроз для ресурсов);

– степени легкости, с которой уязвимости могут быть использованы при возникновении угроз (уязвимости системы защиты);

– существующих или планируемых средств обеспечения ИБ.

Расчет этих показателей выполняется на основе математических методов, имеющих такие характеристики, как обоснование и параметры точности метода.

Построение профиля защиты.