NRU ITMO, ***** @ *** kom
Akademski voditelj - doktor znanosti, profesor, NRU ITMO, ***** @
napomena
U članku su razmotrene metode za proračun rizika informacijske sigurnosti, napravljena je usporedba s naznakom kritičnih nedostataka. Predstavljen je prijedlog korištenja vlastite metode procjene rizika.
Ključne riječi: rizik, informacijski sustav, informacijska sigurnost, metoda izračuna rizika, procjena rizika, informacijska imovina.
Uvod
Sustav upravljanja rizikom informacijske sigurnosti (IS) hitna je zadaća u svim fazama kompleksa informacijske sigurnosti. Istodobno, nemoguće je unaprijed upravljati rizicima bez njihove procjene, što se pak mora izvesti na neki način. U fazi procjene rizika najzanimljivije su formule i ulazni podaci za izračun vrijednosti rizika. Članak analizira nekoliko različitih metoda za izračun rizika te predstavlja vlastitu metodologiju. Cilj rada je izvesti formulu za izračun rizika informacijske sigurnosti koja omogućuje dobivanje niza stvarnih rizika i procjenu gubitaka u novčanom smislu.
Rizik informacijske sigurnosti u klasičnom obliku definira se kao funkcija tri varijable:
- vjerojatnost prijetnje; vjerojatnost ranjivosti (nesigurnosti); potencijalni utjecaj.
Ako se bilo koja od ovih varijabli približi nuli, ukupni rizik također teži nuli.
Metode procjene rizika
ISO / IEC 27001. Što se tiče metodologije za izračun vrijednosti rizika, navodi se da odabrana metodologija treba osigurati da procjene rizika daju usporedive i ponovljive rezultate. Istodobno, standard ne daje konkretnu formulu za izračun.
NIST 800-30 nudi klasičnu formulu za izračun rizika:
gdje je R vrijednost rizika;
P (t) je vjerojatnost realizacije prijetnje IS-a (koristi se mješavina kvalitativnih i kvantitativnih ljestvica);
S - stupanj utjecaja prijetnje na imovinu (cijena imovine na kvalitativnoj i kvantitativnoj ljestvici).
Kao rezultat toga, vrijednost rizika se izračunava u relativnim jedinicama, koje se mogu rangirati prema stupnju važnosti za postupak upravljanja rizikom informacijske sigurnosti.
GOST R ISO / IEC DO 7. Izračun rizika, za razliku od standarda NIST 800-30, temelji se na tri čimbenika:
R = P (t) * P (v) * S,
gdje je R vrijednost rizika;
P (t) je vjerojatnost realizacije prijetnje IS-a;
P (v) je vjerojatnost ranjivosti;
S je vrijednost imovine.
Kao primjer vrijednosti vjerojatnosti P (t) i P (v), dana je kvalitativna skala s tri razine: niska, srednja i visoka. Za procjenu vrijednosti imovine S, numeričke vrijednosti su prikazane u rasponu od 0 do 4. Usporedbu kvalitativnih vrijednosti trebala bi izvršiti organizacija u kojoj se procjenjuju rizici informacijske sigurnosti.
BS 7799. Razina rizika izračunava se uzimajući u obzir tri pokazatelja - vrijednost resursa, razinu prijetnje i stupanj ranjivosti. S povećanjem vrijednosti ova tri parametra rizik se povećava, pa se formula može predstaviti na sljedeći način:
R = S * L (t) * L (v),
gdje je R vrijednost rizika;
S je vrijednost imovine/resursa;
L (t) - razina opasnosti;
L (v) - razina / stupanj ranjivosti.
U praksi se izračun rizika IS-a provodi prema tablici pozicioniranja vrijednosti razine prijetnje, stupnja vjerojatnosti iskorištavanja ranjivosti i vrijednosti imovine. Vrijednost rizika može se mijenjati u rasponu od 0 do 8, kao rezultat toga, za svako sredstvo dobiva se popis prijetnji s različitim vrijednostima rizika. Standard također nudi ljestvicu za rangiranje rizika: niski (0-2), srednji (3-5) i visoki (6-8), što vam omogućuje da odredite najkritičnije rizike.
STO BR IBBS. Prema standardu, procjena stupnja mogućnosti realizacije prijetnje informacijskoj sigurnosti vrši se na kvalitativnoj i kvantitativnoj ljestvici, neostvariva prijetnja - 0%, prosjek - od 21% do 50% itd. - kvantitativno ljestvica, odnosno minimalna je 0,5% kapitala banke, visoka - od 1,5% do 3% kapitala banke.
Za provođenje kvalitativne procjene rizika informacijske sigurnosti koristi se tablica korespondencije između ozbiljnosti posljedica i vjerojatnosti realizacije prijetnje. Ako je potrebno napraviti kvantitativnu procjenu, tada se formula može predstaviti kao:
gdje je R vrijednost rizika;
P (v) je vjerojatnost realizacije prijetnje IS-a;
S je vrijednost imovine (težina posljedica).
Predložena metoda
Uzimajući u obzir sve navedene metode procjene rizika u smislu izračuna vrijednosti rizika informacijske sigurnosti, vrijedi napomenuti da se izračun rizika vrši korištenjem vrijednosti prijetnji i vrijednosti imovine. Značajan nedostatak je procjena vrijednosti imovine (iznos štete) u obliku uvjetnih vrijednosti. Uvjetne vrijednosti nemaju mjerne jedinice primjenjive u praksi, a posebno nisu novčani ekvivalent. Kao rezultat toga, to ne daje stvarnu ideju o razini rizika koji se može prenijeti na stvarnu imovinu zaštićenog objekta.
Stoga se predlaže podijeliti postupak izračuna rizika u dvije faze:
1. Izračun vrijednosti tehničkog rizika.
2. Proračun potencijalne štete.
Pod tehničkim rizikom podrazumijeva se vrijednost rizika informacijske sigurnosti, koji se sastoji od vjerojatnosti implementacije prijetnji i iskorištavanja ranjivosti svake komponente informacijske infrastrukture, uzimajući u obzir razinu njihove povjerljivosti, integriteta i dostupnosti. Za prvu fazu imamo sljedeće 3 formule:
Rc = Kc * P (T) * P (V), Ri = Ki * P (T) * P (V),
Ra = Ka * P (T) * P (V),
gdje je Rc vrijednost rizika povjerljivosti;
Ri je vrijednost rizika integriteta;
Ra je vrijednost rizika dostupnosti;
Ks - koeficijent povjerljivosti informacijskog sredstva;
Ki je faktor integriteta informacijskog sredstva;
Ka je koeficijent dostupnosti informacijskog sredstva;
P (T) je vjerojatnost realizacije prijetnje;
P (V) je vjerojatnost iskorištavanja ranjivosti.
Korištenje ovog algoritma omogućit će detaljniju procjenu rizika, nakon što se na izlazu dobije bezdimenzionalna vrijednost vjerojatnosti rizika kompromitiranja svake informacijske imovine zasebno.
Nakon toga, moguće je izračunati vrijednost štete, za to se koristi prosječna vrijednost rizika svake informacijske imovine i iznos potencijalnih gubitaka:
gdje je L vrijednost štete;
Rav - prosječna vrijednost rizika;
S - gubici (u novčanom smislu).
Predložena metodologija omogućuje ispravnu procjenu vrijednosti rizika informacijske sigurnosti i izračun novčanih gubitaka u slučaju sigurnosnih incidenata.
Književnost
1. ISO / IEC 27001. Međunarodna norma sadrži zahtjeve za informacijsku sigurnost za stvaranje, razvoj i održavanje sustava upravljanja informacijskom sigurnošću. 20-ih godina.
2. GOST R ISO / IEC DO 7. Nacionalni standard Ruske Federacije. Metode i sredstva osiguranja sigurnosti. Dio 3. Metode upravljanja sigurnošću informacijske tehnologije. Moskva. 20-ih godina.
3. BS 7799-2: 2005 Specifikacija sustava upravljanja sigurnošću informacija. Engleska. 20-ih godina.
4. RS BR IBBS-2.2-200. Osiguravanje informacijske sigurnosti organizacija u bankarskom sustavu Ruske Federacije. Metode za procjenu rizika narušavanja informacijske sigurnosti. Moskva. 20-ih godina.
5. Vodič za upravljanje rizicima za sustave informacijske tehnologije. Preporuke Nacionalnog instituta za standarde i tehnologiju. SAD. 20-ih godina.
6. Elektronički izvor Wikipedia, članak "Rizik".
Pitanja praktične primjene analize rizika u procesima upravljanja informacijskom sigurnošću, kao i opći problemi samog procesa analize rizika informacijske sigurnosti.
U procesu upravljanja bilo kojim područjem djelovanja potrebno je razviti svjesne i učinkovite odluke čije donošenje pomaže u postizanju određenih ciljeva. Prema našem mišljenju, adekvatna odluka može se donijeti samo na temelju činjenica i analize uzročno-posljedičnih veza. Naravno, u nekim slučajevima odluke se donose i na intuitivnoj razini, ali kvaliteta intuitivne odluke uvelike ovisi o iskustvu menadžera, a u manjoj mjeri i o uspješnom spletu okolnosti.
Kako bismo ilustrirali koliko je složen proces donošenja utemeljene i relevantne odluke, navest ćemo primjer iz područja upravljanja informacijskom sigurnošću (IS). Uzmimo tipičnu situaciju: voditelj odjela za informacijsku sigurnost treba razumjeti u kojim smjerovima se kretati kako bi učinkovito radio svoju glavnu funkciju - osiguravanje informacijske sigurnosti organizacije. S jedne strane, sve je vrlo jednostavno. Postoji niz standardnih pristupa rješavanju sigurnosnih problema: zaštita perimetra, zaštita od insajdera, zaštita od okolnosti više sile. I postoji mnogo proizvoda koji vam omogućuju da riješite ovaj ili onaj problem (kako biste se zaštitili od ove ili one prijetnje).
Međutim, postoji mali "ali". Stručnjaci za informacijsku sigurnost suočeni su s činjenicom da je izbor proizvoda različitih klasa vrlo širok, informacijska infrastruktura organizacije vrlo velika, broj potencijalnih meta za napade uljeza velik, a aktivnosti odjela organizacije su heterogena i ne može se ujediniti. Istodobno, svaki stručnjak odjela ima svoje mišljenje o prioritetu područja djelovanja, što odgovara njegovoj specijalizaciji i osobnim prioritetima. A provedbom jednog tehničkog rješenja ili izradom jednog propisa ili uputstva u velikoj organizaciji nastaje mali projekt sa svim atributima projektnih aktivnosti: planiranjem, proračunom, odgovornim osobama, rokovima itd.
Dakle, fizički se nije moguće svugdje i od svega braniti, prvo, a, drugo, nema smisla. Što u ovom slučaju može učiniti voditelj odjela za informacijsku sigurnost?
Prvo, možda neće učiniti ništa do prvog ozbiljnog incidenta. Drugo, pokušati implementirati bilo koji općeprihvaćeni standard informacijske sigurnosti. Treće, vjerujte marketinškim materijalima proizvođača i integratora softvera i hardvera ili savjetnika za informacijsku sigurnost. Međutim, postoji još jedan način.
Definiranje ciljeva upravljanja informacijskom sigurnošću
Možete pokušati - uz pomoć menadžmenta i zaposlenika organizacije - razumjeti što stvarno treba zaštititi i od koga. Od tog trenutka na spoju tehnologije i glavnog poslovanja počinje specifična djelatnost koja se sastoji u određivanju smjera djelovanja i (ako je moguće) ciljnog stanja informacijske sigurnosti, koje će se istovremeno formulirati i poslovno i uvjeti informacijske sigurnosti.
Proces analize rizika je alat pomoću kojeg možete odrediti ciljeve upravljanja informacijskom sigurnošću, procijeniti glavne kritične čimbenike koji negativno utječu na ključne poslovne procese tvrtke te razviti informirane, učinkovite i razumne odluke za njihovo kontroliranje ili minimiziranje.
U nastavku ćemo vam reći koji se zadaci rješavaju u okviru analize rizika informacijske sigurnosti kako bi se dobili navedeni rezultati i kako se ti rezultati postižu u okviru analize rizika.
Identifikacija i vrednovanje imovine
Cilj upravljanja informacijskom sigurnošću je očuvanje povjerljivosti, integriteta i dostupnosti informacija. Pitanje je samo kakvu informaciju treba zaštititi i što učiniti da se osigura njihova sigurnost (slika 1.).
Svako upravljanje temelji se na svijesti o situaciji u kojoj se događa. U smislu analize rizika, svijest o stanju izražava se u popisu i procjeni imovine organizacije i njenog okruženja, odnosno svega onoga što osigurava obavljanje poslovnih aktivnosti. Sa stajališta analize rizika informacijske sigurnosti, glavna imovina izravno uključuje informacije, infrastrukturu, osoblje, imidž i ugled tvrtke. Bez popisa imovine na poslovnoj razini nemoguće je odgovoriti na pitanje što točno treba zaštititi. Vrlo je važno razumjeti koje se informacije obrađuju u organizaciji i gdje se obrađuju.
U velikoj modernoj organizaciji, broj informacijskih sredstava može biti vrlo velik. Ako su aktivnosti organizacije automatizirane korištenjem ERP sustava, onda možemo reći da gotovo svaki materijalni objekt koji se koristi u ovoj aktivnosti odgovara nekom informacijskom objektu. Stoga je primarni zadatak upravljanja rizicima identificirati najznačajniju imovinu.
Nemoguće je riješiti ovaj problem bez uključivanja menadžera glavnog smjera aktivnosti organizacije, srednje i najviše razine. Optimalna situacija je kada najviši menadžment organizacije osobno postavlja najkritičnija područja djelovanja za koja je iznimno važno osigurati informacijsku sigurnost. Mišljenje najvišeg menadžmenta o prioritetima u osiguravanju informacijske sigurnosti vrlo je važno i dragocjeno u procesu analize rizika, ali ga u svakom slučaju treba razjasniti prikupljanjem informacija o kritičnosti imovine na srednjoj razini menadžmenta tvrtke. Istodobno, preporučljivo je provesti daljnju analizu upravo u područjima poslovanja koje odredi najviši menadžment. Primljene informacije se obrađuju, agregiraju i prosljeđuju najvišem menadžmentu radi sveobuhvatne procjene situacije (ali o tome kasnije).
Informacije se mogu identificirati i lokalizirati na temelju opisa poslovnih procesa, unutar kojih se informacija smatra jednom od vrsta resursa. Zadatak je donekle pojednostavljen ako je organizacija usvojila pristup reguliranju poslovnih aktivnosti (na primjer, u cilju upravljanja kvalitetom i optimizacije poslovnih procesa). Formalizirani opisi poslovnih procesa pružaju dobro polazište za popis imovine. Ako nema opisa, sredstva možete identificirati na temelju informacija dobivenih od ljudi u organizaciji. Nakon što je imovina identificirana, potrebno je utvrditi njihovu vrijednost.
Utvrđivanje vrijednosti informacijske imovine u kontekstu cijele organizacije istovremeno je najznačajnije i najteže. Upravo procjena informacijske imovine omogućit će voditelju odjela za informacijsku sigurnost da odabere glavna područja aktivnosti za osiguranje informacijske sigurnosti.
Vrijednost imovine izražava se u iznosu gubitka koje je pretrpjela organizacija u slučaju kršenja sigurnosti imovine. Određivanje vrijednosti je problematično jer, u većini slučajeva, menadžeri u organizaciji ne mogu odmah odgovoriti na pitanje što se događa ako, na primjer, informacije o kupovnoj cijeni pohranjene na datotečnom poslužitelju odu konkurentu. Umjesto toga, u većini slučajeva menadžeri organizacije nikada nisu razmišljali o takvim situacijama.
No, ekonomska učinkovitost procesa upravljanja informacijskom sigurnošću uvelike ovisi o razumijevanju onoga što treba zaštititi i koji će napori biti potrebni za to, budući da je u većini slučajeva količina truda izravno proporcionalna iznosu utrošenog novca i operativnih troškova. . Upravljanje rizicima omogućuje vam da odgovorite na pitanje gdje možete riskirati, a gdje ne. U slučaju informacijske sigurnosti, pojam "rizik" znači da se u određenom području ne mogu uložiti značajniji napori u zaštitu informacijske imovine, a da istovremeno, u slučaju sigurnosne povrede, organizacija neće pretrpjeti značajne gubici. Ovdje možemo povući analogiju s klasama zaštite automatiziranih sustava: što su rizici značajniji, zahtjevi za zaštitu trebaju biti stroži.
Da biste utvrdili posljedice sigurnosne povrede, morate imati informacije o zabilježenim incidentima slične prirode ili provesti analizu scenarija. Analiza scenarija ispituje uzročne veze između događaja sigurnosti imovine i posljedica tih događaja na poslovne aktivnosti organizacije. Posljedice scenarija treba procijeniti više ljudi, iterativno ili promišljeno. Treba napomenuti da se razvoj i procjena ovakvih scenarija ne mogu u potpunosti odvojiti od stvarnosti. Uvijek treba imati na umu da scenarij mora biti vjerojatan. Kriteriji i ljestvice za određivanje vrijednosti individualni su za svaku organizaciju. Na temelju rezultata analize scenarija mogu se dobiti informacije o vrijednosti imovine.
Ako se imovina identificira i utvrdi njihova vrijednost, može se reći da su ciljevi osiguranja informacijske sigurnosti djelomično utvrđeni: utvrđuju se objekti zaštite i važnost njihovog održavanja u stanju informacijske sigurnosti za organizaciju. Možda ostaje samo utvrditi od koga se treba braniti.
Analiza izvora problema
Nakon što odredite ciljeve upravljanja informacijskom sigurnošću, trebali biste analizirati probleme koji vas sprječavaju u približavanju ciljnom stanju. Na ovoj razini proces analize rizika svodi se na informacijsku infrastrukturu i tradicionalne koncepte informacijske sigurnosti – uljezi, prijetnje i ranjivosti (slika 2.).
Model uljeza
Za procjenu rizika nije dovoljno uvesti standardni model prekršitelja koji razdvaja sve prekršitelje prema vrsti pristupa imovini i znanju o strukturi imovine. Ovo razdvajanje pomaže u određivanju koje prijetnje mogu biti usmjerene na imovinu, ali ne daje odgovor na pitanje mogu li se te prijetnje u načelu ostvariti.
U procesu analize rizika potrebno je procijeniti motiviranost prekršitelja u provedbi prijetnji. U ovom slučaju prekršitelj ne znači apstraktnog vanjskog hakera ili insajdera, već stranu zainteresiranu za stjecanje koristi narušavanjem sigurnosti imovine.
Preporučljivo je dobiti početne informacije o modelu prekršitelja, kao iu slučaju izbora početnih područja aktivnosti informacijske sigurnosti, od najvišeg menadžmenta, koji ima predodžbu o poziciji organizacije na tržištu, koji ima informacije o konkurentima i koje metode utjecaja se od njih mogu očekivati. Informacije potrebne za izradu modela uljeza mogu se dobiti i iz specijaliziranih istraživanja o prekršajima u području računalne sigurnosti u području poslovanja za koje se provodi analiza rizika. Pravilno dizajniran model uljeza nadopunjuje ciljeve IS-a identificirane tijekom procjene imovine organizacije.
Model prijetnje
Razvoj modela prijetnji i identificiranje ranjivosti neraskidivo su povezani s inventarom okruženja informacijske imovine organizacije. Same informacije se ne pohranjuju niti obrađuju. Pristup joj je omogućen korištenjem informacijske infrastrukture koja automatizira poslovne procese organizacije. Važno je razumjeti kako su informacijska infrastruktura organizacije i informacijska imovina povezani. Sa stajališta upravljanja informacijskom sigurnošću, važnost informacijske infrastrukture može se utvrditi tek nakon utvrđivanja odnosa između informacijske imovine i infrastrukture. U slučaju da su procesi održavanja i upravljanja informacijskom infrastrukturom u organizaciji regulirani i transparentni, prikupljanje informacija potrebnih za prepoznavanje prijetnji i procjenu ranjivosti uvelike je pojednostavljeno.
Razvoj modela prijetnji posao je za stručnjake za informacijsku sigurnost koji imaju dobru ideju o tome kako uljez može dobiti neovlašteni pristup informacijama kršenjem sigurnosnog perimetra ili korištenjem metoda društvenog inženjeringa. Prilikom razvoja modela prijetnje može se govoriti io scenarijima kao uzastopnim koracima prema kojima se prijetnje mogu implementirati. Rijetko se događa da se prijetnje implementiraju u jednom koraku iskorištavanjem jedne ranjivosti u sustavu.
Model prijetnje trebao bi uključivati sve prijetnje identificirane iz povezanih procesa upravljanja informacijskom sigurnošću, kao što su upravljanje ranjivostima i incidentima. Treba imati na umu da će prijetnje morati biti rangirane jedna u odnosu na drugu prema razini vjerojatnosti njihove provedbe. Za to je u procesu izrade modela prijetnje za svaku prijetnju potrebno naznačiti najznačajnije čimbenike čije postojanje utječe na njezinu provedbu.
Identificiranje ranjivosti
Sukladno tome, nakon razvoja modela prijetnji, potrebno je identificirati ranjivosti u okruženju imovine. Identifikacija i procjena ranjivosti može se izvesti kao dio drugog procesa upravljanja informacijskom sigurnošću – revizije. Ne treba zaboraviti da je za provođenje revizije IS-a potrebno razviti kriterije provjere. A kriteriji provjere mogu se razviti upravo na temelju modela prijetnje i modela uljeza.
Na temelju rezultata razvoja modela prijetnje, modela uljeza i identifikacije ranjivosti, možemo reći da su identificirani razlozi koji utječu na postizanje ciljnog stanja informacijske sigurnosti organizacije.
Procjena rizika
Identificiranje i procjena imovine, razvoj modela uljeza i modela prijetnje, prepoznavanje ranjivosti su standardni koraci koje treba opisati u svakoj metodologiji analize rizika. Svi gore navedeni koraci mogu se izvesti s različitim razinama kvalitete i detalja. Vrlo je važno razumjeti što i kako se može učiniti s ogromnom količinom akumuliranih informacija i formaliziranih modela. Smatramo da je ovo pitanje najvažnije, a korištena metoda analize rizika trebala bi dati odgovor na njega.
Dobivene rezultate potrebno je vrednovati, agregirati, klasificirati i prikazati. Budući da se šteta utvrđuje u fazi identifikacije i procjene imovine, potrebno je procijeniti vjerojatnost rizičnih događaja. Kao iu slučaju procjene imovine, procjena vjerojatnosti može se dobiti na temelju statistike o incidentima, čiji se uzroci podudaraju s razmatranim prijetnjama IS-a, ili metodom predviđanja - na temelju vaganja čimbenika koji odgovaraju razvijenom modelu prijetnje .
Dobra praksa za procjenu vjerojatnosti bila bi klasificiranje ranjivosti prema odabranom skupu čimbenika koji karakteriziraju lakoću iskorištavanja ranjivosti. Predviđanje vjerojatnosti prijetnji provodi se na temelju svojstava ranjivosti i skupina prekršitelja iz kojih prijetnje potječu.
Primjer sustava za klasifikaciju ranjivosti je CVSS standard – uobičajeni sustav bodovanja ranjivosti. Treba napomenuti da je u procesu identificiranja i procjene ranjivosti vrlo važno stručno iskustvo stručnjaka za informacijsku sigurnost koji vrše procjenu rizika, te korišteni statistički materijali i izvješća o ranjivostima i prijetnjama u području informacijske sigurnosti.
Veličinu (razinu) rizika treba odrediti za sve identificirane i podudarne skupove prijetnji imovine. Istodobno, iznos štete i vjerojatnost ne bi trebali biti nužno izraženi u apsolutnim novčanim izrazima i postocima; štoviše, rezultate u pravilu nije moguće prikazati u ovom obliku. Razlog tome su metode koje se koriste za analizu i procjenu rizika informacijske sigurnosti: analiza scenarija i predviđanje.
Odlučivanje
Što se može učiniti s dobivenom ocjenom?
Prije svega, potrebno je izraditi jednostavno i jasno izvješće o analizi rizika, čija će glavna svrha biti prezentacija prikupljenih informacija o značaju i strukturi rizika informacijske sigurnosti u organizaciji. Izvješće treba dostaviti najvišem rukovodstvu organizacije. Česta je pogreška višem rukovodstvu prezentirati međurezultate umjesto zaključaka. Bez sumnje, svi zaključci moraju biti potkrijepljeni argumentima - svi međuizračuni moraju biti priloženi izvješću.
Radi jasnoće izvješća, rizici se moraju klasificirati u poslovnim uvjetima poznatim organizaciji, slični rizici moraju biti agregirani. Općenito, klasifikacija rizika može biti višestruka. S jedne strane govorimo o rizicima informacijske sigurnosti, s druge - o rizicima narušavanja ugleda ili gubitka klijenta. Klasificirani rizici moraju se rangirati prema njihovoj vjerojatnosti nastanka i njihovoj važnosti za organizaciju.
Izvješće o analizi rizika odražava sljedeće informacije:
- najproblematičnija područja informacijske sigurnosti u organizaciji;
- utjecaj prijetnji IS-a na cjelokupnu strukturu rizika organizacije;
- primarni smjerovi djelovanja IS odjela za poboljšanje učinkovitosti održavanja IS-a.
Na temelju izvješća o analizi rizika, voditelj odjela informacijske sigurnosti može izraditi plan rada odjela za srednjoročno razdoblje i utvrditi proračun na temelju prirode mjera potrebnih za smanjenje rizika. Napominjemo da ispravno sastavljeno izvješće o analizi rizika omogućuje voditelju odjela informacijske sigurnosti da pronađe zajednički jezik s najvišim menadžmentom organizacije i riješi hitne probleme vezane uz upravljanje informacijskom sigurnošću (slika 3).
Politika tretmana rizika
Vrlo važno pitanje je politika upravljanja rizicima organizacije. Politika definira pravila postupanja s rizicima. Na primjer, politika može navesti da prvo treba ublažiti rizike gubitka ugleda i da se ublažavanje rizika srednje ozbiljnosti koji nisu potvrđeni incidentima informacijske sigurnosti odgađa do kraja čekanja. Politiku upravljanja rizicima može odrediti korporativna jedinica za upravljanje rizicima.
Politika tretmana rizika može razjasniti pitanja osiguranja rizika i restrukturiranja djelatnosti u slučaju da potencijalni rizici prijeđu prihvatljivu razinu. Ako politika nije definirana, redoslijed rada na smanjenju rizika trebao bi se temeljiti na principu maksimalne učinkovitosti, ali bi ga ipak trebao odrediti najviši menadžment.
Hajde da rezimiramo
Analiza rizika je prilično naporan postupak. U procesu analize rizika potrebno je koristiti metodološke materijale i alate. Međutim, to nije dovoljno za uspješnu provedbu ponovljivog procesa; druga važna komponenta su propisi o upravljanju rizicima. Može biti samodostatna i utjecati samo na rizike informacijske sigurnosti ili se može integrirati u cjelokupni proces upravljanja rizicima u organizaciji.
U proces analize rizika uključeni su mnogi strukturni odjeli organizacije: odjeli koji vode glavne smjerove njezinih aktivnosti, odjel za upravljanje informacijskom infrastrukturom, odjel za upravljanje informacijskom sigurnošću. Osim toga, za uspješno provođenje analize rizika i učinkovito korištenje njezinih rezultata potrebno je uključiti najviše rukovodstvo organizacije, čime se osigurava interakcija između strukturnih odjela.
Samo metodologija analize rizika ili specijalizirani alat za procjenu rizika informacijske sigurnosti nije dovoljan. Postoji potreba za postupcima za identifikaciju imovine, utvrđivanje značaja imovine, razvoj modela uljeza i prijetnji, identificiranje ranjivosti, agregiranje i klasifikaciju rizika. U različitim organizacijama svi navedeni postupci mogu se značajno razlikovati. Ciljevi i opseg analize rizika informacijske sigurnosti također utječu na zahtjeve za procese povezane s analizom rizika.
Primjena metode analize rizika za upravljanje informacijskom sigurnošću zahtijeva od organizacije dovoljnu razinu zrelosti na kojoj će biti moguće implementirati sve procese potrebne u okviru analize rizika.
Upravljanje rizicima omogućuje strukturiranje aktivnosti odjela informacijske sigurnosti, pronalaženje zajedničkog jezika s najvišim menadžmentom organizacije, procjenu učinkovitosti odjela informacijske sigurnosti i opravdavanje odluka o izboru specifičnih tehničkih i organizacijskih mjera zaštite za najviše rukovodstvo. .
Proces analize rizika je kontinuiran, budući da ciljevi najviše razine informacijske sigurnosti mogu ostati nepromijenjeni dugo vremena, a informacijska infrastruktura, metode obrade informacija i rizici povezani s korištenjem IT-a se stalno mijenjaju.
Odjel informacijske sigurnosti i organizacija u cjelini, u slučaju strukturiranja svojih aktivnosti kroz kontinuiranu analizu rizika, dobivaju sljedeće vrlo značajne prednosti:
- identificiranje ciljeva upravljanja;
- definiranje metoda upravljanja;
- učinkovitost upravljanja temeljena na donošenju informiranih i pravovremenih odluka.
U vezi s upravljanjem rizicima i informacijskom sigurnošću potrebno je napomenuti još nekoliko točaka.
Analiza rizika, upravljanje incidentima i revizija informacijske sigurnosti međusobno su neraskidivo povezani, budući da su ulazi i izlazi navedenih procesa povezani. Razvoj i provedba procesa upravljanja rizicima treba se provoditi s obzirom na upravljanje incidentima i reviziju IS-a.
Uspostavljeni proces analize rizika obvezan je zahtjev standarda STO-BR IBBS-1.0-2006 za osiguranje informacijske sigurnosti u bankarskom sektoru.
Uspostavljanje procesa analize rizika potrebno je organizaciji ako se odluči proći certifikaciju za usklađenost sa zahtjevima međunarodne norme ISO/IEC 27001:2005.
Uspostava režima zaštite poslovnih tajni i osobnih podataka neraskidivo je povezana s analizom rizika, budući da svi navedeni procesi koriste slične metode za identifikaciju i procjenu imovine, razvoj modela uljeza i modela prijetnje.
Vrijednost informacije određena je mukotrpnošću njezine pripreme (prikupljanja), troškovima njezine podrške (održavanja), visinom moguće štete u slučaju njezina gubitka ili uništenja, troškovima koje su druge osobe (konkurenti, napadači) spreman platiti za to, kao i iznos mogućih posljedica i kazni u slučaju njegovog gubitka (curenja). Bez procjene informacija nemoguće je adekvatno procijeniti izvedivost utroška novca i sredstava na njihovu zaštitu. Prilikom odabira zaštitnih mjera potrebno je uzeti u obzir vrijednost informacija.
Procjena imovine može se provesti i kvantitativno i kvalitativno. Stvarni trošak imovine utvrđuje se na temelju troškova stjecanja, razvoja i održavanja. Vrijednost imovine određena je njezinom vrijednošću za vlasnike, ovlaštene i neovlaštene korisnike. Neki su podaci važni za tvrtku i dodijeljen im je pečat povjerljivosti.
Na primjer, cijena poslužitelja je 4000 dolara, ali to nije njegova vrijednost u procjeni rizika. Njegova vrijednost određena je troškovima zamjene ili popravka, gubicima zbog smanjene učinkovitosti, oštećenjima od oštećenja ili gubitkom podataka pohranjenih na njemu. Time će se utvrditi šteta za tvrtku u slučaju oštećenja ili gubitka poslužitelja iz ovog ili onog razloga.
Prilikom utvrđivanja vrijednosti imovine treba uzeti u obzir sljedeća pitanja:
- Trošak dobivanja ili razvoja imovine
- Troškovi podrške i zaštite imovine
- Vrijednost imovine za vlasnike i korisnike
- Vrijednost imovine za napadače (konkurente)
- Vrijednost intelektualnog vlasništva korištenog u razvoju imovine
- Cijena koju su drugi spremni platiti za imovinu
- Trošak zamjene imovine u slučaju gubitka
- Operativne i proizvodne aktivnosti koje ovise o raspoloživosti sredstva
- Obveza u slučaju ugroženosti imovine
- Korist i uloga imovine u poduzeću
Određivanje vrijednosti imovine korisno je za tvrtku iz raznih razloga, uključujući sljedeće:
- Za analizu troškova i koristi
- Za odabir specifičnih protumjera i zaštitne opreme
- Odrediti potrebnu razinu osiguranja
- Kako bi razumjeli što je točno poduzeće u opasnosti
- U skladu sa zakonskim, regulatornim zahtjevima i zahtjevima dužne brige
Kao što je ranije navedeno, rizik je vjerojatnost da će ranjivost biti iskorištena od strane izvora prijetnje, što će rezultirati negativnim utjecajem na poslovanje. Postoji mnogo vrsta izvora prijetnji koji mogu iskoristiti različite vrste ranjivosti koje mogu dovesti do određenih prijetnji. Neki primjeri rizika prikazani su u tablici 1-2.
Tablica 1-2 Odnos prijetnji i ranjivosti
Postoje i druge vrste prijetnji koje se mogu pojaviti u računalnom okruženju koje je mnogo teže identificirati. Te su prijetnje povezane s greškama u aplikacijama i korisničkim pogreškama. Međutim, uz pravilnu organizaciju kontrole i revizije radnji korisnika, njihove je pogreške (namjerne ili slučajne) puno lakše prepoznati.
Nakon što se identificiraju ranjivosti i povezane prijetnje, potrebno je analizirati posljedice njihovog iskorištavanja, tj. opasnosti od potencijalne štete. Šteta može biti povezana s oštećenjem podataka ili sustava (objekata), neovlaštenim otkrivanjem povjerljivih informacija, smanjenom produktivnošću itd. Prilikom provođenja analize rizika, tim također treba uzeti u obzir vjerojatnost odgođena šteta(odgođeni gubitak), koji se može pojaviti nakon nekog vremena (od 15 minuta do nekoliko godina) nakon realizacije rizika. Odgođena šteta može biti uzrokovana, primjerice, smanjenjem produktivnosti rada nakon određenog vremenskog razdoblja, smanjenjem prihoda tvrtke, narušavanjem ugleda, kumulativnim kaznama, dodatnim troškovima za obnovu okoliša, obustavom primanja sredstava od kupaca. , itd.
Na primjer, ako su, kao rezultat napada na web poslužitelje tvrtke, oni prestali služiti klijentima, izravna šteta mogla bi biti oštećenje podataka, vrijeme utrošeno na vraćanje poslužitelja u rad i ažuriranje ranjivog softvera na njima. Osim toga, tvrtka će izgubiti neke prihode zbog nemogućnosti pružanja usluga kupcima tijekom vremena potrebnog za obnavljanje rada svojih web poslužitelja. Ako restauratorski radovi traju značajno vrijeme (na primjer, tjedan dana), tvrtka bi mogla izgubiti toliku dobit da više neće moći plaćati račune i druge troškove. To će biti odgođena šteta. A ako, između ostalog, tvrtka izgubi i povjerenje kupaca, može u potpunosti izgubiti poslovanje (na neko vrijeme ili zauvijek). Ovo je ekstremni slučaj odgođene štete.
Ovakva pitanja značajno kompliciraju kvantitativnu procjenu štete, ali se moraju uzeti u obzir kako bi se dobila pouzdana procjena.
Tehnike procjene rizika. Za procjenu rizika koristi se mnogo različitih tehnika. Pogledajmo neke od njih.
NIST SP 800-30 i 800-66 su metodologije koje mogu koristiti komercijalne tvrtke, iako je 800-66 izvorno razvijen za zdravstvenu skrb i druge regulirane industrije. NIST pristup uzima u obzir IT prijetnje i povezane rizike informacijske sigurnosti. Uključuje sljedeće korake:
- Opis karakteristika sustava
- Identificiranje prijetnji
- Identificiranje ranjivosti
- Analiza zaštitnih mjera
- Određivanje vjerojatnosti
- Analiza utjecaja
- Definicija rizika
- Preporuke za mjere zaštite
- Dokumentiranje rezultata
NIST SP 800-30 Metodologiju procjene rizika često koriste konzultanti i sigurnosni stručnjaci, interni IT odjeli. Usredotočuje se uglavnom na računalne sustave. Pojedinci ili male grupe prikupljaju podatke s weba, iz korištenih sigurnosnih praksi i od ljudi koji rade za tvrtku. Prikupljeni podaci koriste se kao ulaz za provođenje koraka analize rizika opisanih u Dokumentu 800-30.
Druga metodologija procjene rizika je FRAP (Olakšan proces analize rizika). Osmišljen je za provođenje kvalitativne procjene rizika na način koji omogućuje provođenje revizije u različitim aspektima i korištenjem različitih metodologija. Omogućuje poduzeću načine za donošenje odluka o tijeku djelovanja i specifičnim akcijama u specifičnim okolnostima za rješavanje različitih pitanja. To omogućuje da se kroz predselekciju identificiraju ona područja u poduzeću koja stvarno trebaju analizu rizika. FRAP je strukturiran na način da svatko tko ima dobre vještine organizacije tima može uspješno provesti analizu rizika koristeći ovu metodologiju.
Druga vrsta metodologije je OKTAVA (Procjena operativnih kritičnih prijetnji, imovine i ranjivosti). Ovo je metodologija koju treba primijeniti u situacijama kada cjelokupni proces analize rizika informacijske sigurnosti provode zaposlenici tvrtke (bez uključivanja vanjskih konzultanata). Temelji se na ideji da ljudi u poduzeću najbolje razumiju što tvrtka stvarno treba i s kojim se rizicima suočava. Zaposlenici odabrani za sudjelovanje u procesu procjene sami odlučuju koji je pristup najbolji za procjenu sigurnosti njihove tvrtke.
Dok se metodologije NIST i OCTAVE bave IT prijetnjama i rizicima informacijske sigurnosti, AS / NZS 4360 ima mnogo širi pristup upravljanju rizicima. Ova se metodologija može koristiti za razumijevanje rizika tvrtke u financijama, zaštiti ljudi, donošenju poslovnih odluka i još mnogo toga. Nije razvijen posebno za analizu sigurnosnih rizika, iako se može uspješno koristiti iu tu svrhu.
BILJEŠKA. Više informacija o ovim pristupima analizi rizika i njihovoj upotrebi možete pronaći u članku Seana Harrisa na http://searchsecurity.techtarget.com/generic/0,295582,sid14_gci1191926,00.html.CRAMM (CCTA Risk Analysis and Management Method - Metoda analize i upravljanja rizikom Centralne računalne i telekomunikacijske agencije (CCTA) UK) podijeljena je u tri segmenta: identifikacija i procjena imovine, analiza prijetnji i ranjivosti, odabir protumjera. Ova metodologija uzima u obzir i tehničke aspekte tvrtke i one netehničke.
Analiza rasponskog stabla (Spanning Tree Analysis) je metodologija koja stvara stablo svih potencijalnih prijetnji i nedostataka koji mogu poremetiti rad sustava. Svaka grana je generalizirana tema ili kategorija, a neprimjenjive grane mogu se ukloniti tijekom procesa analize rizika.
FMEA (načini kvara i analiza učinaka) Metoda je definiranja funkcija, identificiranja funkcionalnih nedostataka, procjene uzroka kvara i njegovih posljedica korištenjem strukturiranog procesa. Primjena ovog postupka na trajne nedostatke omogućuje vam da odredite gdje će se pogreška najvjerojatnije pojaviti. To uvelike pomaže u prepoznavanju ranjivosti, preciznom određivanju granica ranjivosti i posljedica njihovog iskorištavanja. Zauzvrat, to omogućuje ne samo pojednostavljenje primjene zakrpa koje uklanjaju ranjivosti, već i osiguravanje učinkovitijeg korištenja resursa u ovom zadatku.
Slijedeći određeni slijed koraka, možete postići najbolje rezultate u analizi grešaka.
- Počnite s blok dijagramom sustava ili kontrole (objekta analize).
- Razmislite što se događa ako svaki blok u dijagramu ne uspije.
- Nacrtajte tablicu i navedite nedostatke u njoj, uparene s njihovim posljedicama i procjenom tih posljedica.
- Prilagodite dizajn sustava i napravite odgovarajuće izmjene u tablici dok ne bude jasno da problem nije utjecao na sustav.
- Dobijte više inženjerskih pogleda na prirodu kvara i analizu utjecaja.
Tablica 1-3 daje primjer provođenja i dokumentiranja FMEA. Iako većina tvrtki nema resurse za pružanje tako detaljne razrade svakog sustava i kontrole, ona se mora provesti za kritične funkcije i sustave koji mogu imati značajan utjecaj na tvrtku. Vrlo je važno analizirati zaštitu ili sustav od mikro do makro kako bi se u potpunosti razumjelo gdje mogu biti potencijalne ranjivosti ili nedostaci i koje su posljedice iskorištavanja tih nedostataka. Svaki računalni sustav može se sastojati od mnogo različitih privremenih bombi na različitim razinama svoje strukture. Na razini komponente, to može biti prelijevanje međuspremnika ili opasne ActiveX komponente koje bi mogle omogućiti napadaču da preuzme kontrolu nad vašim sustavom iskorištavanjem ranjivosti. Na razini softvera, aplikacija može biti nesigurna za autorizaciju ili možda neće pravilno zaštititi svoje kriptografske ključeve. Na razini sustava, jezgra operativnog sustava može biti manjkava, omogućujući napadaču da dobije administrativni pristup bez većih poteškoća. Na bilo kojoj razini mogu se dogoditi razne strašne stvari, zbog čega je potreban tako detaljan pristup.
Tablica 1-3 Primjer provođenja i dokumentiranja FMEA
FMEA je izvorno razvijen za istraživanje sustava. Njegova je svrha ispitati potencijalne nedostatke u proizvodima i povezanim procesima. Ovaj pristup je bio uspješan i prilagođen je za korištenje u procjeni prioriteta upravljanja rizicima i minimiziranju poznatih prijetnji ranjivosti.
Međutim, FMEA nije dovoljno učinkovit u identificiranju složenih nedostataka koji mogu uključivati nekoliko različitih sustava ili podsustava. U ovom slučaju, prikladnije je koristiti analizu stabla kvarova. Za analizu pomoću stabla kvarova uzima se glavni proces. Neželjeni događaj je naveden kao njegov korijen (najviši element ovog logičkog stabla). Zatim se, kao grane, dodaje niz logičkih izraza i događaja koji mogu dovesti do implementacije neželjenog događaja uzvodno. Stablo kvarova se tada označava brojevima koji odgovaraju vjerojatnosti kvara (to se obično radi pomoću specijaliziranih računalnih programa koji mogu izračunati vjerojatnosti u stablu kvarova). Slika 1-7 prikazuje pojednostavljeno stablo kvarova i razne logičke znakove koji se koriste za predstavljanje onoga što se mora dogoditi da izazove kvar.
Slika 1-7 Stablo kvarova i logička vrata
Prilikom izrade stabla potrebno je točno naznačiti sve prijetnje ili kvarove koji se mogu pojaviti u sustavu. Grane stabla mogu se kategorizirati kao fizičke prijetnje, mrežne prijetnje, računalne prijetnje, internetske prijetnje i prijetnje prekida rada. Kada su sve moguće kategorije označene, možete rezati grane sa stabla, uklanjajući prijetnje koje u ovom slučaju nisu primjenjive (ako sustav nije spojen na Internet, tada se grane povezane s internetom mogu lako orezati sa stabla).
Neki od češćih softverskih grešaka koji se mogu istražiti analizom stabla pada su navedeni u nastavku:
- Lažno pozitivni (alarmi ili zaštite)
- Nedovoljno rukovanje pogreškama
- Izvan redoslijeda ili reda
- Netočna sinkronizacija rezultata
- Točni, ali neočekivani rezultati
Prilikom implementacije sustava upravljanja informacijskom sigurnošću (ISMS) u organizaciji, jedan od glavnih kamena spoticanja obično je sustav upravljanja rizicima. Rasprave o upravljanju rizicima informacijske sigurnosti slične su problemu NLO-a. S jedne strane, činilo se da nitko od ostalih to nije vidio i sam događaj se čini malo vjerojatnim, s druge strane, postoji mnoštvo dokaza, napisane su stotine knjiga, čak su uključene relevantne znanstvene discipline i udruženja stručnjaka u ovom istraživačkom procesu i, kao i obično, specijalne službe na ovom području imaju posebna tajna znanja.
Aleksandar Astahov, CISA, 2006
Uvod
Ne postoji konsenzus među stručnjacima za informacijsku sigurnost o upravljanju rizicima. Netko negira kvantitativne metode procjene rizika, netko negira kvalitativne metode, netko općenito poriče izvedivost i samu mogućnost procjene rizika, netko okrivljuje menadžment organizacije za nedostatak svijesti o važnosti sigurnosnih pitanja ili se žali na poteškoće povezane s dobivanjem objektivna procjena vrijednosti određene imovine, kao što je ugled organizacije. Drugi, ne videći priliku da opravdaju trošak sigurnosti, predlažu da ga tretirate kao neku vrstu higijenskog postupka i potrošite na taj postupak onoliko novca koliko vam ne smeta, odnosno koliko je ostalo u proračunu.
Kakva god mišljenja da postoje o pitanju upravljanja rizicima informacijske sigurnosti i bez obzira na to kako se prema tim rizicima odnosili, jedno je jasno da je ovo pitanje bit višestruke aktivnosti stručnjaka za informacijsku sigurnost, izravno ga povezujući s poslovanjem, dajući mu razumno značenje. i svrsishodnost. Ovaj članak opisuje jedan mogući pristup upravljanju rizicima i odgovara na pitanje zašto različite organizacije različito percipiraju i upravljaju rizicima informacijske sigurnosti.
Osnovna i pomoćna sredstva
Kada govorimo o poslovnim rizicima, mislimo na mogućnost, s određenom vjerojatnošću, nanošenje određene štete. To može biti i izravna materijalna šteta i neizravna šteta, izražena npr. u izgubljenoj dobiti, sve do izlaska iz poslovanja, jer ako se ne upravlja rizikom, onda posao može biti izgubljen.
Zapravo, bit problema leži u činjenici da organizacija ima i koristi nekoliko glavnih kategorija resursa za postizanje rezultata svojih aktivnosti (svojih poslovnih ciljeva) (dalje ćemo koristiti koncept imovine koja je izravno povezana s poslovanjem) . Imovina je sve što ima vrijednost za organizaciju i generira njezin prihod (drugim riječima, ono je ono što stvara pozitivan financijski tok ili štedi novac)
Razlikovati materijalnu, financijsku, ljudsku i informacijsku imovinu. Suvremeni međunarodni standardi definiraju i drugu kategoriju imovine - to su procesi. Proces je skupna imovina koja djeluje na svu ostalu imovinu poduzeća radi postizanja poslovnih ciljeva. Imidž i ugled tvrtke također se smatraju jednim od najvažnijih dobara. Ova ključna imovina za bilo koju organizaciju nije ništa drugo do posebna vrsta informacijske imovine, budući da imidž i reputacija poduzeća nisu ništa drugo nego sadržaj otvorenih i široko rasprostranjenih informacija o njoj. Informacijska sigurnost bavi se problemima imidža utoliko što problemi sa sigurnošću organizacije, kao i curenje povjerljivih informacija, imaju izrazito negativan utjecaj na imidž.
Na poslovne rezultate utječu različiti vanjski i unutarnji čimbenici koji spadaju u kategoriju rizika. Taj se utjecaj izražava u negativnom utjecaju na jednu ili istovremeno više skupina imovine organizacije. Primjerice, kvar poslužitelja utječe na dostupnost informacija i aplikacija koje su na njemu pohranjene, a njegov popravak preusmjerava ljudske resurse, stvarajući njihov manjak u određenom području rada i izazivajući poremećaj poslovnih procesa, dok privremena nedostupnost usluge klijentima mogu negativno utjecati na imidž tvrtke.
Po definiciji, sve vrste imovine važne su za organizaciju. Međutim, svaka organizacija ima veliku vitalnu imovinu i pomoćnu imovinu. Vrlo je lako odrediti koja su sredstva glavna, jer to su sredstva oko kojih se gradi poslovanje organizacije. Dakle, poslovanje organizacije može se temeljiti na vlasništvu i korištenju materijalne imovine (na primjer, zemljišta, nekretnina, opreme, minerala), poslovanje se može graditi i na upravljanju financijskom imovinom (posuđivanje, osiguranje, ulaganja ), poslovanje se može temeljiti na kompetenciji i ovlasti određenih stručnjaka (konzalting, revizija, obuka, industrije visoke tehnologije i znanja) ili se poslovanje može vrtjeti oko informacijske imovine (razvoj softvera, informacijski proizvodi, e-trgovina, poslovanje na internetu). Rizici velike imovine prepuni su gubitka poslovanja i nenadoknadivih gubitaka za organizaciju, stoga su ovi rizici prvenstveno u fokusu pažnje vlasnika poduzeća i menadžment organizacije se s njima osobno bavi. Rizici pomoćne imovine obično rezultiraju nadoknadivom štetom i nisu glavni prioritet u sustavu upravljanja organizacije. Ovim rizicima obično upravljaju ovlaštene osobe ili ih povjeravaju trećoj strani kao što je vanjski naručitelj ili osiguravajuće društvo. Za organizaciju je to više pitanje učinkovitosti upravljanja nego opstanka.
Postojeći pristupi upravljanju rizicima
Budući da rizici informacijske sigurnosti nisu glavni za sve organizacije, prakticiraju se tri glavna pristupa upravljanju tim rizicima, koja se razlikuju po dubini i razini formalizma.
Za nekritične sustave, kada su informacijska sredstva pomoćna, a razina informatizacije nije visoka, što je tipično za većinu modernih ruskih tvrtki, postoji minimalna potreba za procjenom rizika. U takvim organizacijama treba govoriti o nekoj osnovnoj razini informacijske sigurnosti koju određuju postojeći propisi i standardi, najbolja praksa, iskustvo, kao i kako se to radi u većini drugih organizacija. Međutim, postojeći standardi, koji opisuju određeni osnovni skup zahtjeva i sigurnosnih mehanizama, uvijek propisuju potrebu procjene rizika i ekonomske isplativosti korištenja određenih kontrolnih mehanizama kako bi se iz općeg skupa zahtjeva i mehanizama odabrali oni od njih koji su primjenjivi. u određenoj organizaciji.
Za kritične sustave u kojima informacijska imovina nije glavna, međutim, razina informatiziranosti poslovnih procesa je vrlo visoka i informacijski rizici mogu značajno utjecati na glavne poslovne procese, potrebno je primijeniti procjenu rizika, no u ovom slučaju je Preporučljivo je ograničiti se na neformalne kvalitativne pristupe rješavanju ovog problema, obraćajući posebnu pozornost na najkritičnije sustave.
Kada je poslovanje organizacije izgrađeno oko informacijske imovine, a rizici informacijske sigurnosti su glavni, za procjenu tih rizika moraju se primijeniti formalni pristup i kvantitativne metode.
U mnogim poduzećima više vrsta imovine može biti od vitalnog značaja u isto vrijeme, na primjer, kada je poslovanje diverzificirano ili se tvrtka bavi kreiranjem informacijskih proizvoda i za nju mogu biti podjednako važni ljudski i informacijski resursi. U ovom slučaju, racionalan pristup je provesti procjenu rizika na visokoj razini kako bi se utvrdilo koji su sustavi visoko rizični, a koji su kritični za poslovanje, nakon čega slijedi detaljna procjena rizika namjenskih sustava. Za sve ostale nekritične sustave preporučljivo je ograničiti primjenu osnovnog pristupa, donošenjem odluka o upravljanju rizicima na temelju postojećeg iskustva, stručnih mišljenja i najboljih praksi.
Razine zrelosti
Na izbor pristupa procjeni rizika u organizaciji, osim prirode njenog poslovanja i stupnja informatiziranosti poslovnih procesa, utječe i njezina zrelost. Upravljanje rizikom informacijske sigurnosti je poslovni zadatak koji pokreće menadžment organizacije zbog svoje svijesti i stupnja svjesnosti o problemima informacijske sigurnosti, čiji je smisao zaštita poslovanja od stvarnih prijetnji informacijskoj sigurnosti. U pogledu stupnja svijesti može se pratiti nekoliko razina zrelosti organizacija koje su u određenoj mjeri u korelaciji s razinama zrelosti definiranim u COBIT-u i drugim standardima:
- Na početnoj razini svijest kao takva ne postoji, organizacija poduzima fragmentarne mjere za osiguranje informacijske sigurnosti, koje iniciraju i provode IT stručnjaci na vlastitu odgovornost.
- Na drugoj razini organizacija definira odgovornost za informacijsku sigurnost, pokušava se koristiti integrirana rješenja s centraliziranim upravljanjem i implementacijom zasebnih procesa upravljanja informacijskom sigurnošću.
- Treću razinu karakterizira primjena procesnog pristupa upravljanju sigurnošću informacija opisanog u standardima. Sustav upravljanja IS-om postaje toliko važan za organizaciju da se smatra nužnom komponentom sustava upravljanja organizacije. Međutim, punopravni sustav upravljanja sigurnošću informacija još ne postoji, budući da nedostaje osnovni element ovog sustava – procesi upravljanja rizicima.
- Organizacije s najvišim stupnjem svijesti o problemima informacijske sigurnosti karakterizira korištenje formaliziranog pristupa upravljanju rizicima informacijske sigurnosti, kojeg karakterizira prisutnost dokumentiranih procesa planiranja, implementacije, praćenja i poboljšanja.
Model procesa upravljanja rizikom
U ožujku ove godine usvojen je novi britanski standard BS 7799 3. dio – Sustavi upravljanja informacijskom sigurnošću – praktična pravila za upravljanje rizicima informacijske sigurnosti. Očekuje da ISO odobri ovaj dokument kao međunarodni standard do kraja 2007. BS 7799-3 definira procjenu rizika i procese upravljanja kao sastavni element sustava upravljanja organizacije, koristeći isti model procesa kao i ostali standardi upravljanja, koji uključuje četiri skupine procesa: planiranje, provedba, provjera, djelovanje (PDAP), koji odražava standardni ciklus svih procesa upravljanja. Dok ISO 27001 opisuje cjelokupni kontinuirani ciklus upravljanja sigurnošću, BS 7799-3 daje projekciju procesa upravljanja rizikom informacijske sigurnosti.
U sustavu upravljanja rizicima IS-a u fazi planiranja utvrđuje se politika i metodologija upravljanja rizicima te se provodi procjena rizika, uključujući popis imovine, sastavljanje profila prijetnji i ranjivosti, procjenu učinkovitosti protumjera i potencijalne štete, te određivanje prihvatljive razine preostalih rizika.
U fazi implementacije rizici se obrađuju i uvode kontrolni mehanizmi za njihovo minimiziranje. Menadžment organizacije donosi jednu od četiri odluke za svaki identificirani rizik: ignorirati, izbjegavati, prenijeti na van ili minimizirati. Zatim se razvija i provodi plan liječenja rizika.
U fazi Verifikacije prati se funkcioniranje kontrolnih mehanizama, prate promjene čimbenika rizika (imovina, prijetnje, ranjivosti), provode se revizije i provode različiti kontrolni postupci.
U fazi radnji, na temelju rezultata kontinuiranog praćenja i tekućih revizija, poduzimaju se potrebne korektivne radnje, koje mogu uključivati, posebice, ponovnu procjenu veličine rizika, prilagodbe politike i metodologije upravljanja rizicima te rizika. plan liječenja.
Faktori rizika
Bit svakog pristupa upravljanju rizicima leži u analizi čimbenika rizika i donošenju adekvatnih odluka o tretmanu rizika. Čimbenici rizika glavni su parametri koje koristimo pri procjeni rizika. Postoji samo sedam takvih parametara:
- Imovina
- Gubitak
- Prijetnja
- Ranjivost
- Upravljački mehanizam (Kontrola)
- Prosječni godišnji gubitak (ALE)
- Povrat ulaganja (ROI)
Načini na koje se ti parametri analiziraju i procjenjuju određeni su metodologijom procjene rizika organizacije. Istodobno, opći pristup i način razmišljanja su približno isti, bez obzira na to koja se metodologija koristi. Proces ocjenjivanja uključuje dvije faze. U prvoj fazi, koja je u standardima definirana kao analiza rizika (analiza), potrebno je odgovoriti na sljedeća pitanja:
- Koja je glavna imovina tvrtke?
- Koja je stvarna vrijednost ove imovine?
- Koje su prijetnje ovoj imovini?
- Koje su implikacije ovih prijetnji i štete za poslovanje?
- Koliko su vjerojatne te prijetnje?
- Koliko je poduzeće ranjivo na te prijetnje?
- Koliki je očekivani prosječni godišnji gubitak?
U drugoj fazi, koju standardi definiraju kao evaluaciju rizika, potrebno je odgovoriti na pitanje: Koja je razina rizika (iznos prosječnih godišnjih gubitaka) prihvatljiva za organizaciju i na temelju toga koji rizici premašiti ovu razinu.
Tako na temelju rezultata procjene rizika dobivamo opis rizika koji prelaze dopuštenu razinu, te procjenu veličine tih rizika, koja je određena veličinom prosječnih godišnjih gubitaka. Zatim morate donijeti odluku o tretmanu rizika, t.j. odgovori na sljedeća pitanja:
- Koju opciju liječenja rizika biramo?
- Ako se donese odluka da se rizik smanji, koje kontrole treba koristiti?
- Koliko su te kontrole učinkovite i kakav će povrat ulaganja pružiti?
Kao rezultat tog procesa pojavljuje se plan tretmana rizika koji definira metode tretmana rizika, cijenu protumjera, kao i vrijeme i odgovornost za provedbu protumjera.
Donošenje odluka o tretmanu rizika
Donošenje odluke o tretmanu rizika ključni je i najkritičniji trenutak u procesu upravljanja rizicima. Kako bi menadžment donio ispravnu odluku, osoba odgovorna za upravljanje rizikom u organizaciji mora joj dati odgovarajuće informacije. Oblik prezentacije takvih informacija određen je standardnim algoritmom poslovne komunikacije, koji uključuje četiri glavne točke:
- Prijava problema: Koja je prijetnja poslovanju (izvor, objekt, način implementacije) i koji je razlog njegovog postojanja?
- Ozbiljnost problema: Koja je prijetnja organizaciji, njenom menadžmentu i dioničarima?
- Predloženo rješenje: Što se predlaže da se popravi situacija, koliko će to koštati, tko bi to trebao učiniti i što se zahtijeva izravno od uprave?
- Alternativna rješenja: Koji drugi načini rješavanja problema postoje (alternative uvijek postoje i uprava treba imati izbor).
Stavke 1 i 2, kao i 3 i 4 mogu se zamijeniti ovisno o konkretnoj situaciji.
Tehnike upravljanja rizikom
Postoji dovoljan broj dobro dokazanih i široko korištenih metoda procjene i upravljanja rizicima. Jedna od takvih metoda je OCTAVE, razvijena na Sveučilištu Carnegie Melon za internu upotrebu u organizaciji. OCTAVE - Procjena kritičnih prijetnji, imovine i ranjivosti (Operational Critical Threat, Asset, and Vulnerability Evaluation) ima niz modifikacija dizajniranih za organizacije različitih veličina i područja djelovanja. Bit ove metode je da se za procjenu rizika koristi niz primjereno organiziranih internih radionica. Procjena rizika se provodi u tri faze, kojima prethodi niz pripremnih aktivnosti, uključujući dogovaranje rasporeda seminara, dodjelu uloga, planiranje, koordinaciju djelovanja članova projektnog tima.
U prvoj fazi, tijekom praktičnih seminara, provodi se izrada profila prijetnji, uključujući procjenu inventara i vrijednosti imovine, identifikaciju primjenjivih zakonskih i regulatornih zahtjeva, identifikaciju prijetnji i procjenu njihove vjerojatnosti, kao i određivanje sustava organizacijskih mjere za održavanje režima informacijske sigurnosti.
Druga faza je tehnička analiza ranjivosti informacijskih sustava organizacije u odnosu na prijetnje, čiji su profili razvijeni u prethodnoj fazi, koja uključuje identifikaciju postojećih ranjivosti informacijskih sustava organizacije i procjenu njihove veličine.
U trećoj fazi se procjenjuju i obrađuju rizici informacijske sigurnosti, što uključuje utvrđivanje veličine i vjerojatnosti nastanka štete kao posljedica sigurnosnih prijetnji korištenjem ranjivosti koje su identificirane u prethodnim fazama, definiranje strategije zaštite, kao i odabir opcija i izradu odluke o tretmanu rizika. Veličina rizika definira se kao prosječna vrijednost godišnjih gubitaka organizacije kao rezultat implementacije sigurnosnih prijetnji.
Sličan pristup koristi se u poznatoj CRAMM metodi procjene rizika, razvijenoj u to vrijeme po nalogu britanske vlade. U CRAMM-u je primarni način procjene rizika kroz pažljivo planirane intervjue koji koriste vrlo detaljne upitnike. CRAMM se koristi u tisućama organizacija diljem svijeta zahvaljujući, između ostalog, prisutnosti visokorazvijenog softverskog alata koji sadrži bazu znanja o rizicima i mehanizmima za njihovo minimiziranje, sredstvo za prikupljanje informacija, generiranje izvješća, a također i implementaciju algoritmi za izračun veličine rizika.
Za razliku od OCTAVE metode, CRAMM koristi nešto drugačiji slijed radnji i metoda za određivanje veličine rizika. Prvo se općenito utvrđuje prikladnost procjene rizika, a ako informacijski sustav organizacije nije dovoljno kritičan, tada se na njega primjenjuje standardni skup kontrolnih mehanizama opisanih u međunarodnim standardima i sadržanih u bazi znanja CRAMM.
U prvoj fazi, u CRAMM metodi, gradi se model resursa informacijskog sustava koji opisuje odnos između informacija, softvera i tehničkih resursa, a vrijednost resursa se procjenjuje na temelju moguće štete koju organizacija može pretrpjeti kao rezultat njihovog kompromisa.
U drugoj fazi provodi se procjena rizika koja uključuje identifikaciju i procjenu vjerojatnosti prijetnji, procjenu veličine ranjivosti i izračun rizika za svaku trojku: resurs – prijetnja – ranjivost. CRAMM procjenjuje “čiste” rizike, bez obzira na kontrolne mehanizme implementirane u sustav. U fazi procjene rizika pretpostavlja se da se protumjere uopće ne primjenjuju te se na temelju te pretpostavke formira skup preporučenih protumjera za minimiziranje rizika.
U završnoj fazi, CRAMM alati formiraju skup protumjera za minimiziranje identificiranih rizika te uspoređuje preporučene i postojeće protumjere, nakon čega se formira plan tretmana rizika.
Alati za upravljanje rizicima
U procesu procjene rizika prolazimo kroz niz uzastopnih faza, povremeno se vraćamo na prethodne faze, na primjer, ponovno procjenjujemo određeni rizik nakon što odaberemo određenu protumjeru kako bismo ga minimizirali. U svakoj fazi trebali biste imati pri ruci upitnike, popise prijetnji i ranjivosti, registre resursa i rizika, dokumentaciju, zapisnike sa sastanaka, standarde i smjernice. U tom smislu, potreban vam je programirani algoritam, baza podataka i sučelje za rad s tim različitim podacima.
Za upravljanje rizicima informacijske sigurnosti možete koristiti alate, na primjer, kao u CRAMM metodi ili RA2 (prikazano na slici), ali to nije potrebno. O tome govori i standard BS 7799-3. Korisnost korištenja alata može biti u činjenici da sadrži programirani algoritam za radni tijek procjene rizika i upravljanja, koji pojednostavljuje rad neiskusnog stručnjaka.
Korištenje alata omogućuje objedinjavanje metodologije i pojednostavljenje korištenja rezultata za ponovnu procjenu rizika, čak i ako je provode drugi stručnjaci. Korištenjem alata moguće je pojednostaviti pohranu podataka i rad s modelom resursa, profilima prijetnji, popisima ranjivosti i rizika.
Osim stvarnih alata za procjenu i upravljanje rizicima, softverski alati mogu sadržavati i dodatne alate za dokumentiranje ISMS-a, analizu neusklađenosti sa zahtjevima standarda, izradu registra resursa, kao i druge alate potrebne za implementaciju i rad sustava. ISMS.
zaključke
Izbor kvalitativnog ili kvantitativnog pristupa procjeni rizika određen je prirodom poslovanja organizacije i stupnjem njezine informatiziranosti, t.j. važnost informacijske imovine za njega i razinu zrelosti organizacije.
Prilikom implementacije formalnog pristupa upravljanju rizicima u organizaciji potrebno je prvenstveno se osloniti na zdrav razum, postojeće standarde (npr. BS 7799-3) i dobro uhodane metodologije (na primjer, OCTAVE ili CRAMM). U te svrhe može biti korisno koristiti softverske alate koji implementiraju odgovarajuće metodologije i u najvećoj mogućoj mjeri zadovoljavaju zahtjeve standarda (npr. RA2).
Učinkovitost procesa upravljanja rizikom IS-a određena je točnošću i potpunošću analize i procjene čimbenika rizika, kao i djelotvornošću mehanizama koji se koriste u organizaciji za donošenje upravljačkih odluka i praćenje njihove provedbe.
Linkovi
- Astakhov A.M., "Povijest BS 7799", http://www.globaltrust.ru/shop/osnov.php?idstat=61&idcatstat=12
- Astakhov A.M., "Kako izgraditi i certificirati sustav upravljanja sigurnošću informacija?"
Rizici informacijske sigurnosti u ovom trenutku predstavljaju veliku prijetnju normalnom poslovanju mnogih poduzeća i institucija. U naše doba informacijske tehnologije, doći do bilo kakvih podataka praktički nije teško. S jedne strane, to, naravno, nosi mnoge pozitivne aspekte, ali postaje problem za lice i brend mnogih tvrtki.
Zaštita informacija u poduzećima sada postaje gotovo prioritetna zadaća. Stručnjaci vjeruju da samo razvojem određenog svjesnog slijeda radnji možete postići ovaj cilj. U ovom slučaju moguće je voditi se samo pouzdanim činjenicama i koristiti napredne analitičke metode. Određeni doprinos daje razvoj intuicije i iskustvo stručnjaka odgovornog za ovu jedinicu u poduzeću.
Ovaj materijal će vam reći o upravljanju rizicima informacijske sigurnosti poslovnog subjekta.
Koje su vrste mogućih prijetnji u informacijskom okruženju?
Može postojati mnogo vrsta prijetnji. Analiza rizika informacijske sigurnosti poduzeća počinje razmatranjem svih mogućih potencijalnih prijetnji. To je potrebno kako bi se utvrdili načini provjere u slučaju ovih nepredviđenih situacija, kao i za formiranje odgovarajućeg sustava zaštite. Rizici informacijske sigurnosti podijeljeni su u posebne kategorije ovisno o različitim kriterijima klasifikacije. Oni su sljedećih vrsta:
- fizički izvori;
- neprimjereno korištenje računalne mreže i World Wide Weba;
- curenje iz zatvorenih izvora;
- curenje tehničkim sredstvima;
- neovlašteni upad;
- napad na informacijsku imovinu;
- kršenje integriteta izmjene podataka;
- hitni slučajevi;
- kršenja zakona.
Što je uključeno u koncept "fizičke prijetnje informacijskoj sigurnosti"?
Vrste rizika informacijske sigurnosti određuju se ovisno o izvorima njihovog nastanka, načinu provedbe protupravnog upada i svrsi. Tehnički najjednostavnije, ali ipak zahtijevaju profesionalnu provedbu, su fizičke prijetnje. Oni predstavljaju neovlašteni pristup zatvorenim izvorima. Odnosno, ovaj proces je zapravo obična krađa. Informacije se mogu dobiti osobno, vlastitim rukama, jednostavnim upadom na teritorij ustanove, u urede, arhive radi pristupa tehničkoj opremi, dokumentaciji i drugim medijima.
Krađa možda i ne leži u samim podacima, već u mjestu njihova pohranjivanja, odnosno izravno u samoj računalnoj opremi. Kako bi poremetili normalne aktivnosti organizacije, napadači mogu jednostavno uzrokovati kvar u radu medija za pohranu podataka ili tehničke opreme.
Svrha fizičkog upada također može biti pristup sustavu o kojem ovisi zaštita informacija. Napadač može promijeniti opcije mreže informacijske sigurnosti kako bi dodatno olakšao provedbu ilegalnih metoda.
Mogućnost fizičke prijetnje mogu pružiti i pripadnici različitih skupina koji imaju pristup tajnim podacima koji nisu javno dostupni. Cilj im je vrijedna dokumentacija. Takve osobe nazivaju se insajderima.
Aktivnost vanjskih uljeza može biti usmjerena na isti objekt.
Kako sami zaposlenici poduzeća mogu postati uzrokom pojave prijetnji?
Rizici informacijske sigurnosti često proizlaze iz neprikladne upotrebe interneta i internog računalnog sustava od strane zaposlenika. Napadači se izvrsno igraju na neiskustvo, nepažnju i neznanje nekih ljudi u pogledu informacijske sigurnosti. Kako bi se isključila ova opcija krađe povjerljivih podataka, vodstvo mnogih organizacija ima posebnu politiku među svojim osobljem. Njegov je cilj educirati ljude o pravilima ponašanja i korištenja mreža. To je prilično uobičajena praksa, budući da su prijetnje koje nastaju na ovaj način prilično česte. Programi za stjecanje vještina informacijske sigurnosti od strane zaposlenika poduzeća uključuju sljedeće točke:
- prevladavanje neučinkovite uporabe revizijskih alata;
- smanjenje stupnja u kojem ljudi koriste posebna sredstva za obradu podataka;
- smanjeno korištenje resursa i imovine;
- navikavanje na dobivanje pristupa mrežnim objektima samo uvriježenim metodama;
- dodjelu zona utjecaja i određivanje teritorija odgovornosti.
Kada svaki zaposlenik shvati da sudbina ustanove ovisi o odgovornom obavljanju zadataka koji su mu dodijeljeni, tada se nastoji pridržavati svih pravila. Potrebno je da ljudi postave konkretne zadatke i opravdaju dobivene rezultate.
Kako se krše uvjeti povjerljivosti?
Rizici i prijetnje informacijske sigurnosti u velikoj su mjeri povezani s nezakonitim stjecanjem informacija koje ne bi trebale biti dostupne neovlaštenim osobama. Prvi i najčešći kanali curenja su sve vrste komunikacije i komunikacije. U trenutku kada je, čini se, osobna korespondencija dostupna samo dvjema stranama, zainteresirana je presretnu. Iako razumni ljudi shvaćaju da je potrebno nešto iznimno važno i tajno prenijeti na druge načine.
Budući da se sada mnogo informacija pohranjuje na prijenosnim medijima, napadači aktivno svladavaju presretanje informacija putem ove vrste tehnologije. Prisluškivanje komunikacijskih kanala vrlo je popularno, samo što su sada svi napori tehničkih genijalaca usmjereni na rušenje zaštitnih barijera pametnih telefona.
Povjerljive informacije mogu nenamjerno otkriti zaposlenici organizacije. Možda neće izravno odati sve "prijave i lozinke", već samo navesti napadača na pravi put. Na primjer, ljudi nesvjesno prijavljuju informacije o mjestu pohrane važnih dokumenata.
Samo podređeni nisu uvijek ranjivi. Ugovaratelji također mogu objaviti povjerljive informacije tijekom partnerstva.
Kako je informacijska sigurnost narušena tehničkim sredstvima utjecaja?
Sigurnost informacija uvelike je posljedica korištenja pouzdanih tehničkih sredstava zaštite. Ako je sustav podrške učinkovit i učinkovit čak iu samoj opremi, onda je to već pola uspjeha.
Uglavnom, curenje informacija osigurava se na taj način kontroliranjem različitih signala. Takve metode uključuju stvaranje specijaliziranih izvora radio-emisije ili signala. Potonji mogu biti električni, akustični ili vibracijski.
Optički se uređaji često koriste za čitanje informacija s zaslona i monitora.
Raznolikost uređaja određuje širok raspon metoda za uvođenje i izvlačenje informacija od strane uljeza. Osim navedenih metoda, tu su i televizijsko, fotografsko i vizualno izviđanje.
Zbog tako širokih mogućnosti, revizija informacijske sigurnosti prvenstveno uključuje provjeru i analizu rada tehničkih sredstava za zaštitu povjerljivih podataka.
Što se smatra neovlaštenim pristupom poslovnim informacijama?
Upravljanje rizikom informacijske sigurnosti nemoguće je bez sprječavanja prijetnji od neovlaštenog pristupa.
Jedan od najistaknutijih predstavnika ove metode hakiranja tuđeg sigurnosnog sustava je dodjela korisničkog ID-a. Ova metoda se zove "Maskarada". Neovlašteni pristup u ovom slučaju sastoji se od korištenja autentifikacijskih podataka. Odnosno, svrha uljeza je dobiti lozinku ili bilo koji drugi identifikator.
Napadači mogu utjecati unutar samog objekta ili izvana. Oni mogu dobiti informacije koje su im potrebne iz izvora kao što su revizijski trag ili revizijski alati.
Često prekršitelj pokušava primijeniti politiku provedbe i koristiti, na prvi pogled, potpuno legalne metode.
Neovlašteni pristup odnosi se na sljedeće izvore informacija:
- web stranice i vanjski domaćini;
- bežična mreža poduzeća;
- sigurnosne kopije podataka.
Postoji bezbroj načina i metoda neovlaštenog pristupa. Napadači traže nedostatke i praznine u softverskoj konfiguraciji i arhitekturi. Podatke primaju modificiranjem softvera. Uljezi lansiraju zlonamjerni softver i logičke bombe kako bi neutralizirali i uljuljali svoju budnost.
Koje su pravne prijetnje informacijskoj sigurnosti tvrtke?
Upravljanje rizikom informacijske sigurnosti djeluje u različitim smjerovima, jer mu je glavni cilj pružiti sveobuhvatnu i cjelovitu zaštitu poduzeća od vanjskih upada.
Pravni nije ništa manje važan od tehničkog smjera. Dakle, tko bi, čini se, naprotiv, trebao braniti interese, ispada da dobiva vrlo korisne informacije.
Povrede zakona mogu se odnositi na vlasnička prava, autorska prava i patentna prava. Ova kategorija također uključuje nezakonitu upotrebu softvera, uključujući uvoz i izvoz. Moguće je prekršiti zakonske zahtjeve samo nepoštivanjem uvjeta ugovora ili zakonskog okvira općenito.
Kako postavljate ciljeve informacijske sigurnosti?
Pružanje informacijske sigurnosti počinje uspostavom područja zaštite. Potrebno je jasno definirati što i od koga treba zaštititi. Za to se utvrđuje portret potencijalnog kriminalca, kao i moguće metode hakiranja i upoznavanja. Da biste postavili ciljeve, prvo morate razgovarati s menadžmentom. Reći će vam prioritetna područja zaštite.
Od ovog trenutka počinje revizija informacijske sigurnosti. Omogućuje vam da odredite u kojem je omjeru potrebno primijeniti tehnološke metode i metode poslovanja. Rezultat ovog procesa je konačan popis mjera, koji objedinjuje ciljeve postrojbe za osiguranje zaštite od neovlaštenog upada. Revizijski postupak usmjeren je na utvrđivanje kritičnih točaka i slabosti u sustavu koje ometaju normalan rad i razvoj poduzeća.
Nakon postavljanja ciljeva razvija se i mehanizam za njihovu provedbu. Formiraju se instrumenti za kontrolu i minimiziranje rizika.
Koju ulogu igra imovina u analizi rizika?
Rizici informacijske sigurnosti organizacije izravno utječu na imovinu poduzeća. Uostalom, cilj napadača je doći do vrijednih informacija. Njegov gubitak ili otkrivanje neizbježno će dovesti do gubitaka. Šteta uzrokovana neovlaštenim upadom može imati izravan ili samo neizravan utjecaj. Odnosno, nezakonite radnje protiv organizacije mogu dovesti do potpunog gubitka kontrole nad poslovanjem.
Visina štete procjenjuje se prema imovini kojom organizacija raspolaže. Pogođeni su svi resursi koji na bilo koji način doprinose ostvarenju ciljeva vodstva. Imovina poduzeća podrazumijeva sve materijalne i nematerijalne vrijednosti koje donose i pomažu ostvarivanju prihoda.
Imovina je nekoliko vrsta:
- materijal;
- ljudski;
- informativni;
- financijski;
- procesi;
- brend i kredibilitet.
Potonja vrsta imovine najviše pati od neovlaštenog upada. To je zbog činjenice da svaki stvarni sigurnosni rizici utječu na sliku. Problemi s ovim područjem automatski smanjuju poštovanje i povjerenje u takvo poduzeće, jer nitko ne želi da njegove povjerljive informacije postanu javne. Svaka organizacija koja poštuje sebe brine se o zaštiti vlastitih informacijskih resursa.
Koliko će i koja će imovina trpjeti, utječu različiti čimbenici. Dijele se na vanjske i unutarnje. Njihov složeni utjecaj u pravilu se istodobno odnosi na nekoliko skupina vrijednih resursa.
Cjelokupno poslovanje poduzeća izgrađeno je na imovini. One su donekle prisutne u aktivnostima svake institucije. Samo što su nekima neke skupine važnije, a druge manje važne. Ovisno o tome na koju vrstu imovine su napadači uspjeli utjecati, ovisi i rezultat, odnosno nanesena šteta.
Procjena rizika informacijske sigurnosti omogućuje vam da jasno identificirate glavnu imovinu, a ako je na njih utjecalo, onda je to preplavljeno nepopravljivim gubicima za poduzeće. Uprava bi trebala obratiti pozornost na ove skupine vrijednih resursa, jer je njihova sigurnost u interesu vlasnika.
Prioritetno područje za odjel informacijske sigurnosti zauzimaju pomoćna sredstva. Za njihovu zaštitu odgovorna je posebna osoba. Rizici u vezi s njima nisu kritični i utječu samo na sustav upravljanja.
Koji su čimbenici informacijske sigurnosti?
Proračun rizika informacijske sigurnosti uključuje izgradnju specijaliziranog modela. Predstavlja čvorove koji su međusobno povezani funkcionalnim vezama. Čvorovi su sama imovina. Model koristi sljedeće vrijedne resurse:
- narod;
- strategija;
- tehnologije;
- procesa.
Rebra koja ih povezuju upravo su ti čimbenici rizika. Kako biste identificirali moguće prijetnje, najbolje je izravno kontaktirati odjel ili stručnjaka koji se bavi tom imovinom. Svaki potencijalni čimbenik rizika može biti preduvjet za nastanak problema. Model ističe glavne prijetnje koje se mogu pojaviti.
Što se tiče tima, problem je niska obrazovna razina, manjak kadrova, nedostatak motivacije.
Rizici procesa uključuju varijabilnost vanjskog okruženja, lošu automatizaciju proizvodnje i nejasnu podjelu odgovornosti.
Tehnologija može patiti od zastarjelog softvera, nedostatka kontrole korisnika. Uzrok mogu biti i problemi s heterogenim krajolikom informacijske tehnologije.
Prednost ovog modela je što pragovi rizika informacijske sigurnosti nisu jasno definirani, budući da se problem promatra iz različitih kutova.
Što je revizija informacijske sigurnosti?
Važan postupak u području informacijske sigurnosti poduzeća je revizija. To je provjera trenutnog stanja sustava zaštite od upada. Tijekom revizije utvrđuje se stupanj usklađenosti s utvrđenim zahtjevima. Njegovo postupanje je obvezno za neke vrste institucija, za ostale je savjetodavne prirode. Pregled se provodi u odnosu na dokumentaciju računovodstvenih i poreznih odjela, tehničkih sredstava i financijsko-gospodarskog dijela.
Revizija je neophodna kako bi se razumjela razina sigurnosti, au slučaju njezine nedosljednosti, optimizacija na normalu. Ovaj postupak također omogućuje procjenu izvedivosti financijskih ulaganja u informacijsku sigurnost. U konačnici, stručnjak će dati preporuke o stopi financijske potrošnje kako bi se postigla maksimalna učinkovitost. Revizija vam omogućuje podešavanje kontrola.
Stručnost za informacijsku sigurnost podijeljena je u nekoliko faza:
- Postavljanje ciljeva i kako ih postići.
- Analiza podataka potrebnih za presudu.
- Obrada prikupljenih podataka.
- Stručno mišljenje i preporuke.
U konačnici, specijalist će donijeti svoju odluku. Preporuke povjerenstva najčešće su usmjerene na promjenu konfiguracija tehničke opreme, ali i poslužitelja. Često se od problematičnog poduzeća traži da odabere drugu sigurnosnu metodu. Moguće je da će za dodatno jačanje stručnjaci odrediti niz zaštitnih mjera.
Rad nakon zaprimanja rezultata revizije usmjeren je na informiranje tima o problemima. Ako je potrebno, vrijedi provesti dodatnu obuku kako bi se povećala edukacija zaposlenika o zaštiti informacijskih resursa poduzeća.
