NRU ITMO, ****@***com
Supervisore scientifico - Dottore in Scienze tecniche, Professore NRU ITMO, *****@
Annotazione
L'articolo discute i metodi per il calcolo del rischio sicurezza delle informazioni, è stato effettuato un confronto che ha evidenziato carenze critiche. Viene presentata una proposta per utilizzare il nostro metodo di valutazione del rischio.
Parole chiave: rischio, sistema informativo, sicurezza delle informazioni, metodo di calcolo del rischio, valutazione del rischio, patrimonio informativo.
Introduzione
Il sistema di gestione dei rischi legati alla sicurezza delle informazioni (IS) è un compito urgente in tutte le fasi del complesso della sicurezza delle informazioni. Allo stesso tempo, è impossibile gestire i rischi senza prima valutarli, cosa che a sua volta deve essere fatta utilizzando un metodo. Nella fase di valutazione del rischio massimo interesse presentare direttamente formule e dati di input per il calcolo del valore di rischio. L'articolo ne analizza diversi metodi diversi calcolo del rischio e presenta la propria metodologia. L'obiettivo del lavoro è derivare una formula per il calcolo del rischio per la sicurezza delle informazioni, che consenta di ottenere una serie di rischi attuali e di stimare le perdite in termini monetari.
Il rischio per la sicurezza delle informazioni nella sua forma classica è definito come funzione di tre variabili:
- la probabilità di una minaccia; la probabilità di vulnerabilità (insicurezza); potenziale impatto.
Se una qualsiasi di queste variabili si avvicina allo zero, anche il rischio totale si avvicina allo zero.
Metodi di valutazione del rischio
ISO/IEC 27001 Per quanto riguarda la metodologia per il calcolo del valore del rischio, si afferma che la metodologia scelta dovrebbe garantire che le valutazioni del rischio producano risultati comparabili e riproducibili. La norma non prevede però una formula di calcolo specifica.
NIST 800-30 offre una formula classica per il calcolo del rischio:
dove R è il valore del rischio;
P(t) - probabilità che si realizzi una minaccia alla sicurezza delle informazioni (viene utilizzata una combinazione di scale qualitative e quantitative);
S è il grado di influenza della minaccia sull'asset (il prezzo dell'asset in una scala qualitativa e quantitativa).
Di conseguenza, il valore di rischio viene calcolato in unità relative, che possono essere classificati in base al grado di importanza per la procedura di gestione del rischio di sicurezza delle informazioni.
GOST R ISO/IEC TO 7. Il calcolo del rischio, a differenza dello standard NIST 800-30, si basa su tre fattori:
R = P(t) * P(v) * S,
dove R è il valore del rischio;
P(t) - probabilità di attuazione di una minaccia alla sicurezza delle informazioni;
P(v) - probabilità di vulnerabilità;
S è il valore del bene.
Come esempio dei valori di probabilità P(t) e P(v), viene fornita una scala qualitativa con tre livelli: basso, medio e alto. Per valutare il valore dell’asset S si presentano: valori numerici nell'intervallo da 0 a 4. Il confronto dei valori qualitativi dovrebbe essere effettuato dall'organizzazione in cui vengono valutati i rischi per la sicurezza delle informazioni.
BS 7799. Il livello di rischio viene calcolato tenendo conto di tre indicatori: il valore della risorsa, il livello di minaccia e il grado di vulnerabilità. All’aumentare dei valori di questi tre parametri aumenta il rischio, quindi la formula può essere presentata come segue:
R = S * L(t) * L(v),
dove R è il valore del rischio;
S è il valore del bene/risorsa;
L(t) - livello di minaccia;
L(v) - livello/grado di vulnerabilità.
In pratica, i rischi per la sicurezza delle informazioni vengono calcolati utilizzando una tabella di valori di posizionamento per il livello di minaccia, il grado di probabilità di sfruttamento della vulnerabilità e il valore dell’asset. Il valore di rischio può variare da 0 a 8, risultando in un elenco di minacce con valori di rischio diversi per ciascuna risorsa. Lo standard offre anche una scala di classificazione dei rischi: basso (0-2), medio (3-5) e alto (6-8), che consente di determinare i rischi più critici.
STO BR IBBS. Secondo lo standard, la valutazione del grado di possibilità che una minaccia alla sicurezza delle informazioni si realizzi viene effettuata su scala qualitativo-quantitativa, una minaccia non realizzata è 0%, una minaccia media va dal 21% al 50%, ecc. Si propone inoltre di valutare la gravità delle conseguenze per i diversi tipi di patrimonio informativo utilizzando una scala qualitativo-quantitativa, ovvero minimo - 0,5% del capitale della banca, alto - dall'1,5% al 3% del capitale della banca.
Per eseguire una valutazione qualitativa dei rischi per la sicurezza delle informazioni viene utilizzata una tabella di corrispondenza tra la gravità delle conseguenze e la probabilità che la minaccia si realizzi. Se è necessario effettuare una valutazione quantitativa, la formula può essere presentata come:
dove R è il valore del rischio;
P(v) - probabilità di attuazione di una minaccia alla sicurezza delle informazioni;
S è il valore del bene (la gravità delle conseguenze).
Metodo suggerito
Avendo considerato tutti i metodi di valutazione del rischio di cui sopra in termini di calcolo del valore del rischio per la sicurezza delle informazioni, vale la pena notare che il calcolo del rischio viene effettuato utilizzando il valore delle minacce e il valore del bene. Uno svantaggio significativo è la valutazione del valore dei beni (l'importo del danno) sotto forma di valori condizionali. I valori convenzionali non hanno unità di misura applicabili nella pratica, in particolare non sono un equivalente monetario. Di conseguenza, ciò non dà un’idea reale del livello di rischio che può essere trasferito al patrimonio reale dell’oggetto protetto.
Si propone pertanto di dividere la procedura di calcolo del rischio in due fasi:
1. Calcolo del valore del rischio tecnico.
2. Calcolo del danno potenziale.
Per rischio tecnico si intende il valore del rischio per la sicurezza delle informazioni costituito dalla probabilità che le minacce si realizzino e dalle vulnerabilità di ciascun componente dell'infrastruttura informatica che vengono sfruttate, tenendo conto del loro livello di riservatezza, integrità e disponibilità. Per la prima fase abbiamo le seguenti 3 formule:
Rc = Kc * P(T) * P(V), Ri = Ki * P(T) * P(V),
Ra = Ka * P(T) * P(V),
dove Rс è il valore del rischio di riservatezza;
Ri - valore del rischio di integrità;
Ra - valore del rischio di disponibilità;
Kс - coefficiente di riservatezza di un patrimonio informativo;
Ki è il coefficiente di integrità del patrimonio informativo;
Ka è il coefficiente di disponibilità di un patrimonio informativo;
P(T) - probabilità di implementazione della minaccia;
P(V) - probabilità di sfruttamento della vulnerabilità.
L'utilizzo di questo algoritmo consentirà di effettuare una valutazione del rischio più dettagliata, ottenendo in output un valore adimensionale della probabilità di rischio di compromissione di ciascun asset informativo separatamente.
Successivamente è possibile calcolare il valore del danno; per questo viene utilizzato il valore medio di rischio di ciascun asset informativo e l'importo delle potenziali perdite:
dove L è il valore del danno;
Rav - valore medio del rischio;
S - perdite (in termini monetari).
La metodologia proposta consente di valutare correttamente il valore del rischio per la sicurezza delle informazioni e di calcolare le perdite monetarie in caso di incidenti di sicurezza.
Letteratura
1. ISO/IEC 27001. Lo standard internazionale contiene i requisiti nel campo della sicurezza delle informazioni per l'istituzione, lo sviluppo e il mantenimento di un sistema di gestione della sicurezza delle informazioni. 20 anni.
2. GOST R ISO/IEC TO 7. Norma nazionale Federazione Russa. Metodi e mezzi per garantire la sicurezza. Parte 3. Metodi di gestione della sicurezza informatica. Mosca. 20 anni.
3. BS 7799-2:2005 Specifica del sistema di gestione della sicurezza delle informazioni. Inghilterra. 20 anni.
4. RS BR IBBS-2.2-200. Garantire la sicurezza delle informazioni delle organizzazioni del sistema bancario della Federazione Russa. Metodologia per la valutazione dei rischi di violazioni della sicurezza informatica. Mosca. 20 anni.
5. Guida alla gestione del rischio per informazioni Sistemi tecnologici. Raccomandazioni dell'Istituto Nazionale di Standard e Tecnologia. U.S.A. 20 anni.
6. Sorgente elettronica Wikipedia, articolo "Rischio".
Domande applicazione pratica analisi dei rischi nei processi di gestione della sicurezza delle informazioni, nonché questioni generali del processo di analisi dei rischi della sicurezza delle informazioni stesso.
Nel processo di gestione di qualsiasi area di attività, è necessario sviluppare decisioni consapevoli ed efficaci, la cui adozione aiuta a raggiungere determinati obiettivi. A nostro avviso, una decisione adeguata può essere presa solo sulla base dei fatti e dell'analisi delle relazioni di causa-effetto. Naturalmente, in molti casi, le decisioni vengono prese a livello intuitivo, ma la qualità di una decisione intuitiva dipende molto dall’esperienza del manager e, in misura minore, da una combinazione vincente di circostanze.
Per illustrare quanto sia complesso il processo per prendere una decisione fondata e realistica, forniremo un esempio tratto dal campo della gestione della sicurezza delle informazioni (SI). Prendiamo una situazione tipica: il capo del dipartimento di sicurezza delle informazioni deve capire in quali direzioni muoversi per sviluppare efficacemente la sua funzione principale: garantire la sicurezza delle informazioni dell'organizzazione. Da un lato, tutto è molto semplice. Esistono numerosi approcci standard per risolvere i problemi di sicurezza: protezione dei perimetri, protezione dagli addetti ai lavori, protezione da circostanze di forza maggiore. E ci sono tanti prodotti che ti permettono di risolvere questo o quel problema (proteggerti da questa o quella minaccia).
C’è però un piccolo “ma”. Gli specialisti della sicurezza delle informazioni si trovano ad affrontare il fatto che la scelta dei prodotti varie classiè molto ampia, l’infrastruttura informativa dell’organizzazione è molto ampia, il numero di potenziali bersagli di attacchi da parte di intrusi è elevato e le attività delle divisioni dell’organizzazione sono eterogenee e non possono essere unificate. Allo stesso tempo, ogni specialista del dipartimento ha la propria opinione sulla priorità delle aree di attività, corrispondente alla sua specializzazione e priorità personali. E l'introduzione di uno soluzione tecnica oppure lo sviluppo di un regolamento o di un'istruzione in una grande organizzazione si traduce in un piccolo progetto con tutti gli attributi dell'attività del progetto: pianificazione, budget, persone responsabili, scadenze, ecc.
Pertanto, proteggersi ovunque e da tutto, in primo luogo, non è fisicamente possibile e, in secondo luogo, non ha senso. Cosa può fare il capo del dipartimento di sicurezza delle informazioni in questo caso?
Innanzitutto, potrebbe non fare nulla fino al primo grave incidente. In secondo luogo, provare ad implementare alcuni standard di sicurezza delle informazioni generalmente accettati. In terzo luogo, fidatevi dei materiali di marketing dei produttori di software e hardware e degli integratori o consulenti nel campo della sicurezza delle informazioni. Tuttavia, esiste un altro modo.
Definizione degli obiettivi di gestione della sicurezza delle informazioni
Si può provare – con l'aiuto del management e dei dipendenti dell'organizzazione – a capire cosa effettivamente deve essere protetto e da chi. Da questo momento iniziano attività specifiche all'intersezione tra la tecnologia e l'attività principale, che consiste nel determinare la direzione dell'attività e (se possibile) lo stato target del supporto alla sicurezza delle informazioni, che sarà formulato contemporaneamente in termini di business e in termini di sicurezza delle informazioni.
Il processo di analisi dei rischi è uno strumento con il quale è possibile determinare gli obiettivi di gestione della sicurezza delle informazioni, valutare i principali fattori critici che incidono negativamente sui processi aziendali chiave dell’azienda e sviluppare processi consapevoli, efficaci e decisioni informate per controllarli o minimizzarli.
Di seguito descriveremo quali attività vengono risolte nell'ambito dell'analisi dei rischi per la sicurezza delle informazioni per ottenere i risultati elencati e come questi risultati vengono raggiunti nell'ambito dell'analisi dei rischi.
Identificazione e valutazione degli asset
L’obiettivo della gestione della sicurezza delle informazioni è mantenere la riservatezza, l’integrità e la disponibilità delle informazioni. L’unica domanda è quale tipo di informazioni devono essere protette e quali sforzi dovrebbero essere compiuti per garantirne la sicurezza (Fig. 1).
Qualsiasi gestione si basa sulla consapevolezza della situazione in cui si verifica. In termini di analisi del rischio, la consapevolezza della situazione si esprime nell'inventario e nella valutazione dei beni dell'organizzazione e del loro ambiente, cioè di tutto ciò che garantisce lo svolgimento delle attività aziendali. Dal punto di vista dell’analisi dei rischi legati alla sicurezza delle informazioni, gli asset principali comprendono le informazioni, le infrastrutture, il personale, l’immagine e la reputazione dell’azienda. Senza un inventario delle risorse a livello di attività aziendale, è impossibile rispondere alla domanda su cosa esattamente debba essere protetto. È importante capire quali informazioni vengono elaborate all'interno di un'organizzazione e dove vengono elaborate.
In una grande organizzazione moderna, il numero di risorse informative può essere molto elevato. Se le attività di un'organizzazione sono automatizzate utilizzando un sistema ERP, allora possiamo dire che quasi tutti gli oggetti materiali utilizzati in questa attività corrispondono ad alcuni oggetto informativo. Pertanto, il compito primario della gestione del rischio è identificare le attività più significative.
È impossibile risolvere questo problema senza il coinvolgimento dei manager dell'attività principale dell'organizzazione, sia a livello medio che senior. La situazione ottimale è quando il top management dell'organizzazione definisce personalmente le aree di attività più critiche, per le quali è estremamente importante garantire la sicurezza delle informazioni. L'opinione dell'alta direzione in merito alle priorità nella fornitura della sicurezza delle informazioni è molto importante e preziosa nel processo di analisi dei rischi, ma in ogni caso dovrebbe essere chiarita raccogliendo informazioni sulla criticità degli asset al livello medio del management aziendale. Allo stesso tempo, è opportuno effettuare ulteriori analisi proprio nelle aree di attività aziendale designate dal top management. Le informazioni ricevute vengono elaborate, aggregate e trasmesse al top management per una valutazione complessiva della situazione (ma ne parleremo più avanti).
Le informazioni possono essere identificate e localizzate sulla base di una descrizione dei processi aziendali in cui le informazioni sono considerate come uno dei tipi di risorse. Il compito è in qualche modo semplificato se l'organizzazione ha adottato un approccio alla regolamentazione delle attività aziendali (ad esempio, ai fini della gestione della qualità e dell'ottimizzazione dei processi aziendali). Le descrizioni formalizzate dei processi aziendali rappresentano un buon punto di partenza per l'inventario delle risorse. Se non sono presenti descrizioni, è possibile identificare le risorse in base alle informazioni ottenute dai dipendenti dell'organizzazione. Una volta identificati i beni, è necessario determinarne il valore.
Il lavoro di determinazione del valore del patrimonio informativo nell'intera organizzazione è il più significativo e complesso. È la valutazione del patrimonio informativo che consentirà al capo del dipartimento di sicurezza delle informazioni di scegliere le principali aree di attività per garantire la sicurezza delle informazioni.
Il valore di un bene è espresso dall'ammontare delle perdite che un'organizzazione subirà in caso di violazione della sicurezza del bene. Determinare il valore è problematico perché nella maggior parte dei casi, i manager organizzativi non possono rispondere immediatamente alla domanda su cosa accadrebbe se, ad esempio, le informazioni sul prezzo di acquisto archiviate su server di file, andrà a un concorrente. O meglio, nella maggior parte dei casi, i responsabili organizzativi non hanno mai pensato a situazioni del genere.
Ma l’efficienza economica del processo di gestione della sicurezza delle informazioni dipende in gran parte dalla consapevolezza di ciò che deve essere protetto e degli sforzi che ciò richiederà, poiché nella maggior parte dei casi l’entità dello sforzo applicato è direttamente proporzionale alla quantità di denaro speso e alle spese operative. La gestione del rischio ti consente di rispondere alla domanda su dove puoi correre rischi e dove no. Nel caso della sicurezza delle informazioni, il termine “rischio” significa che in una determinata area è possibile non compiere sforzi significativi per proteggere il patrimonio informativo e, allo stesso tempo, in caso di violazione della sicurezza, l’organizzazione non subirà perdite significative. Qui possiamo tracciare un'analogia con le classi di protezione dei sistemi automatizzati: quanto più significativi sono i rischi, tanto più rigorosi dovrebbero essere i requisiti di protezione.
Per determinare le conseguenze di una violazione della sicurezza, è necessario disporre di informazioni sugli incidenti registrati di natura simile o condurre un'analisi dello scenario. L'analisi degli scenari esamina le relazioni di causa-effetto tra gli eventi relativi alla sicurezza degli asset e le conseguenze di tali eventi sulle attività aziendali dell'organizzazione. Le conseguenze degli scenari dovrebbero essere valutate da più persone, in modo iterativo o deliberativo. Va notato che lo sviluppo e la valutazione di tali scenari non possono essere completamente separati dalla realtà. Devi sempre ricordare che lo scenario deve essere probabile. I criteri e le scale per determinare il valore sono individuali per ciascuna organizzazione. Sulla base dei risultati dell'analisi degli scenari, è possibile ottenere informazioni sul valore delle attività.
Se le risorse vengono identificate e il loro valore viene determinato, possiamo dire che gli obiettivi di fornire la sicurezza delle informazioni sono parzialmente stabiliti: vengono determinati gli oggetti di protezione e l'importanza di mantenerli in uno stato di sicurezza delle informazioni per l'organizzazione. Forse non resta che determinare da chi bisogna proteggersi.
Analisi delle fonti dei problemi
Dopo aver determinato gli obiettivi della gestione della sicurezza delle informazioni, dovresti analizzare i problemi che ti impediscono di avvicinarti allo stato target. A questo livello, il processo di analisi del rischio scende all'infrastruttura informatica e ai concetti tradizionali di sicurezza delle informazioni: intrusi, minacce e vulnerabilità (Fig. 2).
Modello dell'intruso
Per valutare i rischi non è sufficiente introdurre un modello standard dei trasgressori che divida tutti i trasgressori per tipologia di accesso al bene e conoscenza della struttura del bene. Questa divisione aiuta a determinare quali minacce possono essere rivolte a un bene, ma non risponde alla domanda se queste minacce possano, in linea di principio, essere realizzate.
Nel processo di analisi del rischio, è necessario valutare la motivazione dei trasgressori nell’attuazione delle minacce. In questo caso per violatore non si intende un astratto hacker esterno o insider, ma un soggetto interessato ad ottenere vantaggi violando la sicurezza di un bene.
È consigliabile ottenere informazioni iniziali sul modello dell'autore del reato, come nel caso della scelta delle direzioni iniziali delle attività di sicurezza delle informazioni, dal top management, che comprende la posizione dell'organizzazione nel mercato, ha informazioni sui concorrenti e quali metodi di influenza possono essere atteso da loro. Le informazioni necessarie per sviluppare un modello di intruso possono essere ottenute anche da ricerche specializzate sulle violazioni della sicurezza informatica nell'area aziendale per la quale viene effettuata l'analisi dei rischi. Un modello anti-intrusione adeguatamente sviluppato integra gli obiettivi di sicurezza delle informazioni determinati durante la valutazione delle risorse dell'organizzazione.
Modello di minaccia
Lo sviluppo di un modello di minaccia e l’identificazione delle vulnerabilità sono indissolubilmente legati all’inventario dell’ambiente del patrimonio informativo dell’organizzazione. Le informazioni stesse non vengono archiviate o elaborate. L’accesso ad esso viene fornito utilizzando un’infrastruttura informativa che automatizza i processi aziendali dell’organizzazione. È importante comprendere in che modo l'infrastruttura informativa e le risorse informative di un'organizzazione sono interconnesse. Dal punto di vista della gestione della sicurezza delle informazioni, l'importanza dell'infrastruttura informativa può essere stabilita solo dopo aver determinato la relazione tra patrimonio informativo e infrastruttura. Se i processi per il mantenimento e il funzionamento dell’infrastruttura informativa in un’organizzazione sono regolamentati e trasparenti, la raccolta delle informazioni necessarie per identificare le minacce e valutare le vulnerabilità risulta notevolmente semplificata.
Lo sviluppo di un modello di minaccia è un lavoro per professionisti della sicurezza informatica che hanno una buona conoscenza di come un utente malintenzionato possa ottenere un accesso non autorizzato alle informazioni violando il perimetro di sicurezza o utilizzando metodi ingegneria sociale. Quando si sviluppa un modello di minaccia, si può anche parlare di scenari come di passaggi sequenziali in base ai quali le minacce possono essere realizzate. Accade molto raramente che le minacce vengano implementate in un unico passaggio sfruttando un singolo punto vulnerabile del sistema.
Il modello di minaccia dovrebbe includere tutte le minacce identificate attraverso i relativi processi di gestione della sicurezza delle informazioni, come la gestione delle vulnerabilità e degli incidenti. Va ricordato che le minacce dovranno essere classificate l'una rispetto all'altra in base al livello di probabilità della loro attuazione. Per fare ciò, nel processo di sviluppo di un modello di minaccia per ciascuna minaccia, è necessario indicare i fattori più significativi, la cui esistenza influenza la sua attuazione.
Identificazione della vulnerabilità
Di conseguenza, dopo aver sviluppato un modello di minaccia, è necessario identificare le vulnerabilità nell’ambiente delle risorse. L'identificazione e la valutazione delle vulnerabilità possono essere eseguite come parte di un altro processo di gestione della sicurezza delle informazioni: l'audit. Qui non dobbiamo dimenticare che per condurre un audit sulla sicurezza delle informazioni è necessario sviluppare criteri di verifica. E si possono sviluppare criteri di verifica basati sul modello di minaccia e sul modello di intrusione.
Sulla base dei risultati dello sviluppo di un modello di minaccia, di un modello di intrusione e dell’identificazione delle vulnerabilità, possiamo affermare che sono state identificate le ragioni che influenzano il raggiungimento dello stato target della sicurezza delle informazioni dell’organizzazione.
Valutazione del rischio
Identificare e valutare le risorse, sviluppare un modello dell'avversario e un modello delle minacce e identificare le vulnerabilità: tutti questi sono passaggi standard che dovrebbero essere descritti in qualsiasi metodologia di analisi del rischio. Tutti i passaggi precedenti possono essere eseguiti con diversi livelli di qualità e dettaglio. È molto importante capire cosa e come si può fare una quantità enorme informazioni accumulate e modelli formalizzati. A nostro avviso, questa domanda è la più importante e la risposta dovrebbe essere data dalla metodologia di analisi del rischio utilizzata.
I risultati ottenuti necessitano di essere valutati, aggregati, classificati e visualizzati. Poiché il danno viene determinato nella fase di identificazione e valutazione del bene, è necessario stimare la probabilità che si verifichino eventi di rischio. Come nel caso della valutazione patrimoniale, una valutazione della probabilità può essere ottenuta sulla base delle statistiche sugli incidenti, le cui cause coincidono con le minacce alla sicurezza delle informazioni in esame, oppure con il metodo di previsione, basato su fattori di ponderazione corrispondenti al modello di minaccia sviluppato.
Una buona pratica per valutare la probabilità sarebbe quella di classificare le vulnerabilità in base a un insieme selezionato di fattori che caratterizzano la facilità di sfruttamento delle vulnerabilità. La previsione della probabilità delle minacce viene effettuata in base alle caratteristiche della vulnerabilità e ai gruppi di autori di reato da cui provengono le minacce.
Un esempio di sistema di classificazione delle vulnerabilità è lo standard CVSS: sistema comune di punteggio delle vulnerabilità. Va notato che nel processo di identificazione e valutazione delle vulnerabilità, sono molto importanti l’esperienza degli specialisti della sicurezza delle informazioni che eseguono valutazioni dei rischi, nonché i materiali statistici e i rapporti utilizzati sulle vulnerabilità e sulle minacce nel campo della sicurezza delle informazioni.
L’entità (livello) del rischio dovrebbe essere determinata per tutti gli insiemi di minacce alle risorse identificati e corrispondenti. Inoltre, l'entità del danno e la probabilità non devono essere espresse in termini monetari e percentuali assoluti; Inoltre, di norma, non è possibile presentare i risultati in questa forma. La ragione di ciò sono i metodi utilizzati per analizzare e valutare i rischi per la sicurezza delle informazioni: analisi e previsioni degli scenari.
Prendere una decisione
Cosa puoi fare con il risultato della valutazione?
Prima di tutto, dovresti sviluppare un rapporto di analisi dei rischi semplice e visivo, il cui scopo principale sarà quello di presentare le informazioni raccolte sul significato e sulla struttura dei rischi per la sicurezza delle informazioni nell'organizzazione. Il rapporto dovrebbe essere presentato al senior management dell'organizzazione. Un errore comune è quello di presentare al top management i risultati intermedi anziché le conclusioni. Indubbiamente, tutte le conclusioni devono essere supportate da argomentazioni: tutti i calcoli intermedi devono essere allegati al rapporto.
Per chiarezza del report, i rischi devono essere classificati in termini aziendali familiari all'organizzazione e rischi simili devono essere aggregati. In generale, la classificazione dei rischi può essere multiforme. Da un lato, stiamo parlando sui rischi per la sicurezza informatica, invece, sui rischi di danno alla reputazione o di perdita di un cliente. I rischi classificati devono essere classificati in base alla probabilità che si verifichino e alla rilevanza per l'organizzazione.
Il rapporto di analisi dei rischi riflette le seguenti informazioni:
- le aree più problematiche della sicurezza delle informazioni in un'organizzazione;
- l’impatto delle minacce alla sicurezza delle informazioni su struttura generale rischi organizzativi;
- aree prioritarie di attività del dipartimento di sicurezza delle informazioni per migliorare l'efficienza del supporto alla sicurezza delle informazioni.
Sulla base del rapporto di analisi dei rischi, il capo del dipartimento di sicurezza delle informazioni può sviluppare un piano di lavoro del dipartimento a medio termine e fissare un budget in base alla natura delle attività necessarie per ridurre i rischi. Si noti che un rapporto di analisi dei rischi compilato correttamente consente al capo del dipartimento di sicurezza delle informazioni di trovare linguaggio comune con il top management dell’organizzazione e decidere problemi attuali legati alla gestione della sicurezza delle informazioni (Fig. 3).
Politica di trattamento del rischio
Una questione molto importante è la politica di gestione del rischio dell'organizzazione. La politica stabilisce le regole per il trattamento del rischio. Ad esempio, la policy potrebbe dire che i rischi reputazionali dovrebbero essere mitigati per primi, mentre la mitigazione dei rischi di media importanza che non sono confermati da incidenti di sicurezza informatica viene posticipata alla fine della coda. Le politiche di gestione del rischio possono essere determinate dall'unità di gestione del rischio aziendale.
Una politica di trattamento del rischio può spiegare le questioni relative all'assicurazione del rischio e alla ristrutturazione delle attività nel caso in cui i rischi potenziali superino un livello accettabile. Se la politica non è definita, la sequenza di riduzione del rischio dovrebbe basarsi sul principio della massima efficienza, ma dovrebbe comunque essere determinata dal senior management.
Riassumiamo
L’analisi del rischio è una procedura piuttosto laboriosa. Dovrebbe essere applicato il processo di analisi del rischio materiali didattici e strumenti. Tuttavia, ciò non è sufficiente per implementare con successo un processo ripetibile; Un’altra componente importante sono le norme sulla gestione del rischio. Può essere autosufficiente e affrontare solo i rischi per la sicurezza delle informazioni oppure può essere integrato con il processo di gestione del rischio complessivo dell’organizzazione.
Il processo di analisi del rischio coinvolge molte divisioni strutturali dell'organizzazione: divisioni che guidano le direzioni principali delle sue attività, la divisione di gestione dell'infrastruttura informatica e la divisione di gestione della sicurezza delle informazioni. Inoltre, per condurre con successo un'analisi dei rischi e utilizzarne efficacemente i risultati, è necessario coinvolgere il top management dell'organizzazione, garantendo così l'interazione tra le divisioni strutturali.
Le tecniche di analisi del rischio o gli strumenti specializzati per valutare i rischi legati alla sicurezza delle informazioni da soli non sono sufficienti. Sono necessarie procedure per identificare le risorse, determinarne il significato, sviluppare modelli di intrusione e minaccia, identificare le vulnerabilità e aggregare e classificare i rischi. In diverse organizzazioni, tutte le procedure elencate possono variare in modo significativo. Gli obiettivi e la portata dell'analisi dei rischi per la sicurezza delle informazioni influenzano anche i requisiti dei processi associati all'analisi dei rischi.
L'utilizzo del metodo di analisi del rischio per la gestione della sicurezza delle informazioni richiede che l'organizzazione abbia un livello sufficiente di maturità al quale sarà possibile implementare tutti i processi necessari nell'ambito dell'analisi del rischio.
La gestione del rischio consente di strutturare le attività del dipartimento di sicurezza delle informazioni, trovare un linguaggio comune con i vertici dell'organizzazione, valutare l'efficacia del dipartimento di sicurezza delle informazioni e giustificare le decisioni sulla scelta di specifiche tecniche e misure organizzative protezione al top management.
Il processo di analisi dei rischi è continuo, poiché gli obiettivi di alto livello della sicurezza delle informazioni possono rimanere invariati per molto tempo, ma l'infrastruttura informatica, i metodi di elaborazione delle informazioni e i rischi associati all'uso dell'IT cambiano costantemente.
Il dipartimento di sicurezza delle informazioni e l’organizzazione nel suo complesso, quando strutturano le proprie attività attraverso l’analisi continua dei rischi, ricevono i seguenti vantaggi molto significativi:
- identificazione degli obiettivi gestionali;
- determinazione delle modalità di gestione;
- efficienza gestionale basata sull’assunzione di decisioni informate e tempestive.
Ci sono alcuni altri punti da notare in relazione alla gestione del rischio e alla gestione della sicurezza delle informazioni.
L'analisi del rischio, la gestione degli incidenti e l'audit sulla sicurezza delle informazioni sono indissolubilmente legati tra loro, poiché gli input e gli output dei processi elencati sono collegati. Lo sviluppo e l'implementazione del processo di gestione del rischio devono essere effettuati con un occhio alla gestione degli incidenti e agli audit IS.
Il processo di analisi del rischio stabilito è requisito obbligatorio standard STO-BR IBBS-1.0-2006 per garantire la sicurezza delle informazioni nel settore bancario.
L'impostazione di un processo di analisi dei rischi è necessaria per un'organizzazione nel caso in cui abbia deciso di sottoporsi a certificazione per la conformità ai requisiti della norma internazionale ISO/IEC 27001:2005.
L’istituzione di un regime per la protezione dei segreti commerciali e dei dati personali è indissolubilmente legata all’analisi del rischio, poiché tutti questi processi utilizzano metodi simili per identificare e valutare le risorse, sviluppando un modello di intrusione e un modello di minaccia.
Il valore delle informazioni è determinato dalla complessità della loro preparazione (raccolta), dal costo del loro supporto (manutenzione), dall'entità del possibile danno in caso di perdita o distruzione, dal costo che altre persone (concorrenti, aggressori) sostengono disposto a pagare per esso, nonché l'importo delle possibili conseguenze e multe, in caso di perdita (dispersione). Senza valutare le informazioni, è impossibile valutare adeguatamente la fattibilità di spendere soldi e risorse per la loro protezione. Il valore delle informazioni deve essere preso in considerazione quando si scelgono le misure di protezione.
La valutazione degli asset può essere effettuata utilizzando sia metodi quantitativi che qualitativi. Il costo effettivo di un bene è determinato in base al costo della sua acquisizione, sviluppo e supporto. Il valore di un bene è determinato dal significato che ha per i proprietari, gli utenti autorizzati e gli utenti non autorizzati. Alcune informazioni sono importanti per l'azienda e sono classificate come riservate.
Ad esempio, il costo di un server è di 4.000 dollari, ma questo valore non viene preso in considerazione nella valutazione dei rischi. Il valore è determinato dal costo di sostituzione o riparazione, dalle perdite dovute alla ridotta produttività e dai danni derivanti dal danneggiamento o dalla perdita dei dati in esso memorizzati. Questo è ciò che determinerà il danno per l'azienda in caso di danneggiamento o perdita del server per un motivo o per l'altro.
Nel determinare il valore delle attività occorre considerare i seguenti aspetti:
- Costi per l'ottenimento o lo sviluppo di un bene
- Costi di mantenimento e protezione del bene
- Il valore del bene per proprietari e utilizzatori
- Il valore dell’asset per gli aggressori (concorrenti)
- Il valore della proprietà intellettuale utilizzata nello sviluppo del bene
- Il prezzo che gli altri sono disposti a pagare per il bene
- Costo di sostituzione di un bene in caso di smarrimento
- Sala operatoria e attività produttiva, che dipende dalla disponibilità del bene
- Responsabilità in caso di compromissione del patrimonio
- I benefici e il ruolo dell'asset in azienda
Determinare il valore delle attività è utile per un’azienda per una serie di motivi, tra cui i seguenti:
- Per condurre un’analisi costi/benefici
- Selezionare contromisure specifiche e dispositivi di protezione
- Per determinare livello richiesto copertura assicurativa
- Per capire cosa rischia esattamente l’azienda
- Per rispettare i requisiti legali, normativi e di dovuta diligenza
Come affermato in precedenza, il rischio è la probabilità che una minaccia sfrutti una vulnerabilità, determinando un impatto negativo sull’azienda. Esistono molti tipi di fonti di minaccia che possono sfruttare diversi tipi di vulnerabilità, che possono portare a determinate minacce. Alcuni esempi di rischi sono mostrati nella Tabella 1-2.
Tabella 1-2 Relazione tra minacce e vulnerabilità
Esistono altri tipi di minacce, molto più difficili da identificare, che possono verificarsi ambiente informatico. Queste minacce sono legate a bug dell'applicazione ed errori dell'utente. Tuttavia, con un'adeguata organizzazione del controllo e della verifica delle azioni degli utenti, i relativi errori (intenzionali o accidentali) sono molto più facili da identificare.
Una volta identificate le vulnerabilità e le minacce associate, è necessario analizzare le conseguenze del loro sfruttamento, ad es. rischi di potenziali danni. I danni possono essere associati a danni a dati o sistemi (oggetti), divulgazione non autorizzata di informazioni riservate, diminuzione della produttività, ecc. Quando si conduce un'analisi del rischio, il team dovrebbe considerare anche il probabile danno differito(perdita ritardata), che può verificarsi dopo un certo tempo (da 15 minuti a diversi anni) dopo che il rischio si è reso conto. Il danno ritardato può essere causato, ad esempio, da una diminuzione della produttività del lavoro per un certo periodo di tempo, una diminuzione del reddito dell'azienda, un danno alla sua reputazione, multe cumulative, spese aggiuntive ripristinare l’ambiente, sospendere l’accettazione di fondi dai clienti, ecc.
Ad esempio, se, a seguito di un attacco ai server web di un’azienda, questi smettessero di servire i clienti, il danno immediato potrebbe essere la corruzione dei dati, il costo del tempo di lavoro per ripristinare i server, l’aggiornamento dei server vulnerabili software su di loro. Inoltre, l'azienda perderà alcune entrate a causa della sua incapacità di servire i clienti durante il tempo necessario per ripristinare il funzionamento dei suoi server web. Se i lavori di ripristino richiedono molto tempo (ad esempio una settimana), l'azienda potrebbe perdere così tanti profitti da non essere più in grado di pagare le bollette e altre spese. Questo sarà un danno differito. E se, tra le altre cose, l’azienda perde anche la fiducia dei clienti, potrebbe perdere completamente la propria attività (per un po’ o per sempre). Questo è un caso estremo di danno ritardato.
Questo tipo di domande rendono molto più difficile la quantificazione dei danni, ma devono essere prese in considerazione per ottenere una stima attendibile.
Metodi di valutazione del rischio. Per valutare i rischi vengono utilizzate molte tecniche diverse. Diamo un'occhiata ad alcuni di loro.
NISTSP800-30 E 800-66 sono metodologie che possono essere utilizzate dalle società commerciali, sebbene 800-66 sia stato originariamente sviluppato per il settore sanitario e altri settori regolamentati. L'approccio del NIST considera le minacce IT e i rischi associati alla sicurezza delle informazioni. Fornisce i seguenti passaggi:
- Descrizione delle caratteristiche del sistema
- Identificazione della minaccia
- Identificazione della vulnerabilità
- Analisi delle misure di protezione
- Definizione di probabilità
- Analisi dell'impatto
- Definizione di rischio
- Raccomandazioni per le misure di protezione
- Documentare i risultati
La metodologia di valutazione del rischio NIST SP 800-30 viene spesso utilizzata da consulenti, professionisti della sicurezza e dipartimenti IT interni. Si concentra principalmente sui sistemi informatici. Individui o piccoli gruppi raccolgono dati dalla rete, dalle pratiche di sicurezza e dalle persone che lavorano all'interno dell'azienda. I dati raccolti vengono utilizzati come input per eseguire le fasi di analisi del rischio descritte nel Documento 800-30.
Un'altra metodologia di valutazione del rischio è FRAP (Processo Facilitato di Analisi dei Rischi – Processo di analisi dei rischi di Gruppo). È progettato per fornire valutazioni del rischio di alta qualità in modo da consentire la conduzione di audit su una varietà di aspetti e utilizzando una varietà di metodologie. Fornisce modalità affinché un'azienda possa prendere decisioni su linee d'azione e azioni specifiche in circostanze specifiche per tenere conto di varie questioni. Ciò consente, attraverso la preselezione, di identificare quelle aree dell'azienda che necessitano realmente di un'analisi dei rischi. Il FRAP è strutturato in modo tale da poter essere accessibile a chiunque abbia buone capacità organizzative lavoro di gruppo sarà in grado di condurre con successo un'analisi dei rischi utilizzando questa metodologia.
Un altro tipo di metodologia è OTTAVA (Valutazione delle minacce, delle risorse e delle vulnerabilità operativamente critiche - Valutazione delle minacce, delle risorse e delle vulnerabilità critiche). Si tratta di una metodologia che dovrebbe essere utilizzata nelle situazioni in cui l'intero processo di analisi dei rischi legati alla sicurezza delle informazioni viene svolto all'interno dell'azienda (senza il coinvolgimento di consulenti esterni). Si basa sull'idea che i dipendenti dell'azienda comprendano meglio di cosa ha realmente bisogno l'azienda e quali rischi deve affrontare. I dipendenti selezionati per partecipare al processo di valutazione decidono autonomamente quale approccio è migliore per valutare la sicurezza della propria azienda.
Mentre le metodologie NIST e OCTAVE si concentrano sulle minacce IT e sui rischi per la sicurezza delle informazioni, AS/NZS 4360 adotta un approccio molto più ampio alla gestione del rischio. Questa metodologia può essere utilizzata per comprendere i rischi di un'azienda nei settori della finanza, della protezione delle persone, delle decisioni aziendali, ecc. Non è stato sviluppato specificatamente per l'analisi dei rischi per la sicurezza, sebbene possa essere utilizzato con successo a questo scopo.
NOTA. Puoi trovare informazioni aggiuntive su questi approcci all'analisi del rischio e al loro utilizzo, vedere l'articolo di Sean Harris su http://searchsecurity.techtarget.com/generic/0,295582,sid14_gci1191926,00.html.CRAM (Metodo di analisi e gestione dei rischi CCTA - Metodo di analisi e gestione dei rischi dell'Agenzia centrale per i computer e le telecomunicazioni (CCTA) della Gran Bretagna) è suddiviso in tre segmenti: identificazione e valutazione degli asset, analisi delle minacce e delle vulnerabilità, selezione delle contromisure . Questa tecnica tiene conto del come aspetti tecnici aziende, sia non tecniche.
Analisi dell'albero di copertura La Spanning Tree Analysis è una metodologia che crea un albero di tutte le potenziali minacce e debolezze che potrebbero interrompere il funzionamento di un sistema. Ciascun ramo rappresenta un argomento o una categoria generalizzata e i rami non applicabili possono essere rimossi durante il processo di analisi del rischio.
FMEA (modalità di guasto e analisi degli effetti)è un metodo per definire le funzioni, identificare i difetti funzionali, valutare le cause del difetto e le sue conseguenze attraverso un processo strutturato. L'applicazione di questo processo ai difetti persistenti consente di determinare dove è più probabile che si verifichi l'errore. Ciò aiuta notevolmente a identificare le vulnerabilità, a determinare con precisione i confini delle vulnerabilità e le conseguenze del loro sfruttamento. A sua volta, ciò non solo semplifica l’applicazione di patch che risolvono le vulnerabilità, ma garantisce anche che le risorse vengano utilizzate in modo più efficiente nell’ambito di tale attività.
Seguendo una determinata sequenza di passaggi, è possibile ottenere migliori risultati nell'analisi dei difetti.
- Iniziare con uno schema a blocchi del sistema o del controllo (oggetto di analisi).
- Considera cosa accadrebbe se ogni blocco nel diagramma fallisse.
- Disegna una tabella e indica in essa i difetti abbinati alle loro conseguenze e una valutazione di tali conseguenze.
- Adattare la progettazione del sistema e apportare le modifiche appropriate alla tabella finché non risulta chiaro che il sistema non è soggetto a problemi.
- Ottieni più revisioni tecniche sulla natura dei difetti e sull'analisi dell'impatto.
La Tabella 1-3 fornisce un esempio di conduzione e documentazione di una FMEA. Sebbene la maggior parte delle aziende non disponga delle risorse per entrare in modo così dettagliato su ogni sistema e controllo, ciò dovrebbe essere fatto per le funzioni e i sistemi critici che possono avere un impatto significativo sull’azienda. È importante analizzare una misura o un sistema di sicurezza dal livello micro a quello macro per comprendere appieno dove possono risiedere potenziali vulnerabilità o difetti e quali potrebbero essere le conseguenze dello sfruttamento di tali punti deboli. Ogni sistema informatico può essere costituito da molte bombe a orologeria diverse a diversi livelli della sua struttura. A livello dei componenti potrebbe trattarsi di un buffer overflow o di componenti ActiveX pericolosi, che potrebbero consentire a un utente malintenzionato di prendere il controllo del sistema sfruttando la vulnerabilità. A livello software, l'applicazione potrebbe non eseguire l'autorizzazione in modo sicuro o potrebbe non proteggere adeguatamente le proprie chiavi crittografiche. SU livello di sistema Il kernel del sistema operativo potrebbe presentare difetti che consentirebbero a un utente malintenzionato di ottenere facilmente l'accesso amministrativo. Possono accadere varie cose terribili a qualsiasi livello, motivo per cui è necessario un approccio così dettagliato.
Tabella 1-3 Esempio di conduzione e documentazione della FMEA
La FMEA è stata originariamente sviluppata per lo studio dei sistemi. Il suo scopo è studiare potenziali difetti nei prodotti e nei processi correlati. Questo approccio si è dimostrato efficace ed è stato adattato per essere utilizzato nella valutazione delle priorità di gestione del rischio e nella mitigazione delle vulnerabilità delle minacce note.
Tuttavia, la FMEA non è sufficientemente efficace per identificare difetti complessi che possono coinvolgerne diversi vari sistemi o sottosistemi. In questo caso è più appropriato utilizzare l’analisi dell’albero dei guasti. Per l'analisi utilizzando un albero dei guasti, viene utilizzato il processo principale. L'evento indesiderato è indicato come radice (l'elemento più alto di questo albero logico). Quindi, come rami, vengono aggiunti una serie di espressioni logiche ed eventi che possono portare all'implementazione di un evento indesiderato di livello superiore. Successivamente, l'albero dei guasti viene contrassegnato con numeri corrispondenti alla probabilità di guasti (di solito ciò viene fatto utilizzando il metodo specializzato programmi informatici, che può calcolare le probabilità in un albero dei guasti). La Figura 1-7 mostra un albero dei guasti semplificato e i vari simboli logici utilizzati per rappresentare ciò che deve accadere per causare un guasto.
Figura 1-7 Albero dei guasti e porte logiche
Quando si crea un albero, è necessario indicare con precisione tutte le minacce o i guasti che possono verificarsi nel sistema. I rami dell'albero possono essere suddivisi in categorie, ad esempio, minacce fisiche, minacce di rete, minacce informatiche, Minacce Internet e minacce di interruzione. Una volta selezionate tutte le categorie possibili, è possibile eliminare i rami dall'albero, rimuovendo le minacce che in questo caso non sono applicabili (se il sistema non è connesso a Internet, i rami relativi a Internet possono essere eliminati in modo sicuro dall'albero).
Di seguito sono riportati alcuni dei guasti software più comuni che possono essere esaminati utilizzando l'analisi dell'albero dei guasti:
- Falsi allarmi (allarmi o protezioni)
- Gestione degli errori insufficiente
- Disturbo della sequenza o dell'ordine
- Sincronizzazione errata dei risultati
- Risultati corretti ma inattesi
Quando si implementa un sistema di gestione della sicurezza delle informazioni (ISMS) in un'organizzazione, uno dei principali punti d'inciampo è solitamente il sistema di gestione del rischio. Le discussioni sulla gestione del rischio per la sicurezza delle informazioni sono simili al problema degli UFO. Da un lato nessuno intorno sembra averlo visto e l'evento in sé sembra improbabile, dall'altro ci sono molte prove, sono stati scritti centinaia di libri, ci sono anche discipline scientifiche rilevanti e associazioni di scienziati coinvolte in questo processo di ricerca e, come al solito, i servizi speciali hanno conoscenze segrete speciali in questo settore.
Alexander Astakhov, CISA, 2006
Introduzione
Non c’è consenso tra gli specialisti della sicurezza informatica sulle questioni di gestione del rischio. Qualcuno nega metodi quantitativi di valutazione del rischio, qualcuno nega metodi qualitativi, qualcuno generalmente nega la fattibilità e la possibilità stessa della valutazione del rischio, qualcuno accusa la direzione dell'organizzazione di insufficiente consapevolezza dell'importanza delle questioni di sicurezza o lamenta le difficoltà legate al raggiungimento di un obiettivo valutazione del valore di alcuni beni, come la reputazione dell'organizzazione. Altri, non vedendo la possibilità di giustificare i costi della sicurezza, propongono di trattarla come una sorta di procedura igienica e di spendere per questa procedura tanto denaro quanto non è un peccato, o quanto rimane nel bilancio.
Qualunque opinione esista sulla questione della gestione dei rischi per la sicurezza delle informazioni e indipendentemente da come trattiamo questi rischi, una cosa è chiara: in questo problema sta l'essenza della poliedrica attività degli specialisti della sicurezza informatica, collegandola direttamente al business, conferendole un significato e una opportunità ragionevoli. Questo articolo delinea un possibile approccio alla gestione del rischio e risponde alla domanda sul perché diverse organizzazioni visualizzano e gestiscono i rischi per la sicurezza delle informazioni in modo diverso.
Immobilizzazioni e beni ausiliari
Quando parliamo di rischi aziendali intendiamo la possibilità di subire qualche danno con una certa probabilità. Può trattarsi sia di danni materiali diretti che di danni indiretti, espressi, ad esempio, in mancati profitti, fino all'uscita dall'impresa, perché se il rischio non viene gestito, l'impresa può andare perduta.
In realtà, l'essenza della questione è che l'organizzazione dispone e utilizza diverse categorie principali di risorse per raggiungere i risultati delle sue attività (i suoi obiettivi aziendali) (di seguito utilizzeremo il concetto di risorsa direttamente correlata al business). Un asset è tutto ciò che ha valore per un’organizzazione e ne genera reddito (in altre parole, è qualcosa che crea un flusso finanziario positivo o fa risparmiare denaro)
Ci sono risorse materiali, finanziarie, umane e informative. I moderni standard internazionali definiscono anche un’altra categoria di asset: i processi. Un processo è una risorsa aggregata che gestisce tutte le altre risorse aziendali per raggiungere gli obiettivi aziendali. Anche l'immagine e la reputazione dell'azienda sono considerate uno dei beni più importanti. Queste risorse chiave per qualsiasi organizzazione non sono altro che un tipo speciale di risorse informative, poiché l'immagine e la reputazione di un'azienda non sono altro che il contenuto di informazioni aperte e ampiamente diffuse su di essa. La sicurezza delle informazioni riguarda questioni di immagine nella misura in cui i problemi di sicurezza dell'organizzazione, nonché la fuga di informazioni riservate, hanno un impatto estremamente negativo sull'immagine.
I risultati aziendali sono influenzati da diversi fattori esterni ed interni classificati come rischio. Questa influenza si esprime in un impatto negativo su uno o più gruppi di risorse dell'organizzazione contemporaneamente. Ad esempio, un guasto del server influisce sulla disponibilità delle informazioni e delle applicazioni archiviate su di esso e la sua riparazione distrae le risorse umane, creando una carenza delle stesse in una determinata area di lavoro e causando disorganizzazione dei processi aziendali, mentre la temporanea indisponibilità del client i servizi possono influire negativamente sull'immagine dell'azienda.
Per definizione, tutti i tipi di risorse sono importanti per un'organizzazione. Tuttavia, ogni organizzazione dispone di risorse vitali fondamentali e di risorse di supporto. È molto semplice determinare quali siano gli asset principali, perché... Queste sono le risorse attorno alle quali si costruisce l'attività dell'organizzazione. Pertanto, l'attività di un'organizzazione può basarsi sulla proprietà e sull'utilizzo di beni materiali (ad esempio terreni, immobili, attrezzature, minerali), l'attività può anche essere basata sulla gestione di attività finanziarie (attività creditizie, assicurazioni, investimenti), l’impresa può basarsi sulla competenza e sull’autorità di specialisti specifici (consulenza, audit, formazione, industrie ad alta tecnologia e ad alta intensità di conoscenza) oppure può ruotare attorno al patrimonio informativo (sviluppo di software, prodotti informativi, commercio elettronico, affari su Internet). I rischi delle immobilizzazioni sono carichi di perdite di affari e perdite irreparabili per l'organizzazione, pertanto l'attenzione degli imprenditori si concentra principalmente su questi rischi e la gestione dell'organizzazione li affronta personalmente. I rischi per le risorse di supporto in genere comportano danni recuperabili e non rappresentano una delle principali priorità nel sistema di gestione dell'organizzazione. Tipicamente, tali rischi vengono gestiti da persone appositamente incaricate, oppure tali rischi vengono trasferiti a terzi, ad esempio un outsourcer o una compagnia assicurativa. Per un’organizzazione, questa è più una questione di efficienza gestionale che di sopravvivenza.
Approcci esistenti alla gestione del rischio
Poiché i rischi per la sicurezza delle informazioni non sono i principali per tutte le organizzazioni, vengono praticati tre approcci principali alla gestione di questi rischi, che differiscono per profondità e livello di formalismo.
Per i sistemi non critici, quando le risorse informative sono ausiliarie e il livello di informatizzazione non è elevato, tipico della maggior parte delle moderne aziende russe, la necessità di una valutazione del rischio è minima. In tali organizzazioni è necessario parlarne livello base La sicurezza delle informazioni è determinata dalle normative e dagli standard esistenti, dalle migliori pratiche, dall'esperienza e dal modo in cui viene eseguita nella maggior parte delle altre organizzazioni. Tuttavia, le norme esistenti, pur descrivendo una serie di requisiti e meccanismi di sicurezza di base, stabiliscono sempre la necessità di valutare i rischi e la fattibilità economica dell’utilizzo di determinati meccanismi di controllo al fine di scegliere tra insieme generale i requisiti e i meccanismi sono quelli applicabili in una particolare organizzazione.
Per i sistemi critici in cui il patrimonio informativo non è quello principale, ma il livello di informatizzazione dei processi aziendali è molto elevato e i rischi informativi possono incidere in modo significativo sui principali processi aziendali, è necessario applicare la valutazione del rischio, ma in questo caso è opportuno limitare noi stessi ad approcci qualitativi informali per risolvere questo problema, prestando attenzione particolare attenzione i sistemi più critici.
Quando l’attività di un’organizzazione è costruita attorno al patrimonio informativo e i rischi per la sicurezza delle informazioni sono i principali, è necessario utilizzare un approccio formale e metodi quantitativi per valutare tali rischi.
In molte aziende, diversi tipi di risorse possono essere vitali contemporaneamente, ad esempio quando l'attività è diversificata o l'azienda è impegnata nella creazione di prodotti informativi e sia le risorse umane che quelle informative possono essere ugualmente importanti per essa. In questo caso, l’approccio razionale consiste nel condurre una valutazione del rischio di alto livello per determinare quali sistemi sono altamente esposti al rischio e quali sono critici per le operazioni aziendali, seguita da una valutazione dettagliata del rischio dei sistemi identificati. Per tutti gli altri sistemi non critici è consigliabile limitarsi ad utilizzare un approccio di base, prendendo decisioni di gestione del rischio basate sull’esperienza esistente, sulle opinioni degli esperti e sulle migliori pratiche.
Livelli di maturità
La scelta dell'approccio alla valutazione del rischio in un'organizzazione, oltre alla natura della sua attività e al livello di informatizzazione dei processi aziendali, è influenzata anche dal suo livello di maturità. La gestione del rischio per la sicurezza delle informazioni è un compito aziendale avviato dalla direzione di un'organizzazione a causa della sua consapevolezza e del grado di consapevolezza dei problemi di sicurezza delle informazioni, il cui significato è proteggere l'azienda dalle reali minacce alla sicurezza delle informazioni esistenti. A seconda del grado di consapevolezza si possono rintracciare diversi livelli di maturità delle organizzazioni, che in una certa misura sono correlati ai livelli di maturità definiti nel COBIT e in altri standard:
- A livello iniziale non esiste alcuna consapevolezza in quanto tale; l'organizzazione adotta misure frammentate per garantire la sicurezza delle informazioni, avviate e implementate da specialisti IT sotto la propria responsabilità.
- Al secondo livello, l'organizzazione definisce la responsabilità per la sicurezza delle informazioni; si tenta di utilizzare soluzioni integrate con gestione centralizzata e implementare processi separati di gestione della sicurezza delle informazioni.
- Il terzo livello è caratterizzato dall'applicazione di un approccio per processi alla gestione della sicurezza delle informazioni descritto negli standard. Il sistema di gestione della sicurezza delle informazioni diventa così importante per l'organizzazione da essere considerato una componente necessaria del sistema di gestione dell'organizzazione. Tuttavia, non esiste ancora un sistema di gestione della sicurezza delle informazioni completo, perché assente elemento di base di questo sistema sono processi di gestione del rischio.
- Le organizzazioni con il più alto grado di consapevolezza dei problemi di sicurezza delle informazioni sono caratterizzate dall'utilizzo di un approccio formalizzato alla gestione del rischio di sicurezza delle informazioni, caratterizzato dalla presenza di processi documentati di pianificazione, implementazione, monitoraggio e miglioramento.
Modello del processo di gestione del rischio
Nel marzo di quest'anno è stato adottato un nuovo standard britannico, BS 7799 Parte 3 – Sistemi di gestione della sicurezza delle informazioni – Pratica di gestione dei rischi per la sicurezza delle informazioni. L'ISO prevede che questo documento sarà approvato come standard internazionale entro la fine del 2007. La norma BS 7799-3 definisce i processi di valutazione e gestione del rischio come elemento integrante del sistema di gestione di un'organizzazione, utilizzando lo stesso modello di processo di altri standard di gestione, che comprende quattro gruppi di processi: pianificare, fare, rivedere, agire (PDA), che riflette lo standard ciclo di ogni processo gestionale. Mentre la norma ISO 27001 descrive il ciclo complessivo di gestione della sicurezza end-to-end, la norma BS 7799-3 lo estende ai processi di gestione dei rischi per la sicurezza delle informazioni.
Nel sistema di gestione dei rischi per la sicurezza delle informazioni, nella fase di pianificazione, vengono determinate la politica e la metodologia di gestione dei rischi e viene eseguita una valutazione del rischio, che comprende un inventario delle risorse, la compilazione di profili di minaccia e vulnerabilità, la valutazione dell'efficacia delle contromisure e danni potenziali e determinazione del livello accettabile di rischi residui.
Nella fase di implementazione i rischi vengono elaborati e vengono introdotti meccanismi di controllo per minimizzarli. La direzione dell'organizzazione prende una delle quattro decisioni per ciascun rischio identificato: ignorare, evitare, trasferire a una parte esterna o minimizzare. Successivamente, viene sviluppato e implementato un piano di trattamento del rischio.
Nella fase di verifica, viene monitorato il funzionamento dei meccanismi di controllo, vengono monitorati i cambiamenti nei fattori di rischio (risorse, minacce, vulnerabilità), vengono condotti audit e vengono eseguite varie procedure di controllo.
Nella fase Azione basata sui risultati monitoraggio continuo e le ispezioni effettuate, vengono intraprese le necessarie azioni correttive, che possono includere, in particolare, la rivalutazione dell'entità dei rischi, l'adeguamento della politica e della metodologia di gestione del rischio, nonché del piano di trattamento del rischio.
Fattori di rischio
L’essenza di qualsiasi approccio alla gestione del rischio risiede nell’analisi dei fattori di rischio e nel prendere decisioni adeguate sul trattamento del rischio. I fattori di rischio sono i principali parametri che utilizziamo nella valutazione dei rischi. Esistono solo sette di questi parametri:
- Risorsa
- Danno (perdita)
- Minaccia
- Vulnerabilità
- Meccanismo di controllo
- Perdita media annua (ALE)
- Ritorno sull'investimento (ROI)
Il modo in cui questi parametri vengono analizzati e valutati è determinato dalla metodologia di valutazione del rischio utilizzata nell'organizzazione. Allo stesso tempo, l’approccio generale e il modello di ragionamento sono più o meno gli stessi, indipendentemente dalla metodologia utilizzata. Il processo di valutazione del rischio comprende due fasi. Nella prima fase, definita dalle norme come analisi dei rischi, è necessario rispondere alle seguenti domande:
- Qual è l'asset principale dell'azienda?
- Qual è il reale valore di questo bene?
- Quali minacce esistono per questa risorsa?
- Quali sono le conseguenze di queste minacce e i danni per l’azienda?
- Quanto sono probabili queste minacce?
- Quanto è vulnerabile l’azienda a queste minacce?
- Qual è la perdita media annua prevista?
Nella seconda fase, definita dalle norme come valutazione del rischio, è necessario rispondere alla domanda: quale livello di rischio (l’importo delle perdite medie annue) è accettabile per l’organizzazione e, in base a ciò, quali rischi lo superano livello.
Pertanto, sulla base dei risultati della valutazione del rischio, otteniamo una descrizione dei rischi che superano il livello accettabile e una valutazione dell'entità di tali rischi, che è determinata dall'entità delle perdite medie annuali. Successivamente, è necessario prendere una decisione sul trattamento del rischio, ad es. rispondere alle seguenti domande:
- Quale opzione di trattamento del rischio scegliamo?
- Se si decide di minimizzare il rischio, quali controlli dovrebbero essere utilizzati?
- Quanto sono efficaci questi controlli e quale ritorno sull’investimento forniranno?
Il risultato di questo processo è un piano di trattamento del rischio che definisce le modalità di trattamento dei rischi, il costo delle contromisure, nonché i tempi e la responsabilità per l'implementazione delle contromisure.
Processo decisionale sul trattamento del rischio
Prendere una decisione sul trattamento del rischio è il momento chiave e più critico nel processo di gestione del rischio. Affinché la direzione possa prendere la decisione giusta, la persona responsabile della gestione del rischio nell'organizzazione deve fornirgli le informazioni pertinenti. La forma di presentazione di tali informazioni è determinata algoritmo standard comunicazione aziendale, che comprende quattro punti principali:
- Segnalazione dei problemi: qual è la minaccia per l'azienda (fonte, oggetto, metodo di attuazione) e qual è la ragione della sua esistenza?
- Gravità del problema: in che modo ciò minaccia l’organizzazione, il suo management e gli azionisti?
- Soluzione proposta: cosa si propone di fare per correggere la situazione, quanto costerà, chi dovrebbe farlo e cosa è richiesto direttamente al management?
- Soluzioni alternative: quali altri modi esistono per risolvere il problema (ci sono sempre alternative e il management dovrebbe avere l'opportunità di scegliere).
I punti 1 e 2, nonché 3 e 4 possono essere scambiati a seconda della situazione specifica.
Metodi di gestione del rischio
Esiste un numero sufficiente di metodi consolidati e ampiamente utilizzati per valutare e gestire i rischi. Uno di questi metodi è OCTAVE, sviluppato presso la Carnegie Melon University per uso interno nelle organizzazioni. OCTAVE – Valutazione delle minacce, delle risorse e delle vulnerabilità operative critiche (Valutazione delle minacce, delle risorse e delle vulnerabilità operative critiche) ha una serie di modifiche progettate per le organizzazioni dimensioni diverse e aree di attività. L'essenza di questo metodo è che per valutare i rischi viene utilizzata una sequenza di workshop interni opportunamente organizzati. La valutazione del rischio viene effettuata in tre fasi, precedute da una serie di attività preparatorie, tra cui il coordinamento del programma dei seminari, l'assegnazione dei ruoli, la pianificazione e il coordinamento delle azioni dei membri del team di progetto.
Nella prima fase, durante seminari pratici, viene effettuato lo sviluppo di profili di minaccia, compreso un inventario e una valutazione del valore dei beni, l'identificazione dei requisiti legali e normativi applicabili, l'identificazione delle minacce e la valutazione della loro probabilità, nonché la determinazione di un sistema di misure organizzative per mantenere il regime di sicurezza delle informazioni.
Nella seconda fase è fatto analisi tecnica vulnerabilità dei sistemi informativi dell'organizzazione in relazione alle minacce i cui profili sono stati sviluppati nella fase precedente, che include l'identificazione delle vulnerabilità esistenti dei sistemi informativi dell'organizzazione e la valutazione della loro entità.
Nella terza fase, i rischi per la sicurezza delle informazioni vengono valutati ed elaborati, inclusa la determinazione dell'entità e della probabilità del danno derivante da minacce alla sicurezza utilizzando le vulnerabilità identificate nelle fasi precedenti, la determinazione di una strategia di protezione, nonché la selezione delle opzioni e il processo decisionale sul trattamento del rischio. L'entità del rischio è definita come la perdita media annua dell'organizzazione a seguito dell'implementazione delle minacce alla sicurezza.
Un approccio simile viene utilizzato nel noto metodo di valutazione del rischio CRAMM, sviluppato un tempo per ordine del governo britannico. Il metodo principale di valutazione del rischio del CRAMM prevede interviste attentamente pianificate utilizzando questionari dettagliati. CRAMM è utilizzato in migliaia di organizzazioni in tutto il mondo, grazie, tra le altre cose, alla disponibilità di strumenti software altamente sviluppati che contengono una base di conoscenza sui rischi e meccanismi per minimizzarli, strumenti per raccogliere informazioni, generare report e anche implementare algoritmi per calcolare l’entità dei rischi.
A differenza del metodo OCTAVE, CRAMM utilizza una sequenza leggermente diversa di azioni e metodi per determinare l'entità dei rischi. Innanzitutto, viene determinata la fattibilità della valutazione dei rischi in generale e, se il sistema informativo dell'organizzazione non è sufficientemente critico, viene adottata una serie standard di meccanismi di controllo descritti in standard internazionali e contenuto nella base di conoscenza CRAMM.
Nella prima fase, il metodo CRAMM costruisce un modello delle risorse del sistema informativo che descrive le relazioni tra informazioni, software e risorse tecniche e valuta anche il valore delle risorse in base al possibile danno che un'organizzazione potrebbe subire a causa della loro compromissione. .
Nella seconda fase viene effettuata una valutazione del rischio, che comprende l'identificazione e la valutazione della probabilità delle minacce, la valutazione dell'entità delle vulnerabilità e il calcolo dei rischi per ciascuna tripla: risorsa - minaccia - vulnerabilità. Il CRAMM valuta i rischi “puri”, indipendentemente dai meccanismi di controllo implementati nel sistema. Nella fase di valutazione del rischio, si presuppone che non venga applicata alcuna contromisura e, sulla base di questo presupposto, viene formata una serie di contromisure raccomandate per ridurre al minimo i rischi.
Nella fase finale, il toolkit CRAMM genera una serie di contromisure per ridurre al minimo i rischi identificati e confronta le contromisure raccomandate ed esistenti, dopodiché viene formato un piano di trattamento dei rischi.
Kit di strumenti per la gestione del rischio
Nel processo di valutazione del rischio, attraversiamo una serie di fasi successive, tornando periodicamente alle fasi precedenti, ad esempio rivalutando un determinato rischio dopo aver scelto una contromisura specifica per minimizzarlo. In ogni fase è necessario avere a portata di mano questionari, elenchi di minacce e vulnerabilità, registri di risorse e rischi, documentazione, verbali delle riunioni, standard e linee guida. A questo proposito, abbiamo bisogno di una sorta di algoritmo, database e interfaccia programmati per lavorare con questi vari dati.
Per gestire i rischi per la sicurezza delle informazioni è possibile utilizzare strumenti, ad esempio, come il metodo CRAMM o RA2 (mostrato in figura), ma ciò non è obbligatorio. Lo standard BS 7799-3 dice la stessa cosa. L'utilità dell'utilizzo del toolkit potrebbe risiedere nel fatto che contiene un algoritmo programmato per il flusso di lavoro di valutazione e gestione del rischio, che semplifica il lavoro per uno specialista inesperto.
L'utilizzo di strumenti consente di unificare la metodologia e semplificare l'utilizzo dei risultati per rivalutare i rischi, anche se eseguita da altri specialisti. Grazie all'utilizzo di strumenti è possibile semplificare l'archiviazione dei dati e lavorare con modelli di risorse, profili di minaccia, elenchi di vulnerabilità e rischi.
Oltre agli stessi strumenti di valutazione e gestione del rischio, gli strumenti software possono contenere anche strumenti aggiuntivi per documentare l'ISMS, analizzare le discrepanze con i requisiti standard, sviluppare un registro delle risorse, nonché altri strumenti necessari per l'implementazione e il funzionamento dell'ISMS.
Conclusioni
La scelta degli approcci qualitativi o quantitativi alla valutazione del rischio è determinata dalla natura dell'attività dell'organizzazione e dal livello della sua informatizzazione, ad es. l'importanza del patrimonio informativo per lui, nonché il livello di maturità dell'organizzazione.
Quando si implementa un approccio formale alla gestione del rischio in un'organizzazione, è necessario fare affidamento principalmente sul buon senso, sugli standard esistenti (ad esempio BS 7799-3) e su metodologie consolidate (ad esempio OCTAVE o CRAMM). Potrebbe essere utile utilizzare per questi scopi strumenti software che implementino le metodologie appropriate e soddisfino nella massima misura possibile i requisiti degli standard (ad esempio RA2).
L'efficacia del processo di gestione del rischio di sicurezza delle informazioni è determinata dall'accuratezza e dalla completezza dell'analisi e della valutazione dei fattori di rischio, nonché dall'efficacia dei meccanismi utilizzati nell'organizzazione per prendere decisioni gestionali e monitorarne l'attuazione.
Collegamenti
- Astakhov A.M., “Storia dello standard BS 7799”, http://www.globaltrust.ru/shop/osnov.php?idstat=61&idcatstat=12
- Astakhov A.M., "Come costruire e certificare un sistema di gestione della sicurezza delle informazioni?",
Al momento, i rischi per la sicurezza delle informazioni rappresentano una grave minaccia per le normali attività di molte imprese e istituzioni. Nella nostra epoca tecnologie dell'informazione Non è praticamente difficile ottenere alcun dato. Da un lato, questo ovviamente porta molti aspetti positivi, ma diventa un problema per il volto e il marchio di molte aziende.
La protezione delle informazioni nelle imprese sta diventando ormai quasi una priorità assoluta. Gli esperti ritengono che questo obiettivo possa essere raggiunto solo sviluppando una certa sequenza consapevole di azioni. In questo caso è possibile lasciarsi guidare solo da fatti attendibili e utilizzare metodi analitici avanzati. Un certo contributo è dato dallo sviluppo dell'intuizione e dell'esperienza dello specialista responsabile di questa divisione dell'impresa.
Questo materiale ti parlerà della gestione dei rischi per la sicurezza delle informazioni di un'entità aziendale.
Quali tipi di possibili minacce esistono nell’ambiente informativo?
Possono esserci molti tipi di minacce. L'analisi dei rischi per la sicurezza delle informazioni aziendali inizia con la considerazione di tutte le possibili minacce potenziali. Ciò è necessario per decidere le modalità di verifica in caso di queste situazioni impreviste, nonché per creare un adeguato sistema di protezione. I rischi per la sicurezza delle informazioni sono suddivisi in determinate categorie in base a vari criteri di classificazione. Sono dei seguenti tipi:
- fonti fisiche;
- uso inappropriato della rete informatica e del World Wide Web;
- perdite da fonti sigillate;
- perdita con mezzi tecnici;
- ingresso non autorizzato;
- attacco al patrimonio informativo;
- violazione dell'integrità della modifica dei dati;
- situazioni di emergenza;
- violazioni legali.
Cosa è incluso nel concetto di “minacce fisiche alla sicurezza delle informazioni”?
I tipi di rischi per la sicurezza delle informazioni sono determinati in base alle fonti in cui si sono verificati, al metodo di attuazione dell'intrusione illegale e allo scopo. Le più semplici dal punto di vista tecnico, ma che richiedono comunque un'esecuzione professionale, sono le minacce fisiche. Rappresentano l'accesso non autorizzato a fonti chiuse. Cioè, questo processo è in realtà un furto ordinario. Le informazioni possono essere ottenute personalmente, con le proprie mani, semplicemente invadendo il territorio dell'istituzione, degli uffici, degli archivi per avere accesso a attrezzatura tecnica, documentazione e altri mezzi di informazione.
Il furto potrebbe non riguardare nemmeno i dati in sé, ma il luogo in cui vengono archiviati, ovvero il materiale informatico stesso. Per interrompere le normali attività di un'organizzazione, gli aggressori possono semplicemente causare il malfunzionamento dei supporti di memorizzazione o delle apparecchiature tecniche.
Lo scopo di un'intrusione fisica può anche essere quello di ottenere l'accesso a un sistema da cui dipende la protezione delle informazioni. Un utente malintenzionato può modificare le opzioni di rete responsabili della sicurezza delle informazioni per facilitare ulteriormente l'implementazione di metodi illegali.
Opportunità minaccia fisica membri di vari gruppi con accesso a informazioni classificate, che non è pubblico. Il loro obiettivo è una documentazione preziosa. Queste persone sono chiamate insider.
L'attività degli aggressori esterni può essere diretta allo stesso oggetto.
Come possono gli stessi dipendenti dell’azienda diventare causa di minacce?
I rischi per la sicurezza delle informazioni sorgono spesso a causa dell'uso inappropriato di Internet da parte dei dipendenti e dei dipendenti interni sistema informatico. Gli aggressori sono bravissimi ad approfittare dell’inesperienza, della disattenzione e della mancanza di istruzione di alcune persone riguardo alla sicurezza delle informazioni. Per escludere questa possibilità di furto di dati riservati, la direzione di molte organizzazioni persegue una politica speciale nei confronti del proprio personale. Il suo obiettivo è insegnare alle persone le regole di comportamento e di utilizzo delle reti. Questa è una pratica abbastanza comune, poiché le minacce che si presentano in questo modo sono abbastanza comuni. I programmi per l'acquisizione di competenze in materia di sicurezza delle informazioni per i dipendenti aziendali includono quanto segue:
- superare l'uso inefficace degli strumenti di audit;
- ridurre il grado in cui le persone utilizzano strumenti speciali per l'elaborazione dei dati;
- ridurre l'uso di risorse e beni;
- formazione per accedere agli strumenti di rete solo con modalità consolidate;
- identificare le zone di influenza e designare il territorio di responsabilità.
Quando ogni dipendente capisce che il destino dell'istituzione dipende dallo svolgimento responsabile dei compiti che gli sono stati assegnati, cerca di rispettare tutte le regole. È necessario stabilire compiti specifici per le persone e giustificare i risultati ottenuti.
Come vengono violati i termini di riservatezza?
I rischi e le minacce alla sicurezza delle informazioni sono in gran parte associati all’acquisizione illegale di informazioni che non dovrebbero essere disponibili agli estranei. Il primo e più comune canale di fuga sono tutti i tipi di comunicazione e metodi di comunicazione. In un momento in cui sembrerebbe che la corrispondenza personale sia accessibile solo a due parti, viene intercettata dalle parti interessate. Sebbene le persone ragionevoli comprendano che è necessario trasmettere qualcosa di estremamente importante e segreto in altri modi.
Poiché oggi molte informazioni vengono archiviate su supporti portatili, gli aggressori padroneggiano attivamente l'intercettazione delle informazioni attraverso questo tipo di tecnologia. L'ascolto dei canali di comunicazione è molto popolare, solo ora tutti gli sforzi dei geni tecnici sono volti a rompere le barriere protettive degli smartphone.
Le informazioni riservate possono essere divulgate involontariamente dai dipendenti di un'organizzazione. Non possono rivelare direttamente tutti i “login e le password”, ma solo indurre l’aggressore a farlo nel modo giusto. Ad esempio, le persone, senza saperlo, forniscono informazioni sulla posizione di documentazione importante.
Non sono sempre solo i subordinati ad essere vulnerabili. Gli appaltatori possono anche fornire informazioni riservate durante i partenariati.
In che modo la sicurezza delle informazioni viene violata con mezzi tecnici?
Garantire la sicurezza delle informazioni è in gran parte dovuto all'uso di mezzi tecnici di protezione affidabili. Se il sistema di supporto è efficiente ed efficace, almeno nell'attrezzatura stessa, questo è già metà del successo.
Fondamentalmente la fuga di informazioni è assicurata dal controllo vari segnali. A metodi simili si riferisce alla creazione di sorgenti specializzate di emissioni o segnali radio. Quest'ultimo può essere elettrico, acustico o vibrante.
Molto spesso vengono utilizzati strumenti ottici che consentono di leggere informazioni da display e monitor.
La varietà di dispositivi offre un'ampia gamma di metodi per l'infiltrazione e l'estrazione di informazioni da parte degli aggressori. Oltre ai metodi sopra indicati, esistono anche ricognizioni televisive, fotografiche e visive.
A causa di tali ampie possibilità, un audit sulla sicurezza delle informazioni comprende principalmente il controllo e l'analisi del funzionamento dei mezzi tecnici per proteggere i dati riservati.
Cosa viene considerato accesso non autorizzato alle informazioni aziendali?
La gestione dei rischi legati alla sicurezza delle informazioni è impossibile senza prevenire le minacce di accesso non autorizzato.
Uno dei rappresentanti più importanti questo metodo hackerare il sistema di sicurezza di qualcun altro significa assegnare un ID utente. Questo metodo si chiama “Masquerade”. Accesso non autorizzato in questo caso è necessario applicare i dati di autenticazione. Cioè, l'obiettivo dell'intruso è ottenere una password o qualsiasi altro identificatore.
Gli aggressori possono esercitare un'influenza dall'interno dell'oggetto stesso o dall'esterno. Ricevere informazioni necessarie possono provenire da fonti quali un registro di controllo o strumenti di controllo.
Spesso l'autore del reato cerca di applicare la politica di attuazione e di utilizzare metodi apparentemente del tutto legali.
L'accesso non autorizzato si applica alle seguenti fonti di informazioni:
- sito web e host esterni;
- rete wireless aziendale;
- backup dei dati.
Esistono innumerevoli modi e metodi di accesso non autorizzato. Gli aggressori cercano difetti e lacune nella configurazione e nell'architettura del software. Ottengono dati modificando il software. Per neutralizzare e calmare la vigilanza, i trasgressori lanciano malware e bombe logiche.
Quali sono le minacce legali alla sicurezza delle informazioni di un'azienda?
La gestione del rischio per la sicurezza delle informazioni funziona in varie direzioni, poiché il suo obiettivo principale è garantire una protezione completa e olistica dell'azienda dalle intrusioni esterne.
Non meno importante della direzione tecnica è quella legale. In questo modo, che, al contrario, sembrerebbe, dovrebbe difendere gli interessi, risulta ottenere informazioni molto utili.
Le violazioni dal punto di vista legale possono riguardare i diritti di proprietà, i diritti d'autore e i diritti di brevetto. Anche l'uso illegale del software, inclusa l'importazione e l'esportazione, rientra in questa categoria. È possibile violare i requisiti legali solo non rispettando i termini del contratto o il quadro giuridico nel suo complesso.
Come fissare gli obiettivi di sicurezza delle informazioni?
La garanzia della sicurezza delle informazioni inizia con l’istituzione dell’area di protezione. È necessario definire chiaramente cosa deve essere protetto e da chi. A tale scopo viene definito il ritratto del potenziale criminale e i possibili metodi di hacking e infiltrazione. Per fissare gli obiettivi, devi prima parlare con la direzione. Te lo dirà aree prioritarie protezione.
Da questo momento inizia l'audit sulla sicurezza delle informazioni. Ti consente di determinare in quale rapporto è necessario applicare tecniche tecnologiche e metodi aziendali. Il risultato di questo processo è un elenco finale di attività, che definisce gli obiettivi che l'unità deve affrontare per garantire la protezione contro le intrusioni non autorizzate. La procedura di audit è finalizzata ad individuare i punti critici e punti deboli sistemi che interferiscono con il normale funzionamento e lo sviluppo dell’impresa.
Dopo aver fissato gli obiettivi, viene sviluppato un meccanismo per la loro attuazione. Sono in fase di sviluppo strumenti per monitorare e ridurre al minimo i rischi.
Che ruolo giocano gli asset nell’analisi del rischio?
I rischi per la sicurezza delle informazioni organizzative influiscono direttamente sulle risorse aziendali. Dopotutto, l'obiettivo degli aggressori è ottenere informazioni preziose. La sua perdita o divulgazione porterà sicuramente a perdite. I danni causati da intrusioni non autorizzate possono avere un impatto diretto o solo indiretto. Questo è cattiva condotta in relazione all'organizzazione può portare alla perdita completa del controllo sull'azienda.
L'entità del danno viene valutata in base al patrimonio a disposizione dell'organizzazione. Le risorse oggetto sono tutte le risorse che in qualche modo contribuiscono all'attuazione degli obiettivi di gestione. Per patrimonio di un'impresa si intendono tutti i beni materiali e immateriali che generano e contribuiscono a generare reddito.
Esistono diversi tipi di asset:
- materiale;
- umano;
- informativo;
- finanziario;
- processi;
- marchio e autorità.
Quest’ultimo tipo di risorsa soffre maggiormente di intrusioni non autorizzate. Ciò è dovuto al fatto che qualsiasi rischio reale per la sicurezza delle informazioni incide sull'immagine. I problemi con quest'area riducono automaticamente il rispetto e la fiducia in un'impresa del genere, poiché nessuno la vuole informazioni riservate divenne di pubblico dominio. Ogni organizzazione che si rispetti ha a cuore la tutela dei propri risorse informative.
Vari fattori influenzano quanto e quali asset soffriranno. Si dividono in esterni ed interni. Il loro impatto complesso, di regola, colpisce contemporaneamente diversi gruppi di risorse preziose.
L'intera attività dell'impresa si basa su risorse. Sono presenti in una certa misura nelle attività di qualsiasi istituzione. È solo che per alcune persone alcuni gruppi sono più importanti e altri meno importanti. A seconda del tipo di beni che gli aggressori sono riusciti a influenzare, dipende il risultato, ovvero il danno causato.
La valutazione dei rischi per la sicurezza delle informazioni consente di identificare chiaramente le risorse principali e, se sono state colpite, ciò è irto di perdite irreparabili per l'azienda. La stessa direzione dovrebbe prestare attenzione a questi gruppi di risorse preziose, poiché la loro sicurezza è nell'interesse dei proprietari.
L'area prioritaria per il dipartimento di sicurezza delle informazioni è occupata da risorse ausiliarie. Responsabile della loro protezione persona speciale. I rischi che li riguardano non sono critici e riguardano solo il sistema di gestione.
Quali sono i fattori della sicurezza informatica?
Il calcolo dei rischi per la sicurezza delle informazioni comprende la costruzione di un modello specializzato. Rappresenta i nodi collegati tra loro connessioni funzionali. I nodi sono quelle stesse risorse. Il modello utilizza le seguenti preziose risorse:
- Persone;
- strategia;
- tecnologie;
- processi.
Le costole che li collegano sono i veri fattori di rischio. Per identificare possibili minacce, è meglio contattare direttamente il dipartimento o lo specialista che lavora con queste risorse. Qualsiasi potenziale fattore di rischio può essere un prerequisito per la formazione di un problema. Il modello evidenzia le principali minacce che potrebbero presentarsi.
Per quanto riguarda la squadra, il problema è il basso livello educativo, mancanza di personale, mancanza di motivazione.
I rischi di processo includono la variabilità ambiente esterno, scarsa automazione della produzione, divisione poco chiara delle responsabilità.
Le tecnologie possono soffrire di software obsoleti e mancanza di controllo sugli utenti. La causa potrebbe essere anche il problema dell’eterogeneo panorama dell’informatica.
Il vantaggio di questo modello è che i valori soglia dei rischi per la sicurezza informatica non sono stabiliti chiaramente, poiché il problema viene visto da diverse angolazioni.
Cos’è un audit sulla sicurezza delle informazioni?
Una procedura importante nel campo della sicurezza delle informazioni aziendali è l'audit. Rappresenta un assegno stato attuale sistemi di protezione contro le intrusioni non autorizzate. Il processo di audit determina il grado di conformità ai requisiti stabiliti. La sua attuazione è obbligatoria per alcune tipologie di istituti; per altre ha carattere consultivo. L'esame viene effettuato in relazione alla documentazione dei dipartimenti contabili e fiscali, delle attrezzature tecniche e delle parti finanziarie ed economiche.
È necessario un audit per comprendere il livello di sicurezza e, in caso di non conformità, riportarlo alla normalità. Questa procedura consente anche di valutare la fattibilità degli investimenti finanziari nella sicurezza informatica. Infine, l'esperto fornirà raccomandazioni sul tasso di spesa finanziaria per ottenere la massima efficienza. Un audit consente di modificare i controlli.
La competenza in materia di sicurezza delle informazioni è suddivisa in diverse fasi:
- Stabilire obiettivi e modalità per raggiungerli.
- Analisi delle informazioni necessarie per raggiungere un verdetto.
- Trattamento dei dati raccolti.
- Opinione e raccomandazioni degli esperti.
Alla fine, lo specialista darà la sua decisione. Le raccomandazioni della commissione sono spesso mirate a modificare le configurazioni delle apparecchiature tecniche, nonché dei server. Spesso, a un'azienda in difficoltà viene chiesto di scegliere un metodo di sicurezza diverso. Forse, per un ulteriore rafforzamento, gli esperti prescriveranno una serie di misure protettive.
Il lavoro dopo aver ricevuto i risultati dell'audit ha lo scopo di informare il team sui problemi. Se ciò è necessario, vale la pena condurre una formazione aggiuntiva al fine di aumentare la formazione dei dipendenti in merito alla protezione delle risorse informative aziendali.
