NRU ITMO, *****@***com
Conducator stiintific - Doctor in Stiinte Tehnice, Profesor NRU ITMO, *****@
adnotare
Articolul discută metode de calcul al riscului securitatea informatiei, s-a făcut o comparație indicând deficiențe critice. Este prezentată o propunere de a folosi propria noastră metodă de evaluare a riscurilor.
Cuvinte cheie: risc, sistem informatic, securitatea informatiei, metoda de calcul al riscului, evaluarea riscului, activ informatic.
Introducere
Sistemul de management al riscului de securitate a informațiilor (IS) este o sarcină presantă în toate etapele complexului de securitate a informațiilor. În același timp, este imposibil să gestionezi riscurile fără a le evalua mai întâi, ceea ce, la rândul său, trebuie făcut folosind o anumită metodă. La etapa de evaluare a riscului cel mai mare interes prezinta direct formule si date de intrare pentru calcularea valorii riscului. Articolul analizează mai multe metode diferite calculul riscului și prezintă propria metodologie. Scopul lucrării este de a deriva o formulă pentru calcularea riscului de securitate a informațiilor, care ne permite să obținem o serie de riscuri curente și să estimăm pierderile în termeni monetari.
Riscul de securitate a informațiilor în forma sa clasică este definit ca funcția de trei variabile:
- probabilitatea unei amenințări; probabilitatea de vulnerabilitate (nesiguranță); impact potențial.
Dacă oricare dintre aceste variabile se apropie de zero, riscul total se apropie și de zero.
Metode de evaluare a riscurilor
ISO/IEC 27001 În ceea ce privește metodologia de calcul a valorii riscului, se precizează: metodologia aleasă trebuie să asigure că evaluările riscurilor produc rezultate comparabile și reproductibile. Cu toate acestea, standardul nu oferă o formulă de calcul specifică.
NIST 800-30 oferă o formulă clasică de calcul al riscului:
unde R este valoarea riscului;
P(t) - probabilitatea realizării unei amenințări la securitatea informațiilor (se folosește un amestec de scale calitative și cantitative);
S este gradul de influență a amenințării asupra activului (prețul activului la scară calitativă și cantitativă).
Ca urmare, valoarea riscului este calculată în unități relative, care poate fi ierarhizat în funcție de gradul de importanță pentru procedura de management al riscului de securitate a informațiilor.
GOST R ISO/IEC TO 7. Calcularea riscului, spre deosebire de standardul NIST 800-30, se bazează pe trei factori:
R = P(t) * P(v) * S,
unde R este valoarea riscului;
P(t) - probabilitatea implementării unei amenințări la securitatea informațiilor;
P(v) - probabilitatea de vulnerabilitate;
S este valoarea activului.
Ca exemplu al valorilor de probabilitate P(t) și P(v), este dată o scală calitativă cu trei niveluri: scăzut, mediu și ridicat. Pentru aprecierea valorii activului S se prezintă următoarele: valori numericeîn intervalul de la 0 la 4. Compararea valorilor calitative a acestora ar trebui efectuată de organizația în care sunt evaluate riscurile de securitate a informațiilor.
BS 7799. Nivelul de risc este calculat luând în considerare trei indicatori - valoarea resursei, nivelul de amenințare și gradul de vulnerabilitate. Pe măsură ce valorile acestor trei parametri cresc, riscul crește, astfel încât formula poate fi prezentată după cum urmează:
R = S * L(t) * L(v),
unde R este valoarea riscului;
S este valoarea activului/resursei;
L(t) - nivelul de amenințare;
L(v) - nivelul/gradul de vulnerabilitate.
În practică, calculul riscurilor de securitate a informațiilor are loc în funcție de un tabel cu valorile de poziționare ale nivelului de amenințare, gradul de probabilitate de exploatare a vulnerabilității și valoarea activului. Valoarea riscului poate varia de la 0 la 8, rezultând o listă de amenințări cu valori de risc diferite pentru fiecare activ. Standardul oferă, de asemenea, o scală de clasificare a riscurilor: scăzut (0-2), mediu (3-5) și ridicat (6-8), care vă permite să determinați cele mai critice riscuri.
STO BR IBBS. Conform standardului, evaluarea gradului de posibilitate de realizare a unei amenințări la securitatea informațiilor se realizează la scară calitativ-cantitativă, o amenințare nerealizată este 0%, o amenințare medie este de la 21% la 50% etc. severitatea consecințelor pentru diferite tipuri de active informaționale se propune, de asemenea, să fie evaluată pe scară calitativ-cantitativă, adică minim - 0,5% din capitalul băncii, mare - de la 1,5% până la 3% din capitalul băncii.
Pentru a efectua o evaluare calitativă a riscurilor de securitate a informațiilor, se utilizează un tabel de corespondență între severitatea consecințelor și probabilitatea realizării amenințării. Dacă este necesar să se facă o evaluare cantitativă, formula poate fi prezentată astfel:
unde R este valoarea riscului;
P(v) - probabilitatea implementării unei amenințări la securitatea informațiilor;
S este valoarea activului (gravitatea consecințelor).
Metoda sugerată
Având în vedere toate metodele de evaluare a riscurilor de mai sus în ceea ce privește calcularea valorii riscului de securitate a informațiilor, este de remarcat faptul că calculul riscului se face folosind valoarea amenințărilor și valoarea activului. Un dezavantaj semnificativ este evaluarea valorii activelor (valoarea prejudiciului) sub forma unor valori condiționate. Valorile convenționale nu au unități de măsură aplicabile în practică, în special, nu sunt un echivalent monetar. În consecință, acest lucru nu oferă o idee reală a nivelului de risc care poate fi transferat la activele reale ale obiectului protejat.
Astfel, se propune împărțirea procedurii de calcul al riscului în două etape:
1. Calculul valorii riscului tehnic.
2. Calculul potenţialului daune.
Riscul tehnic este înțeles ca valoarea riscului de securitate a informațiilor constând în probabilitatea realizării amenințărilor și a vulnerabilităților fiecărei componente a infrastructurii informaționale exploatate, ținând cont de nivelul de confidențialitate, integritate și disponibilitate a acestora. Pentru prima etapă avem următoarele 3 formule:
Rc = Kc * P(T) * P(V), Ri = Ki * P(T) * P(V),
Ra = Ka * P(T) * P(V),
unde Rс este valoarea riscului de confidențialitate;
Ri - valoarea riscului de integritate;
Ra - valoarea riscului de disponibilitate;
Kс - coeficientul de confidențialitate al unui activ informațional;
Ki este coeficientul de integritate al activului informațional;
Ka este coeficientul de disponibilitate al unui activ informațional;
P(T) - probabilitatea implementării amenințării;
P(V) - probabilitatea exploatării vulnerabilității.
Utilizarea acestui algoritm va face posibilă realizarea unei evaluări mai detaliate a riscului, obținând la ieșire o valoare adimensională a probabilității riscului de compromitere a fiecărui activ informațional separat.
Ulterior, este posibil să se calculeze valoarea daunei pentru aceasta, se utilizează valoarea medie de risc a fiecărui activ de informare și valoarea pierderilor potențiale:
unde L este valoarea daunei;
Rav - valoarea medie de risc;
S - pierderi (în termeni monetari).
Metodologia propusă vă permite să evaluați corect valoarea riscului de securitate a informațiilor și să calculați pierderile bănești în cazul unor incidente de securitate.
Literatură
1. ISO/IEC 27001. Standardul internațional conține cerințe în domeniul securității informațiilor pentru stabilirea, dezvoltarea și întreținerea unui sistem de management al securității informațiilor. 20 de ani.
2. GOST R ISO/IEC TO 7. Standard național Federația Rusă. Metode și mijloace de asigurare a securității. Partea 3. Metode de management al securității în tehnologia informației. Moscova. 20 de ani.
3. BS 7799-2:2005 Specificația sistemului de management al securității informațiilor. Anglia. 20 de ani.
4. RS BR IBBS-2.2-200. Asigurarea securității informațiilor organizațiilor din sistemul bancar al Federației Ruse. Metodologie de evaluare a riscurilor de încălcare a securității informațiilor. Moscova. 20 de ani.
5. Ghid de management al riscului pentru informații Sisteme Tehnologice. Recomandările Institutului Național de Standarde și Tehnologie. STATELE UNITE ALE AMERICII. 20 de ani.
6. Sursa electronica Wikipedia, articolul „Risc”.
Întrebări aplicație practică analiza riscurilor în procesele de management al securității informațiilor, precum și aspectele generale ale procesului de analiză a riscurilor de securitate a informațiilor în sine.
În procesul de gestionare a oricărui domeniu de activitate, este necesar să se dezvolte decizii conștiente și eficiente, a căror adoptare ajută la atingerea anumitor obiective. În opinia noastră, o decizie adecvată poate fi luată numai pe baza faptelor și a analizei relațiilor cauză-efect. Desigur, într-o serie de cazuri, deciziile sunt luate la nivel intuitiv, dar calitatea unei decizii intuitive depinde foarte mult de experiența managerului și, într-o măsură mai mică, de o combinație reușită a circumstanțelor.
Pentru a ilustra cât de complex este procesul de luare a unei decizii bine întemeiate și realiste, vom da un exemplu din domeniul managementului securității informațiilor (IS). Să luăm o situație tipică: șeful departamentului de securitate a informațiilor trebuie să înțeleagă în ce direcții să se deplaseze pentru a-și dezvolta eficient funcția principală - asigurarea securității informaționale a organizației. Pe de o parte, totul este foarte simplu. Există o serie de abordări standard pentru rezolvarea problemelor de securitate: protecția perimetrelor, protecția față de persoane din interior, protecția împotriva circumstanțelor de forță majoră. Și există multe produse care vă permit să rezolvați cutare sau cutare problemă (protejați-vă de cutare sau cutare amenințare).
Cu toate acestea, există un mic „dar”. Specialiștii în securitatea informațiilor se confruntă cu faptul că alegerea produselor diverse clase este foarte largă, infrastructura informațională a organizației este la scară foarte mare, numărul de ținte potențiale ale atacurilor de către intruși este mare, iar activitățile departamentelor organizației sunt eterogene și nu pot fi unificate. Totodată, fiecare specialist de departament are propria părere despre prioritatea domeniilor de activitate, corespunzătoare specializării și priorităților personale. Și introducerea unuia solutie tehnica sau elaborarea unei reglementări sau instrucțiuni într-o organizație mare are ca rezultat un proiect mic cu toate atributele activității proiectului: planificare, buget, persoane responsabile, termene etc.
Astfel, să te protejezi peste tot și de orice, în primul rând, nu este posibil din punct de vedere fizic și, în al doilea rând, nu are sens. Ce poate face șeful departamentului de securitate a informațiilor în acest caz?
În primul rând, s-ar putea să nu facă nimic până la primul incident major. În al doilea rând, încercați să implementați un standard de securitate a informațiilor general acceptat. În al treilea rând, aveți încredere în materialele de marketing ale producătorilor de software și hardware și integratorilor sau consultanților în domeniul securității informațiilor. Cu toate acestea, există o altă cale.
Definirea obiectivelor managementului securității informațiilor
Puteți încerca - cu ajutorul conducerii și al angajaților organizației - să înțelegeți ce trebuie protejat de fapt și de cine. Din acest moment, la intersecția tehnologiei și business-ului principal încep activități specifice, care constă în determinarea direcției de activitate și (dacă este posibil) a stării țintă a suportului pentru securitatea informațiilor, care va fi formulată concomitent în termeni de afaceri și în ceea ce privește securitatea informatiei.
Procesul de analiză a riscurilor este un instrument cu ajutorul căruia puteți determina obiectivele managementului securității informațiilor, puteți evalua principalii factori critici care afectează negativ procesele cheie de afaceri ale companiei și puteți dezvolta conștient, eficient și decizii informate pentru a le controla sau minimiza.
Mai jos vom descrie ce sarcini sunt rezolvate ca parte a analizei riscului de securitate a informațiilor pentru a obține rezultatele enumerate și modul în care aceste rezultate sunt obținute ca parte a analizei de risc.
Identificarea și evaluarea activelor
Scopul managementului securității informațiilor este de a menține confidențialitatea, integritatea și disponibilitatea informațiilor. Singura întrebare este ce fel de informații trebuie protejate și ce eforturi ar trebui depuse pentru a asigura siguranța acestora (Fig. 1).
Orice management se bazează pe conștientizarea situației în care apare. În ceea ce privește analiza riscului, conștientizarea situației se exprimă în inventarierea și evaluarea activelor organizației și a mediului acestora, adică tot ceea ce asigură desfășurarea activităților de afaceri. Din punct de vedere al analizei riscului de securitate a informatiei, principalele active includ informatiile, infrastructura, personalul, imaginea si reputatia companiei. Fără un inventar al activelor la nivelul activității afacerii, este imposibil să se răspundă la întrebarea ce anume trebuie protejat. Este important să înțelegeți ce informații sunt procesate în cadrul unei organizații și unde sunt procesate.
Într-o organizație modernă mare, numărul de active informaționale poate fi foarte mare. Dacă activitățile unei organizații sunt automatizate folosind un sistem ERP, atunci putem spune că aproape orice obiect material folosit în această activitate corespunde unor obiect informativ. Prin urmare, sarcina principală a managementului riscului este identificarea celor mai semnificative active.
Este imposibil de rezolvat această problemă fără implicarea managerilor activității principale a organizației, atât la nivel mediu, cât și la nivel superior. Situația optimă este atunci când conducerea de vârf a organizației stabilește personal cele mai critice domenii de activitate, pentru care este extrem de important să se asigure securitatea informației. Opinia conducerii superioare cu privire la prioritățile în asigurarea securității informațiilor este foarte importantă și valoroasă în procesul de analiză a riscurilor, dar în orice caz ar trebui clarificată prin colectarea de informații despre criticitatea activelor la nivelul mediu de management al companiei. În același timp, este indicat să se efectueze analize ulterioare tocmai în domeniile de activitate ale afacerii desemnate de managementul de vârf. Informațiile primite sunt procesate, agregate și transmise conducerii superioare pentru o evaluare cuprinzătoare a situației (dar despre asta mai târziu).
Informațiile pot fi identificate și localizate pe baza unei descrieri a proceselor de afaceri în care informațiile sunt considerate ca unul dintre tipurile de resurse. Sarcina este oarecum simplificată dacă organizația a adoptat o abordare a reglementării activităților de afaceri (de exemplu, în scopul managementului calității și al optimizării proceselor de afaceri). Descrierile formalizate ale proceselor de afaceri oferă un bun punct de plecare pentru inventarul de active. Dacă nu există descrieri, puteți identifica activele pe baza informațiilor obținute de la angajații organizației. Odată ce activele au fost identificate, valoarea acestora trebuie determinată.
Munca de determinare a valorii activelor informaționale în întreaga organizație este atât cea mai semnificativă, cât și cea mai complexă. Evaluarea activelor informaționale este cea care va permite șefului departamentului de securitate a informațiilor să aleagă principalele domenii de activitate pentru asigurarea securității informațiilor.
Valoarea unui activ este exprimată prin valoarea pierderilor pe care o organizație le va suferi în cazul unei breșe de securitate a activului. Determinarea valorii este problematică deoarece, în majoritatea cazurilor, managerii organizaționali nu pot răspunde imediat la întrebarea ce s-ar întâmpla dacă, de exemplu, informațiile despre prețul de achiziție stocate pe server de fișiere, va merge la un concurent. Sau mai degrabă, în cele mai multe cazuri, managerii organizaționali nu s-au gândit niciodată la astfel de situații.
Dar eficiența economică a procesului de management al securității informațiilor depinde în mare măsură de conștientizarea a ceea ce trebuie protejat și de ce eforturi va necesita acest lucru, deoarece în majoritatea cazurilor volumul de efort aplicat este direct proporțional cu suma de bani cheltuită și cu cheltuielile de funcționare. Managementul riscurilor vă permite să răspundeți la întrebarea unde vă puteți asuma riscuri și unde nu. În cazul securității informațiilor, termenul „risc” înseamnă că într-o anumită zonă este posibil să nu se depună eforturi semnificative pentru a proteja activele informaționale și, în același timp, în cazul unei breșe de securitate, organizația nu va suferi pierderi semnificative. Aici putem face o analogie cu clasele de protecție ale sistemelor automate: cu cât riscurile sunt mai semnificative, cu atât cerințele de protecție ar trebui să fie mai stricte.
Pentru a determina consecințele unei încălcări de securitate, trebuie fie să aveți informații despre incidente înregistrate de natură similară, fie să efectuați o analiză de scenariu. Analiza scenariului examinează relațiile cauză-efect dintre evenimentele de securitate a activelor și consecințele acestor evenimente asupra activităților de afaceri ale organizației. Consecințele scenariilor ar trebui să fie evaluate de mai multe persoane, iterativ sau deliberativ. Trebuie remarcat faptul că dezvoltarea și evaluarea unor astfel de scenarii nu pot fi complet divorțate de realitate. Trebuie să vă amintiți întotdeauna că scenariul trebuie să fie probabil. Criteriile și scalele de determinare a valorii sunt individuale pentru fiecare organizație. Pe baza rezultatelor analizei scenariilor se pot obține informații despre valoarea activelor.
Dacă activele sunt identificate și se determină valoarea acestora, putem spune că obiectivele asigurării securității informațiilor sunt parțial stabilite: sunt determinate obiectele de protecție și importanța menținerii acestora într-o stare de securitate a informațiilor pentru organizație. Poate că tot ce rămâne este să se determine de cine trebuie să fie protejat.
Analiza surselor problemelor
După ce ați determinat obiectivele managementului securității informațiilor, ar trebui să analizați problemele care vă împiedică să vă apropiați de starea țintă. La acest nivel, procesul de analiză a riscurilor coboară către infrastructura informațională și conceptele tradiționale de securitate a informațiilor - intruși, amenințări și vulnerabilități (Fig. 2).
Modelul intrusului
Pentru a evalua riscurile, nu este suficient să se introducă un model standard de încălcare care să împartă toți infractorii în funcție de tipul de acces la activ și cunoașterea structurii activelor. Această diviziune ajută la determinarea amenințărilor care pot fi direcționate asupra unui activ, dar nu răspunde la întrebarea dacă aceste amenințări pot fi, în principiu, realizate.
În procesul de analiză a riscurilor, este necesar să se evalueze motivația contravenienților în implementarea amenințărilor. În acest caz, contravenientul nu înseamnă un hacker extern abstract sau din interior, ci o parte interesată să obțină beneficii prin încălcarea securității unui bun.
Este indicat să se obțină informații inițiale despre modelul infractorului, ca și în cazul alegerii direcțiilor inițiale ale activităților de securitate a informațiilor, de la conducerea de vârf, care înțelege poziția organizației pe piață, are informații despre concurenți și ce metode de influență pot fi. asteptat de la ei. Informațiile necesare dezvoltării unui model de intrus pot fi obținute și din cercetările de specialitate privind încălcările securității informatice din zona de afaceri pentru care se efectuează analiza de risc. Un model de intrus dezvoltat corespunzător completează obiectivele de securitate a informațiilor determinate la evaluarea activelor organizației.
Model de amenințare
Dezvoltarea unui model de amenințare și identificarea vulnerabilităților sunt indisolubil legate de un inventar al mediului în care se află activele informaționale ale organizației. Informațiile în sine nu sunt stocate sau procesate. Accesul la acesta este asigurat folosind o infrastructură informațională care automatizează procesele de afaceri ale organizației. Este important să înțelegeți modul în care infrastructura informațională și activele informaționale ale unei organizații sunt legate între ele. Din perspectiva managementului securității informațiilor, importanța infrastructurii informaționale poate fi stabilită numai după determinarea relației dintre activele informaționale și infrastructură. Dacă procesele de întreținere și operare a infrastructurii informaționale dintr-o organizație sunt reglementate și transparente, colectarea informațiilor necesare identificării amenințărilor și evaluării vulnerabilităților este mult simplificată.
Dezvoltarea unui model de amenințare este o sarcină pentru profesioniștii în securitatea informațiilor care au o bună înțelegere a modului în care un atacator poate obține acces neautorizat la informații prin încălcarea perimetrului de securitate sau folosind metode Inginerie sociala. Atunci când dezvoltați un model de amenințare, puteți vorbi și despre scenarii ca pași secvențiali în funcție de care amenințările pot fi realizate. Foarte rar se întâmplă ca amenințările să fie implementate într-un singur pas prin exploatarea unui singur punct vulnerabil din sistem.
Modelul de amenințare ar trebui să includă toate amenințările identificate prin procesele aferente de gestionare a securității informațiilor, cum ar fi gestionarea vulnerabilităților și a incidentelor. Trebuie amintit că amenințările vor trebui clasificate unele față de altele în funcție de nivelul de probabilitate a implementării lor. Pentru a face acest lucru, în procesul de dezvoltare a unui model de amenințare pentru fiecare amenințare, este necesar să se indice cei mai semnificativi factori, a căror existență influențează implementarea acestuia.
Identificarea vulnerabilităților
În consecință, după dezvoltarea unui model de amenințare, este necesar să se identifice vulnerabilitățile din mediul activelor. Identificarea și evaluarea vulnerabilităților poate fi efectuată ca parte a unui alt proces de management al securității informațiilor - auditul. Aici nu trebuie să uităm că pentru a efectua un audit de securitate a informațiilor este necesară elaborarea unor criterii de verificare. Și criteriile de verificare pot fi dezvoltate pe baza modelului de amenințare și a modelului de intrus.
Pe baza rezultatelor dezvoltării unui model de amenințare, a unui model de intrus și a identificării vulnerabilităților, putem spune că au fost identificate motivele care influențează atingerea stării țintă a securității informaționale a organizației.
Evaluare a riscurilor
Identificați și evaluați activele, dezvoltați un model adversar și un model de amenințare și identificați vulnerabilități - toți aceștia sunt pași standard care ar trebui descriși în orice metodologie de analiză a riscurilor. Toți pașii de mai sus pot fi efectuati cu diferite niveluri de calitate și detaliu. Este foarte important să înțelegeți cu ce și cum se poate face o sumă imensă informaţii acumulate şi modele formalizate. În opinia noastră, această întrebare este cea mai importantă, iar răspunsul la aceasta ar trebui dat de metodologia de analiză a riscurilor utilizată.
Rezultatele obținute trebuie evaluate, agregate, clasificate și afișate. Deoarece daunele sunt determinate în etapa de identificare și evaluare a activelor, este necesar să se estimeze probabilitatea evenimentelor de risc. Ca și în cazul evaluării activelor, o evaluare a probabilității poate fi obținută pe baza statisticilor privind incidentele, ale căror cauze coincid cu amenințările la securitatea informațiilor luate în considerare, sau printr-o metodă de prognoză - bazată pe factori de ponderare corespunzători modelului de amenințare dezvoltat.
O bună practică pentru evaluarea probabilității ar fi clasificarea vulnerabilităților în funcție de un set selectat de factori care caracterizează ușurința de exploatare a vulnerabilităților. Prognoza probabilității amenințărilor se realizează pe baza proprietăților vulnerabilității și a grupurilor de infractori de la care provin amenințările.
Un exemplu de sistem de clasificare a vulnerabilităților este standardul CVSS - sistem comun de punctare a vulnerabilităților. De menționat că în procesul de identificare și evaluare a vulnerabilităților sunt foarte importante experiența de specialitate a specialiștilor în securitatea informațiilor care efectuează evaluări de risc și materialele și rapoartele statistice utilizate privind vulnerabilitățile și amenințările din domeniul securității informațiilor.
Amploarea (nivelul) riscului ar trebui determinată pentru toate seturile de amenințări identificate și corespunzătoare. Mai mult, valoarea pagubei și probabilitatea nu trebuie să fie exprimate în termeni monetari absoluti și procente; Mai mult decât atât, de regulă, nu este posibilă prezentarea rezultatelor în această formă. Motivul pentru aceasta este metodele utilizate pentru analiza și evaluarea riscurilor de securitate a informațiilor: analiza scenariilor și prognoza.
Luarea deciziilor
Ce poți face cu rezultatul evaluării?
În primul rând, ar trebui să elaborați un raport simplu și vizual de analiză a riscurilor, al cărui scop principal va fi prezentarea informațiilor colectate despre semnificația și structura riscurilor de securitate a informațiilor în organizație. Raportul trebuie prezentat conducerii superioare a organizației. O greșeală comună este de a prezenta rezultate intermediare conducerii superioare în loc de concluzii. Fără îndoială, toate concluziile trebuie susținute de argumente - toate calculele intermediare trebuie atașate raportului.
Pentru claritatea raportului, riscurile trebuie clasificate în termeni de afaceri familiari organizației, iar riscurile similare trebuie agregate. În general, clasificarea riscurilor poate avea mai multe fațete. Pe de o parte, despre care vorbim despre riscurile de securitate a informațiilor, pe de altă parte, despre riscurile de deteriorare a reputației sau de pierdere a unui client. Riscurile clasificate trebuie clasificate în funcție de probabilitatea apariției lor și de semnificația lor pentru organizație.
Raportul de analiză a riscurilor reflectă următoarele informații:
- cele mai problematice domenii ale securității informațiilor dintr-o organizație;
- impactul amenințărilor la securitatea informațiilor asupra structura generala riscurile organizației;
- domenii prioritare de activitate ale departamentului de securitate a informațiilor pentru îmbunătățirea eficienței suportului de securitate a informațiilor.
Pe baza raportului de analiză a riscurilor, șeful departamentului de securitate a informațiilor poate elabora un plan de lucru al departamentului pe termen mediu și poate stabili un buget în funcție de natura activităților necesare reducerii riscurilor. Rețineți că un raport de analiză de risc compilat corect permite șefului departamentului de securitate a informațiilor să găsească limbaj reciproc cu conducerea de vârf a organizației și decide probleme reale legate de managementul securității informațiilor (Fig. 3).
Politica de tratare a riscurilor
O problemă foarte importantă este politica de management al riscului a organizației. Politica stabilește regulile pentru tratarea riscurilor. De exemplu, politica poate spune că riscurile de reputație ar trebui mai întâi atenuate, în timp ce atenuarea riscurilor de importanță medie care nu sunt confirmate de incidente de securitate a informațiilor este amânată până la sfârșitul cozii. Politicile de management al riscului pot fi stabilite de unitatea corporativă de management al riscului.
O politică de tratare a riscurilor poate explica problemele de asigurare a riscurilor și de restructurare a activităților în cazul în care riscurile potențiale depășesc un nivel acceptabil. Dacă politica nu este definită, atunci secvența de reducere a riscului ar trebui să se bazeze pe principiul eficienței maxime, dar ar trebui să fie totuși determinată de conducerea superioară.
Să rezumam
Analiza riscurilor este o procedură destul de intensivă în muncă. Ar trebui să se aplice procesul de analiză a riscurilor materiale didacticeși unelte. Totuși, acest lucru nu este suficient pentru a implementa cu succes un proces repetabil; O altă componentă importantă este reglementările de management al riscului. Poate fi autosuficient și să abordeze doar riscurile de securitate a informațiilor sau poate fi integrat cu procesul general de management al riscurilor din organizație.
Procesul de analiză a riscurilor implică multe divizii structurale ale organizației: divizii care conduc direcțiile principale ale activităților acesteia, divizia de management al infrastructurii informaționale și divizia de management al securității informațiilor. În plus, pentru a realiza cu succes o analiză de risc și a utiliza eficient rezultatele acesteia, este necesară implicarea conducerii de vârf a organizației, asigurând astfel interacțiunea între diviziile structurale.
Tehnicile de analiză a riscurilor sau instrumentele specializate pentru evaluarea riscurilor de securitate a informațiilor nu sunt suficiente. Sunt necesare proceduri pentru identificarea activelor, determinarea importanței acestora, dezvoltarea modelelor de intruși și amenințări, identificarea vulnerabilităților și agregarea și clasificarea riscurilor. În diferite organizații, toate procedurile enumerate pot varia semnificativ. Obiectivele și sfera analizei riscului de securitate a informațiilor influențează, de asemenea, cerințele pentru procesele asociate cu analiza riscului.
Utilizarea metodei de analiză a riscurilor pentru managementul securității informațiilor necesită ca organizația să aibă un nivel suficient de maturitate la care să fie posibilă implementarea tuturor proceselor necesare în cadrul analizei riscurilor.
Managementul riscurilor vă permite să structurați activitățile departamentului de securitate a informațiilor, să găsiți un limbaj comun cu conducerea de vârf a organizației, să evaluați eficacitatea departamentului de securitate a informațiilor și să justificați deciziile cu privire la alegerea specificului tehnic și măsuri organizatorice protecția conducerii de vârf.
Procesul de analiză a riscurilor este continuu, deoarece obiectivele de nivel superior ale securității informațiilor pot rămâne neschimbate pentru o lungă perioadă de timp, dar infrastructura informațională, metodele de procesare a informațiilor și riscurile asociate utilizării IT sunt în continuă schimbare.
Departamentul de securitate a informațiilor și organizația în ansamblu, atunci când își structurează activitățile prin analiza continuă a riscurilor, beneficiază de următoarele beneficii foarte semnificative:
- identificarea obiectivelor managementului;
- determinarea metodelor de management;
- eficienta managementului bazata pe luarea unor decizii informate si la timp.
Mai sunt câteva puncte de remarcat în legătură cu managementul riscurilor și managementul securității informațiilor.
Analiza riscurilor, managementul incidentelor și auditul securității informațiilor sunt indisolubil legate între ele, deoarece intrările și ieșirile proceselor enumerate sunt conectate. Dezvoltarea și punerea în aplicare a procesului de management al riscurilor trebuie să fie realizate cu ochiul către gestionarea incidentelor și auditurile SI.
Procesul de analiză a riscului stabilit este cerinta obligatorie standard STO-BR IBBS-1.0-2006 pentru asigurarea securității informațiilor în sectorul bancar.
Înființarea unui proces de analiză a riscurilor este necesară pentru o organizație dacă a decis să se supună certificării pentru conformitatea cu cerințele standardului internațional ISO/IEC 27001:2005.
Stabilirea unui regim de protecție a secretelor comerciale și a datelor cu caracter personal este indisolubil legată de analiza riscului, deoarece toate aceste procese folosesc metode similare pentru identificarea și evaluarea activelor, dezvoltarea unui model de intruși și a unui model de amenințare.
Valoarea informațiilor este determinată de complexitatea pregătirii (colectării), costul suportului (întreținerea), cantitatea posibilelor daune în cazul pierderii sau distrugerii acesteia, costul pe care alte persoane (concurenți, atacatori) îl suportă. dispus să plătească pentru aceasta, precum și cuantumul posibilelor consecințe și amenzi, în cazul pierderii (scurgerii). Fără evaluarea informațiilor, este imposibil să se evalueze în mod adecvat fezabilitatea cheltuirii banilor și resurselor pentru protecția acestora. Valoarea informațiilor trebuie luată în considerare la alegerea măsurilor de protecție.
Evaluarea activelor poate fi efectuată folosind atât metode cantitative, cât și calitative. Costul real al unui activ este determinat pe baza costului achiziției, dezvoltării și susținerii acestuia. Valoarea unui activ este determinată de semnificația pe care o are pentru proprietari, utilizatori autorizați și utilizatori neautorizați. Unele informații sunt importante pentru companie și sunt clasificate drept confidențiale.
De exemplu, costul unui server este de 4.000 USD, dar aceasta nu este valoarea lui luată în considerare la evaluarea riscurilor. Valoarea este determinată de costul înlocuirii sau reparării acestuia, pierderile datorate productivității reduse și daunele cauzate de deteriorarea sau pierderea datelor stocate pe acesta. Acesta este ceea ce va determina daunele aduse companiei în cazul deteriorării sau pierderii serverului dintr-un motiv sau altul.
La determinarea valorii activelor trebuie luate în considerare următoarele aspecte:
- Costurile de obținere sau dezvoltare a unui activ
- Costurile de întreținere și protejare a activului
- Valoarea activului pentru proprietari și utilizatori
- Valoarea activului pentru atacatori (concurenți)
- Valoarea proprietății intelectuale utilizată în dezvoltarea activului
- Prețul pe care ceilalți sunt dispuși să-l plătească pentru activ
- Costul înlocuirii unui activ atunci când este pierdut
- Sala de operatie si activitate de productie, care depinde de disponibilitatea activului
- Responsabilitate în cazul compromiterii activelor
- Beneficiile și rolul activului în companie
Determinarea valorii activelor este utilă unei companii din mai multe motive, inclusiv următoarele:
- Pentru a efectua o analiză cost/beneficiu
- Pentru a selecta contramăsuri specifice și echipamente de protecție
- Pentru determinare nivelul cerut acoperire de asigurare
- Pentru a înțelege exact ce riscă compania
- Pentru a respecta cerințele legale, de reglementare și de îngrijire cuvenită
După cum sa menționat mai devreme, riscul este probabilitatea ca o amenințare să exploateze o vulnerabilitate, având ca rezultat un impact negativ asupra afacerii. Există multe tipuri de surse de amenințări care pot exploata diferite tipuri de vulnerabilități, care pot duce la anumite amenințări. Câteva exemple de riscuri sunt prezentate în Tabelul 1-2.
Tabelul 1-2 Relația dintre amenințări și vulnerabilități
Există și alte tipuri de amenințări, mult mai greu de identificat, care pot apărea mediu informatic. Aceste amenințări sunt legate de erori ale aplicației și erori ale utilizatorului. Cu toate acestea, cu o organizare adecvată a controlului și auditului acțiunilor utilizatorului, erorile acestora (intenționate sau accidentale) sunt mult mai ușor de identificat.
Odată ce vulnerabilitățile și amenințările asociate au fost identificate, trebuie analizate consecințele exploatării lor, adică. riscuri de deteriorare potențială. Daunele pot fi asociate cu deteriorarea datelor sau sistemelor (obiectelor), dezvăluirea neautorizată de informații confidențiale, scăderea productivității etc. Atunci când efectuează o analiză de risc, echipa ar trebui să ia în considerare și probabilitatea daune amânate(pierdere întârziată), care poate apărea după un anumit timp (de la 15 minute la câțiva ani) după realizarea riscului. Prejudiciul întârziat poate fi cauzat, de exemplu, de o scădere a productivității muncii într-o anumită perioadă de timp, o scădere a veniturilor companiei, deteriorarea reputației acesteia, amenzi cumulate, Cheltuieli suplimentare pentru refacerea mediului, suspendarea acceptării de fonduri de la clienți etc.
De exemplu, dacă, ca urmare a unui atac asupra serverelor web ale unei companii, acestea au încetat să deservească clienții, daunele imediate ar putea fi corupția datelor, costul timpului de lucru pentru refacerea serverelor, actualizarea vulnerabilităților. software pe ei. În plus, compania va pierde unele venituri ca urmare a incapacității sale de a servi clienții în timpul necesar pentru a restabili funcționarea serverelor sale web. Dacă lucrările de restaurare durează o perioadă semnificativă de timp (de exemplu, o săptămână), compania poate pierde atât de mult profit încât nu va mai putea plăti facturile și alte cheltuieli. Aceasta va fi daune amânate. Și dacă, printre altele, compania pierde și încrederea clienților, s-ar putea să își piardă complet afacerea (pentru o perioadă sau pentru totdeauna). Acesta este un caz extrem de daune întârziate.
Aceste tipuri de întrebări fac mult mai dificilă cuantificarea daunelor, dar trebuie luate în considerare pentru a obține o estimare fiabilă.
Metode de evaluare a riscurilor. Pentru evaluarea riscurilor sunt utilizate multe tehnici diferite. Să ne uităm la unele dintre ele.
NIST SP 800-30 Și 800-66 sunt metodologii care pot fi utilizate de companiile comerciale, deși 800-66 a fost dezvoltat inițial pentru asistența medicală și alte industrii reglementate. Abordarea NIST ia în considerare amenințările IT și riscurile asociate de securitate a informațiilor. Acesta oferă următorii pași:
- Descrierea caracteristicilor sistemului
- Identificarea amenințărilor
- Identificarea vulnerabilităților
- Analiza masurilor de protectie
- Definiţia probability
- Analiza impactului
- Definiţia risk
- Recomandări de măsuri de protecție
- Documentarea rezultatelor
Metodologia de evaluare a riscurilor NIST SP 800-30 este adesea folosită de consultanți, profesioniști în securitate și departamente IT interne. Se concentrează în principal pe sisteme informatice. Indivizi sau grupuri mici colectează date din rețea, din practicile de securitate și de la oameni care lucrează în cadrul companiei. Datele colectate sunt utilizate ca intrare pentru a efectua pașii de analiză a riscului descriși în Documentul 800-30.
O altă metodologie de evaluare a riscurilor este FRAP (Proces de analiză a riscurilor facilitate - proces de analiză a riscurilor de grup). Este conceput pentru a oferi evaluări de înaltă calitate a riscurilor într-o manieră care să permită efectuarea auditurilor într-o varietate de aspecte și folosind o varietate de metodologii. Acesta oferă modalități prin care o companie poate lua decizii cu privire la cursuri de acțiune și acțiuni specifice în circumstanțe specifice, pentru a ține cont de diverse aspecte. Acest lucru face posibilă, prin preselecție, identificarea acelor zone din companie care au cu adevărat nevoie de analiză de risc. FRAP este structurat în așa fel încât oricine are abilități bune de organizare lucru de grup va putea efectua cu succes o analiză de risc folosind această metodologie.
Un alt tip de metodologie este OCTAVĂ (Evaluarea amenințărilor critice operaționale, a activelor și a vulnerabilităților - Evaluarea amenințărilor, activelor și vulnerabilităților critice). Aceasta este o metodologie care ar trebui utilizată în situațiile în care întregul proces de analiză a riscului de securitate a informațiilor se desfășoară în cadrul companiei (fără implicarea consultanților externi). Se bazează pe ideea că angajații companiei înțeleg cel mai bine de ce are nevoie compania cu adevărat și cu ce riscuri se confruntă. Angajații selectați pentru a participa la procesul de evaluare decid singuri care abordare este cea mai bună pentru evaluarea securității companiei lor.
În timp ce metodologiile NIST și OCTAVE se concentrează pe amenințările IT și riscurile de securitate a informațiilor, AS/NZS 4360 adoptă o abordare mult mai largă a managementului riscului. Această metodologie poate fi folosită pentru a înțelege riscurile unei companii în domeniile finanțelor, protejării oamenilor, luării deciziilor de afaceri etc. Nu a fost dezvoltat special pentru analiza riscului de securitate, deși poate fi folosit cu succes în acest scop.
NOTĂ. puteți găsi Informații suplimentare despre aceste abordări ale analizei riscurilor și utilizarea lor, consultați articolul lui Sean Harris la http://searchsecurity.techtarget.com/generic/0,295582,sid14_gci1191926,00.html.CRAMM (CCTA Risk Analysis and Management Method - Method of analysis and risk management of the Central Agency for Computers and Telecommunications (CCTA) of Great Britain) este împărțit în trei segmente: identificarea și evaluarea activelor, analiza amenințărilor și vulnerabilităților, selectarea contramăsurilor . Această tehnică ia în considerare cum aspecte tehnice companii, ambele netehnice.
Analiza Spanning Tree Spanning Tree Analysis este o metodologie care creează un arbore cu toate amenințările potențiale și punctele slabe care ar putea perturba funcționarea unui sistem. Fiecare ramură este un subiect sau o categorie generalizată, iar ramurile care nu sunt aplicabile pot fi eliminate în timpul procesului de analiză a riscului.
FMEA (Moduri de defecțiune și analiză a efectului) este o metodă de definire a funcțiilor, de identificare a defectelor funcționale, de evaluare a cauzelor defectului și a consecințelor acestuia printr-un proces structurat. Aplicarea acestui proces la defectele persistente vă permite să determinați unde este cel mai probabil să apară eroarea. Acest lucru ajută foarte mult la identificarea vulnerabilităților, la determinarea cu precizie a limitelor vulnerabilităților și a consecințelor exploatării acestora. La rândul său, acest lucru nu numai că facilitează aplicarea de corecții care abordează vulnerabilitățile, dar asigură și că resursele sunt utilizate mai eficient în cadrul acelei sarcini.
Urmând o anumită secvență de pași, puteți obține cele mai bune rezultateîn analiza defectelor.
- Începeți cu o diagramă bloc a sistemului sau controlului (obiect de analiză).
- Luați în considerare ce s-ar întâmpla dacă fiecare bloc din diagramă ar eșua.
- Desenați un tabel și indicați în el defectele asociate cu consecințele acestora și o evaluare a acestor consecințe.
- Ajustați designul sistemului și faceți modificările corespunzătoare în tabel până când este clar că sistemul nu este susceptibil la probleme.
- Obțineți mai multe analize de inginerie ale naturii defectelor și analizei de impact.
Tabelul 1-3 oferă un exemplu de realizare și documentare a unui FMEA. Deși majoritatea companiilor nu au resursele necesare pentru a intra în astfel de detalii cu privire la fiecare sistem și control, aceasta ar trebui făcută pentru funcții și sisteme critice care pot avea un impact semnificativ asupra companiei. Este important să se analizeze o măsură de securitate sau un sistem de la nivel micro până la nivel macro pentru a înțelege pe deplin unde pot sta potențialele vulnerabilități sau defecte și care ar putea fi consecințele exploatării acestor slăbiciuni. Fiecare sistem informatic poate consta din multe bombe cu ceas la diferite niveluri ale structurii sale. La nivel de componentă, acesta ar putea fi o depășire a memoriei tampon sau componente ActiveX periculoase, care ar putea permite unui atacator să preia controlul asupra sistemului prin exploatarea vulnerabilității. La nivel de software, este posibil ca aplicația să nu efectueze autorizarea în siguranță sau să nu își protejeze în mod corespunzător cheile criptografice. Pe nivel de sistem Nucleul sistemului de operare poate avea defecte care vor permite unui atacator să obțină cu ușurință acces administrativ. La orice nivel se pot întâmpla diverse lucruri teribile, motiv pentru care este necesară o abordare atât de detaliată.
Tabelul 1-3 Exemplu de realizare și documentare FMEA
FMEA a fost dezvoltat inițial pentru studiul sistemelor. Scopul său este de a studia potențialele defecte ale produselor și proceselor aferente. Această abordare sa dovedit a fi de succes și a fost adaptată pentru a fi utilizată în evaluarea priorităților de gestionare a riscurilor și atenuarea vulnerabilităților cunoscute pentru amenințări.
Cu toate acestea, FMEA nu este suficient de eficient pentru a identifica defecte complexe care pot implica mai multe diverse sisteme sau subsisteme. În acest caz, este mai potrivit să folosiți analiza arborelui de defecțiuni. Pentru analiza folosind un arbore de erori, se ia procesul principal. Evenimentul nedorit este indicat ca rădăcină (elementul cel mai de sus al acestui arbore logic). Apoi, ca ramuri, se adaugă o serie de expresii logice și evenimente care pot duce la implementarea unui eveniment nedorit de nivel superior. După aceasta, arborele de defecte este marcat cu numere corespunzătoare probabilității de defecțiuni (de obicei, acest lucru se face folosind programe de calculator, care poate calcula probabilități într-un arbore de defecte). Figura 1-7 prezintă un arbore de defecțiuni simplificat și diferitele simboluri logice utilizate pentru a reprezenta ceea ce trebuie să se întâmple pentru a provoca o defecțiune.
Figura 1-7 Arborele de erori și porțile logice
Când se creează un arbore, este necesar să se indice cu exactitate toate amenințările sau eșecurile care pot apărea asupra sistemului. Ramurile copacului pot fi împărțite în categorii, de exemplu, amenințări fizice, amenințările rețelei, amenințări informatice, amenințări de internet și amenințări de întrerupere. Odată verificate toate categoriile posibile, puteți tăia ramurile din arbore, eliminând amenințările care nu sunt aplicabile în acest caz (dacă sistemul nu este conectat la Internet, atunci ramurile legate de internet pot fi tăiate în siguranță din arbore).
Unele dintre cele mai comune defecțiuni ale software-ului care pot fi investigate folosind analiza arborelui de erori sunt prezentate mai jos:
- Alarme false (alarme sau protectii)
- Gestionare insuficientă a erorilor
- Perturbarea secvenței sau ordinii
- Sincronizarea incorectă a rezultatelor
- Rezultate corecte, dar neașteptate
Atunci când implementați un sistem de management al securității informațiilor (ISMS) într-o organizație, unul dintre principalele puncte de poticnire este de obicei sistemul de management al riscurilor. Discuțiile despre managementul riscului de securitate a informațiilor sunt asemănătoare cu problema OZN-urilor. Pe de o parte, nimeni din jur nu părea să fi văzut acest lucru și evenimentul în sine pare puțin probabil, pe de altă parte, există o mulțime de dovezi, au fost scrise sute de cărți, există chiar discipline științifice relevante și asociații de oameni de știință implicate. in acest proces de cercetareși, ca de obicei, serviciile speciale au cunoștințe secrete speciale în acest domeniu.
Alexander Astakhov, CISA, 2006
Introducere
Nu există un consens în rândul specialiștilor în securitatea informațiilor cu privire la aspectele legate de managementul riscurilor. Cineva neagă metodele cantitative de evaluare a riscurilor, cineva neagă metodele calitative, cineva neagă în general fezabilitatea și însăși posibilitatea evaluării riscului, cineva acuză conducerea organizației de conștientizarea insuficientă a importanței problemelor de siguranță sau se plânge de dificultățile asociate cu obținerea unui obiectiv evaluarea valorii anumitor active, cum ar fi reputația organizației. Alții, nevăzând posibilitatea de a justifica costurile siguranței, propun să trateze acest lucru ca pe un fel de procedură igienă și să cheltuiască atât de mulți bani pe această procedură cât nu este păcat, sau cât mai rămâne în buget.
Indiferent de opiniile existente cu privire la problema managementului riscului de securitate a informațiilor și indiferent de modul în care tratăm aceste riscuri, un lucru este clar că în această problemă Constă esența activității multifațete a specialiștilor în securitatea informațiilor, conectând-o direct cu afacerea, dându-i sens și oportunitate rezonabilă. Acest articol subliniază o posibilă abordare a managementului riscurilor și răspunde la întrebarea de ce diferite organizații privesc și gestionează diferit riscurile de securitate a informațiilor.
Mijloace fixe și auxiliare
Când vorbim de riscuri de afaceri, ne referim la posibilitatea de a suferi anumite daune cu o anumită probabilitate. Aceasta poate fi fie daune materiale directe, fie daune indirecte, exprimate, de exemplu, în profituri pierdute, până la ieșirea din afacere, deoarece dacă riscul nu este gestionat, atunci afacerea poate fi pierdută.
De fapt, esența problemei este că organizația are și folosește mai multe categorii principale de resurse pentru a-și atinge rezultatele activităților sale (obiectivele sale de afaceri) (în continuare vom folosi conceptul de activ direct legat de afaceri). Un activ este orice lucru care are valoare pentru o organizație și care generează venituri ale acesteia (cu alte cuvinte, este ceva care creează un flux financiar pozitiv sau economisește bani)
Există bunuri materiale, financiare, umane și informaționale. Standardele internaționale moderne definesc și o altă categorie de active – procesele. Un proces este un activ agregat care operează toate celelalte active ale companiei pentru a atinge obiectivele de afaceri. De asemenea, imaginea și reputația companiei sunt considerate unul dintre cele mai importante atuuri. Aceste active cheie pentru orice organizație nu sunt altceva decât un tip special de active informaționale, deoarece imaginea și reputația unei companii nu este altceva decât conținutul informațiilor deschise și difuzate pe scară largă despre aceasta. Securitatea informației se ocupă de problemele de imagine în măsura în care problemele cu securitatea organizației, precum și scurgerea de informații confidențiale, au un impact extrem de negativ asupra imaginii.
Rezultatele afacerii sunt influențate de diverși factori externi și interni clasificați drept risc. Această influență se exprimă într-un impact negativ asupra unuia sau simultan mai multor grupuri de active ale organizației. De exemplu, o defecțiune a serverului afectează disponibilitatea informațiilor și a aplicațiilor stocate pe acesta, iar repararea acesteia distrage atenția resurselor umane, creând o lipsă a acestora într-un anumit domeniu de lucru și provocând dezorganizarea proceselor de afaceri, în timp ce indisponibilitatea temporară a clientului serviciile pot afecta negativ imaginea companiei.
Prin definiție, toate tipurile de active sunt importante pentru o organizație. Cu toate acestea, fiecare organizație are active vitale de bază și active de sprijin. Este foarte ușor să determinați care sunt activele principale, deoarece... Acestea sunt activele în jurul cărora se construiește afacerea organizației. Astfel, afacerea unei organizații se poate baza pe deținerea și utilizarea activelor corporale (de exemplu, terenuri, imobile, echipamente, minerale), afacerea se poate construi și pe managementul activelor financiare (activități de credit, asigurări, investiții), afacerea se poate baza pe competența și autoritatea unor specialiști specifici (consultanță, audit, formare, industrii high-tech și intensive în cunoștințe) sau o afacere se poate învârti în jurul activelor informaționale (dezvoltare software, produse de informare, e-commerce, afaceri pe Internet). Riscurile activelor fixe sunt pline de pierderi de afaceri și pierderi ireparabile pentru organizație, prin urmare, atenția proprietarilor de afaceri se concentrează în primul rând asupra acestor riscuri, iar conducerea organizației se ocupă de acestea personal. Riscurile pentru activele de susținere au ca rezultat de obicei daune recuperabile și nu sunt o prioritate majoră în sistemul de management al organizației. De obicei, astfel de riscuri sunt gestionate de persoane special desemnate sau aceste riscuri sunt transferate unei terțe părți, de exemplu, un externalizator sau o companie de asigurări. Pentru o organizație, aceasta este mai mult o chestiune de eficiență a managementului decât de supraviețuire.
Abordări existente ale managementului riscului
Deoarece riscurile de securitate a informațiilor nu sunt principalele pentru toate organizațiile, sunt practicate trei abordări principale de gestionare a acestor riscuri, care diferă în profunzime și nivel de formalism.
Pentru sistemele necritice, când activele informaționale sunt auxiliare și nivelul de informatizare nu este ridicat, ceea ce este tipic pentru majoritatea companiilor moderne din Rusia, există o nevoie minimă de evaluare a riscurilor. În astfel de organizații este necesar să vorbim despre unele nivel de bază Securitatea informațiilor este determinată de reglementările și standardele existente, cele mai bune practici, experiență, precum și modul în care se realizează în majoritatea celorlalte organizații. Cu toate acestea, standardele existente, deși descriu un anumit set de bază de cerințe și mecanisme de securitate, prevăd întotdeauna necesitatea de a evalua riscurile și fezabilitatea economică a utilizării anumitor mecanisme de control pentru a alege dintre set general cerințele și mecanismele sunt cele care sunt aplicabile într-o anumită organizație.
Pentru sistemele critice în care activele informaționale nu sunt principalele, dar nivelul de informatizare a proceselor de afaceri este foarte ridicat și riscurile informaționale pot afecta semnificativ procesele principale ale afacerii, trebuie aplicată evaluarea riscurilor, totuși în acest caz este indicat să se limiteze noi înșine la abordări calitative informale pentru rezolvarea acestei probleme, acordând atenție Atentie speciala cele mai critice sisteme.
Atunci când afacerea unei organizații este construită în jurul activelor informaționale, iar riscurile de securitate a informațiilor sunt principalele, trebuie utilizate o abordare formală și metode cantitative pentru a evalua aceste riscuri.
În multe companii, mai multe tipuri de active pot fi vitale în același timp, de exemplu, atunci când afacerea este diversificată sau compania este angajată în crearea de produse informaționale și atât resursele umane, cât și resursele informaționale pot fi la fel de importante pentru aceasta. În acest caz, abordarea rațională este de a efectua o evaluare a riscurilor la nivel înalt pentru a determina care sisteme sunt foarte expuse la risc și care sunt esențiale pentru operațiunile de afaceri, urmată de o evaluare detaliată a riscurilor a sistemelor identificate. Pentru toate celelalte sisteme care nu sunt critice, este recomandabil să vă limitați la utilizarea unei abordări de bază, luând decizii de gestionare a riscurilor bazate pe experiența existentă, opiniile experților și cele mai bune practici.
Niveluri de maturitate
Alegerea abordării evaluării riscurilor într-o organizație, pe lângă natura activității sale și nivelul de informatizare a proceselor de afaceri, este influențată și de nivelul său de maturitate. Managementul riscului de securitate a informațiilor este o sarcină de afaceri inițiată de conducerea unei organizații datorită conștientizării și gradului de conștientizare a problemelor de securitate a informațiilor, al cărei sens este de a proteja afacerea de amenințările reale de securitate a informațiilor existente. În funcție de gradul de conștientizare, pot fi urmărite mai multe niveluri de maturitate ale organizațiilor, care într-o anumită măsură se corelează cu nivelurile de maturitate definite în COBIT și alte standarde:
- La nivel inițial, nu există o conștientizare ca atare, organizația ia măsuri fragmentate pentru a asigura securitatea informațiilor, inițiate și implementate de specialiști IT pe propria răspundere.
- La al doilea nivel, organizația definește responsabilitatea pentru securitatea informațiilor se încearcă să utilizeze soluții integrate cu management centralizat și să implementeze procese separate de management al securității informațiilor.
- Al treilea nivel se caracterizează prin aplicarea unei abordări procesuale a managementului securității informațiilor descrise în standarde. Sistemul de management al securității informațiilor devine atât de important pentru organizație încât este considerat o componentă necesară a sistemului de management al organizației. Cu toate acestea, un sistem de management al securității informațiilor cu drepturi depline nu există încă, deoarece absent element de bază ale acestui sistem sunt procesele de management al riscului.
- Organizațiile cu cel mai înalt grad de conștientizare a problemelor de securitate a informațiilor se caracterizează prin utilizarea unei abordări formalizate a managementului riscului de securitate a informațiilor, caracterizată prin prezența unor procese documentate de planificare, implementare, monitorizare și îmbunătățire.
Modelul procesului de management al riscului
În luna martie a acestui an, a fost adoptat un nou standard britanic, BS 7799 Partea 3 – Sisteme de management al securității informațiilor - Practica de gestionare a riscurilor de securitate a informațiilor. ISO se așteaptă ca acest document să fie aprobat ca standard internațional până la sfârșitul anului 2007. BS 7799-3 definește evaluarea riscurilor și procesele de management ca un element integral al sistemului de management al unei organizații, folosind același model de proces ca și alte standarde de management, care include patru grupuri de procese: plan, face, review, act (PDA), care reflectă standardul. ciclul oricăror procese de management. În timp ce ISO 27001 descrie ciclul general de management al securității de la capăt la capăt, BS 7799-3 îl extinde la procesele de management al riscului de securitate a informațiilor.
În sistemul de management al riscului de securitate a informațiilor, în etapa de Planificare, se determină politica și metodologia de management al riscului și se realizează o evaluare a riscurilor, care include un inventar al activelor, compilarea profilurilor de amenințări și vulnerabilități, evaluarea eficacității contramăsurilor. și daune potențiale și determinarea nivelului acceptabil de riscuri reziduale.
În etapa de implementare, riscurile sunt procesate și sunt introduse mecanisme de control pentru a le minimiza. Conducerea organizației ia una dintre cele patru decizii pentru fiecare risc identificat: ignorarea, evitarea, transferul către o parte externă sau minimizarea. După aceasta, este elaborat și implementat un plan de tratare a riscurilor.
La etapa de Verificare este monitorizată funcționarea mecanismelor de control, sunt monitorizate modificările factorilor de risc (active, amenințări, vulnerabilități), sunt efectuate audituri și sunt efectuate diverse proceduri de control.
La etapa Acțiunii bazate pe rezultate monitorizare continuăși inspecțiile efectuate, se întreprind acțiunile corective necesare, care pot include, în special, reevaluarea amplorii riscurilor, ajustarea politicii și metodologiei de gestionare a riscurilor, precum și a planului de tratare a riscurilor.
Factori de risc
Esența oricărei abordări de management al riscului este de a analiza factorii de risc și de a lua decizii adecvate pentru a trata riscurile. Factorii de risc sunt principalii parametri pe care îi folosim atunci când evaluăm riscurile. Există doar șapte astfel de parametri:
- Atu
- Daune (pierdere)
- Amenințare
- Vulnerabilitate
- Mecanism de control
- Pierdere medie anuală (ALE)
- Rentabilitatea investiției (ROI)
Modul în care acești parametri sunt analizați și evaluați este determinat de metodologia de evaluare a riscurilor utilizată în organizație. În același timp, abordarea generală și modelul de raționament sunt aproximativ aceleași, indiferent de metodologia folosită. Procesul de evaluare a riscurilor include două etape. În prima fază, care este definită în standarde ca analiză de risc, este necesar să se răspundă la următoarele întrebări:
- Care este principalul atu al companiei?
- Care este valoarea reală a acestui bun?
- Ce amenințări există pentru acest bun?
- Care sunt consecințele acestor amenințări și daunele aduse afacerii?
- Cât de probabil sunt aceste amenințări?
- Cât de vulnerabilă este afacerea la aceste amenințări?
- Care este pierderea medie anuală estimată?
În a doua fază, care este definită de standarde ca evaluare a riscului, este necesar să se răspundă la întrebarea: Ce nivel de risc (cantitatea pierderilor medii anuale) este acceptabil pentru organizație și, pe baza acestuia, ce riscuri îl depășesc. nivel.
Astfel, pe baza rezultatelor evaluării riscurilor, obținem o descriere a riscurilor care depășesc nivelul acceptabil și o evaluare a amplorii acestor riscuri, care este determinată de mărimea pierderilor medii anuale. În continuare, trebuie să luați o decizie cu privire la tratamentul riscului, de exemplu. răspunde la următoarele întrebări:
- Ce opțiune de tratament a riscului alegem?
- Dacă se ia o decizie pentru a minimiza riscul, ce mecanisme de control ar trebui utilizate?
- Cât de eficiente sunt aceste controale și ce rentabilitate a investiției vor oferi?
Rezultatul acestui proces este un plan de tratare a riscurilor care definește modul în care sunt tratate riscurile, costul contramăsurilor, precum și momentul și responsabilitatea implementării contramăsurilor.
Decizia privind tratamentul riscului
Luarea unei decizii cu privire la tratamentul riscului este momentul cheie și cel mai critic în procesul de management al riscului. Pentru ca managementul să ia decizia corectă, persoana responsabilă cu managementul riscului din organizație trebuie să îi furnizeze informații relevante. Este determinată forma de prezentare a acestor informații algoritm standard comunicarea de afaceri, care include patru puncte principale:
- Raportarea problemelor: Care este amenințarea pentru afacere (sursă, obiect, metodă de implementare) și care este motivul existenței acesteia?
- Severitatea problemei: Cum amenință aceasta organizația, conducerea și acționarii acesteia?
- Soluția propusă: Ce se propune să se facă pentru a corecta situația, cât va costa, cine ar trebui să o facă și ce se cere direct de la conducere?
- Soluții alternative: Ce alte modalități de rezolvare a problemei există (există întotdeauna alternative și managementul ar trebui să aibă posibilitatea de a alege).
Punctele 1 și 2, precum și 3 și 4 pot fi schimbate, în funcție de situația specifică.
Metode de management al riscului
Există un număr suficient de metode de evaluare și management al riscurilor bine dovedite și utilizate pe scară largă. O astfel de metodă este OCTAVE, dezvoltată la Carnegie Melon University pentru uz intern în organizații. OCTAVE – Evaluarea amenințărilor critice operaționale, a activelor și a vulnerabilităților (evaluarea amenințărilor critice din punct de vedere operațional, a activelor și a vulnerabilităților) are o serie de modificări concepute pentru organizații marimi diferite si domenii de activitate. Esența acestei metode este că o succesiune de ateliere interne organizate corespunzător este utilizată pentru a evalua riscurile. Evaluarea riscurilor se realizează în trei etape, care sunt precedate de un set de activități pregătitoare, inclusiv coordonarea programului de seminarii, atribuirea rolurilor, planificarea și coordonarea acțiunilor membrilor echipei de proiect.
În prima etapă, în timpul atelierelor practice, sunt elaborate profiluri de amenințări, inclusiv un inventar și o evaluare a valorii activelor, identificarea cerințelor legale și de reglementare aplicabile, identificarea amenințărilor și evaluarea probabilității acestora, precum și determinarea unui sistem de măsuri organizatorice pentru menținerea regimului de securitate a informațiilor.
În a doua etapă se realizează analiza tehnica vulnerabilitățile sistemelor informaționale ale organizației în raport cu amenințările ale căror profiluri au fost dezvoltate în etapa anterioară, care include identificarea vulnerabilităților existente ale sistemelor informaționale ale organizației și evaluarea amplorii acestora.
În cea de-a treia etapă, sunt evaluate și procesate riscurile de securitate a informațiilor, ceea ce include determinarea amplorii și probabilității de a provoca daune ca urmare a amenințărilor la securitate folosind vulnerabilități identificate în etapele anterioare, determinarea unei strategii de protecție, precum și selectarea opțiunilor și luarea deciziilor privind tratamentul riscului. Mărimea riscului este definită ca pierderea medie anuală a organizației ca urmare a implementării amenințărilor de securitate.
O abordare similară este utilizată în binecunoscuta metodă de evaluare a riscurilor CRAMM, dezvoltată la un moment dat prin ordin al guvernului britanic. Metoda principală a CRAMM de evaluare a riscurilor este prin interviuri atent planificate, folosind chestionare detaliate. CRAMM este utilizat în mii de organizații din întreaga lume, datorită, printre altele, disponibilității instrumentelor software foarte dezvoltate, care conțin o bază de cunoștințe privind riscurile și mecanismele de minimizare a acestora, instrumente pentru colectarea informațiilor, generarea de rapoarte și, de asemenea, implementarea algoritmilor. pentru calcularea mărimii riscurilor.
Spre deosebire de metoda OCTAVE, CRAMM folosește o secvență ușor diferită de acțiuni și metode pentru a determina amploarea riscurilor. În primul rând, se determină fezabilitatea evaluării riscurilor în general, iar dacă sistemul informațional al organizației nu este suficient de critic, atunci un set standard de mecanisme de control descrise în standarde internaționaleși conținute în baza de cunoștințe CRAMM.
În prima etapă, metoda CRAMM construiește un model al resurselor sistemului informațional care descrie relațiile dintre informații, software și resursele tehnice și, de asemenea, evaluează valoarea resurselor pe baza posibilelor daune pe care o organizație le poate suferi ca urmare a compromiterii acestora. .
În a doua etapă, se realizează o evaluare a riscurilor, care include identificarea și evaluarea probabilității amenințărilor, evaluarea amplorii vulnerabilităților și calcularea riscurilor pentru fiecare triplă: resursă - amenințare - vulnerabilitate. CRAMM evaluează riscurile „pure”, indiferent de mecanismele de control implementate în sistem. În etapa de evaluare a riscurilor, se presupune că nu se aplică deloc contramăsuri, iar pe baza acestei ipoteze se formează un set de contramăsuri recomandate pentru a minimiza riscurile.
În etapa finală, setul de instrumente CRAMM generează un set de contramăsuri pentru a minimiza riscurile identificate și compară contramăsurile recomandate și existente, după care se formează un plan de tratare a riscurilor.
Setul de instrumente de management al riscului
În procesul de evaluare a riscului, parcurgem o serie de etape succesive, revenind periodic la etapele anterioare, de exemplu, reevaluând un anumit risc după alegerea unei contramăsuri specifice pentru a-l minimiza. În fiecare etapă, este necesar să aveți la îndemână chestionare, liste de amenințări și vulnerabilități, registre de resurse și riscuri, documentație, procese-verbale ale întâlnirilor, standarde și linii directoare. În acest sens, avem nevoie de un fel de algoritm programat, bază de date și interfață pentru a lucra cu aceste date diferite.
Pentru a gestiona riscurile de securitate a informațiilor, puteți utiliza instrumente, de exemplu, ca în metoda CRAMM sau RA2 (prezentat în figură), dar acest lucru nu este obligatoriu. Standardul BS 7799-3 spune cam la fel. Utilitatea utilizării setului de instrumente poate consta în faptul că acesta conține un algoritm programat pentru evaluarea riscurilor și fluxul de lucru al managementului riscului, ceea ce simplifică munca unui specialist fără experiență.
Utilizarea instrumentelor vă permite să unificați metodologia și să simplificați utilizarea rezultatelor pentru reevaluarea riscurilor, chiar dacă este efectuată de alți specialiști. Datorită utilizării instrumentelor, este posibil să eficientizați stocarea datelor și să lucrați cu modele de resurse, profiluri de amenințări, liste de vulnerabilități și riscuri.
Pe lângă instrumentele de evaluare și management al riscurilor în sine, instrumentele software pot conține și instrumente suplimentare pentru documentarea ISMS, analiza discrepanțelor cu cerințele standard, dezvoltarea unui registru de resurse, precum și alte instrumente necesare pentru implementarea și funcționarea ISMS.
concluzii
Alegerea abordărilor calitative sau cantitative ale evaluării riscurilor este determinată de natura activității organizației și de nivelul de informatizare a acesteia, de exemplu. importanța activelor informaționale pentru el, precum și nivelul de maturitate al organizației.
Atunci când se implementează o abordare formală a managementului riscului într-o organizație, este necesar să se bazeze în primul rând pe bunul simț, pe standardele existente (de ex. BS 7799-3) și pe metodologii bine stabilite (de exemplu, OCTAVE sau CRAMM). Poate fi util să se utilizeze instrumente software în aceste scopuri care implementează metodologiile adecvate și îndeplinesc cerințele standardelor în măsura maximă posibilă (de exemplu, RA2).
Eficacitatea procesului de management al riscului de securitate a informațiilor este determinată de acuratețea și completitudinea analizei și evaluării factorilor de risc, precum și de eficacitatea mecanismelor utilizate în organizație pentru luarea deciziilor de management și monitorizarea implementării acestora.
Legături
- Astakhov A.M., „Istoria standardului BS 7799”, http://www.globaltrust.ru/shop/osnov.php?idstat=61&idcatstat=12
- Astakhov A.M., „Cum să construiți și să certificați un sistem de management al securității informațiilor?”,
În prezent, riscurile de securitate a informațiilor reprezintă o mare amenințare pentru activitățile normale ale multor întreprinderi și instituții. În epoca noastră tehnologia Informatiei Practic, nu este dificil să obții date. Pe de o parte, acest lucru, desigur, aduce multe aspecte pozitive, dar devine o problemă pentru chipul și brandul multor companii.
Protejarea informațiilor în întreprinderi devine acum aproape o prioritate de top. Experții consideră că numai prin dezvoltarea unei anumite secvențe conștiente de acțiuni poate fi atins acest obiectiv. În acest caz, este posibil să te ghidezi numai după fapte de încredere și să folosești metode analitice avansate. Dezvoltarea intuiției și experienței specialistului responsabil de această divizie în întreprindere aduce o anumită contribuție.
Acest material vă va spune despre gestionarea riscurilor de securitate a informațiilor ale unei entități de afaceri.
Ce tipuri de posibile amenințări există în mediul informațional?
Pot exista multe tipuri de amenințări. Analiza riscurilor de securitate a informațiilor întreprinderii începe cu luarea în considerare a tuturor amenințărilor potențiale posibile. Acest lucru este necesar pentru a decide asupra metodelor de verificare în cazul acestor situații neprevăzute, precum și pentru a crea un sistem de protecție adecvat. Riscurile de securitate a informațiilor sunt împărțite în anumite categorii în funcție de diverse criterii de clasificare. Ele vin în următoarele tipuri:
- surse fizice;
- utilizarea necorespunzătoare a rețelei de calculatoare și a World Wide Web;
- scurgeri din surse sigilate;
- scurgeri prin mijloace tehnice;
- intrare neautorizată;
- atacul bunurilor informaționale;
- încălcarea integrității modificării datelor;
- urgențe;
- încălcări legale.
Ce este inclus în conceptul de „amenințări fizice la adresa securității informațiilor”?
Tipurile de riscuri de securitate a informațiilor sunt determinate în funcție de sursele apariției acestora, de modalitatea de implementare a intruziunii ilegale și de scop. Cele mai simple din punct de vedere tehnic, dar care necesită încă o execuție profesională, sunt amenințările fizice. Acestea reprezintă acces neautorizat la surse închise. Adică, acest proces este de fapt un furt obișnuit. Informațiile pot fi obținute personal, cu propriile mâini, prin simpla invadare a teritoriului instituției, birourilor, arhivelor pentru a avea acces la echipament tehnic, documentare și alte mijloace de informare.
Furtul poate să nu implice nici măcar datele în sine, ci locul în care sunt stocate, adică echipamentul informatic în sine. Pentru a perturba activitățile normale ale unei organizații, atacatorii pot cauza pur și simplu funcționarea defectuoasă a suporturilor de stocare sau a echipamentelor tehnice.
Scopul unei intruziuni fizice poate fi, de asemenea, acela de a obține acces la un sistem de care depinde protecția informațiilor. Un atacator poate modifica opțiunile de rețea responsabile de securitatea informațiilor pentru a facilita și mai mult implementarea metodelor ilegale.
Oportunitate amenințare fizică membri ai diferitelor grupuri cu acces la informatie clasificata, care nu este public. Scopul lor este o documentare valoroasă. Astfel de persoane sunt numite persoane din interior.
Activitatea atacatorilor externi poate fi îndreptată către același obiect.
Cum pot angajații companiei să devină înșiși cauza amenințărilor?
Riscurile privind securitatea informațiilor apar adesea din cauza utilizării inadecvate de către angajații internetului și interne sistem informatic. Atacatorii sunt grozavi să profite de lipsa de experiență, nepăsarea și lipsa de educație a unor oameni în ceea ce privește securitatea informațiilor. Pentru a exclude această opțiune de sustragere a datelor confidențiale, conducerea multor organizații urmărește o politică specială în rândul personalului lor. Scopul său este de a învăța oamenii regulile de comportament și de utilizare a rețelelor. Aceasta este o practică destul de comună, deoarece amenințările care apar în acest fel sunt destul de frecvente. Programele pentru dobândirea abilităților de securitate a informațiilor pentru angajații întreprinderii includ următoarele:
- depășirea utilizării ineficiente a instrumentelor de audit;
- reducerea gradului în care oamenii folosesc instrumente speciale pentru prelucrarea datelor;
- reducerea utilizării resurselor și activelor;
- instruire în obținerea accesului la instrumentele de rețea numai prin metode stabilite;
- identificarea zonelor de influență și desemnarea teritoriului de responsabilitate.
Când fiecare angajat înțelege că soarta instituției depinde de îndeplinirea responsabilă a sarcinilor care îi sunt atribuite, el încearcă să respecte toate regulile. Este necesar să se stabilească sarcini specifice pentru oameni și să se justifice rezultatele obținute.
Cum sunt încălcați termenii de confidențialitate?
Riscurile și amenințările la adresa securității informațiilor sunt asociate în mare măsură cu achiziționarea ilegală de informații care nu ar trebui să fie disponibile la străini. Primul și cel mai comun canal de scurgere este tot felul de metode de comunicare și comunicare. Într-un moment în care s-ar părea că corespondența personală este disponibilă doar pentru două părți, aceasta este interceptată de părțile interesate. Deși oamenii rezonabili înțeleg că este necesar să transmită ceva extrem de important și secret în alte moduri.
Deoarece o mulțime de informații sunt acum stocate pe medii portabile, atacatorii stăpânesc în mod activ interceptarea informațiilor prin acest tip de tehnologie. Ascultarea canalelor de comunicare este foarte populară, doar că acum toate eforturile geniilor tehnice sunt menite să spargă barierele de protecție ale smartphone-urilor.
Informațiile confidențiale pot fi dezvăluite neintenționat de către angajații unei organizații. Ele nu pot dezvălui în mod direct toate „login-urile și parolele”, ci doar conduc atacatorul la Imediat. De exemplu, oamenii, fără să știe, oferă informații despre locația documentației importante.
Nu numai subordonații sunt vulnerabili. Contractorii pot oferi, de asemenea, informații confidențiale în timpul parteneriatelor.
Cum este încălcată securitatea informațiilor prin mijloace tehnice?
Asigurarea securității informațiilor se datorează în mare măsură utilizării unor mijloace tehnice de protecție fiabile. Dacă sistemul de suport este eficient și eficient, cel puțin în echipamentul în sine, atunci acesta este deja jumătate din succes.
Practic, scurgerea de informații este astfel asigurată prin control diverse semnale. LA metode similare se referă la crearea de surse specializate de emisie sau semnale radio. Acestea din urmă pot fi electrice, acustice sau vibraționale.
Destul de des se folosesc instrumente optice care permit citirea informațiilor de pe afișaje și monitoare.
Varietatea dispozitivelor oferă o gamă largă de metode pentru infiltrarea și extragerea informațiilor de către atacatori. Pe lângă metodele de mai sus, există și televiziune, recunoaștere fotografică și vizuală.
Datorită posibilităților atât de largi, un audit de securitate a informațiilor include în primul rând verificarea și analizarea funcționării mijloacelor tehnice de protejare a datelor confidențiale.
Ce este considerat acces neautorizat la informațiile companiei?
Gestionarea riscului de securitate a informațiilor este imposibilă fără a preveni amenințările de acces neautorizat.
Unul dintre cei mai importanți reprezentanți aceasta metoda piratarea sistemului de securitate al altcuiva este atribuirea unui ID de utilizator. Această metodă se numește „Masquerade”. Acces neautorizatîn acest caz este aplicarea datelor de autentificare. Adică, scopul intrusului este să obțină o parolă sau orice alt identificator.
Atacatorii pot exercita influență din interiorul obiectului însuși sau din exterior. A primi informatie necesara acestea pot proveni din surse precum un jurnal de audit sau instrumente de audit.
Adesea, infractorul încearcă să aplice politica de implementare și să folosească metode aparent complet legale.
Accesul neautorizat se aplică următoarelor surse de informații:
- site web și gazde externe;
- rețea fără fir pentru întreprinderi;
- copii de siguranță ale datelor.
Există nenumărate moduri și metode de acces neautorizat. Atacatorii caută defecte și lacune în configurația și arhitectura software-ului. Ei obțin date prin modificarea software-ului. Pentru a neutraliza și a calma vigilența, infractorii lansează malware și bombe logice.
Care sunt amenințările legale la adresa securității informațiilor unei companii?
Managementul riscului de securitate a informațiilor funcționează în diferite direcții, deoarece scopul său principal este de a asigura o protecție completă și holistică a întreprinderii împotriva intruziunilor externe.
Nu mai puțin importantă decât direcția tehnică este cea juridică. În acest fel, care, s-ar părea, dimpotrivă, ar trebui să apere interesele, se dovedește a obține informații foarte utile.
Încălcările din punct de vedere legal se pot referi la drepturi de proprietate, drepturi de autor și drepturi de brevet. În această categorie intră și utilizarea ilegală a software-ului, inclusiv importul și exportul. Puteți încălca cerințele legale doar nerespectând termenii contractului sau cadrul legal în ansamblu.
Cum se stabilesc obiectivele de securitate a informațiilor?
Asigurarea securității informațiilor începe cu stabilirea zonei de protecție. Este necesar să se definească clar ce trebuie protejat și de cine. Pentru a face acest lucru, este determinat un portret al unui potențial criminal, precum și posibile metode de hacking și infiltrare. Pentru a stabili obiective, trebuie mai întâi să discutați cu managementul. Îți va spune domenii prioritare protecţie.
Din acest moment începe auditul de securitate a informațiilor. Vă permite să determinați în ce raport este necesar să aplicați tehnici tehnologice și metode de afaceri. Rezultatul acestui proces este o listă finală de activități, care stabilește obiectivele cu care se confruntă unitatea pentru a asigura protecția împotriva intruziunilor neautorizate. Procedura de audit are ca scop identificarea punctelor critice şi puncte slabe sisteme care interferează cu funcționarea și dezvoltarea normală a întreprinderii.
După stabilirea obiectivelor, se dezvoltă un mecanism de implementare a acestora. Sunt dezvoltate instrumente pentru monitorizarea și minimizarea riscurilor.
Ce rol joacă activele în analiza riscului?
Riscurile de securitate a informațiilor organizaționale afectează direct activele întreprinderii. La urma urmei, scopul atacatorilor este de a obține informatie pretioasa. Pierderea sau dezvăluirea acestuia va duce cu siguranță la pierderi. Daunele cauzate de intruziunea neautorizată pot avea un impact direct sau pot avea doar un impact indirect. Acesta este abatereîn raport cu organizaţia poate duce la o pierdere completă a controlului asupra afacerii.
Valoarea prejudiciului este evaluată în funcție de bunurile de care dispune organizația. Resursele subiectului sunt toate resursele care contribuie în orice fel la implementarea obiectivelor managementului. Activele unei întreprinderi înseamnă toate activele corporale și necorporale care generează și ajută la generarea de venituri.
Există mai multe tipuri de active:
- material;
- uman;
- informativ;
- financiar;
- procese;
- marcă și autoritate.
Ultimul tip de activ suferă cel mai mult din cauza intruziunii neautorizate. Acest lucru se datorează faptului că orice risc real de securitate a informațiilor afectează imaginea. Problemele cu acest domeniu reduc automat respectul și încrederea într-o astfel de întreprindere, deoarece nimeni nu o dorește informații confidențiale devenit cunoscută publică. Fiecărei organizații care se respectă îi pasă să-și protejeze propriile sale resurse informaționale.
Diferiți factori influențează cât de mult și ce active vor avea de suferit. Ele sunt împărțite în externe și interne. Impactul lor complex, de regulă, afectează simultan mai multe grupuri de resurse valoroase.
Întreaga afacere a întreprinderii este construită pe active. Sunt prezenți într-o oarecare măsură în activitățile oricărei instituții. Doar că pentru unii oameni unele grupuri sunt mai importante, iar altele mai puțin importante. În funcție de ce tip de bunuri au putut influența atacatorii, depinde rezultatul, adică prejudiciul cauzat.
Evaluarea riscurilor de securitate a informațiilor vă permite să identificați în mod clar principalele active, iar dacă acestea au fost afectate, aceasta este plină de pierderi ireparabile pentru întreprindere. Conducerea în sine ar trebui să acorde atenție acestor grupuri de resurse valoroase, deoarece siguranța lor este în interesul proprietarilor.
Zona prioritară pentru departamentul de securitate a informațiilor este ocupată de active auxiliare. Responsabil pentru protecția lor persoana speciala. Riscurile privind acestea nu sunt critice și afectează doar sistemul de management.
Care sunt factorii de securitate a informațiilor?
Calculul riscurilor de securitate a informațiilor include construirea unui model specializat. Reprezintă noduri care sunt conectate între ele conexiuni functionale. Nodurile sunt aceleași active. Modelul folosește următoarele resurse valoroase:
- Oameni;
- strategie;
- tehnologii;
- proceselor.
Coastele care le unesc sunt chiar factorii de risc. Pentru a identifica posibile amenințări, cel mai bine este să contactați direct departamentul sau specialistul care lucrează cu aceste active. Orice factor de risc potențial poate fi o condiție prealabilă pentru formarea unei probleme. Modelul evidențiază principalele amenințări care pot apărea.
In ceea ce priveste echipa, problema este scazutul nivel educational, lipsa personalului, lipsa motivatiei.
Riscurile de proces includ variabilitatea Mediul extern, automatizare slabă a producției, împărțirea neclară a responsabilităților.
Tehnologiile pot suferi din cauza software-ului învechit și a lipsei de control asupra utilizatorilor. Problemele legate de peisajul eterogen al tehnologiei informației pot fi, de asemenea, cauza.
Avantajul acestui model este că valorile de prag ale riscurilor de securitate a informațiilor nu sunt clar stabilite, deoarece problema este privită din unghiuri diferite.
Ce este un audit de securitate a informațiilor?
O procedură importantă în domeniul securității informațiilor întreprinderii este auditul. Reprezintă un cec starea curenta sisteme de protectie impotriva intruziunilor neautorizate. Procesul de audit determină gradul de conformitate cu cerințele stabilite. Implementarea sa este obligatorie pentru unele tipuri de instituții este consultativă. Examinarea se desfășoară în raport cu documentația compartimentelor de contabilitate și fiscalitate, a echipamentelor tehnice și a părților financiare și economice.
Un audit este necesar pentru a înțelege nivelul de securitate, iar în caz de neconformitate, optimizarea la normal. Această procedură vă permite, de asemenea, să evaluați fezabilitatea investițiilor financiare în securitatea informațiilor. În cele din urmă, expertul va da recomandări cu privire la rata cheltuielilor financiare pentru a obține o eficiență maximă. Un audit vă permite să ajustați controalele.
Expertiza în securitatea informațiilor este împărțită în mai multe etape:
- Stabilirea obiectivelor și modalităților de a le atinge.
- Analiza informațiilor necesare pentru a ajunge la un verdict.
- Prelucrarea datelor colectate.
- Opinie și recomandări ale experților.
În cele din urmă, specialistul își va da decizia. Recomandările comisiei vizează cel mai adesea schimbarea configurațiilor echipamentelor tehnice, precum și a serverelor. Adesea, unei întreprinderi cu probleme i se cere să aleagă o metodă de securitate diferită. Poate că, pentru o consolidare suplimentară, experții vor prescrie un set de măsuri de protecție.
Munca după primirea rezultatelor auditului are ca scop informarea echipei despre probleme. Dacă acest lucru este necesar, atunci merită să se efectueze instruire suplimentară pentru a crește educația angajaților cu privire la protecția resurselor de informații ale întreprinderii.
