Защита информационных технологий как процесс управления рисками. Сложность количественной оценки рисков

Следует помнить, что создать абсолютно непреодолимую систему защиты принципиально невозможно. Пока информация находится в обращении, принимаемые меры могут только снизить вероятность негативных воздействий или ущерб от них, но не исключить их полностью. При достаточном количестве времени и средств можно преодолеть любую защиту. Поэтому имеет смысл рассматривать некоторый приемлемый уровень обеспечения безопасности соответствующий существующим угрозам (рискам).

Суть защиты ресурсов корпоративных сетей — есть управление рисками, связанных с использованием этих сетей.

Что же такое риск?

Мы уже уточнили, что угроза - это нежелательное событие, наносящее ущерб субъектам.

Риск- это оценка опасности определённой угрозы. Риск выражает вероятностно­ стоимостную оценку возможных потерь (ущерба) и характеризуется:

o вероятностью успешной реализации угрозы А,;

o стоимостью потерь (ущерба) в случае реализации угрозы В,.

Стоимостную составляющую информационной безопасности хорошо иллюстрирует упрощённая формула оценки издержек, связывающая количественные характеристики рисков, стоимость реализации мер защиты и суммарные издержки.

ОБОБЩЕННАЯ ОЦЕНКА ИЗДЕРЖЕК

п - количество рисков (угроз)
А - вероятностная оценка риска (0-1)
В - стоимостная оценка риска ($)
С - стоимость реализации мер защиты ($)
R - суммарные издержки ($)
Rmax - допустимые издержки ($)

Анализ рисков состоит в том, чтобы выявить существующие угрозы и оценить их опасность (дать им количественную или качественную оценку). На этапе анализа рисков должны быть выявлены все значимые угрозы, то есть угрозы с большой частотой (вероятностью) реализации и/или приводящие к существенным (ощутимым) потерям.

Управление рискамизаключается в принятии мер защиты (контрмер), направленных на снижение частоты успешной реализации угроз и/или на снижение размера ущерба в случае их реализации. При этом защитные меры выбираются на основе принципа разумной достаточности (экономической целесообразности, сопоставимости возможного ущерба и затрат на защиту) исходя из минимизации общих издержек - затрат на защиту плюс остаточных потерь от угроз.

Известно два основных подхода к анализу рисков - качественный и количественный.
Наиболее привлекательным, на первый взгляд, является количественный подход, позволяющий сравнивать защищённость различных систем. К сожалению, имеются сложности его внедрения, связанные с:

o отсутствием достоверной статистики в быстро меняющемся мире ИТ;

o трудностью оценки ущерба по нематериальным активам (репутация, конфиденциальность сведений, идеи, бизнес-планы, здоровье персонала);

o трудностью оценки всех косвенных потерь от реализации угроз;

o обесцениванием результатов длительной количественной оценки рисков из-за постоянной модификации и реконфигурации АИС.

Поэтому в основном для анализа рисков в настоящее время используется качественный подход, предусматривающий простое ранжирование угроз и связанных с ними рисков по степени их опасности.

Существует несколько вариантов противодействия выявленным рискам (угрозам).

Первый из них связан с признанием допустимости риска от конкретной угрозы, например, если вероятность реализации угрозы ничтожна мала или затраты на защиту от неё катастрофически велики.

Второй вариант действий предусматривает частичную передачу ответственности за инциденты в сфере безопасности ИТ сторонней организации, например страховой компании.

Третий и основной вариант действий связан с проведением комплекса мероприятий (мер противодействия), позволяющих либо уменьшить риск до разумных величин, либо полностью исключить его.

Основными этапами анализа и управления рисками являются:

o определение границ системы и методологии оценки рисков;

o идентификация и оценка информационных ресурсов системы (ценностей);

o идентификация угроз и оценка вероятностей их реализации;

o определение риска и выбор средств защиты;

o внедрение средств защиты и оценка остаточного риска.

При выборе метода оценки целесообразности затрат на обеспечение безопасности ИТ необходимо чётко представлять преследуемые цели:

во-первых - метод должен обеспечивать количественную оценку затрат на безопасность ИТ, используя качественные показатели оценки вероятностей событий и их последствий;

во-вторых — метод должен быть прозрачен с точки зрения пользователя, и давать возможность вводить собственные эмпирические данные;

в-третьих - метод должен быть универсален, то есть одинаково применим к оценке затрат на приобретение аппаратных средств, специализированного и ниверсального программного обеспечения, затрат на услуги, затрат на перемещение персонала и обучение конечных пользователей и т.д.;

в-четвертых - метод должен позволять моделировать ситуацию, при которой существует несколько контрмер, направленных на предотвращение определённых угроз, в разной степени влияющих на сокращение вероятности происшествия.

Затраты, связанные с безопасность ИТ, подразделяются на несколько категорий:

1. Затраты на формирование и поддержание звена управления системой защиты информации (организационные затраты);

2. Затраты на контроль (определение и подтверждение достигнутого уровня защищённости ресурсов АИС);

3. Внутренние затраты на ликвидацию последствий нарушений политики безопасности ИТ (затраты, понесённые в результате того, что требуемый уровень защищённости не был достигнут);

4. Внешние затраты на ликвидацию последствий нарушения политики безопасности ИТ;

5. Затраты на техническое обслуживание системы безопасности ИТ и мероприятия по предотвращению нарушений политики безопасности ИТ (предупредительные мероприятия).

Затраты на формирование и под держание звена управления системой защиты
информации (организационные затраты):

o затраты на формирование политики безопасности ИТ;

o затраты на приобретение и ввод в эксплуатацию программно-технических средств (серверов, компьютеров конечных пользователей (настольных и мобильных), периферийных устройств и сетевых компонентов;

o затраты на приобретение и настройку средств защиты информации;

o затраты на содержание персонала, стоимость работ и аутсорсинг.

Затраты на контроль (определение и подтверждение достигнутого уровня защищённости
ресурсов АИС):

■ контроль за соблюдением политики безопасности ИТ:

- затраты на контроль реализации функций, обеспечивающих управление безопасностью ИТ;
- затраты на организацию взаимодействия между подразделениями для решения конкретных задач по обеспечению безопасности ИТ;
- затраты на проведение аудита безопасности по каждой части АС;
- материально-техническое обеспечение системы контроля доступа к объектам и ресурсам;

■ плановые проверки и испытания:

- затраты на проверки и испытания средств защиты информации;
- затраты на проверку навыков эксплуатации средств защиты персоналом;
- затраты на обеспечение работы лиц, ответственных за реализацию конкретных процедур безопасности по подразделениям;
- оплата работ по контролю правильности ввода данных в прикладных системах;
- оплата инспекторов по контролю требований, предъявляемых к средствам защиты при разработке систем (контроль на стадии проектирования и спецификации требований);

■ внеплановые проверки и испытания:

- оплата работы испытательного персонала специализированных организаций;
- обеспечение испытательного персонала материально-техническими средствами;

■ затраты на внешний аудит:

- затраты на контрольно-проверочные мероприятия, связанные с лицензионно-разрешительной деятельностью в сфере безопасности ИТ.

Внутренние затраты на ликвидацию последствий нарушений политики безопасности ИТ (затраты, понесённые в результате того, что требуемый уровень защищённости не был достигнут):

■ пересмотр политики безопасности ИТ (проводится периодически):

- затраты на идентификацию угроз безопасностью ИТ;
- затраты на поиск уязвимостей системы безопасности ИТ;
- оплата специалистов, выполняющих работы по определению возможного ущерба и переоценки степени риска;

■ затраты на ликвидацию последствий нарушения режима безопасности:

- восстановление системы безопасности ИТ до соответствия требованиям политики безопасности;
- установка патчей или приобретение последних версий программных средств защиты информации;
- приобретение технических средств взамен, пришедших в негодность;
- проведение дополнительных испытаний и проверок технологических информационных систем;
- затраты на утилизацию скомпрометированных ресурсов;

■ восстановление информационных ресурсов:

- затраты на восстановление баз данных и прочих информационных массивов;
- затраты на проведение мероприятий по контролю достоверности данных, подвергшихся атаке на целостность;

■ затраты на выявление причин нарушения политики безопасности:

- затраты на проведение расследований нарушений политики безопасности ИТ (сбор данных о способах совершения, механизме и способах сокрытия неправомерного деяния, поиск следов, орудий, предметов посягательства, выявление мотивов неправомерных действий и т.д.);
- затраты на обновление планов обеспечения непрерывности деятельности службы безопасности;

■ затраты на переделки:

- затраты на внедрение дополнительных средств защиты, требующих существенной перестройки системы безопасности ИТ;
- затраты на повторные проверки и испытания системы безопасности ИТ. Внешние затраты на ликвидацию последствий нарушения политики безопасности ИТ:

■ внешние затраты на ликвидацию последствий нарушения политики
безопасности ИТ:

- обязательства перед государством и партнёрами;
- затраты на юридические споры и выплаты компенсаций;
- потери в результате разрыва деловых отношений с партнёрами;

■ потери новаторства:

- затраты на проведение дополнительных исследований и разработки новой рыночной стратегии;
- отказ от организационных, научно-технических или коммерческих решений, ставших неэффективными в результате утечки сведений, и затраты на разработку новых средств ведения конкурентной борьбы;
- потери от снижения приоритета в научных исследованиях и невозможности патентования и продажи лицензий на научно­ технические достижения;

■ прочие затраты:

- заработная плата секретарей и служащих, организационные и прочие расходы, которые непосредственно связаны с предупредительными мероприятиями;
- другие виды возможного ущерба, в том числе связанные с невозможностью выполнения функциональных задач.

Затраты на техническое обслуживание системы безопасности ИТ и мероприятия по предотвращению нарушений политики безопасности ИТ (предупредительные мероприятия):

■ затраты на управление системой безопасности ИТ:

- затраты на планирование системы безопасности ИТ;
- затраты на изучение возможностей инфраструктуры по обеспечению безопасности ИТ;
- затраты на техническую поддержку персонала при внедрении средств защиты информации и процедур, а также планов по безопасности ИТ;
- проверка сотрудников на лояльность, выявление угроз безопасности ИТ;
- организация системы допуска исполнителей и сотрудников к защищаемым ресурсам;

■ регламентное обслуживание средств защиты информации:

- затраты, связанные с обслуживанием и настройкой программно­ технических средств защиты информации, ОС и сетевого оборудования;
- затраты, связанные с организацией сетевого взаимодействия и безопасного использования ИС;
- затраты на поддержание системы резервного копирования и ведения архива данных;
- проведение инженерно-технических работ по установлению сигнализации, оборудованию хранилищ конфиденциальных документов, защите телефонных линий связи, СВТ и т.п.;

■ аудит системы безопасности ИТ:

- затраты на контроль изменений состояния информационной среды;
- затраты на систему контроля за действиями исполнителей;

■ обеспечение соответствия используемых ИТ заданным требованиям:

- затраты на обеспечение соответствия используемых ИТ требованиям по безопасности, совместимости и надёжности, в том числе анализвозможных негативных аспектов ИТ, которые влияют на целостность и доступность;
- затраты на доставку (обмен) конфиденциальной информации;
- удовлетворение субъективных требований пользователей (стиль, удобство интерфейса и др.);

■ обеспечение требований стандартов:

- затраты на обеспечение соответствия принятым стандартам и требованиям;

■ обучение персонала:

- повышение квалификации сотрудников по вопросам использования имеющихся средств защиты, выявления и предотвращения угроз безопасности ИТ;
- развитие нормативной базы и технической оснащённости подразделения безопасности.

Как видим, высокоэффективная система защиты стоит дорого, использует при работе существенную часть ресурсов компьютерной системы. Излишние меры безопасности, помимо экономической неэффективности, приводят к созданию дополнительных неудобств и раздражению персонала. Важно правильно выбрать тот достаточный уровень защиты, при котором затраты на контрмеры и размер возможного ущерба были бы приемлемыми.

---

Дата добавления: 2022-01-22; просмотров: 18; Мы поможем в написании вашей работы!

Поделиться с друзьями:

---

---

Мы поможем в написании ваших работ!