Читаем Обеспечение информационной безопасности бизнеса полностью

Обеспечение информационной безопасности бизнеса

В. Б. Голованов , В. В. Андрианов , Н. А. Голдуев , С. Л. Зефиров

Базовый подход. Заранее устанавливается определенный уровень безопасности, который должен обеспечиваться, выбираются необходимые для реализации меры и единообразно применяются к каждой рассматриваемой системе.

Неформальный подход. Риски оцениваются на основе имеющегося опыта и суждений специалистов организации или ответственных сотрудников.

Подробный анализ риска. Осуществляется детальная оценка риска путем идентификации и оценивания «ценности активов», «факторов риска», «уязвимостей» и требований безопасности для каждого информационного актива или однородной группы информационных активов.

Комбинированный подход. Используется комбинация вышеперечисленных подходов с целью дополнения недостатков одного подхода преимуществами другого, что должно привести к большей эффективности и точности анализа и оценки.

Любой из указанных подходов в итоге сводится к сравнению с порогом (это самый деликатный и философский объект), что в итоге должно позволить понять, следует ли что-то предпринять или в этом нет необходимости.

Рис. 36 иллюстрирует ситуацию отклонения между реальным измеренным уровнем риска и «требуемым гарантированным уровнем», устанавливаемым организацией для каждого информационного актива. Хотя требуемый гарантированный уровень, показанный на рис. 36, выражен как единый требуемый гарантированный уровень, на практике он может быть неоднородным по своему характеру, а устанавливаться для каждого информационного актива на основе атрибутов и свойств данного информационного актива и его значимости для организации.

Что касается комбинированного подхода, то он, как правило, сочетает базовый подход с подробным анализом риска, что в итоге признано наиболее эффективной стратегией. Однако определение того, какой подход должен использоваться в определенной ситуации, является нелегкой задачей. Решение о наилучшем подходе зависит от требований безопасности для информационных активов (таких как требования бизнеса, правовые и регулятивные требования и договорные обязательства, касающиеся безопасности, и т. д.).

Целью комбинированного подхода является оценка среды, окружающей каждый информационный актив, и использования соответствующего подхода для анализа риска. Рис. 37 иллюстрирует пример комбинированного подхода.

Оценка риска начинается с идентификации рисков. Однако идентифицируемые риски являются абстрактными, и их трудно понять. Риск формируется из взаимосвязей между несколькими источниками риска. Взаимосвязь между рисками и источниками риска определяется из «ценности активов», «факторов риска» и «уязвимостей».

В процессе идентификации рисков, должны решаться следующие две задачи:

— идентификация информационных активов;

— идентификация факторов риска и уязвимостей.

Идентификация информационных активов включает определение «лиц, отвечающих за информационные активы», подготовку и выполнение инвентаризационной описи активов.

В общем случае в инвентаризационной описи информационных активов должны быть представлены следующие сведения по каждому активу:

— лицо, отвечающее за информацию (владелец или менеджер информационных активов);

— формат информационных активов;

— формат хранения;

— местоположение хранения;

— длительность хранения;

— как следует снимать с эксплуатации активы;

— использование активов;

— масштаб пользователей (и бизнес-процессов);

— зависимости от других процессов.

Отдельная идентификация информационных активов и понимание их свойств будут полезны при идентификации факторов риска и уязвимостей, связанных с последующими задачами, и определении ценности активов. В целом процесс идентификации информационных активов иллюстрирует рис. 38.

«Факторы риска» являются потенциальной причиной инцидентов безопасности, которые могут приводить к потере или повреждению информационных активов организации. Как и в случае определения ценности информационных активов, идентифицируются факторы риска, которые могут оказывать влияние на информационные активы организации. На основе информации о факторах риска, предоставляемой пользователями информации, причастными сторонами из других отделов и внешними специалистами формируется список актуальных угроз и их источников — факторов риска.

Степень детализации в задачах идентификации информационных активов, факторов риска и уязвимостей определяется выбранным подходом к оценке рисков. Оценка риска может проводиться любым, отвечающим выбранному подходу к оценке рисков методом. Принципиальным здесь является лишь то, что результаты такой оценки должны нас максимально близко подвести к соответствующим типам и видам защитных мер, использование которых предполагается обосновать результатами оценки рисков.

Перейти на страницу: