Полная версия

Главная arrow Информатика arrow Актуальные вопросы защиты информации

  • Увеличить шрифт
  • Уменьшить шрифт


<<   СОДЕРЖАНИЕ ПОСМОТРЕТЬ ОРИГИНАЛ   >>

ОСОБЕННОСТИ ПОДХОДА К АНАЛИЗУ РИСКОВ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ДЛЯ МАЛОГО И СРЕДНЕГО БИЗНЕСА

Малый и средний бизнес, в отличие от больших компаний, как правило, не считает приоритетной задачу разработки четкой стратегии развития политики информационной безопасности. Немаловажной причиной здесь является отсутствие квалифицированного персонала. Обычно функции по защите информации выполняет опытный пользователь из числа штатных сотрудников или, в лучшем случае, приходящий системный администратор. Многие небольшие компании не имеют штатного специалиста по информационным технологиям, поэтому об отдельном специалисте по защите информации даже и речи быть не может. Как правило, такие организации работают по принципу «пока гром не грянет», ведь превентивно оценивать возможные риски информационной безопасности просто некому.

В России в последние годы принят ряд стандартов, регламентирующих деятельность в области информационной безопасности. Напомним - это семейство ГОСТ Р ИСО/МЭК 27000, основанное и соответствующее семейству международных стандартов на системы управления информационной безопасностью ISO/IEC 27000. Эти стандарты определяют требования к системам управления информационной безопасностью, управлению рисками, метрики и измерения, а также руководство по внедрению. Однако темпы развития современных информационных технологий значительно опережают темпы разработки рекомендательной и нормативно-правовой базы руководящих документов, действующих на территории Российской Федерации. Отсюда возникает необходимость в решении следующих вопросов: в соответствии с какими критериями и показателями производить оценку эффективности системы защиты информации, как обеспечить оценку и мониторинг информационных рисков в организациях, особенно, малого и среднего бизнеса (МСБ), поскольку на практике таким организациям необходимо получать не только результаты первоначальной оценки рисков ИБ, рекомендации по их снижению, но и простой в использовании и недорогой инструмент такой оценки.

Рассмотрим ряд методик анализа и оценки рисков информационной безопасности с точки зрения их возможного использования для МСБ.

До принятия решения о внедрении той или иной методики управления рисками ИБ в МСБ следует убедиться, что она достаточно полно учитывает бизнес-потребности компании, ее масштабы, а также соответствует лучшим мировым практикам и имеет достаточно подробное описание процессов и требуемых действий.

Выводы, сформулированные в работе[1], указывают на затруднительное применение методик CRAMM, FRAP, RiskWatch, Microsoft Security

Assessment Tool (MSAT), ГРИФ для МСБ, вследствие того, что их использование либо сопряжено с необходимостью привлечения специалистов высокой квалификации (CRAMM, FRAP, ГРИФ); либо трудоемкостью и длительностью процесса оценки рисков (MSAT)[2]. Кроме того, следует отметить высокую стоимость программного продукта (RiskWatch).

Программный инструментарий CORAS[3] имеет определенные преимущества связанные с тем, что программный продукт распространяется бесплатно и не требует значительных ресурсов для установки и применения, что является очень привлекательным для МСБ. Методика проста в использовании и не требует специальных знаний. Недостатком методики является то, что в ней не предусмотрена периодичность проведения оценки рисков ИБ. CORAS не предусматривает такой эффективной меры по управлению рисками, как программа повышения информированности сотрудников в области информационной безопасности, что не позволяет снизить риски ИБ, связанные с нарушениями режима информационной безопасности сотрудниками компании по причине их неосведомленности в отношении корпоративных требований в этой области и правил безопасного использования информационных систем.

Большой популярностью в последнее время пользуется методика анализа рисков информационной безопасности OCTAVE, анализ этой методики, представленный в работе[4], позволяет рекомендовать ее для использования в МСБ.

Матричный подход и расчетная методика оценки рисков ИБ в МСБ, подробно описанные в работе[5], связывают активы, уязвимости, угрозы и средства управления и определяют важность различных средств управления соответствующим активам организации без использования какого-либо специализированного программного инструментария для анализа и оценки рисков ИБ, что является привлекательным для МСБ с точки зрения минимизации расходов организации на процедуру оценки рисков.

Матричная методика использует три отдельных матрицы[6] - матрицу уязвимостей, матрицу угроз и матрицу контроля, чтобы собрать необходимые данные для анализа рисков. Матрица уязвимостей содержит связь между активами и уязвимостями в организации, матрица угроз содержит в себе отношения между уязвимостями и угрозами, а матрица контроля содержит связи между угрозами и средствами управления.

При первоначальном анализе рисков формируются списки активов, уязвимостей, угроз и средств управления. Затем данные из матрицы уязвимостей преобразуются и заносятся в матрицу угроз. Таким же образом данные из матрицы угроз переносятся в матрицу контроля, которая содержит относительную важность средств управления. Используемая система оценок носит качественный характер: «низкая», «средняя» и «высокая».

Другая методика, не требующая использования специализированного программного инструментария - расчетная[7]. Методика ориентирована на использование в организациях МСБ без привлечения сторонних специалистов, дает количественные оценки рисков ИБ и проста в использовании. Основная задача этой методики заключается в том, чтобы определить численный показатель риска ИБ с целью принятия эффективных мер по защите информации. Методика позволяет выполнить полноценный анализ и оценку рисков без привлечения высококвалифицированных специалистов. Процедуры оценки рисков ИБ могут выполняться сотрудниками организации совместно с руководящим звеном. Обобщенный алгоритм проведения оценки рисков ИБ с использованием расчетной методики приведен на рис. 5.

Алгоритм оценки рисков информационной безопасности с использованием расчетной методики

Рис. 5. Алгоритм оценки рисков информационной безопасности с использованием расчетной методики

Для того чтобы определить наиболее подходящие методики оценки рисков ИБ для организаций малого и среднего бизнеса был проведен анализ методик, рассмотренных выше, по критериям, максимально удовлетворяющим потребностям организаций МСБ, а также соответствующим их возможностям.

Сравнительный анализ методик оценки рисков ИБ представлен в табл. 3 и на итоговой диаграмме рис. 6[8].

Сравнительный анализ методик оценки рисков ИБ для малого и среднего бизнеса

Рис.6. Сравнительный анализ методик оценки рисков ИБ для малого и среднего бизнеса

Анализ выполнялся по совокупности двух оценок - максимальное значение оценки по общим характеристикам и минимальное значение оценки по входным данным.

Данный выбор обусловлен тем, что для организаций МСБ наиболее приоритетными будут являться критерии простоты использования методики, ее цена, и полнота результатов оценки, а большое количество входных данных для использования методики только затруднит ее применение.

Результаты сравнительного анализа методик оценки рисков ИБ для организаций МСБ приведены в табл. 4.

Таблица 3

Сравнительный анализ методик оценки рисков ИБ для МСБ

Критерии

сравнения

Наименование методики

ГРИФ

MSAT

OCTAVE

Risk Watch

CORAS

Матричный

подход

Расчетная

методика

Общие характеристики

Методика рекомендована производителем для организаций МСБ

0

1

0

0

1

1

1

Методика рассчитана на организации различных областей деятельности

1

1

1

1

1

1

Простота использования

1

1

1

0

1

1

1

Распространяется бесплатно

0

1

1

0

1

1

1

Количественная оценка

1

0

0

1

0

1

1

Качественная оценка

1

1

1

0

1

1

1

Повышение информированности сотрудников

1

1

1

0

1

1

1

Пригодность к регулярному использованию

1

1

1

1

0

1

1

Использование независимой оценки

1

0

0

0

1

0

0

ИТОГО:

7

6

6

3

7

8

8

Входные данные

Ресурсы

1

1

1

1

1

1

1

Ценность ресурсов

1

1

1

1

1

1

1

Угрозы

1

1

1

1

1

1

1

Уязвимости

1

1

1

1

1

1

1

Выбор контрмер

1

1

0

1

1

1

0

Базовые требования в области безопасности

0

0

1

1

0

0

0

Потери

0

0

0

1

0

0

0

Меры защиты информации

0

1

1

1

0

0

1

Частота возникновения угроз

0

0

0

1

0

0

0

Сетевое оборудование

1

1

1

0

0

0

0

Виды информации

1

1

0

0

0

0

0

Группы пользователей

1

1

0

0

0

0

0

СЗИ

1

0

0

0

0

1

1

ИТОГО:

9

9

7

9

5

6

6

Таблица 4

Результаты сравнительного анализа методик оценки рисков ИБ для МСБ

Наименование методики

Результат анализа

Методика ГРИФ

Методика использует как качественные, так и количественные оценки рисков, определяет условия, при которых риски могут быть приняты компанией. Данная методика ориентирована на государственный сектор и не адаптирована для использования организациями МСБ.

Методика MSAT

Не дает количественной оценки рисков. Ключевыми показателями являются профиль риска и индекс эшелонированной защиты. Позволяет оценить эффективность инвестиций в систему защиты информации.

Методика OCTAVE

Методика не дает количественных оценок рисков ИБ, относительно проста в использовании, подходит для организаций с различной спецификой деятельности. Использует среднее количество входных данных для проведения анализа.

Методика RiskWatch

Методика использует количественные и качественные оценки рисков ИБ, проста в использовании, достаточно гибкая. Не использует учет административных и организационных факторов при анализе рисков ИБ, а эти факторы оказывают значительное влияние в организациях МСБ.

Методика CORAS

Программный инструментарий распространяется бесплатно, не требует значительных ресурсов для установки и применения. Методика проста в использовании и не требует специальных знаний. Недостатком методики является то, что в ней не предусмотрена периодичность проведения оценки рисков ИБ.

Матричный подход

Методика разработана для использования в организациях МСБ без привлечения сторонних специалистов и дает количественные оценки рисков ИБ, проста в использовании и не требует использования программного инструментария.

Следует в нескольких словах охарактеризовать последние разработки в области специализированного программного инструментария для анализа и оценки рисков ИБ, тем более, что некоторые из них позиционируются, как предназначенные именно для малого и среднего бизнеса.

RA2 art of risk (AEXIS Security Consultants). В RA2 art of risk реализован простой для понимания процессный подход. Заметим, что для эффективной оценки и управления рисками, сбор исходной информации необходимо обеспечить из различных источников в организации, для этой цели в RA2 art of risk включен специальный модуль RA2 Information Collection Device, По завершении процесса проектирования и внедрения системы управления информационной безопасности (СУИБ), RA2 art of risk позволяет создавать архив для хранения результатов, что является чрезвычайно важным для последующих оценок рисков ИБ. RA2 является эффективной системой поддержки принятия решений по управлению информационными рисками для современного бизнеса.

vsRisk - ISO 27001: 2005 Compliant Information Security Risk Assessment Tool (IT Governance). Программное обеспечение для оценки рисков информационной безопасности в соответствии с требованиями стандартов ISO/IEC 27001 и BS 7799-3. vsRisk - это совершенно новый и уникальный в своем роде инструмент для оценки рисков, который разработан в соответствии с современными международными стандартами. Позволяет оценивать риски нарушения конфиденциальности, целостности, и доступности информации для бизнеса, а также с точки зрения соблюдения законодательства и контрактных обязательств, поддерживает такие международные стандарты как: ISO/IEC 27001, ISO/IEC 17799, ISO/IEC TR 13335-3:1998, NIST SP 800-30. vsRisk содержит интегрированную, регулярно обновляемую базу данных угроз и уязвимостей, соответствующую требованиям BS7799-3.

Proteus (InfoGov). Proteus - мощная система для поддержки процессов СУИБ, включающая в себя средства анализа и оценки влияния рисков на бизнес; управления непрерывностью бизнеса; управления инцидентами и активами. Система масштабируется от однопользовательской версии, которая может использоваться в организациях МСБ, до многопользовательской, позволяющей управлять информационной безопасностью в крупных корпорациях. Все действия, производимые в системе, регистрируются в журнале аудита. Система обеспечивает поддержку таких стандартов как: ISO/IEC 27001, ISO/IEC 17799, PCI, NIST и ряда других. В Proteus реализовано совместное использование данных между процессами анализа влияния на бизнес и оценки рисков ИБ. Кроме того, имеются мощные средства визуализации результатов в реальном времени в графической форме.

РискМенеджер (Институт системного анализа РАН, ныне вошедший в состав Федерального исследовательского центра «Информатика и управление» РАН). РискМенеджер - система автоматизации управления рисками, аудита, контроля, мониторинга безопасности банковских и других инфраструктур и бизнес-процессов. Система РискМенеджер-Анализ автоматизирует: построение моделей угроз, оценки потенциалов угроз, объектов, организационных структур, бизнес-процесов; построение моделей защиты, моделей влияния средств защиты на изменение безопасности системы, расчета рископонижающих потенциалов мер защиты, выбора наиболее эффективных комплексов мер защиты по критерию эффективность-стоимость; расчет рисков нарушения безопасности, расчет остаточных рисков после применения возможных вариантов комплексов мер защиты; контроль качества требований к безопасности системы на актуальность, полноту, непротиворечивость; отсутствие дублирования, влияния на конкурентоспособность организации и обоснование внесения изменений в системы требований к безопасности. Инструмент, с помощью которого можно проводить аудит, мониторинг, контроль и внутренний аудит безопасности организации и бизнес-процессов по таким стандартам как: ГОСТ Р ИСО/МЭК 15408-2012 «Общие критерии оценки безопасности информационных технологий»; ISO/IEC 17799 «Информационные технологии - Практические правила управления информационной безопасностью»; ISO/IEC 27001- 2013 «Системы менеджмента информационной безопасности. Требования».

Все перечисленные программные инструментарии обладают неоспоримыми достоинствами и могут быть рекомендованы для решения задач анализа и оценки рисков ИБ в МСБ, если компании не остановит их сравнительно высокая стоимость (от 94 000 руб. для vsRisk, до 117 750руб. для RA2 art of risk).

Отметим в заключение, что необходимость проведения процедуры управления рисками информационной безопасности в МСБ не вызывает сомнения, и организациям необходимо получать не только результаты первоначальной оценки рисков ИБ, рекомендации по их снижению, но и простой в использовании и недорогой инструмент такой оценки. Вопрос упирается, в основном, в необходимость инвестиций, как в проведение самой процедуры анализа и оценки рисков ИБ, так и в приобретение программного инструментария для этих целей и наличие квалифицированных специалистов для проведения процедуры. Заметим, что инвестиции в систему ИБ в целом определяются исходя из стоимости защищаемых активов организации (10-20% от стоимости активов).

Таким образом, для организаций МСБ доступными с точки зрения стоимостного критерия, являются инструменты: CORAS, матричная и расчетная методика. При наличии достаточного финансирования, рекомендуемыми методиками могут быть vsRisk или РискМенеджер, как инструментарий, позволяющий проводить аудит, мониторинг, контроль и внутренний аудит безопасности организации и бизнес-процессов с использованием современных стандартов в области ИБ. В любом случае, до принятия решения о внедрении той или иной методики управления рисками ИБ в МСБ следует убедиться, что она достаточно полно учитывает бизнес-потребности компании, ее масштабы, а также соответствует лучшим мировым практикам и имеет достаточно подробное описание процессов и требуемых действий.

  • [1] Баранова E.K. Сравнительный анализ программного инструментария для анализаи оценки рисков информационной безопасности // Проблемы информационной безопасности. Компьютерные системы. СПб. - Институт информационных технологий и управления // под редакцией проф. Зегжды П.Д. - 2014. - № 4. - С. 160-168.
  • [2] Средство оценки безопасности Microsoft Security Assessment Tool (MSAT). URL:http://technet.microsoft.com/ru-ru/security/cc 185712.aspx
  • [3] Баранова E.K., Бабаш A.B. Практикум по моделированию системы защиты информации: Учеб, пособие. - М.: РИОР: ИНФРА-М, 2016.
  • [4] Баранова Е. К., Забродоцкий А. С. Процедура применения методологии анализарисков OCTAVE в соответствии со стандартами серии ИСО/МЭК 27000-27005 // Вестник Московского университета им. С.Ю. Витте. Серия 3: Образовательные ресурсы итехнологии. - 2015. - № 3(11), С. 73-77.
  • [5] Баранова Е. К. Особенности подхода к анализу рисков информационной безопасности в малом и среднем бизнесе // Вопросы оборонной техники. Серия 16: Технические средства противодействия терроризму. - 2016. - № 7-8. - С. 146-152.
  • [6] Баранова Е.К., Бабаш А.В. Практикум по моделированию системы защиты информации: Учеб, пособие. - М.: РИОР: ИНФРА-М, 2016.
  • [7] Плетнев П.В., Белов В.М. Методика оценки рисков информационной безопасности на предприятиях малого и среднего бизнеса // Доклады Томского государственногоуниверситета систем управления и радиоэлектроники. - 2012. - № 1-2 (25). - С. 83-86.
  • [8] Баранова Е.К. Особенности подхода к анализу рисков информационной безопасности в малом и среднем бизнесе // Вопросы оборонной техники. Серия 16: Технические средства противодействия терроризму. -2016. - № 7-8. - С. 146-152.
 
<<   СОДЕРЖАНИЕ ПОСМОТРЕТЬ ОРИГИНАЛ   >>