Определение понятия «консалтинг»

Аудит

Информационной

Безопасности

И консалтинг

Липецк

УДК

ББК

Малыш В.Н., Фролов И.Н. Аудит информационной безопасности и консалтинг: Учебно-методическое пособие – Липецк: ЛГПУ, 2012. – 141с.

ISBN:

Пособие предназначено для студентов всех форм обучения по направлению «Информационная безопасность», а также может быть полезно специалистам, занимающимся вопросами проведения аудита ИБ.

Рецензенты:

к.т.н., доцент Корнеев А.М.

к.т.н., доцент Скуднев Д.М.

ISBN:

© Липецкий государственный педагогический университет, 2012

© Малыш В.Н., Фролов И.Н., 2012

Содержание

Введение. 6

1. Понятие консалтинга. 7

2. Виды консалтинга. 10

3. Понятие аудита информационной безопасности. 18

4. Виды аудита информационной безопасности. 20

5. Состав работ по аудиту информационной безопасности. 30

6. Методология оценки угроз безопасности. 47

8. Стандарты проведения аудита ИБ. 64

Лабораторный практикум. 67

ЛАБОРАТОРНАЯ РАБОТА № 1. 67

ЛАБОРАТОРНАЯ РАБОТА № 2. 71

ЛАБОРАТОРНАЯ РАБОТА № 3. 85

ЛАБОРАТОРНАЯ РАБОТА № 4. 100

ЛАБОРАТОРНАЯ РАБОТА № 5. 125

Задание для самостоятельной работы студента. 128

Варианты организаций. 134

Заключение. 135

Список рекомендуемой и используемой литературы.. 137

Введение

Информационные технологии на сегодняшний день играют ключевую роль в обеспечении эффективного выполнения бизнес-процессов различных коммерческих компаний. Вместе с тем повсеместное использование информационных технологий в деятельности компаний приводит к повышению актуальности проблем, связанных с защитой данных. За последние несколько лет, как в России, так и в зарубежных странах наблюдается увеличение числа атак на автоматизированные системы, приводящих к значительным финансовым и материальным потерям.

Для объективной оценки текущего уровня безопасности применяется аудит информационной безопасности, который включает анализ рисков, связанных с возможностью осуществления угроз безопасности, особенно в отношении информационных ресурсов, оценку текущего уровня защищенности автоматизированных систем (АС), локализацию узких мест в системе их защиты, оценку соответствия ИС требованиям нормативных документов и существующим стандартам в области информационной безопасности и выработку рекомендаций по внедрению новых и повышению эффективности существующих механизмов безопасности ИС.

Аудит - форма независимого, нейтрального контроля какого-либо направления деятельности организации.

Если говорить о главной цели аудита информационной безопасности, то можно ее определить как проведение оценки уровня безопасности автоматизированной системы организации для управления им в целом с учетом перспектив его развития.

В представленном пособии рассмотрена теория и методика проведения аудита информационной безопасности и представлен курс лабораторных работ по консалтингу аудита информационной безопасности, включающий анализ рисков.

Понятие консалтинга

Требования, предъявляемые к консалтинговой компании

Деятельность квалифицированного консультанта или серьезной консалтинговой фирмы, предоставляющей широкий спектр услуг, должна быть подчинена ряду требований, основными из которых являются следующие:

1. Консультант (он же консалтер) обязан владеть отработанной технологией решения задач и необходимыми навыками в формулировании организационного диагноза, стратегическом планировании, использовании информационных систем, а также методами анализа и прогнозирования экономического положения, диагностики общей производственной ситуации, установления контактов (общения и утверждения) и т.п.

2. Консультант (либо консалтинговая компания) должен быть независим от поставщиков продуктов и решений в избранной области, от традиций, не писанных законов, бытующих в организации, политики управленческого аппарата. Мнение консультанта должно носить свободный и объективный характер.

3. Консалтинговая компания должна являть собой структуру, внешнюю по отношению к консультируемой организации.

4. Консультант (либо консалтинговая компания) обязан оказывать заказчикам помощь в использовании их собственного опыта для непрерывного совершенствования своей деятельности.

5. С целью накопления, анализа, переработки и использования получаемого опыта консультант (либо консалтинговая компания) должен работать со многими клиентами.

6. Консультант (либо консалтинговая компания) должен обладать обучающим воздействием на клиентов.

Обобщенная классификация консалтинговых услуг:

1. Консалтинг в области налогообложения и юридические услуги.

2. Аудит, бухгалтерский учёт, отчётность и ревизионная деятельность.

3. Консалтинг в области управления.

Виды консалтинга.

Предоставляемые консалтинговой компанией услуги могут принимать следующие основные формы:

1. Аналитическая деятельность (анализ и оценка внутрихозяйственной и финансовой деятельности предприятия-клиента, анализ инвестиционных проектов, исследования деятельности конкурентов, рынков сбыта, движения цен и т.д.);

2. Прогнозирование (на основе проведенного анализа и используемых консультантом методик - составление прогнозов по указанным выше направлениям);

3. Консультации по самому широкому кругу вопросов, касающихся как деятельности компании-клиента, так и рынка в целом;

4. Ревизия деятельности предприятия-клиента;

5. Участие в деятельности предприятия-клиента (стратегическое планирование, решение совокупности проблем, связанных с организацией управления в различных сферах деятельности предприятия, а также разработка и внедрение информационных систем, системная интеграция и т.д.).

Стили консалтинга

Выделяют 3 стиля консультирования:

Экспертное

Клиент верно определил суть и содержание проблемы и временно передает бремя решения проблемы специалисту. Роль консультанта – передать клиенту готовое решение без комментариев и обоснований.

Обучающее

Клиент верно определил суть и содержание проблемы и временно передает бремя решения проблемы специалисту, принимая участие в семинаре по выявлению способов решения проблемы. Роль консультанта - передать клиенту готовое решение с комментариями и пояснениями.

Процессное

Клиент констатирует, что само определение сути и содержания проблемы представляется сложным и запутанным, готов разрешить консультанту участвовать не только в определении сути проблемы, но и в процессе ее решения. Консультация по процессу развивает умение клиента решать проблемы. Роль консультанта по процессу - содействовать процессу решения проблем, а не определять их содержание.

Как мы видим, консалтинговый процесс проходит в тесном взаимодействии с клиентом и имеет следующие стадии:

Как мы видим, консалтинговый процесс проходит в тесном взаимодействии с клиентом и имеет следующие стадии:

1) диагностика (выявление проблем)

· сбор данных на объекте и их обработка,

· систематизированное определение проблемы

2) разработка решений

· определение поля допустимых решений,

· выбор рекомендуемых решений,

· представление решений руководству клиентской организации.

3) внедрение решений

· разработка программы внедрения

· внедрение

· контроль за внедрением

· оценка результатов проекта

· конец реализации контракта.

Участие в деятельности предприятия-клиента (стратегическое планирование, решение совокупности проблем, связанных с организацией проблем в различных сферах деятельности предприятий, а также разработка и внедрение информационных систем, системная интеграция и т.д.

Консалтинг осуществляется в областях общего управления, администрирования, финансового управления, управления кадрами, маркетинге, производстве, информационных технологий, а также специализированных услуг. Всего по международной классификации есть 104 вида консалтинга.

В странах с рыночной экономикой приглашение профессионалов является престижным свидетельством того, что фирма обладает достаточной деловой культурой, чтобы использовать предлагаемый рынком интеллектуальный капитал в области менеджмента. Отсутствие специалистов-консультантов при разработке ответственного решения рассматривается также, как отсутствие архитектора при новой модели автомобиля. разработке проекта здания, врача при лечении больного или дизайнера при разработке

Активный аудит

Одним из самых распространенных видов аудита является активный аудит. Это исследование состояния защищенности информационной системы с точки зрения хакера (или некоего злоумышленника, обладающего высокой квалификацией в области информационных технологий). Зачастую компании-поставщики услуг активного аудита именуют его инструментальный анализ защищенности, чтобы отделить данный вид аудита от других.

Суть активного аудита состоит в том, что с помощью специального программного обеспечения (в том числе, с помощью систем анализа защищенности) и специальных методов осуществляется сбор информации о состоянии системы сетевой защиты. Под состоянием системы сетевой защиты понимаются лишь те параметры и настройки, использование которых помогает хакеру проникнуть в сети и нанести урон компании.

При осуществлении данного вида аудита на систему сетевой защиты моделируется как можно большее количество таких сетевых атак, которые может выполнить хакер. При этом аудитор искусственно ставится именно в те условия, в которых работает хакер, – ему предоставляется минимум информации, только та, которую можно раздобыть в открытых источниках. Естественно, атаки всего лишь моделируются и не оказывают какого-либо деструктивного воздействия на информационную систему. Их разнообразие зависит от используемых систем анализа защищенности и квалификации аудитора. Результатом активного аудита является информация обо всех уязвимостях, степени их критичности и методах устранения, сведения о широкодоступной информации (информация, доступная любому потенциальному нарушителю) сети заказчика.

По окончании активного аудита выдаются рекомендации по модернизации системы сетевой защиты, которые позволяют устранить опасные уязвимости и тем самым повысить уровень защищенности информационной системы от действий «внешнего» злоумышленника при минимальных затратах на информационную безопасность.

Однако без проведения других видов аудита эти рекомендации могут оказаться недостаточными для создания «идеальной» системы сетевой защиты. Например, по результатам данного вида аудита нельзя сделать вывод о корректности, с точки зрения безопасности проекта информационной системы.

Активный аудит – услуга, которая может и должна заказываться периодически. Выполнение активного аудита, например, раз в год, позволяет удостовериться, что уровень системы сетевой безопасности остается на прежнем уровне.

Активный аудит условно можно разделить на два вида: «внешний» активный аудит и «внутренний» активный аудит.

При «внешнем» активном аудите специалисты моделируют действия «внешнего» злоумышленника. В данном случае проводятся следующие процедуры:

· определение доступных из внешних сетей IP-адресов заказчика;

· сканирование данных адресов с целью определения работающих сервисов и служб, определение назначения отсканированных хостов;

· определение версий сервисов и служб сканируемых хостов;

· изучение маршрутов прохождения трафика к хостам заказчика;

· сбор информации об ИС заказчика из открытых источников;

· анализ полученных данных с целью выявления уязвимостей.

«Внутренний» активный аудит по составу работ аналогичен «внешнему», однако при его проведении с помощью специальных программных средств моделируются действия «внутреннего» злоумышленника.

Данное деление активного аудита на «внешний» и «внутренний» актуально для заказчика в следующих случаях:

· у заказчика существуют финансовые ограничения в приобретении услуг и продуктов по защите информации;

· модель злоумышленника, которую рассматривает заказчик, не включает «внутренних» злоумышленников;

· в компании заказчика расследуется факт обхода системы сетевой защиты.

Сопроводительные услуги

Иногда в ходе активного аудита заказчику предлагается ряд дополнительных услуг, напрямую связанных с оценкой состояния системы информационной безопасности, в частности - проведение специализированных исследований.

Зачастую организация в своей информационной системе использует специализированное программное обеспечение (ПО) собственной разработки, предназначенное для решения нестандартных задач (например, корпоративный информационный портал, различные бухгалтерские системы или системы документооборота). Подобные ПО уникальны, поэтому каких-либо готовых средств и технологий для анализа защищенности и отказоустойчивости данного ПО не существует. В данном случае проводятся специализированные исследования, направленные на оценку уровня защищенности конкретного ПО.

Еще один вид услуг, предлагаемых в ходе активного аудита, - исследование производительности и стабильности системы, или стресс-тестирование. Оно направлено на определение критических точек нагрузки, при которой система вследствие атаки на отказ в обслуживании или повышенной загруженности перестает адекватно реагировать на легитимные запросы пользователей.

Стресс-тест позволит выявить «узкие» места в процессе формирования и передачи информации и определить те условия, при которых нормальная работа системы невозможна. Тестирование включает в себя моделирование атак на отказ в обслуживании, пользовательских запросов к системе и общий анализ производительности.

Одной из самых «эффектных» услуг является тест на проникновение (Penetration Testing), который во многом похож на «внешний» активный аудит, но по своей сути аудитом не является.

Основная цель данного тестирование – демонстрация «успехов», которых может достигнуть хакер, действующий при текущем состоянии системы сетевой защита. Результаты данной услуги более наглядны, чем результаты аудита. Однако ей свойственны множество ограничений и особенностей. Например, особенность технического характера: заказчик информируется только о факте уязвимости системы сетевой защиты, в то время как в результатах «внешнего» активного аудита заказчику сообщается не только факт уязвимости сети, но и информация обо всех уязвимостях и способах их устранения.

Экспертный аудит

Экспертный аудит можно условно представить как сравнение состояния информационной безопасности с «идеальным» описанием, которое базируется на следующем:

· требования, которые были предъявлены руководством в процессе проведения аудита;

· описание «идеальной» системы безопасности, основанное на аккумулированном в компании-аудиторе мировом и частном опыте.

При выполнении экспертного аудита сотрудники компании-аудитора совместно с представителями заказчика проводят следующие виды работ:

· сбор исходных данных об информационной системе, об её функциях и особенностях, используемых технологиях автоматизированной обработки и передачи данных (с учетом ближайших перспектив развития);

· сбор информации об имеющихся организационно-распорядительных документах по обеспечению информационной безопасности и их анализ;

· определение точек ответственности систем, устройств и серверов ИС;

· формирование перечня подсистем каждого подразделения компании с категорированием критичной информации и схемами информационных потоков.

Один из самых объемных видов работ, которые проводятся при экспертном аудите, – сбор данных об информационной системе путем интервьюирования представителей заказчика и заполнения ими специальных анкет.

Основная цель интервьюирования технических специалистов - сбор информации о функционировании сети, а руководящего состава компании – выяснение требований, которые предъявляются к системе информационной безопасности.

Необходимо отметить, что при экспертном аудите безопасности информационной системы учитываются результаты предыдущих обследований (в том числе других аудиторов), выполняются обработка и анализ проектных решений и других рабочих материалов, касающихся вопросов создания информационной системы.

Ключевой этап экспертного аудита - анализ проекта информационной системы, топологии сети и технологии обработки информации, в ходе которого выявляются, например, такие недостатки существующей топологии сети, которые снижают уровень защищенности информационной системы.

По результатам работ данного этапа предлагаются изменения (если они требуются) в существующей информационной системе и технологии обработки информации, направленные на устранение найденных недостатков с целью достижения требуемого уровня информационной безопасности.

Следующий этап – анализ информационных потоков организации. На данном этапе определяются типы информационных потоков ИС организации и составляется их диаграмма, где для каждого информационного потока указывается его ценность (в том числе ценность передаваемой информации) и используемые методы обеспечения безопасности, отражающие уровень защищенности информационного потока.

На основании результатов данного этапа работ предлагается защита или повышение уровня защищенности тех компонент информационной системы, которые участвуют в наиболее важных процессах передачи, хранения и обработки информации. Для менее ценной информации уровень защищенности остается прежним, что позволяет сохранить для конечного пользователя простоту работы с информационной системой.

Применение анализа информационных потоков организации позволяет спроектировать систему обеспечения информационной безопасности, которая будет соответствовать принципу разумной достаточности.

В рамках экспертного аудита производится анализ организационно-распорядительных документов, таких как политика безопасности, план защиты и различного рода инструкции. Организационно-распорядительные документы оцениваются на предмет достаточности и непротиворечивости декларируемым целям и мерам информационной безопасности. Особое внимание на этапе анализа информационных потоков уделяется определению полномочий и ответственности конкретных лиц за обеспечение информационной безопасности различных участков/подсистем ИС. Полномочия и ответственность должны быть закреплены положениями организационно-распорядительных документов.

Результаты экспертного аудита могут содержать разноплановые предложения по построению или модернизации системы обеспечения информационной безопасности, например:

· изменения (если они требуются) в существующей топологии сети и технологии обработки информации;

· рекомендации по выбору и применению систем защиты информации и других дополнительных специальных технических средств;

· предложения по совершенствованию пакета организационно-распорядительных документов;

· предложения по этапам создания системы информационной безопасности;

· ориентировочные затраты на создание или совершенствование СОИБ (включая техническую поддержку и обучение персонала).

Комплексный аудит

Комплексный аудит информационной безопасности – независимая экспертиза текущего состояния системы ИБ предприятия, устанавливающая уровень ее соответствия выбранным критериям, и предоставление результатов в виде рекомендаций.

Таким образом, комплексный аудит информационной безопасности дает ответ на вопросы:

· комплексной оценки состояния системы информационной безопасности предприятия;

· соответствия системы информационной безопасности выбранным критериям;

· локализации имеющихся проблем;

· формирования оптимальной и эффективной программы построения системы обеспечения информационной безопасности организации.

Комплексный аудит включает в себя:

1. Анализ механизмов безопасности организационного уровня.

2. Анализ политики безопасности организации и организационно-распорядительной документации.

3. Проведение оценки соответствия механизмов и политик безопасности требованиям нормативных документов и адекватности существующим рискам.

4. Инструментальный анализ защищенности внешнего периметра и внутренней ИТ-инфраструктуры организации.

Комплексный аудит информационной безопасности проводится с обязательным привлечением штатного персонала, ответственного за обеспечение функционирования системы информационной безопасности, что помогает в случае необходимости в дальнейшем проводить периодические аудиты внутренними силами.

Ценность в совместной работе состоит в том, что, работая по проектам аудита, проводится независимая оценка, что повышает степень объективности результатов. Кроме того, высокая квалификация и больший опыт подобной работы позволяет провести работу в кратчайшие сроки с заданным качеством.

Таким образом, комплексный аудит ИБ включает в себя комбинацию всех перечисленных выше видов аудита.

Стандарты проведения аудита ИБ

Любой перечень международных, национальных стандартов и других лучших практик, помогающих реализовать эффективное управление безопасностью, будет неполным. Тем не менее, в этом разделе перечислены некоторые из наиболее распространенных стандартов. В основном это стандарты ISO, NIST и BSI.

1. Стандарты, которые помогут на этапе планирования

ü ISO/IEC 27001:2005, Информационные технологии – Методы защиты – Системы менеджмента информационной безопасности – Требования

ü CobiT, Цели контроля для информационных и смежных технологий

ü ISO/IEC 27002:2005, Информационные технологии – Методы защиты – Свод правил по менеджменту информационной безопасности

ü FIPS PUB 199, Публикация Федерального стандарта обработки информации – Стандарт для Федеральной информации и информационных систем

ü NIST SP 800-60, Руководство по соответствию типов информационных систем категориям безопасности

ü NIST SP 800-30, Руководство по управлению рисками

ü ISO TR 13335-4:2000, Информационные технологии – Руководство по менеджменту безопасности информационных технологий – Методы и средства обеспечения безопасности (в настоящее время документ вошел в состав ISO/IEC 27005:2011)

ü NIST SP 800-18, Руководство по разработке планов обеспечения безопасности информационных систем (это руководство по разработке и документированию средств управления безопасностью ИТ)

ü NIST SP 800-53A, Руководство по оценке средств управления безопасностью в Федеральных информационных системах

ü BS 7799-3:2006, Руководство по управлению рисками информационной безопасности

ü ISO/IEC TR 13335-3:1998, Информационные технологии – Руководство по менеджменту безопасности информационных технологий – Методы менеджмента безопасности информационных технологий

Лабораторный практикум

ЛАБОРАТОРНАЯ РАБОТА № 1

Название работы

Организация консалтинговой компании

Цель

Познакомиться на практике с организационной структурой компании по проведению аудиту информационной безопасности предприятия.

Программно-аппаратные средства

Компьютерная лаборатория, стандартные средства Microsoft Office.

Понятийный аппарат

Консалтинг — деятельность по консультированию производителей, продавцов, покупателей по широкому кругу вопросов в сфере технологической, технической, экспертной деятельности. Цель консалтинга — помочь менеджменту в достижении заявленных целей[16]. Консалтинговые компании специализируются по отдельным направлениям деятельности (например, финансовом, организационном, стратегическом)

Основная задача консалтинга заключается в анализе, обосновании перспектив развития и использования научно-технических и организационно-экономических инноваций с учетом предметной области и проблем клиента. Иными словами, консалтинг - это любая помощь, оказываемая внешними консультантами, в решении той или иной проблемы.

Информационная безопасность (ИБ) некоторой ИС – это уровень ее защищенности от случайного или преднамеренного вмешательства в нормальный процесс функционирования, а также от попыток хищения, изменения или разрушения их компонентов.

Система защиты информации (СЗИ) – это система, обеспечивающая информационную безопасность некоторой ИС.

Аудит информационной безопасности – это системный процесс получения объективных качественных и количественных оценок текущего состояния информационной безопасности некоторой информационной системы, в соответствии с определенными критериями и показателями безопасности.

Конфиденциальность (Confidentiality of Information) – это свойство информации быть известной только допущенным пользователям ИС.

Целостность (Integrity of Information) – это свойство информации быть неизменной в семантическом отношении.

Доступность (Availability of Information) – это свойство информации быть свободной на доступ в определенный момент времени.

Доступ к информации(Access to Information) –возможность ознакомления с информацией, ее обработка. Например, чтение, копирование, модификация или уничтожение информации.

Целостность, конфиденциальность и доступность ресурсов ИС вполне возможно измерять, например, на качественных шкалах, привлекая экспертов.

ОБЩИЕ СВЕДЕНИЯ

Круг проблем, решаемых консалтингом, весьма широк, кроме того, специализация компаний, предоставляющих консалтинговые услуги, может быть различной: от узкой, ограничивающейся каким-либо одним направлением консалтинговых услуг (например, аудит), до самой широкой, охватывающей полный спектр услуг в этой области. Соответственно этому, каждый специалист (или каждая фирма), работающая в данной области, вкладываете понятие консалтинга собственный смысл и придает ему собственный оттенок, определяемый направлением деятельности конкретной компании.

Итак, Консалтинг - это вид интеллектуальной деятельности, основная задача которого заключается в анализе, обосновании перспектив развития и использования научно-технических и организационно-экономических инноваций с учетом предметной области и проблем клиента.

Консалтинг решает вопросы управленческой, экономической, финансовой, инвестиционной деятельности организаций, стратегического планирования, оптимизации общего функционирования компании, ведения бизнеса, исследования и прогнозирования рынков сбыта, движения цен и т.д. Иными словами, консалтинг - это любая помощь, оказываемая внешними консультантами, в решении той или иной проблемы.

Основная цель консалтинга заключается в улучшении качества руководства, повышении эффективности деятельности компании в целом и увеличении индивидуальной производительности труда каждого работника.

Согласно распространенному мнению, к услугам внешних консультантов обращаются в основном и в первую очередь те организации, которые оказались в критическом положении. Однако помощь в критических ситуациях - отнюдь не основная функция консалтинга.

КОНТРОЛЬНЫЕ ВОПРОСЫ

1. Что такое консалтинг?

2. Какова основная задача консалтинга?

3. Что понимают под информационной безопасностью?

4. Что представляет собой система защиты информации?

5. Что понимают под аудитом ИБ?

6. Перечислите основные свойства информации.

7. Каковы способы измерения свойств информации?

ЗАДАНИЕ НА ЛАБОРАТОРНУЮ РАБОТУ № 1

Название работы

Организация консалтинговой компании

Задание

1. Изучить основной теоретический материал

2. Создать структурную модель консалтинговой компании.

3. Провести организационные мероприятия по подготовке проведения аудита.

4. Уточнить цели и задачи аудита

5. Сформировать рабочую группу

6. Подготавливается и согласовывается техническое задание на проведение аудита компании (по вариантам).

7. Собирать информацию и дать оценку следующих мер и средств:

ü организационных мер в области информационной безопасности;

ü программно-технических средств защиты информации;

ü обеспечения физической безопасности.

Название работы

Расчет рисков информационной безопасности.

Цель

Познакомиться на практике с методом расчета рисков ИБ на основе модели анализа угроз и уязвимостей от Digital Security.

Выполнил

Студент гр. № ______

ФИО ________________________________________________________

Отчет

1. Структура и описание консалтинговой компании.

2. Перечень услуг консалтинговой компании.

3. Состав рабочей группы:

4. Цели и задачи аудита ИБ:

5. Техническое задание:

6. Придумать или использовать реальную ИС некоторой организации (по вариантам).

7. Исходные данные о заказчике:

8. Выводы по результатам анализа исходных данных от заказчика

9. Ответы на контрольные вопросы:

ЛАБОРАТОРНАЯ РАБОТА № 2

Название работы

Табличные методы оценки и анализа информационных рисков.

Цель

Познакомиться на практике с табличными методами оценки и анализа рисков информационной безопасности.

Программно-аппаратные средства

Компьютерная лаборатория, стандартные средства Microsoft Office.

Понятийный аппарат

Система – это совокупность технических средств, людей и бизнес-процессов, совместное использование которых способствует достижению определенных целей (согласно ГОСТ 34).

Информационная система (ИС) – это любая система (например, компьютерная – КИС – включающая в себя мейнфреймы, локальные сети, узлы доступа, компьютеры), или программное обеспечение (ПО, запущенное в рамках системы), которые используют информационные ресурсы для удовлетворения нужд собственника или пользователей системы.

Риск информационной безопасности – это возможные потери собственника ИС, связанные с реализацией некоторой угрозы через одну или несколько уязвимостей ИС или СЗИ.

Угроза ИБ (Threat) – составляющая риска, которая определяет совокупность условий и факторов, которые прямо или косвенно могут стать причиной нарушения целостности, доступности или конфиденциальности информации, обрабатываемой некоторой ИС, или выхода из строя элемента или всей системы в целом.

Уязвимость (Vulnerability) – составляющая риска, которая определяет некоторое «неудачное» свойство СЗИ или ИС, дающее возможность реализовать ту или иную угрозу ИБ.

Определение риска – это процесс выявления риска, а также его составляющих: угроз и уязвимостей.

Оценка риска – это процесс определения шкал, критериев и измерения по ним существующих рисков. Оценка рисков используется для определения растущего потенциала угроз и рисков, ассоциированных с ИС. Для оценки рисков, как правило, применяют косвенные шкалы, критерии для которых бывают объективными (например, вероятность выхода из строя некоторого узла оборудования в течение определенного срока), либо субъективными (например, оценка владельцем информационного ресурса уровня риска выхода из строя некоторого узла инфосистемы).

Анализ риска – это процесс определения и оценки риска ИБ некоторой информационной системы, проведенный по одной из существующих методик.

Управление рисками – это процесс анализа рисков и выполнение некоторых действий ведущих к снижению рисков до приемлемого уровня.

ОБЩИЕ СВЕДЕНИЯ

Пример проведения табличной оценки рисков

Проведем анализ следующих типов угроз ИБ для некоторой организации:

1. Умышленные несанкционированные действия людей.

2. Непредвиденные случайности.

3. Ошибки со стороны персонала.

4. Нарушение работоспособности оборудования, ошибки в ПО и отказы средств связи.

Далее составляется перечень ИР. Для каждого ресурса перечисляются относящиеся к нему уязвимости и соответствующие им угрозы. Если существует уязвимость без связанной с ней угрозы, или существует угроза, не связанная с какими-либо уязвимостями, то рисков нет. Но и эти случаи следует предусмотреть.

Относящиеся к каждому типу негативных воздействий уровни рисков, соответствующих показателям ценности ресурсов, показателям угроз и уязвимостей, оцениваются при помощи таблицы, аналогичной таблице 1.

Таблица 1. Уровни рисков, соответствующие показателям ценности ресурсов, угроз и уязвимостей.

Количественный показатель риска определяется в шкале от 1 до 8 и вносится в соответствующую ячейку таблицы. Каждая строка в таблице определяет показатель ценности ресурса, а каждый столбец – степень опасности угрозы и уязвимости для ресурса. Например, ресурс имеет показатель ценности – 3, угроза имеет степень – «высокая», а уязвимость – «низкая». Показатель риска в этом случае будет равен – 5. Размер таблицы, учитывающей количество степеней опасности угроз, степеней опасности уязвимостей и категорий ценности ресурсов, может быть изменен в соответствии со спецификой конкретной организации.

Описанный подход определяется классификацией рассматриваемых рисков. После того, как оценивание рисков было выполнено первый раз, его результаты целесообразно сохранить, например, в базе данных. Эта мера в дальнейшем позволит легко повторить последующее оценивание рисков компании.

Ранжирование угроз

В матрице или таблице можно наглядно отразить связь между угрозами, негативными воздействиями и возможностями их реализации. Для этого нужно выполнить следующие шаги.

На первом шаге оценить показатель негативного воздействия по заранее определенной шкале, например, от 1 до 5, для каждого ресурса, которому угрожает опасность.

На втором шаге по заранее заданной шкале, например, также от 1 до 5, оценить вероятность реализации каждой угрозы.

На третьем шаге вычислить показатель риска путем перемножения чисел в колонках II и III, по которому и производится ранжирование угроз.

В этом примере (таблица 2) для наименьшего негативного воздействия и для наименьшей вероятности реализации выбран показатель 1.