Rambler's Top100
Статьи ИКС № 8 2006
Дмитрий КОСТРОВ  01 августа 2006

С чего начать? С категоризации данных и оценки рисков

Не искушенному в ИБ специалисту сразу определиться сложно. Ситуация с еще действующими руководящими документами ФСТЭК России (РД и СТР-К) и уже действующими ГОСТ 15408 и ISO 2700X только запутывает положение.

Для отрасли связи можно выделить три направления работ по обеспечению безопасности:
  • сеть и подсистемы предоставления услуг (то, что приносит прибыль);
  • АСР (то, что «считает» прибыль);
  • офисная компьютерная сеть (поддержка работоспособности офиса).
Обычно под ИБ понимается обеспечение следующих свойств информации: конфиденциальности, целостности, доступности, подлинности, подотчетности, неотказуемости и надежности. Однако в некоторых публикациях при рассмотрении технологий в решениях по управлению идентификацией и доступом (Identity and Access Management, IAM) особо выделяется сегмент «4A»: аутентификация, авторизация, администрирование, аудит. В этом случае СИБ выполняет две основные функции: управления (администрирование и аудит) и правоприменения в режиме реального времени, или real-time enforcement (авторизация и аутентификация).

Категоризация прежде всего

Первый шаг при создании СИБ – определение наиболее важных активов, которые необходимо защитить. На этом этапе следует также провести категоризацию информации по уровням конфиденциальности.

В коммерческих организациях в соответствии с Положением по разграничению информации по грифу конфиденциальности и ее защите, а также с законодательными и нормативно-распорядительными документами РФ в области защиты информации принято деление информации на три уровня:
  • Открытая информация (ОИ).
  • Информация для служебного/внутреннего пользования/использования (ДСП/ДВИ).
  • Конфиденциальная информация (КИ), включающая персональные данные, коммерческую тайну, служебную тайну, профессиональную тайну.
При этом надо четко понимать: данный документ не описывает работу с информацией, составляющей гостайну, а право на отнесение информации к какому-либо грифу и определение перечня и состава таковой принадлежит ее обладателю.

Существует три базовых условия обеспечения защиты информации: сохранение ее конфиденциальности, целостности и доступности.

Открытая информация – информация,подписанная руководством для передачи вовне (для конференций, презентаций и т.п.), полученная из внешних открытых источников, а также размещенная на внешнем веб-сайте компании. Требует обеспечения лишь целостности и доступности.

К информации для внутреннего использования относится любая информация для работы сотрудников, тематических групп, компании в целом. Она циркулирует между подразделениями и необходима для их нормального функционирования (например, внутренний веб-сайт), является результатом работы с открытыми источниками (дайджест новостей для руководства), не относится к КИ или ОИ. Для нее также должны обеспечиваться лишь целостность и доступность.

Конфиденциальная информация требует уже сохранения всех трех признаков.

Каждый руководитель структурного подразделения должен оценить, есть ли у него информация (в электронном виде или на бумажных носителях), которую (хотя бы) потенциально можно отнести к коммерческой тайне. Именно он определяет важность и ценность информации. Критерием служит значимость информации для потенциальных конкурентов, недобросовестных клиентов, поставщиков и т.д.

Делай по GRAMM'у

Следующий этап работ – анализ рисков ИБ. Часто для этого используется методика GRAMM (the UK Government Risk Analysis and Management Method), официально рекомендованная для правительственных и коммерческих организаций Великобритании в 1985 г. и получившая признание во всем мире. GRAMM предполагает разделение всей процедуры на три последовательных этапа:

Этап 1

отвечает на вопрос, достаточно ли для защиты системы средств базового уровня, реализующих стандартные механизмы безопасности, или необходим детальный анализ защищенности. Для обоснованного решения о проведении детального анализа требуется осуществить:
  1. подготовку функциональной спецификации системы и согласование границ проведения ее обследования;
  2. идентификацию информационных, программных и физических ресурсов и создание модели ресурсов исследуемой системы;
  3. оценку критичности информационных ресурсов с точки зрения величины возможного ущерба от их несанкционированного раскрытия, модификации, уничтожения или их временной недоступности. С этой целью проводятся опросы пользователей и владельцев ресурсов. Методика содержит формы (анкеты), помогающие структурировать опрос и инструкции для анализа результатов опросов;
  4. оценку физических ресурсов с точки зрения стоимости их замены или ремонта;
  5. оценку программных ресурсов с точки зрения стоимости их замены или восстановления, а также ущерба из-за их недоступности, раскрытия или модификации.
Если уровень критичности ресурсов очень низкий, к системе предъявляются требования безопасности только базового уровня. Тогда отпадает необходимость в большей части мероприятий 2-го этапа и следует переход к 3-му, на котором генерируется список адекватных контрмер базового уровня.

Этап 2

Здесь определяются риски и оценивается их величина, анализируются угрозы безопасности и уязвимости:
  1. идентификация угроз для конкретных ресурсов, требующих детального анализа;
  2. оценка уровня угроз (вероятности их осуществления);
  3. оценка уязвимости системы по отношению к конкретным угрозам (вероятности причинения ущерба);
  4. вычисление рисков, связанных с угрозами безопасности, на основе оценок стоимости ресурсов, уровняугроз и уязвимостей.
Для оценки уязвимости системы GRAMM предлагает специальные опросники (анкеты) с формулировками вопросов и вариантами ответов. При проведении анализа рисков существующие и применяемые в системе контрмеры (СЗИ и организационные меры) следует игнорировать, не учитывая их действие при оценке угрозы, во избежание неверных предположений относительно их эффективности.

Этап 3

по сути решает задачу управления рисками. Здесь определяются адекватные контрмеры:
  1. разрабатываются контрмеры для уменьшения величины идентифицированных рисков;
  2. если в системе есть СЗИ, они сравниваются с полученным списком контрмер;
  3. готовятся рекомендации по использованию адекватных контрмер.
Решение о реализации новых механизмов безопасности и модификации старых принимает руководство организации с учетом денежных и трудовых затрат, их приемлемости и конечной выгоды для бизнеса. При этом надо четко понимать, что минимизация рисков от успешной реализации угроз ИБ возможна лишь при одновременном применении как организационных, так и технических мер.


Поделиться:
Заметили неточность или опечатку в тексте? Выделите её мышкой и нажмите: Ctrl + Enter. Спасибо!