Законопослушность. Политика должна содержать общее описание запрещенных действий и наказаний за них.

Точки контакта. Должно быть известно, куда следует обращаться за разъяснениями, помощью и дополнительной информацией. Обычно «точкой контакта» служит определенное должностное лицо, а не конкрет­ный человек, занимающий в данный момент данный пост.

Политика безопасности нижнего уровня относится к конкретным информационным сервисам. Она включает в себя два аспекта — цели и правила их достижения, поэтому ее порой трудно отделить от вопросов реализации. В отличие от двух верхних уровней, рассматриваемая поли­тика должна быть определена более подробно. Есть много вещей, специ­фичных для отдельных видов услуг, которые нельзя единым образом регламентировать в рамках всей организации. В то же время, эти вещи на­столько важны для обеспечения режима безопасности, что относящиеся к ним решения должны приниматься на управленческом, а не техничес­ком уровне. Приведем несколько примеров вопросов, на которые следует дать ответ в политике безопасности нижнего уровня:

• кто имеет право доступа к объектам, поддерживаемым сервисом?

• при каких условиях можно читать и модифицировать данные?

• как организован удаленный доступ к сервису?

При формулировке целей политики нижнего уровня можно исхо­дить из соображений целостности, доступности и конфиденциальности, но нельзя на этом останавливаться. Ее цели должны быть более конкрет­ными. Например, если речь идет о системе расчета заработной платы, можно поставить цель, чтобы только сотрудникам отдела кадров и бухгал­терии позволялось вводить и модифицировать информацию. В более об­щем случае цели должны связывать между собой объекты сервиса и дей­ствия с ними.

Из целей выводятся правила безопасности, описывающие, кто, что и при каких условиях может делать. Чем подробнее правила, чем более фор­мально они изложены, тем проще поддержать их выполнение программно-техническими средствами. С другой стороны, слишком жесткие пра­вила могут мешать работе пользователей, вероятно, их придется часто пе­ресматривать. Руководству предстоит найти разумный компромисс, ког­да за приемлемую цену будет обеспечен приемлемый уровень безопасно­сти, а сотрудники не окажутся чрезмерно связаны. Обычно наиболее формально задаются права доступа к объектам ввиду особой важности данного вопроса.

Программа безопасности

После того, как сформулирована политика безопасности, можно приступать к составлению программы ее реализации и собственно к реа­лизации.

Чтобы понять и реализовать какую-либо программу, ее нужно струк­турировать по уровням, обычно в соответствии со структурой организа­ции. В простейшем и самом распространенном случае достаточно двух уровней — верхнего, или центрального, который охватывает всю органи­зацию, и нижнего, или служебного, который относится к отдельным ус­лугам или группам однородных сервисов.

Программу верхнего уровня возглавляет лицо, отвечающее за ин­формационную безопасность организации. У этой программы следую­щие главные цели:

• управление рисками (оценка рисков, выбор эффективных средств защиты);

• координация деятельности в области информационной безо­пасности, пополнение и распределение ресурсов;

• стратегическое планирование;

• контроль деятельности в области информационной безопасности. В рамках программы верхнего уровня принимаются стратегические

решения по обеспечению безопасности, оцениваются технологические новинки. Информационные технологии развиваются очень быстро, и не­обходимо иметь четкую политику отслеживания и внедрения новых средств.

Контроль деятельности в области безопасности имеет двусторон­нюю направленность. Во-первых, необходимо гарантировать, что дейст­вия организации не противоречат законам. При этом следует поддержи­вать контакты с внешними контролирующими организациями. Во-вто­рых, нужно постоянно отслеживать состояние безопасности внутри орга­низации, реагировать на случаи нарушений и дорабатывать защитные ме­ры с учетом изменения обстановки.

Следует подчеркнуть, что программа верхнего уровня должна зани­мать строго определенное место в деятельности организации, она должна \

Официально приниматься и поддерживаться руководством, а также иметь определенный штат и бюджет.

Цель программы нижнего уровня - обеспечить надежную и эконо­мичную защиту конкретного сервиса или группы однородных сервисов. На этом уровне решается, какие следует использовать механизмы защиты; за­купаются и устанавливаются технические средства; выполняется повсед­невное администрирование; отслеживается состояние слабых мест и т.п. Обычно за программу нижнего уровня отвечают администраторы сервисов.

Лекция 7. Управление рисками

Информационная безопасность должна достигаться экономически оправдан­ными мерами. В лекции описывается методика, позволяющая сопоставить возможные потери от нарушений ИБ со стоимостью защитных средств.

Ключевые слова: управление рисками, оценка рисков, нейтрализа­ция рисков, ликвидация риска, уменьшение риска, принятие риска, переадресация риска, методология оценки рисков, идентификация активов, анализ угроз, идентификация уязвимых мест, остаточный риск, жизненный цикл ИС, инициация, закупка, разработка, уста­новка, эксплуатация, выведение из эксплуатации, выбор анализиру­емых объектов, выбор уровня детализации, миссия организации, карта ИС, идентификация угроз, источник угрозы, вероятность осу­ществления угрозы, предполагаемый ущерб, экранирование.

Основные понятия

Управление рисками рассматривается нами на административном уровне ИБ, поскольку только руководство организации способно выде­лить необходимые ресурсы, инициировать и контролировать выполнение соответствующих программ.

Вообще говоря, управление рисками, равно как и выработка собст­венной политики безопасности, актуально только для тех организаций, информационные системы которых и/или обрабатываемые данные мож­но считать нестандартными. Обычную организацию вполне устроит ти­повой набор защитных мер, выбранный на основе представления о ти­пичных рисках или вообще без всякого анализа рисков (особенно это вер­но с формальной точки зрения, в свете проанализированного нами ранее российского законодательства в области ИБ). Можно провести аналогию между индивидуальным строительством и получением квартиры в районе массовой застройки. В первом случае необходимо принять множество ре­шений, оформить большое количество бумаг, во втором достаточно опре­делиться лишь с несколькими параметрами. Более подробно данный ас­пект рассмотрен в статье Сергея Симонова «Анализ рисков, управления рисками» (Jet Info, 1999, 1).

Использование информационных систем связано с определенной совокупностью рисков. Когда возможный ущерб неприемлемо велик, не­обходимо принять экономически оправданные меры защиты. Периодическая (пере)оценка рисков необходима для контроля эффективности де­ятельности в области безопасности и для учета изменений обстановки.

⇐ Предыдущая12345678910Следующая ⇒

Поделиться:

Воспользуйтесь поиском по сайту: