В этом разделе будут описаны первые три этапа процесса управления рисками.

Выбор анализируемых объектов и уровня детализации их рассмотре­ния — первый шаг в оценке рисков. Для небольшой организации допусти­мо рассматривать всю информационную инфраструктуру; однако если организация крупная, всеобъемлющая оценка может потребовать непри­емлемых затрат времени и сил. В таком случае следует сосредоточиться на наиболее важных сервисах, заранее соглашаясь с приближенностью ито­говой оценки. Если важных сервисов все еще много, выбираются те из них, риски для которых заведомо велики или неизвестны.

Мы уже указывали на целесообразность создания карты информа­ционной системы организации. Для управления рисками подобная карта особенно важна, поскольку она наглядно показывает, какие сервисы вы­браны для анализа, а какими пришлось пренебречь. Если ИС меняется, а карта поддерживается в актуальном состоянии, то при переоценке рисков сразу станет ясно, какие новые или существенно изменившиеся сервисы нуждаются в рассмотрении.

Вообще говоря, уязвимым является каждый компонент информаци­онной системы — от сетевого кабеля, который могут прогрызть мыши, до базы данных, которая может быть разрушена из-за неумелых действий ад­министратора. Как правило, в сферу анализа невозможно включить каж­дый винтик и каждый байт. Приходится останавливаться на некотором уровне детализации, опять-таки отдавая себе отчет в приближенности оценки. Для новых систем предпочтителен детальный анализ; старая система, подвергшаяся небольшим модификациям, может быть проанали­зирована более поверхностно.

Очень важно выбрать разумную методологию оценки рисков. Целью оценки является получение ответа на два вопроса: приемлемы ли сущест­вующие риски, и если нет, то какие защитные средства стоит использо­вать. Значит, оценка должна быть количественной, допускающей сопос­тавление с заранее выбранными границами допустимости и расходами на реализацию новых регуляторов безопасности. Управление рисками — ти­пичная оптимизационная задача, и существует довольно много программ­ных продуктов, способных помочь в ее решении (иногда подобные про­дукты просто прилагаются к книгам по информационной безопасности). Принципиальная трудность, однако, состоит в неточности исходных дан­ных. Можно, конечно, попытаться получить для всех анализируемых ве­личин денежное выражение, высчитать все с точностью до копейки, но большого смысла в этом нет. Практичнее пользоваться условными едини­цами. В простейшем и вполне допустимом случае можно пользоваться трехбалльной шкалой. Далее мы продемонстрируем, как это делается.

При идентификации активов, то есть тех ресурсов и ценностей, кото­рые организация пытается защитить, следует, конечно, учитывать не только компоненты информационной системы, но и поддерживающую инфраст­руктуру, персонал, а также нематериальные ценности, такие как репутация организации. Отправной точкой здесь является представление о миссии ор­ганизации, то есть об основных направлениях деятельности, которые жела­тельно (или необходимо) сохранить в любом случае. Выражаясь объектно-ориентированным языком, следует в первую очередь описать внешний ин­терфейс организации, рассматриваемой как абстрактный объект.

Одним из главных результатов процесса идентификации активов яв­ляется получение детальной информационной структуры организации и способов ее (структуры) использования. Эти сведения целесообразно на­нести на карту ИС в качестве граней соответствующих объектов.

Информационной основой сколько-нибудь крупной организации яв­ляется сеть, поэтому в число аппаратных активов следует включить ком­пьютеры (серверы, рабочие станции, ПК), периферийные устройства, внешние интерфейсы, кабельное хозяйство, активное сетевое оборудова­ние (мосты, маршрутизаторы и т.п.). К программным активам, вероятно, будут отнесены операционные системы (сетевая, серверные и клиентские), прикладное программное обеспечение, инструментальные средства, сред­ства управления сетью и отдельными системами. Важно зафиксировать, где (в каких узлах сети) хранится программное обеспечение, и из каких уз­лов оно используется. Третьим видом информационных активов являются данные, которые хранятся, обрабатываются и передаются по сети. Следует классифицировать данные по типам и степени конфиденциальности, выявить места их хранения и обработки, способы доступа к ним. Все это важ­но для оценки последствий нарушений информационной безопасности.

Управление рисками — процесс далеко не линейный. Практически все его этапы связаны между собой, и по завершении почти любого из них может возникнуть необходимость возврата к предыдущему. Так, при идентификации активов может оказаться, что выбранные границы анализа следует расширить, а степень детализации - увеличить. Особенно труден первичный анализ, когда многократные возвраты к началу неизбежны.

Основные этапы управления рисками

Этапы, предшествующие анализу угроз, можно считать подготови­тельными, поскольку, строго говоря, они напрямую с рисками не связа­ны. Риск появляется там, где есть угрозы.

Краткий перечень наиболее распространенных угроз был рассмот­рен нами ранее. К сожалению, на практике угроз гораздо больше, причем далеко не все из них носят компьютерный характер. Так, вполне реальной угрозой является наличие мышей и тараканов в занимаемых организаци­ей помещениях. Первые могут повредить кабели, вторые вызвать корот­кое замыкание. Как правило, наличие той или иной угрозы является следствием пробелов в защите информационной системы, которые, в свою очередь, объясняются отсутствием некоторых сервисов безопаснос­ти или недостатками в реализующих их защитных механизмах. Опасность прогрызания кабелей возникает не просто там, где есть мыши, она связа­на с отсутствием или недостаточной прочностью защитной оболочки.

Первый шаг в анализе угроз - их идентификация. Рассматриваемые виды угроз следует выбирать исходя из соображений здравого смысла (ис­ключив, например, землетрясения, однако не забывая о возможности за­хвата организации террористами), но в пределах выбранных видов прове­сти максимально подробный анализ.

Целесообразно выявлять не только сами угрозы, но и источники их возникновения — это поможет в выборе дополнительных средств защиты. Например, нелегальный вход в систему может стать следствием воспро­изведения начального диалога, подбора пароля или подключения к сети неавторизованного оборудования. Очевидно, для противодействия каж­дому из перечисленных способов нелегального входа нужны свои меха­низмы безопасности.

После идентификации угрозы необходимо оценить вероятность ее осуществления. Допустимо использовать при этом трехбалльную шкалу (низкая (1), средняя (2) и высокая (3) вероятность).