В настоящее время выделение финансовых и человеческих
ресурсов на обеспечение безопасности ограничено, и требуется показать прибыль
от вложений в них. Инвестиции в информационную безопасность могут рассматриваться
как инвестиции для увеличения прибыли путем уменьшения административных
затрат на ее поддержание или для защиты от потери прибыли путем предотвращения
потенциальных затрат в случае негативных коммерческих последствий. В любом
случае стоимость средств обеспечения безопасности должна соответствовать
риску и прибыли для той среды, в которой работает ваша организация.
Говоря простым языком, риск — это ситуация, когда угроза
использует уязвимое место для нанесения вреда вашей системе. Политика безопасности
обеспечивает основу для внедрения средств обеспечения безопасности путем
уменьшения числа уязвимых мест и как следствие уменьшает риск. Для того
чтобы разработать эффективную и недорогую политику безопасности для защиты
соединений с Интернетом, нужно выполнить тот или иной анализ риска для
оценки требуемой жесткости политики, который определит необходимые затраты
на средства обеспечения безопасности для выполнения требований политики.
То, насколько жесткой будет политика, зависит от:
- Уровня угроз, которым подвергается организация и видимость
организации из внешнего мира
- Уязвимости организации к последствиям потенциальных инцидентов
с безопасностью
- Государственных законов и требований вышестоящих организаций,
которые могут явно определять необходимость проведения того или иного вида
анализа риска или диктовать применение конкретных средств обеспечения безопасности
для конкретных систем, приложений или видов информации.
Отметим, что здесь не учитывается ценность информации или
финансовые последствия инцидентов с безопасностью. В прошлом такие оценки
стоимости требовались как составная часть формального анализа риска в попытке
осуществить оценку ежегодной прибыли при затратах на безопасность. По мере
того, как зависимость государственных и коммерческих организаций от глобальных
сетей становилась большей, потери от инцидентов с безопасностью, которые
практически невозможно оценить в деньгах, стали равными или большими, чем
вычисляемые затраты. Время администраторов информационной безопасности
может более эффективно потрачено на обеспечение гарантий внедрения достаточно
хорошей безопасности, чем на расчет стоимости чего-либо худшего, чем полная
безопасность.
Для организаций, деятельность которых регулируется законами,
или которые обрабатывают информацию, от которой зависит жизнь людей, могут
оказаться более приемлемыми формальные методы оценки риска. В Интернете
есть ряд источников информации по этому вопросу. Следующие разделы содержат
методологию для быстрой разработки профиля риска вашей организации.
Угрозы/видимость
Угроза это любое событие, которое потенциально может нанести
вред организации путем раскрытия, модификации или разрушения информации,
или отказа в обслуживании критическими сервисами. Угрозы могут быть неумышленными,
такими как те, что вызываются ошибками человека, сбоями оборудования или
программ, или стихийными бедствиями. Умышленные угрозы могут быть разделены
на ряд групп от логичных( получение чего-либо без денег) до иррациональных(
разрушение информации). Типичными угрозами в среде Интернета являются:
- Сбой в работе одной из компонент сети сбой из-за ошибок
при проектировании или ошибок оборудования или программ может привести
к отказу в обслуживании или компрометации безопасности из-за неправильного
функционирования одной из компонент сети. Выход из строя брандмауэра или
ложные отказы в авторизации серверами аутентификации являются примерами
сбоев, которые оказывают влияние на безопасность.
- Сканирование информации неавторизованный просмотр критической
информации злоумышленниками или авторизованными пользователями может происходить,
используя различные механизмы электронное письмо с неверным адресатом,
распечатка принтера, неправильно сконфигурированные списки управления доступом,
совместное использование несколькими людьми одного идентификатора и т.д.
- Использование информации не по назначению использование
информации для целей, отличных от авторизованных, может привести к отказу
в обслуживании, излишним затратам, потере репутации. Виновниками этого
могут быть как внутренние, так и внешние пользователи.
- Неавторизованное удаление, модификация или раскрытие информации
специальное искажение информационных ценностей, которое может привести
к потере целостности или конфиденциальности информации.
- Проникновение атака неавторизованных людей или систем,
которая может привести к отказу в обслуживании или значительным затратам
на восстановление после инцидента.
- Маскарад попытки замаскироваться под авторизованного пользователя
для кражи сервисов или информации, или для инициации финансовых транзакций,
которые приведут к финансовым потерям или проблемам для организации.
Наличие угрозы необязательно означает, что она нанесет вред.
Чтобы стать риском, угроза должна использовать уязвимое место в средствах
обеспечения безопасности системы (рассматриваются в следующем разделе)
и система должна быть видима из внешнего мира. Видимость системы это
мера как интереса злоумышленников к этой системе, так и количества информации,
доступной для общего пользования на этой системе.
Все организации, имеющие доступ к Интернету, в некоторой
степени видимы для внешнего мира хотя бы с помощью своего имени в DNS.
Тем не менее, некоторые организации видимы более, чем другие, и уровень
видимости может меняться регулярным образом или в зависимости от каких-нибудь
событий. Так Служба Внутреннего Контроля более видна, чем Орнитологический
Отдел. Exxon стал более видимым после катастрофы в Valdez, а MFS стал менее
видимым после приобретения его WorldCom.
Так как многие угрозы, основанные на Интернете, являются
вероятностными по своей природе, уровень видимости организации напрямую
определяет вероятность того, что враждебные агенты будут пытаться нанести
вред с помощью той или иной угрозы. В Интернете любопытные студенты, подростки-вандалы,
криминальные элементы, промышленные шпионы могут являться носителями угрозы.
По мере того как использованеи глобальных сетей для электронной коммерции
и критических задач увеличивается, число атак криминальных элементов и
шпионов будет увеличиваться.
Уязвимость/последствия
Организации по-разному уязвимы к риску. Политики безопасности должны
отражать уязвимость конкретной организации к различным типам инцидентов
с безопасностью и делать приоритетными инвестиции в области наибольшей
уязвимости.
Имеется два фактора, определяющих уязвимость организации. Первый
фактор последствия инцидента с безопасностью. Почти все организации уязвимы
к финансовым потерям устранение последствий инцидентов с безопасностью
может потребовать значительных вложений, даже если пострадали некритические
сервисы. Тем не менее , средства переноса риска( страхование
или пункты в договорах) могут гарантировать, что даже финансовые потери
не приведут к кризису организации.
Одним из важных шагов при определении возможных последствий
является ведение реестра информационных ценностей, обсуждаемое более детально
в пункте 3.4. Хотя это и кажется простым, поддержание точного списка систем
, сетей, компьютеров и баз данных, использующихся в организации, является
сложной задачей. Организации должны объединить этот список с результатами
работ по классификации данных, рассматриваемыми в пункте 3.7, в ходе которых
информация, хранимая в онлайновом режиме, классифицируется по степени важности
для выполнения организацией своих задач.
Более серьезные последствия возникают, когда нарушается
внутренняя работа организации, что приводит к убыткам из-за упущенных возможностей,
потерь рабочего времени и работ по восстановлению работы. Самые серьезные
последствия это когда затрагиваются внешние функции, такие как доставка
продукции потребителям или прием заказов. Эти последствия инцидента с безопасностью
напрямую вызывают финансовые убытки из-за нарушения работы служб, или из-за
потенциальной потери доверия клиентов в будущем.
Второй фактор это учет политических или организационных
последствий. В некоторых корпорациях верхний уровень руководства организацией
может подумать, прочитав статью в известной газете о проникновении в их
сеть, что произошла катастрофа, даже если при это организация не понесла
никаких финансовых убытков. В более открытых средах, таких как университеты
или научные центры, руководство может на основании инцидента принять решение
о введении ограничений на доступ. Эти факторы надо учитывать при определении
уязвимости организации к инцидентам с безопасностью.
Матрица профиля
Таблица 3.1 Матрица профиля риска
Матрица профиля риска
|
Угрозы: |
Рейтинг |
Видимость |
Рейтинг |
Число очков |
Ни одна из угроз не считается
реальной |
1 |
Очень маленькая |
1 |
|
Возможность возникновения угроз
тяжело оценить |
3 |
Средняя, периодические публикации
об организации |
3 |
|
Угрозы реальны, имел место ряд
случаев их возникновения |
5 |
Большая, постоянные публикации
об организации |
5 |
|
Последствия |
Рейтинг |
Уязвимость |
Рейтинг |
Число очков |
Финансовых потерь не будет, возможные
последствия учтены в бюджете или предприняты меры по переносу риска |
1 |
Инциденты считаются приемлемыми
как необходимое условие бизнеса; руководство организации с пониманием относится
к этому |
1 |
|
Будут затронуты внутренние функции
организации, превышен бюджет, потеряны возможности получить прибыль |
3 |
Инцидент повлияет на позицию среднего
звена управления, исчезнет доброжелательное отношение начальства к безопасности |
3 |
|
Будут затронуты внешние функции
организации, нанесен большой финаносвый ущерб |
5 |
Руководители организации станут
жестче относиться к безопасности ,пострадают взаимоотношения с деловыми
партнерами |
5 |
|
|
Общее число очков: |
|
Рейтинг: Значение для угроз умножается на значение для
видимости, а значение для последствий умножается на значение для уязвимости.
Затем эти два числа складываются:
- 2 — 10: низкий риск
- 11 — 29: средний риск
- 30 — 50: высокий риск
Учет информационных ценностей
Чтобы гарантировать защиту всех информационных ценностей,
и то, что текущая вычислительная Среда организации может быть быстро восстановлена
после инцидента с безопасностью, каждый сетевой администратор должен вести
учет информационных систем в его зоне ответственности. Список должен включать
в себя все существующую аппаратную часть вычислительной Среды, программы,
электронные документы, базы данных и каналы связи.
Для каждой информационной ценности должна быть описана
следующая информация:
- Тип: оборудование, программа, данные
- Используется в системе общего назначения или критическом
приложении
- Ответственный за данную информационную ценность
- Ее физическое или логическое местоположение
- Учетный номер, где это возможно.
Система общего назначения
Система общего назначения — это взаимосвязанный набор информационных
ресурсов, которые находятся под единым административным управлением, позволяющих
решать общие(неспецифические) задачи или обеспечивать их выполнение. Обычно
задачей систем общего назначения является обеспечение обработки или взаимодействия
между приложениями. Системы общего назначения включают в себя компьютеры,
сети и программы, которые обеспечивают работу большого числа приложений,
и обычно администрируются и сопровождаются отделом автоматизации в организации.
Политика безопасности для систем общего назначения как
правило применима и для Интернета, так как сервера, коммуникационные программы
и шлюзы, обеспечивающие связь с Интернетом, обычно находятся под единым
управлением.
Критические приложения
Все приложения требуют некоторого уровня безопасности, и
адекватная безопасность для большинства из них обеспечивается средствами
безопасности систем общего назначения, в рамках которых они функционируют.
Тем не менее, некоторые приложения, из-за специфического характера хранимой
и обрабатываемой в них информации, требуют специальных мер контроля и считаются
критическими. Критическое приложение — это задача, решаемая с помощью компьютеров
или сетей, от успешности решения которой серьезно зависит возможность существования
организации или выполнения ею своего назначения.
Примерами критических приложений могут служить системы
биллинга, учета заработной платы, другие финансовые системы и т.д. Так
как большинство пользователей тратит основную часть своего времени на взаимодействие
с одним из критических приложений, требуется включение курсов по информационной
безопасности в программы переподготовки кадров для этих систем.
Большинство критических приложений сейчас не требуют связи
с Интернетом, тем не менее, эта ситуация изменится в будущем. Современные
операционные системы включают в себя возможности для связи с Интернетом.
Классификация данных
Для того чтобы разработать эффективную политику безопасности,
информация, хранимая или обрабатываемая в организации, должна быть классифицирована
в соответствии с ее критичностью к потере конфиденциальности. На основе
этой классификации потом можно легко разработать политику для разрешения(
или запрещения) доступа к Интернету или для передачи информации по Интернету.
Большинство организаций используют такие классы, как Коммерческая
тайна и Для служебного пользования . Классы, используемые в политике
информационной безопасности, должны быть согласованы с другими существующими
классами.
Данные должны быть разбиты на 4 класса безопасности, каждый
из которых имеет свои требования по обеспечению безопасности — КРИТИЧЕСКАЯ
ИНФОРМАЦИЯ, КОММЕРЧЕСКАЯ ТАЙНА, ПЕРСОНАЛЬНАЯ ИНФОРМАЦИЯ и ДЛЯ ВНУТРЕННЕГО
ПОЛЬЗОВАНИЯ. Эта система классификации должна использоваться во всей организации.
Лица, ответственные за информационные ценности, отвечают за назначение
им класса , и этот процесс должен контролироваться руководством организации.
Классы определяются следующим образом:
- КРИТИЧЕСКАЯ ИНФОРМАЦИЯ: Этот класс применяется к информации,
требующей специальных мер безопасности для обеспечения гарантий ее целостности,
чтобы защитить ее от неавторизованной модификации или удаления. Это — информация,
которая требует более высоких гарантий чем обычно в отношении ее точности
и полноты. Примерами информации этого класса может служить информация о
финансовых операциях или распоряжения руководства.
- КОММЕРЧЕСКАЯ ТАЙНА: Этот класс применяется к наиболее критической
коммерческой информации, которая предназначена для использования ТОЛЬКО
внутри организации, если только ее разглашение не требуется различными
законодетальными актами. Ее неавторизованное разглашение может нанести
серьезный вред организации, ее акционерам, деловым партнерам, и/или клиентам.
- ПЕРСОНАЛЬНАЯ ИНФОРМАЦИЯ: этот класс применяется к информации
о человеке, использование которой разрешено только внутри организации.
Ее неавторизованное раскрытие может нанести серьезный вред организации
и/или ее служащим.
- ДЛЯ ВНУТРЕННЕГО ПОЛЬЗОВАНИЯ: Этот класс применяется ко всей
остальной информации, которая не попадает ни в один из указанных выше классов.
Хотя ее неавторизованное раскрытие нарушает политику, оно не может нанести
какого-либо вреда организации, ее служащим и/или клиентам.