Аудит информационной безопасности в кредитных организациях

Дата: 23.07.2004
Источник: БРАТ5
Автор: Андрей Кудинов


... и разработанных на их основе программных продуктов для оценки потенциального ущерба от угроз, направленных на информационные ресурсы, оценки текущих информационных рисков и эффективности применяемых и предлагаемых мер защиты. Существующие методики и программные средства слишком полагаются как на вероятностные характеристики угроз, так и на общие характеристики систем. При этом они не достаточно учитывают особенности архитектуры информационной системы с точки зрения информационной безопасности, что делает результат их применения не совсем адекватным с точки зрения практики.

Методы оценки рисков.

В настоящее время известны различные методы, построенные на использовании матриц (или таблиц). Ниже приведены некоторые из этих методов.

o Табличные методы, учитывающие только стоимостные характеристики ресурсов.

В методах данного типа показатели существующих физических ресурсов оцениваются с точки зрения стоимости их замены или восстановления работоспособности (количественных показателей). Эти стоимостные величины затем преобразуются на основе той же качественной шкалы, которая используется для информационных ресурсов. Существующие или предполагаемые программные ресурсы оцениваются тем же способом, что и физические, на основе определения затрат на их приобретение или восстановление. При этом используется та же шкала, что и для информационных ресурсов. Если обнаружится, что какое-либо прикладное программное обеспечение имеет особенные требования к конфиденциальности или целостности (например, если исходный текст имеет высокую коммерческую ценность), то оценка этого ресурса производится по той же схеме, что и для информационных ресурсов, то есть в стоимостном выражении.

Оценивание показателей и степени критичности информационных ресурсов производится для наихудшего варианта развития событий. Рассматривается потенциальное воздействие на бизнес-процесс при возможном несанкционированном доступе к информации (НСД), изменении информации, отказе от выполнения обработки информации, недоступности на различные сроки и потери целостности. Процесс получения количественных показателей дополняется методиками оценивания информационных ресурсов с учетом таких факторов, как безопасность персонала; разглашения частной информации; требований по соблюдению законодательных и нормативных положений; ограничений, вытекающих из законодательства; коммерческих и экономических интересов; финансовых потерь и нарушений в деятельности; общественных отношений; коммерческой политики и коммерческих операций; потери репутации организации.

Система показателей разрабатывается в бальных шкалах таким образом, чтобы количественные показатели использовались там, где это допустимо и оправдано, а качественные показатели – там, где количественные оценки затруднены (например, при угрозе человеческой жизни).

Следующим этапом является заполнение пар опросных листов: по каждому из типов угроз и по группе ресурсов, связанным с данной угрозой, с последующим оцениванием уровней угроз (вероятностями их реализации) и уровней уязвимостей (легкости, с которой реализованная угроза способна привести к негативному воздействию), с произведением оценки в качественных шкалах (например, по шкале "высокий-низкий").

Матрица, сравнивающая уровни рисков, соответствующих показателям (ценности) ресурсов; показателям угроз и уязвимостей, относящихся к каждому типу негативных воздействий для таких типов угроз, как:
- умышленные несанкционированные действия людей;
- непредвиденные случайности;
- ошибки со стороны персонала;
- аварии оборудования, программного обеспечения и средств связи
будет выглядеть аналогично приведенной в таблице 1.

Таблица 1. Уровни рисков, соответствующие показателям ресурсов, угроз и уязвимостей.


В приведенном примере количественный показатель риска определяется в шкале от 1 до 8.

Для каждого ресурса рассматриваются относящиеся к нему уязвимые места и соответствующие им угрозы. Если существует уязвимость и нет связанной с ней угрозы, или существует угроза, не связанная с какими-либо уязвимыми местами, то в такой ситуации рисков нет (однако следует проявлять осторожность, если подобная ситуация изменится).

Каждая строка в матрице определяется показателем ресурса, а каждый столбец – степенью опасности угрозы и уязвимости.
Например, ресурс имеет показатель 3, угроза имеет степень "высокая", а уязвимость – "низкая". Показатель риска в данном случае будет 5. Предположим, что ресурс имеет показатель 2, например, для модификации, уровень угрозы – низкий, а уровень уязвимости – высокий. Тогда показатель риска будет 4.
Размер матрицы, учитывающей количество степеней опасности угроз, степеней опасности уязвимостей и категорий параметров ресурсов, изменяется применительно к конкретной организации.

o Метод ранжирования угроз.

В матрице отражаются связи факторов негативного воздействия (показателей ресурсов) и вероятностей реализации угрозы (с учетом показателей уязвимостей).
На первом этапе оценивается негативное воздействие (показатель ресурса) по заранее определенной шкале (например, от 1 до 5) для каждого ресурса, которому угрожает опасность.

На втором этапе по заранее заданной шкале (например, от 1 до 5), оценивается реальность реализации каждой угрозы.
На третьем этапе вычисляется показатель риска (при помощи умножения показателя ресурса на реальность реализации угрозы), по которому и производится ранжирование угроз.

Таблица 2. Пример ранжирования угроз.


Данный метод позволяет сравнивать и ранжировать по приоритету угрозы с различными негативными воздействиями и вероятностями реализации. В определенных случаях дополнительно могут потребоваться стоимостные показатели.

o Оценивание показателей частоты повторяемости и возможного ущерба от риска.

Эта задача решается при помощи оценивания двух значений (для каждого ресурса и риска, которые совместно определяют показатель отдельного ресурса).
Вначале каждому ресурсу присваивается определенное значение, соответствующее потенциальному ущербу от воздействия угрозы. Такие показатели присваиваются ресурсу по отношению ко всем возможным угрозам. Далее оценивается показатель частоты повторяемости. Частота зависит от вероятности возникновения угрозы и степени легкости, с которой может быть использована уязвимость.
В результате создается матрица, аналогичная приведенной в таблице 3.

Таблица 3. Показатель частоты повторяемости.


Затем определяется показатель пары ресурс/угроза (показатели ресурса и угрозы суммируются).

Таблица 4. Показатели пары ресурс/угроза.


На заключительном этапе суммируются все итоговые баллы по всем ресурсам системы и формируется ее общий балл. Его можно использовать для выявления тех элементов системы, защита которых должна быть приоритетной.


o Метод разделения рисков на приемлемые и неприемлемые.

Еще один способ оценивания рисков состоит в разделении их только на допустимые и недопустимые. Возможность применения такого подхода основывается на том, что количественные показатели рисков используются только для того, чтобы их упорядочить и определить, какие действия необходимы в первую очередь.
Матрица, используемая в данном подходе, приведена в таблице 5 и содержит не числа, а только символы: Д (риск допустим); Н (риск недопустим).

Таблица 5. Разделение рисков на допустимые и недопустимые.


Существуют также различные комплексные инструментальные системы анализа информационных рисков и информационной безопасности: матрица рисков MS IT Advisor for Risk Management; модель LifeCycle Security, разработанная компанией Axent (после того как Symantec приобрела Axent, модель получила название Symantec Enterprise Solutions); средство анализа и управления рисками RiskWatch, разработанное американской компанией RiskWatch, Inc.; метод комплексного подхода к оценке рисков, сочетающий количественные и качественные методы анализа CRAMM (the UK Goverment Risk Analysis and Managment Method), разработанный службой безопасности Великобритании (UK Security Service).

Физический доступ к информации.

Определяется, как в проверяемой кредитной организации обеспечивается контроль доступа к информационным ресурсам на физическом уровне:

- классификация служебных помещений по уровню допуска;
- обеспечение разграничения доступа персонала в служебные помещения;
- организация хранения архивов бумажных документов;
- ограничение доступа работников в помещения, где располагаются сервера и рабочие станции, управляющие информационными процессами;
- ограничение доступа работников к резервным копиям информации;
- размещение копировальной техники и сетевых принтеров, исключающее доступ к ним посторонних лиц, исключение печати ценной информации на удаленных принтерах;
- расположение компьютерной техники, исключающее визуальное наблюдение информации, отображаемой на экранах мониторов и выводящейся на принтеры, посторонними лицами.

Также следует обратить внимание на применение мероприятий и методов, направленных на обеспечение ограничения физического доступа непосредственно к средствам вычислительной техники:

- средства локальной защиты серверов и рабочих станций: средства BIOS, встроенные в ОС системы контроля доступа и блокировки (автоматическое выполнение блокировки, например, по тайм-ауту), дополнительные...

Добавить комментарий

Всего 0 комментариев