4. Административные и финансовые меры защиты информации

4.1. Политика информационной безопасности корпорации

Каждая корпорация должна иметь свою политику информационной безопасности. Политика информационной безопасности представляет собой документ, на основе которого строится система обеспечения безопасности корпорации. Политика безопасности строится на базе анализа категории важности различных видов информации и рисков ее утечки, искажения или уничтожения. Под риском понимается вероятность того, что определенная угроза использует какую-то уязвимость защиты информационного объекта. Значит риск – это вероятность понести определенные убытки корпорации. Анализу подвергаются все возможные каналы утечки информации: сотрудники, документы, изделия и процессы. Чем лучше будет сделан такой анализ, тем будет эффективней политика безопасности. Политика безопасности строится в соответствии со спецификой корпорации и законодательной базой государства.

Для разработки документа о политике информационной безопасности нужно использовать отечественный и зарубежный опыт. Наиболее четко эти вопросы разработаны в "Общих критериях оценки безопасности информационных технологий", версия 2.0 от 22.05.1998 г. Британского стандарта BS 7799: 1995.

Содержание разделов, рекомендуемых в документе "Политика информационной безопасности корпорации":

• заинтересованность руководства корпорации в защите коммерческой тайны;

• перечень информации, составляющей коммерческую тайну, и необходимый уровень ее защиты;

• перечень служб, групп, комиссий и т.д., отвечающих за информационную безопасность и их основные задачи;

• определение сотрудников, связанных с коммерческой тайной и правила разграничения доступа к информации;

• физические и технические средства защиты;

• программные и аппаратные средства защиты;

• меры, направленные на непрерывную работу корпорации независимо от внедрения политики безопасности;

• порядок разработки и внедрения методов и средств защиты;

• наказания за нарушения установленных в корпорации правил информационной безопасности.

Этот основной документ обеспечения информационной безопасности корпорации доводится до всех сотрудников.

Политика информационной безопасности отражает этапы построения системы зашиты, описанные 2.7. Среди различных методов построения системы защиты корпоративной информации значительную роль играет метод минимизации риска. Риск, характеризующий возможный ущерб корпорации, может быть рассчитан как произведение возможного ущерба на вероятность преодоления системы защиты

РИСК_i = Q_i Р_ПРi , (4.1)

где Q_i – ущерб объекту при преодолении i-й преграды;

Р_ПРi = 1 – Р_НПРi – вероятность преодоления i-й преграды.

Выражение (4.1) позволяет решить и обратную задачу: по заданной минимальной величине риска определить необходимую вероятность непреодоления преграды и, как следствие, применить требуемые методы и средства защиты.

Величину возможного ущерба оценивают экономисты-менеджеры корпорации. Ущерб корпорации зависит от важности информации, к которой получили доступ, исказили или уничтожили конкуренты. В первом приближении ущерб можно представить положительным числом в соответствии с табл. 4.

Таблица 4

Ущерб корпорации

Категория важности информации	Величина ущерба
Очень важная Важная Полезная Несущественная	4 3 2 1

Определение вероятности преодоления защиты информационного объекта более квалифицированно могут сделать технические специалисты корпорации. Величины вероятностей преодоления защиты Р_ПР могут быть определены по методикам, изложенным в 2.2 – 2.5. Если определить вероятность преодоления защиты сложно или невозможно, то можно воспользоваться средней частотой различных атак нарушителей на информационный объект и связанную с этим вероятность атаки Р_А (табл. 5).

Таблица 5

Вероятность атак на компоненты информационного объекта

Частота появления атаки	Вероятность атаки
Вид атаки отсутствует Один раз в год Один раз в месяц Один раз в неделю Ежедневно	0 0,2 0,4 0,6 0,8

Значения частоты появления атак определяются на основе статистического анализа действий нарушителей.

После определения значений Q_i и Р_ПРi (или Р_Аi) составляется таблица рисков (табл. 6).

Таблица 6

Значения рисков

Вид атаки	Величина ущерба	Вероятность атаки	Риск
Суммарный риск

Для анализа таблицы задают максимально допустимый риск и сравнивают это значение с рассчитанными величинами рисков в таблице. Если величина риска в таблице превышает заданное значение, то для данного вида атаки рассматриваются дополнительные меры безопасности.

Для расчетов можно использовать также суммарный риск. При этом величина суммарного риска сравнивается с удвоенным значением максимально допустимого риска. Если суммарный риск превышает удвоенное значение допустимого риска, то среди всех рассчитанных рисков находятся наибольшие и намечаются меры по снижению их величин с таким расчетом, чтобы суммарный риск не превышал удвоенное значение допустимого риска. Конечно, использование для расчетов удвоенного значения максимально допустимого риска является достаточно произвольным, однако опыт показывает, что такой прием достаточно хорошо согласуется с требованиями политики информационной безопасности.

После описания всех методов и средств политики информационной безопасности, которые запланированы к реализации в корпорации, производится расчет стоимости всей программы информационной безопасности. Если финансовые вложения в политику информационной безопасности превысят потенциальный ущерб от потери информационных ресурсов, то необходимо увеличить заданную величину риска. Увеличение заданного риска повлечет уменьшение прочности защиты информационного объекта и, следовательно, снижение затрат на реализацию политики информационной безопасности.

Как показывает практика работы корпораций, пересчет рисков и модификация политики информационной безопасности производится в среднем через 2 года.

Возможные пути реализации политики информационной безопасности корпорации изложены в последующих разделах учебного пособия.