2. Стратегии применения средств защиты информации

Стратегия определяет структуру, приоритеты и методы принятия решений при организации и обеспечении соответствующего вида деятельности, направлена на то, чтобы наиболее важные цели этой деятельности достигались при наиболее рациональном расходовании имеющихся ресурсов.

Выработка стратегии защиты информации в самом общем виде может быть определена как поиск оптимального компромисса между потребностями в защите и необходимыми для этих целей ресурсами.

Потребности в защите обусловливаются:

важностью и объемами защищаемой информации;

условиями ее хранения, обработки и использования.

Эти условия определяются уровнем структурно-организационного построения объекта обработки информации, уровнем организации технологических схем обработки, местом и условиями расположения объекта и его компонентов и другими параметрами.

Размер ресурсов на защиту информации может быть ограничен определенным пределом либо определяется условием обязательного достижения требуемого уровня защиты. В первом случае защита должна быть организована так, чтобы при выделенных ресурсах обеспечивался максимально возможный уровень защиты, а во втором – чтобы требуемый уровень защиты обеспечивался при минимальном расходовании ресурсов.

Заметим, что сформулированные задачи есть не что иное, как прямая и обратная постановки оптимизационных задач.

С точки зрения применения к КСЗИ можно выделить три предельные стратегии, представленные в таблице 1.

Таблица 1

Стратегии защиты информации

Учитываемые угрозы	Влияние на системы обработки информации
	Отсутствует	Частичное	Полное
Наиболее опасные	Оборонительная стратегия
Все идентифицированные угрозы		Наступательная стратегия
Все потенциально возможные угрозы			Упреждающая стратегия

Выбирая оборонительную стратегию, подразумевают, что при недопущении вмешательства в процесс функционирования системы обработки информации можно нейтрализовать лишь наиболее опасные угрозы. Например, данная стратегия, применяемая для существующего объекта, может включать разработку организационных мер, использование технических средств по ограничению несанкционированного допуска на объект.

Наступательная стратегия предусматривает активное противодействие известным угрозам, влияющим на системы обработки информации.

Упреждающая стратегия предполагает тщательное исследование возможных угроз системы обработки информации и разработку мер по их нейтрализации еще на стадии проектирования и изготовления системы.

3. Анализ информационных рисков, угрозы и уязвимости системы

Расходы на систему защиты информации необходимо сопоставить и привести в соответствие с ценностью защищаемой информации и других информационных ресурсов, подвергающихся риску, а также с ущербом, который может быть нанесен организации из-за сбоев в системе защиты.

Обычно методики анализа рисков применяются к полным информационным системам и сервисам, но этими же методиками можно воспользоваться и для отдельных компонентов системы или сервисов, если это целесообразно и практично. Для оценки рисков необходимо систематически рассматривать следующие аспекты:

1. ущерб, который может нанести деятельности организации серьезное нарушение информационной безопасности, с учетом возможных последствий нарушения конфиденциальности, целостности и доступности информации;

2. реальная вероятность такого нарушения защиты в свете превалирующих угроз и средств контроля.

Результаты этой оценки необходимы для разработки основной линии и определения надлежащих действий и приоритетов для управления рисками нарушения информационной безопасности, а также для реализации средств контроля.

Оценка риска зависит от следующих факторов:

1. характера производственной информации и систем;

2. производственной цели, для которой информация используется;

3. среды, в которой система используется и управляется;

4. защиты, обеспечиваемой существующими средствами контроля.

Оценка рисков может выявить исключительно высокий риск нарушения информационной безопасности организации, требующий реализации дополнительных, более сильных средств контроля, чем те, которые рекомендуются в настоящих правилах. Использование таких средств контроля необходимо обосновать исходя из выводов, полученных в результате оценки рисков.

Факторы, необходимые для успеха

Опыт показывает, что перечисленные ниже факторы часто являются определяющими для успешной реализации системы информационной безопасности в организации:

1. цели безопасности и ее обеспечение должны основываться на производственных целях и требованиях; функции управления безопасностью должно взять на себя руководство организации;

2. явная поддержка и приверженность к поддержанию режима безопасности высшего руководства;

3. хорошее понимание рисков нарушения безопасности (как угроз, так и слабостей), которым подвергаются ресурсы организации, и уровня их защищенности в организации, который должен основываться на ценности и важности этих ресурсов;

4. ознакомление с системой безопасности всех руководителей и рядовых сотрудников организации;

5. предоставление исчерпывающего пособия по политике и стандартам информационной безопасности всем сотрудникам и подрядчикам.

Анализ информационных рисков – процесс комплексной оценки защищенности информационной системы с переходом к количественным или качественным показателям рисков. При этом риск – это вероятный ущерб, который зависит от защищенности системы. Под управлением рисками понимается процесс идентификации и уменьшения рисков, которым может быть подвержена информационная система.

Результаты анализа используются при выборе средств защиты, оценке эффективности существующих и проектируемых подсистем СЗИ.

Рассмотрим основные вопросы, возникающие при реализации концепции управления рисками и возможные подходы к их решению.

Оценка рисков

Существует ряд подходов к оценке (измерению) рисков. Рассмотрим наиболее распространенные:

оценка по двум факторам и оценка по трем факторам.

Оценка рисков по двум факторам

В простейшем случае используется оценка двух факторов:

• вероятность происшествия;

• тяжесть возможных последствий.

Обычно считается, что риск тем больше, чем больше вероятность происшествия и тяжесть последствий, что может быть выражено формулой:

РИСК = Р_{происшествия} * ЦЕНА ПОТЕРИ

Если переменные являются количественными показателями, риск – это оценка математического ожидания потерь.

Если переменные являются качественными показателями, что является наиболее часто встречающейся ситуацией, то формула не может быть использована в явном виде, т.к. операция умножения не определена. Рассмотрим вариант использования качественных показателей.

Пример

1. Определяются значения лингвистической переменной вероятности событий (таким же образом может быть использован математический аппарат теории нечетких множеств):

А - событие практически никогда не происходит;

В - событие случается редко;

С - вероятность события за рассматриваемый промежуток времени около 0.5;

D - скорее всего событие произойдет;

Е - событие почти обязательно произойдет.

2. Определяется лингвистическая переменная серьезности происшествий:

N (Negligible) – воздействием можно пренебречь;

Mi (Minor) – незначительное происшествие (воздействие на ИС незначительно, последствия легкоустранимы);

Mo (Moderate) – происшествие с умеренными результатами (воздействие на ИС невелико и не затрагивает критически важных задач);

S (Serious) – происшествие с серьезными последствиями;

С (Сritical) – происшествие затрагивает критически важные задачи.

Для оценки рисков определяется переменная из трех значений:

• НР, низкий риск;

• СР, средний риск;

• ВР, высокий риск.

Таким образом, риск зависит от двух факторов и может быть определен, как показано в таблице.