6 Постановка задачи анализа рисков - Петренко С. А., Симонов С. В

^ 6 Постановка задачки анализа рисков
Постановка задачки обеспечения информационной безопасности может варьироваться в широких границах. Соответственно, варьируется и постановка задач анализа рисков.

Главным фактором, от которого зависит отношение организации к вопросам информационной безопасности, является степень ее 6 Постановка задачи анализа рисков - Петренко С. А., Симонов С. В зрелости. Так, к примеру, популярная аналитическая компания Gartner Group и институт Carnegie Mellon предложили свои модели определения зрелости компании. Разным уровням зрелости соответствуют различные потребности в области информационной безопасности. Дальше упомянутые 6 Постановка задачи анализа рисков - Петренко С. А., Симонов С. В модели дискуссируются подробнее.
^ 7 Модель Gartner Group
Gartner Group выделяет четыре уровня зрелости компании - начиная с нулевого и заканчивая третьим (см. табл. 1.1).

Согласно данным Gartner Group, на начало 2002 года компании распределились 6 Постановка задачи анализа рисков - Петренко С. А., Симонов С. В по уровням зрелости последующим образом: 30% компаний - 0-го уровня, 55% - 1-го уровня, 10% - 2-го уровня и 5% - 3-го уровня. В 2005 году, по воззрению Gartner Group, процентное соотношение меж компаниями различного уровня поменяется так: 20% - компаний 0-го уровня 6 Постановка задачи анализа рисков - Петренко С. А., Симонов С. В, 35% - 1-го уровня, 30% - 2-го уровня и 15% - 3-го уровня зрелости.
^ 8 Модель Carnegie Mellon University
Несколько расширенную модель определения уровня зрелости компании исходя из убеждений информационной безопасности предложил институт Carnegie Mellon

Таблица 1.1. Уровни зрелости компании исходя из убеждений ИБ

^ Уровень 6 Постановка задачи анализа рисков - Петренко С. А., Симонов С. В зрелости

Черта организации режима информационной безопасности компании

0

Необходимость обеспечения ИБ компании в подабающей мере не осознана и формально такая задачка не ставится. Выделенной службы информационной безопасности нет. Служба автоматизации употребляет классические 6 Постановка задачи анализа рисков - Петренко С. А., Симонов С. В механизмы и средства защиты инфы стека протоколов TCP/IP и сервисов Intranet, также операционной среды и приложений (ОС, СУБД, СППР, ERP, ERP II, CRM)

1

Неувязка обеспечения ИБ рассматривается управлением компании как только 6 Постановка задачи анализа рисков - Петренко С. А., Симонов С. В техно. Выделенной службы защиты инфы нет. Организационные меры поддержания ИБ не принимаются. Финансирование осуществляется в рамках одного бюджета на IT-технологии. Служба автоматизации дополнительно к средствам защиты инфы уровня 0 может завлекать средства отказоустойчивости 6 Постановка задачи анализа рисков - Петренко С. А., Симонов С. В, запасного копирования инфы, источники бесперебойного питания, также межсетевые экраны, виртуальные личные сети (VPN), антивирусные средства, средства прозрачного шифрования и e-Token

2

Неувязка обеспечения ИБ компании осознана и рассматривается как взаимно увязанный комплекс организационных и 6 Постановка задачи анализа рисков - Петренко С. А., Симонов С. В технических мер. Внедрены методики анализа информационных рисков, отвечающие наименьшему, базисному, уровню защищенности КИС. В компании определены состав и структура штатной службы ИБ. Принята корпоративная политика информационной безопасности. Финансирование ведется в рамках 6 Постановка задачи анализа рисков - Петренко С. А., Симонов С. В отдельного бюджета на создание и поддержку корпоративной системы защиты инфы. Служба ИБ дополнительно к средствам защиты инфы уровней 0 и 1 завлекает средства защиты от НСД, системы обнаружения вторжений (IDS), инфраструктуру открытых ключей (PKI), также надлежащие 6 Постановка задачи анализа рисков - Петренко С. А., Симонов С. В политике безопасности компании организационные меры (наружный и внутренний аудит, разработка планов защиты и непрерывного ведения бизнеса, деяния во внештатных ситуациях и пр.)

3

Неувязка обеспечения ИБ компании осознана полностью. Вместе 6 Постановка задачи анализа рисков - Петренко С. А., Симонов С. В с бизнес-культурой существует понятие культуры информационной безопасности компании. Интенсивно используются методики полного количественного анализа информационных рисков, также надлежащие инструментальные средства. Введена штатная должность — директор службы информационной безопасности (CISO). Определены состав и 6 Постановка задачи анализа рисков - Петренко С. А., Симонов С. В структура группы внутреннего аудита безопасности КИС (CISA), группы предупреждения и расследования компьютерных злодеяний, группы экономической безопасности. Управлением компании утверждены концепция и политика безопасности, план защиты и другие нормативно-методические материалы и должностные 6 Постановка задачи анализа рисков - Петренко С. А., Симонов С. В аннотации. Финансирование выделяется только в рамках отдельного бюджета. Служба ИБ дополнительно к средствам защиты инфы уровней 0-2 обращается к средствам централизованного управления ИБ компании и средствам интеграции с платформами управления сетевыми ресурсами

[344]. В согласовании с этой 6 Постановка задачи анализа рисков - Петренко С. А., Симонов С. В моделью выделяется 5 уровней зрелости компании, которым можно поставить в соответствие различное осознание заморочек информационной безопасности организации (см. табл. 1.2).

Таблица 1.2. Модель определения уровня зрелости компании

Уровень зрелости организации

Признаки

^ Черта организации в области информационной безопасности

1. Анархия

Сотрудники сами определяют 6 Постановка задачи анализа рисков - Петренко С. А., Симонов С. В, что отлично, а что плохо

Издержки и качество не прогнозируются

Отсутствуют формализованные планы

Отсутствует контроль конфигураций

Высшее управление плохо представляет реальное положение дел

Политика в области ИБ не формализована, управление не занимается этими вопросами

Обеспечением информационной 6 Постановка задачи анализа рисков - Петренко С. А., Симонов С. В безопасности сотрудники могут заниматься по собственной инициативе, в согласовании со своим осознанием задач

2. Фольклор

Выявлена определенная повторяемость организационных процессов

Опыт организации представлен в виде преданий корпоративной мифологии

Познания скапливаются в виде личного опыта служащих и пропадают при 6 Постановка задачи анализа рисков - Петренко С. А., Симонов С. В их увольнении

На уровне управления существует определенное осознание задач обеспечения информационной безопасности.

Есть стихийно сложившиеся процедуры обеспечения информационной безопасности, их полнота и эффективность не анализируются.

Процедуры не документированы и на сто 6 Постановка задачи анализа рисков - Петренко С. А., Симонов С. В процентов зависят от личностей вовлеченных в их служащих.

Управление не ставит задач формализации процедур защиты инфы

3, Эталоны

Корпоративная мифология записана на бумаге

Процессы повторяемы и не зависят от личных свойств исполнителей Информация о процессах для 6 Постановка задачи анализа рисков - Петренко С. А., Симонов С. В измерения эффективности не собирается

Наличие формализованного описания процессов не значит, что они работают

Организация начинает адаптировать собственный опыт к специфике бизнеса Делается анализ познаний и умений служащих с целью определения нужного уровня компетентности

Вырабатывается стратегия 6 Постановка задачи анализа рисков - Петренко С. А., Симонов С. В развития компетентности

Управление понимает задачки в области информационной безопасности.

В организации имеется документация (может быть, неполная), относящаяся к политике информационной безопасности.

Управление заинтересовано в использовании эталонов в области информационной безопасности, оформлении документации в согласовании с 6 Постановка задачи анализа рисков - Петренко С. А., Симонов С. В ними.

Осознается задачка управления режимом ИБ на всех стадиях актуального цикла информационной технологии

4. Измеряемый

Процессы измеряемы и стандартизованы

Имеется полный набор документов, относящихся к обеспечению режима информационной безопасности и оформленных в согласовании с любым эталоном. Действующие 6 Постановка задачи анализа рисков - Петренко С. А., Симонов С. В аннотации соблюдаются, документы служат управлением к действию должностных лиц.

Часто проводится внутренний (и, может быть, наружный) аудит в области ИБ.

Управление уделяет подабающее внимание вопросам информационной безопасности, а именно имеет 6 Постановка задачи анализа рисков - Петренко С. А., Симонов С. В адекватное представление относительно имеющихся уровней угроз и уязвимостей, возможных утрат в случае вероятных инцидентов




5. Оптимизируемый

Фокус на повторяемости, измерении эффективности, оптимизации

Вся информация о функционировании процессов фиксируется

Управление заинтересовано в количественной оценке имеющихся рисков, готово нести 6 Постановка задачи анализа рисков - Петренко С. А., Симонов С. В ответственность за выбор определенных уровней остаточных рисков, ставит оптимизационные задачки построения системы защиты инфы






Неувязка обеспечения режима информационной безопасности будет формулироваться (хотя бы в неявном виде) и решаться по-разному для организаций, находящихся 6 Постановка задачи анализа рисков - Петренко С. А., Симонов С. В на различных уровнях развития.

На первом уровне эта неувязка, обычно, управлением формально не выдвигается. Но это не означает, что она не решается сотрудниками по своей инициативе - и, может быть, отлично.

В качестве 6 Постановка задачи анализа рисков - Петренко С. А., Симонов С. В положительного примера можно привести один случай. Сравнимо маленькая организация (порядка 80 компов, три файл-сервера), занимающаяся маркетинговым делом, в итоге пожара в арендуемом ею здании растеряла всю вычислительную технику и данные.

Но уже 6 Постановка задачи анализа рисков - Петренко С. А., Симонов С. В через неделю она вполне смогла вернуть свою работу. Дело в том, что некие сотрудники по собственной инициативе копировали более важную информацию на CD, что-то хранилось на их домашних компьютерах, что-то 6 Постановка задачи анализа рисков - Петренко С. А., Симонов С. В отчаливало по электрической почте разным адресатам и было затребовано назад. В итоге огромную часть самых ценных информационных ресурсов удалось оперативно вернуть (а технику стремительно закупили), что позволило фирме удачно продолжить работу 6 Постановка задачи анализа рисков - Петренко С. А., Симонов С. В.

При всем этом вопросы информационной безопасности управлением никогда не ставились и, по-видимому, ставиться не будут.

Наряду со вариантами, в каких все кончалось благополучно, есть и много других примеров, когда пренебрежение информационной 6 Постановка задачи анализа рисков - Петренко С. А., Симонов С. В безопасностью имело очень суровые последствия.

Все же, исходя из убеждений управления организации, находящейся на первом уровне зрелости, задачки обеспечения режима информационной безопасности, обычно, неактуальны. И все таки такие организации могут быть полностью жизнестойкими.

^ На 6 Постановка задачи анализа рисков - Петренко С. А., Симонов С. В втором уровне неувязка обеспечения информационной безопасности решается неформально, на базе равномерно сложившейся практики. Комплекс мер (организационных и программно-технических) позволяет защититься от более возможных угроз, как потенциально вероятных, так и имевших 6 Постановка задачи анализа рисков - Петренко С. А., Симонов С. В место ранее. Вопрос относительно эффективности защиты не подымается. Таким макаром, равномерно складывается неформальный перечень животрепещущих для организации классов рисков, который равномерно дополняется.

Если суровых инцидентов не происходило, управление организации, обычно, не считает вопросы 6 Постановка задачи анализа рисков - Петренко С. А., Симонов С. В информационной безопасности приоритетными.

В случае сурового инцидента сложившаяся система обеспечения безопасности корректируется, а необходимость поиска других вероятных уязвимостей в защите время от времени осознается управлением.

Один из вариантов определения риска 6 Постановка задачи анализа рисков - Петренко С. А., Симонов С. В в данном случае может смотреться так: известны уязвимости, потенциальные нарушители и их мотивация (модель нарушителя), также сценарии развития событий, связанные с выявленными уязвимос-тями [334].

Для данного уровня зрелости организации обычной является локальная (не 6 Постановка задачи анализа рисков - Петренко С. А., Симонов С. В связанная с другими шагами актуального цикла технологии) постановка задачки анализа рисков: считается достаточным перечислить животрепещущие для определенной информационной системы классы рисков и, может быть, обрисовать модель нарушителя, а задачка анализа вариантов контрмер, их 6 Постановка задачи анализа рисков - Петренко С. А., Симонов С. В эффективности, управления рисками, обычно, не рассматривается в качестве животрепещущей.

^ На 3-ем уровне в организации принято следовать в той либо другой мере (может быть, отчасти) эталонам и советам, обеспечивающим базисный уровень информационной 6 Постановка задачи анализа рисков - Петренко С. А., Симонов С. В безопасности (к примеру, ISO 17799 [209]). Вопросам документирования уделяется подабающее внимание.

Задачка анализа рисков не является, по воззрению управления, своевременной. Анализ рисков рассматривается как один из частей технологии управления режимом информационной безопасности на 6 Постановка задачи анализа рисков - Петренко С. А., Симонов С. В всех стадиях актуального цикла. Понятие риска включает несколько качеств: возможность, опасность, уязвимость, время от времени цена.

Один из вариантов оценки риска (определенного класса) в данном случае: возможность появления инцидента в итоге того, что имеющаяся уязвимость 6 Постановка задачи анализа рисков - Петренко С. А., Симонов С. В (определенного класса) будет содействовать реализации опасности (определенного класса).

Разработка управления режимом информационной безопасности в полном варианте содержит последующие элементы:

На данном 6 Постановка задачи анализа рисков - Петренко С. А., Симонов С. В уровне зрелости организации анализ рисков связан с другими компонентами технологии управления режимом информационной безопасности. Подробнее эти вопросы рассматриваются в главе 3.

^ На четвертом уровне для управления организации животрепещущи вопросы измерения характеристик 6 Постановка задачи анализа рисков - Петренко С. А., Симонов С. В, характеризующих режим информационной безопасности. На этом уровне управление отвечает за выбор определенных величин остаточных рисков (которые остаются всегда). Опасности, обычно, оцениваются по нескольким аспектам (не только лишь стоимостным).

Разработка управления режимом информационной безопасности остается 6 Постановка задачи анализа рисков - Петренко С. А., Симонов С. В прежней, но на шаге анализа рисков используются количественные способы, дозволяющие оценить характеристики остаточных рисков и эффективность разных вариантов контрмер при управлении рисками.

На 5-ом уровне ставятся и решаются разные варианты оптимизационных задач 6 Постановка задачи анализа рисков - Петренко С. А., Симонов С. В в области обеспечения режима информационной безопасности. Примеры постановки задач:
^ 9 Различные взоры на защиту инфы
Рассредотачивание организаций 6 Постановка задачи анализа рисков - Петренко С. А., Симонов С. В по их подходам к вопросам информационной безопасности иллюстрируют последующие диаграммы, относящиеся к развитым забугорным странам (взяты из обзора компании KPMG), - см. рис. 1.5 и 1.6.



Рис 1.5. Контролируются ли в вашей организации инциденты в области 6 Постановка задачи анализа рисков - Петренко С. А., Симонов С. В информационной безопасности?



Рис. 1.6. Применяете ли вы формальные аспекты для оценки системы информационной безопасности?

В табл. 1.3 показано, по каким аспектам (если они употребляются) организации оценивают систему информационной безопасности.

Таблица 1.3. Аспекты оценки корпоративной системы 6 Постановка задачи анализа рисков - Петренко С. А., Симонов С. В защиты инфы

Аспекты

Процент использования

Корпоративные эталоны (собственная разработка)

43

Замечания аудиторов

40

Эталоны наилучшей мировой практики (к примеру, BS 7799/ISO 17799)

29

Число инцидентов в области безопасности

22

Денежные утраты в итоге инцидентов

22

Расходы на ИБ

16

Эффективность в достижении поставленных целей

14

Таким 6 Постановка задачи анализа рисков - Петренко С. А., Симонов С. В макаром, больше половины организаций относятся к первому либо второму уровню зрелости и не заинтересованы в проведении анализа рисков в хоть какой постановке.

Организации третьего уровня зрелости (около 40% общего числа), пользующиеся (либо планирующие воспользоваться) какими 6 Постановка задачи анализа рисков - Петренко С. А., Симонов С. В-либо подходами к оценке системы информационной безопасности, следуют стандартным советам и руководствам класса «Good Practice», относящимся к базисному уровню информационной безопасности. Эти организации вводят либо планируют ввести систему управления рисками базисного уровня 6 Постановка задачи анализа рисков - Петренко С. А., Симонов С. В (может быть, ее элементы) на всех стадиях актуального цикла информационной технологии.

Организации, принадлежащие к четвертому и пятому уровням зрелости, составляют в текущее время менее 7% от общего числа, употребляют различные «углубленные 6 Постановка задачи анализа рисков - Петренко С. А., Симонов С. В» методики анализа рисков, владеющие дополнительными способностями, по сопоставлению с методиками базисного уровня. Такового рода дополнительные способности, дозволяющие делать количественный анализ и оптимизацию подсистемы информационной безопасности в различной постановке, в официальных руководствах не регламентируются.

В 6 Постановка задачи анализа рисков - Петренко С. А., Симонов С. В Рф толика организаций, относящихся к третьему, четвертому и пятому уровням зрелости, еще меньше. Соответственно, более нужны в текущее время простые методики анализа рисков, являющиеся частью методик управления рисками базисного уровня.

Потребителями количественных методик 6 Постановка задачи анализа рисков - Петренко С. А., Симонов С. В анализа рисков в Рф выступают в главном компании денежного профиля, для которых информационные ресурсы представляют огромную ценность. Их малость, но они готовы вкладывать значительные средства в разработку собственных (применимых 6 Постановка задачи анализа рисков - Петренко С. А., Симонов С. В для их) количественных методик анализа информационных рисков.


68spravka-o-kadrovih-resursah-forma-8-tehnicheskoe-zadanie-na-okazanie-uslug-10.html
68vozmozhnosti-setevih-skanerov-petrenko-s-a-simonov-s-v.html
69-deshifratori-rabochaya-uchebnaya-programma-po-discipline.html