Годла А.С., Губенко Н.Е. – Разработка политики информационной безопасности предприятия на основе распределенной модели использования ресурсов

Аннотация.

Произведено исследование рисков информационной безопасности и методов их контроля. Исследована роль риск–менеджмента в информационной безопасности предприятия. Получен анализ распределенной модели использования ресурсов и предложено ее усовершенствование.

Ключевые слова.

информационная безопасность, режим информационной безопасности, анализ рисков, оценка рисков, потери, угрозы, риск–менеджмент.

Постановка проблемы.

В век бурного развития информационных технологий предприятия всех типов и форм собственности становятся зависимыми от информационных систем, что делает их уязвимыми к угрозам. Отличие нарушения режима информационной безопасности персонального компьютера от такой же проблемы корпоративной сети состоит в том, что под угрозой оказываются большие массивы электронных данных компании. Например, может произойти хищение средств с банковских счетов, искажение и уничтожение стратегической информации, диверсия. Немаловажно отметить, что нарушение режима безопасности предприятия вредит имиджу компании, так как в большинстве случаев страдают данные клиентов.

Следовательно, обеспечение необходимого уровня информационной безопасности является серьезной проблемой, что стимулирует развитие различных методологий в данной области. Возникает потребность разрабатывать и усовершенствовать корпоративную политику информационной безопасности, в рамках которой предполагается использовать распределенную модель использования ресурсов.

Анализ литературы.

Проведен анализ модели использования ресурсов на основе работ Г.Г. Грездова [1]. Доказана необходимость проведения риск–менеджмента благодаря С.А. Петренко [2]. Обоснована необходимость усовершенствования распределенной модели использования ресурсов благодаря статистическим данным [3, 4, 5]. Предложен этап усовершенствования с помощью распределения ресурсов по уровню секретности на основе работ Н.Т. Стоянова, В.Ц. Целкова [6].

Цель статьи.

Произвести исследование рисков информационной безопасности, методов их контроля; выяснить роль риск–менеджмента в информационной безопасности предприятия; проанализировать и усовершенствовать распределенную модель использования ресурсов.

Модель распределенного использования ресурсов для защиты информации.

Информационная безопасность (ИБ) – защита информации и поддержка информационной инфраструктуры от случайного и преднамеренного воздействия природного или искусственного характера, влияющего на владельцев и пользователей информации, инфраструктуру в целом.

Процесс защиты информации представляет собой взаимодействие угроз информации и информационной безопасности, препятствующей их взаимодействию. Защита информации происходит поэтапно и в заведомо определенном порядке. Каждый из этапов представляет собой индивидуальную модель:

модель функционирования системы;
модель использования ресурсов;
модель противника;
модель угроз;
модель оценки потерь;
модель распределения ресурсов.

Все этапы объединяются в целостную модель распределения ресурсов для защиты информации. Она основана на возможностях врага и защищающейся стороны, на базе модели угроз и модели оценки потерь. Это происходит потому, что стоимость защиты не должна превышать ущерб нарушения безопасности [1].

Анализ и оценка рисков. Риск–менеджмент.

В настоящее время существует мировая практика обеспечения режима информационной безопасности. По мнению Петренко С.А., независимо от размера предприятия и специфики усилий, направленных на обеспечение режима ИБ, обычно в него входят следующие этапы (рис. 1):

Рисунок 1 – Обеспечение режима информационной безопасности

Минимальное количество требований для информационной безопасности соответствует основному уровню обеспечения ИБ. Такие требования обычно применяются для стандартных проектов. Существуют стандарты и спецификации с минимумом наиболее возможных угроз. Для их нейтрализации необходимо применять контрмеры в зависимости от возможности возникновения угрозы и чувствительности ресурса.

Если базовых требований недостаточно, можно и нужно применять дополнительные, более высокие требования. Для этого, помимо учета стандартного списка угроз, обязательно следует определить стоимость ресурса, посчитать возможность возникновения угрозы, проанализировать уязвимость ресурса и посчитать потенциальный ущерб [2].

По результатам вышесказанного, в таблице 1 проведен анализ режимов информационной безопасности.

Таблица 1 – Сравнительный анализ режимов ИБ

Критерии	Базовый уровень безопасности	Уровень безопасности с повышенными требованиями
Предъявляемые требования	Минимальные	Тщательная проверка информационного ресурса на целостность, доступность, конфиденциальность.
Выбор методики защиты	Стандартные способы защиты корректируются под данную информационную систему	Выбор средств защиты, подходящих конкретно к данной системе. Нестандартные решения для максимальной безопасности.
Решающий фактор для выбора режима ИБ	Стоимость	Эффективность

Статистическое обоснование необходимости использования риск–менеджмента.

Сегодня, среди приоритетов малых предприятий, риск–менеджмент находится в самом конце их списка. Опрос, проводившийся на Американском бизнес–саммите в мае 2010 года показал такое распределение приоритетов:

рынок и продажи;
управление денежным потоком;
привлечение финансов;
привлечение и удержание работников;
выявление и менеджмент страховых рисков;
соответствие законам страны и региона;
защита от исков [3].

В соответствии с отчетом об угрозах безопасности в интернете, проведенном компанией Symantec в 2011 году, число кибер–атак на компьютеры увеличилось на 36% по сравнению с 2010 годом. Ежедневно происходит более 4500 новых атак. Было создано более 403 миллионов новых разновидностей вредоносного программного обеспечения — что означает увеличение новых разработок на 41% [4].

Исследование, проведенное 874 сертифицированными профессионалами в области информационной безопасности (CISSP) в 2004 году, показало, что для улучшения ситуации в области политики информационной безопасности нужна поддержка топ–менеджмента компании, который недостаточно осведомлен о важности вопроса [5].

Вышеперечисленные статистические данные позволяют судить о том, что корпоративные сети в настоящий момент являются наиболее подверженными атакам. Так как они используют сети хранения данных, связи peer–to–peer, мгновенные сообщения, удаленный доступ, то определение границ безопасности является практически невозможным.

Усовершенствование модели распределенного использования ресурсов.

Проведенные исследования показали, что модель распределенного использования ресурсов в области информационной безопасности нуждается в усовершенствовании. Необходимо определить сопротивление системы защиты распределенным атакам. Например, возможно предварительное построение модели распределенных атак перед формированием модели угроз.

Немаловажно также найти уязвимости объекта защиты, потому что риск информационной безопасности каждого ресурса вычисляется не только с помощью анализа угроз, но и на основе уязвимостей. Для этого необходимо проводить аудит и управлять рисками. Эти этапы осуществляются в рамках модели уязвимостей, которую целесообразно применять перед работой модели распределенных атак.

Для обеспечения режима наибольшей защиты информации, распределение ресурсов целесообразно проводить по уровням секретности и группам секретности. Такую модель предлагают использовать Николай Тодоров Стоянов и Веселин Ценов Целков [6]. Их модель (ENLG) предоставляет такие важные функциональные возможности, как запрос доступа; анализ прав пользователя; идентификация уровня секретности; получение списка групп и использование соответствующих ему ресурсов; обязательное сохранение log–файла перед завершением работы.

Благодаря подобной модели становится возможным уменьшение риска несанкционированного доступа к ресурсам системы, что в значительной мере повышает степень информационной безопасности организации.

Выводы.

В настоящее время, среди предприятий малого бизнеса риск–менеджмент находится в конце списка приоритетов, однако, его позиция должна быть улучшена, так как он помогает экономить денежные средства. Для того, чтобы понять инфраструктуру, необходимо проводить оценивание рисков, анализ рисковых ситуаций или полный аудит компании.

Предложенные изменения могут улучшить модель и снизить вероятность риска несанкционированного использования ресурсов каждого отдельного компьютера в сети и корпоративной сети в целом.

Список литературы

Грездов Г.Г. Модифицированный способ решения задачи нормирования эффективной комплексной системы защиты информации автоматизированной системы / Г.Г. Грездов; монография. – К.: ДУІКТ, 2009. – 32 с.
Петренко С.А. Управление информационными рисками. Экономически оправданная безопасность. / Петренко С.А., Симонов С.В. – М.: Компания АйТи ; ДМК Пресс, 2004. – 384 с.: ил.
Townsend Stephen. Managing Risk: It’s Not Just for Big Business, IS 8930 Information Security Administration, Summer 2010,7/14/2010. – [Электронный ресурс]. – Режим доступа: http://stephendtownsend.com/ wordpress/wp–content/uploads/2010/12/ – Загл. с экрана.
Официальный сайт Symantec. Отчет об угрозах безопасности в интернете. Том 17. – [Электронный ресурс]. – Режим доступа: http://www.symantec.com/ru/ru/threatreport/ – Загл. с экрана.
K.J. Knapp, ProQuest Dissertations & Theses A&I, A model of managerial effectiveness in information security. From grounded theory to empirical test. – [Электронный ресурс]. – Режим доступа: http://search.proquest.com/pqdt/docview/305027061/13CC629C6525389888F/5?accountid=93221– Загл. с экрана.
Nikolai Todorov Stoianov, Veselin Tsenov Tselkov; E–net models for distribution, access and use of resources in security information systems – [Электронный ресурс]. – Режим доступа:http://arxiv.org/abs/1011.3148 – Загл. с экрана.