Авторы: Годла А.С., Губенко Н.Е.
Источник: Сучасні комп’ютерні інформаційні технології: Матерiали III Всеукраїнськoї школи–семінару молодих вчених і студентів ACIT'2013/ – Тернопiль: ТНЕУ, 2013.
В период глобальной компьютеризации и интернетизации, который сейчас переживает современное общество, все типы предприятий становятся зависимыми от информационных систем. Это делает их уязвимыми к угрозам различного характера. Поэтому, оценивание рисков информационной безопасности предприятия и создание его собственной политики информационной безопасности должны стоять на высоких позициях в списке бизнес–приоритетов собственников.
Целью исследования является обоснование необходимости управления рисками, а также проведение анализа методов оценивания рисков для формирования политики информационной безопасности малых предприятий.
В настоящий момент корпоративные сети предприятий считаются наиболее уязвимыми с точки зрения безопасности во всей их инфраструктуре. Рассмотрим стандартную схему корпоративной сети предприятия на примере интернет–магазина (рис.1).
Как следует из ее архитектуры и методов использования, определение границ безопасности для нее практически невозможно, так как предприятие использует сеть для хранения данных, пользуется связями типа peer–to–peer, ведет переписку с помощью мгновенных сообщений, имеет удаленный доступ, а также клиентские сервисы. Поэтому, для обеспечения ИБ данного предприятия необходимо выработать некие стандартные подходы.
По словам Петренко С.А. [1], независимо от размера компании и ее конкретных информационных систем, усилия для обеспечения режима безопасности информации состоят из следующих этапов:
Набор минимальных требований, к режиму информационной безопасности, перечисленных в стандартах ISO 17799 (международный стандарт), BSI (Германия), NIST 800–30 (США), составляет основу информационной безопасности. Этого набора, как правило, достаточно для целого ряда стандартных проектов малого бизнеса. В его рамках можно использовать особые стандарты и спецификации, которые имеют минимальный перечень наиболее вероятных угроз, таких как вирусы, несанкционированный доступ, и другие.
Для выполнения более специфических требований к безопасности необходимо разрабатывать индивидуальный, повышенный режим безопасности [2]. Этот режим предусматривает стратегии работы с рисками разных классов, в которых реализуются следующие подходы:
В результате, принимая во внимание все вышеперечисленные моменты, возможно создать достаточно эффективную систему риск–менеджмента для предприятия.
Существует большое количество программ, для оценки рисков безопасности. Например, RA2 art of Risk, vsRisk, RiskWatch, COBRA, РискМенеджер, и многие другие.
С точки зрения использования таких программ в сфере малого бизнеса наилучших результатов с меньшими материальными затратами можно достичь с помощью методик OCTAVE–S и CRAMM.
Методы OCTAVE основаны на практических критериях OCTAVE, которые являются стандартными подходами для оценки ИБ. Данная методика реализуется вручную, без использования программных средств. Аналитическая команда, состоящая из 3–5 человек, рассматривает риски организационных активов в их соотношении с целями бизнеса. Конечным результатом метода является организацонно–направленная стратегия безопасности и план по смягчению последствий нарушений ИБ [3, 4].
В отличие от OCTAVE, CRAMM–CCTA Risk Analysis & Management реализуется с помощью специализированного программного обеспечения, которое можно настроить для различных отраслей. Текущая версия CRAMM 5 соответствует BS 7799 (ISO 17799).
Анализ рисков по методу CRAMM состоит из идентификации и расчета рисков на основе оценок определенных ресурсов, уязвимостей, угроз и ресурсов. Управление рисками с помощью CRAMM помогает выявить и выбрать контрмеры для снижения рисков предприятий рассматриваемых структур до приемлемого уровня [5].
Согласно проведенному исследованию, информационная безопасность является чрезвычайно важным фактором корректного функционирования малого предприятия. Для его поддержания функционирования компании необходимо систематически проводить оценку рисков, анализ рисковых ситуаций, либо полный аудит предприятия.
Применение различных методов оценивания рисков в рамках риск–менеджмента позволяет обезопасить собственников предприятия от заранее предусмотренных рисков, а также способствует выработке методики защиты, отражения и принятия неучтенных рисков. Рассматриваемые подходы и приемы можно распространить на все типы предприятий малого бизнеса.