Современные подходы к оценке рисков cистем информационной безопасности предприятий
Авторы: Н.М. Синани, Н.В. Мельников
В существующих организационных структурах предприятий можно выделить основные информационные потоки и основные источники и хранилища конфиденциальной информации, требующей защиты. Чтобы эффективно защищать ценную информацию, необходимо применять такой комплекс средств защиты, который позволит защитить наиболее ценные ресурсы и его стоимость будет оптимальной, и не будет превышать стоимость защищаемых активов.
Чтобы правильно оценить активы, требующие защиты, предприятию необходимо провести аудит информационных систем и выделить все потоки конфиденциальной информации. После этого необходимо составить модели угроз и определить средства защиты, которые требуется внедрить, и при этом добиться эффективного использования бюджета.
По результатам анализа информационных потоков в организации можно сделать вывод, что применение типового комплекса средств защиты информации для типовых процессов обмена информацией позволит устранить большую часть рисков информационной безопасности в каждой средней/малой компании, а тонкая настройка средств защиты информации даст 99 %-ю защиту от потери информации для любой организации, но важно оценить эффективность внедрения средств защиты информации.
Практика использования отдельных решений по обеспечению информационной безопасности показывает, что не всегда учитывается фундаментальная проблема достаточности и эффективности систем защиты с точки зрения пользователя. При внедрении различных средств защиты необходимо определить баланс между вероятным ущербом от несанкционированной утечки информации и размером вложений, которые потрачены для обеспечения защищённости информационных ресурсов.
Одним из наиболее важных соображений при выборе методики оценки риска является то, что полученные результаты должны быть эффективны при использовании системы защиты информации. Использо вание сложной методики, требующей точных исходных данных и имеющей на выходе неоднозначные результаты, вряд ли поможет создать эффективную защиту.
Такие программные продукты, как Risk Watch (США), CRAMM (Великобритания), COBRA (Великобритания), "АванГард" (Россия), ТРИФ (Россия), КОНДОР+ (Россия) и ряд других, позволяют оценить уровень текущего состояния информационной безопасности автоматизированной системы, снизить потенциальные потери путём повышения устойчивости функционирования короративной сети, разработать концепцию и политику безопасности автоматизированной системы, а также предложить планы защиты от выявленных угроз и уязвимых мест.
Важно заметить, что на сегодняшний день существуют многообразные и сложные по своей структуре автоматизироанные системы, для которых невозможно подобрать конкретную методику оценки рисков, поэтому для получения точных удовлетворительных результатов оценки необходимо использовать комплексный подход к оценкам рисков на осно- ве уже существующих методик.
При создании новой автоматизированной системы, проводящей ана- лиз рисков информационной безопасности, планируется по вводным данным от организации проводить выбор именно тех средств защиты информации, которые необходимы организации для обеспечения необходимого и достаточно уровня защиты информации для сохранения баланса между себестоимостью продукции/услуг и затратами на средства защиты (рис.1).
затраты на защиту – ожидаемые потери
После внедрения системы защиты информации должна проводиться регулярная модернизация системы, так как с любыми малыми изменении в деятельности организации могут появиться/пропасть риски информационной безопасности, и для защиты понадобится другой набор средств защиты. Для выполнения этой задачи разрабатываемая система также сможет использоваться.
Литература
1. Лопарёв С., Шелупанов А. Анализ инструментальных средств оценки рисков утечки информации в компьютерной сети предприятия.