Управление рисками обзор употребительных подходов

       

Определение характеристик информационной системы


Первым шагом в процессе оценки рисков является определение объекта оценки, то есть границ анализируемой информационной системы, а также ресурсов и информации, образующих ИС.

О системе необходимо собрать следующую информацию:

  • архитектура ИС;
  • используемое аппаратное обеспечение;
  • используемое программное обеспечение;
  • системные интерфейсы (внутренняя и внешняя связность);
  • топология сети;
  • присутствующие в системе данные и информация;
  • поддерживающий персонал и пользователи;
  • миссия системы (то есть процессы, выполняемые ИС);
  • критичность системы и данных;
  • чувствительность (то есть требуемый уровень защищенности) системы и данных.

Требуется также собрать информацию об эксплуатационном окружении системы:

  • функциональные требования к ИС;
  • политики безопасности, положения которых затрагивают ИС;
  • меры защиты доступности, конфиденциальности и целостности хранимых данных;
  • потоки данных, принадлежащих системе, входные и выходные данные;
  • существующие программно-технические регуляторы безопасности (то есть встроенные или дополнительные защитные средства, поддерживающие идентификацию и аутентификацию, управление доступом, протоколирование и аудит, защиту остаточной информации, криптографические функции и т.д.);
  • существующие регуляторы безопасности административного уровня (политика и программы безопасности, меры планирования безопасности, правила поведения и т.п.);
  • существующие регуляторы безопасности процедурного уровня (кадровая безопасность, процедуры управления пользователями, управление разделением обязанностей пользователей, обеспечение бесперебойной работы, резервное копирование, хранение данных вне производственных площадей, восстановление после аварий, сопровождение системы);
  • меры физической защиты ИС (физическая защита производственных площадей, контроль доступа в центр обработки данных и т.п.);
  • защита ИС от угроз со стороны окружающей среды (средства контроля температуры, влажности, загрязнения, электропитание, водоснабжение и т.д.).

Если информационная система находится в стадии инициации или проектирования, необходимые сведения могут быть получены из проектной документации или спецификаций (требований). Если система находится в стадии разработки, необходимо определить ключевые правила и атрибуты безопасности, которые предполагается реализовать. В таком случае полезными источниками информации являются проектная документация и план обеспечения информационной безопасности.

Для информационных систем, находящихся в производственной эксплуатации, собираются сведения об их эксплуатационном окружении, включая данные о конфигурации системы, ее связности, документированных и недокументированных процедурах и сложившейся практике эксплуатации. Таким образом, описание системы может основываться на мерах безопасности, реализованных в рамках существующей инфраструктуры, или на имеющихся планах повышения уровня безопасности ИС.

Для сбора сведений об информационной системы в пределах ее эксплуатационных границ могут использоваться следующие методы.

Вопросники. Они могут касаться прежде всего административных и процедурных регуляторов безопасности, существующих или планируемых. Вопросники распространяются среди административного и технического персонала, проектирующего и/или обслуживающего систему.

Интервью. Обычно беседы проводятся у заказчика с административным и техническим персоналом и концентрируются на темах эксплуатации и управления. Кроме того, визиты к заказчику позволяют увидеть и оценить меры физической и эксплуатационной безопасности, защиту от угроз со стороны окружающей среды.

Просмотр документации. Политика безопасности, нормативные документы, техническая документация (например, руководства пользователя и администратора, требования безопасности, архитектурная и закупочная документация), предыдущие отчеты по оценке рисков, анализ воздействий на миссию организации, оценка критичности ресурсов, результаты аудита и тестирования, планы безопасности и т.п. — ценный источник информации о существующих и планируемых регуляторах безопасности, о степени критичности и чувствительности систем и данных.

Применение инструментов автоматического сканирования. Проактивные технические средства, такие как инструменты автообнаружения и анализа защищенности, позволяют эффективно собирать системную информацию, строить карту информационной системы, получать профили отдельных хостов и подсистем.



Содержание раздела