должна достигаться экономически оправданными мерами.
Информационная безопасность (ИБ) должна достигаться экономически оправданными мерами. В данной статье представлена методика, позволяющая сопоставить возможные потери от нарушений ИБ со стоимостью защитных средств и выбрать направления, на которых целесообразно сконцентрировать основные ресурсы.
Тема "Управление рисками" рассматривается на административном уровне ИБ, поскольку только руководство организации может выделить необходимые ресурсы, инициировать и контролировать выполнение соответствующих программ.
Вообще говоря, управление рисками, равно как и выработка собственной политики безопасности, нужны только для тех организаций, информационные системы (ИС) которых и/или обрабатываемые данные можно считать нестандартными.
Типовую организацию вполне устроит типовой набор защитных мер, выбранный на основе представления о типичных рисках или вообще без всякого анализа рисков (особенно это верно, с формальной точки зрения, в свете российского законодательства в области информационной безопасности). Можно провести аналогию между индивидуальным строительством и получением квартиры в районе массовой застройки. В первом случае необходимо принять множество решений, оформить большое количество документов, во втором — достаточно определиться лишь с несколькими параметрами.
Основные понятия
Адекватная безопасность — уровень безопасности, соразмерный с риском и величиной ущерба от потери, ненадлежащего использования, модификации или несанкционированного доступа к информации.
Базовый уровень безопасности — минимальный набор регуляторов безопасности, необходимый для защиты информационной системы, определяемый из потребностей ИС в обеспечении доступности, конфиденциальности и целостности.
Калиброванная (регулируемая, настраиваемая, повышаемая) безопасность — система безопасности, обеспечивающая несколько уровней защиты (низкий, умеренный, высокий) в зависимости от угроз, рисков, доступных технологий, поддерживающих сервисов, времени, кадровых и экономических ресурсов.
Компрометация — раскрытие информации неавторизованным лицам или нарушение политики безопасности организации, способное повлечь за собой умышленное или неумышленное несанкционированное раскрытие, модификацию, разрушение и/или потерю информации.
Нарушение информационной безопасности — нарушение или угроза неминуемого нарушения политики информационной безопасности, правил добропорядочного поведения или стандартных правил информационной безопасности.
Уровень (степень) критичности ИС — параметр, характеризующий последствия некорректного поведения информационной системы. Чем серьезнее прямое или косвенное воздействие некорректного поведения, тем выше уровень критичности ИС.
Система, критичная для выполнения миссии организации (критичная система) — телекоммуникационная или информационная система, передающая, обрабатывающая и/или хранящая информацию, потеря, ненадлежащее использование и/или несанкционированный доступ к которой могут негативно воздействовать на миссию организации.
Окружение (среда) — совокупность внешних процедур, условий и объектов, воздействующих на разработку, эксплуатацию и сопровождение информационной системы.
Воздействие (влияние) — величина (размер) ущерба (вреда), ожидаемого в результате несанкционированного доступа к информации или нарушения доступности информационной системы.
Анализ воздействия на производственную деятельность — анализ потребностей информационной системы и ассоциированных с ней процессов и зависимостей, используемый для спецификации требований к непрерывности функционирования и приоритетов восстановления ИС после серьезных аварий.
Контрмеры — действия, устройства, процедуры, технологии или другие меры, уменьшающие уязвимость информационной системы. Синонимом служит термин "регуляторы безопасности".
Лечение — действие по исправлению уязвимости или устранению угрозы. Тремя возможными типами лечения являются:
- установка корректирующих "заплат";
- регулировка конфигурационных параметров;
- устранение уязвимых программных приложений.
План лечения — план осуществления лечения одной или нескольких угроз и/или уязвимостей, которым подвержена информационная система организации. В плане обычно рассматривается несколько возможных способов устранения угроз и уязвимостей и определяются приоритеты по осуществлению лечения.
Риск — уровень воздействия на производственную деятельность организации (включая миссию, функции, образ, репутацию), ее активы (ресурсы) и персонал, являющегося следствием эксплуатации информационной системы и зависящего от потенциального воздействия угрозы и вероятности ее осуществления (реализации).
Риски, связанные с информационными технологиями — общее воздействие на производственную деятельность с учетом:
- вероятности того, что определенный источник угроз использует или активизирует определенную уязвимость информационной системы;
- результирующего воздействия, если угроза будет реализована. Риски, связанные с информационными технологиями, являются следствием законодательной ответственности или производственных потерь вследствие:
- несанкционированного (злоумышленного, незлоумышленного, случайного) доступа к информации;
- незлоумышленных ошибок и/или упущений;
- разрушения ИС в результате стихийных бедствий или техногенных катастроф;
- неспособности проявлять должную аккуратность и старательность при реализации и/или эксплуатации ИС.
Остаточный риск — остающийся, потенциальный риск после применения всех контрмер. С каждой угрозой ассоциирован свой остаточный риск.
Совокупный (суммарный, полный) риск — возможность осуществления вредоносного события при отсутствии мер по нейтрализации рисков.
Анализ рисков — процесс идентификации рисков применительно к безопасности информационной системы, определения вероятности их осуществления и потенциального воздействия, а также дополнительных контрмер, ослабляющих (уменьшающих) это воздействие. Анализ рисков является частью управления рисками и синонимом термина "оценка рисков", он включает в себя анализ угроз и уязвимостей.
Управление рисками — процесс, включающий оценку рисков, анализ экономической эффективности, выбор, реализацию и оценку контрмер, а также формальное санкционирование ввода системы в эксплуатацию. В процессе управления рисками принимаются во внимание и анализируются эффективность действий и законодательные ограничения.
Нейтрализация (уменьшение, ослабление) рисков — определение приоритетов, оценка и реализация контрмер, должным образом уменьшающих риски.
Терпимость по отношению к риску — уровень риска, который считается допустимым для достижения желаемого результата.
Санкционирование безопасной эксплуатации — официальное решение, принимаемое руководством организации, санкционирующее ввод информационной системы в эксплуатацию и явным образом объявляющее допустимыми риски, оставшиеся после реализации согласованного набора регуляторов безопасности.
Категория безопасности — характеристика информации и/или информационной системы, основанная на оценке потенциального воздействия потери доступности, конфиденциальности и/или целостности этой информации и/или информационной системы на производственную деятельность организации, ее активы и/или персонал.
Уровень защищенности — иерархический показатель степени чувствительности по отношению к определенной угрозе.
Требования безопасности — требования к информационной системе, являющиеся следствием действующего законодательства, миссии и потребностей организации.