Современные информационные технологии./4.Информационная безопасность.

Стд. Маликов Е.В.

Анализ рисков в информационной безопасности

Государственное высшее учебное заведение "Национальный горный университет", Украина

   Сфера информационных технологий и информационной безопасности в частности не ограничивается техническими вопросами, ведь без правильной организации все внедряемые мероприятия, в лучшем случае, будут малоэффективными. Во избежание этого было введено понятие управление рисками - процесс принятия и выполнения управленческих решений, направленных на снижение вероятности возникновения неблагоприятного результата и минимизацию возможных потерь, вызванных его реализацией. Развитие рисков как направления, было обусловлено возникающими неопределенными ситуациями, которые необходимо разрешить в свою пользу. Как правило при негативном исходе происходят всевозможные потери, что вскоре может привести к убыточности организации, чего быть не должно. Успешное управление рисками может не только предотвратить потенциальные потери, но и принести прибыль. Преимущество данного мероприятия также является то, что с его помощью можно решить возникшие проблемы и достичь поставленные цели, которые были поставлены до того как появилась возможность использовать риски и в принципе должны были решатся стандартными способами. В сумме, задачи решаемые с помощью управления рисками, делают их превосходным инструментом в информационной и коммерческой безопасности.

   Изначальным действием в анализе должно быть определение целей информационной и коммерческой безопасности. Если с коммерческой стороной вопроса все зачастую, в корне, однообразно, на всех предприятиях, то информационная сторона не редко принимает и учитывает в себе специфику деятельности. Этап определения целей становится сложным заданием в следствии необходимости прислушиваться ко мнению управляющих всех отделов в организации. Оценка активов это процесс, который отвечает на один из важнейших вопросов, (что нужно защищать), зачастую: информация, инфраструктура, персонал, имидж и репутация компании. Ценность активов можно определить посредством моделирования их потери, или использовав результаты нарушений безопасности, данного предприятия, в прошлом. Также необходимо расставить приоритеты безопасности, во избежание нерационального расхода средств. После оценки активов стало известно, что нужно защищать и с какой интенсивностью.

   В следующем этапе нужно определить от кого необходимо защищаться. Это можно сделать проанализировав: угрозы, уязвимости, нарушителей. Необходимо ввести понятие модель нарушителя, которое не просто его классифицирует, он должно определить, какие угрозы могут быть использованы и какова вероятность их реализации. Главной целью этого действия есть определение не только исполнителя, а и заинтересованной стороны.

   Разработка модели угроз является очень важной и трудоёмкой процедурой в анализе рисков. Первым шагом должна быть классификация и присущая им характеристика, выделяют:

·       Преднамеренные угрозы

·       Случайные угрозы

·       Прошлые инциденты

·       Новые тенденции

Далее нужно подробно разобрать связь инфраструктуры с активами. Также необходимо учитывать способы воздействия на защищаемый объект, их сложность и подход. Модель угроз часто опирается на результаты управления уязвимостями и инцидентами, что повышает  её качество. Важно правильно определить значимость угроз и степень пределения им внимания.

   Следующим шагом будет идентификация уязвимостей. Под уязвимостью понимается любая характеристика, использование которой нарушителем при определенных условиях может привести к реализации угрозы. Идентификация уязвимостей должна определять недостатки областей безопасности на пути злоумышленника к активам, выделяют:

·       Физическое окружение

·       Персонал, процедуры управления, администрирование, механизмы контроля

·       Деловые операции, предоставление сервисов

·       Технические средства, программное обеспечение, телекоммуникационное оборудование, инфраструктура.

Необходимо определить связь угроз и уязвимостей. Ведь их успешное объединение есть причиной инцидентов. 

   Ранее выполняемые шаги начинают полной мерой взаимодействовать при оценке рисков. Она заключается в определении их количественных и качественных значений, формировании реестра, агрегирования, ранжирования рисков. Данный этап является огромным полигоном аналитической работы, в нём нужно учитывать многие факторы и поворачивать их влияние в пользу предприятия. Здесь важно пределить должное внимание статистическим данным по уязвимостям и угрозам.

   В заключении хотелось бы сказать, что отчёт, по анализу рисков, должен регламентировано учитываться всеми отделами организации. Процесс же самого анализа необходимо проводить как можно чаще, в веду развития сферы информационных технологий. Также умелое использование рисков может стать средством от коммерческого шпионажа. Судя по тенденции развития Украинского законодательства в сфере информационной безопасности, услуга анализа рисков будет увеличивать свою актуальность.     

Литература:

1.     httpwww.iso27000.ruchitalnyi-zaiupravlenie-riskami-informacionnoi-bezopasnostianaliz-riskov-v-upravlenii-informacionnoi-bezopasnostyu

2.     httpcomp-bez.rup=782

3.     httpxn----7sbab7afcqes2bn.xn--p1ai