К.т.н. НАУ Чунарьова А.В., Чунарьов А.В.
КОНЦЕПЦІЯ
БЕЗПЕКИ ІНФОРМАЦІЙНИХ РЕСУРСІВ
НА БАЗІ
СИСТЕМИ ОЦІНКИ
РИЗИКІВ
Актуальність. Перед побудовою або
модернізацією комплексної системи захисту інформації, як
сукупності програмних, апаратних, організаційних, технічних та правових мір, важливо оцінити можливий
матеріальний збиток (у тому числі в грошовому еквіваленті або відносних одиницях) і можливість реалізації загроз безпеці інформації. Перед початком створення доцільно проаналізувати можливі інформаційні ризики.
Підхід до управління ризиками безпеки здатний допомогти
організаціям будь-якого розміру у вирішенні проблем, що виникають в процесі
забезпечення інформаційної безпеки відповідності регулятивним нормам. Процес управління ризиками безпеки дозволяє організаціям
добитися поєднання максимальної економічної ефективності з відомим та
прийнятним рівнем бізнес-ризику та надає користувачам зрозумілий метод організації
та пріоритезації обмежених ресурсів для реалізації управління ризиками.
Реалізація управління ризиками безпеки дозволяє організаціям упровадити
економічно ефективний контроль, що знижує ризик до прийнятного рівня з метою
мінімізації матеріальних втрат в результаті несанкціонованих дій. Визначення допустимого ризику
та підхід до управління ризиками залежать від конкретної організації, оскільки
не існує універсального рішення, а різні організації використовують різні
моделі управління ризиками. Кожна модель пропонує власне поєднання точності, ресурсів,
часу, складності та суб'єктивності. Крім того, ефективна програма управління
ризиками допоможе компанії забезпечити дотримання чинних законодавчих вимог.
Проведення аналізу
інформаційних ризиків здійснюється на основі результатів
комплексного обстеження (аудиту) інформаційної безпеки. У якості бази використовуються
відомі західні методики та
стандарти серії ISO 27000, а також із застосуванням спеціалізованого
інструментарію.
Процес
управління ризиками безпеки є комбінованим підхідом, що об'єднує елементи
кількісного та якісного методів аналізу. Об'єднуючи простоту якісного методу та
детальність кількісного, керівництво пропонує унікальний процес управління
ризиками безпеки, що поєднує ефективність та зручність використання та
покликаний забезпечити розуміння кожного кроку оцінки всіма зацікавленими
особами. Якісний підхід значно простіший, ніж традиційне кількісне управління
ризиками; він зменшує протидію на етапах аналізу ризику та підтримки ухвалення
рішень, дозволяє швидше знайти задовільне рішення та легко забезпечувати
підтримку впродовж всього процесу.
Метою даної статті є визначення актуальності питання
управління ризиками безпеки інформаційного об’єкту та визначення основних
етапів.
Оцінка
ризиків організації є основним джерелом визначення вимог до інформаційної
безпеки. Через оцінки ризиків ідентифікуються загрози активам, оцінюється їхня
уразливість й імовірність виникнення загроз, а також можливий руйнівний вплив
при реалізації несанкціонованих дій.
Управління інформаційними
ризиками - процес виявлення, аналізу та зменшення ризиків інформаційної
безпеки, які можуть принести або приносять шкоду інформаційній системі.
Завдання управління ризиками включає в себе створення набору заходів (засобів
контролю), які дозволяють знизити рівень ризиків до допустимої величини.
Переваги використання
системи управління ризиками проведення: ідентифікації інформаційних активів та
їх цінності; ідентифікація загроз і вразливостей інформаційної безпеки; оцінка і
аналіз ризиків; планування засобів і методів мінімізації інформаційних ризиків
згідно міжнародних стандартів серії ISO; впровадження засобів
контролю та моніторинг; аудит та контроль інформаційних ризиків [1]. Оцінка
ризиків здійснюється, яким передує набір підготовчих заходів, що включають в
себе узгодження графіка семінарів, призначення ролей, планування, координація
дій учасників проектної групи. Під час виконання оцінки ризиків здійснюється
розробка профілів загроз, які включають в себе інвентаризацію і оцінку цінності
активів, ідентифікація відповідних вимог законодавства та нормативної бази,
ідентифікацію загроз та оцінку їх ймовірності, а також визначення системи
організаційних заходів з підтримки режиму інформаційної безпеки. Також
проводиться детально технічний аналіз вразливостей інформаційних систем
організації щодо загроз, чиї профілі були розроблені на попередньому етапі,
який включає в себе ідентифікацію наявних вразливостей інформаційних систем
організації та оцінку їх величини. Також процес управляння ризику проводить
оцінку та обробку ризиків інформаційної безпеки, що включає в себе визначення
величини та ймовірності заподіяння шкоди в результаті здійснення загроз безпеки
з використанням вразливостей, які були ідентифіковані на попередніх етапах,
визначення стратегії захисту, а також вибір варіантів і прийняття рішень по
обробці ризиків. Величина ризику визначається як усереднена величина річних
втрат організації в результаті реалізації загроз безпеці. Процес управління ризиками безпеки включає чотири
етапи [2].
На рис. 1 показано чотири
етапи процесу управління ризиками безпеки:
- Оцінка ризику. Виявлення та пріоритезация ризиків для бізнесу.
- Підтримка ухвалення рішень.
Пошук та оцінка рішень для контролю на основі визначених раніше правил аналізу
витрат.
- Реалізація контролю. Розгортання та використання
рішень для контролю, що знижують
ризик для організації.
- Оцінка
ефективності програми.
Аналіз ефективності процесу управління ризиками та перевірка того, чи
забезпечують елементи контролю належний рівень безпеки.
Першим етапом є оцінка
ризику, що поєднує можливості якісного та кількісного підходу. При цьому
якісний підхід використовується для швидкого впорядковування переліку всіх
ризиків безпеки, а кількісний підхід дозволяє надалі виконати глибший аналіз
найбільш істотних ризиків, виявлених на цьому етапі. Це дає можливість
сформувати відносно невеликий перелік основних ризиків, що вимагають глибокого
вивчення. Аналіз ризиків може бути виконаний з різним
ступенем деталізації в залежності від критичності ресурсів інформаційного
об’єкту, відомих вразливостей і попередніх інцидентів інформаційної безпеки [3].
Рис.
1. Етапи процесу управління ризиками безпеки інформаційного об’єкту
Даний перелік
використовується на наступному етапі (етапі
підтримки ухвалення рішень), в ході якого пропонуються та оцінюються
рішення для контролю. Надалі кращі рішення представляються організаційному
комітету з забезпечення безпеки як рекомендації по зниженню ризику. Третій
етап називається етапом реалізації
контролю. На цьому етапі особи, відповідальні за нейтралізацію ризику,
здійснюють фактичне розгортання вибраних рішень для контролю. Четвертий етап, етап оцінки ефективності програми,
дозволяє перевіряти, чи забезпечують елементи контролю належний рівень безпеки,
та відстежувати зміни в середовищі (наприклад, додавання нових застосувань та
поява нових загроз), які здатні змінити профіль ризику організації. Процес
управління ризиками безпеки –
безперервний процес, цей цикл повторюється при кожній новій оцінці
ризику. Частота повторення даного циклу залежить від організації. Багато
фахівців вважають, що якщо в організації постійно виконується проактивний
моніторинг нових вразливостей, загроз та активів, даний цикл досить повторювати
раз на рік.
Об'єднуючи інформацію, отриману
на попередніх етапах зібраних даних, група управління ризиками безпеки завершує
процес тематичного збору даних етапу оцінки ризиків та визначає пріоритезацію
ризику. В процесі пріоритезації ризиків група управління ризиками безпеки
повинна оцінити вірогідність кожної події та провести ранжирування ризику по
величині і характеризу пвпливу на об’єкт, вказаної у формулюванні впливу, а
потім об'єднати формулювання впливів з набутих значень. Це дозволяє отримати
повний перелік ранжируваних по пріоритетах ризиків та завершити етап оцінки
ризиків. При аналізі ризиків може виявитися,
що деякі ризики залежать від виникнення інших ризиків. В процесі
тематичного збору даних група управління ризиками безпеки починає сортувати
великі об'єми інформації, зібраної для пріоритезації ризиків. Процес
пріоритезації є суб'єктивним за своєю природою, оскільки фактично вимагає
прогнозування майбутніх подій. Оскільки результати оцінки ризиків впливають на
подальше виділення засобів на потреби забезпечення інформаційної безпеки,
формування прозорого процесу з чітко певними ролями та обов'язками є
найважливішою умовою затвердження отриманих результатів та схвалення заходів
щодо зниження ризиків. Процес управління ризиками безпеки, надає рекомендації
по виявленню та пріоритезації ризиків на основі несуперечливого та повторюваного
підходу і правильної, чіткої, коректної побудови політики безпеки. Відкритий та
повторюваний підхід допомагає групі управління ризиками швидко знайти що
задовольняє всіх рішення, зменшивши потенційні затримки, що викликаються
суб'єктивним характером процесу пріоритезації ризиків.
Висновок. Тобто процес управління ризику дозволяє отримати необхідну інформацію про
структуру, властивості інформаційного об'єкту і наявні ризики та вибрати
механізми по мінімізації ризиків. Цей підхід є основою для побудови ефективної
та коректної системи захисту.
Література
1.
Гайворонський
М.В., Новіков О.М. Безпека інформаційно-комунікаційних систем. – К.: Видавнича
група BHV,2009. – 608 с., іл.
2.
Малюк
А.А. Информационная безопасность: концептуальные и методологические основы
защиты информации: Учеб. пособие. – М.: Горячая линия – Телеком, 2004. – 280 с.
3.
Юдін
О.К., Корченко О.Г., Конахович Г.Ф. Захист інформації в мережах передачі даних: Підручник. – К.: Видавництво ТОВ
НВП «ІНТЕРСЕРВІС», 2009. – 714с., іл.