Разработка модели оценки рисков информационной безопасности корпоративной сети

Темпы развития современных информационных технологий значительно опережают темпы разработки рекомендательной и нормативно-правовой базы руководящих документов, действующих на территории России. Поэтому решение вопроса об оценке уровня защищенности информационных активов компании обязательно связано с проблемой выбора критериев и показателей защищенности, а также эффективности корпоративной системы защиты информации. Для более точной картины при учете рисков, нужно заблаговременно произвести некоторые аналитические работы [13,14].

Аналитические работы в области информационной безопасности могут проводиться по следующим направлениям:

- комплексный анализ информационных систем (ИС) компании и подсистемы информационной безопасности на правовом, методологическом, организационно-управленческом, технологическом и техническом уровнях;

- разработка комплексных рекомендаций по методологическому, организационно-управленческому, технологическому, общетехническому и программно-аппаратному обеспечению режима ИС компании;

- организационно-технологический анализ ИС компании;

- экспертиза решений и проектов;

- работы по анализу документооборота и поставке типовых комплектов организационно-распорядительной документации;

- работы, поддерживающие практическую реализацию плана защиты;

- повышение квалификации и переподготовка специалистов.

К первой области также относятся работы, проводимые на основе анализа рисков, инструментальные исследования (исследование элементов инфраструктуры компьютерной сети и корпоративной информационной системы на наличие уязвимостей, исследование защищенности точек доступа в Internet). Данный комплекс работ также включает в себя и анализ документооборота, который, в свою очередь, можно выделить и как самостоятельное направление.

Рекомендации могут касаться общих основополагающих вопросов обеспечения безопасности информации (разработка концепции информационной безопасности, разработка корпоративной политики охраны информации на организационно-управленческом, правовом, технологическом и техническом уровнях), применимых на многих компаниях. Также рекомендации могут быть вполне конкретными и относится к деятельности одной единственной компании (план защиты информации, дополнительные работы по анализу и созданию методологического, организационно-управленческого, технологического, инфраструктурного и технического обеспечения режима информационной безопасности компании) [12,28].

Правильная экспертиза решений и проектов играет важную роль в обеспечении функционирования всей системы информационной безопасности и должна соответствовать требованиям по обеспечению информационной безопасности экспертно-документальным методом. Экспертиза проектов подсистем - требованиям по безопасности экспертно-документальным методом.

Работы по анализу документооборота и поставке типовых комплектов организационно-распорядительной документации, как правило, включают два направления:

- анализ документооборота компании категории «конфиденциально» на соответствие требованиям концепции информационной безопасности, положению о коммерческой тайне, прочим внутренним требованиям компании по обеспечению конфиденциальности информации;

- поставку комплекта типовой организационно-распорядительной документации в соответствии с рекомендациями корпоративной политики ИБ компании на организационно-управленческом и правовом уровне.

Работы, поддерживающие практическую реализацию плана информационной безопасности, в частности, заключаются в следующем:

- разработка технического проекта модернизации средств защиты ИС, установленных на фирме по результатам проведенного комплексного аналитического исследования корпоративной сети;

- разработка расширенного перечня сведений ограниченного распространения как части политики безопасности;

- разработка пакета организационно-распорядительной документации в соответствии с рекомендациями корпоративной политики ИБ компании на организационно-управленческом и правовом уровне;

- поставка комплекта типовой организационно-распорядительной документации в соответствии с рекомендациями корпоративной политики ИБ компании на организационно-управленческом и правовом уровнях [14,28,30].

Уровень информационной безопасности компании во многом зависит от квалификации специалистов. В целях повышения квалификации и переподготовки кадров рекомендуется проводить тренинги по применению средств защиты информации, технологии защиты информации, обучать сотрудников основам экономической безопасности[17].

Немаловажную роль играет и ежегодная переоценка состояния информационной безопасности компании.

Поясним ключевые моменты управления рисками. Для начала излагается общий сценарий. Допустим, возникает возможность угрозы несанкционированного доступа к конфиденциальной информации в связи с обнаруженной уязвимостью в учетной системе, которая принимает электронные заказы через Интернет. На основе информации об угрозах и уязвимостях информационной системы изучается вопрос о возможности реализации риска и экономической целесообразности определения мероприятий по его минимизации (если мероприятия по предотвращению рисков стоят дороже, чем ущерб от реализации угрозы, то, скорее всего, применять их нецелесообразно).

После оценки важности риска планируются необходимые мероприятия и выделяются соответствующие ресурсы. Затем реализуются контрмеры в соответствии с графиком работ и оценивается их эффективность.

После более подробного изучения процесса и выявления потенциальных угроз следует сформировать перечень рисков, которые необходимо минимизировать. Цель процесса сбора (идентификации) рисков - выяснить, в какой степени организация подвержена угрозам, способным нанести существенный ущерб. Для сбора рисков проводится анализ бизнес-процессов компании и опрос экспертов предметной области. По результатам проделанной работы перечень всех потенциальных рисков классифицируется. Причем для проверки полноты перечня выделенных рисков необходимо построить классификацию рисков по определенному принципу, например по этапам жизненного цикла документа [18,28].

Существует два подхода к определению рисков. Первый основан на описании процессов и их анализе на предмет нахождения рисков IT-безопасности. Обычно его применение требует больших затрат как на описание, так и на анализ бизнес-процессов, но неоспоримым преимуществом данного метода является гарантированная полнота определения перечня рисков.

Второй подход к определению рисков базируется на экспертных знаниях, информации по инцидентам IT-безопасности и понесенному компанией убытку от произошедших инцидентов. Этот подход имеет меньшую трудоемкость, но не гарантирует полноты перечня рисков и требует большого экспертного опыта при выделении рисков без анализа описания процессов.

Если говорить о практике применения, то на первых этапах развертывания процесса управления рисками IT-безопасности возможно использование второго метода, как менее трудоемкого, однако на следующих этапах анализа рисков следует перейти к полноценному определению рисков с помощью описания и анализа бизнес-процессов.

В представленном примере угроза несанкционированного доступа к финансовой информации представляет собой исходные данные для идентификации, например, такого риска, как «Утечка информации о клиентах к конкурентам через незащищенный канал связи». В связи с тем, что последствия от различных угроз неравноценны, недостаточно лишь идентифицировать риск. Необходимо оценить величину угрозы и возможность реализации риска (уязвимость), а также убыток в виде прямых или косвенных потерь в денежном выражении. Если говорить об оценке рисков, то на первом этапе следует использовать качественные критерии, поскольку они просты в применении.

Примером качественных критериев оценки может быть куб (четыре на четыре на четыре):

- угроза - низкая, средняя, высокая, критическая;

- уязвимость - низкая, средняя, высокая, критическая;

- ущерб - низкий, средний, высокий, критический.

Суммарную оценку риска можно определить путем перемножения или взвешенного суммирования полученных качественных коэффициентов[3].

Затем определятся порог или уровень существенности для рисков. Фактически перечень рисков делится уровнем существенности на две части.

Во-первых, риски, по которым в данном цикле системы будет производиться предотвращение или минимизация последствий.

Во-вторых, риски, по которым в данном цикле системы не будет производиться предотвращение или минимизация последствий.

При дальнейших реализациях процесса можно перейти от качественных к числовым оценкам, но это потребует анализа вероятностей для угроз и уязвимостей, и числовых оценок для убытков, что усложнит систему управления рисками. Но главное - при запуске процесса управления рисками IT-безопасности сосредоточиться на самом процессе, а методики можно отточить в дальнейшем, когда механизм будет работать в циклическом режиме [29,30].

Основным результатом (выходом) процесса оценки рисков является перечень всех потенциальных рисков с их количественными и качественными оценками ущерба и возможности реализации. Данный перечень рисков имеет большой объем, поэтому возникает вопрос, нужно ли защищаться от всех рисков?

Необходимо определить перечень особо опасных рисков, к минимизации которых следует приступить немедленно и минимизация которых повысит уровень безопасности организации. То есть речь идет лишь о понимании, сколько риска организация готова взять на себя и какому риску она подвергается в действительности.

Что делать с оставшимися рисками? Скорее всего, их минимизация не требуется, поскольку стоимость мероприятий по их минимизации может превысить убытки от данных рисков. Вот почему основной задачей становится определение логической границы между рисками, требующими минимизации, и остаточными рисками. В начале построения системы IT-безопасности данная граница может иметь высокий уровень, дальнейшее понижение границы возможно при проведении работ по IT-безопасности, но необходимо определить тот момент, когда ее дальнейшее понижение станет убыточным для организации. Иначе нельзя исключить переход в состояние, когда мероприятия по защите информации будут работать сами на себя. Для оценки данной границы необходимо четко оценивать свои ресурсы и возможные расходы. Дополнительным результатом процесса оценки рисков является перечень рисков информационной безопасности, которые не будут отслеживаться в организации, но на следующем цикле анализа рисков будут оценены. Все данные, важные с точки зрения управления рисками, моделируются [128,30].

На основе оценок риска выбираются необходимые методы и средства управления информационной безопасностью. Для нашего примера: если величина и возможность убытков для риска «Утечка информации о клиентах к конкурентам» достаточно велика, целесообразно наметить мероприятия по минимизации риска - планирование процесса оперативного обновления ПО (установка «заплаток»), формирование регламентов доступа к информации о клиентах, внедрение средств защиты от утечек конфиденциальных данных и т.д.

Цель процесса планирования мероприятий по минимизации рисков - определение сроков и перечня работ по исключению или сведению к минимуму ущерба в случае реализации риска. Данный процесс позволяет сформулировать кто, где, когда и какими ресурсами будет минимизировать определенные риски. Результатом (выходом) процесса планирования является план-график работ по исключению или минимизации ущерба от реализованного риска. Например, «До 10.10.10 установить пакет обновлений Service Pack 2 для операционной системы Windows XP на все рабочие станции компании. Ответственный: Иванов И.И.».

Практика показывает, что большинство мероприятий находится в плоскости организационных решений, тогда как технические меры защиты не являются превалирующими. В дальнейшем необходимо производить агрегацию мероприятий для того, чтобы одно мероприятие «закрывало» несколько рисков одновременно, что минимизирует затраты и требует меньше ресурсов для контроля [10,11].

Однако большинство компаний начинает установку технических решений без предварительной оценки рисков, определения целей IT-безопасности и ее влияния на бизнес-процессы, что приводит к отрицательному влиянию на бизнес-процессы и потере контроля над ними.

Можно установить в компании различные средства сетевой защиты, контроля физического доступа и т.п., после чего пребывать в спокойном состоянии, считая, что все необходимые меры по обеспечению IT-безопасности приняты. Однако вскоре конфиденциальная информация опять оказывается у конкурентов или сотрудник «случайно» стирает материалы проекта[16].

Эти факты показывают, что проблема IT-безопасности является не только технической, но и управленческой. Большинство рисков можно минимизировать управленческими решениями, рассматривая данные риски в качестве операционных, а остальные риски минимизировать программными и аппаратными средствами.

Мало понять, что, как и когда делать, однако требуется реализовать все запланированное точно в срок. Поэтому целью процесса реализации мероприятий становится выполнение запланированных мероприятий по минимизации рисков, контроль качества полученных результатов и сроков их выполнения. Итог данного процесса - выполненные работы по минимизации рисков и время их проведения. Целесообразно спланировать свою деятельность на случай возникновения критической ситуации или риска. Введение в действие процессов, предусмотренных на экстренный случай, позволит не допустить убытки или минимизировать их, а также возобновить хозяйственную деятельность как можно быстрее[15].

Основная сложность - не создать план-график (поскольку подобная работа связана с анализом рисков и формированием мероприятий, необходимых для его минимизации и предотвращения), а выполнять план-график, выделяя финансовые ресурсы, назначая и мотивируя ответственных за конкретные мероприятия.

Однако, определяя мероприятия, надо все время помнить: IT-безопасность должна гарантировать, что будут достигнуты следующие цели.

Во-первых, конфиденциальность информации, критически важной для организации или для принятия решения. Во-вторых, целостность информации и связанных с ней процессов (создания, ввода, обработки и вывода). В-третьих, оперативная доступность информации в любой момент времени. В-четвертых, возможность накопления информации, т.е. сохранения предшествующих вариантов. В-пятых, учет всех процессов, связанных с информацией.

Во многих компаниях системы информационной безопасности строятся по принципу «все запретить», что вызывает неудобства в работе сотрудников, а самое важное - может служить причиной замедления развития компании, поскольку корпоративные знания перестают быть доступными. Необходимо найти золотую середину между ограничениями, связанными с мероприятиями IT-безопасности, и свободой обмена информацией внутри и вне компании. Главное, чтобы безопасность из средства не превратилась в цель. Часто вместо того, чтобы придерживаться принципа, подразумевающего сохранение текущей ситуации всегда, когда это допустимо, сотрудники, отвечающие за IT-безопасность, занимают формальную позицию и по максимуму минимизируют возможности пользователей.

Как правило, большое количество запретительных мероприятий порождает способы обмена информацией в обход защищенных каналов, что сводит все усилия по обеспечению защиты данных к нулю, то есть бизнес-процессы компании перестраиваются, обходя все запретительные мероприятия.

Следующий цикл анализа рисков позволяет определить, какие мероприятия эффективны для минимизации и предотвращения рисков, а какие нет. На основе анализа эффективности можно корректировать понимание риска, его оценки и требуемых действий. Кроме того, анализ эффективности предоставит возможность увидеть минимизацию параметров уязвимости и ущерб для всех рисков, что в целом усилит режим IT-безопасности.

Оценка эффективности системы управления IT-безопасностью - это системный процесс получения и оценки объективных данных о текущем состоянии систем, действиях и событиях, происходящих в ней, устанавливающий уровень их соответствия определенным критериям. На данной стадии выполняется мониторинг заранее установленных мероприятий, нацеленных на уменьшение объема убытка или частоты появления рисков. Результаты указанного процесса могут использоваться в целях аудита для подготовки компании к сертификации [15,16].

Для координации работ по управлению рисками требуются следующие организационные мероприятия: разработка концепции IT-безопасности, создание комитета по IT-безопасности (включающего топ-менеджеров компании), выделение ответственного, определение бюджета на работы, формирование процесса управления и регламента, назначение экспертов по предметным областям для предоставления информации по бизнес-процессам и рискам, определение схем мотивирования для участвующих в работах. Также нельзя забывать, что для обеспечения работающего процесса управления IT-безопасностью очень критична организационная составляющая.

В заключение следует отметить, что построение эффективной системы IT-безопасности в компании - сложный и непрерывный процесс, от которого зависит жизнеспособность бизнеса. Для грамотного построения такой системы надо привлекать к участию в ее создании топ-менеджмент, IT-специалистов, консультантов по данной тематике, технических экспертов.

Одним из важных этапов построения системы IT-безопасности является создание эффективного механизма управления рисками, что позволит принимать обоснованные решения в данном направлении. Хотелось бы отметить, что мероприятия по IT-безопасности могут накладывать ограничения, но надо четко представлять себе необходимость данных ограничений и пытаться находить компромиссы [19,25].

Методика Microsoft в большей части рассчитана для ее же программных продуктов, среди которых часто встречаются операционные системы семейства Microsoft (Microsoft XP, Vista, Seven, Server 2003, 2008) Microsoft office, Microsoft Exchange. Учитывая большую стоимость программных средств, российский бизнес использует альтернативные программные продукты других производителей, зачастую куда более лучшего качества. Все это позволяет только частично применить эту методику в для проведения учета рисков информационной безопасности мероприятия.

Как известно, крупные поставщики аппаратного оборудования такие как HP, DELL, IBM поставляют готовые серверные решения на основе CISCO, D-LINK, INTEL, AMD, NVIDIA, для предприятия с сертификатом совмести с продуктами MICROSOFT что подтверждает совместимость оборудования с программным обеспечением, что повышает надежность отказоустойчивости, так и производительности.

Но учитывая бизнес в России, не все организации способны закупить высокопроизводительные и дорогостоящие сервера. Основную нагрузку на себя берут обычные компьютеры выступающие в роли рядового сервера.

Так же стоит учесть тот факт, что сети организаций построены на разных программных платформах - операционных системах для повышения производительности и снижения себестоимости владения продуктом. В отличие от MS Windows, некоторые версии Linux распространяется бесплатно, а за небольшую плату еще и с поддержкой конечных пользователей.

Недостаточность финансирования IT хозяйства предприятия ведет к незаметным простоям и перебоям в работе информационной инфраструктуры предприятия, что в конечном итоге выходит предприятию в копеечку.

Информационные риски - это опасность возникновения убытков или ущерба в результате применения компанией информационных технологий.

К сожалению, имеющиеся справочники опираются на зарубежный опыт и потому с трудом применимы к российским реалиям. К тому же определение величины стоимости информационного ресурса (будь то физический сервер или файлы и записи СУБД) тоже зачастую затруднено.

Современные методики управления рисками, проектирования и сопровождения корпоративных систем защиты информации должны позволять решить ряд задач перспективного стратегического развития компании.

Управление рисками предполагает оценку стоимости реализации контрмер, которая должна быть меньше величины возможного ущерба. Разница между стоимостью принятия контрмер и величиной возможного ущерба должна быть тем больше, чем меньше вероятность причинения ущерба.

Разработанная модель на основе методики Microsoft позволяет снизить риски для предприятия, с учетом рисков для корпоративной сети, тем самым сохранив денежные средства на восстановление в случае отказа или перебоя в работе средств информационно обработки информации предприятия, а также выработать рекомендации по обеспечению (повышению) информационной безопасности компании. В том числе снизить потенциальные потери компании путем повышения устойчивости функционирования корпоративной сети, разработать концепцию и политику безопасности компании. Также рассмотренная методика позволяет предложить планы защиты конфиденциальной информации компании, передаваемой по открытым каналам связи, защиты информации компании от умышленного искажения (разрушения), несанкционированного доступа к ней, ее копирования или использования.

Одним из важных этапов построения системы IT-безопасности является создание эффективного механизма управления рисками, что позволит принимать обоснованные решения в данном направлении. Хотелось бы отметить, что мероприятия по IT-безопасности могут накладывать ограничения, но надо четко представлять себе необходимость данных ограничений и пытаться находить компромиссы. Оценка IT-рисков, а также разработка и обновление планов по их минимизации должны производиться с определенной периодичностью, например раз в квартал.

Периодический аудит системы работы с информацией (информационный аудит), проводимый независимыми экспертами, будет дополнительно способствовать минимизации рисков. В заключение отметим, что разработка и реализация политики по минимизации IT-рисков не принесет пользы, если рекомендуемые стандарты и правила неверно используются, например, если сотрудники не обучены их применению и не понимают их важности. Поэтому работа по обеспечению IT-безопасности должна быть комплексной и продуманной. В заключение следует отметить, что построение эффективной системы IT-безопасности в компании - сложный и непрерывный процесс, от которого зависит жизнеспособность бизнеса. Для грамотного построения такой системы надо привлекать к участию в ее создании топ-менеджмент, IT-специалистов, консультантов по данной тематике, технических экспертов.

3. Разработка модели оценки рисков по безопасности корпоративной информации

Повсеместное внедрение информационных технологий в структуры современных организаций стало объективной реальностью. На всех управленческих уровнях есть необходимость и возможность расширить свои коммуникационные и информационные возможности за счет внедрения современных информационных технологий. В результате информационные структуры организаций разрастаются: локальные сети организаций подключаются к Internet, объединяются в офисные многоярусные структуры, разрастаются до уровня распределенных корпоративных сетей. Внедрение средств вычислительной техники в структуру управления современных предприятий и организаций является, безусловно, передовым процессом, поэтому вполне объяснимо, что до определенного момента не возникает вопросов и опасений, связанных с использованием информационных технологий[36].

Эволюция вычислительных технологий постоянно ускоряется, руководителям предприятий приходится отслеживать новые тенденции, принимать решения, связанные с обновлением инфраструктуры информационных технологий. Новые технологии приводят к появлению новых способов организации дальнейшей работы, а также служат источниками новых услуг

Следствием этого часто является стихийный рост информационной инфраструктуры предприятия, которая по мере приобретения средств вычислительной техники разрастается «вширь», приобретая неструктурированный гетерогенный характер. Это, в свою очередь, приводит к неконтролируемому росту уязвимостей системы и увеличению возможностей доступа к управленческой, коммерческой и производственной информации со стороны внешних и внутренних нарушителей. Информационные системы становятся потенциально опасными для своих собственников, своего рода «миной замедленного действия». До определенного момента не возникает вопросов и об оценке величины риска, рост которого следует рассматривать как обратную сторону процесса информатизации. Проблема усугубляется тем, что вопросы информационной безопасности, обычно, отдаются на откуп специалистам по информационным технологиям, которые часто не в состоянии определить реальные последствия для организации угроз информационной безопасности [38,39].

Таким образом, в организации часто не оказывается специалиста, который мог бы оценить реальные риски, связанные с использованием информационных технологий, хотя, очевидно, что оценка риска нужна не только с точки зрения безопасности уже определившейся инфраструктуры, но и для точной оценки перспектив применения и развития информационных технологий. Более того, своевременную оценку риска следует рассматривать не только как функцию управления ИС, но и как защиту организации в целом, ее способности выполнять свои функции пусть даже и частично, после восстановления от сбоя. Следовательно, процесс управления рисками следует рассматривать не как техническую функцию, которую можно поручить техническим специалистам, а как основную управляющую функцию организации. Говорить о том, что информационная безопасность (ИБ) стала частью корпоративной культуры, у нас в стране можно с большой натяжкой, не все организации обращают на это внимание или мало выделяют средств на ее обеспечение. Необходимость обеспечения ИБ осознали только крупные компании. Да и они до недавнего времени проблемы безопасности воспринимали исключительно как технические, связанные с внедрением межсетевых экранов, антивирусного программного обеспечения, средств обнаружения вторжений и виртуальных частных сетей.

На самом деле, по рекомендациям исследовательских фирм, от 60 до 80% всех усилий по обеспечению безопасности следует направлять на разработку политики безопасности и сопутствующих ей документов. Почему? Потому, что политика безопасности является самым дешевым и одновременно самым эффективным средством обеспечения информационной безопасности (конечно, если ей следовать). Кроме того, если политика сформулирована, то она является и руководством по развитию и совершенствованию системы защиты[35].

Конкретные продукты и решения по информационной безопасности совершенствуются год от года, интегрируются между собой. Все это происходит так стремительно, что кажется, будто недалек тот день, когда кто-нибудь предложит универсальный продукт для защиты любых информационных систем всеми доступными средствами. Это могло бы быть шуткой, если бы мы не наблюдали воочию, как усилия многих специализированных компаний «размазываются» в попытках создать универсальный продукт. Характеристики информации. Прежде всего, у каждой «единицы» защищаемой информации есть несколько параметров, которые необходимо учитывать:

- статичность;

- размер и тип доступа;

- время жизни;

- стоимость создания;

- стоимость потери конфиденциальности;

- стоимость скрытого нарушения целостности;

- стоимость утраты.

Статичность определяет, может ли защищаемая информация изменяться в процессе нормального использования. Так, например, передаваемое по сети зашифрованное сообщение и документ с цифровой подписью изменяться не должны, а данные на зашифрованном диске, находящемся в использовании, изменяются постоянно. Также изменяется содержимое базы данных при добавлении новых или модификации существующих записей [17,20].

Размер единицы защищаемой информации может накладывать дополнительные ограничения на используемые средства защиты. Так блочные алгоритмы шифрования в некоторых режимах оперируют порциями данных фиксированной длины, а использование асимметричных криптографических алгоритмов приводит к увеличению размера данных при зашифровании[36].

Тип доступа (последовательный или произвольный) также накладывает ограничения на средства защиты - использование потокового алгоритма шифрования для больших объемов данных с произвольным доступом требует разбиения данных на блоки и генерации уникального ключа для каждого из них.

Время жизни информации очень важный параметр, определяющий, насколько долго информация должна оставаться защищенной. Существует информация, время жизни которой составляет минуты, например отданный приказ о начале атаки или отступления во время ведения боевых действий. Содержимое приказа и без расшифровки сообщения станет ясно противнику по косвенным признакам. Время жизни большей части персональной информации (банковской, медицинской и т.п.) соответствует времени жизни владельца после его смерти разглашение такой информации уже никому не принесет ни вреда, ни выгоды. Для каждого государственного секрета, как правило, тоже определен период, в течение которого информация не должна стать публичной. Однако с некоторых документов грифы не снимаются никогда - это случай, когда время жизни информации не ограничено. Никогда не должна разглашаться информация и о ключах шифрования, вышедших из употребления, т.к. у противника могут иметься в наличии все старые зашифрованные сообщения и, получив ключ, он сможет обеспечить себе доступ к тексту сообщений [18,19].

Стоимость создания является численным выражением совокупности ресурсов (финансовых, человеческих, временных), затраченных на создание информации. Фактически, это ее себестоимость. Стоимость потери конфиденциальности выражает потенциальные убытки, которые понесет владелец информации, если к ней получат неавторизованный доступ сторонние лица. Как правило, стоимость потери конфиденциальности многократно превышает себестоимость информации. По истечении времени жизни информации стоимость потери ее конфиденциальности становится равной нулю. Стоимость скрытого нарушения целостности выражает убытки, которые могут возникнуть вследствие внесения изменений в информацию, если факт модификации не был обнаружен. Нарушения целостности могут носить различный характер. Они могут быть как случайными, так и преднамеренными[35].

Модификации может подвергаться не только непосредственно текст сообщения или документа, но также дата отправки или имя автора. Стоимость утраты описывает ущерб от полного или частичного разрушения информации. При обнаружении нарушения целостности и невозможности получить ту же информацию из другого источника информация считается утраченной. Четыре различных стоимости, перечисленные выше, могут очень по-разному соотноситься друг с другом.

Анализ защищенности АС от угроз безопасности информации работа сложная. Умение оценивать и управлять рисками, знание типовых угроз и уязвимостей, критериев и подходов к анализу защищенности, владение методами анализа и специализированным инструментарием, профессиональное знание различных программно-аппаратных платформ, используемых в современных компьютерных сетях, - вот далеко не полный перечень профессиональных качеств, которыми должны обладать специалисты, проводящие работы по анализу защищенности АС.

3.2 Рекомендации для типовой методики защищенности корпоративной сети

Рассмотренные проблемы безопасности корпоративной сети и разработка модели позволяют обезопасить сеть. Но для увеличения эффекта защищенности информации циркулирующей на предприятии нужно разработать дополнительные мероприятия для обеспечения защищенности информации как при ее обработке, так и при ее передаче.

В настоящее время не существует каких-либо стандартизированных методик анализа защищенности автоматизированной системы (АС), поэтому в конкретных ситуациях алгоритмы действий аудиторов могут серьезно различаться. Однако типовую методику анализа защищенности корпоративной сети предложить все-таки можно. И хотя данная методика не претендует на всеобщность, ее эффективность многократно проверена на практике.

Типовая методика включает использование следующих методов:

- изучение исходных данных по АС;

- оценка рисков, связанных с осуществлением угроз безопасности в отношении ресурсов АС;

- анализ механизмов безопасности организационного уровня, политики безопасности организации и организационно-распорядительной документации по обеспечению режима информационной безопасности и оценка их соответствия требованиям существующих нормативных документов, а также их адекватности имеющимся рискам;

- анализ конфигурационных файлов маршрутизаторов, межсетевых экранов (МЭ) и proxy-серверов, осуществляющих управление межсетевыми взаимодействиями, почтовых и DNS-серверов, а также других критических элементов сетевой инфраструктуры;

- сканирование внешних сетевых адресов локальной вычислительной сети (ЛВС) из сети Internet;

- сканирование ресурсов ЛВС изнутри;

- анализ конфигурации серверов и рабочих станций ЛВС при помощи специализированных программных средств[10].

Перечисленные методы исследования предусматривают проведение как активного, так и пассивного тестирования системы защиты. Активное тестирование системы защиты заключается в эмуляции действий потенциального злоумышленника для преодоления механизмов защиты.

Пассивное тестирование предполагает анализ конфигурации ОС и приложений по шаблонам с привлечением списков проверки. Тестирование может выполняться вручную либо посредством специализированных программных средств [11,12].

3.3 Рекомендации к тестированию системы защиты

Тестирование системы защиты АС проводится с целью проверки эффективности имеющихся в ней механизмов защиты, их устойчивости в отношении возможных атак, а также с целью поиска уязвимостей в защите. Традиционно используются два основных метода тестирования:

- метод «черного ящика»;

- метод «белого ящика».

Тестирование по методу «черного ящика» предполагает отсутствие у тестирующей стороны каких-либо специальных знаний о конфигурации и внутренней структуре объекта испытаний. При этом против объекта испытаний реализуются все известные типы атак и проверяется устойчивость системы защиты в отношении этих атак. Такие методы тестирования эмулируют действия потенциальных злоумышленников, пытающихся взломать систему защиты. Основным средством тестирования являются сетевые сканеры, располагающие базами данных известных уязвимостей.

Метод «белого ящика» предусматривает составление программы тестирования на основании знаний о структуре и конфигурации объекта испытаний. В ходе тестирования проверяются наличие и работоспособность механизмов безопасности, соответствие состава и конфигурации системы защиты требованиям безопасности и существующим рисками. Выводы о наличии уязвимостей делаются на основании анализа конфигурации внедренных средств защиты и системного ПО, а затем проверяются на практике. Основной инструмент анализа - программные агенты средств анализа защищенности системного уровня, рассматриваемые ниже [12,22].

3.4 Рекомендации к средствам анализа защищенности корпоративной сети

По статистике, самым большим препятствием на пути принятия каких-либо мер по обеспечению информационной безопасности в компании являются две причины:

– ограничение бюджета;

– отсутствие поддержки со стороны руководства.

Обе причины возникают из-за непонимания руководством серьезности вопроса и сложности задачи для ИТ-менеджера обосновать, зачем необходимо вкладывать деньги в информационную безопасность.

Но эта проблема кардинально меняется, в результате потери информации и руководство в срочном темпе начинает выделять нужные средства, уже после утери ценной информации.

Часто считается, что основная проблема заключается в том, что ИТ-менеджеры и руководители разговаривают на разных языках - техническом и финансовом, но ведь и самим ИТ-специалистам часто трудно оценить, на что потратить деньги и сколько их требуется для обеспечения большей защищенности системы компании, чтобы эти расходы не оказались напрасными или чрезмерными[24].

Если ИТ-менеджер четко представляет, сколько компания может потерять денег в случае реализации угроз, какие места в системе наиболее уязвимы, какие меры можно предпринять для повышения уровня защищенности и при этом не потратить лишних денег, и всё это подтверждено документально, то решение задачи убедить руководство обратить внимание и выделить средства на обеспечение информационной безопасности становится значительно более реальным.

3.6 Рекомендации к построению добавочной защиты