Разработка модели оценки рисков информационной безопасности корпоративной сети
Методы оценивания информационных рисков, их характеристика и отличительные особенности, оценка преимуществ и недостатков. Разработка методики оценки рисков на примере методики Microsoft, модели оценки рисков по безопасности корпоративной информации.
| Рубрика | Программирование, компьютеры и кибернетика |
| Вид | дипломная работа |
| Язык | русский |
| Дата добавления | 02.08.2012 |
| Размер файла | 207,4 K |
Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже
Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.
Очевидно, что первому подходу присущи два недостатка: во-первых, невозможность решения концептуальных вопросов защиты информации, рассмотренных ранее, во-вторых, невозможность резервирования основных механизмов защиты. При этом к основным механизмами защиты от НСД относятся механизмы идентификации и аутентификации пользователя при входе в систему, а также механизмы управления доступом к ресурсам. Что касается второго подхода, то он, возможно, характеризуется некоторой избыточностью. Вместе с тем он позволяет в полном объеме решать рассматриваемые проблемы защиты информации.
В качестве замечания следует отметить, что, на наш взгляд, в критичных приложениях по изложенным ранее причинам недопустимо использование свободно распространяемых (не коммерческих) средств защиты, а также свободно распространяемых защищенных систем (в частности ОС) без применения средств добавочной защиты. Говоря же о средствах добавочной защиты, прежде всего следует иметь в виду использование коммерческих отечественных продуктов, сертифицированных по принятым требованиям информационной безопасности[20].
Особенности проектирования системы защиты на основе оценки защищенности системы Этапы проектирования системы защиты Задача проектирования системы защиты принципиально отличается от задач проектирования иных информационных систем. Дело в том, что проектирование осуществляется с учетом статистических данных об уже существующих угрозах. Однако в процессе функционирования системы защиты поле угроз может принципиально измениться. В частности, это связано с тем, что многие угрозы предполагают нахождение злоумышленниками ошибок в реализации системных и прикладных средств, которые могут быть неизвестны на момент создания системы защиты, но должны быть учтены в процессе ее функционирования. Поэтому проектирование системы защиты - процедура итерационная, в общем случае предполагающая следующие этапы, на рисунке 1:
- проектирование первоначальной системы защиты (исходный вариант);
- анализ защищенности на основе статистических данных, полученных в процессе эксплуатации системы защиты;
- модификация «узких мест» системы защиты (настройка / замена / дополнение отдельных механизмов защиты информации).
Рисунок 1 - Проектирование системы защиты
Методы проектирования системы защиты с избыточными механизмами защиты Необходимость избыточных механизмов в системе защиты Выше мы особо отмечали одну принципиальную особенность функционирования системы защиты. Суть ее заключается в том, что коэффициент защищенности непрерывно снижается в процессе функционирования защищенной системы. Это связано с накоплением информации злоумышленником о системе защиты, а также с накоплением статистики об ошибках реализации системных и прикладных средств.
Возникает следующая проблема. Если строить систему с требуемым уровнем защищенности (учитывающим текущую статистику угроз), то через небольшой промежуток времени функционирования защищаемой системы систему защиты потребуется проектировать вновь, что связано с большими накладными расходами. Поэтому ранее был сделан вывод о необходимости разработки системы защиты с учетом не только существующей статистики угроз, но и с учетом потенциально возможных (неизвестных) угроз.
Тем не менее, приходится учитывать тот факт, что наличие запаса по параметрам защищенности приводит к значительным накладным расходам, прежде всего, по параметрам производительности. Что касается стоимости, то лучше раз создать систему с избыточными механизмами защиты и заплатить изначально больше, чем практически сразу после ее внедрения вновь проектировать систему защиты, т.е. вновь оплачивать все расходы, связанные с этим проектированием, да еще думать об очередном ее внедрении в функционирующую систему, что, как правило, протекает весьма болезненно [20,22].
Из сказанного можем сделать важнейший вывод: с целью увеличения жизненного цикла системы защиты (без необходимости ее модификации) разработчикам следует ориентироваться не только на существующую статистику угроз, но и закладывать технические решения, позволяющие противодействовать неизвестным на момент проектирования системы защиты угрозам (потенциальным угрозам). Обратите внимание на принципиальную разницу между подходами резервирования и подходами включения избыточных механизмов. При резервировании механизмы защиты дублируются такими же механизмами (решают те же функциональные задачи), но реализуются иным способом. Резервный призван заменить основной механизм при выходе его из строя (при обнаружении его уязвимости к атакам). Что касается включения избыточных механизмов, то здесь рассматривается добавление новых механизмов с иными, чем у механизмов, реализованных в системе защиты, свойствами (решающих частично, либо полностью иные функциональные задачи). Другое дело, что данные возможности на первых этапах функционирования системы защиты могут быть не востребованными. Поэтому, чтобы не загружать излишне вычислительные ресурсы системы, их рекомендуется не активизировать - благодаря избыточным механизмам реализуется запас защищенности.
3.7 Рекомендации по информационной безопасности человеческих ресурсов
При разработке и внедрении защиты информационной безопасности автоматизированной системы организации большое внимание уделяется комплексу средств автоматизации деятельности человека, и гораздо меньше самому человеку. Но информационная безопасность средств автоматизации настолько развита, что позволяет заимствовать такие технологии как: антивирусная защита, межсетевое экранирование, системы обнаружения атак, написание защищенного кода, контроль целостности, защиту от DoS атак персоналу организации, как компонентам автоматизированной системы.
Ни для кого не секрет что сотрудники могут иметь уязвимости в понимании своих обязанностей, инструкций и важности информации с которой они работают. В определенный момент сотрудник может повести себя не так, как этого ожидает руководство. Иногда не правильно настроено взаимодействие между отделами. Таким образом, есть возможность проведения атаки на информацию через человека как компонента автоматизированной системы организации. Эксплуатация уязвимостей, распространение вредоносных V-программ, манипуляция действиями (считаем троянской программой) - все эти действия можно совершать над человеком. Например, распространение внутри организации информационного вируса с негативом о руководителе, с мифом о скором закрытии организации, о плохих условиях работы по сравнению с конкурентами, с негативом о партнерах организации[35].
Особую проблему безопасности для корпоративной информации составляют инсайдеры. Инсайдер - член какой-либо группы людей, имеющей доступ к информации, недоступной широкой публике. Термин используется в контексте, связанном с секретной, скрытой или какой-либо другой закрытой информацией или знаниями: инсайдер - это член группы, обладающий информацией, имеющейся только у этой группы. Учесть риск среди инсайдерства довольно сложно, обычно этот контингент составляют люди специально устроенные в организацию, сотрудники затаившие обиду на руководителей предприятия, и сотрудники разглашающие закрытые сведения из-за незнания этого.
Среди главных причин прерывания деятельности компании были названы отказы в работе вычислительного оборудования и программного обеспечения (56%), а также средств связи (49%). Около четверти всех отказов было вызвано ошибками в обращении с системой, техническими характеристиками системы и сбоями в работе третьих лиц.
В настоящее время вопросы анализа защищенности корпоративных АС хорошо проработаны. Имеется богатый арсенал средств и методов для проведения подобных мероприятий. Отработанные методики проведения обследования (аудита) безопасности АС в соответствии с проверенными критериями, утвержденными в качестве международных стандартов, делают возможным получение исчерпывающей информации о свойствах АС, имеющих отношение к безопасности. На практике анализ защищенности АС проводится при помощи мощного программного инструментария, в достаточном объеме представленного на рынке средств защиты информации. Поскольку полностью исключить возможность отказа или некорректной работы техники невозможно, решение заключается в том, чтобы обнаруживать проблемы на наиболее ранних стадиях, и получать о них наиболее подробную информацию. Для этого, как правило, применяется различное ПО мониторинга и контроля сети, которое способно как своевременно оповещать технических специалистов об обнаруженной проблеме, так и накапливать статистические данные о стабильности и других параметрах работы серверов, сервисов и служб, доступные для подробного анализа
Для достижения наибольшей эффективности средства защиты должны адекватно защищать информацию, в соответствии с ее ценностью в корпорации. Недостаточная изученность вопросов количественной оценки ценности информации в современной науке не дает возможности оценки и обоснования необходимых затрат на построение систем защиты информационных и телекоммуникационных систем, обоснованных моментах их приложения и составе защитных функций. Одновременно, такая ситуация приводит к растущим затратам на компенсацию действия угроз безопасности информации ТКС и ИТ.
Заключение
В сфере информационной безопасности оценка рисков играет такую же первостепенную роль, как и во всех других областях человеческой деятельности. Из-за неадекватной оценки рисков, связанных с осуществлением угроз информационной безопасности в современном высокотехнологичном обществе, государство, организации и отдельные личности несут весьма ощутимый ущерб, подсчитать который вряд ли кому-либо удастся.
Величина риска определяется вероятностью успешного выполнения угрозы и величиной ущерба, который в результате будет нанесен. Возможный ущерб далеко не всегда может быть выражен в денежных единицах, а вероятность успешной реализации угрозы вообще не поддается точной оценке. Поэтому наши оценки рисков весьма приблизительны. Их точность зависит от того, насколько хорошо мы ориентируемся в текущей ситуации, правильно ли представляем себе природу и способы реализации угроз, а также от нашей способности анализировать и оценивать их последствия.
Разработанная модель на основе методики Microsoft позволяет снизить риски для предприятия, тем самым сохранив денежные средства на восстановление в случае отказа или перебоя в работе средств информационно обработки информации предприятия, а также выработать рекомендации по обеспечению (повышению) информационной безопасности компании. В том числе снизить потенциальные потери компании путем повышения устойчивости функционирования корпоративной сети, разработать концепцию и политику безопасности компании. Также рассмотренная методика позволяет предложить планы защиты конфиденциальной информации компании, передаваемой по открытым каналам связи, защиты информации компании от умышленного искажения (разрушения), несанкционированного доступа к ней, ее копирования или использования.
Одним из важных этапов построения системы IT-безопасности является создание эффективного механизма управления рисками, что позволит принимать обоснованные решения в данном направлении. Хотелось бы отметить, что мероприятия по IT-безопасности могут накладывать ограничения, но надо четко представлять себе необходимость данных ограничений и пытаться находить компромиссы.
Ни одна из методик не предлагает оценку рисков в корпоративной среде предприятия, кроме методики от Microsoft. Современный бизнес диктует скорость развития бизнеса, как с экономической, так и с технической стороны. Любая средняя организация имеет как минимум два удаленных офиса.
Необходимая степень конкретизации деталей зависит от уровня зрелости организации, специфики ее деятельности и ряда других факторов. Таким образом, невозможно предложить какую-либо единую, приемлемую для всех отечественных компаний и организаций, универсальную методику, соответствующую определенной концепции управления рисками. В каждом частном случае приходится адаптировать общую методику анализа рисков и управления ими под конкретные нужды предприятия с учетом специфики его функционирования и ведения бизнеса. Рассмотрим сначала типичные вопросы и проблемы, возникающие при разработке таких методик, возможные подходы к решению этих проблем, а затем обсудим примеры адаптации и разработки соответствующих корпоративных методик.
Список литературы
1 Обзор системы анализа рисков CRAMM [сайт] URL:http://www.cramm.com/overview/expert.htm (дата обращения: 01.08.2010).
2 Обзор системы анализа рисков ГРИФ [сайт] URL:http://www.dsec.ru/products/grif/overview/start/ (дата обращения: 05.07.2010).
3 Обзор системы анализа рисков для корпоративных сетей и управления ими [сайт] URL:http://www.intuit.ru/department/itmngt/riskanms/4/1.html (дата обращения: 06.07.2010).
4 Обзор системы анализа рисков Microsoft expert [сайт] URL:http://www.microsoft.com (дата обращения: 01.08.2010).
5 Обзор системы анализа и управления рисками [сайт] URL:http://www.osp.ru/lan/2004/10/139689/ (дата обращения: 17.08.2010).
6 Обзор системы учета, управления и анализа рисков предприятия [сайт] URL:http://www.peltierassociates.com/ (дата обращения 11.08.2010).
7 Обзор систем анализа [сайт] http://www.riskwatch.com/InformationSystems.html (дата обращения: 10.08.2010)
8 Обзор систем и учета рисков для корпоративных сетей предприятия CRAMM, FRAP, RiskWatch [сайт] http://www.securitylab.ru/opinion/264493.php (дата обращения 15.10.2010)
9 Балашов П.А., Кислое Р.И., Безгузиков В.П. Оценка рисков информационной безопасности на основе нечеткой логики // Безопасность компьютерных систем. Конфидент. 2007. №5. С. 56-59.
10 Биячуев Т.А. / под ред. Л.Г. Осовецкого Безопасность корпоративных сетей. - СПб.:изд-во СПб ГУ ИТМО, 2006. - 161 с.
11 Гладких А.А., В.Е. Дементьев / Базовые принципы информационной безопасности вычислительных сетей: учебное пособие для студентов; - Ульяновск: изд-во УлГТУ, 2009. - 168 с.
12 Кононов А.А. Автоматизация построения профилей защиты с использованием комплексной экспертной системы «АванГард».
13 Оголюк А.А., А.В. Щеглов / Технология и программный комплекс защиты рабочих станций. - М.: изд-во Финансы и статистика, 2007 г. - 280 с.
14 Петренко С.А., Симонов С.В. /Управление информационными рисками. Экономически оправданная безопасность - М. 2005. - 384 с.:
15 Расторгуев С.П. Об обеспечении защиты АИС от недокументированных возможностей программного обеспечения // Конфидент. Защита информации. - №2. - 2005. - С. 26-29.
16 Романец Ю.В., Тимофеев П.А., Шаньгин В.Ф. Защита информации в компьютерных системах и сетях. - М.: Радио и связь, 2005.
17 Саати Т. Принятие решений: метод анализа иерархий. - М: Радио и связь, 1993.
18 Сабынин В.Н. Давайте говорить на одном языке // Системы безопасности. - №1. - 2001.
19 Сардак И.Г. Борьба с экономическими преступлениями выходит на новый уровень // Системы безопасности связи и телекоммуникаций. - №3. - 2003.
20 Симонов С.В. Методология анализа рисков в информационных системах // Защита информации. Конфидент. 2001. №1. C. 72-76.
21 Симонов С.В. Анализ рисков в информационных системах. Практические аспекты // Конфидент. Защита информации. - №2. - 2001. - С. 48-53.
22 Симонов С.В. Анализ рисков, управление рисками //Jet Info. - №1. - 1999.
23 Симонов С.В. Аудит безопасности информационных систем //Jet Info. - №9. - 1999.
24 Симонов С.В. Методология анализа рисков в информационных системах // Конфидент. Защита информации. - №1. - 2008. - С. 72-76.
25 Симонов С.В. Технологии аудита информационной безопасности // Конфидент. Защита информации. - №2. - 2006. - С. 36-41.
26 Симонов С.В. Технологии и инструментарий для управления рисками //Jet Info.- №1. - 2004.
27 Староверов Д. Конфликты в сфере безопасности. Социально-психологические аспекты защиты // Системы безопасности связи и телекоммуникаций. - №6. - 2001.
28 Староверов Д. Оценка угроз воздействия конкурента на ресурсы организации // Конфидент. Защита информации. - №2. - 2005. - С. 58-62.
29 Сырков Б. Компьютерная преступность в России. Современное состояние // Системы безопасности связи и телекоммуникаций. - №4. - 2007.
30 Трубачев А.П., Долинин М.Ю., Кобзарь М.Т., Сидак А.А., Сороковиков В.И. Оценка безопасности информационных технологий / Под общ. ред. В.А. Галатенко. - М.: Издательство СИП РИА, 2008.
31 Турский А., Панов С. Защита информации при взаимодействии корпоративных сетей в Internet // Конфидент. Защита информации. - №5. - 2008. - С. 38-43.
32 Шпак В.Ф. Методологические основы обеспечения информационной безопасности объекта // Конфидент. Защита информации. - №1. - 2000. - С. 75-86.
33 Шумский А.А., Системный анализ в защите информации / А.А. Шумский, А.А. Шелупанов. - М.: Гелиос АРВ, 2008. - 224 с.
34 Щеглов А.Ю. / Защита информации он несанкционированного доступа. - М.: изд-во Гелиос АРВ, 2005. - 384 с.
Размещено на Allbest.ru
Подобные документы
Сущность и способы оценки информационной безопасности. Цели ее проведения. Методы анализа информационно-технологических рисков. Показатели и алгоритм расчета рисков по угрозе ИБ. Расчет информационных рисков на примере сервера Web торговой компании.
курсовая работа [190,1 K], добавлен 25.11.2013Разработка самообучающейся интеллектуальной информационной системы для анализа кредитоспособности заемщика и оценки кредитных рисков на основе подхода иммунокомпьютинга. Применение процедур кластеризации, классификации и формирования оценок рисков.
курсовая работа [822,3 K], добавлен 09.06.2012Теоретические основы построения корпоративной сети. Анализ источников угроз и информационных рисков. Организация защиты корпоративной информационной системы Дистанции электроснабжения на основе типовых решений. Современные технологии защиты информации.
дипломная работа [746,7 K], добавлен 09.11.2016Классификация основных рисков, их идентификация. Планирование и оценка рисков информационной системы в организации, принятие мер для устранения рисков. Определение точки безубыточности проекта. Расчет цены потерь и вероятности наступления риска.
лабораторная работа [381,2 K], добавлен 20.01.2016Сущность информации, ее классификация. Основные проблемы обеспечения и угрозы информационной безопасности предприятия. Анализ рисков и принципы информационной безопасности предприятия. Разработка комплекса мер по обеспечению информационной безопасности.
курсовая работа [28,2 K], добавлен 17.05.2016Анализ рисков информационной безопасности. Оценка существующих и планируемых средств защиты. Комплекс организационных мер обеспечения информационной безопасности и защиты информации предприятия. Контрольный пример реализации проекта и его описание.
дипломная работа [4,5 M], добавлен 19.12.2012Подбор и описание компонентов, обеспечивающих защиту информации, активов компании, для дальнейшего построения на их основании надежной и защищенной корпоративной сети на примере сети "JDSONS". Аудит и контроль изменений конфигурации информационных систем.
курсовая работа [49,6 K], добавлен 11.09.2012Понятие и содержание маркетинговой информационной системы. Основные факторы микросреды организации. Подходы к определению роли информации в оценке рисков. Решение проблем функционирования аппаратно-программной среды организации, ожидаемый эффект.
дипломная работа [295,5 K], добавлен 18.07.2014Анализ модели информационно-телекоммуникационной системы предприятия. Виды угроз информационной безопасности. Цели и задачи защиты информации на предприятии. Разработка процедур контроля системы управления защитой информации в корпоративной сети.
дипломная работа [3,6 M], добавлен 30.06.2011Модель обеспечения информационной безопасности в сфере обороны РФ. Оценка состояния систем защиты информации в правоохранительной и судебной сферах, рекомендации по их обеспечению. Анализ угроз информационной безопасности России и рисков от их реализации.
курсовая работа [57,4 K], добавлен 13.11.2009
