II -Й УЧЕБНЫЙ ВОПРОС

ОПРЕДЕЛЕНИЕ ТРЕБОВАНИЙ К РЕЖИМУ ИБ- 35 мин

Рис. 7.1 Схема разработки требований к ИЕ

В ряде случаев базового уровня оказывается недостаточно. Для обеспечения повышенного уровня ИБ необходимо знать параметры, характеризующие степень безопасности информационной системы (технологии) и количественные оценки угроз безопасности, уязвимости, ценности информационных ресурсов. В том или ином виде рассматриваются ресурсы, характеристики рисков и уязвимости информационной системы. Как правило, проводится анализ по критерию стоимость/эффективность нескольких вариантов защиты. Несмотря на существенную разницу в методологии обеспечения базового и повышенного уровней безопасности можно говорить о единой концепции ИБ. Стратегия безопасности при обеспечении базового уровня информационной безопасности в практическом плане сводится к следующим шагам.

1. Определение необходимых руководящих документов и стандартов в области ИБ, а также основных положений политики ИБ, включая: - управление доступом к средствам вычислительной техники (СВТ), программам и данным; - антивирусную защиту; - вопросы резервного копирования; - проведение ремонтных и восстановительных работ; - информирование об инцидентах в области ИБ. 2. Определение подходов к управлению рисками: является ли достаточным базовый уровень защищенности или нужно проводить полный вариант анализа рисков. 3. Структуризация контрмер по уровням. 4. Порядок сертификации на соответствие стандартам в области ИБ: график совещаний по тематике ИБ на уровне руководства, периодичность пересмотра положений политики ИБ, а также порядок обучения всех категорий пользователей информационной системы в этой области. Минимальным требованиям к информационной безопасности соответствует базовый уровень ИБ, обычно реализуемый в типовых проектных решениях. В стандарте определен набор наиболее вероятных угроз, таких, как вирусы, сбои оборудования, несанкционированный доступ и т.д. Контрмеры для нейтрализации этих угроз должны быть приняты обязательно вне зависимости от вероятности их осуществления и уязвимости ресурсов. Таким образом, характеристики угроз на базовом уровне рассматривать не обязательно. В случаях, когда нарушения режима ИБ чреваты тяжелыми последствиями, базового уровня требований к безопасности информации становится недостаточно. Чтобы сформулировать дополнительные требования, необходимо: - определить ценность ресурсов; - к стандартному набору добавить список угроз, актуальных для исследуемой информационной системы; - оценить вероятность угроз; - определить уязвимость ресурсов. Должна быть разработана стратегия управления рисками разных классов. На практике, после принятия стандартного набора контрмер, ряд рисков уменьшается, но все же остается значимым. Поэтому необходимо знать остаточную величину риска. Когда этап по определению принимаемых во внимание рисков завершен, должна быть предложена стратегия управления ими. Комплекс предлагаемых мер должен быть построен в соответствии с выбранной стратегией управления рисками и структурирован по уровням (организационному, программно-техническому) и отдельным аспектам безопасности. Если проводится полный вариант анализа рисков, то эффективность комплекса контрмер оценивается для каждого риска. Если к ИБ предъявляются повышенные требования, про-водится так называемый полный вариант анализа рисков, в рамках которого в дополнение к базовым рассматриваются: - модель бизнес-процессов с точки зрения ИБ; - ресурсы организации и их ценность; - составление полного списка угроз безопасности - потен-циальные источники нежелательных событий, которые могут нанести ущерб ресурсам, и оценка их параметров; - уязвимости - слабые места в защите, которые могут спро-воцировать реализацию угрозы. На основе собранных сведений оцениваются риски для ин-формационной системы организации, для отдельных ее подсистем, баз данных и элементов данных. Следующим шагом является выбор контрмер, снижающих риски до приемлемых и формируется структура системы защиты информации.

ВЫВОД