Рубрикатор |
Статьи | ИКС № 8 2006 |
Дмитрий КОСТРОВ | 01 августа 2006 |
С чего начать? С категоризации данных и оценки рисков
Не искушенному в ИБ специалисту сразу определиться сложно. Ситуация с еще действующими руководящими документами ФСТЭК России (РД и СТР-К) и уже действующими ГОСТ 15408 и ISO 2700X только запутывает положение.Для отрасли связи можно выделить три направления работ по обеспечению безопасности:
- сеть и подсистемы предоставления услуг (то, что приносит прибыль);
- АСР (то, что «считает» прибыль);
- офисная компьютерная сеть (поддержка работоспособности офиса).
Категоризация прежде всего
Первый шаг при создании СИБ – определение наиболее важных активов, которые необходимо защитить. На этом этапе следует также провести категоризацию информации по уровням конфиденциальности.
В коммерческих организациях в соответствии с Положением по разграничению информации по грифу конфиденциальности и ее защите, а также с законодательными и нормативно-распорядительными документами РФ в области защиты информации принято деление информации на три уровня:
- Открытая информация (ОИ).
- Информация для служебного/внутреннего пользования/использования (ДСП/ДВИ).
- Конфиденциальная информация (КИ), включающая персональные данные, коммерческую тайну, служебную тайну, профессиональную тайну.
Существует три базовых условия обеспечения защиты информации: сохранение ее конфиденциальности, целостности и доступности.
Открытая информация – информация,подписанная руководством для передачи вовне (для конференций, презентаций и т.п.), полученная из внешних открытых источников, а также размещенная на внешнем веб-сайте компании. Требует обеспечения лишь целостности и доступности.
К информации для внутреннего использования относится любая информация для работы сотрудников, тематических групп, компании в целом. Она циркулирует между подразделениями и необходима для их нормального функционирования (например, внутренний веб-сайт), является результатом работы с открытыми источниками (дайджест новостей для руководства), не относится к КИ или ОИ. Для нее также должны обеспечиваться лишь целостность и доступность.
Конфиденциальная информация требует уже сохранения всех трех признаков.
Каждый руководитель структурного подразделения должен оценить, есть ли у него информация (в электронном виде или на бумажных носителях), которую (хотя бы) потенциально можно отнести к коммерческой тайне. Именно он определяет важность и ценность информации. Критерием служит значимость информации для потенциальных конкурентов, недобросовестных клиентов, поставщиков и т.д.
Делай по GRAMM'у
Следующий этап работ – анализ рисков ИБ. Часто для этого используется методика GRAMM (the UK Government Risk Analysis and Management Method), официально рекомендованная для правительственных и коммерческих организаций Великобритании в 1985 г. и получившая признание во всем мире. GRAMM предполагает разделение всей процедуры на три последовательных этапа:
Этап 1
отвечает на вопрос, достаточно ли для защиты системы средств базового уровня, реализующих стандартные механизмы безопасности, или необходим детальный анализ защищенности. Для обоснованного решения о проведении детального анализа требуется осуществить:
- подготовку функциональной спецификации системы и согласование границ проведения ее обследования;
- идентификацию информационных, программных и физических ресурсов и создание модели ресурсов исследуемой системы;
- оценку критичности информационных ресурсов с точки зрения величины возможного ущерба от их несанкционированного раскрытия, модификации, уничтожения или их временной недоступности. С этой целью проводятся опросы пользователей и владельцев ресурсов. Методика содержит формы (анкеты), помогающие структурировать опрос и инструкции для анализа результатов опросов;
- оценку физических ресурсов с точки зрения стоимости их замены или ремонта;
- оценку программных ресурсов с точки зрения стоимости их замены или восстановления, а также ущерба из-за их недоступности, раскрытия или модификации.
Этап 2
Здесь определяются риски и оценивается их величина, анализируются угрозы безопасности и уязвимости:
- идентификация угроз для конкретных ресурсов, требующих детального анализа;
- оценка уровня угроз (вероятности их осуществления);
- оценка уязвимости системы по отношению к конкретным угрозам (вероятности причинения ущерба);
- вычисление рисков, связанных с угрозами безопасности, на основе оценок стоимости ресурсов, уровняугроз и уязвимостей.
Этап 3
по сути решает задачу управления рисками. Здесь определяются адекватные контрмеры:
- разрабатываются контрмеры для уменьшения величины идентифицированных рисков;
- если в системе есть СЗИ, они сравниваются с полученным списком контрмер;
- готовятся рекомендации по использованию адекватных контрмер.
Заметили неточность или опечатку в тексте? Выделите её мышкой и нажмите: Ctrl + Enter. Спасибо!