Ж у р н а л   о   к о м п ь ю т е р н ы х   с е т я х   и   т е л е к о м м у н и к а ц и о н н ы х   т е х н о л о г и я х
СЕТИ И СИСТЕМЫ СВЯЗИ on-line
  ПОИСК: ПОДПИСКА НА НОВОСТИ: НОМЕР:
    ДОМОЙ • Архив: Новостей | Конференций | НомеровПодписка
 
   
 
   
    
РЕДАКЦИЯ
 
Все о журнале
Подписка
Как проехать
Где купить
Отдел рекламы
График выхода журнала
Адреса в Интернет

РУБРИКАТОР
   
• Инфраструктура
• Информационные
   системы

• Сети связи
• Защита данных
• Кабельные системы
• Бизнес
• Колонка редактора
• Электронная
   коммерция

• Только на сервере
• Системы
   учрежденческой
   связи

• Новые продукты


Rambler's Top100

  

Оценка рисков при выработке стратегии безопасности ИТ

Чэд Корошек

Для формирования эффективной политики информационной безопасности к оценке и устранению возможных угроз следует привлекать не только специалистов по ИТ, но и других заинтересованных в этом сотрудников организации.

Основатель сети ресторанов McDonald’s Рэй Крок как-то сказал: “Если вы не готовы рисковать, то вам нечего делать в бизнесе”. Сегодня информационные технологии (ИТ) открывают такие возможности, которые изумили бы предпринимателей прошлого. Но здесь, как и везде, есть и оборотная сторона. Компании, стремящиеся ценой риска добиться процветания в условиях конкурентной мировой экономики, подвергают себя опасностям, о которых еще 10 лет назад никто и слыхом не слыхивал. Чтобы выжить, предприятия должны постоянно заниматься оценкой рисков. В противном случае им придется последовать второй половине совета г-на Крока.

Оценивая риски, специалисты по ИТ более не имеют права ограничиваться лишь одними информационными сетями и компьютерами. Они должны рассматривать также вопросы физической безопасности и учитывать человеческий фактор. Ведь люди — это ценнейший актив компании, и некоторые из них так легко поддаются обману и соблазнам. Внутри организации работа по оценке рисков должна быть нормализована путем формирования соответствующей политики, создания стандартов и руководств.

Полную версию данной статьи смотрите в 12-ом номере журнала за 2006 год.

Бесконечный процесс

Оценка рисков, под которой мы понимаем процесс выявления факторов, способных негативно влиять на работу компании, и возможность руководителей принимать информационно-обоснованные решения, известна уже давно как средство сопоставления состояния активов компании с потенциальными рисками. Подобно многим другим видам деятельности в бизнесе внимание фокусируется в основном на конечных результатах. Роль профессионала по информационной безопасности (ИБ) состоит в том, чтобы определить, какой ущерб может быть нанесен организации в случае использования против нее ее же конкретных уязвимостей.

Процесс оценки рисков может принимать самую разную форму — от беглого просмотра и анализа уже известных уязвимостей (в случае малого бизнеса) до длительного процесса с привлечением многочисленных команд специалистов и консультантов. Но при этом всегда действует правило: оценку следует проводить не реже двух раз в год, чтобы можно было гарантировать, что не остались невыявленными новые опасности и что противодействие “старым” рискам осуществляется эффективно. Политика в области ИБ должна постоянно пересматриваться с целью учета изменений в методах ведения бизнеса и рабочих процедурах.

Первым делом надо выяснить точку зрения руководства вашей организации на риски и на ее способность противостоять им. Следует отметить, что требования к управлению рисками, ослаблению и устранению их последствий сегодня зависят не только от степени “устойчивости” вашей компании. В это дело вмешался “дядюшка Сэм” и теперь оценка рисков переплетается со все увеличивающимся числом законодательных актов, которые диктуют или “настоятельно рекомендуют” те или иные специфические методы управления рисками. Обязательно включите такого рода постановления, относящиеся к вашей компании, в свой регламент.

Вашего бизнеса почти не касается сфера деятельности органов надзора? Все равно займитесь оценкой рисков. Слишком часто бывает так, что ИТ-персонал, на который вы полностью полагаетесь, действует по принципу “С нами этого не случится”. Когда же “это” вдруг случается, то мы оказываемся беззащитными. Ведь правильно, что полицейские постоянно тренируются в тире, хотя, может быть, им никогда в жизни не придется на деле использовать оружие. Не стоит ждать, когда кризис обрушит ваши планы и ваша способность эффективно реагировать на конъюнктуру окажется подорванной. Вспомните, как часто в новостях рассказывают об организациях, которые понесли большие убытки в результате атак на системы с известными уязвимостями. А ведь хватило бы даже относительно небольших своевременно предпринятых усилий, чтобы эти атаки отразить.

Оценка рисков предусматривает следующие шаги: идентификацию и оценку активов; идентификацию угроз, слабых мест и средств противодействия; определение вероятности угрозы и воздействия на конфиденциальность, целостность и готовность (Confidentiality, Integrity, Availability — CIA) активов; формулировку риска, подготовку рекомендаций по противодействию; разработку соответствующей политики и документации (см. диаграмму). Эти шаги можно сочетать и объединять, но все они так или иначе должны присутствовать.

Идентификация активов

Ни один автострахователь не предложит вам тариф страхования, пока не узнает марку страхуемого автомобиля и не выяснит, кто будет управлять им. Так же и в оценке рисков организации. Необходимо знать, о каких активах идет речь и какими будут затраты на их возмещение в случае утраты, а также нужно иметь сведения о пользователях. В задачу ИТ-специалистов входит оценка всей этой информации с точки зрения потенциальных потерь.

Идентификация активов и их оценка начинаются с процесса сбора информации. Сразу следует подумать об образовании особой группы по оценке рисков, в которую вошли бы представители разных специальностей из всех подразделений организации. Наш опыт показывает, что такой подход является наиболее эффективным. И вы наверняка увидите пользу от взаимодействия между ИТ-специалистами и представителями бизнеса на уровне подразделений организации.

Активы — это то, что делает ваш бизнес функционирующим и успешным. Они включают не только ПО и “железки”, на которых имеются инвентаризационные бирки, но также отчеты на бумаге, информацию в базе данных и даже наиболее ценных сотрудников, потеря которых (из-за перехода к конкуренту, выхода на пенсию или болезни) может погубить бизнес организации. Что является самым важным активом вашей интрасети — межсетевой ли экран стоимостью 20 тыс. долл. или данные, хранящиеся в приобретенном четыре года назад устройстве стоимостью 2 тыс. долл.? Нелегко оценить сведения, на накопление которых ушли, возможно, долгие годы. Это тысячи или, может быть, даже миллионы долларов? В этом случае наилучшим источником реальной оценки являются бизнес-подразделения организации.

После того как вы задокументировали сведения об активах организации, повторите эту процедуру еще раз, — возможно, что-то было упущено. Учли ли вы клиентские данные и данные системы управления взаимодействием с клиентами (Customer Relationship Management — CRM), маркетинговые показатели и объекты интеллектуальной собственности?

Источники угроз

Разобравшись с активами, составьте список ИТ-угроз и источников, откуда может исходить опасность для слабых мест вашей системы. Кроме внешних атак, рассмотрите возможность воровства внутри организации, выход системы из строя и даже опасности, связанные с факторами окружающей среды.

Рассмотрите возможные мотивации угроз. Может быть, кто-то хочет просто позабавиться или это атаки организованных преступников, пытающихся добыть персональную информацию ваших клиентов, а может, это обиженный сотрудник, желающий отомстить вам, или соперничающая с вами организация, которая хочет получить финансовые или конкурентные преимущества путем промышленного шпионажа?

Не все угрозы характеризуются одинаковой степенью риска; она определяется критично-стью, стоимостью и даже сферой действия актива. Так, для подразделения маркетинга ценнейшим активом является Интернет-сайт компании, и выход его из строя означает полную утрату для нее соответствующей функции. Однако работа других подразделений практически может не зависеть от их сайтов, поэтому сокращение числа посещений последних не грозит потерей деловых связей или прибыли. В то же время сайты, через которые можно получить доступ к финансовой информации или данным, отражающим имеющиеся у предприятия проблемы, являются соблазнительной мишенью и, следовательно, требуют дополнительного контроля.

Не ограничивайтесь только беседами с членами группы по оценке рисков, разбирающимися в системах и данных, используйте также внешнюю информацию об источниках угроз — бюллетени национальных агентств, отчеты CERT (Computer Emergency Response Team) и материалы СМИ о тенденциях в области ИБ.

Далее, идентифицируйте слабые места как самих систем, так и бизнес-процессов. Подспорьем здесь наверняка послужат имеющиеся у вас средства, такие, как приложения для управления настольными системами и инструментальные пакеты разработки третьих фирм, — калькуляторы рисков и сканеры уязвимостей, а также справочные руководства и контрольные ведомости (например, Руководство по внедрению систем безопасности Агентства защиты информационных систем — csrc.nist.gov/pcig/cig.html и Контрольные ведомости конфигурирования систем безопасности Национального института стандартов и технологий — checklists.nist.gov).

Учтите, что изъяны могут иметься и в организационных процедурах работы с информацией. Чтобы ваши оценки были адекватными, рассматривайте источники атак в контексте с их потенциальными мишенями. Самое распространенное упущение, с которым приходится сталкиваться почти ежедневно, заключается в том, что сотрудник печатает на бумаге какие-то важные данные, затем правит этот документ и выбрасывает черновик в мусорную корзину. Если бумаги из нее, не пройдя через измельчитель, попадут прямо к переработчикам мусора, это может нанести ущерб вашей организации. Ведь копание в бумажных отходах все еще остается популярным способом добычи конфиденциальной информации.

Кроме того, не забудьте поговорить с системными администраторами, контролирующими работу ваших корпоративных межсетевых экранов и маршрутизаторов, и убедитесь в том, что эти системы работают в режиме “запрещено все, что не разрешено”, при котором возможен только разрешенный доступ к портам. Когда речь идет о системах масштаба предприятия, всегда лучше иметь некоторый стандартный минимум приложений, в котором отсутствует необязательное ПО. Недавние атаки с применением вредоносных программ показали, что в случае возникновения необходимости быстрого восстановления многих инфицированных машин в запасе полезно иметь тщательно отработанную процедуру регенерации ПО.

Установите стандарты безопасности для сотрудников, работающих дистанционно и имеющих доступ к вашей интрасети. Территориально удаленные офисы компании подлежат самому тщательному мониторингу; статистика внутрикорпоративной утечки информации показывает, что именно они оказываются наиболее уязвимыми, если из них имеется доступ к корпоративной сети, а прямой контроль ИТ-персонала за ними отсутствует.

Наконец, определитесь, потребуется ли вам сторонняя помощь с применением средств сканирования уязвимостей — вплоть до испытаний на возможность проникновения в систему. И то и другое доказало свою пользу, но они требуют денег и времени. (См.: Эйбин М. и др. Исповедь взломщика-консультанта//Сети и системы связи. 1998. № 1. С.123).

Уязвимости устраняются путем технического и нетехнического противодействия нарушениям ИБ. Техническое противодействие включает установку межсетевых экранов и автоматическую парольную защиту, нетехническое — обучение в области ИБ, четкое разделение обязанностей и проведение соответствующей политики.

Анализируя способы противодействия, по цели их применения можно понять, являются ли они превентивными или детективными. Превентивные способы — это те, которые используются, чтобы удержать людей от нарушений (это визуальный контроль доступа на объект, шифрование или применение серверов защиты и аутентификации). Детективные методы сводятся к регистрации возможных нарушений (сюда входят фиксация результатов проверок, ведение журналов событий, системы обнаружения вторжений, а также средства контроля целостности данных, служащие для подтверждения факта их изменения).

Вероятность угрозы

Делая следующий шаг в оценке рисков, задайте себе вопрос: “Может ли случиться такое у нас?” Это поможет вам взвесить вероятность того, что кто-то, воспользовавшись конкретным слабым местом в инфраструктуре и бизнес-процессах вашей организации, сможет причинить ей вред, и таким образом проранжировать все слабые места. В прошлом, когда сам метод работы предусматривал исключение риска, этот шаг был не нужен. Но в наш век быстро меняющихся технологий самое лучшее, что мы можем сделать, — это попытаться справиться с выявленными рисками.

Руководство по управлению рисками в информационно-технических системах (csrc.nist.gov/publications/nistpubs/800-30/sp800-30.pdf) рекомендует трехкомпонентную таблицу присвоения слабым местам системы значений вероятности использования их злоумышленниками. Проанализируйте такие факторы, как цель бизнеса вашей организации, ее продукция, объемы продаж, маркетинг и исследования. Затем определите род возможных атак и их мотивацию.

После анализа слабых мест и ситуации с угрозами рассмотрите возможные противодействия и оцените их эффективность. При этом учитывайте повседневную практику работы вашей организации. Что опаснее — серьезное слабое место, к которому невозможно получить дистанционный доступ, или пара менее критичных “дыр”, которыми можно воспользоваться извне? Есть ли у вас сотрудники, работающие на дому с применением незащищенных БЛВС? Всегда следует анализировать вклад, вносимый этой сетью в уязвимости основной сети вашей организации.

В отношении каждой угрозы будьте пессимистом и предположите, что произошло самое худшее. Насколько плоха ситуация? Какие стороны бизнеса пострадают? Во что обойдется это вашей организации? Хотя оценка ущерба в денежном выражении — дело очень полезное, но при анализе вы должны учитывать еще и главные цели обеспечения ИБ. Для оценки ущерба вам нужно уметь работать с имеющейся документацией, такой, как отчеты по анализу последствий нарушений ИБ и обоснованию затрат на их устранение.

И пусть в рассматриваемой области оценки рисков за последние годы многое изменилось, но основными инструментами ее по-прежнему остаются качественный и количественный анализ; выбор конкретного метода при этом определяется типом активов. Обычно мы рассматриваем риски в терминах предполагаемых годовых потерь, поэтому типовым методом анализа рисков остается их количественная оценка, которая сводится к присвоению нарушениям ИБ значений потерь в денежном выражении.

Если взять, к примеру, упоминавшиеся выше межсетевые экраны и серверы, то мы можем поставить в соответствие этим активам их первоначальную стоимость и приплюсовать к ней текущие эксплуатационные издержки. Далее, определяя затраты на их замену, мы оцениваем расходы на покупку “железа”, стандартных пакетов ПО и первоначальную установку того и другого в текущих ценах. Стоимость нематериальных активов в денежном выражении определить трудно. Например, во что обойдется вашей компании взлом ее сети с точки зрения потери доверия к ней партнеров и клиентов? В этом случае можно воспользоваться качественной оценкой последствий, присваивая им значения, вроде “тяжелые”, “средней тяжести” или “легкие”.

Учет рисков как элемент политики

Во избежание утраты знаний, которые вы накопили в процессе первоначальной оценки рисков, и для того, чтобы эта функция постоянно оставалась в сфере внимания вашей организации, найдите время для полной ревизии существующей у вас политики анализа рисков или выработайте новый комплект руководящих документов на этот счет. Такая политика станет формальной декларацией руководства организации, описывающей то, как будет проводиться работа по оценке рисков, и содержащей базовые правила внедрения и развития соответствующих инициатив. Сформированная вами группа оценки рисков не должна быть распущена, а, наоборот, ее нужно использовать для выработки вышеупомянутой политики и ее формального описания, разработки стандартов, руководств и процедур, которые потребуются для продолжения работы в области ИБ.

Но, чтобы проделанная лично вами тяжелая работа не осталась втуне, разработайте план обучения сотрудников организации, по которому они надлежащим образом освоят свои роли и обязанности в этой области. И наконец, добейтесь, чтобы ваши усилия по выработке политики анализа рисков были отражены в программе сопровождения корпоративных систем. Это необходимо для того, чтобы эта политика выполнялась, обновлялась и модифицировалась по мере надобности.

В условиях быстрых изменений, происходящих в индустрии ИТ и в бизнесе в целом, угрозы, с которыми мы сталкиваемся сегодня, завтра могут потерять свою актуальность и смениться совсем другими. Поэтому надо постоянно и неустанно выявлять новые угрозы. И как сказал Дэн Куэйл: “Если мы в этом не преуспеем, то рискуем потерпеть полное фиаско”..





  
12 '2006
СОДЕРЖАНИЕ

бизнес

• Широкополосные сети от Huawei

• Время «бродбэнда»

инфраструктура

• Перспективные технологии центров обработки данных

• «Обреченный» рынок

• Анализаторы спектра в борьбе с радиопомехами

• Тестируем ПО управления ресурсами хранения данных

информационные системы

• Групповая политика AD. Вам с гарниром или без?

• Быстрое обновление контента на базе AJAX

сети связи

• Предприятие, работающее по IP

кабельные системы

• Точные и простые в использовании скалыватели оптоволокна

• Пусть в ЦОДе станет прохладнее

• С акцентом на «софт»

защита данных

• Оценка рисков при выработке стратегии безопасности ИТ


• Калейдоскоп



 Copyright © 1997-2007 ООО "Сети и Системы Связи". Тел. (495) 234-53-21. Факс (495) 974-7110. вверх