Выдержка из текста работы
Новые информационные технологии бурными темпами внедряются во все сферы народного хозяйства любой страны. Появление локальных и глобальных сетей передачи данных предоставило пользователям компьютеров новые возможности оперативного обмена информацией. Если до недавнего времени подобные сети создавались только в специфических и узконаправленных целях (университетские сети, сети военных ведомств, спецслужб и т.д.), то развитие Интернета и аналогичных систем привело к использованию глобальных сетей передачи данных в повседневной жизни практически каждого человека. Корпоративная сеть — коммуникационная система, принадлежащая и / или управляемая единой организацией в соответствии с правилами этой организации.
Корпоративная сеть состоит из:
—серверного оборудования (серверы, сетевые хранилища, ИБП);
—коммуникационного оборудования (концентраторы, коммутаторы, маршрутизаторы);
—сетевое коммуникационное программное обеспечение для обработки информации;
—арендованный канал передачи данных по открытым сетям — Intrnet;
—устройства получения, обработки, хранения и передачи информации на основе современных средств, породили множество методов и способов несанкционированного доступа к ней, так и средств защиты этой информации. Средства защиты могут включать комплекс мер по пассивной защите и по активному противостоянию в результате НСД. Эти меры состоят из ряда аппаратных, программных, административно-режимных, правовых и физических мер по обнаружению и нейтрализации воздействия на циркулирующую информацию.
Основными требования к корпоративным сетям являются:
—надежность — надежность сети является одним из факторов, определяющих непрерывность деятельности организации;
—конвергенция — объединение нескольких, бывших ранее раздельными, услуг в рамках одной услуги. Например, Triple Play — объединение телефонии, интернета, телевидения в одном кабельном интернет-подключении.
—стабильность предоставляемой услуги — подключение нескольких операторов интернета, телефонии, на случай выхода одного из них из строя;
—производительность — рост числа узлов сети и объема обрабатываемых данных предъявляет постоянно возрастающие требования к пропускной способности используемых каналов связи и производительности устройств, образующих ИС;
—экономическая эффективность — рост масштаба и сложности корпоративных сетей заставляет заботиться об экономии средств, как на их создание, так и на эксплуатацию и модернизацию;
—информационная безопасность — хранение и обработка в сети конфиденциальной информации выводит информационную безопасность в число основных аспектов стабильности и безопасности бизнеса в целом.
Информационная безопасность предприятия — это защищенность информации, которой располагает предприятие (производит, передает или принимает) от несанкционированного доступа, разрушения, модификации, раскрытия и задержек при поступлении. Информационная безопасность включает в себя меры по защите процессов создания данных, их ввода, обработки и вывода. Целью комплексной информационной безопасности является сохранение информационной системы предприятия в целости и сохранности, защита и гарантирование полноты и точности выдаваемой ею информации, минимизация разрушений и модификация информации, если таковые случаются.
Проблемы, возникающие с безопасностью передачи информации при работе в компьютерных сетях, можно разделить на три основных типа:
перехват информации — целостность информации сохраняется, но её конфиденциальность нарушена;
модификация информации — исходное сообщение изменяется либо полностью подменяется другим и отсылается адресату;
подмена авторства информации. Данная проблема может иметь серьёзные последствия. Например, кто-то может послать письмо от вашего имени (этот вид обмана принято называть спуфингом) или Web — сервер может притворяться электронным магазином, принимать заказы, номера кредитных карт, но не высылать никаких товаров [12,13].
Под информационной безопасностью мы будем понимать защищенность информации и поддерживающей инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, которые могут нанести неприемлемый ущерб субъектам информационных отношений, в том числе владельцам и пользователям информации и поддерживающей инфраструктуры. Защита информации — это комплекс мероприятий, направленных на обеспечение информационной безопасности.
Таким образом, правильный с методологической точки зрения подход к проблемам информационной безопасности начинается с выявления субъектов информационных отношений и интересов этих субъектов, связанных с использованием информационных систем (ИС). Угрозы информационной безопасности — это оборотная сторона использования информационных технологий. Из этого положения можно вывести два важных следствия:
трактовка проблем, связанных с информационной безопасностью, для разных категорий субъектов может существенно различаться. Для иллюстрации достаточно сопоставить режимные государственные организации и учебные институты. В первом случае «пусть лучше все сломается, чем враг узнает хоть один секретный бит», во втором — «да нет у нас никаких секретов, лишь бы все работало».
информационная безопасность не сводится только к защите от несанкционированного доступа к информации, это принципиально более обширное понятие. Субъект информационных отношений может пострадать (понести убытки и / или получить моральный ущерб) не только от несанкционированного доступа, но и от поломки системы, вызвавшей перерыв в работе. Более того, для многих открытых организаций (например, учебных) собственно защита от несанкционированного доступа к информации стоит по важности отнюдь не на первом месте.
Выборочная и бессистемная реализация мероприятий, направленных на повышение уровня IT-безопасности, не сможет обеспечить необходимого уровня защиты. Чтобы сформировать понимание приоритетности мероприятий по повышению уровня безопасности, необходимо разработать механизм управления рисками IT-безопасности, что позволит направить все усилия на защиту от наиболее опасных угроз и минимизацию затрат[25].
Проблема современных информационных систем при ведении бизнеса является обеспечение соответствующей безопасности передаваемой информации в пределах КС от подмены, изменения или утраты, как между сотрудниками, так и между средствами обработки. В случае предприятия — это как конфиденциальная, персональная и коммерческая тайна.
Актуальность и важность проблемы обеспечения информационной безопасности обусловлена следующими факторами:
—увеличение рисков информационной безопасности в связи с появлением новых и изощренных угроз для информационной безопасности;
—современные темпы и уровни развития средств информационной безопасности значительно отстают от темпов и уровней развития информационных технологий;
—быстрые темпы роста парка персональных компьютеров, применяемых в разнообразных сферах человеческой деятельности из-за увеличения обрабатываемой информации;
—резкое расширение сферы пользователей, имеющих непосредственный доступ к вычислительным ресурсам и массивам данных;
—доступность корпоративной информации через мобильные устройства (ноутбук, КПК, смартфон).
—доступность средств персональных ЭВМ, привела к распространению компьютерной грамотности в широких слоях населения. Это, в свою очередь, вызвало многочисленные попытки вмешательства в работу государственных и коммерческих систем, как со злым умыслом, так и из чисто «спортивного интереса»;
—значительное увеличение объемов информации, накапливаемой, хранимой и обрабатываемой с помощью компьютеров и других средств автоматизации. По оценкам специалистов в настоящее время около 70-90% интеллектуального капитала организации хранится в цифровом виде текстовых файлах, таблицах, базах данных;
—стремительное развитие информационных технологий, открыло новые возможности эффективной работы предприятия, однако привело и к появлению новых угроз. Современные программные продукты из-за конкуренции попадают в продажу с ошибками и недоработками. Разработчики, включая в свои изделия всевозможные функции, не успевая выполнить качественную проверку и отладку создаваемых программных систем. Ошибки и недоработки, оставшиеся в этих системах, приводят к случайным и преднамеренным нарушениям информационной безопасности[15].
Анализа рисков позволяет определить, какие мероприятия эффективны для минимизации и предотвращения рисков, а какие нет. На основе анализа эффективности можно корректировать понимание риска, его оценки и требуемых действий. Кроме того, анализ эффективности предоставит возможность увидеть минимизацию параметров уязвимости и ущерб для всех рисков, что в целом усилит режим IT-безопасности.
Например, причинами большинства случайных потерь информации являются отказы в работе программно-аппаратных средств, а большинство атак на компьютерные системы основаны на найденных ошибках и недоработках в программном обеспечении, реализованные через exploit коды;
—бурное развитие глобальной сети Интернет с ее бесплатными и палатными ресурсами, социальными сетями и проектами, практически не препятствующей нарушениям безопасности систем обработки информации во всем мире. Подобная глобализация позволяет злоумышленникам практически из любой точки земного шара, где есть Интернет, за тысячи километров, осуществлять нападение на корпоративную сеть;
—современные методы накопления, обработки и передачи информации способствовали появлению угроз, связанных с возможностью потери, искажения и раскрытия данных, адресованных или принадлежащих конечным пользователям;
—проблемы доступа удаленных офисов к головному офису предприятия, зачастую происходит через телефон или электронную почту;
—аренда предприятием части городской или части Интернет сети, для объединения отдаленных зданий, филиалов. Это в свою очередь ставит под угрозу сеть организации;
—человеческий фактор — инсайдерские угрозы и актуальная угроза сотруднику — социальная инженерия. Которая рассчитана на людей со слабой психикой или через обман, для получения нужной информации для проведения атаки на корпоративную сеть предприятия.
1. Проблемы безопасности современных корпоративных сетей
.1 Методы оценивания информационных рисков
Информационные риски — это опасность возникновения убытков или ущерба в результате применения компанией информационных технологий. Иными словами, IT-риски связаны с созданием, передачей, хранением и использованием информации с помощью электронных носителей и иных средств связи. IT-риски можно разделить на две категории:
—риски, вызванные утечкой информации и использованием ее конкурентами или сотрудниками в целях, которые могут повредить бизнесу;
—риски технических сбоев работы каналов передачи информации, которые могут привести к убыткам.
Работа по минимизации IT-рисков заключается в предупреждении несанкционированного доступа к данным, а также аварий и сбоев оборудования. Процесс минимизации IT-рисков следует рассматривать комплексно: сначала выявляются возможные проблемы, а затем определяется, какими способами их можно решить.
В настоящее время используются различные методы оценки информационных рисков отечественных компаний и управления ими. Оценка информационных рисков компании может быть выполнена в соответствии со следующим планом:
-идентификация и количественная оценка информационных ресурсов компании, значимых для бизнеса;
-оценивание возможных угроз;
-оценивание существующих уязвимостей;
-оценивание эффективности средств обеспечения информационной безопасности.
Предполагается, что значимые для бизнеса уязвимые информационные ресурсы компании подвергаются риску, если по отношению к ним существуют какие-либо угрозы. Другими словами, риски характеризуют опасность, которая может угрожать компонентам корпоративной информационной системы. При этом информационные риски компании зависят от:
—показателей ценности информационных ресурсов;
—вероятности реализации угроз для ресурсов;
—эффективности существующих или планируемых средств обеспечения информационной безопасности.
Цель оценивания рисков состоит в определении характеристик рисков корпоративной информационной системы и ее ресурсов.
После оценки рисков можно выбрать средства, обеспечивающие желаемый уровень информационной безопасности компании. При оценивании рисков учитываются такие факторы, как ценность ресурсов, значимость угроз и уязвимостей, эффективность имеющихся и планируемых средств защиты[15].
Сами показатели ресурсов, значимости угроз и уязвимостей, эффективность средств защиты могут быть установлены как количественными методами (например, при нахождении стоимостных характеристик), так и качественными, скажем, с учетом штатных или чрезвычайно опасных нештатных воздействий внешней среды.
Возможность реализации угрозы для некоторого ресурса компании оценивается вероятностью ее реализации в течение заданного отрезка времени. При этом вероятность того, что угроза реализуется, определяется следующими основными факторами:
—привлекательностью ресурса (учитывается при рассмотрении угрозы от умышленного воздействия со стороны человека);
—возможностью использования ресурса для получения дохода (также в случае угрозы от умышленного воздействия со стороны человека);
—техническими возможностями реализации угрозы при умышленном воздействии со стороны человека;
—степенью легкости, с которой уязвимость может быть использована.
В России в настоящее время чаще всего используются разнообразные «бумажные» методики, достоинствами которых являются гибкость и адаптивность. Как правило, разработкой данных методик занимаются компании — системные и специализированные интеграторы в области защиты информации. По понятным причинам методики обычно не публикуются, поскольку относятся к этой компании. В силу закрытости данных методик судить об их качестве, объективности и возможностях достаточно сложно.
Специализированное ПО, реализующее методики анализа рисков, может относиться к категории программных продуктов (имеется на рынке) либо являться собственностью ведомства или организации и не продаваться.
Если ПО разрабатывается как программный продукт, оно должно быть в достаточной степени универсальным. Ведомственные варианты ПО адаптированы под особенности постановок задач анализа и управления рисками и позволяют учесть специфику информационных технологий организации.
Предлагаемое на рынке ПО ориентировано в основном на уровень информационной безопасности, несколько превышающий базовый уровень защищенности. Таким образом, инструментарий рассчитан в основном на потребности организаций 3-4 степени зрелости, описанных в первой главе.
Для решения данной задачи были разработаны программные комплексы анализа и контроля информационных рисков: CRAMM, FRAP, RiskWatch, Microsoft, ГРИФ. Ниже приведены краткие описания ряда распространенных методик анализа рисков. Их можно разделить на:
—методики, использующие оценку риска на качественном уровне (например, по шкале «высокий», «средний», «низкий»). К таким методикам, в частности, относится FRAP;
—количественные методики (риск оценивается через числовое значение, например размер ожидаемых годовых потерь). К этому классу относится методика RiskWatch;
—методики, использующие смешанные оценки (такой подход используется в CRAMM, методике Microsoft и т.д.) [31,32].
.2 Анализ методики CRAMM
Методика CRAMM одна из первых зарубежных работ по анализу рисков в сфере информационной безопасности, разработанная в 80-х годах.
Ее основу составляет комплексный подход к оценке рисков, сочетающий количественные и качественные методы анализа. Метод является универсальным и подходит как для крупных, так и для малых организаций, как правительственного, так и коммерческого сектора. Версии программного обеспечения CRAMM, ориентированные на разные типы организаций, отличаются друг от друга своими базами знаний (профили):
—коммерческий профиль;
—правительственный профиль.
При работе методики на первых этапах учитывается ценность ресурсов исследуемой системы, собираются первичные сведения о конфигурации системы. Проводится идентификация ресурсов: физических, программных и информационных, содержащихся внутри границ системы.
Результатом этого этапа является построение модели системы, с деревом связи ресурсов. Эта схема позволяет выделить критичные элементы. Ценность физических ресурсов в CRAMM определяется стоимостью их восстановления в случае разрушения.
Ценность данных и программного обеспечения определяется в следующих ситуациях:
—недоступность ресурса в течение определенного периода времени;
—разрушение ресурса — потеря информации, полученной со времени последнего резервного копирования, или ее полное разрушение;
—нарушение конфиденциальности в случаях несанкционированного доступа штатных сотрудников или посторонних лиц;
—модификация — рассматривается для случаев мелких ошибок персонала (ошибки ввода), программных ошибок, преднамеренных ошибок;
—ошибки, связанные с передачей информации: отказ от доставки, недоставка информации, доставка по неверному адресу [2,46].
Методика CRAMM рекомендует использовать следующие параметры:
—ущерб репутации организации;
—нарушение действующего законодательства;
—ущерб для здоровья персонала;
—ущерб, при разглашении персональных данных отдельных лиц;
—финансовые потери от разглашения информации;
—финансовые потери, связанные с восстановлением ресурсов;
—потери, связанные с невозможностью выполнения обязательств;
—дезорганизация деятельности.
На второй стадии рассматривается все, что относится к идентификации и оценке уровней угроз для групп ресурсов и их уязвимостей. В конце стадии заказчик получает идентифицированные и оцененные уровни рисков для своей системы. На этой стадии оцениваются зависимость пользовательских сервисов от определенных групп ресурсов и существующий уровень угроз и уязвимостей, вычисляются уровни рисков и анализируются результаты.
Ресурсы группируются по типам угроз и уязвимостей. Программное обеспечение CRAMM для каждой группы ресурсов и каждого из 36 типов угроз генерирует список вопросов, допускающих однозначный ответ.
Уровень угроз оценивается, в зависимости от ответов, как очень высокий, высокий, средний, низкий и очень низкий. Уровень уязвимости оценивается, в зависимости от ответов, как высокий, средний и низкий.
На основе этой информации рассчитываются уровни рисков в дискретной шкале с градациями от 1 до 7. Полученные уровни угроз, уязвимостей и рисков анализируются и согласовываются с заказчиком.
Основной подход, для решения этой проблемы состоит в рассмотрении:
—уровня угрозы;
—уровня уязвимости;
—размера ожидаемых финансовых потерь.
Исходя из оценок стоимости ресурсов защищаемой ИС, оценок угроз и уязвимостей, определяются «ожидаемые годовые потери».
Третья стадия исследования заключается в поиске адекватных контрмер. По существу, это поиск варианта системы безопасности, наилучшим образом удовлетворяющей требованиям заказчика.
На этой стадии CRAMM генерирует несколько вариантов мер противодействия, адекватных выявленным рискам и их уровням.
Таким образом, CRAMM — пример методики расчета, при которой первоначальные оценки даются на качественном уровне, и потом производится переход к количественной оценке (в баллах).
Работа по методике CRAMM осуществляется в три этапа, каждый из которых преследует свою цель в построении модели рисков информационной системы в целом. Рассматриваются угрозы системы для конкретных ее ресурсов. Проводится анализ как программного, так и технического состояния системы на каждом шаге, построив дерево зависимостей в системе, можно увидеть ее слабые места и предупредить потерю информации в результате краха системы, как из за вирусной атаки, так и при хакерских угрозах. К недостаткам метода CRAMM можно отнести следующее:
—использование метода CRAMM требует специальной подготовки и высокой квалификации аудитора;
—CRAMM в гораздо большей степени подходит для аудита уже существующих ИС, находящихся на стадии эксплуатации, нежели чем для ИС, находящихся на стадии разработки;
—аудит по методу CRAMM — процесс достаточно трудоемкий и может потребовать месяцев непрерывной работы аудитора;
—программный инструментарий CRAMM генерирует большое количество бумажной документации, которая не всегда оказывается полезной на практике;
—CRAMM не позволяет создавать собственные шаблоны отчетов или модифицировать имеющиеся;
—возможность внесения дополнений в базу знаний CRAMM не доступна пользователям, что вызывает определенные трудности при адаптации этого метода к потребностям конкретной организации;
—программное обеспечение CRAMM существует только на английском языке;
—высокая стоимость лицензии.
1.3 Анализ методики FRAP
Методика «Facilitated Risk Analysis Process (FRAP)» предлагаемая компанией Peltier and Associates, разработана Томасом Пелтиером (Thomas R. Peltier.
В методике, обеспечение ИБ предлагается рассматривать в рамках процесса управления рисками. Управление рисками в сфере ИБ — процесс, позволяющий компаниям найти баланс между затратами средств и сил на средства защиты и получаемым эффектом.
Управление рисков должно начинается с оценки рисков: должным образом оформленные результаты оценки станут основой для принятия решений в области повышения безопасности системы в будущем.
После завершения оценки, проводится анализ соотношения затрат и получаемого эффекта, который позволяет определить те средства защиты, которые нужны, для снижения риска до приемлемого уровня.
Составление списка угроз поможет использовать разные подходы:
—заранее подготовленные экспертами перечни угроз, из которых выбираются актуальные для данной системы;
—анализ статистики происшествий в данной ИС происходит оценка частоты их возникновения; по ряду угроз;
—«мозговой штурм», проводимый сотрудниками компании [9,46].
Когда список угроз закончен, каждой из них сопоставляют вероятность возникновения. После чего оценивают ущерб, который может быть нанесен данной угрозой. Исходя из полученных значений, оценивается уровень угрозы. Таким образом оценивается уровень риска для незащищенной ИС, что в последствии позволяет показать эффект от внедрения средств защиты информации (СЗИ).
Оценка можно произвести для вероятности возникновения угрозы и ущерба от нее по следующим пунктам:
—вероятность:
—высокая — очень вероятно, что угроза реализуется в течение следующего года;
—средняя — возможно угроза реализуется в течение следующего года;
—низкая — маловероятно, что угроза реализуется в течение следующего года.
Ущерб — мера величины потерь или вреда, наносимого активу:
—высокий: остановка критически важных бизнес-подразделений, которая приводит к существенному ущербу для бизнеса, потере имиджа или неполучению существенной прибыли;
—средний: кратковременное прерывание работы критических процессов или систем, которое приводит к ограниченным финансовым потерям в одном бизнес-подразделении;
—низкий: перерыв в работе, не вызывающий ощутимых финансовых потерь.
После идентификации угрозы и получении оценки риска, должны быть определены контрмеры, позволяющие устранить риск или свести его до приемлемого уровня. При этом должны приниматься во внимание законодательные ограничения, делающие невозможным или, наоборот, предписывающие в обязательном порядке, использование тех или иных средств и механизмов защиты. Если риск снижен недостаточно, возможно, надо применить другое СЗИ. Вместе с определением средства защиты, надо определить какие затраты повлечет его приобретение и внедрение (затраты могут быть как прямые, так и косвенные). Кроме того, необходимо оценить, безопасно ли само это средство, не создает ли оно новых уязвимостей в системе [28,27].
Чтобы использовать экономически эффективные средства защиты, нужно проводить анализ соотношения затрат и получаемого эффекта. При этом надо оценивать не только стоимость приобретения решения, но и стоимость поддержания его работы. В затраты могут включаться:
—стоимость реализации проекта, включая дополнительное программное и аппаратное обеспечение;
—снижение эффективности выполнения системой своих основных задач;
—внедрение дополнительных политик и процедур для поддержания средства;
—затраты на найм дополнительного персонала или переобучение имеющегося.
Последний пункт в этой методике — документирование. Когда оценка рисков закончена, ее результаты должны быть подробно документированы в стандартизованном формате, для дальнейшего использования или для проведения более глубокого анализа[4].
Методика рассчитана на управленцев отделов по обеспечению информационной безопасностью предприятия с экономическим уклоном. Производится анализ затрат и полученного эффекта от применения средства защиты информационной системы предприятия. Методика позволяет снизить риск до приемлемого уровня, что позволяет избежать максимальных затрат на обеспечение безопасности современными средствами ИБ.
Характерность для этой методики вызывает «мозговой штурм» проводимый сотрудниками организации, проведение анализа статистики происшествий для данных информационных систем.
Принимаются законодательные ограничения, делающие невозможным или, наоборот, предписывающие в обязательном порядке, использование тех или иных средств и механизмов защиты.
Конец методики позволяет просчитать, с точки зрения финансирования, применение средства для обеспечения безопасности предприятия, учитывается стоимость приобретения решения, но и стоимость поддержания его работы. Примером здесь может выступить внедрение антивирусного средства с файерволом и спам фильтром для каждого компьютера в сети, то есть его закупка, и сопровождение в последующее время его работы на обеспечение безопасности предприятия в пределах сети. Сразу же применяется программно-аппаратный комплекс для обеспечения безопасности информационной системы предприятия.
.4 Анализ методики RiskWatch
Компания RiskWatch разработала собственную методику анализа рисков и семейство программный средств, в которых она в той либо иной мере реализуется. Семейство RiskWatch состоит из программных продуктов:
—RiskWatch for Physical Security — для анализа физической защиты ИС;
—RiskWatch for Information Systems — для информационных рисков;
—HIPAA-WATCH for Healthcare Industry — для оценки соответствия требованиям стандарта HIPAA (US Healthcare Insurance Portability and Accountability Act), актуальных в основном для медицинских учреждений, работающих на территории США;
—RiskWatch RW17799 for ISO 17799 — для оценки соответствия ИС требованиям стандарта международного стандарта ISO 17799.
RiskWatch используется в качестве критериев для оценки и управления рисками используются ожидаемые годовые потери (Annual Loss Expectancy, ALE) и оценка возврата инвестиций (Return on Investment, ROI). RiskWatch ориентирована на точную количественную оценку соотношения потерь от угроз безопасности и затрат на создание системы защиты. В основе продукта RiskWatch находится методика анализа рисков, которая состоит из четырех этапов[8].
Первый этап — определение предмета исследования. Здесь описываются параметры: как тип организации, состав исследуемой системы (в общих чертах), базовые требования в области безопасности. Для облегчения работы аналитика, в шаблонах, соответствующих типу организации («коммерческая информационная система», «государственная / военная информационная система» и т.д.), есть списки категорий защищаемых ресурсов, потерь, угроз, уязвимостей и мер защиты. И выбираются категории потерь, присутствующие в организации:
—задержки и отказ в обслуживании;
—раскрытие информации;
—прямые потери (например, от уничтожения оборудования огнем);
—жизнь и здоровье (персонала, заказчиков и т.д.);
—изменение данных;
—косвенные потери (например, затраты на восстановление);
—репутация.
Второй этап — ввод данных, описывающих конкретные характеристики системы. Данные могут вводиться вручную или импортироваться из отчетов, созданных инструментальными средствами исследования уязвимости компьютерных сетей. Подробнейшим образом описываются ресурсы, потери и классы инцидентов. Классы инцидентов получаются путем сопоставления категории потерь и категории ресурсов.
Также задается частота возникновения каждой из выделенных угроз, степень уязвимости и ценность ресурсов. Если для выбранного класса угроз в системе есть среднегодовые оценки возникновения (LAFE и SAFE), то используются они. Все это используется в дальнейшем для расчета эффекта от внедрения средств защиты.
Третий этап — количественная оценка риска. На этом этапе рассчитывается профиль рисков, и выбираются меры обеспечения безопасности. Сначала устанавливаются связи между ресурсами, потерями, угрозами и уязвимостями, выделенными на предыдущих шагах исследования. SAFE (Standard Annual Frequency Estimate) — показывает, сколько раз в год в среднем данная угроза реализуется в этой «части мира» (например, в Северной Америке). Вводится также поправочный коэффициент, который позволяет учесть, что в результате реализации угрозы защищаемый ресурс может быть уничтожен не полностью, а только частично.
Формула (1) показывает варианты расчета показателя ALE:
(1)оценка риск информационный корпоративный
где:
—Asset Value — стоимость рассматриваемого актива (данных, программ, аппаратуры и т.д.);
—Exposure Factor — коэффициент воздействия — показывает, какая часть (в процентах) от стоимости актива, подвергается риску;
—Frequency — частота возникновения нежелательного события;
—ALE — это оценка ожидаемых годовых потерь для одного конкретного актива от реализации одной угрозы.
Когда все активы и воздействия идентифицированы и собраны вместе, то появляется возможность оценить общий риск для ИС, как сумму всех частных значений.
Можно ввести показатели «ожидаемая годовая частота происшествия» (Annualized Rate of Occurrence — ARO) и «ожидаемый единичный ущерб» (Single Loss Expectancy — SLE), который может рассчитываться как разница первоначальной стоимости актива и его остаточной стоимости после происшествия (хотя подобный способ оценки применим не во всех случаях, например, он не подходит для оценки рисков, связанных с нарушением конфиденциальности информации). Тогда, для отдельно взятого сочетания угроза-ресурс применима формула (2):
Четвертый этап — генерация отчетов. Типы отчетов:
—краткие итоги;
—полные и краткие отчеты об элементах, описанных на стадиях 1 и 2;
—отчет от стоимости защищаемых ресурсов и ожидаемых потерях от реализации угроз;
—отчет об угрозах и мерах противодействия;
—отчет о ROI;
—отчет о результатах аудита безопасности.
Таким образом, рассматриваемое средство позволяет оценить не только те риски, которые сейчас существуют у предприятия, но и ту выгоду, которую может принести внедрение физических, технических, программных и прочих средств и механизмов защиты. Подготовленные отчеты и графики дают материал, достаточный для принятия решений об изменении системы обеспечения безопасности предприятия [4,8].
Недостатки методики RiskWatch:
методика RiskWatch подходит, если требуется провести анализ рисков на программно-техническом уровне защиты, без учета организационных и административных факторов;
полученные оценки рисков (математическое ожидание потерь) далеко не исчерпывает понимание риска с системных позиций — метод не учитывает комплексный подход к информационной безопасности;
программное обеспечение RiskWatch существует только на английском языке;
высокая стоимость лицензии (от 15’000 долл. за одно рабочее место для небольшой компании; от 125’000 долл. за корпоративную лицензию).
Методика RiskWatch позволяет разделить информационные системы на несколько профилей и уже использовать конкретизированную систему для учета рисков информационной безопасности предприятия, что очень удобно в современное время. Различные организации используют однотипные модели для оценки рисков, что не очень позволяет просчитать тот или иной ущерб при возникновении угрозы. Методика позволяет в живую в цифрах увидеть оценку ожидаемых потерь за год от бездействия со стороны предприятия к угрозе из-за направленного отсутствия финансирования для обеспечения безопасности предприятия.
.5 Анализ методики Гриф
Для проведения полного анализа информационных рисков, прежде всего, необходимо построить полную модель информационной системы с точки зрения ИБ. Для решения этой задачи ГРИФ, в отличие от прередставленных на рынке западных систем анализа рисков, которые громоздки, сложны в использовании и часто не предполагают самостоятельного применения ИТ-менеджерами и системными администраторами, ответственными за обеспечение безопасности информационных систем компаний, обладает простым и интуитивно понятным для пользователя интерфейсом. Основная задача методики ГРИФ — дать возможность ИТ менеджеру самостоятельно оценить уровень рисков в информационной системе, оценить эффективность существующей практики по обеспечению безопасности компании и иметь возможность доказательно (в цифрах) [6].
На первом этапе методики ГРИФ проводится опрос ИТ-менеджера с целью определения полного списка информационных ресурсов, представляющих ценность для компании.
На втором этапе проводится опрос ИТ-менеджера с целью ввода в систему ГРИФ всех видов информации, представляющей ценность для компании. Введенные группы ценной информации должны быть размещены пользователем на ранее указанных на предыдущем этапе объектах хранения информации (серверах, рабочих станциях и т.д.). Заключительная фаза — указание ущерба по каждой группе ценной информации, расположенной на соответствующих ресурсах, по всем видам угроз.
На третьем этапе вначале проходит определение всех видов пользовательских групп (и число пользователей в каждой группе). Затем определяется, к каким группам информации на ресурсах имеет доступ каждая из групп пользователей. В заключение определяются виды (локальный и / или удаленный) и права (чтение, запись, удаление) доступа пользователей ко всем ресурсам, содержащих ценную информацию.
На четвертом этапе проводится опрос ИТ-менеджера для определения средств защиты информации, которыми защищена ценная информация на ресурсах. Кроме того, в систему вводится информация о разовых затратах на приобретение всех применяющихся средств защиты информации и ежегодные затраты на их техническую поддержку, а также — ежегодные затраты на сопровождение системы информационной безопасности компании[4].
На завершающем этапе пользователь должен ответить на список вопросов по политике безопасности, реализованной в системе, что позволяет оценить реальный уровень защищенности системы и детализировать оценки рисков. Наличие средств информационной защиты, отмеченных на первом этапе, само по себе еще не делает систему защищенной в случае их неадекватного использования и отсутствия комплексной политики безопасности, учитывающей все аспекты защиты информации, включая вопросы организации защиты, физической безопасности, безопасности персонала, непрерывности ведения бизнеса. К недостаткам ГРИФ можно отнести:
—отсутствие привязки к бизнесс-процессам;
—нет возможности сравнения отчетов на разных этапах внедрения комплекса мер по обеспечению;
—отсутствует возможность добавить специфичные для данной компании требования политики безопасности.
В результате выполнения всех действий по данным этапам, на выходе сформирована полная модель информационной системы с точки зрения информационной безопасности с учетом реального выполнения требований комплексной политики безопасности, что позволяет перейти к программному анализу введенных данных для получения комплексной оценки рисков и формирования итогового отчета. Отчет представляет собой подробный, дающий полную картину возможного ущерба от инцидентов документ, готовый для представления руководству компании.
Существующая методика оценки риска позволяет самостоятельно оценить степень риска предприятия в пределах одной сети, но не даст полной картины, что существенно влияет на безопасность информации в целом.
Рассмотренные методики в той или иной степени позволяют показать примерную оценку информационного риска для предприятия. Невозможно дать точную оценку риску, ввиду сложности представления ущерба для системы из-за большого количества компонентов вычислительной среды и различных топологий локальных и корпоративных сетей с их программно-аппаратным наполнением и управлением.
Ни одна из методик не предлагает оценку рисков в корпоративной среде предприятия, кроме методики анализа корпоративных рисков от Microsoft. Современный бизнес диктует скорость развития технологий, как с экономической, так и с технической стороны. Любая средняя организация имеет как минимум два удаленных офиса.
В России в настоящее время чаще всего используются разнообразные «бумажные» методики, достоинствами которых являются гибкость и адаптивность. Как правило, разработкой данных методик занимаются компании — системные и специализированные интеграторы в области защиты информации. По понятным причинам методики обычно не публикуются, поскольку относятся к этой компании. В силу закрытости данных методик судить об их качестве, объективности и возможностях достаточно сложно.
Рассмотренные методики ориентированы на те сети, которые построены по доменному принципу, имеющие четкие разделения прав пользователей, группы, общие ресурсы, что в некоторой степени позволяет применят групповую политику на весь домен, но с другой стороны, при падении домена, сеть оказывается полностью не работоспособной.
Доменная структура сложна в настройке, но ее производительность того стоит. Для сетей с небольшим количеством компьютеров доменная организация не имеет смысла.
Не все системы учета рисков не предлагают выделить системы защиты по ступеням, то есть от технической защите к программной, то есть самой теоретически стойкой к взлому.
Большинство организаций среднего размера, и покупка очень дорогостоящего средства учета рисков просто не по карману предприятию. Следует учитывать тот факт, что и то, количество информации, которая является коммерческой тайной ее не очень большое количество.
Необходимая степень конкретизации деталей зависит от уровня зрелости организации, специфики ее деятельности и ряда других факторов. Таким образом, невозможно предложить какую-либо единую, приемлемую для всех отечественных компаний и организаций, универсальную методику, соответствующую определенной концепции управления рисками. В каждом частном случае приходится адаптировать общую методику анализа рисков и управления ими под конкретные нужды предприятия с учетом специфики его функционирования и ведения бизнеса. Рассмотрим сначала типичные вопросы и проблемы, возникающие при разработке таких методик, возможные подходы к решению этих проблем, а затем обсудим примеры адаптации и разработки соответствующих корпоративных методик.
Таким образом, учет рисков должен быть:
недорогостоящим;
профильными;
эффективным;
масштабируемым;
управляемым;
легко адаптируемым к системе;
учитывать все особенности построенной сети.
Компания может приобрести лучшие технологии по безопасности, какие только можно купить за деньги, натренировать своих людей так, что они станут прятать все свои секреты, прежде чем пойти ночью домой, и нанять охранников в лучшей охранной фирме на рынке. Но эта компания всё ещё остаётся полностью уязвимой.
Сами люди могут полностью следовать лучшей практике по безопасности, рекомендованной экспертами, по-рабски устанавливать каждый вновь появившийся рекомендованный программный продукт по безопасности и тщательно следить за конфигурацией своей системы и следить за выпуском патчей. Но и они всё равно полностью уязвимы.
2. Разработка модели оценки рисков БКИ
.1 Методики разработки оценки рисков для корпоративной сети
Информационные риски — это опасность возникновения убытков или ущерба в результате применения компанией информационных технологий. Иными словами, IT-риски связаны с созданием, передачей, хранением и использованием информации с помощью электронных носителей и иных средств связи.
В спорах на тему оценки информационных рисков или экономического обоснования инвестиций в информационную безопасность сломано немало копий. В настоящее время идет активное накопление данных, на основании которых можно было бы с приемлемой точностью определить вероятность реализации той или иной угрозы. К сожалению, имеющиеся справочники опираются на зарубежный опыт и потому с трудом применимы к российским реалиям. К тому же определение величины стоимости информационного ресурса (будь то физический сервер или файлы и записи СУБД) тоже зачастую затруднено. К примеру, если владелец ресурса может назвать стоимость оборудования и носителей и его амортизацию, то указать точную стоимость находящихся в его ведении данных он практически никогда не в состоянии. Поэтому наиболее распространенной остается качественная оценка информационных рисков, когда при отсутствии точных данных значения параметров устанавливает проводящий анализ рисков эксперт [27,28].
Анализ рисков для каждого предприятия индивидуален. Индивидуальность обеспечивает первый параметр — размер ущерба. Ведь он связан как с самими информационными ресурсами, так и с оценкой их важности, которая уникальна у каждой организации.
Вот какие требования предъявляются к специалисту, который производит оценку рисков, например, в стандарте BS 7799:3 (Руководство по управлению рисками информационной безопасности):
—понимание бизнеса и риск-аппетита (готовности принять данный уровень риска в процессе получения прибыли);
—понимание концепции риска;
—понимание угроз и уязвимостей;
—понимание типов контрольных механизмов (контролей) информационной безопасности;
—навыки использования методик оценки рисков;
—аналитические способности;
—способность определять необходимые контактные лица;
—коммуникабельность.
Как видно из этого списка, умение оперировать угрозами и уязвимостями не занимает первое место и не является единственным навыком.
Наиболее сложным аспектом, который сильно влияет на увеличение стоимости работ по анализу рисков, оказывается необходимость понимания бизнеса. К сожалению, даже собственные подразделения ИТ и безопасности предприятия не всегда обладают достаточными знаниями. Поэтому очень важно определить, как будут выполняться работы по оценке рисков — своими силами или внешним консультантом. Несмотря на высокую стоимость услуг, часто целесообразнее отдать предпочтение второму варианту, если, конечно, руководство организации заинтересовано в реальном результате [27,30].
Как известно, система управления информационной безопасностью в целом и анализ рисков в частности — это не разовое мероприятия, а динамическая, развивающаяся система со своим жизненным циклом. Это означает, что анализ рисков необходимо проводить регулярно, через определенные периоды. Поскольку такие работы еще не очень распространены в России, в работе рассказывается о первом цикле анализа рисков, то есть о варианте, когда анализа рисков в необходимом объеме на предприятии не производилось.
2.2 Разработка методики оценки рисков на примере методики Microsoft
Особый интерес к управлению рисками вызывает система анализа рисков крупнейшего производителя программного обеспечения почти во всех сферах деятельности — Microsoft.
Процесс управления рисками, предлагаемый корпорацией Майкрософт, разбивает этап оценки рисков на три шага:
—планирование — разработка основы для успешной оценки рисков;
—координированный сбор данных — сбор информации о рисках в ходе координированных обсуждений рисков;
—приоритизация рисков — ранжирование выявленных рисков на основе непротиворечивого и повторяемого процесса.
Но с учетом неравномерной нагрузки на коммуникационную структуру предприятия в различное время, возникают неучтенные риски. По этому к трем пердыдущим пунктам можно добавить неучтенные риски, которые также оказывают существенное влияние на совокупность учтенных рисков.
Собираются данные об:
—активах организации;
—угрозах безопасности;
—уязвимостях.
Собранные активы, угрозы и уязвимости следует ранжировать по их степени оказания влияния на корпоративную систему, после этого нужно соотнести активы, угрозы и уязвимости между собой и выявить закономерности [3,4].
Оценку рисков нужно проводить в то время, когда нагрузка на информационную систему будет минимальна.
Работа по определению ценности информационных активов в разрезе всей организации одновременно наиболее значима и сложна. Именно оценка информационных активов позволит начальнику отдела ИБ выбрать основные направления деятельности по обеспечению информационной безопасности.
Ценность актива выражается величиной потерь, которые понесет организация в случае нарушения безопасности актива.
Активами считается все, что представляет ценность для организации. К материальным активам относится физическая инфраструктура. К нематериальным активам относятся данные и другая ценная для организации информация, хранящаяся в цифровой форме. В некоторых организациях может оказаться полезным определение третьего типа активов — ИТ-служб. ИТ-служба представляет собой сочетание материальных и нематериальных активов. Например, это может быть корпоративная служба электронной почты [14,30].
Для увеличения эффективности модели, анализ производится исходя из непосредственных целей и задач по защите конкретного вида информации конфиденциального характера. Одна из важнейших задач в рамках такой защиты информации — обеспечение ее целостности и доступности. Часто забывают, что нарушение целостности может произойти не только вследствие преднамеренных действий, но и по ряду других причин:
сбоев оборудования, ведущих к потере или искажению информации;
физических воздействий, в частности в результате стихийных бедствий;
ошибок в программном обеспечении (в том числе из-за недокументированных возможностей).
При изучении материальных активов организации, ее электронной техники ввода, вывода и централизованной обработки информации в ее корпоративной сети, то есть провести оценку рисков внутри оценки рисков.
Процесс управления рисками безопасности, предлагаемый корпорацией Майкрософт, определяет следующие три качественных класса активов:
—высокое влияние на бизнес (ВВБ) — влияние на конфиденциальность, целостность и доступность этих активов может причинить организации значительный или катастрофический ущерб. К этому классу относятся конфиденциальные деловые данные;
—среднее влияние на бизнес (СВБ) — влияние на конфиденциальность, целостность и доступность этих активов может причинить организации средний ущерб. Средний ущерб не вызывает значительных или катастрофических изменений, однако нарушает нормальную работу организации до такой степени, что это требует проактивных элементов контроля для минимизации влияния в данном классе активов. К этому классу могут относиться внутренние коммерческие данные, такие как перечень сотрудников или данные о заказах предприятия;
—низкое влияние на бизнес (НВБ) — активы, не попадающие в классы ВВБ и СВБ, относятся к классу НВБ. К защите подобных активов не выдвигаются формальные требования, и она не требует дополнительного контроля, выходящего за рамки стандартных рекомендаций по защите инфраструктуры.
Таким образом можно показать тяжесть последствий:
—незначительный (менее $100);
—минимальный (менее $1000);
—умеренны (менее $10 000);
—серьезные (существенное негативное влияние на бизнес);
—критическое (катастрофическое воздействие, возможно прекращение функционирования системы) [3,18,19].
Но следует учесть, что это можно считать за базовые оценки ущерба и в зависимости от размера организации денежные суммы могут изменяться значительно.
Далее определяется перечень угроз и уязвимостей и выполняется оценка уровня потенциального ущерба, называемого степенью подверженности актива воздействию. Оценка ущерба может проводиться по различным категориям:
—конкурентное преимущество;
—законы и регулятивные требования;
—операционная доступность;
—репутация на рынке.
Оценку предлагается проводить по следующей шкале:
—высокая подверженность воздействию — значительный или полный ущерб для актива;
—средняя подверженность воздействию — средний или ограниченный ущерб;
—низкая подверженность воздействию — незначительный ущерб или отсутствие такового;
Следующий шаг — оценка частоты возникновения угроз:
—высокая — вероятно возникновение одного или нескольких событий в пределах года;
—средняя — влияние может возникнуть в пределах двух-трех лет;
—низкая — возникновение влияния в пределах трех лет маловероятно.
Для угроз указывается уровень воздействия в соответствии с концепцией многоуровневой защиты (уровни — физический, сети, хоста, приложения, данных).
Для выявлении рисков в корпоративной сети предприятия, риски можно разделить на пять видов:
—риск целостности (integrity risk): включает в себя все риски, связанные с подтверждением полномочий, завершенностью и точностью передачи транзакций и информации. Эти риски могут возникать при работе с пользовательским интерфейсом, обработке данных, обработке ошибок, изменениях в управлении и данных;
—риск соответствия (relevance risk): относится к своевременности и полезности информации и непосредственно влияет на принятие решения. Другими словами, не всегда можно гарантировать, что нужная информация своевременно будет передана нужному человеку (или в нужное место);
—риск готовности (availability risk): его можно нивелировать за счет контроля и превентивных действий; сюда относятся кратковременные сбои в системе во время процесса восстановления; риски, вызванные авариями, повлекшими за собой долговременные сбои, на случай которых предусмотрено резервное копирование и поддержка ряда ограничений на возможные действия;
риск доступа (access risk): включает в себя нелигитимный доступ к системе, информации и данным;
риск инфраструктуры (infrastructure risk): связан с важнейшими компонентами инфраструктуры информационных систем, в том числе с аппаратным и программным обеспечением, сетями, людскими ресурсами и различными процессами [3,20,34].
Следующий шаг этапа оценки рисков — приоритизация рисков, т.е. создание упорядоченного по приоритетам списка рисков. Формирование данного списка сначала предлагается выполнить на обобщенном уровне, после чего описания наиболее существенных рисков детализируются.
Итоговый уровень риска определяется исходя из уровня влияния и оценки частоты возникновения риска, для которой используется шкала:
—высокая — вероятно возникновение одного или нескольких влияний в течение года;
—средняя — влияние может хотя бы один раз возникнуть в течение двух или трех лет;
—низкая — возникновение влияния в течение трех лет маловероятно.
Для детального изучения (составления «перечня на уровне детализации») отбираются риски, отнесенные по результатам оценки на обобщенном уровне к одной из трех групп:
—риски высокого уровня;
—граничные риски: риски среднего уровня, которые необходимо снижать;
—противоречивые риски: риск является новым и знаний об этом риске у организации недостаточно или различные заинтересованные лица оценивают этот риск по-разному.
Формирование перечня рисков на уровне детализации является последней задачей процесса оценки рисков. В этом перечне каждому риску в итоге сопоставляется оценка в числовой (денежной) форме.
Вновь определяются:
—величина влияния и подверженности воздействию;
—текущие элементы контроля;
—вероятности влияния;
—уровень риска.
После определения уровня подверженности воздействию производится оценка величины влияния. Каждому уровню подверженности воздействию сопоставляется значение в процентах, отражающее величину ущерба, причиненного активу, и называемое фактором подверженности воздействию.
Следующая задача — определение вероятности влияния. Результирующий уровень вероятности определяется на основании двух значений. Первое значение определяет вероятность существования уязвимости в текущей среде. Второе значение определяет вероятность существования уязвимости исходя из эффективности текущих элементов контроля. Меньший результат означает большую эффективность элементов контроля и их способность уменьшать вероятность взлома [3,9].
В заключение процедуры оценки рисков, проводится количественный анализ. Чтобы определить количественные характеристики, необходимо выполнить следующие задачи.
—сопоставить каждому классу активов в организации денежную стоимость;
—определить стоимость актива для каждого риска;
—определить величину ожидаемого разового ущерба (single loss expectancy — SLE);
—определить ежегодную частоту возникновения (annual rate of occurrence — ARO);
—определить ожидаемый годовой ущерб (annual loss expectancy — ALE).
Количественную оценку предлагается начать с активов, соответствующих описанию класса ВВБ. Для каждого актива определяется денежная стоимость с точки зрения его материальной и нематериальной ценности для организации. Также учитывается:
—стоимость замены;
—затраты на обслуживание и поддержание работоспособности;
—затраты на обеспечение избыточности и доступности;
—влияние на репутацию организации;
—влияние на эффективность работы организации;
—годовой доход;
—конкурентное преимущество;
—внутренняя эффективность эксплуатации;
—правовая и регулятивная ответственность;
—процесс повторяется для каждого актива в классах СВБ и НВБ [6,9].
Каждому классу активов сопоставляется одно денежное значение, которое будет представлять ценность класса активов. Например, наименьшее среди активов данного класса. Данный подход уменьшает затраты времени на обсуждение стоимости конкретных активов.
После определения стоимостей классов активов необходимо определить и выбрать стоимость каждого риска.
Следующей задачей является определение степени ущерба, который может быть причинен активу. Для расчетов предлагается использовать ранее определенный уровень подверженности воздействию, на основе которого определяется фактор подверженности воздействию (рекомендуемая формула пересчета — умножение значения уровня (в баллах) на 20%).
Последний шаг состоит в получении количественной оценки влияния путем умножения стоимости актива на фактор подверженности воздействию. В классической количественной модели оценки рисков это значение называется величиной ожидаемого разового ущерба (SLE). Далее делается оценка ежегодной частоты возникновения (ARO). В процессе оценки ARO используются ранее полученные качественные оценки. Для определения ожидаемого годового ущерба (ALE) значения SLE и ARO перемножаются:
Величина ALE характеризует потенциальные годовые убытки от риска. Хотя данный показатель может помочь в оценке ущерба заинтересованным лицам, имеющим финансовую подготовку, группа управления рисками безопасности должна напомнить, что влияние на организацию не ограничивается величиной годовых издержек — возникновение риска может повлечь за собой причинение ущерба в полном объеме [5,3].
Анализ рисков — достаточно трудоемкая процедура. В процессе анализа рисков должны применяться методические материалы и инструментальные средства. Однако для успешного внедрения повторяемого процесса этого недостаточно; еще одна важная его составляющая — регламент управления рисками. Он может быть самодостаточным и затрагивать только риски ИБ, а может быть интегрирован с общим процессом управления рисками в организации.
В процессе анализа рисков задействованы многие структурные подразделения организации: подразделения, ведущие основные направления ее деятельности, подразделение управления информационной инфраструктурой, подразделение управления ИБ. Кроме того, для успешного проведения анализа рисков и эффективного использования его результатов необходимо привлечь высший менеджмент организации, обеспечив тем самым взаимодействие между структурными подразделениями.
Одной лишь методики анализа рисков или специализированного инструментального средства для оценки рисков ИБ недостаточно.
Необходимы процедуры идентификации активов, определения значимости активов, разработки моделей нарушителя и угроз, идентификации уязвимостей, агрегирования и классификации рисков. В
различных организациях все перечисленные процедуры могут существенно различаться. Цели и масштаб проведения анализа рисков ИБ также влияют на требования, предъявляемые к сопутствующим анализу рисков процессам.
Применение метода анализа рисков для управления ИБ требует от организации достаточного уровня зрелости, на котором можно будет реализовать все необходимые в рамках анализа рисков процессы.
Управление рисками позволяет структурировать деятельность отдела ИБ, найти общий язык с высшим менеджментом организации, оценить эффективность работы отдела ИБ и обосновать решения по выбору конкретных технических и организационных мер защиты перед высшим менеджментом.
Процесс анализа рисков непрерывен, так как верхнеуровневые цели обеспечения ИБ могут оставаться неизменными на протяжении длительного времени, а информационная инфраструктура, методы обработки информации и риски, связанные с использованием ИТ, постоянно меняются [3,9].
Отдел ИБ и организация в целом в случае структурирования своей деятельности путем непрерывного анализа рисков получают следующие весьма значимые преимущества:
—идентификация целей управления;
—определение методов управления;
—эффективность управления, основанная на принятии обоснованных и своевременных решений.
Объединение рисков по всем ресурсам дает общую величину риска при принятой архитектуре КИС и внедренной в нее системы защиты информации.
Таким образом, варьируя варианты построения системы защиты информации и архитектуры КИС, можно (за счет изменения вероятности реализации угроз) представить и рассмотреть различные значения риска.
Здесь весьма важным шагом является выбор одного из вариантов в соответствии с заданным критерием принятия решения. Таким критерием может быть допустимая величина риска или отношение затрат на обеспечение информационной безопасности к остаточному риску.
При построении систем обеспечения информационной безопасности также нужно определить стратегию управления рисками на предприятии.
На сегодня известно несколько подходов к управлению рисками. Один из наиболее распространенных — уменьшение риска путем принятия комплексной системы контрмер, включающей программно-технические и организационные меры защиты. Близким является подход, связанный с уклонением от риска. От некоторых классов рисков можно уклониться, например: вынесение Web-сервера организации за пределы локальной сети позволяет избежать риска несанкционированного доступа в локальную сеть со стороны Web-клиентов [28,30].
Наконец, в ряде случаев допустимо принятие риска. В этой ситуации важно определиться со следующей дилеммой: что для предприятия выгоднее — бороться с рисками или же с их последствиями. Здесь приходится решать оптимизационную задачу.
Необходимо отметить, что выполнение анализа рисков и оценки потерь требует глубоких системных знаний и аналитического мышления во многих областях, смежных с проблемой защиты информации.
2.3 Подготовительные аналитические работы
Темпы развития современных информационных технологий значительно опережают темпы разработки рекомендательной и нормативно-правовой базы руководящих документов, действующих на территории России. Поэтому решение вопроса об оценке уровня защищенности информационных активов компании обязательно связано с проблемой выбора критериев и показателей защищенности, а также эффективности корпоративной системы защиты информации. Для более точной картины при учете рисков, нужно заблаговременно произвести некоторые аналитические работы [13,14].
—комплексный анализ информационных систем (ИС) компании и подсистемы информационной безопасности на правовом, методологическом, организационно-управленческом, технологическом и техническом уровнях;
—разработка комплексных рекомендаций по методологическому, организационно-управленческому, технологическому, общетехническому и программно-аппаратному обеспечению режима ИС компании;
—организационно-технологический анализ ИС компании;
—экспертиза решений и проектов;
—работы по анализу документооборота и поставке типовых комплектов организационно-распорядительной документации;
—работы, поддерживающие практическую реализацию плана защиты;
—повышение квалификации и переподготовка специалистов.
К первой области также относятся работы, проводимые на основе анализа рисков, инструментальные исследования (исследование элементов инфраструктуры компьютерной сети и корпоративной информационной системы на наличие уязвимостей, исследование защищенности точек доступа в Internet). Данный комплекс работ также включает в себя и анализ документооборота, который, в свою очередь, можно выделить и как самостоятельное направление.
Рекомендации могут касаться общих основополагающих вопросов обеспечения безопасности информации (разработка концепции информационной безопасности, разработка корпоративной политики охраны информации на организационно-управленческом, правовом, технологическом и техническом уровнях), применимых на многих компаниях. Также рекомендации могут быть вполне конкретными и относится к деятельности одной единственной компании (план защиты информации, дополнительные работы по анализу и созданию методологического, организационно-управленческого, технологического, инфраструктурного и технического обеспечения режима информационной безопасности компании) [12,28].
Правильная экспертиза решений и проектов играет важную роль в обеспечении функционирования всей системы информационной безопасности и должна соответствовать требованиям по обеспечению информационной безопасности экспертно-документальным методом. Экспертиза проектов подсистем — требованиям по безопасности экспертно-документальным методом.
Работы по анализу документооборота и поставке типовых комплектов организационно-распорядительной документации, как правило, включают два направления:
—анализ документооборота компании категории «конфиденциально» на соответствие требованиям концепции информационной безопасности, положению о коммерческой тайне, прочим внутренним требованиям компании по обеспечению конфиденциальности информации;
—поставку комплекта типовой организационно-распорядительной документации в соответствии с рекомендациями корпоративной политики ИБ компании на организационно-управленческом и правовом уровне.
Работы, поддерживающие практическую реализацию плана информационной безопасности, в частности, заключаются в следующем:
—разработка технического проекта модернизации средств защиты ИС, установленных на фирме по результатам проведенного комплексного аналитического исследования корпоративной сети;
—разработка расширенного перечня сведений ограниченного распространения как части политики безопасности;
—разработка пакета организационно-распорядительной документации в соответствии с рекомендациями корпоративной политики ИБ компании на организационно-управленческом и правовом уровне;
—поставка комплекта типовой организационно-распорядительной документации в соответствии с рекомендациями корпоративной политики ИБ компании на организационно-управленческом и правовом уровнях [14,28,30].
Уровень информационной безопасности компании во многом зависит от квалификации специалистов. В целях повышения квалификации и переподготовки кадров рекомендуется проводить тренинги по применению средств защиты информации, технологии защиты информации, обучать сотрудников основам экономической безопасности[17].
Немаловажную роль играет и ежегодная переоценка состояния информационной безопасности компании.
Поясним ключевые моменты управления рисками. Для начала излагается общий сценарий. Допустим, возникает возможность угрозы несанкционированного доступа к конфиденциальной информации в связи с обнаруженной уязвимостью в учетной системе, которая принимает электронные заказы через Интернет. На основе информации об угрозах и уязвимостях информационной системы изучается вопрос о возможности реализации риска и экономической целесообразности определения мероприятий по его минимизации (если мероприятия по предотвращению рисков стоят дороже, чем ущерб от реализации угрозы, то, скорее всего, применять их нецелесообразно).
После оценки важности риска планируются необходимые мероприятия и выделяются соответствующие ресурсы. Затем реализуются контрмеры в соответствии с графиком работ и оценивается их эффективность.
После более подробного изучения процесса и выявления потенциальных угроз следует сформировать перечень рисков, которые необходимо минимизировать. Цель процесса сбора (идентификации) рисков — выяснить, в какой степени организация подвержена угрозам, способным нанести существенный ущерб. Для сбора рисков проводится анализ бизнес-процессов компании и опрос экспертов предметной области. По результатам проделанной работы перечень всех потенциальных рисков классифицируется. Причем для проверки полноты перечня выделенных рисков необходимо построить классификацию рисков по определенному принципу, например по этапам жизненного цикла документа [18,28].
Существует два подхода к определению рисков. Первый основан на описании процессов и их анализе на предмет нахождения рисков IT-безопасности. Обычно его применение требует больших затрат как на описание, так и на анализ бизнес-процессов, но неоспоримым преимуществом данного метода является гарантированная полнота определения перечня рисков.
Второй подход к определению рисков базируется на экспертных знаниях, информации по инцидентам IT-безопасности и понесенному компанией убытку от произошедших инцидентов. Этот подход имеет меньшую трудоемкость, но не гарантирует полноты перечня рисков и требует большого экспертного опыта при выделении рисков без анализа описания процессов.
Если говорить о практике применения, то на первых этапах развертывания процесса управления рисками IT-безопасности возможно использование второго метода, как менее трудоемкого, однако на следующих этапах анализа рисков следует перейти к полноценному определению рисков с помощью описания и анализа бизнес-процессов.
В представленном примере угроза несанкционированного доступа к финансовой информации представляет собой исходные данные для идентификации, например, такого риска, как «Утечка информации о клиентах к конкурентам через незащищенный канал связи». В связи с тем, что последствия от различных угроз неравноценны, недостаточно лишь идентифицировать риск. Необходимо оценить величину угрозы и возможность реализации риска (уязвимость), а также убыток в виде прямых или косвенных потерь в денежном выражении. Если говорить об оценке рисков, то на первом этапе следует использовать качественные критерии, поскольку они просты в применении.
Примером качественных критериев оценки может быть куб (четыре на четыре на четыре):
—угроза — низкая, средняя, высокая, критическая;
—уязвимость — низкая, средняя, высокая, критическая;
—ущерб — низкий, средний, высокий, критический.
Суммарную оценку риска можно определить путем перемножения или взвешенного суммирования полученных качественных коэффициентов[3].
Затем определятся порог или уровень существенности для рисков. Фактически перечень рисков делится уровнем существенности на две части.
Во-первых, риски, по которым в данном цикле системы будет производиться предотвращение или минимизация последствий.
Во-вторых, риски, по которым в данном цикле системы не будет производиться предотвращение или минимизация последствий.
При дальнейших реализациях процесса можно перейти от качественных к числовым оценкам, но это потребует анализа вероятностей для угроз и уязвимостей, и числовых оценок для убытков, что усложнит систему управления рисками. Но главное — при запуске процесса управления рисками IT-безопасности сосредоточиться на самом процессе, а методики можно отточить в дальнейшем, когда механизм будет работать в циклическом режиме [29,30].
Основным результатом (выходом) процесса оценки рисков является перечень всех потенциальных рисков с их количественными и качественными оценками ущерба и возможности реализации. Данный перечень рисков имеет большой объем, поэтому возникает вопрос, нужно ли защищаться от всех рисков?
Необходимо определить перечень особо опасных рисков, к минимизации которых следует приступить немедленно и минимизация которых повысит уровень безопасности организации. То есть речь идет лишь о понимании, сколько риска организация готова взять на себя и какому риску она подвергается в действительности.
Что делать с оставшимися рисками? Скорее всего, их минимизация не требуется, поскольку стоимость мероприятий по их минимизации может превысить убытки от данных рисков. Вот почему основной задачей становится определение логической границы между рисками, требующими минимизации, и остаточными рисками. В начале построения системы IT-безопасности данная граница может иметь высокий уровень, дальнейшее понижение границы возможно при проведении работ по IT-безопасности, но необходимо определить тот момент, когда ее дальнейшее понижение станет убыточным для организации. Иначе нельзя исключить переход в состояние, когда мероприятия по защите информации будут работать сами на себя. Для оценки данной границы необходимо четко оценивать свои ресурсы и возможные расходы. Дополнительным результатом процесса оценки рисков является перечень рисков информационной безопасности, которые не будут отслеживаться в организации, но на следующем цикле анализа рисков будут оценены. Все данные, важные с точки зрения управления рисками, моделируются [128,30].
На основе оценок риска выбираются необходимые методы и средства управления информационной безопасностью. Для нашего примера: если величина и возможность убытков для риска «Утечка информации о клиентах к конкурентам» достаточно велика, целесообразно наметить мероприятия по минимизации риска — планирование процесса оперативного обновления ПО (установка «заплаток»), формирование регламентов доступа к информации о клиентах, внедрение средств защиты от утечек конфиденциальных данных и т.д.
Цель процесса планирования мероприятий по минимизации рисков — определение сроков и перечня работ по исключению или сведению к минимуму ущерба в случае реализации риска. Данный процесс позволяет сформулировать кто, где, когда и какими ресурсами будет минимизировать определенные риски. Результатом (выходом) процесса планирования является план-график работ по исключению или минимизации ущерба от реализованного риска. Например, «До 10.10.10 установить пакет обновлений Service Pack 2 для операционной системы Windows XP на все рабочие станции компании. Ответственный: Иванов И.И.».
Практика показывает, что большинство мероприятий находится в плоскости организационных решений, тогда как технические меры защиты не являются превалирующими. В дальнейшем необходимо производить агрегацию мероприятий для того, чтобы одно мероприятие «закрывало» несколько рисков одновременно, что минимизирует затраты и требует меньше ресурсов для контроля [10,11].
Однако большинство компаний начинает установку технических решений без предварительной оценки рисков, определения целей IT-безопасности и ее влияния на бизнес-процессы, что приводит к отрицательному влиянию на бизнес-процессы и потере контроля над ними.
Можно установить в компании различные средства сетевой защиты, контроля физического доступа и т.п., после чего пребывать в спокойном состоянии, считая, что все необходимые меры по обеспечению IT-безопасности приняты. Однако вскоре конфиденциальная информация опять оказывается у конкурентов или сотрудник «случайно» стирает материалы проекта[16].
Эти факты показывают, что проблема IT-безопасности является не только технической, но и управленческой. Большинство рисков можно минимизировать управленческими решениями, рассматривая данные риски в качестве операционных, а остальные риски минимизировать программными и аппаратными средствами.
Мало понять, что, как и когда делать, однако требуется реализовать все запланированное точно в срок. Поэтому целью процесса реализации мероприятий становится выполнение запланированных мероприятий по минимизации рисков, контроль качества полученных результатов и сроков их выполнения. Итог данного процесса — выполненные работы по минимизации рисков и время их проведения. Целесообразно спланировать свою деятельность на случай возникновения критической ситуации или риска. Введение в действие процессов, предусмотренных на экстренный случай, позволит не допустить убытки или минимизировать их, а также возобновить хозяйственную деятельность как можно быстрее[15].
Основная сложность — не создать план-график (поскольку подобная работа связана с анализом рисков и формированием мероприятий, необходимых для его минимизации и предотвращения), а выполнять план-график, выделяя финансовые ресурсы, назначая и мотивируя ответственных за конкретные мероприятия.
Однако, определяя мероприятия, надо все время помнить: IT-безопасность должна гарантировать, что будут достигнуты следующие цели.
Во-первых, конфиденциальность информации, критически важной для организации или для принятия решения. Во-вторых, целостность информации и связанных с ней процессов (создания, ввода, обработки и вывода). В-третьих, оперативная доступность информации в любой момент времени. В-четвертых, возможность накопления информации, т.е. сохранения предшествующих вариантов. В-пятых, учет всех процессов, связанных с информацией.
Во многих компаниях системы информационной безопасности строятся по принципу «все запретить», что вызывает неудобства в работе сотрудников, а самое важное — может служить причиной замедления развития компании, поскольку корпоративные знания перестают быть доступными. Необходимо найти золотую середину между ограничениями, связанными с мероприятиями IT-безопасности, и свободой обмена информацией внутри и вне компании. Главное, чтобы безопасность из средства не превратилась в цель. Часто вместо того, чтобы придерживаться принципа, подразумевающего сохранение текущей ситуации всегда, когда это допустимо, сотрудники, отвечающие за IT-безопасность, занимают формальную позицию и по максимуму минимизируют возможности пользователей.
Как правило, большое количество запретительных мероприятий порождает способы обмена информацией в обход защищенных каналов, что сводит все усилия по обеспечению защиты данных к нулю, то есть бизнес-процессы компании перестраиваются, обходя все запретительные мероприятия.
Следующий цикл анализа рисков позволяет определить, какие мероприятия эффективны для минимизации и предотвращения рисков, а какие нет. На основе анализа эффективности можно корректировать понимание риска, его оценки и требуемых действий. Кроме того, анализ эффективности предоставит возможность увидеть минимизацию параметров уязвимости и ущерб для всех рисков, что в целом усилит режим IT-безопасности.
Оценка эффективности системы управления IT-безопасностью — это системный процесс получения и оценки объективных данных о текущем состоянии систем, действиях и событиях, происходящих в ней, устанавливающий уровень их соответствия определенным критериям. На данной стадии выполняется мониторинг заранее установленных мероприятий, нацеленных на уменьшение объема убытка или частоты появления рисков. Результаты указанного процесса могут использоваться в целях аудита для подготовки компании к сертификации [15,16].
Для координации работ по управлению рисками требуются следующие организационные мероприятия: разработка концепции IT-безопасности, создание комитета по IT-безопасности (включающего топ-менеджеров компании), выделение ответственного, определение бюджета на работы, формирование процесса управления и регламента, назначение экспертов по предметным областям для предоставления информации по бизнес-процессам и рискам, определение схем мотивирования для участвующих в работах. Также нельзя забывать, что для обеспечения работающего процесса управления IT-безопасностью очень критична организационная составляющая.
В заключение следует отметить, что построение эффективной системы IT-безопасности в компании — сложный и непрерывный процесс, от которого зависит жизнеспособность бизнеса. Для грамотного построения такой системы надо привлекать к участию в ее создании топ-менеджмент, IT-специалистов, консультантов по данной тематике, технических экспертов.
Одним из важных этапов построения системы IT-безопасности является создание эффективного механизма управления рисками, что позволит принимать обоснованные решения в данном направлении. Хотелось бы отметить, что мероприятия по IT-безопасности могут накладывать ограничения, но надо четко представлять себе необходимость данных ограничений и пытаться находить компромиссы [19,25].
Методика Microsoft в большей части рассчитана для ее же программных продуктов, среди которых часто встречаются операционные системы семейства Microsoft (Microsoft XP, Vista, Seven, Server 2003, 2008) Microsoft office, Microsoft Exchange. Учитывая большую стоимость программных средств, российский бизнес использует альтернативные программные продукты других производителей, зачастую куда более лучшего качества. Все это позволяет только частично применить эту методику в для проведения учета рисков информационной безопасности мероприятия.
Как известно, крупные поставщики аппаратного оборудования такие как HP, DELL, IBM поставляют готовые серверные решения на основе CISCO, D-LINK, INTEL, AMD, NVIDIA, для предприятия с сертификатом совмести с продуктами MICROSOFT что подтверждает совместимость оборудования с программным обеспечением, что повышает надежность отказоустойчивости, так и производительности.
Но учитывая бизнес в России, не все организации способны закупить высокопроизводительные и дорогостоящие сервера. Основную нагрузку на себя берут обычные компьютеры выступающие в роли рядового сервера.
Так же стоит учесть тот факт, что сети организаций построены на разных программных платформах — операционных системах для повышения производительности и снижения себестоимости владения продуктом. В отличие от MS Windows, некоторые версии Linux распространяется бесплатно, а за небольшую плату еще и с поддержкой конечных пользователей.
Недостаточность финансирования IT хозяйства предприятия ведет к незаметным простоям и перебоям в работе информационной инфраструктуры предприятия, что в конечном итоге выходит предприятию в копеечку.
Информационные риски — это опасность возникновения убытков или ущерба в результате применения компанией информационных технологий.
К сожалению, имеющиеся справочники опираются на зарубежный опыт и потому с трудом применимы к российским реалиям. К тому же определение величины стоимости информационного ресурса (будь то физический сервер или файлы и записи СУБД) тоже зачастую затруднено.
Современные методики управления рисками, проектирования и сопровождения корпоративных систем защиты информации должны позволять решить ряд задач перспективного стратегического развития компании.
Управление рисками предполагает оценку стоимости реализации контрмер, которая должна быть меньше величины возможного ущерба. Разница между стоимостью принятия контрмер и величиной возможного ущерба должна быть тем больше, чем меньше вероятность причинения ущерба.
Разработанная модель на основе методики Microsoft позволяет снизить риски для предприятия, с учетом рисков для корпоративной сети, тем самым сохранив денежные средства на восстановление в случае отказа или перебоя в работе средств информационно обработки информации предприятия, а также выработать рекомендации по обеспечению (повышению) информационной безопасности компании. В том числе снизить потенциальные потери компании путем повышения устойчивости функционирования корпоративной сети, разработать концепцию и политику безопасности компании. Также рассмотренная методика позволяет предложить планы защиты конфиденциальной информации компании, передаваемой по открытым каналам связи, защиты информации компании от умышленного искажения (разрушения), несанкционированного доступа к ней, ее копирования или использования.
Одним из важных этапов построения системы IT-безопасности является создание эффективного механизма управления рисками, что позволит принимать обоснованные решения в данном направлении. Хотелось бы отметить, что мероприятия по IT-безопасности могут накладывать ограничения, но надо четко представлять себе необходимость данных ограничений и пытаться находить компромиссы. Оценка IT-рисков, а также разработка и обновление планов по их минимизации должны производиться с определенной периодичностью, например раз в квартал.
Периодический аудит системы работы с информацией (информационный аудит), проводимый независимыми экспертами, будет дополнительно способствовать минимизации рисков. В заключение отметим, что разработка и реализация политики по минимизации IT-рисков не принесет пользы, если рекомендуемые стандарты и правила неверно используются, например, если сотрудники не обучены их применению и не понимают их важности. Поэтому работа по обеспечению IT-безопасности должна быть комплексной и продуманной. В заключение следует отметить, что построение эффективной системы IT-безопасности в компании — сложный и непрерывный процесс, от которого зависит жизнеспособность бизнеса. Для грамотного построения такой системы надо привлекать к участию в ее создании топ-менеджмент, IT-специалистов, консультантов по данной тематике, технических экспертов.
3. Разработка модели оценки рисков по безопасности корпоративной информации
3.1 Первичное управление безопасностью на современных предприятиях
Повсеместное внедрение информационных технологий в структуры современных организаций стало объективной реальностью. На всех управленческих уровнях есть необходимость и возможность расширить свои коммуникационные и информационные возможности за счет внедрения современных информационных технологий. В результате информационные структуры организаций разрастаются: локальные сети организаций подключаются к Internet, объединяются в офисные многоярусные структуры, разрастаются до уровня распределенных корпоративных сетей. Внедрение средств вычислительной техники в структуру управления современных предприятий и организаций является, безусловно, передовым процессом, поэтому вполне объяснимо, что до определенного момента не возникает вопросов и опасений, связанных с использованием информационных технологий[36].
Эволюция вычислительных технологий постоянно ускоряется, руководителям предприятий приходится отслеживать новые тенденции, принимать решения, связанные с обновлением инфраструктуры информационных технологий. Новые технологии приводят к появлению новых способов организации дальнейшей работы, а также служат источниками новых услуг
Следствием этого часто является стихийный рост информационной инфраструктуры предприятия, которая по мере приобретения средств вычислительной техники разрастается «вширь», приобретая неструктурированный гетерогенный характер. Это, в свою очередь, приводит к неконтролируемому росту уязвимостей системы и увеличению возможностей доступа к управленческой, коммерческой и производственной информации со стороны внешних и внутренних нарушителей. Информационные системы становятся потенциально опасными для своих собственников, своего рода «миной замедленного действия». До определенного момента не возникает вопросов и об оценке величины риска, рост которого следует рассматривать как обратную сторону процесса информатизации. Проблема усугубляется тем, что вопросы информационной безопасности, обычно, отдаются на откуп специалистам по информационным технологиям, которые часто не в состоянии определить реальные последствия для организации угроз информационной безопасности [38,39].
Таким образом, в организации часто не оказывается специалиста, который мог бы оценить реальные риски, связанные с использованием информационных технологий, хотя, очевидно, что оценка риска нужна не только с точки зрения безопасности уже определившейся инфраструктуры, но и для точной оценки перспектив применения и развития информационных технологий. Более того, своевременную оценку риска следует рассматривать не только как функцию управления ИС, но и как защиту организации в целом, ее способности выполнять свои функции пусть даже и частично, после восстановления от сбоя. Следовательно, процесс управления рисками следует рассматривать не как техническую функцию, которую можно поручить техническим специалистам, а как основную управляющую функцию организации. Говорить о том, что информационная безопасность (ИБ) стала частью корпоративной культуры, у нас в стране можно с большой натяжкой, не все организации обращают на это внимание или мало выделяют средств на ее обеспечение. Необходимость обеспечения ИБ осознали только крупные компании. Да и они до недавнего времени проблемы безопасности воспринимали исключительно как технические, связанные с внедрением межсетевых экранов, антивирусного программного обеспечения, средств обнаружения вторжений и виртуальных частных сетей.
На самом деле, по рекомендациям исследовательских фирм, от 60 до 80% всех усилий по обеспечению безопасности следует направлять на разработку политики безопасности и сопутствующих ей документов. Почему? Потому, что политика безопасности является самым дешевым и одновременно самым эффективным средством обеспечения информационной безопасности (конечно, если ей следовать). Кроме того, если политика сформулирована, то она является и руководством по развитию и совершенствованию системы защиты[35].
Конкретные продукты и решения по информационной безопасности совершенствуются год от года, интегрируются между собой. Все это происходит так стремительно, что кажется, будто недалек тот день, когда кто-нибудь предложит универсальный продукт для защиты любых информационных систем всеми доступными средствами. Это могло бы быть шуткой, если бы мы не наблюдали воочию, как усилия многих специализированных компаний «размазываются» в попытках создать универсальный продукт. Характеристики информации. Прежде всего, у каждой «единицы» защищаемой информации есть несколько параметров, которые необходимо учитывать:
—статичность;
—размер и тип доступа;
—время жизни;
—стоимость создания;
—стоимость потери конфиденциальности;
—стоимость скрытого нарушения целостности;
—стоимость утраты.
Статичность определяет, может ли защищаемая информация изменяться в процессе нормального использования. Так, например, передаваемое по сети зашифрованное сообщение и документ с цифровой подписью изменяться не должны, а данные на зашифрованном диске, находящемся в использовании, изменяются постоянно. Также изменяется содержимое базы данных при добавлении новых или модификации существующих записей [17,20].
Размер единицы защищаемой информации может накладывать дополнительные ограничения на используемые средства защиты. Так блочные алгоритмы шифрования в некоторых режимах оперируют порциями данных фиксированной длины, а использование асимметричных криптографических алгоритмов приводит к увеличению размера данных при зашифровании[36].
Тип доступа (последовательный или произвольный) также накладывает ограничения на средства защиты — использование потокового алгоритма шифрования для больших объемов данных с произвольным доступом требует разбиения данных на блоки и генерации уникального ключа для каждого из них.
Время жизни информации очень важный параметр, определяющий, насколько долго информация должна оставаться защищенной. Существует информация, время жизни которой составляет минуты, например отданный приказ о начале атаки или отступления во время ведения боевых действий. Содержимое приказа и без расшифровки сообщения станет ясно противнику по косвенным признакам. Время жизни большей части персональной информации (банковской, медицинской и т.п.) соответствует времени жизни владельца после его смерти разглашение такой информации уже никому не принесет ни вреда, ни выгоды. Для каждого государственного секрета, как правило, тоже определен период, в течение которого информация не должна стать публичной. Однако с некоторых документов грифы не снимаются никогда — это случай, когда время жизни информации не ограничено. Никогда не должна разглашаться информация и о ключах шифрования, вышедших из употребления, т.к. у противника могут иметься в наличии все старые зашифрованные сообщения и, получив ключ, он сможет обеспечить себе доступ к тексту сообщений [18,19].
Стоимость создания является численным выражением совокупности ресурсов (финансовых, человеческих, временных), затраченных на создание информации. Фактически, это ее себестоимость. Стоимость потери конфиденциальности выражает потенциальные убытки, которые понесет владелец информации, если к ней получат неавторизованный доступ сторонние лица. Как правило, стоимость потери конфиденциальности многократно превышает себестоимость информации. По истечении времени жизни информации стоимость потери ее конфиденциальности становится равной нулю. Стоимость скрытого нарушения целостности выражает убытки, которые могут возникнуть вследствие внесения изменений в информацию, если факт модификации не был обнаружен. Нарушения целостности могут носить различный характер. Они могут быть как случайными, так и преднамеренными[35].
Модификации может подвергаться не только непосредственно текст сообщения или документа, но также дата отправки или имя автора. Стоимость утраты описывает ущерб от полного или частичного разрушения информации. При обнаружении нарушения целостности и невозможности получить ту же информацию из другого источника информация считается утраченной. Четыре различных стоимости, перечисленные выше, могут очень по-разному соотноситься друг с другом.
Анализ защищенности АС от угроз безопасности информации работа сложная. Умение оценивать и управлять рисками, знание типовых угроз и уязвимостей, критериев и подходов к анализу защищенности, владение методами анализа и специализированным инструментарием, профессиональное знание различных программно-аппаратных платформ, используемых в современных компьютерных сетях, — вот далеко не полный перечень профессиональных качеств, которыми должны обладать специалисты, проводящие работы по анализу защищенности АС.
3.2 Рекомендации для типовой методики защищенности корпоративной сети
Рассмотренные проблемы безопасности корпоративной сети и разработка модели позволяют обезопасить сеть. Но для увеличения эффекта защищенности информации циркулирующей на предприятии нужно разработать дополнительные мероприятия для обеспечения защищенности информации как при ее обработке, так и при ее передаче.
В настоящее время не существует каких-либо стандартизированных методик анализа защищенности автоматизированной системы (АС), поэтому в конкретных ситуациях алгоритмы действий аудиторов могут серьезно различаться. Однако типовую методику анализа защищенности корпоративной сети предложить все-таки можно. И хотя данная методика не претендует на всеобщность, ее эффективность многократно проверена на практике.
Типовая методика включает использование следующих методов:
—изучение исходных данных по АС;
—оценка рисков, связанных с осуществлением угроз безопасности в отношении ресурсов АС;
—анализ механизмов безопасности организационного уровня, политики безопасности организации и организационно-распорядительной документации по обеспечению режима информационной безопасности и оценка их соответствия требованиям существующих нормативных документов, а также их адекватности имеющимся рискам;
—анализ конфигурационных файлов маршрутизаторов, межсетевых экранов (МЭ) и proxy-серверов, осуществляющих управление межсетевыми взаимодействиями, почтовых и DNS-серверов, а также других критических элементов сетевой инфраструктуры;
—сканирование внешних сетевых адресов локальной вычислительной сети (ЛВС) из сети Internet;
—сканирование ресурсов ЛВС изнутри;
—анализ конфигурации серверов и рабочих станций ЛВС при помощи специализированных программных средств[10].
Перечисленные методы исследования предусматривают проведение как активного, так и пассивного тестирования системы защиты. Активное тестирование системы защиты заключается в эмуляции действий потенциального злоумышленника для преодоления механизмов защиты.
Пассивное тестирование предполагает анализ конфигурации ОС и приложений по шаблонам с привлечением списков проверки. Тестирование может выполняться вручную либо посредством специализированных программных средств [11,12].
.3 Рекомендации к тестированию системы защиты
Тестирование системы защиты АС проводится с целью проверки эффективности имеющихся в ней механизмов защиты, их устойчивости в отношении возможных атак, а также с целью поиска уязвимостей в защите. Традиционно используются два основных метода тестирования:
—метод «черного ящика»;
—метод «белого ящика».
Тестирование по методу «черного ящика» предполагает отсутствие у тестирующей стороны каких-либо специальных знаний о конфигурации и внутренней структуре объекта испытаний. При этом против объекта испытаний реализуются все известные типы атак и проверяется устойчивость системы защиты в отношении этих атак. Такие методы тестирования эмулируют действия потенциальных злоумышленников, пытающихся взломать систему защиты. Основным средством тестирования являются сетевые сканеры, располагающие базами данных известных уязвимостей.
Метод «белого ящика» предусматривает составление программы тестирования на основании знаний о структуре и конфигурации объекта испытаний. В ходе тестирования проверяются наличие и работоспособность механизмов безопасности, соответствие состава и конфигурации системы защиты требованиям безопасности и существующим рисками. Выводы о наличии уязвимостей делаются на основании анализа конфигурации внедренных средств защиты и системного ПО, а затем проверяются на практике. Основной инструмент анализа — программные агенты средств анализа защищенности системного уровня, рассматриваемые ниже [12,22].
.4 Рекомендации к средствам анализа защищенности корпоративной сети
Арсенал программных средств, посредством которых анализируется защищенность АС, достаточно широк. При этом во многих случаях свободно распространяемые программные продукты ничем не уступают коммерческим.
Один из методов автоматизации процессов анализа и контроля защищенности распределенных компьютерных систем состоит в использовании технологии интеллектуальных программных агентов. Система защиты строится на архитектуре консоль / менеджер / агент. На каждую из контролируемых систем устанавливается программный агент, который выполняет соответствующие настройки ПО и проверяет их правильность, контролирует целостность файлов, своевременность установки пакетов программных коррекций, а также выполняет другие полезные задачи контроля защищенности АС. (Управление агентами реализуется по сети программой-менеджером) [11].
Менеджеры являются центральными компонентами подобных систем. Они посылают управляющие команды всем агентам контролируемого ими домена и сохраняют все данные, полученные от агентов в центральной базе данных. Администратор управляет менеджерами при помощи графической консоли, позволяющей выбирать, настраивать и создавать политики безопасности, анализировать изменения состояния системы, ранжировать уязвимости и т.п.
Все взаимодействия между агентами, менеджерами и управляющей консолью осуществляются по защищенному клиент-серверному протоколу.
Другим широко распространенным методом анализа защищенности является активное тестирование механизмов защиты путем эмуляции действий злоумышленника, предпринимающего попытки сетевого вторжения в АС. Для этих целей служат сетевые сканеры, эмулирующие действия потенциальных нарушителей. В основе работы сетевых сканеров лежит база данных, содержащая описание известных уязвимостей ОС, МЭ, маршрутизаторов и сетевых сервисов, а также алгоритмов попыток вторжения (сценариев атак). Таким образом, программные средства условно можно разделить на два класса. Первый класс, к которому принадлежат сетевые сканеры, иногда называют средствами анализа защищенности сетевого уровня. Второй класс, к которому относятся все остальные рассмотренные здесь средства, иногда называют средствами анализа защищенности системного уровня. Данные классы средств имеют свои достоинства и недостатки, а на практике взаимно дополняют друг друга[12].
Для функционирования сетевого сканера необходим только один компьютер, имеющий сетевой доступ к анализируемым системам, поэтому в отличие от продуктов, построенных на технологии программных агентов, нет необходимости устанавливать в каждой анализируемой системе своего (для каждой ОС) агента.
К недостаткам сетевых сканеров можно отнести большие временные затраты, необходимые для сканирования всех сетевых компьютеров из одной системы, и создание большой нагрузки на сеть. Кроме того, в общем случае трудно отличить сеанс сканирования от действительных попыток атак. Сетевыми сканерами также с успехом пользуются злоумышленники.
Системы анализа защищенности, построенные на интеллектуальных программных агентах, — потенциально более мощные средства, чем сетевые сканеры. Однако, несмотря на все их достоинства, обращение к программным агентам не может заменить сетевого сканирования, так что эти средства лучше применять совместно. Кроме того, сканеры представляют собой более простое, доступное, дешевое и во многих случаях более эффективное средство анализа защищенности.
3.5 Рекомендации по инвестициям в информационную безопасность организации
По статистике, самым большим препятствием на пути принятия каких-либо мер по обеспечению информационной безопасности в компании являются две причины:
ограничение бюджета;
отсутствие поддержки со стороны руководства.
Обе причины возникают из-за непонимания руководством серьезности вопроса и сложности задачи для ИТ-менеджера обосновать, зачем необходимо вкладывать деньги в информационную безопасность.
Но эта проблема кардинально меняется, в результате потери информации и руководство в срочном темпе начинает выделять нужные средства, уже после утери ценной информации.
Часто считается, что основная проблема заключается в том, что ИТ-менеджеры и руководители разговаривают на разных языках — техническом и финансовом, но ведь и самим ИТ-специалистам часто трудно оценить, на что потратить деньги и сколько их требуется для обеспечения большей защищенности системы компании, чтобы эти расходы не оказались напрасными или чрезмерными[24].
Если ИТ-менеджер четко представляет, сколько компания может потерять денег в случае реализации угроз, какие места в системе наиболее уязвимы, какие меры можно предпринять для повышения уровня защищенности и при этом не потратить лишних денег, и всё это подтверждено документально, то решение задачи убедить руководство обратить внимание и выделить средства на обеспечение информационной безопасности становится значительно более реальным.
3.6 Рекомендации к построению добавочной защиты
С учетом сказанного можно признать обоснованными следующие подходы к построению добавочных средств защиты для защищенных ОС (т.е. обладающих встроенными механизмами защиты):
—добавление механизмов защиты, отсутствующих в ОС, и усиление добавочными средствами штатных встроенных механизмов защиты;
—реализация всех механизмов защиты добавочными средствами и их применение наряду со встроенными механизмами.
Очевидно, что первому подходу присущи два недостатка: во-первых, невозможность решения концептуальных вопросов защиты информации, рассмотренных ранее, во-вторых, невозможность резервирования основных механизмов защиты. При этом к основным механизмами защиты от НСД относятся механизмы идентификации и аутентификации пользователя при входе в систему, а также механизмы управления доступом к ресурсам. Что касается второго подхода, то он, возможно, характеризуется некоторой избыточностью. Вместе с тем он позволяет в полном объеме решать рассматриваемые проблемы защиты информации.
В качестве замечания следует отметить, что, на наш взгляд, в критичных приложениях по изложенным ранее причинам недопустимо использование свободно распространяемых (не коммерческих) средств защиты, а также свободно распространяемых защищенных систем (в частности ОС) без применения средств добавочной защиты. Говоря же о средствах добавочной защиты, прежде всего следует иметь в виду использование коммерческих отечественных продуктов, сертифицированных по принятым требованиям информационной безопасности[20].
Особенности проектирования системы защиты на основе оценки защищенности системы Этапы проектирования системы защиты Задача проектирования системы защиты принципиально отличается от задач проектирования иных информационных систем. Дело в том, что проектирование осуществляется с учетом статистических данных об уже существующих угрозах. Однако в процессе функционирования системы защиты поле угроз может принципиально измениться. В частности, это связано с тем, что многие угрозы предполагают нахождение злоумышленниками ошибок в реализации системных и прикладных средств, которые могут быть неизвестны на момент создания системы защиты, но должны быть учтены в процессе ее функционирования. Поэтому проектирование системы защиты — процедура итерационная, в общем случае предполагающая следующие этапы, на рисунке 1:
—проектирование первоначальной системы защиты (исходный вариант);
—анализ защищенности на основе статистических данных, полученных в процессе эксплуатации системы защиты;
—модификация «узких мест» системы защиты (настройка / замена / дополнение отдельных механизмов защиты информации).
Рисунок 1 — Проектирование системы защиты
Методы проектирования системы защиты с избыточными механизмами защиты Необходимость избыточных механизмов в системе защиты Выше мы особо отмечали одну принципиальную особенность функционирования системы защиты. Суть ее заключается в том, что коэффициент защищенности непрерывно снижается в процессе функционирования защищенной системы. Это связано с накоплением информации злоумышленником о системе защиты, а также с накоплением статистики об ошибках реализации системных и прикладных средств.
Возникает следующая проблема. Если строить систему с требуемым уровнем защищенности (учитывающим текущую статистику угроз), то через небольшой промежуток времени функционирования защищаемой системы систему защиты потребуется проектировать вновь, что связано с большими накладными расходами. Поэтому ранее был сделан вывод о необходимости разработки системы защиты с учетом не только существующей статистики угроз, но и с учетом потенциально возможных (неизвестных) угроз.
Тем не менее, приходится учитывать тот факт, что наличие запаса по параметрам защищенности приводит к значительным накладным расходам, прежде всего, по параметрам производительности. Что касается стоимости, то лучше раз создать систему с избыточными механизмами защиты и заплатить изначально больше, чем практически сразу после ее внедрения вновь проектировать систему защиты, т.е. вновь оплачивать все расходы, связанные с этим проектированием, да еще думать об очередном ее внедрении в функционирующую систему, что, как правило, протекает весьма болезненно [20,22].
Из сказанного можем сделать важнейший вывод: с целью увеличения жизненного цикла системы защиты (без необходимости ее модификации) разработчикам следует ориентироваться не только на существующую статистику угроз, но и закладывать технические решения, позволяющие противодействовать неизвестным на момент проектирования системы защиты угрозам (потенциальным угрозам). Обратите внимание на принципиальную разницу между подходами резервирования и подходами включения избыточных механизмов. При резервировании механизмы защиты дублируются такими же механизмами (решают те же функциональные задачи), но реализуются иным способом. Резервный призван заменить основной механизм при выходе его из строя (при обнаружении его уязвимости к атакам). Что касается включения избыточных механизмов, то здесь рассматривается добавление новых механизмов с иными, чем у механизмов, реализованных в системе защиты, свойствами (решающих частично, либо полностью иные функциональные задачи). Другое дело, что данные возможности на первых этапах функционирования системы защиты могут быть не востребованными. Поэтому, чтобы не загружать излишне вычислительные ресурсы системы, их рекомендуется не активизировать — благодаря избыточным механизмам реализуется запас защищенности.
3.7 Рекомендации по информационной безопасности человеческих ресурсов
При разработке и внедрении защиты информационной безопасности автоматизированной системы организации большое внимание уделяется комплексу средств автоматизации деятельности человека, и гораздо меньше самому человеку. Но информационная безопасность средств автоматизации настолько развита, что позволяет заимствовать такие технологии как: антивирусная защита, межсетевое экранирование, системы обнаружения атак, написание защищенного кода, контроль целостности, защиту от DoS атак персоналу организации, как компонентам автоматизированной системы.
Ни для кого не секрет что сотрудники могут иметь уязвимости в понимании своих обязанностей, инструкций и важности информации с которой они работают. В определенный момент сотрудник может повести себя не так, как этого ожидает руководство. Иногда не правильно настроено взаимодействие между отделами. Таким образом, есть возможность проведения атаки на информацию через человека как компонента автоматизированной системы организации. Эксплуатация уязвимостей, распространение вредоносных V-программ, манипуляция действиями (считаем троянской программой) — все эти действия можно совершать над человеком. Например, распространение внутри организации информационного вируса с негативом о руководителе, с мифом о скором закрытии организации, о плохих условиях работы по сравнению с конкурентами, с негативом о партнерах организации[35].
Особую проблему безопасности для корпоративной информации составляют инсайдеры. Инсайдер — член какой-либо группы людей, имеющей доступ к информации, недоступной широкой публике. Термин используется в контексте, связанном с секретной, скрытой или какой-либо другой закрытой информацией или знаниями: инсайдер — это член группы, обладающий информацией, имеющейся только у этой группы. Учесть риск среди инсайдерства довольно сложно, обычно этот контингент составляют люди специально устроенные в организацию, сотрудники затаившие обиду на руководителей предприятия, и сотрудники разглашающие закрытые сведения из-за незнания этого.
Среди главных причин прерывания деятельности компании были названы отказы в работе вычислительного оборудования и программного обеспечения (56%), а также средств связи (49%). Около четверти всех отказов было вызвано ошибками в обращении с системой, техническими характеристиками системы и сбоями в работе третьих лиц.
В настоящее время вопросы анализа защищенности корпоративных АС хорошо проработаны. Имеется богатый арсенал средств и методов для проведения подобных мероприятий. Отработанные методики проведения обследования (аудита) безопасности АС в соответствии с проверенными критериями, утвержденными в качестве международных стандартов, делают возможным получение исчерпывающей информации о свойствах АС, имеющих отношение к безопасности. На практике анализ защищенности АС проводится при помощи мощного программного инструментария, в достаточном объеме представленного на рынке средств защиты информации. Поскольку полностью исключить возможность отказа или некорректной работы техники невозможно, решение заключается в том, чтобы обнаруживать проблемы на наиболее ранних стадиях, и получать о них наиболее подробную информацию. Для этого, как правило, применяется различное ПО мониторинга и контроля сети, которое способно как своевременно оповещать технических специалистов об обнаруженной проблеме, так и накапливать статистические данные о стабильности и других параметрах работы серверов, сервисов и служб, доступные для подробного анализа
Для достижения наибольшей эффективности средства защиты должны адекватно защищать информацию, в соответствии с ее ценностью в корпорации. Недостаточная изученность вопросов количественной оценки ценности информации в современной науке не дает возможности оценки и обоснования необходимых затрат на построение систем защиты информационных и телекоммуникационных систем, обоснованных моментах их приложения и составе защитных функций. Одновременно, такая ситуация приводит к растущим затратам на компенсацию действия угроз безопасности информации ТКС и ИТ.
Заключение
В сфере информационной безопасности оценка рисков играет такую же первостепенную роль, как и во всех других областях человеческой деятельности. Из-за неадекватной оценки рисков, связанных с осуществлением угроз информационной безопасности в современном высокотехнологичном обществе, государство, организации и отдельные личности несут весьма ощутимый ущерб, подсчитать который вряд ли кому-либо удастся.
Величина риска определяется вероятностью успешного выполнения угрозы и величиной ущерба, который в результате будет нанесен. Возможный ущерб далеко не всегда может быть выражен в денежных единицах, а вероятность успешной реализации угрозы вообще не поддается точной оценке. Поэтому наши оценки рисков весьма приблизительны. Их точность зависит от того, насколько хорошо мы ориентируемся в текущей ситуации, правильно ли представляем себе природу и способы реализации угроз, а также от нашей способности анализировать и оценивать их последствия.
Разработанная модель на основе методики Microsoft позволяет снизить риски для предприятия, тем самым сохранив денежные средства на восстановление в случае отказа или перебоя в работе средств информационно обработки информации предприятия, а также выработать рекомендации по обеспечению (повышению) информационной безопасности компании. В том числе снизить потенциальные потери компании путем повышения устойчивости функционирования корпоративной сети, разработать концепцию и политику безопасности компании. Также рассмотренная методика позволяет предложить планы защиты конфиденциальной информации компании, передаваемой по открытым каналам связи, защиты информации компании от умышленного искажения (разрушения), несанкционированного доступа к ней, ее копирования или использования.
Одним из важных этапов построения системы IT-безопасности является создание эффективного механизма управления рисками, что позволит принимать обоснованные решения в данном направлении. Хотелось бы отметить, что мероприятия по IT-безопасности могут накладывать ограничения, но надо четко представлять себе необходимость данных ограничений и пытаться находить компромиссы.
Ни одна из методик не предлагает оценку рисков в корпоративной среде предприятия, кроме методики от Microsoft. Современный бизнес диктует скорость развития бизнеса, как с экономической, так и с технической стороны. Любая средняя организация имеет как минимум два удаленных офиса.
Необходимая степень конкретизации деталей зависит от уровня зрелости организации, специфики ее деятельности и ряда других факторов. Таким образом, невозможно предложить какую-либо единую, приемлемую для всех отечественных компаний и организаций, универсальную методику, соответствующую определенной концепции управления рисками. В каждом частном случае приходится адаптировать общую методику анализа рисков и управления ими под конкретные нужды предприятия с учетом специфики его функционирования и ведения бизнеса. Рассмотрим сначала типичные вопросы и проблемы, возникающие при разработке таких методик, возможные подходы к решению этих проблем, а затем обсудим примеры адаптации и разработки соответствующих корпоративных методик.
Список литературы
1Обзор системы анализа рисков CRAMM [сайт] URL:#»justify»>2Обзор системы анализа рисков ГРИФ [сайт] URL:#»justify»>Обзор системы анализа рисков для корпоративных сетей и управления ими [сайт] URL:#»justify»>Обзор системы анализа рисков Microsoft expert [сайт] URL:#»justify»>Обзор системы анализа и управления рисками [сайт] URL:#»justify»>Обзор системы учета, управления и анализа рисков предприятия [сайт] URL:#»justify»>Обзор систем анализа [сайт] #»justify»>Обзор систем и учета рисков для корпоративных сетей предприятия CRAMM, FRAP, RiskWatch [сайт] #»justify»>9Балашов П.А., Кислое Р.И., Безгузиков В.П. Оценка рисков информационной безопасности на основе нечеткой логики // Безопасность компьютерных систем. Конфидент. 2007. №5. С. 56-59.
Биячуев Т.А. / под ред. Л.Г. Осовецкого Безопасность корпоративных сетей. — СПб.:изд-во СПб ГУ ИТМО, 2006. — 161 с.
11Гладких А.А., В.Е. Дементьев / Базовые принципы информационной безопасности вычислительных сетей: учебное пособие для студентов; — Ульяновск: изд-во УлГТУ, 2009. — 168 с.
12Кононов А.А. Автоматизация построения профилей защиты с использованием комплексной экспертной системы «АванГард».
Оголюк А.А., А.В. Щеглов / Технология и программный комплекс защиты рабочих станций. — М.: изд-во Финансы и статистика, 2007 г. — 280 с.
14Петренко С.А., Симонов С.В. /Управление информационными рисками. Экономически оправданная безопасность — М. 2005. — 384 с.:
15Расторгуев С.П. Об обеспечении защиты АИС от недокументированных возможностей программного обеспечения // Конфидент. Защита информации. — №2. — 2005. — С. 26-29.
16Романец Ю.В., Тимофеев П.А., Шаньгин В.Ф. Защита информации в компьютерных системах и сетях. — М.: Радио и связь, 2005.
Саати Т. Принятие решений: метод анализа иерархий. — М: Радио и связь, 1993.
Сабынин В.Н. Давайте говорить на одном языке // Системы безопасности. — №1. — 2001.
Сардак И.Г. Борьба с экономическими преступлениями выходит на новый уровень // Системы безопасности связи и телекоммуникаций. — №3. — 2003.
20Симонов С.В. Методология анализа рисков в информационных системах // Защита информации. Конфидент. 2001. №1. C. 72-76.
21Симонов С.В. Анализ рисков в информационных системах. Практические аспекты // Конфидент. Защита информации. — №2. — 2001. — С. 48-53.
22Симонов С.В. Анализ рисков, управление рисками //Jet Info. — №1. — 1999.
Симонов С.В. Аудит безопасности информационных систем //Jet Info. — №9. — 1999.
Симонов С.В. Методология анализа рисков в информационных системах // Конфидент. Защита информации. — №1. — 2008. — С. 72-76.
Симонов С.В. Технологии аудита информационной безопасности // Конфидент. Защита информации. — №2. — 2006. — С. 36-41.
Симонов С.В. Технологии и инструментарий для управления рисками //Jet Info.- №1. — 2004.
27Староверов Д. Конфликты в сфере безопасности. Социально-психологические аспекты защиты // Системы безопасности связи и телекоммуникаций. — №6. — 2001.
28Староверов Д. Оценка угроз воздействия конкурента на ресурсы организации // Конфидент. Защита информации. — №2. — 2005. — С. 58-62.
Сырков Б. Компьютерная преступность в России. Современное состояние // Системы безопасности связи и телекоммуникаций. — №4. — 2007.
Трубачев А.П., Долинин М.Ю., Кобзарь М.Т., Сидак А.А., Сороковиков В.И. Оценка безопасности информационных технологий / Под общ. ред. В.А. Галатенко. — М.: Издательство СИП РИА, 2008.
Турский А., Панов С. Защита информации при взаимодействии корпоративных сетей в Internet // Конфидент. Защита информации. — №5. — 2008. — С. 38-43.
Шпак В.Ф. Методологические основы обеспечения информационной безопасности объекта // Конфидент. Защита информации. — №1. — 2000. — С. 75-86.
Шумский А.А., Системный анализ в защите информации / А.А. Шумский, А.А. Шелупанов. — М.: Гелиос АРВ, 2008. — 224 с.
34Щеглов А.Ю. / Защита информации он несанкционированного доступа. — М.: изд-во Гелиос АРВ, 2005. — 384 с.