Разработка модели оценки рисков информационной безопасности корпоративной сети
Дипломная работа - Компьютеры, программирование
Другие дипломы по предмету Компьютеры, программирование
?зации, но на следующем цикле анализа рисков будут оценены. Все данные, важные с точки зрения управления рисками, моделируются [128,30].
На основе оценок риска выбираются необходимые методы и средства управления информационной безопасностью. Для нашего примера: если величина и возможность убытков для риска Утечка информации о клиентах к конкурентам достаточно велика, целесообразно наметить мероприятия по минимизации риска - планирование процесса оперативного обновления ПО (установка заплаток), формирование регламентов доступа к информации о клиентах, внедрение средств защиты от утечек конфиденциальных данных и т.д.
Цель процесса планирования мероприятий по минимизации рисков - определение сроков и перечня работ по исключению или сведению к минимуму ущерба в случае реализации риска. Данный процесс позволяет сформулировать кто, где, когда и какими ресурсами будет минимизировать определенные риски. Результатом (выходом) процесса планирования является план-график работ по исключению или минимизации ущерба от реализованного риска. Например, До 10.10.10 установить пакет обновлений Service Pack 2 для операционной системы Windows XP на все рабочие станции компании. Ответственный: Иванов И.И..
Практика показывает, что большинство мероприятий находится в плоскости организационных решений, тогда как технические меры защиты не являются превалирующими. В дальнейшем необходимо производить агрегацию мероприятий для того, чтобы одно мероприятие закрывало несколько рисков одновременно, что минимизирует затраты и требует меньше ресурсов для контроля [10,11].
Однако большинство компаний начинает установку технических решений без предварительной оценки рисков, определения целей IT-безопасности и ее влияния на бизнес-процессы, что приводит к отрицательному влиянию на бизнес-процессы и потере контроля над ними.
Можно установить в компании различные средства сетевой защиты, контроля физического доступа и т.п., после чего пребывать в спокойном состоянии, считая, что все необходимые меры по обеспечению IT-безопасности приняты. Однако вскоре конфиденциальная информация опять оказывается у конкурентов или сотрудник случайно стирает материалы проекта[16].
Эти факты показывают, что проблема IT-безопасности является не только технической, но и управленческой. Большинство рисков можно минимизировать управленческими решениями, рассматривая данные риски в качестве операционных, а остальные риски минимизировать программными и аппаратными средствами.
Мало понять, что, как и когда делать, однако требуется реализовать все запланированное точно в срок. Поэтому целью процесса реализации мероприятий становится выполнение запланированных мероприятий по минимизации рисков, контроль качества полученных результатов и сроков их выполнения. Итог данного процесса - выполненные работы по минимизации рисков и время их проведения. Целесообразно спланировать свою деятельность на случай возникновения критической ситуации или риска. Введение в действие процессов, предусмотренных на экстренный случай, позволит не допустить убытки или минимизировать их, а также возобновить хозяйственную деятельность как можно быстрее[15].
Основная сложность - не создать план-график (поскольку подобная работа связана с анализом рисков и формированием мероприятий, необходимых для его минимизации и предотвращения), а выполнять план-график, выделяя финансовые ресурсы, назначая и мотивируя ответственных за конкретные мероприятия.
Однако, определяя мероприятия, надо все время помнить: IT-безопасность должна гарантировать, что будут достигнуты следующие цели.
Во-первых, конфиденциальность информации, критически важной для организации или для принятия решения. Во-вторых, целостность информации и связанных с ней процессов (создания, ввода, обработки и вывода). В-третьих, оперативная доступность информации в любой момент времени. В-четвертых, возможность накопления информации, т.е. сохранения предшествующих вариантов. В-пятых, учет всех процессов, связанных с информацией.
Во многих компаниях системы информационной безопасности строятся по принципу все запретить, что вызывает неудобства в работе сотрудников, а самое важное - может служить причиной замедления развития компании, поскольку корпоративные знания перестают быть доступными. Необходимо найти золотую середину между ограничениями, связанными с мероприятиями IT-безопасности, и свободой обмена информацией внутри и вне компании. Главное, чтобы безопасность из средства не превратилась в цель. Часто вместо того, чтобы придерживаться принципа, подразумевающего сохранение текущей ситуации всегда, когда это допустимо, сотрудники, отвечающие за IT-безопасность, занимают формальную позицию и по максимуму минимизируют возможности пользователей.
Как правило, большое количество запретительных мероприятий порождает способы обмена информацией в обход защищенных каналов, что сводит все усилия по обеспечению защиты данных к нулю, то есть бизнес-процессы компании перестраиваются, обходя все запретительные мероприятия.
Следующий цикл анализа рисков позволяет определить, какие мероприятия эффективны для минимизации и предотвращения рисков, а какие нет. На основе анализа эффективности можно корректировать понимание риска, его оценки и требуемых действий. Кроме того, анализ эффективности предоставит возможность увидеть минимизацию параметров уязвимости и ущерб для всех рисков, что в цел