Разработка модели оценки рисков информационной безопасности корпоративной сети
Дипломная работа - Компьютеры, программирование
Другие дипломы по предмету Компьютеры, программирование
тороны, при падении домена, сеть оказывается полностью не работоспособной.
Доменная структура сложна в настройке, но ее производительность того стоит. Для сетей с небольшим количеством компьютеров доменная организация не имеет смысла.
Не все системы учета рисков не предлагают выделить системы защиты по ступеням, то есть от технической защите к программной, то есть самой теоретически стойкой к взлому.
Большинство организаций среднего размера, и покупка очень дорогостоящего средства учета рисков просто не по карману предприятию. Следует учитывать тот факт, что и то, количество информации, которая является коммерческой тайной ее не очень большое количество.
Необходимая степень конкретизации деталей зависит от уровня зрелости организации, специфики ее деятельности и ряда других факторов. Таким образом, невозможно предложить какую-либо единую, приемлемую для всех отечественных компаний и организаций, универсальную методику, соответствующую определенной концепции управления рисками. В каждом частном случае приходится адаптировать общую методику анализа рисков и управления ими под конкретные нужды предприятия с учетом специфики его функционирования и ведения бизнеса. Рассмотрим сначала типичные вопросы и проблемы, возникающие при разработке таких методик, возможные подходы к решению этих проблем, а затем обсудим примеры адаптации и разработки соответствующих корпоративных методик.
Таким образом, учет рисков должен быть:
недорогостоящим;
профильными;
эффективным;
масштабируемым;
управляемым;
легко адаптируемым к системе;
учитывать все особенности построенной сети.
Компания может приобрести лучшие технологии по безопасности, какие только можно купить за деньги, натренировать своих людей так, что они станут прятать все свои секреты, прежде чем пойти ночью домой, и нанять охранников в лучшей охранной фирме на рынке. Но эта компания всё ещё остаётся полностью уязвимой.
Сами люди могут полностью следовать лучшей практике по безопасности, рекомендованной экспертами, по-рабски устанавливать каждый вновь появившийся рекомендованный программный продукт по безопасности и тщательно следить за конфигурацией своей системы и следить за выпуском патчей. Но и они всё равно полностью уязвимы.
2. Разработка модели оценки рисков БКИ
.1 Методики разработки оценки рисков для корпоративной сети
Информационные риски - это опасность возникновения убытков или ущерба в результате применения компанией информационных технологий. Иными словами, IT-риски связаны с созданием, передачей, хранением и использованием информации с помощью электронных носителей и иных средств связи.
В спорах на тему оценки информационных рисков или экономического обоснования инвестиций в информационную безопасность сломано немало копий. В настоящее время идет активное накопление данных, на основании которых можно было бы с приемлемой точностью определить вероятность реализации той или иной угрозы. К сожалению, имеющиеся справочники опираются на зарубежный опыт и потому с трудом применимы к российским реалиям. К тому же определение величины стоимости информационного ресурса (будь то физический сервер или файлы и записи СУБД) тоже зачастую затруднено. К примеру, если владелец ресурса может назвать стоимость оборудования и носителей и его амортизацию, то указать точную стоимость находящихся в его ведении данных он практически никогда не в состоянии. Поэтому наиболее распространенной остается качественная оценка информационных рисков, когда при отсутствии точных данных значения параметров устанавливает проводящий анализ рисков эксперт [27,28].
Анализ рисков для каждого предприятия индивидуален. Индивидуальность обеспечивает первый параметр - размер ущерба. Ведь он связан как с самими информационными ресурсами, так и с оценкой их важности, которая уникальна у каждой организации.
Вот какие требования предъявляются к специалисту, который производит оценку рисков, например, в стандарте BS 7799:3 (Руководство по управлению рисками информационной безопасности):
-понимание бизнеса и риск-аппетита (готовности принять данный уровень риска в процессе получения прибыли);
-понимание концепции риска;
-понимание угроз и уязвимостей;
-понимание типов контрольных механизмов (контролей) информационной безопасности;
-навыки использования методик оценки рисков;
-аналитические способности;
-способность определять необходимые контактные лица;
-коммуникабельность.
Как видно из этого списка, умение оперировать угрозами и уязвимостями не занимает первое место и не является единственным навыком.
Наиболее сложным аспектом, который сильно влияет на увеличение стоимости работ по анализу рисков, оказывается необходимость понимания бизнеса. К сожалению, даже собственные подразделения ИТ и безопасности предприятия не всегда обладают достаточными знаниями. Поэтому очень важно определить, как будут выполняться работы по оценке рисков - своими силами или внешним консультантом. Несмотря на высокую стоимость услуг, часто целесообразнее отдать предпочтение второму варианту, если, конечно, руководство организации заинтересовано в реальном результате [27,30].
Как известно, система управления информационной безопасностью в целом и анализ рисков в частности - это не разовое мероприятия, а динамическая, развивающаяся система со своим жизненным циклом. Эт