Исследование и разработка мероприятий по организации защиты информации на предприятии
Дипломная работа - Компьютеры, программирование
Другие дипломы по предмету Компьютеры, программирование
рмации для домашнего компьютера). С другой стороны, вероятность реализации угрозы может быть достаточно велика, но стоимость потерь при реализации - столь мала, что нейтрализация данной угрозы потребует большие финансовые затраты, чем возможные потери при реализации.
С точки зрения собственника информации, основными показателями, связанными с угрозами ИБ и влияющими на степень их опасности для АС, является вероятность их реализации, а также возможный ущерб владельцам или пользователям информации. Комплексный показатель, объединяющий эти два показателя - риск информационной безопасности.
Под риском информационной безопасности будем понимать возможные потери собственника или пользователя информации и поддерживающей инфраструктуры связанные с реализацией некоторой угрозы. SP 800-30. Риск (R) - функция вероятности (P) реализации отдельным источником угрозы (T) отдельной потенциальной уязвимости (V) и результирующего влияния (I) этого враждебного события на организацию или индивида.
(3.6)
Согласно принципу разумной достаточности, риски в АС присутствуют всегда, их можно только понижать, не устраняя в принципе (даже ГОСТ можно взломать полным перебором, DES в США как раз и заменили на AES в связи с тем, что риски при его использовании стали очень велики).
Некоторые из возможных потерь для собственника информации являются приемлемыми, другие нет, поэтому для специалиста по ИБ очень важно выделить множество неприемлемых рисков. Кроме этого, для эффективности управления ИБ, важно знать, какие риски необходимо понижать в первую очередь. Вообще говоря, для специалиста по ЗИ очень актуально решение следующей задачи:
ПОСТАНОВКА ЗАДАЧИ (*)
Задано множество рисков ИБ для АС, выделенных на этапе идентификации рисков. Необходимо выделить подмножество неприемлемых рисков, а также задать на множестве отношение порядка , по отношении к величине рисков.
С точки зрения понятия риска ИБ, можно достаточно прозрачно определить такие понятия, как эффективность СЗИ и эффективность контрмеры. Можно сравнивать возможные варианты реализации СЗИ по своей эффективности. Можно определить такие экономические показатели, как коэффициент возврата инвестиций в ИБ (ROI).
Эффективность СЗИ (без учета затратной составляющей) логично определить через уровень остаточных рисков АС. Чем меньше уровень остаточных рисков, тем эффективнее работа СЗИ. То есть если риск при использовании СЗИ1 равен R1, а при введении СЗИ2 равен R2, то СЗИ1 эффективнее СЗИ2, если R1<R2
Эффективность контрмеры (без учета затратной составляющей) логично определить через достигнутый путем ее реализации уровень снижения остаточных рисков.
(3.7)
где - величина остаточных рисков до реализации контрмеры, - величина остаточных рисков после реализации контрмеры. То есть если уровень снижения риска при внедрении контрмеры С1 равен DR1, а при внедрении С2 равен DR2, то С1 эффективнее С2, если DR1>DR2
Эффективность контрмеры с учетом затратной составляющей можно определить через коэффициент возврата инвестиций ROI.
(3.8)
где СКонтрмеры - величина затрат на реализацию контрмеры. Большему ROI соответствуют более эффективные контрмеры. Актуальнее:
(3.9)
Введение меры риска позволяет также ставить перед специалистами по ИБ различные оптимизационные задачи, разрабатывать соответствующие им стратегии управления рисками. Например:
выбрать вариант подсистемы информационной безопасности, оптимизированной по критерию стоимость-эффективность при заданном уровне остаточных рисков;
выбрать вариант подсистемы информационной безопасности, при котором минимизируются остаточные риски при фиксированной стоимости подсистемы безопасности;
выбрать архитектуру подсистемы ИБ с минимальной стоимостью владения на протяжении жизненного цикла при установленном уровне остаточных рисков.
Большинство технологий управления рисками ИБ организаций включают в себя следующие этапы:
Идентификацию рисков.
Оценивание (измерение) рисков.
Анализ рисков (с выбором допустимого уровня рисков).
Управление рисками, направленное на их снижение.
Технология управления рисками - это непрерывный циклический процесс (непрерывно повторяются этапы 1-4-1).
В методике оценке рисков NIST SP 800-30 Risk Management Guide for Information Technology Systems методология оценки рисков ИБ разложена на девять основных шагов:
Шаг 1 - Определение характеристик системы (сбор информации о системе).
Шаг 2 - Определение уязвимостей.
Шаг 3 - Определение угроз.
Шаг 4 - Анализ мер безопасности.
Шаг 5 - Определение вероятности.
Шаг 6 - Анализ влияния.
Шаг 7 - Определение риска.
Шаг 8 - Выработка рекомендаций.
Шаг 9 - Документирование результатов.
Шаги 2, 3, 4 и 6 могут выполняться параллельно, по выполнению действий Шага 1 (рис 3.1).
Создание 100% надежной системы защиты информации невозможно в принципе, в любых случаях остается ненулевая возможность реализации какой-либо угрозы либо уязвимости. Любая система защиты информации может быть взломана, это вопрос времени. Поэтому бесконечно вкладывать деньги в обеспечение ИБ бессмысленно, необходимо когда-то остановиться. Согласно принципу разумной достаточности, стойкость СЗИ считается достаточной, если время взлома злоумышленником СЗИ превосходит время старения информации (либо некоторый разумный предел), либо стоимость взлома системы защиты информации пре