Методические рекомендации по формированию требований к обеспечению информационной безопасности информационных систем и ресурсов города Москвы Москва, 2006 г

Вид материалаМетодические рекомендации
3.6. Применение критериев оценки риска в модели обеспечения ИБ
4. Рекомендации по определению уровня ИБ 4.1. Программирование уровня ИБ
Подобный материал:
1   ...   6   7   8   9   10   11   12   13   ...   19

3.6. Применение критериев оценки риска в модели обеспечения ИБ


Обоснование выбора методов и средств обеспечения защиты информации, а также разработка соответствующих методик оценки уровня защищенности, рациональной структуры СЗИ и др. могут быть основаны на общепринятой идеологии минимизации общего потенциального ущерба от компрометации, утраты или искажения информации при наличии ограничений на расходы по реализации требуемых защитных мероприятий. Определение концептуальных подходов решения задачи на основе методологии анализа информационных рисков приведено в отчете /22/.

Методология минимизации ущерба применима в МОИБ комплексов городского хозяйства и территориального управления Москвы, где решены задачи определения и оценки ценности защищаемых информационных ресурсов с учетом требований организационного обеспечения ИБ раздела 1.

Суть работы по управлению рисками состоит в том, чтобы оценить их размер, выработать меры по уменьшению этого размера и затем убедиться, что риски заключены в приемлемые рамки. Таким образом, управление рисками включает в себя два вида деятельности:
  • оценку (измерение) рисков;
  • выбор эффективных и экономичных защитных механизмов.

Пример алгоритма оценки информационных рисков приведен на
рис. 3.1.

Управление рисками - процесс итерационный. Практически все его этапы связаны между собой, и по завершении почти любого из них может выявиться необходимость возврата к предыдущему. Так, при идентификации предмета защиты может появиться понимание, что выбранные границы анализа следует расширить, а степень детализации - увеличить. Особенно труден первичный анализ, когда многократные возвраты к началу неизбежны.

В качестве необходимого инструментария обеспечения функции управления информационными рисками в комплексах городского хозяйства Москвы должны использоваться системы поддержки принятия решений (экспертные системы) и системы моделирования. Средства СЗИ включающие данный инструментарий предназначаются для должностных лиц органов власти города, ответственных за планирование обеспечения ИБ.





Рис. 3.1 Алгоритм формирования оценки информационных рисков



Для реализации принципов минимизации рисков на уровне администраторов безопасности следует применять автоматизированные средства контроля и исследования защищенности АС (выполнения нормативов политики безопасности, тестирования и анализа защищенности). В целях минимизации рисков реализации сетевых атак часть средств контроля защищенности должна работать в режиме реального времени под управлением оператора Центра мониторинга событий информационной безопасности ИСиР.

4. Рекомендации по определению уровня ИБ

4.1. Программирование уровня ИБ


Уровень ИБ определяется совокупностью предъявляемых и реализованных требований по защите ИСиР, которые устанавливаются адекватно задачам обеспечения ИБ с использованием как ряда общенаучных методов, связанных с оптимизацией плановых решений, так и моделей ИБ настоящих Методических рекомендаций. Наиболее приемлемыми методами оптимизации плановых решений для целей программирования необходимого уровня ИБ АС являются:
  • - метод последовательных приближений, суть которого состоит в определении общей задачи, а затем последовательное определение задач второго порядка, детализация которых приводит к нахождению задач третьего порядка и т.д. Метод применим при разработке требований ИБ их композиции и декомпозиции;
  • балансовый метод, который позволяет осуществлять согласованность целей с имеющимися ресурсами. Его сущность в удовлетворении потребностей задач обеспечения ИБ, исходя из наличных возможностей;
  • метод вариантов, заключающийся в разработке нескольких вариантов плановых решений и выборе наилучшего из них.

Достаточность уровня ИБ для конкретной АС определяет ее владелец в ходе планирования задач выполнения требований ИБ.

На современном уровне информатизации органов исполнительной власти города Москвы применение методов оптимизации плановых решений обуславливает реализацию планов обеспечения ИБ ИСиР основанных на двухуровневой МОИБ, формализующей способы достижения необходимого - рационального уровня ИБ, который характерен для большинства объектов информатизации Правительства Москвы.

В соответствии с МОИБ все ИСиР должны быть разбиты на две части, к первой из которых отнесены АС, содержащие конфиденциальную информацию, а ко второй – все остальные АС.

В основу метода определения необходимого уровня ИБ положены принципы минимальной достаточности, дискретности, выраженные в установлении, в зависимости от действующих ограничений (категория информации и др.), пороговых - базовых уровней защиты ИСиР и возможности их наращивания по требованию заказчика.

Оценка базовых уровней ИБ определяется по требованиям /18/ с использованием показателей WБОИ (показатель уровня защищенности базового открытой информации) и WБКИ (показатель уровня защищенности базового конфиденциальной информации). Требования ИБ для оценки показателей базового уровня приведены в приложении 4.

Владелец ИСиР может усилить защиту, включив в состав мер определяющих показатель WБi , дополнительные требованиями по ИБ. При этом в процессе формирования необходимого уровня ИБ следует учитывать следующие факторы:
  • характер обрабатываемой информации (ограничение доступа, объем и интенсивность обработки информации);
  • технологические особенности информации (структурированность, стабильность, масштаб обработки);
  • характеристики АС (вычислительные мощности, территориальная распределенность, структурированность компонентов);
  • условия функционирования АС (компактность расположения, обустроенность);
  • организация работы АС (выполнение нормативов на создание и применение, укомплектованность кадрами и документацией, уровень подготовки и дисциплины персонала).

Моделирование процессов обеспечения ИБ на объекте информатизации дает владельцу ИСиР более точное представление о достаточном уровне ИБ, способах достижения базового уровня и целесообразности его наращивания на основании специфики моделей угроз и имеющихся ресурсов на создание защиты АС адекватной действующему полю угроз.

В результате программирования уровня ИБ на основании МОИБ и методик оценки класса защищенности, описанных в настоящем разделе, могут формироваться классы АС соответствующие требованиям базового уровня ИБ ИСиР.