|
|
Затраты на ИТ-защиту: ищем золотую середину
Оценка оптимального уровня инвестиций в информационную безопасность компании представляет собой комплексную задачу, для решения которой необходимо использовать программные комплексы анализа и контроля информационных рисков. Потенциальный ущерб Анализ информационных рисков представляет собой комплексную оценку защищенности информационной системы, окончательным результатом которой является получение количественных или качественных показателей рисков. При этом риск это вероятный ущерб, который зависит от защищенности системы. Таким образом, на выходе алгоритма анализа риска можно получить ту сумму, которую в среднем будет терять предприятие при заданной органицазии ИБ. Необходимость вложений в обеспечение информационной безопасности сегодня не вызывает сомнений, однако оценка уровня инвестиций, адекватного возможным угрозам, является сложной задачей. Согласно отчету ФБР США за 2003 год, в основе которого лежит опроса 530 американских компаний (средний и крупный бизнес), до 70% из них подвергались не только потенциальным рискам, но и реальным атакам. Подвергалась ли компания атакам? Источник: ФБР США, 2003 год Максимальными по размеру экономического ущерба являются потери от кражи корпоративной информации, которые оцениваются ФБР более 70 млн. долл. На втором месте простои, обходящиеся порядка 65-65 млн. долл. На третьем убытки от вирусов, составляющие более 27 млн. долл. Структура ущерба от основных уязвимостей ИБ, $ млрд. Источник: ФБР США, 2003 год
Современные методы анализа рисков различаются по используемому подходу; обычно условно выделяется анализ рисков базового и полного уровня. Для анализа рисков базового уровня достаточно проверить риск невыполнения требований общепринятого стандарта безопасности (обычно ISO 17799, либо комплексные системы разработки и управления политикой безопасности информационной системы) с получением на выходе качественной оценки уровня рисков (высокий, средний, низкий). Наиболее подробно следует рассмотреть полный анализ информационных рисков. Именно эта тема вызывает наибольшее количество дискуссий, так как с анализом рисков базового уровня существенных вопросов обычно не возникает. Основное отличие полного анализа рисков от базового состоит в необходимости построения полной модели анализируемой информационной системы. Модель должна включать: виды ценной информации, объекты ее хранения; группы пользователей и виды доступа к информации; средства защиты (включая политику безопасности), виды угроз. Модель анализа информационной системы После моделирования необходимо перейти к этапу анализа защищенности построенной полной модели информационной системы. На этом этапе возникает целый пласт теоретических и практических проблем, с которыми сталкиваются разработчики алгоритмов анализа риска полного уровня. Прежде всего возникает вопрос, как алгоритмически (без эксперта) оценить защищенность информационной системы (заметим, что речь не идет о сканировании конкретных уязвимостей в конкретном применяемом программном обеспечении таких систем анализа риска не существует). Следующие проблемы алгоритмическое определение всех классов уязвимостей в системе защиты анализируемой системы и оценка ущерба от всех существующих в системе угроз безопасности. Наиболее сложная проблема: риск категория сугубо вероятностная как оценить вероятность реализации множества угроз информационной системы? Выбор пути При создании алгоритма современного анализа рисков необходимо решить весь перечисленный выше спектр проблем. На сегодняшний день из существующих и реально использующихся на практике программных комплексов анализа и контроля информационных рисков можно выделить британский CRAMM (компания Insight Consulting), американский RiskWatch (компания RiskWatch) и российский ГРИФ (компания Digital Security). CRAMM
В настоящее время CRAMM это довольно мощный и универсальный инструмент, позволяющий, помимо анализа рисков, решать также и ряд других аудиторских задач, включая:
В основе метода CRAMM лежит комплексный подход к оценке рисков, сочетая количественные и качественные методы анализа. Метод является универсальным и подходит как для больших, так и для мелких организаций, как правительственного, так и коммерческого сектора. Версии программного обеспечения CRAMM, ориентированные на разные типы организаций, отличаются друг от друга своими базами знаний (profiles). Для коммерческих организаций имеется Коммерческий профиль (Commercial Profile), для правительственных организаций Правительственный профиль (Government profile). Правительственный вариант профиля, также позволяет проводить аудит на соответствие требованиям американского стандарта ITSEC («Оранжевая книга»). Одним из наиболее важных результатов, которые можно получить при использовании метода CRAMM, является возможность экономического обоснования расходов организации на обеспечение информационной безопасности и непрерывности бизнеса. Экономически обоснованная стратегия управления рисками позволяет, в конечном итоге, экономить средства, избегая неоправданных расходов. CRAMM предполагает разделение всей процедуры на три последовательных этапа. Задачей первого этапа является ответ на вопрос: «Достаточно ли для защиты системы применения средств базового уровня, реализующих традиционные функции безопасности, или необходимо проведение более детального анализа?» На втором этапе производится идентификация рисков и оценивается их величина. На третьем этапе решается вопрос о выборе адекватных контрмер. Методика CRAMM для каждого этапа определяет набор исходных данных, последовательность мероприятий, анкеты для проведения интервью, списки проверки и набор отчетных документов. К недостаткам метода CRAMM можно отнести следующее:
RiskWatch
К недостаткам RiskWatch можно отнести:
ГРИФ
Итоговая оценка ГРИФ основывается на комплексе параметров, которые определяются, прежде всего, защищенностью анализируемого объекта: анализируются как технологические аспекты защищенности (включая учет требований стандартов Good Practice, ISO 15408 и др., и таких важных с точки зрения реального проникновения моментов, как нахождение в одном сегменте, действия хакера через наименее защищенный объект взаимодействия и т.д.,) так и вопросы комплексной безопасности согласно ISO 17799 (организация, управление, администрирование, физ. безопасность и т.д.). К недостаткам системы ГРИФ можно отнести:
Таким образом, для анализа и получения адекватных оценок защищенности информационной системы, оценки необходимых затрат на информационную безопасность, получения максимальной эффективности этих затрат, на сегодняшний день на рынке представлен ряд инструментов, позволяющих Илья Медведовский, к.т.н. Мишель Мур: Руководство обязано обеспечить эффективность контрольных процедурВ интервью CNews.ru эксперты компании «Эрнст энд Янг» рассказали об аудите систем информационной безопасности, методах и средствах анализа и управления рисками. На вопросы корреспондента ответили Мишель Мур, партнер компании «Эрнст энд Янг», руководитель отдела услуг по информационным технологиям и компьютерной безопасности, и Николай Петров, CISSP, менеджер отдела услуг по информационным технологиям и компьютерной безопасности. CNews.ru: Какие области, на ваш взгляд, требуют наибольшего внимания со стороны аудитора информационных систем в связи с ужесточившимися требованиями к финансовой отчетности компании? Мишель Мур: Согласно принятому в 2002 году закону Сарбейнса-Оксли, требования которого распространяются на все компании, котирующиеся на фондовых рынках, независимо от того, образованы ли они в США или в других странах, отчет о системе внутреннего контроля компании должен содержать формулировку ответственности руководства за создание и обеспечение работоспособности соответствующей структуры внутреннего контроля, а также оценку эффективности проводимых процедур. Поскольку информационные технологии играют в современных компаниях лидирующую роль в процессе подготовки финансовой отчетности, необходимо уделять большое внимание аудиту информационных систем и наличию эффективных контрольных процедур. Большая часть из тех проблем, которые должны быть адресованы аудиторам в соответствии с Законом (SOX ст.302 и 404), относится к области общих компьютерных контрольных процедур. Они обусловлены недостаточно полно проработанным дизайном информационных систем или отсутствием ключевых контрольных механизмов и процедур. CNews.ru: Каковы в этой связи ваши рекомендации руководителям компаний? Мишель Мур: Анализируя проблему неэффективности контроля, которая означает потенциальную уязвимость компании, мы видим тревожную картину. Большинство выявленных недостатков относится к сфере информационных технологий, и в частности, общих контрольных процедур. Данный факт вызывает озабоченность, поскольку информационные технологии оказывают влияние на различные сферы бизнеса и требуют значительных усилий и финансовых затрат на создание эффективных механизмов контроля. Руководители компаний должны своевременно планировать работу по оценке контрольных процедур в области информационных технологий с тем, чтобы заложить в бюджет соответствующие меры по исправлению обнаруженных недостатков. Таким образом, необходима четкая координация между работами, выполняемыми в области информационных технологий, и работами в области ведения бизнеса. |
Сообщить факт о Windows XP
Почему устарела Windows XP?
Сообщить цифры о Windows XP