Поиск

Полнотекстовый поиск:
Где искать:
везде
только в названии
только в тексте
Выводить:
описание
слова в тексте
только заголовок

Рекомендуем ознакомиться

'Документ'
1. Прочитайте отрывок из стихотворения Н.Суворова «Хлеб». В каком значении употреблено в нём слово «хлеб»? Найдите слово, употреблённое в стихотворени...полностью>>
'Методические рекомендации'
ЗАПРАДНО-СИБИРСКОЕ СЛЕДСТВЕННОЕ УПРАВЛЕНИЕ НА ТРАНСПОРТЕ СЛЕДСТВЕННОГО КОМИТЕТА ПРИ ПРОКУРАТУРЕ РОССИЙСКОЙ ФЕДЕРАЦИИ ОТДЕЛ КРИМИНАЛИСТИКИ МЕТОДИЧЕСКИЕ...полностью>>
'Документ'
Для открытия визы необходимо иметь минимум 2 чистые страницы ( не обязательно рядом).Для вписанного в паспорт ребенка открывается отдельная виза, поэт...полностью>>
'Документ'
Внести в часть  первую Гражданского кодекса Российской Федерации (Собрание законодательства Российской Федерации, 1994, №  32, ст.  3301; 2002, №  48,...полностью>>

Главная > Программа

Сохрани ссылку в одной из сетей:
Информация о документе
Дата добавления:
Размер:
Доступные форматы для скачивания:

ИБ02. Понятие угрозы

Понятие угрозы.

Угроза - это потенциально возможное событие, действие, процесс или явление, которое может привести к понятию ущерба чьим-либо интересам.
Естественные и искусственные, случайные и преднамеренные, пассивные и активные, внешние и внутренние и т.п. угрозы.

Источники угроз. Виды угроз: нарушение конфиден-циальности, нарушение целостности, нарушение уровня доступности.

Нарушение безопасности - это реализация угрозы.
Естественные угрозы - это угрозы, вызванные воздействием на АС объективных физических процессов, стихийных природных явлений, не зависящих от человеека.

Естественные делятся на:

  • природные (стихийные бедствия, магнитные бури, радиоактивное излучение, осадки)

  • технические. Связаны надежностью технических средств, обработки информации и систем обеспечения.

Искусственные делят на:

  • непреднамеренные - совершенные по незнанию и без злого умысла, из любопытности или халатности

  • преднамеренные

Каналы проникновения в систему и их классификация:

  1. По способу:

    • прямые

    • косвенные

  2. По типу основного средства для реализации угрозы:

    • человек

    • аппаратура

    • программа

  3. По способу получения информации:

    • физический

    • электромагнитный

    • информационный

Классификация угроз информационной безопасности представлена на следующей схеме:

Мы проведем IT-аудит Вашей системы по каждому из пунктов классификатора, дадим необходимые рекомендации и комментарии, а также предложим свои услуги по обеспечению безопасности Вашей информационной системы.

Что такое IT-аудит?

В рамках комплекса услуг по IT-аудиту мы проводим полное обследование Вашей информационной инфруктуры, которое обычно включает в себя следующие этапы:

  • составление планов помещений Вашего офиса с указанием рабочих мест пользователей

  • полное тестирование структурированной кабельной системы на соответствие требованиям международных стандартов и соответствие заявленной категории

  • нанесение на планы помещений схемы Вашей СКС

  • аудит аппаратных и кроссовых помещений

  • инвентаризация всего Вашего оборудования

  • инвентаризация используемого программного обеспечения, как серверного, так и клиентского с привязкой к оборудованию

  • проверка конфигураций оборудования программного обеспечения на соответствие рекомендациям, так называемым, "наилучшим практикам" (Best Current Practices, BCP), предлагаемым производителями

  • Аудит информационной безопасности системы в целом и ее отделных составляющих

  • Стресс-тест информационной системы (проверка на работоспособность и безопасность при перегрузках)

  • Показательное проникновение (наши специалисты имитируют действия злоумышленника с целью проверки текущего уровня безопасности, а главное, готовности Ваших специалистов по информационным технологиям к отражению атак)

Что такое аудит информационной безопасности?

Аудит информационной безопасности - это проверка способности успешно противостоять угрозам информационой безопасности.
Остановимся подробнее на угрозах информационной безопасности.
Компания Порт-22 в своей деятельности по аудиту информационной безопасности пользуется классифкатором угроз информационной безопасности DSECCT (Digital Security Classofocation of Threats), разработанным специалистами компании Digital Security, как наиболее полным и точным классификатором.
В классификаторе угрозы разделяются по характеру угрозы, выду воздействия, причине и объекту угрозы.

Описание классификации угроз DSECCT

аналитик по информационной безопасности
Digital Security

При разработке алгоритма оценки информационных рисков, основанного на анализе угроз и уязвимостей информационной системы, специалистами Digital Security были рассмотрены и проанализированы различные существующие классификации угроз информационной безопасности. Попытки использования данных классификаций для описания по возможности большего количества угроз показали, что во многих случаях реальные угрозы либо не подходили ни под один из классификационных признаков, либо, наоборот, удовлетворяли нескольким.

Таким образом, основная цель создания специалистами Digital Security классификации угроз - наиболее полная, детальная классификация, которая описывает все существующие угрозы информационной безопасности, по которой каждая из угроз попадает только под один классификационный признак, и которая, таким образом, наиболее применима для анализа рисков реальных информационных систем.

Классификация угроз входит в состав программного продукта ГРИФ 2006 Digital Security Office ( /products/grif/).

По виду угроз информационной безопасности разделяют технологические и организационные угрозы.

Технологические угрозы по характеру воздействия разделяются на физические и программные (логические). Т.е. получаем такую начальную классификацию:

Физические угрозы могут исходить от действий нарушителя (человека), форс-мажорных обстоятельств и отказа оборудования и внутренних систем жизнеобеспечения.

Далее, положим, что нарушитель имеет физический доступ к помещению, в котором расположен ценный ресурс. Какие виды угроз информационной безопасности он может при этом осуществить? Чтобы реализовать угрозы при физическом доступе нарушитель может воздействовать либо непосредственно на ресурс, либо на канал связи. Таким образом, получим:

Далее перейдем к рассмотрению программных угроз.

Программные угрозы разделяются на угрозы, исходящие от локального нарушителя, и угрозы, исходящие от удаленного нарушителя.

Рассмотрим программные локальные угрозы на ценный информационный ресурс. При локальном доступе на программном уровне нарушить может осуществить угрозу только на ресурс, при этом на ресурсе располагаются следующие компоненты: операционная система, прикладное программное обеспечение, а также сама ценная информация, хранящаяся и обрабатываемая на ресурсе. Нарушение функционирования, целостности или конфиденциальности любого из этих элементов может привести к потере ценной информации. Получим:

Рассмотрим удаленные программные угрозы.

При удаленном программном доступе нарушитель может воздействовать как на ресурс, содержащий ценную информацию, так и на каналы связи, связывающие ресурсы между собой.

При этом при удаленном доступе к ресурсу нарушить может воздействовать на следующие его компоненты: операционную систему, сетевые службы и ценную информацию, к которой может быть открыт удаленный доступ.

При удаленном программном доступе к каналу связи для реализации угроз нарушитель может воздействовать непосредственно на сетевое оборудование или на протоколы передачи данных.

Все вышеперечисленные угрозы связаны с доступом нарушителя к ценному информационному ресурсу. Следовательно, контрмерами к данным угрозам будут адекватная защита ресурса. Но не все действия нарушителя отражаются в этой схеме. На практике в реальной системе ключевым моментом обеспечения информационной безопасности являются правильные действия пользователя. Поэтому в данной классификации невозможно было не рассмотреть так называемые угрозы персонала, т.е. человеческий фактор.

Каким образом может быть реализована угроза информационной безопасности с помощью сотрудника организации? Злоумышленник может применить воздействие на сотрудника для получения необходимых ему сведений или сотрудник сам реализует угрозу. Организационные угрозы на информацию разделяют следующим образом:

Воздействие на персонал может быть физическим и психологическим.

Воздействие на персонал (физическое и психологическое) может быть реализовано с целью получения ценной информации или с целью нарушения непрерывности ведения бизнеса.

А действия персонала - умышленными или неумышленными.

При этом и умышленные и неумышленные действия могут угрожать как информации, так и непрерывности ведения бизнеса.

Обобщив все приведенные выше положения, получим:

Таким образом, классификация угроз информационной безопасности , представленная в программном продукте ГРИФ 2006 из состава Digital Security Office (/products/grif/), разделяется по виду, характеру воздействия, источнику и объекту угрозы.

На основе классификации угроз специалистами Digital Security были разработаны обширные базы угроз и уязвимостей, содержащие около 100 угроз и 200 уязвимостей.

Меры противодействия угрозам:

  1. Правовые и законодательные.
    Законы, указы, нормативные акты, регламентирующие правила обращения с информацией и определяющие ответственность за нарушение этих правил.

  2. Морально-этические.
    Нормы поведения, которые традиционно сложились или складываются в обществе по мере распространения вычислительной техники. Невыполнение этих норм ведет к падению авторитета, престижа организации, страны, людей.

  3. Административные или организационные.
    Меры организационного характера, регламентирующие процессы функционирования АС, деятельность персонала с целью максимального затруднения или исключения реализации угроз безопасности:

    • организация явного или скрытого контроля за работой пользователей

    • организация учета, хранения, использования, уничтожения документов и носителей информации.

    • организация охраны и надежного пропускного режима

    • мероприятия, осуществляемые при подборе и подготовке персонала

    • мероприятия по проектированию, разработке правил доступа к информации

    • мероприятия при разработке, модификации технических средств

  4. Физические.
    Применение разного рода технических средств охраны и сооружений, предназначенных для создания физических препятствий на путях проникновения в систему.

  5. Технические.
    Основаны на использовании технических устройств и программ, входящих в состав АС и выполняющих функции защиты:

    • средства аутентификации

    • аппаратное шифрование

    • другие

Анализируем риски собственными силами. Практические советы по анализу рисков в корпоративной сети.

Илья Медведовский (idm@), директор Digital Security
Наталья Куканова (nataliya.kukanova@),
аналитик по информационной безопасности Digital Security

Введение

Система защиты информации компании, актуальность создания которой уже не вызывает сомнений, должна быть экономически целесообразной. Мы можем обеспечить эффективную защиту нашей информации, которая будет действенна в течение всего времени ее использования, но не будет ли возведенная нами система защиты стоить больше, чем сама информация?! Сколько должна стоить система защиты информации?

Вопрос эффективности инвестиций в информационную безопасность, на самом деле, является крайне не простым вопросом. Зачастую, информационная безопасность финансируется по остаточному принципу, прежде всего, из-за непонимания бизнесом необходимости должного уровня инвестиций. Во многом это отношение бизнеса обусловлено неумением специалистов по безопасности убеждать руководство компании вкладывать в информационную безопасность соответствующие средства. Сегодня существуют два основных способа убеждения топ-менеджмента компании уделять должное внимание вопросам безопасности. К первому способу убеждения можно отнести необходимость соответствовать тому или иному нормативному акту (например, для компаний, котирующихся на Нью-Йоркской фондовой бирже, акту Сарбаниса-Оксли). Вторым методом убеждения руководства, который связывает угрозы-уязвимости информационной системы со значимостью ее ресурсов с точки зрения бизнеса, является анализ информационных рисков. Сегодня не существует иного способа обоснования затрат на информационную безопасность кроме проведения анализа рисков. Кроме того, методы анализа рисков, которым посвящается данная статья, позволяют связать бизнес и уязвимости в понятной для руководства форме, тем самым, обеспечивая должный уровень понимания и отношения к проблеме обеспечения информационной безопасности со стороны руководства компании.

Таким образом, анализ информационных рисков помогает как определить необходимую сумму инвестиций в обеспечение информационной безопасности, так и наглядно показать руководству компании важность и необходимость таких инвестиций.

Цель анализа информационных рисков компании

Анализ рисков помогает руководству компании определить разумную сумму для создания системы защиты своей информации. Кроме того, анализ рисков нужен для того, чтобы понимать, какие угрозы через какие уязвимости могут быть реализованы, и на основании этих данных спроектировать правильную систему защиты. Риск - это вероятный ущерб, который понесет компания при раскрытии, модификации, утрате или недоступности своей информации. Риск зависит от двух факторов - стоимости информации и защищенности информационной системы, в которой она обрабатывается.

Исходя из определения риска, для проведения анализа рисков нам нужны следующие данные об информационной системе: перечень ценной информации с указанием ее уровня критичности, сведения об уязвимостях информационной системы и угрозах, которые на нее действуют.

Этапы проведения анализа рисков

Таким образом, для получения данной информации нам следует выполнить:

  1. Инвентаризацию информационных ресурсов компании.

  2. Оценку стоимости информационных ресурсов компании.

  3. Определение защищенности информационной системы компании.

  4. Оценку информационных рисков.

  5. Категоризацию информационных ресурсов по уровню риска.

  6. Определение уровня приемлемого риска.

  7. Управление рисками (определение мер по снижению рисков).

Рассмотрим данные этапы подробнее.

Инвентаризация информационных ресурсов компании

Результатом инвентаризации информации компании является перечень ценной информации. Как правило, такой перечень либо уже существует в компании, либо его можно составить из списка всей информации, обрабатываемой в компании, полученного, например, у системного администратора.

Оценка стоимости информации компании

Далее необходимо определить стоимость информации. Часто этот этап является самым сложным, так как стоимость информации не может оценить специалист по информационной безопасности, ее оценивает владелец информации. Т.е. специалист, собирающий данные для анализа рисков, должен опросить владельцев всей ценной информации. Для облегчения задачи можно использовать следующую методику. Сначала собирается экспертная комиссия, состоящая, например, из заместителей генерального директора, главного бухгалтера, специалиста службы информационной безопасности, начальников основных отделов, т.е. людей, которые знают назначение различных видов информации и могут оценить примерный уровень ее стоимости, в том числе относительную стоимость информации, учитывая другие информационные ресурсы. Экспертная комиссия определяет следующие параметры, которые в дальнейшем используются для оценки информации ее владельцем:

•  количество уровней критичности информации (наиболее простой является шкала, имеющая 3 уровня);

•  оценку уровней (оценка максимального уровня определяется как некоторый критичный процент от общей капитализации компании; оценка минимального уровня является суммой, потеря которой не нанесет компании значительного ущерба; оценка остальных уровней распределяется в выбранных границах).

Например, имеем следующую шкалу:

Уровень

Оценка уровня (в у.е.)

Низкий

10 000

Средний

100 000

Высокий

более 100 000

По полученной шкале владелец определяет уровень критичности информации. Для проведения анализа рисков критичность информации достаточно определить в уровнях (без оценки в денежных единицах), но денежный эквивалент всегда дает более точную оценку и наглядный результат.

Оценка защищенности информационной системы

Далее оцениваем защищенность нашей информационной системы. Для этого нужно описать угрозы и уязвимости информационной системы, и, исходя из их критичности для информационной системы и вероятности их реализации, оценить уровень защищенности. Угрозы и уязвимости можно определить, во-первых, с помощью технологического аудита защищенности информационной системы. Специалисты, проводящие аудит, выявляют угрозы, уязвимости через которые реализуются угрозы в информационной системе, их критичность и вероятность реализации. Во-вторых, специалист компании, ответственный за информационную безопасность, может самостоятельно описать защищенность системы. Чтобы помочь описать угрозы и уязвимости, существуют классификации угроз и уязвимостей, например, OCTAVE ( Operationally Critical Threat , Asset , and Vulnerability Evaluation , США), BSI ( Federal Office for Information Security , Германия), DSECCT ( Digital Security Classification of Threats , Россия). Классификация позволяет определить максимальное количество угроз и уязвимостей. Кроме того, для некоторых классификаций ( BSI , DSECCT ) разработаны базы, содержащие наиболее распространенные угрозы и уязвимости. Используя классификации и базы угроз и уязвимостей, специалист по информационной безопасности компании может определить угрозы своей информационной системы и уязвимости, через которые они реализуются.

Оценка информационных рисков

Определив критичность информации, угрозы и уязвимости информационной системы, в которой она обрабатывается, можно приступить к оценке рисков. Классическая формула оценки риска: РИСК = ВЕРОЯТНОСТЬ реализации угрозы ? КРИТИЧНОСТЬ информации. Критичность информации правильнее оценивать с точки зрения трех угроз - конфиденциальности, целостности и доступности, т.к. ущерб компании от реализации этих угроз может сильно различаться, и оценка общего ущерба приведет к неадекватным результатам анализа рисков. Вероятность реализации угрозы оценивается экспертом в области информационной безопасности на основании собственного опыта и особенностей информационной системы компании. Как правило, основными факторами при определении вероятности реализации угрозы являются такие параметры, как частота возникновения угрозы и простота ее реализации.

Категоризация информационных ресурсов по уровням риска

После оценки рисков информационные ресурсы компании классифицируют по уровням риска для того, чтобы определить порядок снижения рисков. В подавляющем большинстве случаев максимальные риски следует снижать в первую очередь.

Определение уровня приемлемого риска

Но все ли риски необходимо снижать и до какого уровня? Как бы мы ни старались, условия функционирования информационной системы не позволяют полностью исключить риск. Полностью безопасной может быть только та система, которая не работает. Кроме того, руководство компании должно быть ориентировано на определенный риск, чтобы возникновение чрезвычайной ситуации (риск которой всегда остается) не стало нерешаемой проблемой для компании. В настоящее время существует концепция определения уровня приемлемого риска. Приемлемый риск - это риск, который руководство компании согласно принять. Руководство компании, определяя уровень приемлемого риска, по сути, определяет величину приемлемого ущерба в течение определенного периода времени. Для снижения уровня риска специалистам по информационной безопасности необходимо внедрить контрмеры (организационные, технические, программные и программно-аппаратные), закрывающие выявленные уязвимости и, следовательно, снижающие риски.

Управление рисками

После определения уровня приемлемого риска мы подошли к этапу управления рисками. Управление рисками заключается в определении стратегии, которая будет описывать меры по снижению рисков до приемлемого уровня. В соответствии с приоритетностью снижения рисков и уровнем приемлемого риска, специалисты службы информационной безопасности (или сотрудники компании, ответственные за обеспечение информационной безопасности), как правило, совместно со сторонними консультантами определяют и внедряют меры для снижения рисков.

Автоматизированные средства анализа и управления рисками

Для облегчения проведения анализа информационных рисков существуют автоматизированные средства анализа и управления информационными рисками - CRAMM ( Central Computer and Telecommunications Agency , Великобритания), RiskWatch ( RiskWatch , США), Digital Security Office ( Digital Security , Россия). Данные программные продукты позволяют смоделировать информационную систему компании и рассчитать информационные риски. Кроме того, они генерируют отчет, содержащий рекомендации по снижению уровня риска в соответствии с особенностями информационной системы.

Заключение

Задача анализа информационных рисков компании - достаточно объемная и трудоемкая. Но ее целесообразность и эффективность не вызывает сомнений. Система защиты информации, построенная на основе анализа информационных рисков, будет эффективной и экономически обоснованной.



Похожие документы:

  1. Программа по охране здоровья и физическому развитию для учащихся 1-4 классов рассчитана на формирование у детей представлений о здоровье и здоровом образе жизни, овладение средствами сохранения и укрепления своего здоровья, выработку разумного отношения к нему.

    Программа
    ... Т.А. _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ 141 Программа по охране здоровья и физическому развитию для учащихся 1-4 классов ... Уметь получать необходимую информацию о себе, знать способы получения такой информации; Иметь осознанное ...
  2. Программа по изобразительному искусству для начальной школы «Природа и художник» (2)

    Программа
    ... в пространстве и «путешествия» во времени как способ получения информации об окружающем мире. Археологические раскопки ... Общая характеристика программы Цель школьного образования по физической культуре — формирование разносторонне физически развитой ...
  3. Рабочая программа по дисциплине: «Органическая и физическая химия» для специальности 060601 Медицинская биохимия, код квалификации выпускника (65 специалист) форма обучения (очная)

    Рабочая программа
    ... г. РАБОЧАЯ ПРОГРАММА по дисциплине: «Органическая и физическая химия» для ... способность и готовность анализировать информацию, полученную с помощью методов ... opганизма. Классификация ВМС и способы образования. Структура макромолекул, фазовые ...
  4. Рабочая программа по курсу русский язык разработана в соответствии: Стребованиями Федерального государственного образовательного стандарта начального общего образования (1)

    Рабочая программа
    ... полученной информации (моделирование, конструирование, рассуждение, описание и др.). Музыка Школа России Рабочая учебная программа по ...
  5. Программа по окружающему миру 1-4 класс

    Программа
    ... _____» ________________ 2013 г. Программа по окружающему миру 1-4 класс ... путешествия» во времени как способ получения информации об окружающем мире. Археологические ... : «Физическая карта полушарий», «Физическая карта мира», «Физическая карта России ...

Другие похожие документы..