Інформаційна безпека як процес управління
ризиками h2>
Е.В. Комлева,
Калуський науковий центр РАН, Д.В. Баранов p>
Вступ h2>
Більшість
підприємств витрачають на безпеку продукту своєї діяльності певний
фіксований відсоток прибутку. Частина вкладених на безпеку коштів у цей
продукт не повертається у вигляді прибутку. Можна бачити, що безпека це не
продукт, а процес. Тому для вирішення подібної проблеми можна подивитися на
безпеку як на управління ризиками. Мета управління ризиками полягає в
балансі ризиків для діяльності підприємства, знижуючи потенційні загрози.
Необхідність у методі управління ризиками, який би дозволив точно і надійно
вимірювати параметри безпеки продукту і отримувати максимальну віддачу
коштів, вкладених на його безпеку, як і раніше велика [1]. p>
Компоненти інформаційної безпеки. h2>
Інформаційна
безпеки включає три компоненти: вимоги, політику і механізми.
Вимоги визначають цілі безпеки. Вони відповідають на питання, - «Що ви
очікуєте від вашої безпеки? ». Політика визначає значення безпеки.
Вона відповість на питання, - "Які кроки ви повинні зробити в досягненні цілей
поставлених вище? ». Механізми зумовлюють політику. Вони відповідають на питання,
- «Які інструменти, процедури та інші шляхи ви використовуєте, щоб
гарантувати те, що кроки зумовлені вище будуть виконані? »[2]. p>
Управління
ризиками Багато лідируючі підприємства та індустріальні сектора бачать управління
ризиками як новий підхід до управління інформаційною безпекою. Управління
ризиками має допомогти їм у кількісному визначенні ймовірності небезпеки,
оцінити ступінь можливих збитків і зважити витрати на безпеку проти їх
очікуваної ефективності [3]. p>
Управління
ризиками має дати відповідь на такі запитання: p>
1
На скільки покращилася безпека підприємства в поточному році? P>
2
Що підприємство отримало за гроші, витрачені на безпеку? P>
3
На який рівень безпеки підприємство має орієнтуватися? P>
Для
відповіді на ці питання потрібно строге визначення параметрів безпеки і
структури управління ризиками. p>
Можна
виділити чотири найбільш важливі моменти в управлінні ризиками підприємства: p>
1
Недовговічність інформаційного активу. Підприємства і більшість промислових
галузей розуміють, що ефективність їхньої роботи залежить від інформації. Кожен
відомий випадок критичного спотворення, пошкодження або руйнування інформації
підсилює їх побоювання з цього пункту. p>
2
Доказова безпеку. Так як параметри безпеки не завжди мають оцінку,
підприємства не здатні виміряти стабільність або ефективність при виборі
різних засобів безпеки. Отже, кількість коштів, яке
можна витратити на поліпшення безпеки не відомо. p>
3
Обгрунтування вартості. Підвищення вартості рішень і засобів безпеки
призводить до того, що проекти інформаційної безпеки конкурують з іншими
інфраструктурними проектами підприємства. Прибутково-вартісний аналіз та розрахунок
коштів повертаються в інвестиції стають стандартними вимогами для
будь-яких проектів з інформаційної безпеки. p>
4
Відповідальність. З ростом підприємств їх залежність від ризиків інформаційної
безпеки зростає. Потрібен надійний механізм для управління цими
ризиками. Для оцінювання інформаційної безпеки прибутково-вартісного
аналізу та розрахунку 58 коштів повертаються в інвестиції не достатньо. До цих
пір немає методу, який дозволяє найбільш достовірно статистично представити
параметри інформаційної безпеки. p>
A.
Що вимірювати У рішеннях вимагають балансу вартості контрзаходів проти вартості
ризику, важливим моментом є точність пунктів будь-яких зроблених вимірювань [4]. p>
Будь-який
керівник підприємства в оцінюванні безпеки бажає отримати відповіді на
такі питання як: p>
•
Наскільки підприємство інформаційно безпечно? P>
•
Одержало чи прибуток підприємство з введенням системи оцінювання ризиків у цьому
році в порівнянні з минулим? p>
•
Яку вибрати стратегію інформаційної безпеки? P>
•
Правильне чи кількість грошей витрачається на інформаційну безпеку? P>
•
Чи існують альтернативи управління ризиками? P>
В
відміну від економічних оцінок, де завжди є вихідні дані, оцінювання
інформаційної безпеки майже завжди доводиться починати з нуля. Це, як
правило, слабо структурована задача з постійно мінливими параметрами. p>
B.
Дані для оцінювання Які дані повинні бути зібрані? Всі дані, які
можуть бути виміряні або мають якусь розмірність. p>
Список
вимірюваних параметрів може включати: p>
•
Небезпечні дефекти додатків, пов'язані зі стадією розробки. P>
•
Уразливість мережі, навіть якщо виявляється тільки при скануванні, а також •
Відношення числа сесії користувачів до числа підозрілих дій. P>
•
Злом пароля з використанням автоматизованих засобів. P>
•
Спроби впровадження інфікованих об'єктів в систему безпеки. P>
•
Оновлення які використовуються або вартість нових більш захищених додатків. P>
•
Сканування мережі на вхідну й вихідну інформацію. P>
•
Витрати при відмові засобів захисту. P>
Звичайно,
це не повний список. Кожне підприємство має вибирати свій власний
рівень достатності інформаційної безпеки. І на цьому фоні проводити
збір даних для подальшого оцінювання. Так як реальні загрози майже завжди
всередині підприємства, то достатній рівень безпеки зазвичай визначається
тим, хто контролює внутрішні інформаційні показники. p>
C.
Модель даних Рішення, пов'язані з питаннями оцінювання безпеки, часто
У таких умовах завжди існує
недолік даних. Стандартним підходом у побудові моделі є
використання експертної думки для доповнення даних. Далі з появою
нових даних ми можемо оновлювати, модернізувати або калібрувати модель, а
також можливе повне заміщення експертної думки. p>
D.
Звіти з оцінювання інформаційної безпеки Які звіти повинні бути
представлені під час проведення оцінювання інформаційної безпеки? p>
Деякі
можуть включати: p>
•
Тимчасової аналіз тенденцій. P>
59
• Представлення отриманих параметрів і фінансовий аналіз. P>
•
Зменшені або прийняті ризики. P>
Основна
проблема оцінювання інформаційної безпеки полягає у відсутності
повноти даних [5]. Але повнота інформації може складатися з тих фактів,
які надають, наприклад, антивірусні програми, файли звітів, системи
сканування та звіти з безпеки від співробітників. Таким чином, необхідні
критерії оцінювання і методи аналізу. p>
Висновок
З ускладненням інформаційних технологій підприємства стикаються все з більш
складними інформаційними ризиками. Якщо б була можливість виявити і
визначити вразливість безпеки в процесі створення продукту діяльності,
то чи виправдані будуть витрати на розробку таких методів? p>
Багато
підприємства тонуть у потоці даних. У більшості випадків, що є кількість
фактів, дозволяє отримувати необхідну інформацію з оцінювання інформаційної
безпеки. Але проблема в тому, що не завжди і не всі можуть одержувати цю
інформацію. Рішенням цього завдання є механізм, який дозволить
аналізувати факти і, виділяючи необхідну інформацію оцінювати її, перетворюючи
у знання про безпеку. p>
Список b> b> літератури b> p>
1. Geer D., Hoo K., Jaquith A.
Information Security: Why the Future Belongs to the Quants/IEEE Security
& Privacy Vol. 1, No. 4; July/August 2003, pp. 24-32. P>
2. Bishop M. What Is Computer
Security?/IEEE Security & Privacy Vol. 1, No. 1; January/February 2003,
pp. 67-69. P>
3. Boehm B., Turner R. Using Risk to
Balance Agile and Plan-Driven Methods/IEEE Computer Vol. 36, No. 6; June
2003, pp. 57-66. P>
4. Geer D. Risk Management Is Still
Where the Money Is/IEEE Computer Vol. 36, No. 12; December 2003, pp. 129-131. P>
5. Gliedman C. Managing IT Risk with
Portfolio Management Thinking/CIO (Analyst Corner), www.cio.com/analyst/012502_giga.html. P>
Для
підготовки даної роботи були використані матеріали з сайту http://www.contrterror.tsure.ru/
p>