Стратегия создания систем информационной безопасности на
advertisement
Стратегия создания систем информационной безопасности на основе решения задач управления рисками Михаил Пышкин, CISM Руководитель направления информационной безопасности ЗАО «КРОК инкорпорейтед» Место анализа рисков в общем плане работ аудит тестирование защищенности обследование анализ риска Базовый принцип управления ИБ: • Нельзя управлять тем, что не определено (формализовано) • Нельзя измерить то, что не поддается управлению • Нельзя улучшить то, что невозможно измерить концепция информационной безопасности проектирование эскизный проект организации технический проект рабочая документация политика информационной безопасности информационной системы организационно-распорядительные документы программа (план) защиты помощь в подготовке и обучении персонала сертификация средств защиты подготовка к аттестация объектов информатизации Основные задачи анализа и управления рисками • Планирование экономически обоснованных мероприятий по обеспечению безопасности • Страхование информационных рисков • Сравнительная оценка эффективности контрмер • Бюджетирование • Оценка возврата инвестиций в безопасность • Обеспечение соответствия требованиям стандартов и действующего законодательства Для чего нужен анализ рисков? В конечном итоге - для формирования адекватных требований к СОИБ. Учитывающих как риски финансовых потерь для коммерческих структур, так и риски нарушения законодательства (в т.ч. уголовного и административного) для государственных структур. Методы оценки рисков • Количественный (денежный ущерб, частота проявления) • Качественный (высокий, средний и низкий или бальная шкала) Пример количественных оценок • финансовые издержки от ущерба для здоровья персонала • финансовые издержки по судебным искам от ущерба, связанного с разглашением персональных данных отдельных лиц • финансовые потери от разглашения, модификации или удаления информации • финансовые потери, связанные с восстановлением ресурсов • ущерб связанный с невозможностью выполнения в срок финансовых обязательств Концепция управления рисками NIST 800-30 Результат работы по анализу и оценке рисков •План мероприятий организационного и инженерно-технического характера по снижению рисков •Меры по восстановлению бизнес-процесса (выявление ключевых уязвимых ресурсов и по возможности создание их резерва) •Меры при наступлении риска - меры уменьшения убытка, распределение обязанностей и ответственности, порядок взаимодействия со СМИ и страховой компанией, расследование причины наступления убытка, оценка убытка, создание перспективных мер по недопущению повтроного возникновения угрозы Стадии создания АСЗИ ГОСТ Р 51275-99 Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Стандарт устанавливает классификацию и перечень факторов, воздействующих на защищаемую информацию, в интересах обоснования требований защиты информации на объекте информатизции. Инструментальные средства Основные достоинства продуктов RiskWatch: • Глубоко проработанная и хорошо зарекомендовавшая себя методология анализа рисков • Количественная и качественная оценка рисков • Обширная база знаний по угрозам, уязвимостям и контрмерам • Возможности редактирования и совершенствования базы знаний • Настраиваемые отчеты • Простота использования • Поддержка стандарта ISO 17799 • 76 предопределенных классов инцидентов Стратегия создания СОИБ Профиль компании Категорирование ресурсов Анализ угроз Разработка Перечень Построение Разработка Перечень Построениемодели модели поименованного потенциально бизнес-процессов поименованного потенциально бизнес-процессов перечня возможных угроз компании; перечня возможных угроз компании; информационных интересам Определение информационных интересам Определение ресурсов предприятия со основных ресурсовиисистем систем предприятия со основныхбизнесбизнес(элементов стороны процессов; (элементовсистем) систем) стороны процессов; компании, информационной Определение компании, информационной Определение уровня уровня классифицированный системы и внешнего автоматизации классифицированный системы и внешнего автоматизациибизнесбизнеспо степени своей окружения, анализ процессов; по степени своей окружения, анализ процессов; значимости вероятности Анализ значимостидля для вероятности Анализперспектив перспектив поддержки бизнесвозникновения таких автоматизации бизнесподдержки бизнесвозникновения таких автоматизации бизнеспроцессов угроз, расчет процессов; процессовкомпании компании угроз, расчет процессов; финансового ущерба Прогноз изменения финансового ущерба Прогноз изменения от реализации таких количества и качества от реализации таких количества и качества угроз бизнес-процессов угроз бизнес-процессов Классификатор ИИт.д. Информационная Классификатор Модель т.д. Информационная Модельугроз угроз ресурсов модель бизнеса ресурсов Прогноз потерь модель бизнеса Прогноз потерь и систем и систем Ключевые факторы успешного управления ИБ 1. Создать группу безопасности или подразделение 2. Провести оценку безопасности существующей ИТ-инфраструктуры (инвентаризация и общая оценка) 3. Выполнить анализ рисков по данным п.2 4. Создать политику безопасности организации 5. Разработать и внедрить схему эксплуатации и стандарты безопасности 6. Внедрить систему оценок подготовленности и компетентности 7. Приступить к постоянно действующему управлению безопасностью Выводы Работы по анализу рисков помогут: • Произвести количественную оценку текущего уровня безопасности • Задать допустимые уровни рисков • Разработать план мероприятий по обеспечению требуемого уровня безопасности на организационно-управленческом, технологическом и техническом уровнях с использованием современных методик и средств. • Рассчитать и экономически обосновать перед руководством или акционерами размер необходимых вложений в обеспечение безопасности на основе технологий анализа рисков • Соотнести расходы на обеспечение безопасности с потенциальным ущербом и вероятностью его возникновения. Стратегия создания систем информационной безопасности на основе решения задач управления рисками Михаил Пышкин, CISM Руководитель направления информационной безопасности ЗАО «КРОК инкорпорейтед» Тел. (095) 974-2274 E-mail: MPyshkin@croc.ru
