Определение набора адекватных контрмер осуществляется в ходе построения подсистемы ИБ ИС и управления рисками. Задача управления рисками включает выбор и обоснование выбора контрмер, позволяющих снизить величину рисков до приемлемого уровня. Управление рисками включает в себя оценку стоимости реализации контрмер, которая должна быть меньше величины возможного ущерба. Разница между стоимостью реализации контрмер и величиной возможного ущерба должна быть тем больше, чем меньше вероятность причинения ущерба. Контрмеры могут способствовать уменьшению величины рисков различными способами:

• 
  уменьшая вероятность осуществления угроз безопасности;
  
• 
  ликвидируя уязвимости или уменьшая их величину;
  
• 
  уменьшая величину возможного ущерба;
  
• 
  выявляя атаки и другие нарушения безопасности;
  
• 
  способствуя восстановлению ресурсов ИС, которым был нанесен ущерб.
  

Таким образом, работы по анализу и управлению рисками, можно условно разделить на три последовательных этапа. Задачей первого этапа является ответ на вопрос: «Достаточно ли для защиты системы применения средств базового уровня, реализующих функции безопасности в порядке их приоритета, или необходимо проведение более детального анализа защищенности?». На втором этапе производится идентификация рисков и оценивается их величина. На третьем этапе решается вопрос о выборе адекватных контрмер.

В процессе оценки защищенности информационной системы определяются угрозы, действующие на активы, а также уязвимости информационной системы, в которой обрабатываются активы и которые могут привести к реализации угроз. Угрозы и уязвимости рассматриваются только во взаимосвязи друг с другом (т.к. Инцидент - событие, указывающее на действительную, мнимую или вероятную реализацию угрозы, возникает в случае появления комплиментарной пары «угроза-уязвимость»). Уязвимость, через которую невозможно реализовать ни одну из угроз, не имеет смысла. Аналогично, угроза, которую невозможно реализовать ввиду отсутствия уязвимости, также неактуальна. 

1.3.2.      Перечни критичных ресурсов в ИС.

1.3.2.1. Категорирование ресурсов

В ИС предприятия хранятся и обрабатываются различные виды открытой и служебной конфиденциальной информации. Прежде всего, следует определить, что является ценным активом  компании с точки зрения информационной безопасности. Стандарт ISO 17799, подробно описывающий процедуры системы управления ИБ, выделяет следующие виды активов:

---

• 
  информационные ресурсы (базы и файлы данных, контракты и соглашения, системная документация, научно-исследовательская информация, документация, обучающие материалы и пр.);
  
• 
  программное обеспечение,
  
• 
  материальные активы (компьютерное оборудование, средства телекоммуникаций и пр.);
  
• 
  сервисы (поддерживающая инфраструктура);
  
• 
  сотрудники компании, их квалификация и опыт,
  
• 
  нематериальные ресурсы (репутация и имидж компании).
  

Следует определить, нарушение информационной безопасности, каких активов может нанести ущерб компании. В этом случае актив будет считаться ценным, и его необходимо будет учитывать при анализе информационных рисков.

Инвентаризация заключается в составлении перечня ценных активов компании. Как правило, данный процесс выполняют владельцы активов.

  Различаются следующие категории информационных ресурсов, подлежащих защите в предприятия:

• 
  Информация, составляющая коммерческую тайну;
  
• 
  Информация, составляющая служебную тайну;
  
• 
  Персональные данные сотрудников;
  
• 
  Конфиденциальная информация (включая коммерческую тайну, служебную тайну и персональные данные), принадлежащая третьей стороне;
  
• 
  Данные, критичные для функционирования ИС и работы бизнес подразделений.
  

Первые четыре категории информации представляют собой сведения ограниченного распространения, для которых в качестве основной угрозы безопасности рассматривается нарушение конфиденциальности информации путем раскрытия ее содержимого третьим лицам, не допущенным в установленном порядке к работе с этой информацией.

К последней категории «критичных» данных, относятся информационные ресурсы предприятия, нарушение целостности или доступности которых может привести к сбоям функционирования ИС либо бизнес подразделений.

В процессе категорирования активов необходимо оценить их критичность для бизнес-процессов компании или, другими словами, определить, какой ущерб понесет компания в случае нарушения информационной безопасности активов.

Данный процесс вызывает наибольшую сложность, так как ценность активов определяется на основе экспертных оценок их владельцев

---

. В процессе данного этапа часто проводятся обсуждения между консультантами по разработке системы управления и владельцами активов. Это помогает последним понять, каким образом следует определять ценность активов с точки зрения информационной безопасности (как правило, процесс определения критичности активов является для владельца новым и нетривиальным). Кроме этого, для владельцев активов разрабатываются различные методики оценки. В частности, такие методики могут содержать конкретные критерии (актуальные для данной компании), которые следует учитывать при оценке критичности.

Оценка критичности активов выполняется по трем параметрам: конфиденциальности, целостности и доступности (следует оценить ущерб, который понесет компания при нарушении конфиденциальности, целостности или доступности активов).

Оценку критичности активов можно выполнять в денежных единицах и в уровнях. Однако, учитывая тот факт, что для анализа информационных рисков необходимы значения в денежных единицах, в случае оценки критичности активов в уровнях, следует определить оценку каждого уровня в деньгах. Например, для базовой оценки рисков достаточно 3-уровневой шкалы оценки критичности - низкий, средний и высокий уровни.

При выборе шкалы важно учитывать следующее:

• 
  чем меньше количество уровней, тем ниже точность оценки;
  
• 
  чем больше количество уровней, тем выше сложность оценки (то есть сложно определить разницу между, скажем, 7-м и 8-м уровнем 10-ти уровне вой шкалы).
  

Следовательно, в этом вопросе нужно найти «золотую середину»,  чтобы и точность не очень пострадала, и сложность не превышала допустимых пределов.

Кроме этого, следует иметь в виду, что для расчета информационных рисков достаточно примерных значений критичности активов: не обязательно оценивать их с точностью до денежной единицы. Однако денежное выражение критичности все равно необходимо.

Рассмотрим подробнее принципы оценки критичности каждого указанного актива.

• 
  Информационные активы (или виды информации) оцениваются с точки зрения нанесения компании ущерба от их раскрытия, модификации или недоступности в течение определенного времени.
  
• 
  Программное обеспечение, материальные ресурсы и сервисы оцениваются, как правило, с точки зрения их доступности или работоспособности. То есть требуется определить, какой ущерб понесет компания при нарушении функционирования данных активов. Например, нарушение системы кондиционирования в течение трех суток приведет к отказу серверов компании, к ним будет нарушен доступ, и вследствие этого компания понесет убытки.
  
• 
  Сотрудники компании с точки зрения конфиденциальности и целостности оцениваются, учитывая их доступ к информационным ресурсам с правами на чтение и на модификацию. Доступность сотрудников оценивается с точки зрения их отсутствия на рабочем месте. Другими словами, оценивается, какой ущерб понесет компания при отсутствии сотрудника в течение определенного периода времени. Здесь важно учесть опыт сотрудника, его квалификацию, выполнение им каких-либо специфических операций.
  
• 
  Репутация компании оценивается в связи с информационными ресурсами: какой ущерб репутации компании будет нанесен в случае нарушения безопасности информации компании.
  

---

Заметим, что процесс категорирования активов должен подчиняться четким документированным процедурам компании. Аудиторам сертификационного органа будет недостаточно формального документа, отражающего результаты категорирования. От владельцев активов требуется, чтобы они могли объяснить, какие методики они использовали при оценке, на основании каких данных были получены результаты оценки. 

6. Определение основных приоритетов информационной безопасности в инфокоммуникационной системе

Ответ:

Определение основных приоритетов информационной безопасности ИС

1.2.3.1.            Базовые услуги безопасности

Стандарт ГОСТ Р ИСО 7498-2-99 определяет пять базовых услуг для обеспечения безопасности (защиты) компьютерных систем и сетей: конфиденциальность (Confidentiality), аутентификация (Authentication), целостность (Integrity), Контроль доступа (Access Control), причастность Nonrepudiation), входящие в архитектуру защиты ЭМ, и механизмы, обеспечивающие функциониро­вание этих услуг. Для всех этих услуг определены также варианты, как например, для коммуникаций с установлением соединения и без установления соединения, или обеспечения безопасности на уровнях коммуникации, пакетов или отдельных полей. Этот набор услуг не является единственно возможным, однако он является общепринятым. В данном разделе описаны услуги и варианты их реализации, а также их соотношение между собой и к модели ВОС. 

 Конфиденциальность

В стандарте ГОСТ Р ИСО 7498-2-99 конфиденциальность определена как "свойство, которое гарантирует, что информация не может быть доступна или раскрыта для неавторизованных (неуполномоченных) личностей, обьектов или процессов". Вопросам обеспечения конфиденциальности уделяется наибольшее внимание в системах, где раскрытие информации возможно во многих точках по пути передачи.

Для этой услуги определяется четыре версии: для систем с установлением связи; для систем без установления связи; защита отдельных информационных полей; защита от контроля трафика. Первые две версии относятся к соответствующим протоколам с установлением или без установления связи. Конфиденциальность с установлением связи может быть обеспечена на любом уровне, кроме Сеансового или Представительного. Это согласуется с моделью ВОС, где коммуникационные услуги предлагаются на всех уровнях. Конфиденциальность без установления связи может реализовываться на всех уровнях, кроме Физического, Сеансового и Представительного, причем Физический уровень исключен потому, что он по своей природе требует установления связи.  Третья версия конфиденциальных услуг, предназначенных для защиты отдельных информационных полей, используется для обеих типов сетей (с установлением связи и без) и требует, чтобы только отдельные поля в пакетах были защищены. Эта услуга предлагается только для Прикладного уровня, где необходимое поле может иметь другой способ кодирования, чем обеспечивает стандартный протокол.

---

Защита от контроля трафика должна предотвращать возмождность анализа и контроля трафика. Это достигается за счет кодирования информации об источнике-назначении, количестве передаваемых данных и частоты передачи. Эти внешние характеристики могут быть доступны для злоумышленника, даже если пользовательские данные будут защищены. Например, легко различить трафик Telnet и FTP в зависимости от размера пакетов, даже если информация о порте сервиса и данных выше уровня IP будут защищены. Наиболее легко данная услуга реализуется на физическом уровне, но отдельные компоненты данной услуги могут предлагаться и на Сетевом и Прикладном уровнях. 

Аутентификация

В стандарте ГОСТ Р ИСО 7498-2-99 определяется два типа услуг аутентификации: достоверность происхождения (источника) данных и достоверность собственно источника соединения или объекта коммуникации (peer-entity). Достоверность источника данных предполагает подтверждение того, что "источник полученных данных именно тот, который указан или обьявлен". Эта услуга существенна для коммуникации без установления связи, при которой каждый пакет является независимым от других, и единственное, что может быть гарантировано с точки зрения аутентификации - это то, что источник пакета именно тот, который указан в заголовке пакета. Эта услуга очень близка к обеспечению целостности данных  в сетях без установления связи, когда установление подлинности источника не очень существенно, если нарушена целостность данных.

В системах с установлением связи, аутентификация объекта коммуникаций является необходимой функцией, определенной как "подтверждение того, что объект коммуникации при соединении именно тот который объявлен". Эта форма аутентификации подразумевает установление своевременности или фактора времени за счет включению идентификации объекта коммуникации для конкретного случая соединения, которые недостижимы при помощи простой проверки происхождения данных. Т.о., атака, использующая воспроизведение данных, связанных с другим сеансом связи, даже между теми же объектами коммуникации, может быть нарушена/предотвращена, благодаря использованию этой услуги.

Обе формы аутентификации определены для Сетевого, Транспортного и Прикладного уровней, на которых реализуются протоколы с установлением связи и без установления связи. 

---

Смотрите также файлы

• Внешняя политика Это деятельность на международной арене, регулирующая взаимоотношения с другими государствами и народами.docx

• Жасспірімдерді нашаорлыа атынасы сауалнамасы.docx

• Программа среднего профессионального образования 39. 02. 01 Социальная работа (базовая подготовка).rtf

• азастан республикасы білім жне ылым министрлігі м.Уезов атындаы ОТстік азастан университеті филология факультеті.docx

• Методические приемы обучения решению задач в начальной школе.pptx