Сергей Терехов – Защита персональных данных курс лекций (страница 5)
Из практической деятельности в области информационной безопасности давно выведены следующие постулаты:
Затраты на защиту информации не могут превышать стоимость (в том или ином выражении) самой информации;
Нет абсолютно защищенных информационных систем, нарушение защиты – вопрос времени, ресурсов и квалификации нарушителя.
Затраты нарушителя информационной безопасности должны превышать ущерб обладателя информации.
Эти прекрасные руководящие принципы для руководства предприятия, чтобы понять, разумна ли просьба IT отдела потратить на защиту 100000 рублей, когда ущерб может составить 1000 рублей.
Существует два основных подхода к оценке защищенности информации. По одному из них проверяется соответствие мер и средств, уже предпринятых для защиты, с требованиями какого-нибудь уважаемого (лучше международного) стандарта. Во втором подходе используется оценка рисков и управление рисками для создания оптимальной защиты.
Надо заметить, что последний приказ федеральной службы по техническому и экспортному контролю (№ 21 от 18.02.2013 г.) более ориентирует на первый подход, а более старый, но действующий («Методика определения актуальных угроз…» утвержденная 14.02.2008 г.) делает упор на второй, в их терминологии моделирование актуальных угроз. Таким образом, ФСТЭК как бы предписывает комбинацию подходов.
Чтобы узнать состояние защищенности информации необходимо провести исследование, которое в общих чертах состоит из следующих этапов:
Инвентаризация ИС.
Определение уязвимостей каждой ИС.
Определение угроз для каждой ИС.
Определение источников угроз для каждой ИС.
Определение рисков для каждой ИС.
Принятие контрмер в отношении каждой ИС, если риск неприемлем.
1.10.1.
Инвентаризация информационных систем
Для простоты анализа предположим о наличии только одной ИС на предприятии, полученное знание легко проецируется на любое количество. В результате инвентаризации будет получена и документирована информация, являющаяся информационным активом предприятия. В зависимости от рода деятельности это может быть информация о заключенных договорах, состоянии их выполнения, поставленной продукции, оплаченных счетах, в целом информация о клиентах. Для понимания процесса анализа это не важно. На этом этапе нужно оценить стоимость информационного актива, задавая сложные вопросы «что будет», если» и получая простые ответы «ущерб или негативные последствия в сумме». Например, что будет, если конструкторская документация изделия, доведенная до промышленного образца, попадет в руки конкурентной фирмы. Ответ: «потеря конкурентного преимущества приведет к ущербу в 1 миллиард рублей» или аналогичный. Понятно, что в ущерб должны быть внесены и потери, плохо выражаемые в денежном эквиваленте, например, потери от снижения деловой репутации банка, в котором похищены пароли клиентов в системах дистанционного банковского обслуживания.
Итак, оценка стоимости информационного актива получена и получена оценка ущерба при соответствующих инцидентах безопасности.
Внимание: Если ущерб для данного предприятия не существенный, то можно абсолютно не заботиться об информационной безопасности, по крайней мере, до переоценки ценностей.
1.10.2.
Определение уязвимостей
В общем случае под уязвимостью понимается отсутствие или слабость защитных мер. Применительно к ИС уязвимостью может быть недостаток или ошибка в системном или прикладном программном обеспечении, отсутствие аварийных генераторов электричества, слабая физическая безопасность, позволяющая постороннему войти в серверную комнату и многое другое. Уязвимость – это то, что позволит злоумышленнику или стихийному бедствию нарушить информационную безопасность.
Присутствие уязвимости в информационной системе
На этапе определения уязвимостей проверяется присутствие в данной ИС всех известных уязвимостей в информационных системах и формируется список действующих уязвимостей.
Внимание: Пустой список действующих уязвимостей (отсутствие известных уязвимостей в конкретной информационной системе) еще не основание для полного восторга и прекращения деятельности по защите информации. Как известно, с течением времени в системном и прикладном программном обеспечении обнаруживаются новые ошибки, которыми быстрее вас могут воспользоваться злоумышленники.
1.10.3.
Определение угроз
Угроза – это потенциальная опасность для информации, информационной системы или для поддерживающей ее инфраструктуры. Если для входа в операционную систему с учетной записью администратора системы не требуется пароля (уязвимость), то существует потенциальная опасность утечки конфиденциальной информации. Существует опасность выхода из строя блока питания системного блока компьютера из-за перенапряжения, что приведет к нарушению доступности информации.
На этом этапе составляется перечень возможных угроз, направленных на присутствующие уязвимости и приводящие к нарушению безопасности.
Наличие угрозы самой по себе не может нарушить безопасность, еще необходимо, чтобы кто-то или что-то инициировало ее, и воздействуя на присутствующую в системе уязвимость, нанес ущерб информационному активу.
1.10.4.
Определение источников угроз
Источник угрозы – некто (человек) или нечто (вредоносная программа, явление природы), формирующее воздействие, которое направлено на использования уязвимости. Источником угрозы может быть хакер, получивший доступ к сети через открытый на межсетевом экране порт; процесс, осуществляющий доступ к данным способом, нарушающим политику безопасности; землетрясение, разрушившее здание; сотрудник, совершивший ошибку, которая может привести к утечке конфиденциальной информации.
Источник угроз, находящийся в пределах контролируемой зоны, называется внутренним нарушителем (инсайдер), а находящийся вне контролируемой зоны называется внешним нарушителем (аутсайдером).
Пользователь информационной системы при определенной мотивации может быть внутренним нарушителем, также сотрудник, обслуживающий систему кондиционирования в серверной комнате, может стать внутренним нарушителем.
Пятнадцатилетний школьник, ведомый любопытством, скачав из Интернета бесплатную программу, сетевой сканер, становится примером внешнего нарушителя.
Группа высококвалифицированных людей в области информационной безопасности, объединенных преступным мотивом наживы и специализирующиеся на удаленной краже информации о кредитных картах, другой пример внешнего нарушителя.
На этом этапе составляется перечень возможных источников угроз. Если источником угроз является человек, делаются предположения о мотивах воздействия, квалификации, наличии средств воздействия и других ресурсах, определяющих потенциал нарушителя.
1.10.5.
Определение рисков
Источник угрозы может инициировать угрозу, направленную на уязвимость в информационной системе, которая приведет к нарушению безопасности информации с получением существенного вреда или ущерба предприятию. Для оценки возможности подобных сценариев вводится понятие риска.
Риск – это вероятность того, что источник угрозы воспользуется уязвимостью и это приведет к негативному воздействию на бизнес предприятия путем нарушения информационной безопасности. Другими словами, риск связывает вероятность реализации угрозы с ущербом от нарушения безопасности, причем эта связь может выражаться при численной оценке как произведение вероятности на сумму ущерба.
Если межсетевой экран имеет несколько открытых портов, существует высокая вероятность, что злоумышленник воспользуется одним из них для несанкционированного доступа к компьютерной сети. Если пользователи не обучены правильным процессам и процедурам, существует высокая вероятность совершения ими умышленных или неумышленных ошибок, которые могут привести к уничтожению данных.
Точное, числовое определение рисков – явно непосильная задача для многих информационных систем. Поэтому может быть продуктивной качественная оценка риска в следующем виде: отсутствие риска, низкий риск, средний риск, высокий риск. Существуют методики определения риска, разработанные разными компаниями. Подробное рассмотрение подобных методик не является целью данной лекции и читатель может обратиться к другим источникам.
Оценив риск, его можно принять и не предпринимать никаких действий по изменению информационной безопасности, перенести риск на другое предприятие, например, застраховать возможный ущерб или предпринять контрмеры для его снижения. Можно еще убрать риск, прекратив обрабатывать информацию, однако, эта мера невозможна при обработке персональных данных.
1.10.6.
Контрмеры (защитные меры)
Контрмеры (или защитные меры) – это меры, внедрение которых позволяет снизить уровень потенциального риска. Контрмерами может быть настройка программного обеспечения, оборудования или процедур, устраняющая уязвимости или снижающая вероятность того, что источник угрозы сможет воспользоваться уязвимостью. Примером контрмер является строгое управление паролями, физическая охрана помещений, механизмы контроля доступа операционных систем, установка паролей BIOS, проведение обучения пользователей в области информационной безопасности.