Введение
Информационная безопасность (ИБ) в настоящее время становится одним из важнейших аспектов общей экономической безопасности деятельности современной организации, характеризуя состояние защищённости ее бизнес-среды. Защита информации представляет собой особую деятельность по предотвращению утечки информации, несанкционированных изменений ее потоков и других воздействий, негативно влияющих на стабильную работу организации и связанных с ней экономических агентов (клиентов, поставщиков оборудования, инвесторов, государства и др.). В этой связи своевременная, оперативная и корректная оценка рисков снижения или полной утери ИБ сегодня является актуальной проблемой в деятельности любой организации.
В современных публикациях, затрагивающих вопросы ИБ, выделяется 4 типа источников угроз влияющих на информационную безопасность:
• природные;
• техногенные;
• человеческие преднамеренные;
• человеческие непреднамеренные.
Мысли
Учитывая существенную разнотипность указанных источников, разработка методик и алгоритмов оценки риска снижения или полной утери ИБ – достаточно трудоемкая и значимая задача для любой информационной системы, требующая выполнения ряда условий.
Во-первых, необходимо построение гибких моделей информационной системы, описывать ее комплексно, с учетом программных, аппаратных ресурсов, внутренних и внешних угроз и уязвимостей, способных настраиваться в соответствии с особенностями конкретной организации.
Во-вторых, с учетом значительного количества факторов риска, математическая модель оценки ИБ должна допускать разработку эффективных численных алгоритмов обработки информации в моделях.
В-третьих, должна быть предельно прозрачна методика оценки рисков, чтобы владелец информации мог адекватно оценить применимость и эффективность методики к конкретной информационной системе.
Для оценки рисков ИБ важно выделить и проанализировать, по-возможности, все или, по крайней мере, основные угрозы и уязвимости, через которые возможна реализация угроз, и которые действуют на информационную систему в смысле отказов или снижения ее работоспособности. На сегодняшний день существует ряд методик оценки рисков информационной безопасности, к основным из которых можно отнести следующие:
1) Метод оценки рисков, основанный на построении модели угроз и уязвимостей;
2) Метод оценки рисков, основанный на построении модели информационных потоков.
Первая методика основана на использовании преимущественно экспертной и статистической информации об угрозах и уязвимостях. Для оценки рисков в информационной системе организации определяется защищенность каждого ценного ресурса при помощи оценки вероятностей реализации угроз, действующих на конкретный ресурс организации (например, вероятность сбоев в работе системы ИБ в связи с низкой квалификацией сотрудников, отсутствием или устареванием программного или аппаратного обеспечения и т.п.), а также уязвимостей, через которые данные угрозы могут быть реализованы. Указанная оценка вероятностей позволяет ранжировать угрозы и уязвимости по степени рисковости.
Так как риски ИБ тесно связаны с применением современных информационных технологий, определяющих эффективность деятельности организации в ее инновационном аспекте, то их можно отнести к разновидности инновационных рисков. Определяя инновационный риск как «вероятность потерь вследствие неправильно поставленной или недостигнутой стратегической цели», при характеристике рисков отказа работоспособности системы целесообразно использовать такой показатель, как уровень затрат (в материальном или стоимостном выражении) на восстановление работоспособности системы.
Исходя из экспертно определенных данных о рисках, уязвимостях и затратах по каждому из ресурсов, можно построить модель угроз и уязвимостей, актуальных для информационной системы организации, и провести анализ функционирования информационной системы с точки зрения минимизации рисков отказа или снижения работоспособности системы и, следовательно, максимизации ее эффективности по критерию ИБ.
Приведем ниже краткую характеристику этапов алгоритма по решению описанной задачи. На первом этапе выделяются наиболее важные для организации направления деятельности, которые определяют (с точки зрения ее руководства) уровень информационной безопасности. На втором этапе, по выделенным направлениям деятельности организации, на основе оценки экспертами вероятности реализации угрозы ИБ, рассчитывается значимость каждой угрозы, а также оценивается уровень затрат в стоимостном выражении на восстановление работоспособности системы. Далее рассчитывается суммарный риск отказа работоспособности системы как сумма рисков по каждому из направлений.
Результат
Результатом решения описанной задачи будем считать распределение финансового ресурса по выделенным направлениям деятельности организации, минимизирующего риски отказа работоспособности системы по критерию ИБ.
Заключение
В заключении отметим, что многие предприятия малого и среднего бизнеса, находясь в информационной среде, не обращают внимание на различного рода угрозы, которым подвержена их информационная система, тем самым подвергая себя риску финансовых потерь. Именно поэтому необходимо разрабатывать модели анализа рисков ИБ, а также создавать алгоритмы и методы их анализа с целью создания систем поддержки принятия решений по управлению ИБ организации.
Более подробная информация о алгоритме и сам алгоритм будет представлен в следующем посте.
Автор: x3m_mors