Читайте также:
|
Діяльність будь-якої сучасної компанії неможливо представити без активного використання інформації і інформаційних технологій. Інформація стала одним з найважливіших активів, що знаходяться у розпорядженні компаній. Все це породжує новий клас ризиків для діяльності організацій, який принципово відрізняється від звичних фінансових, юридичних і інших ризиків– ризик порушення інформаційної безпеки. А якщо є ризики – ними треба управляти. Такий підхід закладений в основу сучасних міжнародних і вітчизняних стандартів у сфері забезпечення ІБ. Оскільки ризики породжуються загрозами, то необхідно їх вміти виявляти.
Для того, щоб подолати хворобу, потрібно установити точний діагноз. Те ж саме стосується протидії загрозам. Чим більше інформації про загрозу в нас є, тим ефективніша може бути організована протидія.
Очевидним є той факт, що захист бізнес-діяльності підприємства повинен мати комплексний характер і базуватися на глибокому аналізі можливих негативних наслідків.
Система забезпечення ІБ підприємства має бути здатною ефективно реагувати на загрози функціонуванню підприємства на всіх його етапах. До того ж у системі повинні економно витрачатися ресурси, які виділяються на забезпечення безпеки підприємства та його структурних елементів. Немає сенсу стріляти з гармати по горобцях і кидатися з пістолетом на танк – необхідно якомога більше знати про характер можливих загроз і ризиків.
При цьому дуже важливо уміти виявляти й вивчати загрози на ранніх стадіях їх зародження. Ще В.Бєлінський відзначав, що “знайти причину зла – майже те саме, що знайти проти нього ліки”.
Теоретично можна будувати захист з орієнтацією на всі можливі загрози, але це економічно недоцільно. Дуже важливо вчитися на чужих помилках. Але краще спочатку уявити собі всі можливі варіанти, а потім відібрати найбільш прийнятні для конкретного випадку.
Найбільш поширеним методом виявлення загроз і небезпек є метод зіставлення, згідно з яким здійснюється ідентифікація виявленої загрози або небезпеки шляхом зіставлення з відомими загрозами (небезпеками), які заздалегідь занесені в накопичувальний банк даних варіантів проявів загроз, які вже мали місце. В Україні відомі загрози щодо основних сфер національної безпеки в систематизованому вигляді представлені в Законі “Про основи національної безпеки України”. Цей перелік не є відкритим (тобто його не можна без згоди Верховної Ради розширювати або скорочувати). Для підприємств таке завдання суттєво спрощується. Керівник служби ІБ своїм рішенням формує переліки загроз, які носять відкритий характер.
Існує багато методик, яким чином структурувати загрози та визначати їх рівень. Приклад такої оцінки наведено табл.1.
Таблиця 1
Варіант оцінки загроз безпеці ІС підприємства
| Загрози безпеці | А | Б | В | Г | Д | Е | Ж | З | И | К | Л | Ком-плексна оценка | |
| Общесистемные угрозы | |||||||||||||
| Недоступність інформації | 2.5 | 1.0 | 3.0 | 1.5 | 2.5 | 1.0 | 3.5 | 2.5 | 2.5 | 2.5 | 2.83 | ||
| Помилки користувача | 1,2,3 | 3.0 | 2.5 | 3.5 | 2.0 | 2.5 | 1.0 | 4.0 | 3.0 | 2.5 | 1.5 | 2.98 | |
| Помилки програмного забезпечення | 1,2,3 | 3.5 | 2.5 | 3.0 | 2.0 | 2.0 | 1.0 | 0.0 | 3.0 | 2.5 | 1.5 | 2.75 | |
| Неправильная маршрутизация | 2.0 | 1.5 | 4.0 | 2.0 | 2.0 | 2.0 | 1.0 | 1.5 | 1.5 | 1.5 | 2.65 | ||
| Аппаратные сбои | 1,2,3 | 4.0 | 1.5 | 1.5 | 2.5 | 1.5 | 1.0 | 0.0 | 3.0 | 1.5 | 2.5 | 2.65 | |
| Перегрузка трафика | 1.5 | 1.0 | 1.5 | 1.0 | 1.5 | 1.5 | 1.0 | 2.5 | 1.5 | 2.5 | 2.48 | ||
| Отказ в обслуживании | 3.0 | 1.5 | 2.5 | 3.0 | 2.0 | 1.5 | 3.5 | 2.5 | 3.0 | 2.5 | 2.95 | ||
| Программные злоупотребления | |||||||||||||
| Программы открытия паролей | 3.0 | 2.5 | 1.5 | 2.5 | 2.0 | 1.5 | 3.0 | 2.5 | 3.0 | 2.5 | 2.90 | ||
| Программы захвата паролей | 2.5 | 1.5 | 2.0 | 1.5 | 1.5 | 1.5 | 2.0 | 2.5 | 2.5 | 2.5 | 2.70 | ||
| Люки | 1,2,3 | 3.5 | 2.5 | 3.5 | 0.5 | 3.0 | 1.5 | 2.0 | 2.0 | 3.5 | 2.5 | 2.93 | |
| Логические бомбы | 3.5 | 2.5 | 3.0 | 0.5 | 2.5 | 1.5 | 2.0 | 2.0 | 3.5 | 2.5 | 2.88 | ||
| Троянские кони | 1,2,3 | 3.5 | 2.5 | 3.5 | 0.5 | 3.0 | 1.5 | 2.0 | 2.5 | 2.5 | 2.5 | 2.90 | |
| Репликаторы | 2.5 | 1.0 | 1.5 | 0.5 | 2.5 | 2.0 | 2.0 | 2.0 | 2.5 | 2.5 | 2.65 | ||
| Программные закладки | 2.5 | 2.5 | 2.5 | 1.5 | 2.5 | 1.5 | 1.0 | 2.0 | 3.0 | 2.5 | 2.78 | ||
| Скрытые каналы | 3.5 | 2.5 | 3.5 | 0.5 | 1.5 | 1.5 | 2.0 | 2.5 | 1.5 | 2.5 | 2.78 | ||
| Компьютерные вирусы | 2.5 | 1.5 | 2.0 | 3.0 | 1.5 | 2.0 | 2.0 | 2.0 | 3.5 | 1.5 | 2.78 | ||
| Работа между строк | 2.5 | 2.5 | 2.5 | 1.5 | 2.5 | 1.5 | 1.5 | 1.5 | 2.5 | 2.5 | 2.75 | ||
| Маскарад | 1,2,3 | 3.0 | 2.5 | 3.5 | 1.5 | 2.0 | 2.0 | 4.0 | 3.0 | 2.5 | 2.5 | 3.03 | |
| Подкладывание свиньи | 1,2,3 | 3.0 | 2.5 | 2.5 | 1.5 | 2.5 | 2.0 | 1.5 | 1.5 | 1.5 | 2.5 | 2.75 | |
| Пинание | 4.0 | 1.0 | 1.5 | 1.5 | 1.5 | 2.0 | 3.0 | 3.0 | 2.5 | 2.5 | 2.83 | ||
| Раздеватели - пиратство | 3.5 | 2.5 | 3.5 | 1.5 | 1.5 | 2.0 | 1.5 | 1.5 | 3.5 | 1.5 | 2.83 | ||
| Повторное использование объектов | 2.5 | 2.5 | 3.0 | 1.5 | 2.0 | 1.0 | 4.0 | 1.0 | 2.5 | 2.5 | 2.83 | ||
| Суперзаппинг | 1,2,3 | 2.5 | 2.5 | 2.5 | 1.5 | 3.0 | 1.5 | 3.5 | 2.5 | 2.0 | 2.5 | 2.90 | |
| Атаки салями | 2.5 | 2.5 | 3.5 | 0.5 | 1.5 | 1.0 | 1.5 | 1.5 | 2.0 | 1.5 | 2.60 | ||
| Воздушные змеи | 1.5 | 1.0 | 1.5 | 2.5 | 2.0 | 2.0 | 3.5 | 1.5 | 1.5 | 1.5 | 2.63 | ||
| Другие злоупотребления | |||||||||||||
| Злоупотребления информацией | 1,2,4 | 2.5 | 1.5 | 2.5 | 1.5 | 2.5 | 1.5 | 4.0 | 2.5 | 3.5 | 2.5 | 2.93 | |
| Перехват ПЭМИН | 3.5 | 3.0 | 4.0 | 0.5 | 1.5 | 2.0 | 4.0 | 2.0 | 2.5 | 2.5 | 2.98 | ||
| Перехват информации | 3.5 | 2.5 | 3.5 | 3.0 | 2.5 | 2.0 | 1.0 | 1.5 | 2.5 | 2.5 | 2.93 | ||
| Анализ трафика | 3.5 | 2.5 | 2.5 | 1.5 | 1.5 | 2.0 | 1.5 | 1.5 | 1.5 | 2.5 | 2.73 | ||
| Сетевые анализаторы | 4.0 | 2.5 | 2.5 | 1.5 | 1.5 | 2.0 | 1.5 | 1.5 | 2.0 | 2.5 | 2.78 | ||
| Умышленное повреждение данных и программ | 2.0 | 2.0 | 2.5 | 1.0 | 2.5 | 1.0 | 3.5 | 2.5 | 1.5 | 1.0 | 2.68 | ||
| Повреждение аппаратных средств | 3.5 | 1.5 | 2.5 | 1.5 | 2.0 | 1.5 | 0.0 | 2.0 | 1.0 | 1.0 | 2.53 | ||
| Кража информации | 1,2,3 | 2.0 | 2.5 | 3.5 | 1.5 | 2.0 | 1.5 | 2.5 | 2.0 | 1.5 | 1.0 | 2.70 | |
| Другие виды мошеничества | 2.0 | 2.0 | 3.5 | 1.5 | 2.5 | 1.5 | 2.5 | 2.0 | 2.5 | 2.0 | 2.80 | ||
| Примечание. Максимальные оценки для графы А - 4; для графы Б - 4; для графы В - 3; для графы Г - 4; для графы Д - 4; для графы Е - 3; для графы Ж - 2; для графы З - 4; для графы И - 3; для графы К - 4; для графы Л - 3. |
У якості базових розглядаються такі показники, позначення та шкали:
А - порушувані принципи безпеки:
1 - порушення конфіденційності приватної, службової і другої інформації;
2 - нарушение целостности и достоверности хранимых данных с помощью специальных программ;
3 - нарушение доступности системы, данных и услуг всем уполномоченным пользователям;
4 - несоблюдение законов, правил, лицензий, договоров и этических норм при использовании информации.
Б - возможность предотвращения - оцениваются возможности предотвращения угрозы для конкретной АИС в реальных условиях:
1 - легко; 2 - трудно; 3 - очень трудно; 4 - невозможно.
В - обнаружение угрозы - оценивается возможность обнаружения угрозы (автоматическая или ручная):
1 - легко; 2 - трудно; 3 -невозможно.
Г - возможность нейтрализации / восстановления. Оцениваются усилия необходимые для нейтрализации угрозы (для принципов безопасности А1 и А4) или восстановления нормальной работы (для принципов безопасности А2 и А3):
1 - легко; 2 - трудно; 3 - очень трудно; 4 - невозможно.
Д - частота появления. Данная оценка отражает сравнительную характеристику частоты появления конкретной угрозы в сравнении с другими угрозами:
0 - неизвестна; 1 – низкая (1 раз в год); 2 – средняя (раз в месяц); 3 – высокая (2 раза в неделю); 4 - сверх высокая (3 раза в день).
Е - потенциальная опасность - оценивается опасность угрозы с точки зрения ущерба, который может понести АИС в случае реализации угрозы:
1 - низкая; 2 - высокая; 3 - сверх высокая.
Ж - источник появления:
1 - внутренний; 2 - внешний.
З - уровень необходимых знаний - оценивается уровень профессиональной подготовки нарушителей для подготовки и реализации соответствующей угрозы:
1 - фундаментальные знания системной организации ресурсов, протоколов связи и др.; 2 - знание операционной системы; 3 - знание языков программирования; 4 - элементарные знания в области вычислительной техники.
И - затраты на проектирование и разработку злоупотребления:
1 - большие; 2 - средние; 3 - незначительные затраты.
К - простота реализации:
1 - очень трудно; 2 - трудно; 3 - относительно нетрудно; 4 - легко;
Л - потенциальное наказание в рамках существующего законодательства. Следует отметить, что здесь необходимо рассматривать такие аспекты, как дисциплинарные взыскания, гражданская и уголовная ответственность. При оценке угроз по данному критерию следует принимать во внимание факт возможности доказательства авторства программного злоупотребления и наличие юридической ответственности за соответствующие нарушения: 1 - строгое наказание (вплоть до уголовной ответственности); 2 - незначительное наказание; 3 - наказание отсутствует.Послідовність оцінювання ефективності системи забезпечення ІБ підприємства показана на рис. 2.
У вітчизняній практиці широко використовується метод нав’язування загрози. Нав’язування може бути як зовнішнє (іншою структурою), так і внутрішнє (впливовою особою або співробітником).
 | |||
|
Провідні держави світу та транснаціональні компанії активно застосовують і такий “старий” метод виявлення недружніх намірів інших держав та конкурентів, як агентурний. Зрозуміло, що даним, отриманим агентурною розвідкою, надається відповідний гриф таємності і їх оброблення проводиться спеціальними методами, які не висвітлюються у відкритому друці.
Слід зазначити, що сучасні інформаційні технології дають змогу високотехнологічним підприємствам послаблювати або завдавати значної шкоди безпеці конкуруючих структур, які не мають ефективної системи захисту від негативних інформаційних впливів. Інформаційний простір, інформаційні ресурси, інформаційна інфраструктура та інформаційні технології значною мірою впливають на рівень і темпи соціально-економічного, науково-технічного і культурного розвитку. Від обсягу, швидкості та якості обробки інформації суттєво залежить ефективність управлінських рішень, зростає значення методів управління з використанням інформаційних технологій соціальними та економічними процесами, фінансовими і товарними потоками, аналізу та прогнозування розвитку внутрішнього і зовнішніх ринків тощо.
Дата добавления: 2014-11-24; просмотров: 153 | Поможем написать вашу работу | Нарушение авторских прав |