Современные информационные технологии/ Информационная
безопасность
Ануфриева Ю.О.
ГВУЗ Национальный горный университет
Оценка риска информационной безопасности на комерческом
предприятии
Большинство лиц, ответственных за обеспечение
информационной безопасности, задавалось вопросом: "Как оценить уровень
безопасности корпоративной информационной системы нашего предприятия для
управления им в целом и определения перспектив его развития?"
Темпы развития современных информационных технологий значительно опережают
темпы разработки рекомендательной и нормативно-правовой базы руководящих
документов, действующих на территории Украины.
Поэтому вопрос, "как оценить уровень безопасности
корпоративной информационной системы", - обязательно влечет за собой
следующие: в соответствии с какими критериями производить оценку эффективности
защиты, как оценивать и переоценивать информационные риски предприятия?
Сегодня
современные методики работы по анализу рисков информационной безопасности,
проектированию и сопровождению систем безопасности должны позволять:
- произвести количественную оценку
текущего уровня безопасности, задать допустимые уровни рисков, разработать план
мероприятий по обеспечению требуемого уровня безопасности на
организационно-управленческом, технологическом и техническом уровнях с
использованием современных методик и средств;
- рассчитать и экономически обосновать перед руководством или акционерами
размер необходимых вложений в обеспечение безопасности на основе технологий
анализа рисков, соотнести расходы на обеспечение безопасности с потенциальным
ущербом и вероятностью его возникновения;
- выявить и провести первоочередное блокирование наиболее опасных уязвимостей
до осуществления атак на уязвимые ресурсы;
- определить функциональные отношения и зоны ответственности при взаимодействии
подразделений и лиц по обеспечению информационной безопасности предприятия,
создать необходимый пакет организационно-распорядительной документации;
- разработать и согласовать со службами
организации, надзорными органами проект внедрения необходимых комплексов
защиты, учитывающий современный уровень и тенденции развития информационных
технологий;
- обеспечить поддержание внедренного комплекса защиты в соответствии с
изменяющимися условиями работы организации, регулярными доработками
организационно-распорядительной документации, модификацией технологических
процессов и модернизацией технических средств защиты.
Существенно,
что выполнение указанных мероприятий открывает перед должностными лицами
разного уровня новые широкие возможности.
1. Руководителям организаций и предприятий
позволяет обеспечить формирование единых политики и концепции безопасности
предприятия; рассчитать, согласовать и обосновать необходимые затраты в защиту
предприятия; объективно и независимо оценить текущей уровень информационной
безопасности предприятия; обеспечить требуемый уровень безопасности и в целом
повысить экономическую эффективность предприятия; эффективно создавать и
использовать профили защиты конкретного предприятия на основе неоднократно
апробированных и адаптированных качественных и количественных методик оценки
информационной безопасности предприятий Заказчика.
2. Системным, сетевым администраторам и администраторам
безопасности предприятия - объективно оценить безопасность всех основных
компонентов и сервисов корпоративной информационной системы предприятия
предприятия Заказчика, техническое состояние аппаратно-программных средств
защиты информации (межсетевые экраны, маршрутизаторы, хосты, серверы,
корпоративные БД и приложения); успешно применять на практике практические
рекомендации, полученные в ходе выполнения аналитического исследования, для
нейтрализации и локализации выявленных уязвимостей аппаратно-программного
уровня.
3. Сотрудникам и работникам
предприятий и организаций - определить основные функциональные отношения и, что
особенно важно, зоны ответственности, в том числе финансовой, за надлежащее
использование информационных ресурсов и состояние политики безопасности
предприятия Заказчика.
Разновидности аналитических и
консалтинговых работ в области информационной безопасности предприятий и
организаций могут быть следующими.
1. Комплексный анализ ИС предприятия и
подсистемы информационной безопасности на методологическом,
организационно-управленческом, технологическом и техническом уровнях. Анализ
рисков.
2. Разработка комплексных рекомендаций по
методологическому, организационно-управленческому, технологическому, общетехническому
и программно-аппаратному обеспечению режима информационной безопасности
предприятия.
3. Организационно-технологический анализ ИС
предприятия.
· Оценка соответствия типовым требованиям
руководящих документов к системе
информационной безопасности предприятия в области
организационно-технологических норм.
· Анализ документооборота предприятия категории "конфиденциально" на
соответствие требованиям концепции информационной безопасности; положению о
коммерческой тайне, прочим внутренним требованиям предприятия по обеспечению
конфиденциальности информации.
· Дополнительные работы по исследованию и оценке информационной безопасности
объекта.
4.
Экспертиза решений и проектов.
4.1. Экспертиза решений и проектов
автоматизации на соответствие требованиям по обеспечению информационной безопасности
экспертно-документальным методом.
4.2. Экспертиза проектов подсистем
информационной безопасности на соответствие требованиям по безопасности экспертно-документальным
методом.
5. Работы по анализу документооборота и
поставке типовых комплектов организационно-распорядительной документации.
5.1. Анализ документооборота предприятия
категории "конфиденциально" на соответствие требованиям концепции
информационной безопасности, положению о коммерческой тайне, прочим внутренним
требованиям предприятия по обеспечению конфиденциальности информации.
5.2. Поставка комплекта типовой
организационно-распорядительной документации в соответствии с рекомендациями
корпоративной политики ИБ предприятия на организационно-управленческом и
правовом уровне.
6. Работы, поддерживающие практическую
реализацию плана защиты.
7. Повышение
квалификации и переподготовка специалистов.
8. Сопровождение системы информационной
безопасности после проведенного комплексного анализа или анализа элементов
системы ИБ предприятия.
9. Ежегодная
переоценка состояния ИБ.
Литература:
1. Домарев
В.В. "Безопасность информационных технологий. Системный
подход"
- К.:ООО ТИД «Диасофт», 2004.-992 с.
2. http://planetsecurity.org.ua/