Данная статья является продолжение того пути, который я начал в далёком 2012 году, поступив на специальность, связанную с обеспечением компьютерной безопасности в различных областях. К сожалению, университет так и остался университетом…

Предисловие

Большая часть моей учебной деятельности была так или иначе связана с безопасностью. И именно желание понять то как защитить эту информацию послужило причиной по которой я поступил на свою специальность. Время шло, дисциплины пролетали за дисциплиной, а знания так и оставались где-то в облаках. Я понимал, что настанет время и мне придется заниматься тем на кого я учусь и порой мне становилось стыдно от того какие я знания получаю, вернее “незнания”. Возможно именно тогда и появилось внутри желание получать эти знания так, как я это делаю сейчас.

Я хочу быть если не высококвалифицированным специалистом в своей области, но хотя бы “не падать каждый раз в грязь лицом”, когда речь заходит о моей профессиональной области и я не могу поддерживать в ней разговор, не говоря уже о комплексной защите и понимании того, как следует всё реализовать.

К сожалению, речь здесь не только о безопасности, другие области, которые мне интересны и в которых я не особо силён, здесь также будут затронуты. Я верю, что данный формат должен помочь как мне, так и другим людям, которые когда-нибудь прочтут данные материалы.

Формат данных статей будет предполагать рассмотрение определённых тематик и на каждую из них будет предложено чёткое определение того, что необходимо в них знать и понимать. Не рассчитывайте на большое количество вопросов и ответов в краткий срок. Я делаю это в первую очередь для себя и пока я лично сам не разберусь, не пойму суть и не запомню всего значения данной проблемы, к другой тематике я переходить не стану.

Первые темы будут не самыми интересными, однако, это необходимая база, которую необходимо знать и грамотно изъясняться в профессиональной области. В самом начале статьи будет список вопросов с навигацией и далее по каждому из вопросов будет дан развёрнутый ответ. Количество вопросов в каждой статье может варьироваться и обычно составляет 5-10. Статья может быть разбита на несколько частей, но это зависит от материала, который я буду использовать.

Всё остальное будет раскрываться непосредственно из статьи и если что-то новое будет происходить, то вы это поймете, читая заметки или какой-либо другой материал. На этом всё, пора переходить к вопросам. А их в нашей первой статье аж 8!

Навигация по статье:

1. Место и роль автоматизированных систем в управлении бизнес-процессами

Безопасность такое понятие, которое редко затрагивает одного человека и касается только одного человека. Лишь малая часть населения понимает, что это такое и вообще для чего безопасность нужна, а уж как образом она достигается знают наверное единицы (в общем проценте от населения планеты). Мы вспоминаем о безопасности наших данных только тогда как где-нибудь в мире или нашей стране происходит утечка информации, персональных данных, коммерческой или гос. тайны. Вот вам недавний пример, который произошел по непонятно чьей вине, таких примеров вагон и маленькая тележка. Однако, не все данные события освещаются его величеством Интернетом, многие происходят на уровне небольших организаций, которые незамедлительно стараются такие события прикрыть чтобы о них никто не узнал.

Так вот, как упомянулось выше, организация безопасности не направлена на какого-то конкретного человека, она касается целой области не только людей и их данных, но и целых процессов, которые управляют всем бизнесом организации. При этом вся организация управлением безопасности также ложится не на хрупкие плечи человека, а уже на целую систему, которая непосредственно сначала создается, а затем управляется людьми.

Компьютерные технологии лишь дают возможность произвести автоматизацию процессов управления и не более. Это позволяет сэкономить многие ресурсы, а самый главный человеческий ресурс - время. С учётом повышения объема поступающих сведений, необходимо повышать качество и эффективность управления всей системы в целом.

Из-за широкого применения автоматизированных систем в организациях, требования к защите систем, использующихся в управлении бизнес-процессами, многократно увеличиваются, а каждая неполадка может вылиться организации в крупные финансовые потери, и это только в лучшем случае.

Первое, что следует понимать, это то, что любая автоматизированная информационная система (АИС) является частью автоматизированной системы управления (АСУ). Это значит, что в АСУ может быть несколько АИС и каждая из них занимается разными вещами.

Любое действие с информацией, которое приводит к нарушению безопасности (искажение, разглашение, уничтожение и т.д. и т.п.), может нанести как материальный, так и моральный вред многим субъектам, которые имеют отношение к данной информации.

При этом, каждую автоматизированную систему приходится настраивать таким образом, чтобы определенная часть информации была бы легко доступна всем кто в этом нуждается, и в то же время надежна защищена, а действия самой системы не приводили к нарушению безопасности.

2. Факторы, которые определяют актуальность проблемы защиты автоматизированных систем в современных условиях

Порой некоторые моменты моей учёбы проходили настолько скучно, что хотелось просто сбежать с пар. Теперь я понимаю что - нежелание воспринимать некоторую скучную и неинтересную информацию. Так случилось и здесь, есть вопросы, которые наводят скуку и которые не очень и хочется рассказывать, однако, эти вопросы позволяют глубже разобраться в причине того почему всё так происходит. Данные вещи я буду стараться описывать максимально сжато и так как их вижу лично я.

Итак, факторы благодаря которым проблема защиты АС как никогда является актуальной. Их на самом деле очень много, кадждый специалист может найти что-то новое для себя, так и добавить свои взгляды на это. Я же приведу следующий список:

  • Увеличение области использования компьютерной техники. Наверное нет ни одной организации, в которой бы не было ПК, а чем большое количество техники используется в организации, тем больше потребности возникает как у самой организации, так и у людей.
  • Увеличение числа электронных носителей информации, а как следствие, хранение на данных носителях большого количества информации.
  • Повышение доверия со стороны людей к автоматизированным системам управления, что может привести к тому, что эти системы управления могут быть задействованы в критически важных областях, в которых важно именно воздействие человека, а не машины.
  • Развитие многообразных видов угроз, а также возникновение новых способов несанкционированного доступа к информации. В сочетании с большим количеством носителей, данный фактор является особо важным.
  • Повышение уровня образованности и квалифицированности людей, “благодаря” которым и возникают всеразличные угрозы и способы дестабилизирующие автоматизированные системы.

3. Причины обострения проблемы обеспечения информационной безопасности

Исходя их тех факторов, которые я перечислил выше, можно привести некоторые причины, по которым происходит обострение проблемы обеспечения ИБ (в некотором роде они буду повторять сами факторы):

  • Возрастание уровня доверия к АСУ - одна из самых главных причин. Главное заблуждение людей, они думают, что машины могут сделать всё за них и им не придется ни в чём разбираться. К сожалению, такая схема автоматически обречена на провал.
  • Бурное развитие информационно-телекоммуникационных сетей (вот тут вы можете почитать интересную статистику по Интернету в России и в мире).
  • Развитие компьютерной грамотности во всех слоях населения. Первая часть населения развивает и применяет различные виды угроз (это профессионалы в своей деятельности), вторая часть, просто за счёт того, что они “якобы” всё знают, начинают применять свои знания не там где это необходимо, тем самым, открывая лазейки злоумышленникам.
  • Отсутствие нормального законодательно-правового регулирования отношений, возникающих в условиях возникновения “компьютерных преступлений”.

4. Причины по которым проблема обеспечения безопасности автоматизированных систем относится к числу трудноразрешимых

Трудноразрешимость проблемы обеспечения безопасности выражена многими обстоятельствами, где-то случайными, где-то закономерными, но в большинстве случаев она связана с человеческим фактором, вот лишь некоторые из обстоятельств:

  • Непонимание того, что необходимо защищать АС, которой пользуется организация. Организация считает, что их информация никому не нужна, либо, что их система надёжна защищена.
  • Неопределенные риски при использовании новых АС. Связано это с неизвестностью того какие угрозы могут оказывать своё влияние на новую АС.
  • Необходимость использовать комплексный подход в защите АС. В большинстве случае защищается отдельная часть АС, либо применяется только одна из мер по защите АС, что является неправильным подход и влечёт лишь пустые расходы в защите АС.
  • Неравные возможности средств и методов защиты и нападения. При защите АС всегда следует понимать, что в большинстве случае злоумышленник имеет больше возможности в нападении, чем мы в защите.
  • Как следствие из предыдущего пункта, недостаточное количество специалистов компьютерной безопасности, и в целом низким количеством людей, котороые осведомлены в вопросах безопасности информационных технологий.

5. Риск информационной безопасности. Составляющие риска

Все предыдущие выкладки были сделаны для того, чтобы дать чёткое представление о том, что невозможно создать абсолютно непреодолимую систему защиты информации. Это всегда стоит помнить в первую очередь и как специалисту по безопасности каждый раз напоминать своему руководству об этом. Нет единой концепции защиты информации, есть отдельные АС, есть то из чего они состоят, есть возможность использовать продукты, которые помогут снизить вероятность успешной реализации угрозы на отдельные объекты, составляющие данную АС.

Специалисту по безопасности часто приходится оперировать различными понятиями, определениями, поэтому необходимо грамотно представлять что это такое, когда о них заходит речь. Так вот и мы, постепенно будем себя приучать к ним.

Определения

Угроза - потенциально возможное событие, вызванное действием, процессом или явлением, которое может привести к нанесению ущерба чьим-либо интересам.

Риск - оценка опасности определенной угрозы.

Риск оценивает насколько опасна та или иная угроза. Как она это делает - отдельный вопрос. В общем случае, риск выражает вероятностно-стоимостную оценку возможных потерь от конкретной угрозы. Как мы видим риск состоит из двух составляющих:

  • вероятность успешной реализации угрозы - всегда измеряется от 0 (провал) до 1 (успех)
  • стоимость потерь, либо по иному ущерба, от реализации угрозы - выражается вероятнее всего в денежном эквиваленте

Как видно из определения, в формулировке риска участвует всего лишь две составляющие, они же участвуют при расчете суммарной стоимостной оценки информационной безопасности организации. Нетрудно догадаться, что здесь будут участвовать все возможные риски, которые специалист по защите информации примет в расчет. И выражать он будет лишь количественную сторону риска, а он как мы уже убедились состоит еще и из качественной составляющей, выражающейся вероятностью.

Итак, стоимостная составляющая информационной безопасности расчитывается по формуле:

  • n - количество всех принятых во внимание рисков
  • A - вероятностная оценка риска.
  • В - стоимостная оценка риска.
  • С - стоимость реализации мер защиты.
  • Rmax - допустимые издержки.

6. Анализ рисков и управление ими. Этапы анализа и управления

Риски позволяют на ранней стадии выявить необходимость в применении дополнительных мер по обеспечению безопасности АС. Однако, для того чтобы такая схема работала, следует чётко представлять состав АС организации, тем более если это новая внедренная АС.

Как мы уже выяснили ранее, риск не может быть один, даже если брать отдельный компонент АС, то на него может быть направлено более одной угрозы. Для того чтобы оценить опасность каждой угрозы используется такое понятие как анализ рисков.

Определение

Анализ рисков - выявление существующих угроз и оценка их опасности.

Во время проведения анализа рисков специалист по защите информации выявляет все значимые угрозы, т.е. это такие угрозы, у которых высокая вероятность реализации и/или приводящие к значительным потерям.

Из анализа рисков вытекает главное направление управления рисками. Управление рисками представляет собой суть защиты ресурсов автономной системы.

Как уже упоминалось в предыдущем вопросе, риск можно анализировать двумя способами: качественно и количественно.

Количественный способ оценки рисков более нагляден для представления, однако, он же и более труднореализуем в виду следующих осложнений:

  • Трудность в оценке ущерба нематериальных активов. Как правильно оценить информацию? Сколько стоит идея руководства? Почему идея руководящего состава может быть дороже моей идеи и наоборот? По чём сегодня конфиденциальность? А завтра она может быть дороже или дешевле? И таких вопросов не одна дюжина.

  • Сложность оценки косвенных потерь от реализации угрозы. В зависимости от способа реализации угрозы потери могут проявиться как в различных областях АС, так и просто в инфраструктуре организации не связанной с АС. Ранее мы видели, что на отдельный компонент АС может быть направлено различное количество угроз. Следовательно, риск не учесть какую-либо угрозу велик, поэтому к определению угроз необходимо подходить грамотно, так как от этого зависит дальнейший расчет как оценки опасности реализации угрозы, так и возможный ущерб от реализации угрозы.

  • Обесценивание результатов длительной качественной оценки рисков. Ну тут думаю и так всё понятно.

В виду сложности реализации количественного подхода, в настоящее время используется именно качественный подход при анализе рисков. Он предполагает простое разграничение рисков по степени их опасности.

Определение

Управление рисками - принятие мер защиты, направленных на снижение частоты успешной реализации угроз.

Анализ рисков и управление ими состоит из следующих этапов:

  1. Определение границы автоматизируемой системы, а также методологии (количественный или качественный подход) оценки существующих рисков.
  2. Идентификация и оценка информационных ресурсов автоматизированной системы.
  3. Идентификация угроз и оценка вероятностей их реализации.
  4. Определение риска и выбор средств защиты.
  5. Внедрение средств защиты и оценка остаточного риска.

7. Требования к методам оценки целесообразности затрат на обеспечение безопасности автоматизированных систем

Итак, для того чтобы применить определённую политику безопасности в своей организации, вам, как специалисту, необходимо чётко представлять насколько целесообразно будет вкладывать в вашу политику средства на её реализацию, а также дальнейшее развитие и поддержание. В сети существует масса требований по оценке целесообразности затрат, однако, я постараюсь простым языком объяснить на что следует обращать внимание.

  • Так как практическая оценка рисков в большинстве случаев производится качественным способом, то оценку затрат необходимо производить количественным способом, при этом опираясь на качественные показатели оценки вероятности событий.

  • Вы как представитель безопасности должны максимально прозрачно определять все расходы, используемые в вашем методе оценке затрат, для того чтобы не только вы имели представление о том какие механизмы будут использоваться в защите, а также сколько они стоят и какой будут иметь эффект в будущем, но и например ваше руководство. Это необходимо для того, чтобы в дальнейшем к вам было меньше вопросов по поводу последствий, которые могут произойти в виду двух вещей: вашей некомпетентности как специалиста, либо отсутствия мозгов у руководства, которое не выделило необходимые средства на обеспечение должного уровня защиты данных в организации.

  • Ваш метод должен быть универсальным. Это значит, что вы можете применить данный метод как к оценке расходов на приобретение программного или аппаратного обеспечения, но также и при оценке затрат на обучение внутреннего персонала и др.. Сложная задача, так как необходимо учитывать комплексное подход при обеспечении безопасности, а не какую-либо отдельную часть.

8. Категории затрат, связанных с безопасностью автоматизированных систем

Мы выяснили, что необходимо соблюдать определенные требования при формировании защиты в организации, так как неопределенные расходы могут вызвать вопросы у руководства. В конце первой статьи давайте рассмотрим какие категории затрат выделяются при формировании первоначального проекта обеспечения безопасности в организации. В конце данного вопроса вы сами убедитесь в том, что обеспечение информационной безопасности очень и очень дорогостоящее мероприятие, если это так можно назвать. При этом неправильный выбор того, что необходимо сделать в каждой категории может повлечь как неудобство в дальнейшей работе, так и колоссальные расходы.

railroad

Итак, на картинке выше представлены все возможные категории затрат, которые следует учитывать при построении определенной защиты автоматизированной системы в организации. В настоящий момент расписывать каждый пункт в возможной категории не имеет смысла, так как они могут меняться в зависимости от появления новых угроз, да и при желании по каждой категории можно самому составить необходимые вам списки затрат.

Первая статья наконец завершена! Тяжело и может не особо интересно, но опыт всегда есть опыт, каким бы он ни был. Хочется (лично для себя) больше практической составляющей, но в данном случае таковой будет немного, потому что начинать с практики не имея теоретических знаний неправильно. Надеюсь, что данная статья принесла хоть кому-либо пользу и сподвигла вас на первый толчок в какой-либо области обучения.

⤧  Next post Основные понятия в области безопасности автоматизированных систем ⤧  Previous post Back to 2017