Студопедия

Главная страница Случайная страница

Разделы сайта

АвтомобилиАстрономияБиологияГеографияДом и садДругие языкиДругоеИнформатикаИсторияКультураЛитератураЛогикаМатематикаМедицинаМеталлургияМеханикаОбразованиеОхрана трудаПедагогикаПолитикаПравоПсихологияРелигияРиторикаСоциологияСпортСтроительствоТехнологияТуризмФизикаФилософияФинансыХимияЧерчениеЭкологияЭкономикаЭлектроника






Анализ методики Гриф






 

Для проведения полного анализа информационных рисков, прежде всего, необходимо построить полную модель информационной системы с точки зрения ИБ. Для решения этой задачи ГРИФ, в отличие от представленных на рынке западных систем анализа рисков, которые громоздки, сложны в использовании и часто не предполагают самостоятельного применения ИТ - менеджерами и системными администраторами, ответственными за обеспечение безопасности информационных систем компаний, обладает простым и интуитивно понятным для пользователя интерфейсом. Основная задача методики ГРИФ - дать возможность ИТ - менеджеру самостоятельно оценить уровень рисков в информационной системе, оценить эффективность существующей практики по обеспечению безопасности компании и иметь возможность сделать это доказательно (в числах) [6].

На первом этапе методики ГРИФ проводится опрос ИТ - менеджера с целью определения полного списка информационных ресурсов, представляющих ценность для компании.

На втором этапе проводится опрос ИТ - менеджера с целью ввода в систему ГРИФ всех видов информации, представляющей ценность для компании. Введенные группы ценной информации должны быть размещены пользователем на ранее указанных на предыдущем этапе объектах хранения информации (серверах, рабочих станциях и т.д.). Заключительная фаза - указание ущерба по каждой группе ценной информации, расположенной на соответствующих ресурсах, по всем видам угроз.

На третьем этапе вначале проходит определение всех видов пользовательских групп (и число пользователей в каждой группе). Затем определяется, к каким группам информации на ресурсах имеет доступ каждая из групп пользователей. В заключение определяются виды (локальный и / или удаленный) и права (чтение, запись, удаление) доступа пользователей ко всем ресурсам, содержащих ценную информацию.

На четвертом этапе проводится опрос ИТ - менеджера для определения средств защиты информации, которыми защищена ценная информация на ресурсах. Кроме того, в систему вводится информация о разовых затратах на приобретение всех применяющихся средств защиты информации и ежегодные затраты на их техническую поддержку, а также - ежегодные затраты на сопровождение системы информационной безопасности компании[4].

На завершающем этапе пользователь должен ответить на список вопросов по политике безопасности, реализованной в системе, что позволяет оценить реальный уровень защищенности системы и детализировать оценки рисков. Наличие средств информационной защиты, отмеченных на первом этапе, само по себе еще не делает систему защищенной в случае их неадекватного использования и отсутствия комплексной политики безопасности, учитывающей все аспекты защиты информации, включая вопросы организации защиты, физической безопасности, безопасности персонала, непрерывности ведения бизнеса. К недостаткам ГРИФ можно отнести:

- отсутствие привязки к бизнес-процессам;

- нет возможности сравнения отчетов на разных этапах внедрения комплекса мер по обеспечению ИБ;

- отсутствует возможность добавить специфичные для данной компании требования политики безопасности.

В результате выполнения всех действий по данным этапам, на выходе формируется полная модель информационной системы с точки зрения информационной безопасности с учетом реального выполнения требований комплексной политики безопасности, что позволяет перейти к программному анализу введенных данных для получения комплексной оценки рисков и формирования итогового отчета. Отчет представляет собой подробный, дающий полную картину возможного ущерба от инцидентов документ, готовый для представления руководству компании.

Существующая методика оценки риска позволяет самостоятельно оценить степень риска предприятия в пределах одной сети, но не дает полной картины, что существенно влияет на безопасность информации в целом.

Рассмотренные методики в той или иной степени позволяют показать примерную оценку информационного риска для предприятия. Невозможно дать точную оценку риску, ввиду сложности представления ущерба для системы, из-за большого количества компонентов вычислительной среды и различных топологий локальных и корпоративных сетей с их программно-аппаратным наполнением и управлением.

Ни одна из методик не предлагает оценку рисков в корпоративной среде предприятия, кроме методики анализа корпоративных рисков от Microsoft. Современный бизнес диктует скорость развития технологий, как с экономической, так и с технической стороны. Любая средняя организация имеет как минимум два удаленных офиса.

В России в настоящее время чаще всего используются разнообразные «бумажные» методики, достоинствами которых являются гибкость и адаптивность. Как правило, разработкой данных методик занимаются компании - системные и специализированные интеграторы в области защиты информации. По понятным причинам методики обычно не публикуются, поскольку относятся к этой компании. В силу закрытости данных методик судить об их качестве, объективности и возможностях достаточно сложно.

Рассмотренные методики ориентированы на те сети, которые построены по доменному принципу, имеющие четкие разделения прав пользователей, группы, общие ресурсы, что в некоторой степени позволяет применять групповую политику на весь домен, но, с другой стороны, при падении домена, сеть оказывается полностью неработоспособной.

Доменная структура сложна в настройке, но ее производительность того стоит. Для сетей с небольшим количеством компьютеров доменная организация не имеет смысла.

Некоторые системы учета рисков предлагают выделить системы защиты по ступеням, от технической защите к программной, то есть самой теоретически стойкой к взлому.

Организациям среднего и малого размера покупка очень дорогостоящего средства учета рисков просто не по карману. Здесь следует учитывать тот факт, что количество информации, которое является коммерческой тайной, гораздо меньшее по объему, чем в крупных компаниях.

Необходимая степень конкретизации деталей зависит от уровня зрелости организации, специфики ее деятельности и ряда других факторов. Таким образом, невозможно предложить какую-либо единую, приемлемую для всех отечественных компаний и организаций, универсальную методику, соответствующую определенной концепции управления рисками. В каждом частном случае приходится адаптировать общую методику анализа рисков и управления ими под конкретные нужды предприятия с учетом специфики его функционирования и ведения бизнеса. Таким образом, учет рисков должен быть:

– недорогостоящим;

– профильными;

– эффективным;

– масштабируемым;

– управляемым;

– легко адаптируемым к системе;

– учитывать все особенности построенной сети.

Компания может приобрести лучшие технологии по безопасности, какие только можно купить за деньги, натренировать своих людей так, что они станут прятать все свои секреты, прежде чем пойти ночью домой, и нанять охранников в лучшей охранной фирме на рынке. Но эта компания всё ещё остаётся полностью уязвимой.

Сами люди могут полностью следовать лучшей практике по безопасности, рекомендованной экспертами, устанавливать каждый вновь появившийся рекомендованный программный продукт по безопасности и тщательно следить за конфигурацией своей системы. Но и они всё равно полностью уязвимы.

 

Список литературы

 

1. Обзор системы анализа рисков CRAMM [Электронный ресурс]. - Режим доступа: https://www.cramm.com/overview/expert.html. – Загл. с экрана.

2. Обзор системы анализа рисков ГРИФ [Электронный ресурс]. - Режим доступа: https://www.dsec.ru/products/grif/overview/start/ – Загл. с экрана.

3. Обзор системы анализа рисков для корпоративных сетей и управления ими [Электронный ресурс]. – Режим доступа: https://www.intuit.ru/department/itmngt/riskanms/4/1. – Загл. с экрана.

4. Обзор системы анализа рисков Microsoft expert [Электронный ресурс]. – Режим доступа: https://www.microsoft.com. – Загл. с экрана.

5. Обзор системы анализа и управления рисками [Электронный ресурс]. – Режим доступа: https://www.osp.ru/lan/2004/10/139689/ – Загл. с экрана.

6. Обзор системы учета, управления и анализа рисков предприятия [Электронный ресурс]. – Режим доступа: https://www.peltierassociates.com/ – Загл. с экрана.

7. Обзор систем анализа [Электронный ресурс]. – Режим доступа: https://www.riskwatch.com/InformationSystems.html. - Загл. с экрана.

8. Обзор систем и учета рисков для корпоративных сетей предприятия CRAMM, FRAP, RiskWatch [Электронный ресурс]. – Режим доступа: https://www.securitylab.ru/opinion/264493.php. - Загл. с экрана.

9. Балашов П.А., Кислое Р.И., Безгузиков В.П. Оценка рисков информационной безопасности на основе нечеткой логики // Безопасность компьютерных систем. Конфидент. 2007. №5. С. 56-59.

10. Биячуев Т.А. / под ред. Л.Г. Осовецкого Безопасность корпоративных сетей. - СПб.: изд-во СПб ГУ ИТМО, 2006. - 161 с.

11. Гладких А.А., В.Е. Дементьев / Базовые принципы информационной безопасности вычислительных сетей: учебное пособие для студентов; - Ульяновск: изд-во УлГТУ, 2009. - 168 с.

12. Кононов А.А. Автоматизация построения профилей защиты с использованием комплексной экспертной системы «АванГард».

13. Оголюк А.А., А.В. Щеглов / Технология и программный комплекс защиты рабочих станций. - М.: изд-во Финансы и статистика, 2007 г. - 280 с.

14. Петренко С.А., Симонов С.В. /Управление информационными рисками. Экономически оправданная безопасность - М.: 2005. - 384 с.

15. Расторгуев С.П. Об обеспечении защиты АИС от недокументированных возможностей программного обеспечения // Конфидент. Защита информации. - №2. - 2005. - С. 26-29.

16. Романец Ю.В., Тимофеев П.А., Шаньгин В.Ф. Защита информации в компьютерных системах и сетях. - М.: Радио и связь, 2005.

17. Саати Т. Принятие решений: метод анализа иерархий. - М: Радио и связь, 1993.

18. Сабынин В.Н. Давайте говорить на одном языке // Системы безопасности. - №1. - 2001.

19. Сардак И.Г. Борьба с экономическими преступлениями выходит на новый уровень // Системы безопасности связи и телекоммуникаций. - №3. - 2003.

20. Симонов С.В. Методология анализа рисков в информационных системах // Защита информации. Конфидент. 2001. №1. C. 72-76.

21. Симонов С.В. Анализ рисков в информационных системах. Практические аспекты // Конфидент. Защита информации. - №2. - 2001. - С. 48-53.

22. Симонов С.В. Анализ рисков, управление рисками //Jet Info. - №1. - 1999.

23. Симонов С.В. Аудит безопасности информационных систем //Jet Info. - №9. - 1999.

24. Симонов С.В. Методология анализа рисков в информационных системах // Конфидент. Защита информации. - №1. - 2008. - С. 72-76.

25. Симонов С.В. Технологии аудита информационной безопасности // Конфидент. Защита информации. - №2. - 2006. - С. 36-41.

26. Симонов С.В. Технологии и инструментарий для управления рисками //Jet Info.- №1. - 2004.

27. Староверов Д. Конфликты в сфере безопасности. Социально-психологические аспекты защиты // Системы безопасности связи и телекоммуникаций. - №6. - 2001.

28. Староверов Д. Оценка угроз воздействия конкурента на ресурсы организации // Конфидент. Защита информации. - №2. - 2005. - С. 58-62.

29. Сырков Б. Компьютерная преступность в России. Современное состояние // Системы безопасности связи и телекоммуникаций. - №4. - 2007.

30. Трубачев А.П., Долинин М.Ю., Кобзарь М.Т., Сидак А.А., Сороковиков В.И. Оценка безопасности информационных технологий / Под общ. ред. В.А. Галатенко. - М.: Издательство СИП РИА, 2008.

31. Турский А., Панов С. Защита информации при взаимодействии корпоративных сетей в Internet // Конфидент. Защита информации. - №5. - 2008. - С. 38-43.

32. Шпак В.Ф. Методологические основы обеспечения информационной безопасности объекта // Конфидент. Защита информации. - №1. - 2000. - С. 75-86.

33. Шумский А.А., Системный анализ в защите информации / А.А. Шумский, А.А. Шелупанов. - М.: Гелиос АРВ, 2008. - 224 с.

34. Щеглов А.Ю. / Защита информации он несанкционированного доступа. - М.: изд-во Гелиос АРВ, 2005. - 384 с.

 

 






© 2023 :: MyLektsii.ru :: Мои Лекции
Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав.
Копирование текстов разрешено только с указанием индексируемой ссылки на источник.