«Петренко С. А. ...»

Таким образом, более половины организаций относятся к первому или второму уровню зрелости и не заинтересованы в проведении анализа рисков в любой постановке.

Организации третьего уровня зрелости (около 40% общего числа), пользующиеся (или планирующие пользоваться) какими-либо подходами к оценке системы информационной безопасности, следуют стандартным рекомендациям и руководствам класса «Good Practice», относящимся к базовому уровню информационной безопасности. Эти организации внедряют или планируют внедрить систему управления рисками базового уровня (возможно, ее элементы) на всех стадиях жизненного цикла информационной технологии.

Организации, принадлежащие к четвертому и пятому уровням зрелости, составляют в настоящее время не более 7% от общего числа, используют разнообразные «углубленные» методики анализа рисков, обладающие дополнительными возможностями, по сравнению с методиками базового уровня. Такого рода дополнительные возможности, позволяющие выполнять количественный анализ и оптимизацию подсистемы информационной безопасности в различной постановке, в официальных руководствах не регламентируются.

В России доля организаций, относящихся к третьему, четвертому и пятому уровням зрелости, еще меньше. Соответственно, наиболее востребованы в настоящее время простейшие методики анализа рисков, являющиеся частью методик управления рисками базового уровня.

Потребителями количественных методик анализа рисков в России выступают в основном компании финансового профиля, для которых информационные ресурсы представляют большую ценность. Их немного, но они готовы вкладывать существенные средства в разработку собственных (приемлемых для них) количественных методик анализа информационных рисков.

 Национальные особенности защиты информации

При выполнении работ в области защиты информации и, в частности, при анализе информационных рисков необходимо учитывать некоторые специфические национальные особенности организации режима информационной безопасности на объектах информатизации в России. Как минимум можно выделить две такие особенности:

• концептуальные отличия действующих российских руководящих документов от аналогичных зарубежных стандартов;
• отсутствие в подавляющем большинстве случаев настоящих неформальных собственников информационных ресурсов, то есть лиц, заинтересованных в реальном обеспечении режима информационной безопасности, принятии на себя ответственности за выбор определенных величин остаточных рисков (которые всегда присутствуют в КИС).

Рассмотрим указанные особенности подробнее.

 Особенности отечественных нормативных документов

Большинство документов Гостехкомиссии при Президенте РФ в области защиты информации датируются 1992 годом и относятся к информационным технологиям на базе уже устаревших аппаратных средств. Документы отражают «военную» точку зрения на проблемы информационной безопасности, в соответствии с которой основные усилия направлены на обеспечение конфиденциальности (защищенности от несанкционированного доступа - НСД). Другим аспектам - сохранению целостности и доступности — уделено гораздо меньше внимания. При этом особенности современных автоматизированных систем (АС) гражданского применения не учитываются.

Требования к безопасности АС сформулированы по подсистемам. Устанавливается 9 классов защищенности АС от НСД к информации. Каждый класс характеризуется некоторой минимальной совокупностью требований к защите. Классы подразделяются на три группы в зависимости от специфики обработки информации в АС: группа 3 - это АС, где работает один пользователь, допущенный ко всей информации; группа 2 - пользователи имеют одинаковые права доступа к информации разного уровня конфиденциальности; группа 1 - многопользовательские АС с разными правами доступа пользователей к различным категориям информации.

В пределах каждой группы соблюдается иерархия требований по защите.

Представление об этих требованиях дает таблица из документа «Классификация автоматизированных систем и требования по защите информации» [23].

Эксперты утверждают, что в настоящее время в России действует нормативная база в области безопасности информационных технологий, разработанная в начале 90-х годов. Данная нормативная база уже не в полной мере соответствует уровню развития информационных технологий и не обеспечивает требуемого уровня защиты информационных ресурсов. Поэтому следует продолжать поступательное совершенствование нормативной базы на основе развития отечественной науки и использования опыта передовых мировых держав, постепенно переходя к принятым в настоящее время в Европе «Общим критериям» [41].

В 2004 году в России вводится в экспериментальном режиме международный стандарт ISO 15408 («Общие критерии»), который можно будет применять как альтернативу действующим РД Гостехкомиссии при обеспечении информационной безопасности в автоматизированных системах, не содержащих сведения, относящиеся к государственной тайне. В международном стандарте ISO 15408 «Общие критерии оценки безопасности информационных технологий» обобщен опыт использования «Оранжевой книги» - Европейских критериев ITSEC. Требования по ИБ хорошо структурированы и сформулированы для большого числа классов ИС. Стандартом можно пользоваться как при задании требований к продуктам и системам ИТ, так и при оценке их безопасности на всех этапах жизненного цикла.

Документ состоит из следующих основных частей:

Часть 1. «Представление и общая модель». Определяются общая концепция, принципы и цели оценки безопасности ИТ [211].

Часть 2. «Требования к функциям безопасности». Приведены требования к функциям безопасности и установлен набор показателей для оценки безопасности информационных технологий. Имеется каталог требований к различным семействам и классам ИС [215].

Часть 3. «Требования гарантированности безопасности». Перечислены требования к гарантиям безопасности, сгруппированные в семейства, классы и уровни. Определены критерии оценки для профилей защиты и заданий по безопасности [216].

С практической точки зрения существенным является то, что в документе формулируются только критерии оценки и не содержатся методики ее проведения. В значительной мере остается открытым вопрос выбора комплекса мер безопасности применительно к рассматриваемым классам информационных технологий.

Однако, по мнению авторов, принятие и ввод в действие в России международного стандарта «Общие критерии» ИСО/МЭК 15408 - безусловно нужный, но явно запоздалый шаг. Эксперты отмечают, что на апробацию и практическое освоение этого стандарта уйдет несколько лет. Сегодня этим стандартом пользуются только отдельные энтузиасты.

В целом же в России мало известны документы класса «Good Practice» - многочисленные зарубежные стандарты и рекомендации, например ISO 17799 (BS 7799), BSI, которые отвечают на вопрос, как обеспечить режим информационной безопасности на практике.

В результате большинство российских КИС не соответствует даже начальному, так называемому базовому, уровню защищенности, который определяется в соответствии с современными зарубежными стандартами, например ISO 17799.

 Учет остаточных рисков

Второй национальной особенностью организации режима информационной безопасности в отечественных компаниях является специфическое отношение к остаточным информационным рискам. При построении корпоративной системы защиты информации необходимо помнить, что абсолютной 100-процентной защиты не существует, остаточные риски присутствуют при любом варианте создания или реорганизации корпоративной системы защиты информации. Понятно, что чем больше защищена КИС, тем меньше такие риски.

Настоящий собственник информационных ресурсов должен сам выбирать допустимый уровень остаточных рисков и нести ответственность за свой выбор. К сожалению, в российских компаниях это делается крайне редко. В соответствии с РД Гостехкомиссии при Президенте РФ автоматизированным системам отечественных предприятий, в зависимости от своего класса, надлежит иметь подсистемы безопасности с определенными формальными свойствами. При этом зачастую существует мнение, что сама постановка задачи об остаточных информационных рисках в области информационной безопасности, неизбежно присутствующих в любой АС (и об ответственности за их уровень), некорректна, особенно в случае обработки сведений, составляющих государственную тайну.

В плане подхода к обеспечению ИБ в АС можно выделить четыре группы отечественных заказчиков работ в области защиты информации:

• государственные структуры;
• коммерческие структуры с формальными собственниками информационных ресурсов компании;
• коммерческие структуры с настоящими собственниками информационных ресурсов компании;
• структуры, для которых обязательно соответствие зарубежным стандартам в области информационной безопасности.

Как правило, в государственных структурах ответственные лица и руководители, занимающиеся организацией режима информационной безопасности на предприятии, пока не заинтересованы в том, чтобы нести бремя ответственности за выбор остаточных информационных рисков. Поэтому решения относительно построения корпоративной системы защиты информации отвечают в обязательном порядке только принятым и утвержденным российским стандартам и РД. Как следствие, исполнители работ в области защиты информации, например системные интеграторы, вынуждены предлагать решения, удовлетворяющие лишь формальным требованиям существующих нормативов и РД. При этом предлагаемые и внедряемые решения не соответствуют в целом даже начальному базовому уровню обеспечения информационной безопасности, который определяется согласно современным международным стандартам в области информационной безопасности. К сожалению, в настоящее время государственные структуры уделяют мало внимания новым идеям и направлениям развития в области защиты информации. По мнению аналитиков, ситуация начнет изменяться в течение ближайших двух-пяти лет - после принятия новых российских стандартов и РД, адекватных целям и задачам развития национальной системы информационной безопасности.

Вторая группа - коммерческие структуры с формальными собственниками информационных ресурсов (сюда же относятся структуры, для которых информационные ресурсы не являются особенно ценными, что характерно для 80% случаев) -склонна заказывать проектирование подсистемы безопасности в соответствии с передовыми зарубежными стандартами базового уровня.

Третья группа - коммерческие структуры с настоящими собственниками информационных ресурсов в случае, если информационные ресурсы представляют для них существенную ценность (как правило, финансовые структуры). В этой ситуации руководство осознанно выбирает остаточные риски, производит анализ по критерию «стоимость-эффективность» различных вариантов защиты. Как следствие, затраты на выбор подсистем безопасности являются обоснованными с точки зрения заказчика. Такие заказчики предлагают проектировщикам выполнить полный цикл работ, начиная с анализа рисков и кончая системой поддержания режима информационной безопасности на всех стадиях жизненного цикла.

Этот класс заказчиков отличается недоверием к любым посторонним подрядчикам, поэтому проблемы безопасности они стараются решать сами. Зачастую заказываются методики внутреннего аудита или анализа рисков для данной системы с апробацией на отдельном некритичном фрагменте системы и обучением местных специалистов.

Четвертую группу составляют организации, по разным причинам заинтересованные в получении формальных документов о том, что отдельные аспекты их деятельности отвечают зарубежным стандартам, в частности стандартам в области информационной безопасности. Такого рода документы обычно выдают крупные зарубежные аудиторские фирмы. При этом подготовку к сертификации проводят, как правило, отечественные организации, имеющие в этой области соответствующий опыт.

В заключение отметим, что вместе с развитием теории и практики защиты информации среди отечественных руководителей различных коммерческих структур и организаций растет понимание важности и необходимости соответствия автоматизированных систем предприятия некоторому базовому уровню безопасности (согласно зарубежным стандартам). Число «настоящих собственников», осознанно выбирающих уровень остаточных рисков, также увеличивается. Все это вместе внушает определенный оптимизм относительно становления и развития отечественной практики защиты информации и, в частности, решения задач анализа информационных рисков и управления ими, что необходимо для определения перспектив развития и управления развитием отечественных предприятий и организаций.

Глава  
Управление рисками и международные стандарты

В последнее время в разных технологически развитых странах появилось новое поколение стандартов информационной безопасности, посвященных практическим вопросам организации режима ИБ на предприятии. Это прежде всего международные и национальные стандарты оценки информационной безопасности и управления ею - ISO 15408, ISO 17799 (BS7799), BSI; стандарты аудита, отражающие вопросы информационной безопасности, - COBIT, SAC, COSO, SAS 55/78 и некоторые другие, аналогичные им. В соответствии с этими стандартами организация режима ИБ в любой компании предполагает следующее.

Во-первых, определение целей обеспечения информационной безопасности компании.

Во-вторых, создание эффективной системы управления информационной безопасностью.

В-третьих, расчет совокупности детализированных не только качественных, но и количественных показателей для оценки соответствия информационной безопасности заявленным целям.

В-четвертых, применение инструментария обеспечения информационной безопасности и оценки ее текущего состояния.

В-пятых, использование методик (с понятной системой критериев и мер обеспечения информационной безопасности) в процессе анализа рисков и управления ими, позволяющих объективно оценить текущее состояние дел.

Новое поколение стандартов отличается как от предыдущих, так и от основных документов Гостехкомиссии России 1992-1998 гг. большей формализацией технологии организации режима ИБ и детальным комплексным учетом измеримых показателей информационной безопасности компании. Комплексный учет показателей предполагает и комплексный подход к организации режима ИБ, когда проверяется на соответствие определенным правилам, контролируется и поддерживается не только программно-техническая составляющая информационной безопасности КИС, но и организационно-административные меры по ее обеспечению.

Наличие системы управления информационной безопасностью (Information Security Management), и в частности анализа информационных рисков и управления ими (Risk Management), является обязательным условием организации режима ИБ на предприятии. Предприятия, начиная с рассмотренного в первой главе третьего уровня зрелости, применяют какой-либо вариант системы управления рисками. Многие зарубежные национальные институты стандартов и организации, специализирующиеся в решении комплексных проблем информационной безопасности, предложили похожие концепции управления информационными рисками. Рассмотрим концепции Британского стандарта BS 7799 (ISO 17799), Германского стандарта BSI, стандарта США NIST, а также ряда других аналогичных стандартов различных ведомств и организаций.

 Международный стандарт ISO 17799

В 1993 г. министерство торговли Великобритании опубликовало пособие о практических аспектах обеспечения информационной безопасности в коммерческих организациях и компаниях. Пособие оказалось удачным, его стали использовать администраторы безопасности многих организаций. Позже доработанная версия этого пособия была принята в качестве Британского стандарта BS 7799 «Практические правила управления информационной безопасностью» (1995 г.). Стандарт начали применять на добровольной основе не только в Великобритании, но и в других странах. В 1998 г. вышла вторая часть стандарта, относящаяся к вопросам аудита информационной безопасности. В 2000 г. был принят международный стандарт ISO 17799 [209], основанный на BS 7799. В сентябре 2002 г. главные положения ISO 17799 были пересмотрены и дополнены с учетом развития современных информационных технологий и требований к организации режима ИБ. В настоящее время это наиболее распространенный документ среди организаций и предприятий, которые пользуются подобными стандартами на добровольной основе, однако в нем отсутствует раздел, посвященный аудиту (аналог BS 7799, часть 2).

 Обзор стандарта BS 7799

Часть 1: Практические рекомендации, 2000 г. Определяются и рассматриваются следующие аспекты организации режима ИБ:

• политика безопасности;
• организация защиты;
• классификация информационных ресурсов и управление ими;
• управление персоналом;
• физическая безопасность;
• администрирование компьютерных систем и сетей;
• управление доступом к системам;
• разработка и сопровождение систем;
• планирование бесперебойной работы организации;
• проверка системы на соответствие требованиям ИБ.

Часть 2: Спецификации, 2000 г. [208]. Посвящена тем же аспектам, но с точки зрения сертификации режима ИБ на соответствие требованиям стандарта.

Рассмотрим основные положения стандарта ISO 17799 (BS 7799). При этом будем придерживаться методологической схемы, предложенной Национальным институтом стандартов Великобритании, а именно: сначала сформулируем проблемную ситуацию стандарта, основные цели ее разрешения, а затем укажем рекомендации по управлению ИБ на предприятии.

Раздел 1. Политика ИБ

Цель. Сформулировать задачи и обеспечить поддержку мер в области информационной безопасности со стороны руководства организации.

Часть 1. Высшее руководство должно поставить четкую цель и показать свою поддержку и заинтересованность в вопросах ИБ и распространении политики безопасности среди сотрудников организации.

Необходимо, чтобы документ, в котором изложена политика ИБ, был доступен всем сотрудникам, отвечающим за обеспечение режима ИБ, и содержал рассмотрение следующих вопросов:

• определение ИБ;
• причины, по которым ИБ имеет большое значение для организации;
• цели и показатели ИБ, допускающие возможность измерения.

Часть 2. Обращается внимание на отсутствие специальных формальных требований к политике безопасности.

Раздел 2. Организация защиты

2.1. Инфраструктура ИБ

Цель. Управлять ИБ в организации.

Часть 1. Для обеспечения режима ИБ надо создать в организации соответствующую структуру управления. Должны проводиться регулярные совещания руководства, посвященные коррекции политики ИБ, распределению обязанностей по обеспечению защиты и координации действий, направленных на поддержание режима безопасности. В случае необходимости следует привлечь для консультаций специалистов в области защиты информации. Рекомендуется установить контакты с аналогичными специалистами других организаций, чтобы быть в курсе современных тенденций и стандартов, а также для рассмотрения случаев нарушения защиты. Надо всячески поощрять комплексный подход к проблемам ИБ, например совместную работу аудиторов, пользователей и администраторов, в целях более эффективного решения проблем.

Часть 2. Должно быть выполнено независимое тестирование. Возможно проведение тестирования внешней организацией либо внутренними аудиторами, не занимающимися данной системой управления ИБ.

2.2. Обеспечение безопасности при доступе сторонних пользователей и организаций

Цель. Обеспечить безопасность информационных ресурсов организации, к которым имеют доступ посторонние.

Часть 1. Следует провести анализ рисков нарушения защиты, чтобы определить требования к средствам контроля. Эти средства должны быть согласованы и определены в договоре, заключенном со сторонней организацией.

Часть 2. Анализ договорных требований и проверка их выполнения являются обязательными.

Раздел 3. Классификация ресурсов и их контроль

3.1. Ответственность за ресурсы

Цель. Обеспечить надлежащую защиту ресурсов организации.

Часть 1. Все основные информационные ресурсы должны быть учтены и иметь ответственных. Кроме того, следует назначить ответственных за реализацию соответствующих защитных мер.

Часть 2. При проведении аудита необходимо проверить список ресурсов, в котором должны быть указаны:

• тип ресурса, серийный номер;
• ответственный;
• уровень секретности;
• местонахождение;
• носители информации (для данных);
• дата ввода и контрольной проверки.

3.2. Классификация информации

Цель. Обеспечить надлежащий уровень защиты информационных ресурсов.

Часть 1. Чтобы задать приоритеты в области обеспечения ИБ, надлежит классифицировать информацию по категориям критичности. Некоторые виды информации могут потребовать дополнительной защиты или специального обращения. Категории критичности информации позволяют определить уровни ее защиты и уведомить пользователей о необходимости специального обращения с этой информацией.

Часть 2. Аудиторы должны убедиться, что система классификации по категориям критичности является четкой и полной, соответствует политике ИБ, понимается сотрудниками и периодически пересматривается.

Раздел 4. Управление персоналом

4.1. Вопросы безопасности в должностных инструкциях по доступу к ресурсам

Цель. Уменьшить риск ошибок персонала, краж, мошенничества или незаконного использования ресурсов:

Часть 1. Аспекты, связанные с безопасностью, следует учитывать еще на стадии набора персонала, включать их в должностные инструкции и договоры, а также контролировать в течение всего времени работы данного сотрудника. Руководителям необходимо убедиться в том, что в должностных инструкциях отражена вся соответствующая данной должности ответственность за безопасность. Обязательно надлежащим образом проверить принимаемых на работу лиц, особенно если они будут иметь дело с критичной информацией. Весь персонал организации и пользователи информационных ресурсов из сторонних организаций должны подписать обязательство о конфиденциальности (неразглашении).

Часть 2. Аудиторам надо проверить должностные инструкции персонала и процедуру отбора кандидатов на должности, связанные с доступом к критически важной информации.

4.2. Обучение пользователей

Цель. Убедиться в том, что пользователи осведомлены об угрозах нарушения режима ИБ и понимают значение защиты, а также имеют навыки выполнения процедур, необходимых для нормального функционирования системы безопасности организации.

Часть 1. Пользователи должны быть обучены процедурам защиты и правильному обращению с информационными ресурсами. Необходимо также официально, в письменной форме, утвердить разрешенный пользователям доступ (права и ограничения).

Часть 2. Проверка выполнения требований, изложенных в части 1, обязательна.

4.3. Реагирование на события, таящие угрозу безопасности

Цель. Минимизировать ущерб от нарушений режима ИБ и не допускать повторений инцидентов.

Часть 1. О нарушениях режима ИБ необходимо немедленно довести до сведения руководства по административным каналам. Всех сотрудников следует ознакомить с процедурой уведомления о различных типах инцидентов (нарушение безопасности, угроза безопасности или сбои). Они обязаны сообщать обо всех случаях такого рода в соответствующую службу. В организации должна быть установлена формальная процедура наложения дисциплинарных взысканий на сотрудников, которые нарушают режим безопасности.

Часть 2. Аудиторам необходимо проверить, существует ли четкое определение того, что является нарушением режима ИБ, и знает ли персонал об этом.

Раздел 5. Физическая безопасность

5.1. Зоны безопасности

Цель. Предотвратить несанкционированный доступ к СВТ и сервисам, их повреждение и вмешательство в их работу.

Часть 1. Информационные системы, поддерживающие критически важные или уязвимые сервисы организации, должны быть размещены в защищенных местах. Для уменьшения риска несанкционированного доступа или повреждения бумажной документации и носителей информации рекомендуется установить правила использования рабочего стола.

Часть 2. Аудиторам следует удостовериться, что критически важные ресурсы размещены в зонах безопасности, имеющих соответствующий пропускной режим.

5.2. Защита оборудования

Цель. Предотвратить потерю, повреждение и компрометацию ресурсов, а также перебои в работе организации.

Часть 1. Необходимо обеспечить физическую защиту оборудования, чтобы не допустить его повреждения. Следует уделить внимание проблемам размещения оборудования и его утилизации. Могут потребоваться специальные меры для защиты от несанкционированного доступа и других угроз, а также для сохранности вспомогательного оборудования, например системы электропитания и кабельных сетей.

Часть 2. Аудиторы должны проверить состояние физической защиты оборудования, поддерживающей инфраструктуры, защиту от аварий электроснабжения, техническое обслуживание. Особое внимание уделяется обследованию оборудования, расположенного вне здания.

Раздел 6. Администрирование информационных систем

6.1. Правила эксплуатации и ответственные за их соблюдение

Цель. Обеспечить правильную и надежную работу информационных систем.

Часть 1. Необходимо определить обязанности и процедуры по администрированию и обеспечению функционирования компьютеров и сетей. Все это должно быть зафиксировано в инструкциях и процедурах реагирования на инциденты. Для уменьшения риска некорректных или несанкционированных действий следует применять принцип разделения обязанностей.

Часть 2. Аудиторам надо проверить наличие правил по эксплуатации, разработке, сопровождению, тестированию и убедиться, что все необходимые операции должным образом документированы.

6.2. Проектирование информационных систем и их приемка

Цель. Свести риск отказов информационных систем к минимуму.

Часть 1. Доступность ресурсов и требуемая производительность информационных систем обеспечивается предварительным планированием и подготовкой. Чтобы уменьшить риск перегрузки систем, необходимо оценить будущие потребности и нужную производительность. Эксплуатационные требования к новым системам следует определить, документировать и проверить до их приемки. Должны быть выработаны требования к переходу на аварийный режим для сервисов, поддерживающих несколько приложений.

Часть 2. Аудиторам надлежит проверить критерии приемки информационных систем и оценки их производительности, а также планы восстановительных работ по каждому сервису.

6.3. Защита от вредоносного программного обеспечения

Цель. Обеспечить целостность данных и программ.

Часть 1. Предотвращение и выявление случаев внедрения вредоносного программного обеспечения достигается путем принятия соответствующих мер предосторожности. В настоящее время существует целый ряд вредоносных программ («компьютерные вирусы», «сетевые черви», «троянские кони» и «логические бомбы»), которые используют уязвимость программного обеспечения по отношению к несанкционированной модификации. Администраторы информационных систем должны быть всегда готовы к проникновению вредоносного программного обеспечения в информационные системы и принимать специальные меры, позволяющие предотвращать или обнаруживать его внедрение. В частности, важно принять меры предосторожности, чтобы не допускать появления компьютерных вирусов на персональных компьютерах или выявлять их.

Часть 2. Аудиторам следует убедиться, что процедуры, препятствующие внедрению вредоносного программного обеспечения, должным образом документированы, приняты адекватные меры предосторожности, случаи заражения регистрируются.

6.4. Обслуживание систем

Цель. Обеспечить целостность и доступность информационных сервисов.

Часть 1. Поддерживать целостность и доступность сервисов позволяет выполнение некоторых служебных процедур. Должны быть сформированы стандартные процедуры резервного копирования, регистрации событий и сбоев, а также контроля условий функционирования оборудования.

Часть 2. Аудиторам необходимо убедиться, что процедуры резервного копирования соответствуют требованиям организации, операторы ведут протоколы всех производимых операций, неисправности регистрируются и принимаются меры по их устранению.

6.5. Сетевое администрирование

Цель. Обеспечить защиту информации в сетях.

Часть 1. Управление безопасностью сетей, отдельные сегменты которых находятся за пределами организации, требует особого внимания. Для защиты конфиденциальных данных, передаваемых по открытым сетям, могут понадобиться специальные меры.

Часть 2. Аудиторы должны проверить защитные меры, применяемые в организации.

6.6. Защита носителей информации

Цель. Предотвратить повреждение информационных ресурсов и перебои в работе организации.

Часть 1. Необходимо контролировать носители информации и обеспечивать их физическую защиту. Следует определить процедуры для защиты носителей информации (магнитных лент, дисков, кассет), входных/выходных данных и системной документации от повреждения, хищения и несанкционированного доступа.

Часть 2. Аудиторы должны проверить установленные процедуры контроля, режим хранения носителей информации.

6.7. Обмен данными и программным обеспечением

Цель. Предотвратить потери, модификацию и несанкционированное использование данных.

Часть 1. Обмены данными и программами между организациями необходимо осуществлять на основе формальных соглашений. Должны быть установлены процедуры и стандарты для защиты носителей информации во время их транспортировки. Необходимо уделять внимание обеспечению безопасности при использовании электронного обмена данными и сообщениями электронной почты.

Часть 2. Аудиторам надлежит проверить существующие меры защиты электронного обмена данными и меры ИБ внутреннего электронного документооборота.

Раздел 7. Управление доступом

7.1. Управление доступом к служебной информации

Цель. Обеспечить контроль доступа к информации.

Часть 1. В организации должны быть установлены правила распространения информации и разграничения доступа. Доступ к сервисам и данным в системе необходимо контролировать в соответствии с требованиями организации.

Часть 2. Аудиторам следует проверить соответствие установленных правил доступа к информации существующей производственной необходимости.

7.2 Управление доступом пользователей

Цель. Предотвратить несанкционированный доступ к информационной системе.

Часть 1. Для управления процессом предоставления прав доступа к информационным системам требуются формальные процедуры. Эти процедуры должны включать все стадии жизненного цикла управления доступом пользователей - от начальной регистрации до удаления учетных записей пользователей, для которых доступ закрывается. Особое внимание следует уделить процессу предоставления прав суперпользователя, позволяющих обойти средства системного контроля.

Часть 2. Аудиторы должны проверить формальные процедуры регистрации и соответствие фактического положения вещей установленным процедурам. Необходимо проконтролировать предоставление особых привилегий.

7.3. Обязанности пользователей

Цель. Предотвратить несанкционированный доступ пользователей.

Часть 1. Важным условием поддержания режима ИБ является помощь зарегистрированных пользователей. Пользователи должны знать свои обязанности по обеспечению контроля доступа, особенно в части использования паролей и защиты пользовательского оборудования.

Часть 2. Аудиторам надлежит проверить знание пользователями своих обязанностей и фактическое их выполнение.

7.4. Управление доступом к сети

Цель. Предотвратить несанкционированный доступ к сервисам, включенным в сеть.

Часть 1. Подключение сервисов в сеть следует контролировать, чтобы защитить другие сетевые сервисы. К числу средств контроля должны относиться:

• интерфейсы между сетевыми сервисами;
• механизмы аутентификации удаленных пользователей и оборудования;
• контроль доступа пользователей к информационным системам.

Часть 2. Аудиторы должны убедиться, что пользователи имеют доступ только к тем сервисам, которые им необходимы. Если проводится политика управления маршрутизацией, требуется выяснить, как она реализуется на практике.

7.5. Управление доступом к компьютерам

Цель. Предотвратить несанкционированный доступ к компьютерам.

Часть 1. Доступ следует предоставлять только зарегистрированным пользователям. Многопользовательские системы должны:

• идентифицировать и проверять подлинность пользователей, а также, если это потребуется, терминал и/или местонахождение пользователя;
• фиксировать удачные и неудачные попытки входа;
• предоставить систему управления паролями, которая обеспечивает выбор надежных паролей;
• в случае надобности ограничивать длительность сеансов работы пользователей.

Существуют также более мощные и дорогостоящие системы управления доступом, обращение к которым оправдано в ситуации высокого риска нарушения режима безопасности.

Часть 2. Аудиторы должны проверить как минимум применение парольной защиты: периодичность смены паролей, использование общих паролей, длину и структуру паролей. При необходимости контролируются прочие механизмы: идентификация терминалов для некоторых соединений, система сигнализации о попытках несанкционированного доступа.

7.6. Управление доступом к приложениям

Цель. Предотвратить несанкционированный доступ к информации, хранимой в информационных системах.

Часть 1. Для управления доступом к прикладным системам и данным нужны средства логического контроля доступа. Доступ к программам и данным следует предоставлять только зарегистрированным пользователям. Прикладные системы должны:

• контролировать доступ пользователей к данным и приложениям в соответствии с политикой управления доступом, принятой в организации;
• обеспечивать защиту от несанкционированного доступа утилит, которые способны обойти средства системного контроля;
• не нарушать защиту других систем, с которыми они разделяют информационные ресурсы.

Часть 2. Аудиторам следует проверить существующие ограничения на доступ.

7.7. Слежение за доступом к системам и их использованием

Цель. Выявить несанкционированные действия.

Часть 1. Чтобы выяснить, как осуществляется политика управления доступом, необходимо проводить текущий контроль системы. Это требуется для определения эффективности принятых мер и установления соответствия политики управления доступом существующей практике.

Часть 2. Аудиторам следует убедиться, что политика управления доступом отвечает существующей практике.

Раздел 8. Разработка и сопровождение информационных систем

8.1. Требования к ИБ систем

Цель. Обеспечить встраивание средств защиты в информационные системы.

Часть 1. Требования к безопасности должны быть сформулированы и согласованы до разработки информационных систем. Средства защиты оказываются более дешевыми и эффективными, если их встроить на стадиях задания требований и проектирования. Все требования к безопасности, включая необходимость перехода на аварийный режим для продолжения обработки информации, следует определить на стадии формирования требований к проекту, обосновать, согласовать и документировать в рамках общего плана работ по созданию информационной системы.

Часть 2. Аудиторы должны убедиться, что на стадии проектирования был проведен анализ вопросов безопасности.

8.2. Средства обеспечения ИБ в прикладных системах

Цель. Предотвратить потерю, модификацию и несанкционированное использование данных в прикладных системах. При проектировании прикладных систем необходимо встроить в них надлежащие средства управления безопасностью, в том числе средства протоколирования и аудита.

Часть 1. Проектирование и эксплуатация систем должны соответствовать стандартам базового уровня защищенности.

Системы, которые поддерживают исключительно уязвимые, ценные или критически важные информационные ресурсы организации или оказывают на них влияние, могут потребовать принятия дополнительных мер противодействия. Такие меры следует определить исходя из рекомендаций специалиста по безопасности с учетом идентифицированных угроз и возможных последствий их реализации.

Часть 2. Аудиторам надлежит убедиться, что обеспечивается базовый уровень защищенности при вводе данных, информация большой степени секретности шифруется, используются механизмы проверки подлинности сообщений.

8.3. Защита файлов

Цель. Обеспечить информационную безопасность при разработке и поддержке информационных систем.

Часть 1. Доступ к системным файлам необходимо контролировать. Поддержание целостности прикладных систем должно быть обязанностью пользователя или группы разработки, которой принадлежит данная прикладная система или программное обеспечение.

Часть 2. Аудиторам следует выяснить, как устанавливаются и тестируются новые версии, регистрируются изменения, хранятся рабочие версии ПО.

8.4. Безопасность в среде разработки и эксплуатационной среде

Цель. Обеспечить информационную безопасность прикладного ПО и данных.

Часть 1. Среду разработки и эксплуатационную среду необходимо жестко контролировать. Администраторы, отвечающие за прикладные системы, должны анализировать изменения, которые предлагаются для внесения в системы, чтобы убедиться, что они не нарушат безопасность среды разработки или эксплуатационной среды.

Часть 2. Аудиторам надо проверить наличие процедур контроля на всех этапах жизненного цикла.

Раздел 9. Планирование бесперебойной работы организации

9.1. Вопросы планирования бесперебойной работы организации

Цель. Составить планы предотвращения перебоев в работе организации.

Часть 1. Для защиты критически важных производственных процессов от последствий крупных аварий и катастроф требуются планы обеспечения бесперебойной работы организации. Должен существовать процесс разработки и реализации планов быстрого восстановления критически важных производственных процессов и сервисов. В процесс планирования бесперебойной работы необходимо включать меры по идентификации и уменьшению рисков, ликвидации последствий реализации угроз и быстрому восстановлению основных производственных процессов и сервисов.

Часть 2. Аудиторам следует проверить общие принципы имеющихся планов обеспечения бесперебойной работы организации и практику их реализации.

Раздел 10. Проверка системы на соответствие требованиям ИБ

10.1. Выполнение требований действующего законодательства

Цель. Избежать нарушений договорных обязательств и требований действующего законодательства при поддержании режима ИБ.

Часть 1. При разработке, сопровождении и эксплуатации информационных систем должны учитываться правовые и договорные требования к безопасности. Их необходимо сформулировать в явном виде и документировать. То же самое относится и к выбранным средствам контроля.

Часть 2. Аудиторы должны убедиться в соблюдении норм действующего законодательства, а также мер по защите важных документов и личной информации.

10.2. Проверка режима ИБ на соответствие политике безопасности

Цель. Обеспечить соответствие режима ИБ политике и стандартам безопасности организации.

Часть 1. Состояние режима ИБ требует регулярной проверки.

Следует удостовериться, что режим ИБ отвечает декларированной политике безопасности и принятым стандартами обеспечения безопасности.

Часть 2. Должны регулярно контролироваться все стороны деятельности, имеющие отношение к безопасности, и степень их соответствия политике безопасности.

10.3. Меры безопасности при тестировании

Цель. Минимизировать вмешательство в процесс тестирования и воздействие тестирования на штатную работу.

Часть 1. Необходимо иметь средства для защиты рабочих и тестируемых систем.

Часть 2. Аудиторы проверяют наличие планов тестирования и организацию доступа к инструментальным средствам тестирования.

 Развитие стандарта BS 7799 (ISO 17799)

Британский институт стандартов BSI выпустил серию практических рекомендаций [146, 188, 189, 190, 198, 199, 200, 210], посвященных различным вопросам: оценке и управлению рисками, аудиту режима ИБ, сертификации информационной системы на соответствие стандартам BS 7799, организации работы персонала. Эта серия существенно дополняет международный стандарт ISO 17799 [208, 209].

В сентябре 2002 г. стандарт BS 7799 был пересмотрен. В его новом варианте много внимания уделено вопросам обучения и изначальной интеграции процедур и механизмов ИБ в информационные технологии корпоративных систем, а также дальнейшему развитию технологий оценивания рисков и управления ими. По мнению специалистов, обновление этого стандарта позволит не только создать новую культуру ИБ, но и скоординировать действия различных государственных структур и представителей международного бизнеса в области защиты информации.

В табл. 2.1 дается сравнение содержания стандартов BS 7799 (разных версий) и ISO 9001.

Таблица 2.1. Сравнение содержания стандартов BS 7799 и ISO 9001

Разделы BS 7799-2, 1998 г.	Разделы BS 7799-2, 2002 г.	Разделы ISO 9001, 2000 г. в части ИБ
-	Введение	Введение
1. Границы применимости	1. Границы применимости	1. Границы применимости
	2. Нормативные ссылки	2. Нормативные ссылки
2. Термины и определения	3. Термины и определения	3. Термины и определения
	3.1. Доступность
	3.2. Конфиденциальность
	3.3. Информационная безопасность
	3.4. Система управления режимом информационной безопасности
	3.5. Целостность
	3.6. Принятие рисков
	3.7. Анализ рисков
	3.8. Оценка рисков
	3.9. Определение рисков
	3.10. Управление рисками
	3.11. Действия по уменьшению рисков
2.1. Ведомость соответствия	3.12. Ведомость соответствия
3. Системные требования в области управления информационной безопасности	4. Управление информационной безопасностью	4. Требования к системе управления качеством (QMS)
3.1. Общие требования	4.1. Общие требования	4.1. Общие требования
3.2. Создание и организация системы управления режимом информационной безопасности	4.2. Создание и организация системы управления режимом информационной безопасности
	4.2.1. Создание системы управления режимом информационной безопасности
3.3. Инструментарий	4.2.2. Средства и действия в рамках системы управления режимом информационной безопасности
	4.2.3. Отслеживание событий в системе управления режимом информационной безопасности
	4.2.4. Обслуживание и модернизация системы управления режимом информационной безопасности
3.4. Документирование	4.3. Документирование требований	4.2. Документирование требований
	4.3.1. Общие требования	4.2.1. Общие требования
3.5. Управление документами	4.3.2. Управление документами	4.2.3. Управление документами
3.6. Записи	4.3.3. Управление записями	4.2.4. Управление записями
-	5. Распределение обязанностей персонала	5. Распределение обязанностей персонала
	5.1. Передача полномочий	5.1. Передача полномочий
	5.2. Управление ресурсами	5.2. Управление ресурсами
	6. Управление процедурой пересмотра некоторых положений	6. Управление процедурой пересмотра некоторых положений
	6.1. Общие положения	6.1. Общие положения
	6.2. Пересмотр входа	6.2. Пересмотр входа
	6.3. Пересмотр выхода	6.3. Пересмотр выхода
	6.4. Внешний аудит	6.4. Внешний аудит
	7. Модернизация системы управления режимом информационной безопасности
	7.1. Непрерывная модернизация
	7.2. Корректирующие действия
	7.3. Превентивные действия
4. Детализированное описание управления	Приложение А Цели управления и средства управления
	А1. Введение
	А2. Обзор передового опыта
4.1. Политика безопасности	A3. Политика безопасности
4.2. Организационные аспекты безопасности	А4. Организационные аспекты безопасности
4.3. Классификация ресурсов и управляющих воздействий	А5. Классификация ресурсов и управляющих воздействий
4.4. Безопасность персонала	А6. Безопасность персонала
4.5. Безопасность инфраструктуры и физическая безопасность	А7. Безопасность инфраструктуры и физическая безопасность
4.6. Безопасность инфраструктуры и физическая безопасность	А8. Управление коммуникациями и процессами
4.7. Управление доступом	А9. Управление доступом
4.8. Развитие системы и обслуживание	А10. Развитие системы и обслуживание
4.9. Обеспечение бесперебойной работы	А11. Обеспечение бесперебойной работы
4.10. Технические требования	А12. Технические требования
	Приложение В
	Руководство по использованию стандарта
	Приложение С	Приложение А
	Соответствие между ISO 9001:2000, ISO14001:1996 и BS7799 part 2:2002	Связь между ISO 14001 и ISO 9001

 Германский стандарт BSI

В Германии в 1998 г. вышло «Руководство по защите информационных технологий для базового уровня защищенности» [345]. Оно представляет собой гипертекстовый справочник объемом около 4 Мб (в формате HTML). Общая структура документа приведена на рис. 2.1.

Можно выделить следующие блоки этого документа:

• методология управления ИБ (организация менеджмента в области ИБ, методология использования руководства);
• компоненты информационных технологий:

• основные компоненты (организационный уровень ИБ, процедурный уровень, организация защиты данных, планирование действий в чрезвычайных ситуациях);
• инфраструктура (здания, помещения, кабельные сети, организация удаленного доступа);

• клиентские компоненты различных типов (DOS, Windows, UNIX, мобильные компоненты, прочие типы);
• сети различных типов (соединения «точка-точка», сети Novell NetWare, сети с ОС UNIX и Windows, разнородные сети);
• элементы систем передачи данных (электронная почта, модемы, межсетевые экраны и т.д.);
• телекоммуникации (факсы, автоответчики, интегрированные системы на базе ISDN, прочие телекоммуникационные системы);
• стандартное ПО;
• базы данных;

• каталоги угроз безопасности и контрмер (около 600 наименований в каждом каталоге).

При этом все каталоги структурированы следующим образом.

Угрозы по классам:

• форс-мажорные обстоятельства;
• недостатки организационных мер;
• ошибки человека;
• технические неисправности;
• преднамеренные действия.

Контрмеры по классам:

• улучшение инфраструктуры;
• административные контрмеры;
• процедурные контрмеры;
• программно-технические контрмеры;
• уменьшение уязвимости коммуникаций;
• планирование действий в чрезвычайных ситуациях.

Все компоненты рассматриваются по такому плану: общее описание, возможные сценарии угроз безопасности (перечисляются применимые к данному компоненту угрозы из каталога угроз безопасности), возможные контрмеры (перечисляются возможные контрмеры из каталога контрмер). Фактически сделана попытка описать с точки зрения ИБ наиболее распространенные компоненты информационных технологий и максимально учесть их специфику. Предполагается оперативное пополнение и обновление стандарта по мере появления новых компонентов. Версии стандарта на немецком и английском языках имеются на сайте BSI [346].

Этот информационный ресурс, безусловно, заслуживает внимания. Каталоги угроз безопасности и контрмер, содержащие по 600 позиций, являются наиболее подробными из общедоступных. Ими можно пользоваться самостоятельно - при разработке методик анализа рисков, управления рисками и при аудите информационной безопасности. Обзор каталогов (названия позиций) приводится в приложении 4.

 Сравнение стандартов ISO 17799 и BSI

В стандарте ISO 17799 (BS 7799) декларируются общие принципы, которые предлагается конкретизировать применительно к исследуемым информационным технологиям. Во второй части основное внимание уделено сертификации информационной системы на соответствие стандарту, то есть формальной процедуре, позволяющей убедиться, что декларируемые принципы реализованы. Объем стандарта сравнительно невелик - менее 120 страниц в обеих частях.

В германском стандарте BSI, напротив, обсуждается много «частных случаев» -различных элементов информационных технологий. Объем документа очень велик - несколько тысяч страниц; несомненно, он будет возрастать. Такой подход имеет свои достоинства и недостатки. К числу его достоинств относится учет специфики различных элементов. В частности, гораздо лучше, по сравнению с Британским стандартом, рассмотрены особенности обеспечения ИБ в современных сетях. Другим достоинством является гипертекстовая структура документа, что позволяет оперативно вносить изменения и корректировать связи между частями стандарта. Последняя версия стандарта всегда доступна в Internet. Недостаток -невозможность объять необъятное: для всего множества элементов современных информационных технологий сохранить одинаковый уровень детализации. Неизбежно приходится вводить раздел «Прочее», в котором в общем виде описываются менее распространенные элементы.

Что касается Британского стандарта, то его недостаток заключается в высоких требованиях к квалификации специалистов, осуществляющих проверку на соответствие требованиям стандарта. Кроме того, в нем не в полной мере учитывается специфика современных распределенных систем.

Таким образом, оба подхода, имеющие свои достоинства и недостатки, продолжают эволюционировать, и только практика их внедрения позволит выявить лучший или, возможно, предложить иной подход.

 Стандарт США NIST 800-30

Данный стандарт [291] подробно рассматривает вопросы управления информационными рисками. Считается, что система управления рисками организации должна минимизировать возможные негативные последствия, связанные с использованием информационных технологий, и обеспечить выполнение основных бизнес-целей предприятия.

Для этого система управления рисками интегрируется в систему управления жизненным циклом информационных технологий компании (см. табл. 2.2).

Таблица 2.2. Управление рисками на различных стадиях жизненного цикла информационной технологии

Фаза жизненного цикла информационной технологии	Соответствие фазе управления рисками
1. Предпроектная стадия (концепция данной ИС: определение целей и задач и их документирование)	Выявление основных классов рисков для данной ИС, вытекающих из целей и задач, концепция обеспечения ИБ
2. Проектирование ИС	Выявление рисков, специфичных для данной ИС (вытекающих из особенностей архитектуры ИС)
3. Создание ИС: поставка элементов, монтаж, настройка и конфигурирование	До начала функционирования ИС должны быть идентифицированы и приняты во внимание все классы рисков
4. Функционирование ИС	Периодическая переоценка рисков, связанная с изменениями внешних условий и в конфигурации ИС
5. Прекращение функционирования ИС (информационные и вычислительные ресурсы более не используются по назначению и утилизируются)	Соблюдение требований информационной безопасности по отношению к выводимым информационным ресурсам

Основные стадии, которые согласно стандарту NIST 800-30 должна включать технология управления рисками, показаны на рис 2.2.

Обсудим эти стадии технологии управления информационными рисками подробнее.

 Алгоритм описания информационной системы

На данном шаге описываются цели создания информационной системы, ее границы, информационные ресурсы, требования в области ИБ и компонентов управления информационной системой и режимом ИБ.

Описание рекомендуется делать в соответствии со следующим планом:

• аппаратные средства ИС, их конфигурация;
• используемое ПО;
• интерфейсы системы, то есть внешние и внутренние связи с позиции информационной технологии;
• типы данных и информации;
• персонал, работающий в данной ИС (обязанности);
• миссия данной ИС (основные цели);
• критичные типы данных и информационные процессы;
• функциональные требования к ИС;
• категории пользователей системы и обслуживающего персонала;
• формальные требования в области ИБ, применимые к данной ИС (законодательство, ведомственные стандарты и т.д.);
• архитектура подсистемы ИБ;
• топология локальной сети;
• программно-технические средства обеспечения ИБ;
• входные и выходные потоки данных;
• система управления в данной ИС (должностные инструкции, система планирования в сфере обеспечения ИБ);
• существующая система управления в области ИБ (резервное копирование, процедуры реагирования на нештатные ситуации, инструкции по ИБ, контроль поддержания режима ИБ и т.д.);
• организация физической безопасности;
• управление и контроль внешней по отношению к ИС средой (климатическими параметрами, электропитанием, защитой от затоплений, агрессивной среды и т.д.).

Для системы, находящейся в стадии проектирования, и для уже существующей системы характер описания и степень подробности ответов будут разными. В первом случае (стадия проектирования) достаточно указать общие требования в области ИБ.

Технология описания системы

Для получения информации по перечисленным пунктам на практике рекомендуется использовать:

• разнообразные вопросники (check-листы), которые могут быть адресованы к различным группам управленческого и обслуживающего персонала;
• интервью аналитиков (внешних), которые проводят неформальные беседы с персоналом и затем готовят формализованное описание;
• анализ формальных документов и документации предприятия;
• специализированный инструментарий (ПО). Существует разнообразное ПО, благодаря которому удается частично автоматизировать процесс описания. К нему относятся разнообразные сканеры, дающие возможность составить схему информационной системы, программы для структурированного описания информационных систем, позволяющие создать необходимые отчетные формы (описываются в главе 4).

 Идентификация угроз и уязвимостей

На данном шаге идентифицируются угрозы. Основные применяющиеся при этом понятия:

• источник угрозы - событие либо ситуация и способ, который может привести к реализации угрозы (в результате использования потенциальной уязвимости);
• угроза - потенциал (или мера) возможности реализации источника угрозы;
• уязвимость - слабость в защите.

Одним из способов идентификации угроз является построение модели нарушителя (см. табл. 2.3).

Таблица 2.3. Пример модели нарушителя

Источник угрозы	Мотивация	Результат реализации угрозы (сценарий)
Хакер	Хулиганство, самоутверждение	Неавторизованный доступ к ИС с использованием известных уязвимостей ОС (описание сценария)
Криминальные структуры	Получение финансовой информации	Проникновение в ИС с целью получить конфиденциальные данные (описание сценария)

При составлении перечня угроз и оценке их уровня обращаются к спискам классов угроз различных организаций и информации об их рейтингах либо к средним значениям вероятности реализации данной угрозы. Подобные списки составляются и поддерживаются в актуальном состоянии несколькими организациями: The Federal Computer Incident Response Center (FedCIRC), Federal Bureau of Investigation's National Infrastructure Protection Center, SecurityFocus и др.

Технологии и инструментарий для оценки уровней угроз рассматриваются в главах 3 и 4.

Идентификация уязвимостей

В результате выполнения данного шага составляется список потенциальных уязвимостей И С и возможные результаты их реализации. Одним из способов является представление в виде таблицы (см. табл. 2.4).

Таблица 2.4. Идентификация уязвимостей

Уязвимости	Источник угрозы	Результат реализации угрозы (сценарий)
МЭ допускает доступ из публичной сети к серверу А по протоколу Telnet, в том числе в гостевом режиме (ID= guest)	Неавторизованные пользователи извне	При использовании уязвимости протокола возможен доступ к файловой системе сервера А (описание сценария)
Учетные записи сотрудников, покидающих компанию, удаляются из ИС системы с запаздыванием в 1-2 дня	Внутренние нарушители, возможно в сговоре с увольняющимися сотрудниками	Незаконные финансовые операции (описание сценария)

Для существующей ИС при составлении списков прибегают к ряду источников: сетевые сканеры уязвимостей, каталоги уязвимостей разных организаций (например, база данных по уязвимостям института стандартов США (NIST) [347]), специализированные методы анализа рисков. При оценке уровня уязвимости принимаются во внимание существующие процедуры и методы обеспечения режима информационной безопасности, данные внутреннего аудита и результаты анализа имевших место инцидентов.

Если ИС находится в стадии проектирования, учитываются планируемые процедуры обеспечения ИБ, статистика по уязвимостям, данные производителей средств защиты информации.

 Организация защиты информации

Формирование списка управляющих воздействий организации

Составляется список управляющих воздействий, структурированный по уровням или областям ответственности, в соответствии с принятой моделью комплексного обеспечения режима информационной безопасности (см. табл. 2.5).

Таблица 2.5. Управление ИБ

Уровень	Классы управляющих воздействий и критерии безопасности
Организационный уровень	- разграничение ответственности; - периодический пересмотр системы управления в области ИБ; - протоколирование и разбор инцидентов в области ИБ; - оценка рисков; - обучение в области ИБ; - процедура авторизации в ИС и удаления учетных записей; - поддержание в актуальном состоянии плана обеспечения ИБ
Процедурный уровень	Обеспечение правил поддержания режима ИБ, в частности: - доступ к носителям информации; - контроль за работой сотрудников в ИС; - обеспечение должного качества работы силовой сети, климатических установок; - контроль за поступающими в ИС данными
Программно-технический уровень	Комплекс мер защиты программно-технического уровня: - активный аудит и система реагирования; - идентификация и аутентификация; - криптографическая защита; - реализация ролевой модели доступа; - контроль за режимом работы сетевого оборудования

Подробно эти и некоторые другие средства управления описываются в различных руководствах, например в NIST SP 800-26.

Анализ системы управления ИС

Параметры угроз, определяемых на следующем шаге, зависят от организации системы управления ИС. На данном шаге анализируется система управления с позиции возможного воздействия на выявленные угрозы и уязвимости.

Обычно рассматриваются две категории методов управления: технического и нетехнического уровня.

Методы технического уровня, в свою очередь, подразделяются на:

• обеспечение требований базового уровня (идентификация, управление системой распределения ключей, администрирование, способы защиты элементов системы и ПО);
• упреждающие меры (аутентификация, авторизация, обеспечение безотказности, контроль доступа, сохранение конфиденциальности транзакций);
• обнаружение нарушений в области ИБ и процедуры восстановления (аудит, выявление вторжений, антивирусная защита, проверка целостности ПО и данных).

Методы нетехнического уровня - множество методов управления организационного и процедурного характера.

Выбор шкалы для оценки параметров рисков

Под оценкой параметров рисков понимается определение вероятности реализации потенциальной уязвимости, которая приведет к инциденту.

Типичной (наиболее распространенной) шкалой является качественная (балльная) шкала с несколькими градациями, например: низкий средний и высокий уровень. Оценка производится экспертом с учетом ряда объективных факторов. Уровни рисков устанавливаются, например, как в табл. 2.6.

Таблица 2.6. Пример качественной шкалы для оценки риска

Уровень риска	Определение
Высокий	Источник угрозы (нарушитель) имеет очень высокий уровень мотивации, существующие методы уменьшения уязвимости малоэффективны
Средний	Источник угрозы (нарушитель) имеет высокий уровень мотивации, однако используются эффективные методы уменьшения уязвимости
Низкий	Источник угрозы (нарушитель) имеет низкий уровень мотивации, либо существуют чрезвычайно эффективные методы уменьшения уязвимости

Анализ возможных последствий нарушения режима ИБ

Определяется цена нарушения режима ИБ. Последствия нарушения режима ИБ могут быть разноплановыми, например: прямые финансовые убытки, потеря репутации, неприятности со стороны официальных структур и т.д.

На данном шаге выбирается система критериев для оценки последствий нарушения режима ИБ и принимается интегрированная шкала для оценки тяжести последствий.

Пример шкалы приводится в табл. 2.7.

Оценка рисков

На этом шаге измеряется уровень рисков нарушения конфиденциальности, целостности и доступности информационных ресурсов. Уровень риска зависит от уровней угроз, уязвимостей и цены возможных последствий.

Таблица 2.7. Оценка тяжести последствий нарушения режима ИБ

Уровень тяжести последствий нарушения режима ИБ	Определение
Высокий	Происшествие оказывает сильное (катастрофичное) воздействие на деятельность организации, что выражается в одном или нескольких проявлениях: - большая сумма (должна быть конкретизирована) прямых финансовых потерь; - существенный ущерб здоровью персонала (гибель, инвалидность или необходимость длительного лечения сотрудника); - потеря репутации, приведшая к существенному снижению деловой активности организации; - дезорганизация деятельности на длительный (конкретизируется) период времени
Средний	Происшествие приводит к заметным негативным результатам, выражающимся в одном или нескольких проявлениях: - заметная сумма (должна быть конкретизирована) прямых финансовых потерь; - потеря репутации, которая может вызвать уменьшение потока заказов и негативную реакцию деловых партнеров; - неприятности со стороны государственных органов, в результате чего снизилась деловая активность компании
Низкий	Происшествие сопровождается небольшими негативными последствиями, выражающимися в одном или нескольких проявлениях: - небольшая сумма (должна быть конкретизирована) прямых финансовых потерь; - задержки в работе некоторых служб либо дезорганизация деятельности на непродолжительный период времени; - необходимость восстановления информационных ресурсов