Методика оценки защищенности информационных систем — это методика мониторинга и оценки результативности системы менеджмента информационной безопасности, включая ее процессы и средства контроля и управления.
Введение
Для того чтобы выполнить анализ и оценку информационной безопасности, следует иметь четкое понимание, что является угрозой информационной безопасности, и каким образом система безопасности данных может осуществить нейтрализацию вредоносных атак. Угрозой информационной безопасности является каждая подозрительная активность, которая потенциально направлена на нарушение конфиденциальности, доступности, целостности главных информационных ресурсов.
Следует отметить, что в качестве последствий успешной вредоносной атаки могут стать следующие события:
- Полная остановка деятельности компании.
- Сбой в системе управления.
- Полное уничтожение информационных данных.
Источник опасности может быть в виде как искусственных, так и естественных угроз. Искусственными угрозами является преднамеренное причинение вреда, а естественные угрозы могут возникнуть в итоге обстоятельств непреодолимой силы, если, конечно, отсутствует умышленный мотив человека.
Искусственные источники опасности, как правило, могут быть поделены на две группы. В первую группу входят:
- хакерские группировки,
- вероятные конкуренты,
- различные организации криминального характера,
- внутренние пользователи, имеющих преступные мотивы.
Ко второй группе необходимо отнести:
- ошибочные действия в ходе обработки информации,
- ошибочные действия пользователей,
- использование нелицензионного программного обеспечения,
- отключение системы защиты данных.
К естественным источникам опасности следует причислить любые действия, на которую не способен влиять человек. К примеру, это могут быть стихийные природные явления.
Методика оценки защищенности информационных систем
Анализ состояния информационной безопасности, то есть, выполнение оценки защищенности информационных систем, является структурированным повторяемым процессом, который может помочь организациям своевременно обнаруживать и ликвидировать возникающие опасности. По итогам анализа должны быть сформированы рекомендации, которые направлены на коррекцию внутренних процессов организации. Также анализ требуется, для того чтобы определить вероятность возникновения опасности и масштабы вероятного ущерба.
Анализ информационной безопасности способен оказать помощь в понимании того, какой обязана быть система защиты. Это нужно для реализации дальнейшего ее проектирования, модификации, внедрения передовых средств защиты, что может позволить обеспечить необходимую степень защиты информации компании от несанкционированного доступа. Известно много разных методик, которые можно применять при анализе защищенности.
Экспертная комиссия может определить тот набор объектов, которые необходимо включить в исследование, а также совокупность их параметров и характеристик. Для того чтобы выполнить полноценную оценку эффективности информационной безопасности организации, специалистам нужно собрать следующие данные:
- Набор общих сведений об объекте автоматизации.
- Инструкция по работе процессов, связанных с обработкой конфиденциальной информации.
- Инструкция по работе корпоративной информационной системы.
- Описание информационной инфраструктурной организации.
- Инструкция по работе системы обеспечения безопасности информации (документация, организационные и технические меры, средства защиты).
На базе данной информации специалисты должны выполнить оценку потенциальных источников риска. Для всех выявленных источников должна быть определена вероятность появления угрозы и коэффициент важности.
Статистический анализ рисков предоставляет возможность определения мест, в которых система является наиболее уязвимой. Необходимо отметить, что для такого анализа следует обладать достаточно большим объемом данных об атаках, которые были совершены раньше.
При факторном анализе IT-специалисты должны выделить главные факторы, способные качественно влиять на появление той или иной угрозы. Задача экспертов состоит в том, чтобы выполнить анализ системы организации и выявить, какие уязвимости нужно устранить, а какими можно будет просто пренебречь.
При анализе состояния информационной безопасности специалисты также должны определить векторы атак или средства, при помощи которых потенциальные злоумышленники могут причинить вред системе.
В качестве примеров можно привести следующие виды угроз:
- Использование неготовности пользователей к фишинговым атакам.
- Использование беспроводных сетей, не имеющих необходимой защиты.
- Использование открытых USB-портов и возможности бесконтрольного опроса съемных носителей.
- Использование устаревших версий элементов.
Следует подчеркнуть необходимость понимания того факта, что оценка информационной безопасности организации обязана превратиться в постоянное, периодически проводимое мероприятие. Хакеры постоянно ищут новые способы и методики воровства информации, а также выискивают новые уязвимости.
Анализ безопасности систем является особенно актуальным при следующих обстоятельствах:
- при возникновении критических ситуаций,
- при выполнении слияния, поглощения, присоединения, расширения организации,
- при изменении курса или концепции бизнеса,
- при выходе изменений в законодательстве,
- при значительных изменениях в информационной структуре.
Процедура оценки системы обеспечения информационной безопасности может быть разной для различных организаций. Но главные этапы оценки обязаны являться воспроизводимыми, основанными на современных отраслевых практиках и структурированными, чтобы обеспечить оценку всего масштаба систем и ее потенциальных уязвимостей.