Masquerading of User Identity by Outsiders
Identification and Authentication
Logical Access Control
Accounting
Audit
Object Re-use
Security Testing
Software Integrity
Mobile Computing and Teleworking
Software Distribution
System Input/Output Controls
Network Security Management
Network Access Controls
System Administration Controls
Application Input/Output Controls
Back-up of Data
Security Education and Training
Security Policy
Security Infrastructure
Data Protection Legalisation
Incident Handling
Compliance Checks
Подобные классификаторы позволяют автоматически выбирать и предлагать конкретные варианты контрмер, возможных для рассматриваемой информационной системы. Владелец информационных ресурсов может отбирать из них приемлемые. Следующий шаг — оценка эффективности контрмер.
Задача оценки эффективности контрмер является не менее сложной, чем оценка рисков. Причина в том, что оценка эффективности комплексной подсистемы безопасности, включающей контрмеры разных уровней (административные, организационные, программно-технические) в конкретной информационной системе — методологически чрезвычайно сложная задача. По этой причине обычно используются упрощенные, качественные оценки эффективности контрмер.
Примером является таблица типичных значений эффективности контрмер, используемых в методе анализа рисков RiskWatch, рассматриваемом в следующем разделе.
Указанные в Таб. 5 значения являются ориентировочными оценками эффективности вложений в различные классы мероприятий в области защиты информации.
В ряде случаев используются более сложные таблицы, в которых эффективность зависит от ряда факторов (аналогично примеру оценки угроз и уязвимостей в 3.2.5).
На основе подобных таблиц делаются качественные оценки эффективности контрмер.
Таблица 5. Ориентировочная эффективность мероприятий в области защиты информации по критерию ROI (Return of Investment — возврат вложений)
Разработка и внедрение политики информационной безопасности | |
Мероприятия по работе с персоналом (наведение справок, контроль за поведением, и т.п) | |
Совершенствование организационной структуры | |
Анализ рисков | |
Управление жизненным циклом (управление рисками) | |
Совершенствование должностных инструкций и условий контрактов | |
Меры контроля за посетителями | |
Управление имуществом компании | |
Обучение персонала и контроль за соблюдением режима ИБ | |
Меры контроля за работой приложений |
Инструментальные средства анализа рисков позволяют автоматизировать работу специалистов в области защиты информации, осуществляющих оценку информационных рисков предприятия.
В Украине в настоящее время чаще всего используются разнообразные "бумажные" методики, достоинствами которых является гибкость и адаптивность. Как правило, разработкой данных методик занимаются компании — системные и специализированные интеграторы в области защиты информации. По понятным причинам методики обычно не публикуются, поскольку относятся к "Know how" компании. В силу закрытости данных методик судить об их качестве, объективности и возможностях достаточно сложно.
Специализированное ПО, реализующее методики анализа рисков, может относиться к категории программных продуктов (продается на рынке) либо являться собственностью ведомства или организации и не продаваться. Если ПО разрабатывается как программный продукт, оно должно быть в достаточной степени универсальным. Ведомственные варианты ПО адаптированы под особенности постановок задач анализа и управления рисками, и позволяют учесть специфику информационных технологий организации.
Предлагаемое на рынке ПО ориентировано в основном на уровень информационной безопасности, несколько превышающий базовый уровень защищенности. Таким образом, инструментарий рассчитан в основном на потребности организаций 3-4 степени зрелости.
В 2000 году был принят международный стандарт ISO 17799, за основу которого был взят Британский стандарт BS 7799. В результате большинство инструментальных средств (ПО анализа и управления рисками) было в последнее время модифицировано таким образом, чтобы обеспечить соответствие требованиям этого стандарта.
В обзоре ПО условно разделено на 2 группы:
ПО базового уровня;
ПО полного анализа рисков.
Надо учитывать, что это разделение весьма условно, поскольку инструментарий базового уровня зачастую содержит дополнительные возможности, относящиеся к полному анализу рисков.
Дата добавления: 2015-12-29; просмотров: 741;