Є.В. Комлєва, Кольський науковий центр РАН, Д.В. Баранов
Введення
Більшість підприємств витрачають на безпеку продукту своєї діяльності певний фіксований відсоток прибутку. Частина вкладених на безпеку коштів у цей продукт не повертається у вигляді прибутку. Можна бачити, що безпека це не продукт, а процес. Тому для вирішення подібної проблеми можна подивитися на безпеку як на управління ризиками. Мета управління ризиками полягає в балансі ризиків для діяльності підприємства, знижуючи потенційні загрози. Необхідність у методі управління ризиками, який би дозволив точно і надійно виміряти параметри безпеки продукту і отримувати максимальну віддачу коштів, вкладених на його безпеку, як і раніше велика [1].
Компоненти інформаційної безпеки.
Інформаційна безпеки включає три компоненти: вимоги, політику та механізми. Вимоги визначають цілі безпеки. Вони відповідають на питання, - «Що ви очікуєте від вашої безпеки?». Політика визначає значення безпеки. Вона відповідає на питання, - «Які кроки ви повинні зробити в досягненні цілей поставлених вище?». Механізми зумовлюють політику. Вони відповідають на питання, - «Які інструменти, процедури та інші шляхи ви використовуєте, щоб гарантувати те, що кроки зумовлені вище будуть виконані?» [2].
Управління ризиками Багато лідируючих підприємства та індустріальні сектору бачать управління ризиками як новий підхід до управління інформаційною безпекою. Управління ризиками повинно допомогти їм у кількісному визначенні ймовірності небезпеки, оцінити ступінь можливих збитків і зважити витрати на безпеку проти їх очікуваної ефективності [3].
Управління ризиками має дати відповідь на наступні питання:
1 На скільки покращилася безпека підприємства в поточному році?
2 Що підприємство отримало за гроші, витрачені на безпеку?
3 На який рівень безпеки підприємство повинно орієнтуватися?
Для відповіді на ці питання потрібне строге визначення параметрів безпеки та структури управління ризиками.
Можна виділити чотири найбільш важливі моменти в управлінні ризиками підприємства:
1 Недовговічність інформаційного активу. Підприємства і більшість промислових галузей розуміють, що ефективність їх роботи залежить від інформації. Кожен відомий випадок критичного спотворення, пошкодження або руйнування інформації посилює їх побоювання щодо цього пункту.
2 доказова безпеку. Так як параметри безпеки не завжди мають оцінку, підприємства не здатні виміряти стабільність або ефективність при виборі різних засобів безпеки. Отже, кількість коштів, яку можна витратити на поліпшення безпеки не відомо.
3 Обгрунтування вартості. Підвищення вартості рішень і засобів безпеки призводить до того, що проекти інформаційної безпеки конкурують з іншими інфраструктурними проектами підприємства. Прибутково-вартісний аналіз та розрахунок коштів повертаються в інвестиції стають стандартними вимогами для будь-яких проектів з інформаційної безпеки.
4 Відповідальність. З ростом підприємств їх залежність від ризиків інформаційної безпеки зростає. Необхідний надійний механізм для управління цими ризиками. Для оцінювання інформаційної безпеки прибутково-вартісного аналізу і розрахунку 58 засобів повертаються в інвестиції не достатньо. До цих пір немає методу, що дозволяє найбільш достовірно статистично представити параметри інформаційної безпеки.
A. Що вимірювати У рішеннях вимагають балансу вартості контрзаходів проти вартості ризику, важливим моментом є точність пунктів будь-яких зроблених вимірювань [4].
Будь-який керівник підприємства в оцінюванні безпеки бажає отримати відповіді на такі питання як:
• Наскільки підприємство інформаційно безпечно?
• Дістало чи прибуток підприємство з введенням системи оцінювання ризиків у цьому році в порівнянні з минулим?
• Яку вибрати стратегію інформаційної безпеки?
• Правильне чи кількість грошей витрачається на інформаційну безпеку?
• Чи існують альтернативи управління ризиками?
На відміну від економічних оцінок, де завжди є вихідні дані, оцінювання інформаційної безпеки майже завжди доводиться починати з нуля. Це, як правило, слабо структурована задача з постійно змінними параметрами.
B. Дані для оцінювання Які дані повинні бути зібрані? Всі дані, які можуть бути виміряні або мають якусь розмірність.
Список вимірюваних параметрів може включати:
• Небезпечні дефекти додатків, пов'язані зі стадією розробки.
• Вразливість мережі, навіть якщо виявляється тільки при скануванні, а також • Відношення числа сесії користувачів до числа підозрілих дій.
• Злом пароля з використанням автоматизованих засобів.
• Спроби впровадження інфікованих об'єктів у систему безпеки.
• Оновлення використовуваних або вартість нових більш захищених додатків.
• Сканування мережі на вхідну і вихідну інформацію.
• Витрати при відмові засобів захисту.
Звичайно, це не повний список. Кожне підприємство має вибирати свій власний рівень достатності інформаційної безпеки. І на цьому тлі проводити збір даних для подальшого оцінювання. Так як реальні загрози майже завжди всередині підприємства, то достатній рівень безпеки зазвичай визначається тим, хто контролює внутрішні інформаційні показники.
C. Модель даних Рішення, пов'язані з питаннями оцінювання безпеки, часто приймаються в умовах невизначеності. У таких умовах завжди існує брак даних. Стандартним підходом в побудові моделі є використання експертної думки для доповнення даних. Далі з появою нових даних ми можемо оновлювати, модернізувати або калібрувати модель, а також можливе повне заміщення експертної думки.
D. Звіти з оцінювання інформаційної безпеки Які звіти повинні бути представлені при проведенні оцінювання інформаційної безпеки?
Деякі можуть включати:
• Часовий аналіз тенденцій.
59 • Представлення отриманих параметрів і фінансовий аналіз.
• Зменшені або прийняті ризики.
Основна проблема оцінювання інформаційної безпеки полягає у відсутності повноти даних [5]. Але повнота інформації може складатися з тих фактів, які надають, наприклад, антивірусні програми, файли звітів, системи сканування і звіти з безпеки від співробітників. Таким чином, необхідні критерії оцінювання та методи аналізу.
Висновок З ускладненням інформаційних технологій підприємства стикаються все з більш складними інформаційними ризиками. Якби була можливість виявити і визначити уразливість безпеки в процесі створення продукту діяльності, то чи виправдані будуть витрати на розробку таких методів?
Багато підприємств тонуть у потоці даних. У більшості випадків, наявну кількість фактів, дозволяє отримувати необхідну інформацію з оцінювання інформаційної безпеки. Але проблема в тому, що не завжди і не всі можуть отримувати цю інформацію. Рішенням цього завдання є механізм, який дозволить аналізувати факти і, виділяючи необхідну інформацію оцінювати її, перетворюючи у знання про безпеку.
Список літератури
1. Geer D., Hoo K., Jaquith A. Information Security: Why the Future Belongs to the Quants / IEEE Security & Privacy Vol. 1, No. 4; July / August 2003, pp. 24-32.
2. Bishop M. What Is Computer Security? / IEEE Security & Privacy Vol. 1, No. 1; January / February 2003, pp. 67-69.
3. Boehm B., Turner R. Using Risk to Balance Agile and Plan-Driven Methods / IEEE Computer Vol. 36, No. 6; June 2003, pp. 57-66.
4. Geer D. Risk Management Is Still Where the Money Is / IEEE Computer Vol. 36, No. 12; December 2003, pp. 129-131.
5. Gliedman C. Managing IT Risk with Portfolio Management Thinking / CIO (Analyst Corner), www.cio.com/analyst/012502_giga.html.
Для підготовки даної роботи були використані матеріали з сайту http://www.contrterror.tsure.ru/