Журнал "Information Security/ Информационная безопасность" #2, 2018

Информация в последние десятилетия приобретает все большую ценность. Рост значимости информации формирует из нее новый вид ресурса, цена на который постоянно растет. Из этого следует, что и конкуренция за информационный ресурс будет стремительно расти, смещая внимание с его создания и исполь- зования в сторону защиты значимой информации. Уже сегодня правительства и компании во всем мире тратят десятки миллиардов долларов на обеспечение информационной безопасности. Несмотря на эти усилия, количество воровства и несанкционированного использования информации неуклонно растет. Сегодня даже правительство США и американские корпорации с самым мощным экономическим и интеллектуальным ресурсом в мире, значительным опытом защиты интеллектуальных прав не могут добиться эффективной блокировки несанкционированного проникновения в информационные системы и предотвратить утечки важных данных. Последние ограничительные действия правительства США против Китая, связанные с воровством интеллектуальной собственности американских компаний, тому подтверждение. Сегодня важно понимать, что информация стала исключительно ценным ресурсом, а ее защита – критически важным элементом коммерческой деятельности и функционирования государства. При этом обеспечить информационную безопасность на 100% невозможно. Именно поэтому общепринятые подходы к формированию систем информационной безопасности основываются на понятии вероятностного ущерба. Исходя из этого, необходима оценка такого ущерба и средств, которые будет разумно выделить на обеспечение информационной безопасности. Если исходить из понимания вероятностного ущерба как про- изведения финансовой оценки ущерба и вероятности его реали- зации, то затраты на обеспечение информационной безопасности должны быть меньше вероятностного ущерба, иначе экономиче- ского смысла в такой защите нет. В общем виде такие затраты можно выразить следующим образом: финансовая оценка ущерба, Х-вероятность ущерба < вероятност- ный ущерб. Определить эти расходы возможно лишь на административном уровне. Для этого совместно с руководством необходимо очертить круг критически важных бизнес-процессов и связанных с ним информационных систем. Деятельность по укреплению защиты в обозначенных направлениях станет политикой информационной безопасности. Отталкиваясь от политики информационной безопасности, раз- мера организации и величины вероятностного ущерба в абсолют- ных и относительных значениях, руководителю службы информа- ционной безопасности предстоит выбрать процедурные и техни- ческие средства ее реализации. Для крупных компаний, особенно имеющих сложную организа- ционную структуру, оптимальным станет разработка индивиду- альных систем. Сложная эшелонированная защита, состоящая из организационно-административного (поэтапные проверки персо- нала), физического (ограждения, камеры, сложные замки с пара- метрическими ключами и др.), программного (механизмы доступа и шифрования данных, защита внутренних и внешних сетей и др.) и аппаратного (файрволы и др.) слоев, сделает работу злоумыш- ленников экономически нецелесообразной. Взлом будет стоить дороже самой информации. Для средних и малых компаний разработка подобных систем станет слишком дорогим мероприятием. Для них лучшим вариан- том станут готовые, универсальные решения анализа и управления рисками. Такие программные комплексы различаются акту- альностью, объемом функцио- нала и сложностью. COBRA, CRAMM, RiskWatch, Risk Advisor, пожалуй, самые известные и старые программы в этом направлении. Большин- ство из них сейчас не поддер- живаются и не обновляются, однако все еще очень распро- странены. Самой простой в использо- вании и по функционалу оценки риска является COBRA. Программа фактически представляет собой опросник, по результатам которого формируется отчет. Программа соответствует базовому уровню безопасности и легко адаптируется под российские предприятия. Risk Advisor и RiskWatch представляют более широкий функ- ционал. Risk Advisor (RA) лучше подходит для верхних уровней системы информационной безопасности. На административном и процедурном уровнях программа предоставляет большой спектр возможностей учета и управления рисками, при этом сохраняя большую простоту в сравнении с аналогами (CRAMM). RiskWatch дополняет Risk Advisor, предоставляя лучшие воз- можности для математической оценки рисков именно на техниче- ском уровне. В то же время она позволяет достичь необходимого уровня информационной безопасности без серьезных затрат на интеграцию системы в информационные потоки компании. Пожалуй, самой сложной с точки зрения использования и функционала является CRAMM. Функционал по оценке и управ- ления рисками очень широкий. Используемые в программном комплексе методы создавалась и разрабатывались специализи- рованными британскими государственными органами. Главной проблемой CRAMM является ее сложность и моральная старость. Когда она создавалась, использовались старые модели безопасности, триада КЦД (конфиденциальность, целостность, доступность) 1975 г. Старые подходы не учитывают новые виды угроз (неотказуемость, захват привилегий, владение), однако CRAMM по-прежнему остается самой популярной программой среди желающих оценить риски информационной безопасности и потери важной информации. Citicus ONE, RSAM v7.0, Lightwave Security SecureAware, пожалуй, достойная смена для устаревших программ. Они отличаются высокоуровневым управлением риска и стратегическим планиро- ванием. Все программы соответствуют современным отраслевым стандартам и обладают очень мощным функционалом. Конкретные рекомендации по использованию вышеназванных систем сделать сложно, так как это зависит от размера организа- ций. Citicus ONE разработан для малых предприятий, Lightwave Security SecureAware – для средних и RSAM v7.0 – для крупных. В заключение необходимо еще раз отметить, что абсолютную защищенность информации обеспечить невозможно. Ни один программный комплекс не сможет обеспечить полной непрони- цаемости для несанкционированного доступа к информационной системе. По статистике, наибольшее количество таких событий связанно с уволенными сотрудниками. Это еще раз подчеркивает необходимость поиска разумного компромисса между затратами на информационную безопасность и потенциальным ущербом от ее нарушения. l • 17 ТЕХНОЛОГИИ www.itsec.ru Защита от утечек информации. Поиск разумного компромисса Антон Быков, главный аналитик ООО “ЦАФТ” (Центр аналитики и финансовых технологий) Ваше мнение и вопросы присылайте по адресу is@groteck.ru

RkJQdWJsaXNoZXIy Mzk4NzYw