Журнал "Системы Безопасности" № 2‘2021

К О М П Л Е К С Н А Я Б Е З О П А С Н О С Т Ь , П Е Р И М Е Т Р О В Ы Е С И С Т Е М Ы 108 К ак предотвратить реализацию инцидента и приблизиться к заветным цифрам обес- печения безопасности 24/7? Для этого необхо- димо определиться с ключевыми элементами данной цепочки. Активы Те из нас, кто работает в компаниях, выделяю- щих значительные суммы на безопасность, могут попробовать защитить все активы. Остальным же в первую очередь нужно прове- сти инвентаризацию объектов защиты. Каждый телефон и компьютер учитывать необязательно, важно хотя бы выделить секторы. После проведения инвентаризации следует про- вести ранжирование объектов защиты. Самый наглядный, но трудоемкий способ – по финансо- вому ущербу. Например, если у компании украдут список клиентов, то ущерб составит 100 млн руб- лей, а если колесо со склада – то 20 тыс. рублей. В качестве альтернативы можно использовать любые критерии: влияние на бизнес-процессы, величину простоя в днях, восполнимость акти- ва, частоту использования и многое другое. После ранжирования необходимо сделать отсечку, какие активы защищать всеми силами, а какие – "как получится". Например, все, что дороже 1 млн рублей, должно быть защищено. Угрозы Здесь и далее мы будем ставить знак равенства между угрозой и риском. Классическое определение гласит: риск (от лат. resecō – "отсекать", "сокращать" или др.-греч. ῥιζικόν – "опасность") – это сочетание вероятно- сти и последствий наступления неблагоприятных событий. А его формулу записывают так: величина риска = вероятность события х размер ущерба. Таким образом, под угрозой мы понимаем вероятностные действия, причиняющие ущерб объектам защиты. Зная активы, можно составить карту угроз для каждого из них (табл. 1). На данном этапе не требуется составлять под- робную карту угроз. Достаточно понимать основные методы воздействия на актив. Угрозы можно разделить на два больших класса: 1) антропогенные (реализуемые человеком); 2) неантропогенные (реализуемые без участия человека). С неантропогенными угрозами все более или менее понятно: сюда относятся стихийные бед- ствия, техногенные аварии, случайности. С ант- ропогенными все несколько сложнее, так как в них появляется переменная величина – зло- умышленник. Существует большая и разверну- тая теория классификации злоумышленников, их типов и видов. Для нашей цели достаточно понимать мотивы злоумышленника: l финансовый интерес; l межличностные интересы; l доминантность. К первой категории относятся 95% потенциаль- ных нарушений. Мир преступлений (а особенно киберпреступлений) прагматичен: если из определенного действия нельзя извлечь мате- риальную выгоду, то найдется очень мало желающих этим заниматься. апрель – май 2021 www.secuteck.ru Дмитрий Дудко Руководитель отдела проектирования и внедрения департамента информационной безопасности компании "ЛАНИТ" www.hard-mash.ru Рис. Цепочка событий от угрозы до ущерба П редотвращение инцидентов – комплексная задача, имеющая более низкий КПД. Здесь нет универсальных рецептов, так как основной источник проблем – люди, а, как известно, человеческая душа – потем- ки, по крайней мере, пока службы безопасности не станут массово брать на работу телепатов Таблица 2. Пример карты угроз для активов с возможными нарушителями и размером ущерба Объект воздействия Нарушитель Действие Ущерб в руб. База клиентов Администраторы Несанкционированное копирование 5 000 000 База клиентов Отдел продаж Несвоевременное наполнение 50 000 000 Комплект колес Кладовщик Кража 10 000 Таблица 1. Пример карты угроз для активов База клиентов Несанкционированное копирование Несвоевременное наполнение Комплект колес Кража Как прервать цепочку событий от угрозы до происшествия и обеспечить безопасность 24/7 Все, кто занимается безопасностью в любом ее проявлении, рано или поздно стал- киваются с вопросом о способности обеспечить 100%-ную безопасность в компании. Чаще всего его задает кто-то из руководства, нередко прилюдно, ожидая четкого и однозначного ответа. Если ответить отрицательно, то потребности профильного под- разделения могут сразу потерять актуальность на многие годы. Зачем давать деньги тем, кто не может обеспечить безопасность 24/7? Если же ответить утвердительно, то после уточнения, какой бюджет для этого необходим, небольшого секвестирования, процедуры согласования и реализации нужно нести персональную ответственность за все возможные инциденты. Куда ни кинь – всюду клин…