РИСКИ В ИНФОРМАЦИОННОЙ ДЕЯТЕЛЬНОСТИ - Студенческий научный форум

X Международная студенческая научная конференция Студенческий научный форум - 2018

Личный портфель

РИСКИ В ИНФОРМАЦИОННОЙ ДЕЯТЕЛЬНОСТИ

Клочков В.В.
 Комментарии
Текст работы размещён без изображений и формул.
Полная версия работы доступна во вкладке "Файлы работы" в формате PDF
ВВЕДЕНИЕ

В 21 веке бурного научно-технического прогресса все большую и большую роль в каждом аспекте жизнедеятельности играет информация и данные. Буквально все и обо всем сейчас можно узнать, имея определенные источники. Другой вопрос, что не каждая информация доступна типичному обывателю. Ведь вместе с большой ценностью любая информация также несет в себе огромное число рисков, попади она в неправильные руки. В связи с этим проводится тщательный анализ и отбор любой информации, чтобы определить уровень ее безопасности, каждый из которых отличается степенью защиты, уровнем доступности, систематизацией данных и.т.д. Такой анализ - процесс весьма трудоемкий, долгий и ответственный. Что в него включается и какие же риски несет в себе информационная деятельность я описал в своей работе.

ИНФОРМАЦИЯ. СВОЙСТВА ИНФОРМАЦИИ

Прежде чем рассуждать об информационной безопасности и информационных рисках, стоит разобраться, что же есть эта самая информация и какими свойствами она обладает.

Итак, информация – одно из основных понятий в мире и окружающей среде. Ее суть, казалось бы, понятна каждому, но она имеет огромной количество определений в разных источниках. Нас же интересует больше та ее часть, которая содержит в себе сведения, которые могут быть использованы в автоматизированных и неавтоматизированных процессах для влияния на них. Любое влияние не может оставаться без последствий и именно эти последствия и несут в себе риски. [1]

Конечно, любая информация обладает рядом свойств:

  1. Достоверность. Любая информация должна быть правильно понята и являть в себе истинные сведения.

  2. Актуальность. Информацией, интересующей нас, является та, которая применима к нашим реалиям. Любые устаревшие сведения являются почти бесполезными.

  3. Целостность. Информация​ должна быть систематизирована и иметь возможность быть полученной и прочитанной без утери какой-либо ее части. 4) Полнота.​ Любая информация, которая имеет в себе недосказанность, требует уточнения, либо в которой просто отсутствуют некоторые данные резко теряет свою ценность.

5) Ценность. В соответствии со всеми выше перечисленными свойствами можно судить о ценности или бесполезности предоставленной информации. Ясное дело, что чем большее влияние и на чем большее число процессов информация может его оказывать, тем ценнее она является и тем большие риски в себе несет. [1]

СОВРЕМЕННЫЕ СПОСОБЫ И ТЕХНОЛОГИИ АНАЛИЗА РИСКОВ ИНФОРМАЦИОННОЙ ДЕЯТЕЛЬНОСТИ

Для чего необходим анализ рисков информационных систем? Он позволяет обнаружить угрозы, то есть факторы, которые способны нарушить целостность и конфиденциальность информации, изменить ее и облегчить доступ или даже обеспечить несанкционированный доступ к ней. Без внимания не остаются также причины и тем более пути осуществления угрозы, то есть способы, которыми постороннее лицо может получить доступ к информации и причинить ущерб. После анализа путей и угроз создается комплекс защитных действий различного уровня, дабы противостоять рискам и предотвратить взлом и нанесение ущерба информационной системе.

При непосредственной оценке рисков учитываются многие факторы: общая ценность ресурсов, степень защищенности, величина ущерба в результате несанкционированного взлома, уровень доступа и другие. Каждый из этих факторов требует тщательного и, что более важно, непрерывного исследования, так как их значение может варьироваться ввиду свойства актуальности информации [2].

Специалисты информационной безопасности во всем мире (в том числе и отечественные) давно поняли важность сохранения безопасности анализа, а посему уделяют этому большое количество средств и времени. В частности, одними из самых важных в современном мире является информация о банковской и экономической деятельности, информация о стратегических и военных объектах, политических планах, конфиденциальных переговорах и др.

ОСНОВНЫЕ ПОДХОДЫ К АНАЛИЗУ РИСКОВ

В современном мире существует два подхода анализа рисков информационной системы - базовый и полный. Определяется он непосредственно владельцем информации в зависимости от того, насколько ценной он ее считает и какие последствия могут быть в случае ее попадания в руки третьих лиц. [2]​

В общем тривиальном случае владелец может посчитать информацию безопасной или не особо ценной. В случае с физическим лицом это может быть ФИО, увлечения, списки друзей в соц. сетях и.т.п. У юридических же лиц таковой может считать информация о партнерах, проводимых мероприятиях и реформах. В таком случае анализ рисков проводится поверхностно, на базовом уровне и ему присваивается высокий уровень безопасности и низкий уровень защищенности (вплоть до публичного). Это означает, что получение информации иными лицами несет в себе малый ущерб, который может быть быстро и незатратно устранен путем базовых мероприятий, либо не несет в себе ущерба вовсе.

Полный вариант анализа рисков применим к очень ценной информации, которая требует высокий уровень информационной безопасности. В отличие от базового подхода, в полном тщательно изучается каждый аспект информации и вычисляются риски и ущерб, которые они несут - начиная от соотношения и подсчета параметров стоимости восстановления и заканчивая вероятностью истребления экологических видов и даже всего человечества.

Значит, что для полного анализа рисков необходимо:

  1. Определить ценность информационных ресурсов

  2. Тщательно исследовать список угроз, которые могут вывести информационную систему из стабильного состояния 3. Оценить вероятность проявления каждой из угроз

  1. Определить уязвимости и несовершенства в системе информационной безопасности

  2. Найти пути повышения информационной безопасности [2].

ПРОЦЕСС ПОЛНОГО АНАЛИЗА ДЛЯ ИНФОРМАЦИОННЫХ СИСТЕМ С ПОВЫШЕННЫМ УРОВНЕМ ЗАЩИТЫ

Выполнение полного анализа включает в себя решение ряда важных и трудных задач: правильное определение ценности ресурсов, составление полного ряда угроз, подробный анализ возможных путей осуществления угроз и последствий, а также подбор правильных и своевременных противодействий.

Процесс анализа рисков делится на несколько этапов:

  1. Классификация и определение информационных ресурсов;

  2. Выбор критериев оценки угроз и обнаружение факторов негативного влияния на информационную систему;

  3. Непосредственно оценка угроз;

  4. Оценка уязвимостей, то есть путей осуществления угроз;

  5. Определение рисков и вероятности проявления угрожающих факторов; 6. Оценка эффективности имеющихся средств безопасности и выбор

методов устранение уязвимостей. [4].

ОПРЕДЕЛЕНИЕ ЦЕННОСТИ ИНФОРМАЦИОННЫХ РЕСУРСОВ

Все ресурсы могут быть разделены на множество классов. Например, информационные, физические, статистические и др. И для каждого класса отдельный подход и алгоритм определения критериев ценности этих ресурсов. В зависимости от этих критериев определяется ущерб, который может принести информационной системе взлом системы безопасности и нарушение целостности данных и их конфиденциальности и тяжесть их восстановления. Таким образом, физические ресурсы чаще всего оцениваются с позиции их стоимости, эффективности, дороговизны замены и модернизации, влияния на общую работоспособность и.т.д. Эти стоимостные величины используются для ранжирования ценности ресурсов и назначения приоритетных и неприоритетных статусов каждой единице оборудования. [3].

Информационные же ресурсы могут обладать такой же стоимостной оценкой, если являются чьей-то собственностью. Например, это копирайты, лицензионные права и прочие. Но помимо финансовых критериев, урон может быть нанесен и коммерчески. Среди таких коммерческих угроз можно выделить:

  1. Ущерб репутации и подрыв авторитета

  2. Создание проблем с законодательством

  3. Угроза здоровью персонала

  4. Разглашение конфиденциальных данных

  5. Финансовые потери ввиду разглашения конфиденциальных данных

  6. Затраты на восстановление и реорганизацию ресурсов

  7. Потери в результате некомпетентности персонала

  8. Дизорганизация деятельности и др. [3].

ОПРЕДЕЛЕНИЕ И ОЦЕНКА ФАКТОРОВ РИСКА

Все ресурсы подлежат анализу возможных внешних и внутренних атак, как спланированных, так и внезапных (природные, форс-мажоры и.т.п.). Исходя из данного анализа определяется вероятность возникновения риска, иными словами угрозы безопасности. Как было сказано выше, в этом помогает поиск уязвимостей в системе безопасности, но сама вероятность возникновения таких угроз определяется следующими основными факторами:

  1. Ценность содержащихся в ресурсе данных. Чем большее влияние может оказать информация, тем более она привлекательна для третьих лиц;

  2. Эффективность информации. Чем лучше информация способна посодействовать планам доброжелателей или недоброжелателей при меньшей затрате сил, времени и и материальных средств, тем более она будет подвержена атакам;

  3. Количеством уязвимостей и простотой их взлома. [4].

ТЕХНОЛОГИЯ АНАЛИЗА ИНФОРМАЦИОННЫХ РИСКОВ

Технологий анализа в наше время существует довольно много. Условно их можно поделить на табличные, простые и наглядные, используемые, как правило, для анализа незначительных рисков, и на анализ при помощи программного обеспечения разного уровня сложности и профессиональных ориентаций.

Табличные методы в большинстве своем сводятся к последовательности не очень сложных шагов. Так, на первом этапе оценивается уровень негативного воздействия по заранее определенной шкале, на втором этапе высчитывается вероятность его возникновения, на третьем вычисляется показатель риска, затем данные упорядочиваются по значению фактора риска.

Все эти и куда более сложные операции для уменьшения объема вычислительных процессов можно проделать, используя специальное программное обеспечение. Сейчас производителей такового насчитывает около двух десятков.

Все эти программные средства, необходимые для полного анализа рисков, строятся с использованием структурных методов системного анализа и проектирования (SSADM, Structured Systems Analysis and Design) и выполняют следующие функции:

  1. Построение наиболее безопасной информационной системы;

  2. Оценка ценности информации;

  3. Составление списка угроз и уязвимостей;

  4. Предложение противодействия угрозам;

  5. Составление отчетов и документации [5].

Примерами программных продуктов этого класса являются CRAMM, MARION, RiskWatch и др.

Для осуществления этого функционала, все системы содержат базу данных с инцидентами нарушения безопасности информационных систем и путями решения этих инцидентов [5].

ТЕХНОЛОГИЯ АНАЛИЗОВ РИСКА НА ПРИМЕРЕ CRAMM

Оценка рисков, определение путей повышения защиты и прочие исследования системы безопасности информации с помощью СRAMM проводится в три стадии [6].

Стадия1: Анализ ценности ресурса на основе имеющейся базы данных. По завершении анализа заказчику будет предоставлен полный отчет с результатами, что позволит определить, нуждается ли информационная система в полном анализе рисков или же можно обойтись базовыми методами защиты. Для этого определяется классификация ресурсов, их конфигурация, имеющиеся пользователи, их полномочия, определяются взаимосвязи и зависимости всех элементов системы, затем строится ее модель с позиции информационной безопасности. Построенная модель позволяет выделить критичные элементы и определить стоимость их восстановления в случае разрушения.

Ресурс признается ценным, если:

  1. После разрушения будет недоступен длительное время;

  2. После разрушения будет утеряна часть или вся информация без возможности восстановления;

  3. Будет утеряна конфиденциальность данных;

  4. Модификация данных может повлечь за собой критические сбои в

системе;

  1. Информация не сможет дойти до адресата иными способами. [3]

После оценивается возможный уровень ущерба информационной системе в коммерческом или финансовом плане. Так, если утеря или изменение конфиденциальных данных может привести к критическим сбоям или даже выведению системы из строя, то по шкале от 1 до 10 выставляется оценка куда выше, чем действия, последствия которых исправимы в течение короткого периода времени.

Стадия2: Анализируется все, что относится к определению и оценке уровней угроз для групп ресурсов и их уязвимостей. В конце стадии заказчик получает идентифицированные и оцененные уровни рисков для своей системы. [6].

На этой стадии оцениваются зависимость пользовательских сервисов

от определенных групп ресурсов и существующий уровень угроз и уязвимостей, вычисляются уровни рисков и анализируются результаты. Ресурсы группируются по типам угроз и уязвимостей. Например, в случае существования угрозы пожара или кражи в качестве группы ресурсов разумно рассмотреть все ресурсы, находящиеся в одном месте (серверный зал, комната средств связи и т. д.).

Оценка уровней угроз и уязвимостей производится на основе исследования косвенных факторов. Программное обеспечение CRAMM для каждой группы ресурсов и каждого из 36 типов угроз генерирует список вопросов, допускающих однозначный ответ. Уровень угроз оценивается, в зависимости от ответов, как очень высокий, высокий, средний, низкий и очень низкий. Уровень уязвимости оценивается, в зависимости от ответов, как высокий, средний и низкий [6].

Возможно проведение коррекции результатов или использование других методов оценки. На основе этой информации рассчитываются уровни рисков по шкале от 1 до 7. Полученные уровни угроз, уязвимостей и рисков анализируются, документируются и согласовываются с заказчиком.

Стадия3: Поиск и предложение наилучшего противодействия угрозам. По существу, это поиск варианта системы безопасности, наилучшим образом удовлетворяющей требованиям заказчика. По завершении стадии он будет знать, как следует изменить информационную систему для своевременного принятия мер уклонения от риска, а также для выбора специальных мер противодействия, ведущих к снижению или минимизации оставшихся рисков [6].

На этой стадии CRAMM генерирует несколько вариантов мер противодействия, адекватных выявленным рискам и их уровням. Контрмеры можно объединить несколько категорий: рекомендации общего плана, подробные рекомендации и выведение множества примеров организации системы безопасности, а также их сравнительный анализ и поиск наилучшего решения.

ЗАКЛЮЧЕНИЕ

Рассмотренная методология анализа рисков и управления ими и контроля последствий полностью применима как в мировых, так и в отечественных условиях, с небольшими различиями российской защиты от несанкционированного доступа от защиты европейской. Особенно полезным представляется использование программ на базе метода CRAMM при проведении анализа рисков информационных систем с повышенными требованиями в области информационной безопасности. Это позволяет получать обоснованные оценки рисков, уязвимостей, эффективности защиты.

Существенным достоинством таких методов является возможность проведения исследования в сжатые сроки с документированием результатов.

СПИСОК ИСПОЛЬЗОВАННОЙ ЛИТЕРАТУРЫ

1.Власенко И.С., Кирьянов М.В. Информационные риски - ИД "Канцлер",

2011. - 196 с.

  1. Козырев. Г.И. Хранение и защита информации - 2011 г., № 4 - 114 с.

  2. Панарин И., Панарина Л. Проблемы информации в современном мире -- Издательство "Олма-Пресс", 2010. -- 384 с.

  3. Стратосевич Р. Л. Теория информации -- М.: МОО "Информация для всех" 2013 -- 424 с.

  4. Смирнов А.В. Природа информации. -- М.: Наука, 2010. -- 288 с.

  5. Арсланов А. Д. Информатика в деятельности предприятий -- М.: Наука, 2015. -- 144 с.

7. Фёдоров М. Г. Защита данных. -- М.: Манн, Иванов и Фербер, 2010. -- 124 с.

Просмотров работы: 200