Тестирование системной безопасности
Для оценки действительного наличия уязвимостей могут применяться автоматические средства сканирования, тесты и оценка безопасности, тесты на проникновение. Автоматические средства сканирования могут быть использованы для сканирования сети на предмет наличия уязвимых системных служб. Вместе с тем необходимо заметить, что не все потенциальные уязвимости, определённые таким способом, представляют реальную угрозу для информационной безопасности организации.
Тест и оценка безопасности включает разработку и выполнение тестирования. Назначение данного метода — протестировать эффективность контроля безопасности системы.
Тесты на проникновение используются для оценки уровня контроля безопасности, способности противостоять атакам на информационную систему.
Рисунок 3 – Методология уменьшения риска
Шаг 4. Анализ средств защиты (контроля)
На данном шаге производится анализ применяемых или планируемых к применению средств защиты информации.
Таблица ‑ Ранжированные оценки частот появления
Шаг 5. Ранжирование частот появления
На данном шаге необходимо определить вероятность реализации потенциальной уязвимости. При этом вероятность описывается как высокая, средняя и низкая.
Шаг 6. Анализ влияния
На данном шаге определяется величина влияния (высокая, средняя и низкая), которую может оказать успешная реализация угрозы.
|
|
|
Шаг 7. Определение риска
На данном шаге оценивается уровень риска для системы. При этом риск выражается как функция от вероятности того, что данный источник угроз пытается реализовать уязвимость. Для измерения риска разрабатываются шкалы риска и матрица уровней риска.
Определение риска получают умножением классов (rating) вероятностей угроз и влияния угроз.
Данная матрица (3х3) является матрицей оценки угроз (высокой, средней, низкой) и влияния угрозы (высокое, среднее, низкое). В зависимости от требований организации и количества градаций желаемой оценки риска, можно использовать матрицы 4х4 или 5х5.
Шаг 8. Рекомендации по средствам защиты (контролю)
Целью этих рекомендаций является уменьшение уровня риска в информационной системе до допустимого уровня.
Выходом 8-го шага являются рекомендации по средствам защиты (контроля) и альтернативные решения для уменьшения риска.
Шаг 9. Результирующая документация
По окончании выполнения оценки риска результаты представляются в виде отчёта.
Уменьшение рисков
Процесс уменьшения риска
После того как результаты оценки рисков получены, возникает задача разделить риски на приемлемые и неприемлемые. Для неприемлемых рисков необходимо применять процедуры их уменьшения.
|
|
|
В общем случае уменьшение риска может быть достигнуто посредством применения одной или комбинации следующих операций, таких как принятие риска, уклонение от него, ограничение, планирование, исследование и подтверждение, передача риска.
Общая схема процесса уменьшения риска иллюстрирует эти вопросы. Соответствующие точки применения действий средств защиты на рисунке помечены словом “да”.
Таблица – Источники угроз
Основным методом снижения риска является применение соответствующих средств защиты (контроля). Для уменьшения риска используется следующая методология, описывающая подход к применению средств защиты:
• Шаг 1. Присвоение приоритетов действиям. Результат шага 1 – ранжированные (от высокого до низкого) риски.
• Шаг 2. Оценка рекомендуемых вариантов защиты. Результат – список подходящих средств защиты.
• Шаг 3. Проведение анализа затрат и результатов. Результат шага 3 – анализ затрат и результатов, описывающий стоимость и результаты применения средств защиты.
• Шаг 4. Выбор средств защиты. Результат шага 4 – список выбранных средств.
• Шаг 5. Назначение ответственных. Результат – список ответственных персон.
|
|
|
• Шаг 6. Разработка плана реализации защиты. На этом шаге разрабатывается план реализации (применения) средств защиты (план действий). Результат шага 6 – план применения средств защиты.
• Шаг 7. Применение выбранных средств защиты. Результат – остаточный риск.
Рис. 2 Общая схема процесса уменьшения риска
При применении рекомендованных средств для уменьшения риска руководство организации рассматривает технические, управленческие и операционные средства защиты или их комбинацию, чтобы максимизировать эффективность защиты для своей ИТ-системы и организации.
Остаточный риск
Применение средств защиты не гарантирует уничтожения риска. Поэтому всегда остается некоторый уровень его, называемый остаточным риском. Общая схема получения остаточного риска иллюстрируется рисунком.
Вычисление и оценивание
Тенденции развития организаций показывают, что с течением времени их компьютерные сети будут расширяться и обновляться, компоненты сетей меняться и дополняться, прикладное и системное программное обеспечение заменяться или обновляться новыми версиями. Кроме того, большие изменения затрагивают персонал организации и, соответственно, политику безопасности. Эти изменения означают, что появляются новые риски, и риски, ранее подвергшиеся уменьшению, снова становятся значительными. Поэтому процесс управления рисками должен быть непрерывным и эволюционирующим.
|
|
|
УГРОЗА МЕСЯЦА
Бумажная опасность
Согласно исследованию, проведённому компанией Lexmark International, одной из наиболее опасных угроз информационной безопасности являются обычные бумажные носители. Из 1000 сотрудников европейских офисов примерно четверть держат на рабочих столах конфиденциальные документы. Почти половина распечаток, остающихся в выходном лотке принтера, содержат секретную информацию. При этом 8% сотрудников временами просматривают эти остатки. И 7% не уничтожают потенциально опасные документы, а хранят их в рабочих столах.
Комментарий эксперта
Эту угрозу PCWeek/UE прокомментировала Елена Пузанова, заместитель директора департамента, начальник отдела администрирования компьютерных сетей и защиты информации Департамента информатизации Госкомстата Украины:
“Как показывает практика, решить проблему утечки конфиденциальной информации на бумажных носителях полностью практически невозможно. Однако её можно существенно уменьшить. Для этого должен использоваться комплекс как организационных (включая регулярное обучение), так и технологических мер.
Во-первых, вся информация в организации должна быть ранжирована по степени конфиденциальности. Если документа, определяющего ранжирование информации по степени конфиденциальности, нет, то все усилия руководства напрасны, поскольку на вопросы службы безопасности сотрудники будут отвечать, что не знали, что эта информация конфиденциальна. Данный документ доводится до сведения сотрудников под роспись. При этом каждый сотрудник знакомится лишь с той частью документа, которая касается его непосредственно.
Во-вторых, должны быть определены меры ответственности за разглашение коммерческой тайны. Эти меры также должны быть доведены под роспись каждому, кто имеет доступ к конфиденциальной информации.
В-третьих, для сотрудников компании должны регулярно проводиться занятия, на которых будут освещены вопросы информационной безопасности. Эксперты считают, что решить данную проблему исключительно усилиями отделов безопасности невозможно.
Однако не стоит думать, что все “дыры” информационной безопасности можно закрыть лишь организационными мерами. За всеми действиями пользователей, в том числе и за распечаткой документов, необходимо обеспечить жёсткий контроль. Следует предусмотреть запрет печати наиболее важной информации на любых принтерах, кроме сетевого, находящегося непосредственно в отделе безопасности. Сотрудник, распечатавший документ, должен лично прибыть за ним и расписаться в соответствующем журнале (другой вариант — доставка документа службой безопасности). В журнале должны быть предусмотрены графы, в которых указывается время распечатки, количество экземпляров и количество страниц в экземпляре, а также цель печати документа.
Вместе с тем необходимо обеспечить ведение файлов журналов соответствующих печатающих устройств и их мониторинг службой информационной безопасности”.
Дата добавления: 2020-12-12; просмотров: 116; Мы поможем в написании вашей работы! |
Мы поможем в написании ваших работ!