Страницы

среда, 3 июня 2009 г.

ISSP \ Домен 01. Информационная безопасность и управление рисками. Часть 7

В этой части рассмотрены следующие вопросы:
  • Количественный или качественный
  • Защитные механизмы
  • Выбор защитных мер
  • Функциональность и эффективность защитных мер


Обновлено: 28.02.2010

Каждый метод имеет свои преимущества и недостатки. Некоторые из них приведены в Таблице 1-6. Критерием выбора могут быть особенности группы анализа рисков, мнение руководства, имеющиеся инструменты анализа рисков, культура компании. Целью обоих методов является оценка реальных рисков компании, их классификация по уровню серьезности угроз, что позволит выбрать правильные контрмеры в рамках имеющегося бюджета.

Таблица 1-6 Характеристики количественного и качественного методов

Недостатки качественного анализа:
  • Оценка и результаты в основном субъективны;
  • Обычно исключает возможность оценки денежной оценки затрат/выгод;
  • Сложно сопоставить цели управления рисками с субъективными оценками;
  • Нет стандартов. Каждый специалист имеет свою интерпретацию процесса и результатов.

Недостатки количественного анализа:
  • Расчеты более сложны. Сложно объяснить руководству как эти значения были получены;
  • Процесс очень трудоемок без применения средств автоматизации;
  • Больше предварительной работы, связанной с получением детальной информации об окружении;
  • Нет стандартов. Каждый специалист имеет свою интерпретацию процесса и результатов.

Уровень неопределенности – это степень неуверенности в оценке. Он измеряется от 0% до 100%. При проведении анализа следует указывать уровень неопределенности, так как это способствует лучшему пониманию результатов анализа.


Следующим шагом является идентификация доступных защитных механизмов (контрмер) и оценка их эффективности. 

Выбор защитных мер

Преимущества внедряемых защитных механизмов должны превышать затраты на них, только в этом случае они будут эффективными. Для проведения такой оценки используется анализ затрат/выгод. Обычно это считают следующим образом:  

(ALE до ввода защитных мер) – (ALE после ввода защитных мер) – (годовая стоимость защитных мер) = ценность защитных мер

Например, ALE угрозы выведения веб-сервера из строя хакерами составляет $12,000 до внедрения соответствующих защитных мер, а после их внедрения ALE снижается до $3,000. При этом годовая стоимость функционирования и поддержки этих защитных мер - $650. В этом случае ценность защитных мер составляет $8,350 в год.
Стоимость контрмер – это не просто цена их покупки. Нужно учитывать следующие элементы при расчете полной стоимости контрмер:
  • Стоимость продукта
  • Стоимость проектирования / планирования
  • Стоимость внедрения
  • Необходимость внесения изменений в окружение
  • Совместимость с другими контрмерами
  • Эксплуатационные требования
  • Тестирование
  • Стоимость восстановления, замены и обновления
  • Стоимость эксплуатации и поддержки
  • Влияние на производительность
  • Стоимость подписки
  • Работа сотрудников в нерабочее время и по выходным дням для мониторинга и реакции на сообщения об инцидентах
ПРЕДУПРЕЖДЕНИЕ. Очень часто компании покупают новые продукты безопасности, не понимая, что им нужен дополнительный персонал на использование этих продуктов. Хотя инструменты автоматизируют задачи, многие компании ни разу не выполняли эти задачи перед покупкой, поэтому с помощью них они не сэкономят время, а наоборот начнут тратить его еще больше.
Например, компания А решает защитить ряд своих ресурсов с помощью IDS, стоимостью $5,500. Эта IDS должна быть протестирована в отдельном тестовом сегменте сети, чтобы ИТ-службы убедились в безопасности ее ввода в промышленную эксплуатацию. После этого ИТ-службы должны установить и настроить сенсоры и программное обеспечение для мониторинга. Затем ИТ-службы должны перенастроить коммуникационное оборудование, направив все потоки трафика через IDS, а также ограничить доступ к консоли IDS, настроить базу данных сигнатур атак. Только после этого IDS можно включить в работу.

При этом нужно учесть вероятное снижение производительности сети, возможные неудобства для пользователей, проявление "тонкостей", о которых "забыл" заранее сообщить поставщик, а также затраты времени и денег на обучение персонала, а затем затраты на реагирование на реальные и ложные срабатывания IDS. Кроме того, может возникнуть необходимость закупки средств оповещения администратора безопасности об инцидентах, выявленных IDS (например, пейджеров или Blackberry), от которых будет зависеть время реакции на инциденты.
Таким образом изначальная цена увеличивается: $5,500 стоит сама система IDS, $2,500 стоит обучение персонала, $3,400 стоит тестирование системы, $2,600 - потери производительности пользователей, вызванные внедрением этой системы и еще $4,000 стоит перенастройка коммуникационного оборудования, установка IDS, выявление ошибок, установка патчей. Реальная стоимость этой защитной меры составит $18,000. Если при этом рассчитанная величина вероятного ущерба составляет только $9,000, применение этой IDS неэффективно и приведет к перерасходу адекватного бюджета на 100%.

Функциональность и эффективность защитных мер 

Группа анализа рисков должна оценить функциональность и эффективность защитных мер. При выборе защитных мер некоторые характеристики будут важнее, чем другие. В таблице 1-7 перечислены и описаны характеристики, которые должны быть тщательно проанализированы до покупки и внедрения средства обеспечения безопасности.
Таблица 1-7 Характеристики, которые следует учесть при выборе средств защиты

Защитные средства могут также иметь сдерживающие атрибуты, говорящие потенциальному злоумышленнику, что здесь внедрена надежная защита и ему лучше поискать другую, более легкую цель. Однако здесь также следует соблюдать определенную степень осторожности и не предоставлять потенциальному злоумышленнику излишней информации о применяемых средствах защиты и методах их работы, так как это может позволить ему обойти их. Если пользователи знают, как отключить антивирусную программу, чтобы повысить производительность своего компьютера, или как обойти прокси-сервер, чтобы получить неограниченный доступ в Интернет, они будут делать это.

5.10. Обобщая сказанное ранее

Для проведения анализа рисков, компания сначала решает, какие активы нуждаются в защите и в какой степени. Указывается, какие суммы денежных средств могут быть потрачены на защиту данных активов. Далее, оценивается функциональность доступных средств защиты и определяются те, которые будут наиболее эффективны для компании. После этого, компания должна оценить и сопоставить расходы на защитные меры. Эти шаги позволят руководству принять разумное и осознанное решение о выборе и покупке контрмер.
Необходимо учитывать, что только переоценивая риски на периодической основе можно обеспечить постоянную эффективность защитных мер и поддерживать уровень рисков информационной безопасности на приемлемом уровне. Если риск не изменился и защитные меры внедрены и хорошо работают, значит риски снижены достаточно. Продолжение анализа уязвимостей и выявления нуждающихся в защите активов также является важной задачей управления рисками.

2 комментария: