Секция
Комплексная защита объектов сложных систем
По результатам проведенного анализа приведены параметры настроек ряда широко используемых программных и программно - аппаратных комплексов защиты от НСД для соответствия требованиям, наиболее часто используемых классов защищенности АС. Указаны некоторые особенности контроля защиты объектов от НСД в зависимости от установленных комплексов защиты от НСД.
С.В. Симонов
Россия, г. Москва «УСП Компьюлинк»
СОВРЕМЕННЫЕ КОНЦЕПЦИИ УПРАВЛЕНИЯ ИНФОРМАЦИОННЫМИ РИСКАМИ
Под управлением информационными рисками (Risk Management for Information Technology Systems) понимается процесс идентификации и уменьшения рисков, которые могут воздействовать на информационную систему.
Наличие системы управления рисками является обязательным компонентом общей системы обеспечения информационной безопасности на всех этапах жизненного цикла. Многие зарубежные национальные институты стандартов организации, специализирующиеся в решении комплексных проблем информационной безопасности (ИБ), предложили схожие концепции управления информационными рисками.
В докладе анализируются положения стандартов, регламентирующие аспекты управления информационными рисками:
Британского BS 7799 (ISO 17799), Германского BSI, США NIST 800-30
Концепции управления рисками, положенные в основу этих стандартов, близки и содержат следующие основные этапы.
1. Описание ИС, содержащее описание целей создания информационной системы, ее границ, информационных ресурсов, требований в области ИБ и системы управления информационной системой и режимом ИБ.
2. Идентификация рисков.
При составлении перечня рисков и оценке их уровня используется списки классов различных организаций и информация об их рейтингах либо средних значениях вероятности реализации.
Составляется список управляющих воздействий, структурированный по уровням или областям ответственности в соответствие с используемой моделью комплексного обеспечения режима информационной безопасности
3. Анализ системы управления ИС
Параметры угроз существенно зависят от организации системы управления ИС. На данном шаге производится анализ системы управления с позиции возможного воздействия на выявленные угрозы и уязвимости. Обычно рассматриваются 2 категории: методы управления технического и нетехнического уровня.
4. Выбор шкалы для оценки параметров рисков.
Под оценкой параметров рисков понимается оценка возможности реализации потенциальной уязвимости, которая приведет к инциденту.
Типичной (наиболее распространенным) шкалой является качественная (балльная) шкала с несколькими градациями, например низкий средний и высокий уровень.
5. Анализ возможных последствий нарушения режима ИБ.
Определяется цена нарушения режима ИБ. Последствия нарушения режима
ИБ, могут быть разноплановыми. Например, это могут быть прямые финансовые потери, потеря репутации, неприятности со стороны официальных структур, и т.д.
Известия ТРТУ
Тематический выпуск «Информационная безопасность»
На данном шаге выбирается система критериев для оценки последствий нарушения режима ИБ и определяется интегрированная шкала для оценки тяжести последствий.
6. Оценка рисков
На этом шаге измеряется уровень рисков нарушения конфиденциальности, целостности, доступности информационных ресурсов. Уровень риска зависит от уровней угроз, уязвимостей и цены возможных последствий.
7. Выработка рекомендаций по управлению рисками
Даются рекомендации по уменьшению рисков до допустимого уровня. Рекомендации должны быть комплексными и учитывать возможные меры различных уровней (программно-технического, процедурного, организационного)
8. Разработка итоговых отчетных документов
Существуют определенные требования к содержанию отчетных документов.
Реализация концепции управления рисками на практике
Опубликованные документы различных организаций, касающиеся управления рисками, не содержат ряда важных деталей, которые обязательно надо конкретизировать при разработке применимых на практике методик. Конкретизация этих деталей зависит от уровня зрелости организации, специфики ее деятельности и некоторых других факторов.
Наибольшую сложность представляют:
Разработка корректных процедур измерения рисков. Построение модели информационной технологии с системных позиций, учитывающей разноплановые факторы, относящиеся к организационному, процедурному, программнотехническому уровню, а также их взаимосвязи.
В России технологии анализа рисков, управления рисками начали применяться на практике. Многие фирмы, специализирующиеся в вопросах информационной безопасности, предлагают услуги в этой области. Однако объективно оценить качество используемых методик, качество проведенных исследования сложно, поскольку отечественных стандартов (типа BS 7799) в этой области не существуют.
С.С. Валеев, Д.Н. Погорелов
Россия, г. Уфа, УГАТУ
ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ В CALS-ТЕХНОЛОГИЯХ
Как известно, CALS-технологии (Continuous Acquisition and Life Cycle Support) - информационная поддержка жизненного цикла (ЖЦ) сложного технического объекта (СТО), основанная на использовании общего информационного пространства на базе интегрированной информационной среды. При этом обеспечиваются стандартизованные способы информационного обмена между заказчиками, производителями продукции, эксплуатационным и ремонтным персоналом.
Информация, создаваемая с помощью этих технологий, нуждается в надежной защите. При этом не существует единого стандарта в рамках CALS-технологий, который бы определял меры по защите информации на различных этапах жизненного цикла, или являлся бы базой для разработки стандартов предприятий по защите информации. Базой для защиты информации в этой области могут стать механизмы защиты, применяемые в системах электронного документооборота.
Информационные системы на базе CALS-технологий имеют две принципиальные особенности: поддержка географически удаленных участников ЖЦ СТО и