• зведені звіти про фінансову діяльність фірми (щомісячні, кварта-льні, річні, за кілька років);
• кредитні угоди з банками;
• угоди купівлі й продажу;
• відомості про перспективні ринки збуту, джерела засобів або сировини. товари, про вигідних партнерів;
• будь-яка інформація, надана партнерами, якщо за її розголошення передбачені штрафні санкції.
• дані про конкурентів, їх слабкі й сильні сторони;
• умови фінансової діяльності;
• технологічні секрети;
• заходи, що вживаються конкурентами щодо своїх супротивників;
• дані про потенційних партнерів, перевірка їх на несумлінність;
• інформація про місце зберігання вантажів, час й маршрути їхнього перевезення;
• виявлення уразливих ланок серед співробітників;
• виявлення осіб, перспективних для вербування шляхом підкупу, шантажу або іншого методу;
• зв'язки й можливості керівництва;
• виявлення кола постійних відвідувачів.
Відомості особистого характеру:
• джерела доходів;
• ставлення до тих або інших суспільних явищ, "сильних миру сього";
• побут особистого життя керівника та членів його родини;
• розклад і адреси зустрічей - ділових і особистих;
• дані про розміри фінансового благополуччя;
• інформація про людські слабкості:
• пагубні пристрасті;
• шкідливі звички;
• сексуальна орієнтація;
• дані про друзів, подруг, місця проведення дозвілля, способи і маршрути пересування;
• інформація про місця зберігання цінностей;
• місце проживання;
• подружня невірність;
• проблеми батьків і дітей.
3.4.5 Методи інформаційно-аналітичної роботи
Основним призначенням всіх інформаційно-аналітичних методів є збір, обробка отриманих даних, встановлення взаємозв’язку між ними, виявлення їх значущості і підготовка прийняття рішення. На практиці використовують такі методи аналізу:
• логічні методи (використовують для синтезу інформації на основі причинно-наслідкових зв’язків);
• структурні або системно-структурні методи (враховують зв’язки між елементами системи);
Допустимого варіанта розробляються можливі сценарії, які направлені від майбутнього до сьогодення. Іншими словами, спочатку визначається останній крок, який приводить до бажаного результату. У результаті залишаються лише такі сценарії, які не вміщують малоймовірних дій.
В останній час для виконання аналітичної роботи використовують елементи штучного інтелекту - експертні системи, які можуть видавати поради, проводити аналіз, виконувати класифікацію, ставити діагноз тощо.
УПРАВЛІННЯ РИЗИКАМИ
Управління ризиками, так само як і розробка власної політики безпеки, актуальне тільки для тих організацій, інформаційні системи яких та/або оброблювані дані можна вважати нестандартними. Звичайну організацію цілком влаштовує типовий набір захисних заходів, вибраний на основі уявлення про типові ризики або взагалі без жодного аналізу ризиків. Можна провести аналогію між індивідуальним будівництвом і отриманням квартири в районі масової забудови. У першому випадку необхідно прийняти безліч рішень, оформити велику кількість паперів, а в другому випадку досить визначитися лише з декількома параметрами.
Ведення підприємницької діяльності пов`язано з певною сукупністю ризиків, зокрема в галузі інформаційної безпеки. Коли можливий збиток неприйнятно великий, необхідно вжити економічно виправданих заходів захисту. Періодичне переоцінювання ризиків необхідне для контролю ефективності діяльності у галузі інформаційної безпеки і для обліку змін обстановки.
! 3 кількісної точки зору рівень ризику є функцією вірогідності
реалізації певної загрози, що використовує деякі вразливі місця, а
також величини можливого збитку.
Таким чином, суть заходів управління ризиками полягає в тому, щоб оцінити їх розмір, виробити ефективні і економічні заходи зниження ризиків, а потім переконатися, що ризики знаходяться в прийнятних межах і залишаються такими. Отже, управління ризиками включає два види діяльності, які чергуються циклічно:
• переоцінювання ризиків;
• вибір ефективних і економічних захисних засобів (нейтралізація ризиків).
Стосовно виявлених ризиків можливі такі дії:
• ліквідація ризику (наприклад, за рахунок усунення причини);
• зменшення ризику (наприклад, за рахунок використання додаткових захисних засобів);
• прийняття ризику (ї вироблення плану дій у відповідних умовах);
• переадресація ризику (наприклад, шляхом укладення страхової угоди).
Процес управління ризиками складається з таких етапів.
1.Вибір об’єктів і рівня деталізації їх розгляду. Для невеликої організації допускається розглядати всю інформаційну інфраструктуру. Однак, якщо організація велика, то всеосяжне оцінювання може потребувати неприйнятних витрат часу і сил. У такому разі слід зосередитися на найважливіших сервісах, наперед погоджуючись з наближеністю підсумкової оцінки. Якщо важливих сервісів багато, вибираються ті з них, ризики для яких великі або невідомі. Для управління ризиками варто скласти карту ІС, оскільки вона наочно показує, які сервіси вибрані для аналізу, а якими довелося знехтувати. Якщо ІС змінюється, а карта підтримується в актуальному стані, то при переоцінюванні ризиків відразу стане ясно, які нові або істотно змінені сервіси потребують розгляду.
2.Вибір методології оцінювання ризиків. Метою оцінювання є отримання відповіді на два питання: чи прийнятні існуючі ризики, і якщо ні, то які захисні засоби варто використовувати. Тому оцінка повинна бути кількісною, що допускає зіставлення з наперед вибраними межами допустимості і витратами на реалізацію нових регуляторів безпеки. Управління ризиками - типове оптимізаційне завдання, і існує досить багато програмних продуктів, здатних допомогти в його вирішенні.
3.Ідентифікація активів. При ідентифікації активів, тобто тих ресурсів і цінностей, які організація намагається захистити, необхідно враховувати не тільки компоненти ІС, але й інфраструктуру, персонал, а також такі нематеріальні цінності, як репутація організації. Відправним моментом тут є уявлення про місію організації, тобто про основні напрями діяльності, які бажано (або необхідно) зберегти у будь-якому випадку. Одним з головних результатів процесу ідентифікації активів є отримання детальної інформаційної структури організації і способів її (структури) використання. Інформаційною основою крупної організації є мережа, тому до апаратних активів слід включити комп'ютери (сервери, робочі станції, ІЖ), периферійні пристрої, зовнішні інтерфейси, кабельне господарство, активне мережеве устаткування (мости, маршрутизатори і т.п.). До програмних активів відносять операційні системи (мережеві, серверні і клієнтські), прикладне програмне забезпечення, інструментальні засоби, засоби управління мережею і окремими системами. Важливо зафіксувати, в яких вузлах мережі зберігається програмне забезпечення і з яких вузлів воно використовується. Третім видом інформаційних активів є дані, які зберігаються, обробляються і передаються мережою. Слід класифікувати дані за типами і ступенем конфіденційності, виявити місця їх зберігання і обробки, способи доступу.
4.Аналіз загроз, їх наслідків, вразливих місць захисту. Ризик з’являється там, де є загрози. Короткий перелік найпоширеніших загроз був розглянутий раніше. На жаль, на практиці загроз значно більше, причому далеко не всі з них носять комп'ютерний характер. Так, цілком реальною загрозою є наявність мишей і тарганів у приміщеннях організації. Перші можуть пошкодити кабелі, другі - викликати коротке замикання. Як правило, наявність тієї або іншої загрози є наслідком пропусків у захисті інформаційної системи, які, у свою чергу, пояснюються відсутністю деяких сервісів безпеки або недоліками захисних механізмів. Види загроз слід вибирати, виходячи з міркувань здорового глузду (виключити, наприклад, цунамі, проте не забувати про можливості захоплення організації терористами), але в межах вибраних видів провести максимально докладний аналіз. Доцільно виявляти не тільки самі загрози, але й джерела їх виникнення - це допоможе у виборі додаткових засобів захисту. Наприклад, нелегальний вхід в систему може стати наслідком відтворення початкового діалогу, підбору пароля або підключення до мережі неавторизованого устаткування. Після ідентифікації загрози необхідно оцінити вірогідність її здійснення. Допустимо використовувати при цьому трибальну шкалу (низька (1), середня (2) і висока (3) вірогідності). Окрім вірогідності здійснення, важливо визначити розмір потенційного збитку. Наприклад, пожежі бувають нечасто, але втрати від кожної з них, як правило, великі. Величину втрат також можна оцінити за трибальною шкалою. Оцінюючи розмір втрат, необхідно мати на увазі не тільки безпосередні витрати на заміну устаткування або відновлення інформації, але й втрати від підриву репутації, ослаблення позицій на ринку і т.п.
5.Оцінювання ризиків. Після того, як накопичені початкові дані і оцінений ступінь невизначеності, можна переходити до обробки інформації, тобто власне до оцінювання ризиків. Цілком допустимо застосувати такий простий метод, як множення вірогідності здійснення загрози на передбачувані втрати. Якщо для вірогідності та втрат використовувати трибальну шкалу, то можливих добутків буде шість: 1, 2, 3, 4. 6 і 9. Перші два результати можна віднести до низького ризику, третій і четвертий - до середнього, два останніх - до високого, після чого з’являється можливість знову привести їх до трибальної шкали. За цією шкалою і слід оцінювати прийнятність ризиків. Правда, граничні випадки, коли обчислена величина збіглася з прийнятною, доцільно розглядати ретельніше через наближений характер результату .
6.Вибір захисних заходів. Якщо які-небудь ризики є неприпустимо високими, необхідно їх нейтралізувати, реалізувавши додаткові заходи захисту. Як правило, для ліквідації або нейтралізації вразливого місця, яке зробило загрозу реальною, існує декілька механізмів безпеки, різних за ефективністю та вартістю. Наприклад, якщо велика вірогідність нелегального входу в систему, можна вимагати, щоб користувачі вибирали паролі за допомогою програми генерування паролів або щоб автентифікація виконувалася на основі інтелектуальних карт. Якщо є вірогідність навмисного пошкодження сервера баз даних, що може мати серйозні наслідки, можна врізати замки в двері серверної кімнати або поставити біля кожного сервера охорону.
Оцінюючи вартість заходів захисту, треба враховувати не тільки прямі витрати на закупівлю устаткування та/або програм, але і витрати на впровадження новинки і, зокрема, навчання і перепідготовку персоналу. Цю вартість також можна оцінити за трибальною шкалою і потім зіставити її з різницею між обчисленим і допустимим ризиками. Вибираючи відповідний спосіб захисту, доцільно враховувати можливість забезпечення одним механізмом безпеки відразу декількох прикладних сервісів. Важливою обставиною є сумісність нового засобу з організаційною і апаратно-програмною структурою, що склалася в організації.
Можна уявити собі ситуацію, коли для нейтралізації ризику не існує ефективних і прийнятних за ціною заходів. У такому разі доводиться піднімати планку прийнятного ризику і переносити центр тяжіння на пом'якшення наслідків і вироблення планів відновлення після аварій, стихійних лих та інших подій.
7.Реалізація і перевірка вибраних заходів. Як і будь-яку іншу діяльність, реалізацію і перевірку нових регуляторів безпеки слід заздалегідь планувати. У плані необхідно врахувати наявність фінансових коштів і терміни навчання персоналу. Якщо йдеться про програмно-технічний механізм захисту, потрібно скласти план тестування (автономного і комплексного).
8.Оцінювання залишкового ризику. Коли накреслені заходи прийняті, необхідно перевірити їх дієвість, тобто переконатися, що залишкові ризики стали прийнятними. Якщо це так, то можна призначити дату найближчого переоцінювання. Інакше доведеться проаналізувати допущені помилки і провести повторний сеанс управління ризиками.
Етапи 6 і 7 спрямовані на вибір захисних засобів (на нейтралізацію ризиків), інші - на оцінювання ризиків.
Перелік етапів показує, що управління ризиками - процес циклічний. Ризики потрібно контролювати постійно, періодично проводячи їх переоцінювання.
Управління ризиками, як і будь-яку іншу діяльність у галузі інформаційної безпеки, необхідно інтегрувати в життєвий цикл інформаційної системи. Годі ефект виявляється найбільшим, а витрати - мінімальними. Розглянемо яким чином реалізується управління ризиками на кожному з етапів життєвого циклу.
На етапі ініціації відомі ризики слід врахувати для формування вимог до системи взагалі і засобів безпеки зокрема.
На етапі закупівлі (розробки) знання ризиків допоможе вибрати відповідні архітектурні рішення, які грають ключову роль у забезпеченні безпеки.
На етапі встановлення виявлені ризики слід враховувати при конфігурації, тестуванні і перевірці раніше сформульованих вимог, а повний цикл управління ризиками повинен передувати впровадженню системи в експлуатацію.
На етапі експлуатації управління ризиками повинно супроводжувати всі істотні зміни в системі.
При виведенні системи з експлуатації управління ризиками допомагає переконатися в тому, що міграція даних відбувається безпечним чином.
Організаційні заходи є вирішальною ланкою формування і реалізації комплексного захисту інформації і створення системи безпеки підприємства.
Рис. 1.1 – Концептуальна модель безпеки інформації