Помощничек
Главная | Обратная связь


Археология
Архитектура
Астрономия
Аудит
Биология
Ботаника
Бухгалтерский учёт
Войное дело
Генетика
География
Геология
Дизайн
Искусство
История
Кино
Кулинария
Культура
Литература
Математика
Медицина
Металлургия
Мифология
Музыка
Психология
Религия
Спорт
Строительство
Техника
Транспорт
Туризм
Усадьба
Физика
Фотография
Химия
Экология
Электричество
Электроника
Энергетика

Відомості, що становлять інтерес під час збирання та аналізу інформації



Відомості комерційного змісту :

• статутні документи фірми;

• зведені звіти про фінансову діяльність фірми (щомісячні, кварта-льні, річні, за кілька років);

• кредитні угоди з банками;

• угоди купівлі й продажу;

• відомості про перспективні ринки збуту, джерела засобів або сировини. товари, про вигідних партнерів;

• будь-яка інформація, надана партнерами, якщо за її розголошення передбачені штрафні санкції.

• дані про конкурентів, їх слабкі й сильні сторони;

• умови фінансової діяльності;

• технологічні секрети;

• заходи, що вживаються конкурентами щодо своїх супротивників;

• дані про потенційних партнерів, перевірка їх на несумлінність;

• інформація про місце зберігання вантажів, час й маршрути їхнього перевезення;

• виявлення уразливих ланок серед співробітників;

• виявлення осіб, перспективних для вербування шляхом підкупу, шантажу або іншого методу;

• зв'язки й можливості керівництва;

• виявлення кола постійних відвідувачів.

Відомості особистого характеру:

• джерела доходів;

• ставлення до тих або інших суспільних явищ, "сильних миру сього";

• побут особистого життя керівника та членів його родини;

• розклад і адреси зустрічей - ділових і особистих;

• дані про розміри фінансового благополуччя;

• інформація про людські слабкості:

• пагубні пристрасті;

• шкідливі звички;

• сексуальна орієнтація;

• дані про друзів, подруг, місця проведення дозвілля, способи і маршрути пересування;

• інформація про місця зберігання цінностей;

• місце проживання;

• подружня невірність;

• проблеми батьків і дітей.

3.4.5 Методи інформаційно-аналітичної роботи

Основним призначенням всіх інформаційно-аналітичних методів є збір, обробка отриманих даних, встановлення взаємозв’язку між ними, виявлення їх значущості і підготовка прийняття рішення. На практиці використовують такі методи аналізу:

• логічні методи (використовують для синтезу інформації на основі причинно-наслідкових зв’язків);

• структурні або системно-структурні методи (враховують зв’язки між елементами системи);

Допустимого варіанта розробляються можливі сценарії, які направлені від майбутнього до сьогодення. Іншими словами, спочатку визначається останній крок, який приводить до бажаного результату. У результаті залишаються лише такі сценарії, які не вміщують малоймовірних дій.

В останній час для виконання аналітичної роботи використовують елементи штучного інтелекту - експертні системи, які можуть видавати поради, проводити аналіз, виконувати класифікацію, ставити діагноз тощо.

 

УПРАВЛІННЯ РИЗИКАМИ

Управління ризиками, так само як і розробка власної політики безпеки, актуальне тільки для тих організацій, інформаційні системи яких та/або оброблювані дані можна вважати нестандартними. Звичайну організацію цілком влаштовує типовий набір захисних заходів, вибраний на основі уявлення про типові ризики або взагалі без жодного аналізу ризиків. Можна провести аналогію між індивідуальним будівництвом і отриманням квартири в районі масової забудови. У першому випадку необхідно прийняти безліч рішень, оформити велику кількість паперів, а в другому випадку досить визначитися лише з декількома параметрами.

Ведення підприємницької діяльності пов`язано з певною сукупністю ризиків, зокрема в галузі інформаційної безпеки. Коли можливий збиток неприйнятно великий, необхідно вжити економічно виправданих заходів захисту. Періодичне переоцінювання ризиків необхідне для контролю ефективності діяльності у галузі інформаційної безпеки і для обліку змін обстановки.

 

! 3 кількісної точки зору рівень ризику є функцією вірогідності

реалізації певної загрози, що використовує деякі вразливі місця, а

також величини можливого збитку.

 

Таким чином, суть заходів управління ризиками полягає в тому, щоб оцінити їх розмір, виробити ефективні і економічні заходи зниження ризиків, а потім переконатися, що ризики знаходяться в прийнятних межах і залишаються такими. Отже, управління ризиками включає два види діяльності, які чергуються циклічно:

• переоцінювання ризиків;

• вибір ефективних і економічних захисних засобів (нейтралізація ри­зиків).

Стосовно виявлених ризиків можливі такі дії:

• ліквідація ризику (наприклад, за рахунок усунення причини);

• зменшення ризику (наприклад, за рахунок використання додатко­вих захисних засобів);

• прийняття ризику (ї вироблення плану дій у відповідних умовах);

• переадресація ризику (наприклад, шляхом укладення страхової угоди).

Процес управління ризиками складається з таких етапів.

1.Вибір об’єктів і рівня деталізації їх розгляду. Для невеликої ор­ганізації допускається розглядати всю інформаційну інфраструктуру. Однак, якщо організація велика, то всеосяжне оцінювання може потребувати не­прийнятних витрат часу і сил. У такому разі слід зосередитися на найважли­віших сервісах, наперед погоджуючись з наближеністю підсумкової оцінки. Якщо важливих сервісів багато, вибираються ті з них, ризики для яких вели­кі або невідомі. Для управління ризиками варто скласти карту ІС, оскільки вона наочно показує, які сервіси вибрані для аналізу, а якими довелося знехтувати. Якщо ІС змінюється, а карта підтримується в актуальному стані, то при переоцінюванні ризиків відразу стане ясно, які нові або істотно змінені сервіси потребують розгляду.

2.Вибір методології оцінювання ризиків. Метою оцінювання є отримання відповіді на два питання: чи прийнятні існуючі ризики, і якщо ні, то які захисні засоби варто використовувати. Тому оцінка повинна бути кі­лькісною, що допускає зіставлення з наперед вибраними межами допусти­мості і витратами на реалізацію нових регуляторів безпеки. Управління ри­зиками - типове оптимізаційне завдання, і існує досить багато програмних продуктів, здатних допомогти в його вирішенні.

3.Ідентифікація активів. При ідентифікації активів, тобто тих ресурсів і цінностей, які організація намагається захистити, необхідно враховувати не тіль­ки компоненти ІС, але й інфраструктуру, персонал, а також такі нематеріальні цінності, як репутація організації. Відправним моментом тут є уявлення про мі­сію організації, тобто про основні напрями діяльності, які бажано (або необхідно) зберегти у будь-якому випадку. Одним з головних результатів процесу ідентифі­кації активів є отримання детальної інформаційної структури організації і спосо­бів її (структури) використання. Інформаційною основою крупної організації є мережа, тому до апаратних активів слід включити комп'ютери (сервери, робо­чі станції, ІЖ), периферійні пристрої, зовнішні інтерфейси, кабельне господарст­во, активне мережеве устаткування (мости, маршрутизатори і т.п.). До програм­них активів відносять операційні системи (мережеві, серверні і клієнтські), при­кладне програмне забезпечення, інструментальні засоби, засоби управління ме­режею і окремими системами. Важливо зафіксувати, в яких вузлах мережі збері­гається програмне забезпечення і з яких вузлів воно використовується. Третім видом інформаційних активів є дані, які зберігаються, обробляються і переда­ються мережою. Слід класифікувати дані за типами і ступенем конфіденційності, виявити місця їх зберігання і обробки, способи доступу.

4.Аналіз загроз, їх наслідків, вразливих місць захисту. Ризик з’являється там, де є загрози. Короткий перелік найпоширеніших загроз був ро­зглянутий раніше. На жаль, на практиці загроз значно більше, причому далеко не всі з них носять комп'ютерний характер. Так, цілком реальною загрозою є наявність мишей і тарганів у приміщеннях організації. Перші можуть пошкоди­ти кабелі, другі - викликати коротке замикання. Як правило, наявність тієї або іншої загрози є наслідком пропусків у захисті інформаційної системи, які, у свою чергу, пояснюються відсутністю деяких сервісів безпеки або недоліками захисних механізмів. Види загроз слід вибирати, виходячи з міркувань здорово­го глузду (виключити, наприклад, цунамі, проте не забувати про можливості захоплення організації терористами), але в межах вибраних видів провести ма­ксимально докладний аналіз. Доцільно виявляти не тільки самі загрози, але й джерела їх виникнення - це допоможе у виборі додаткових засобів захисту. Наприклад, нелегальний вхід в систему може стати наслідком відтворення по­чаткового діалогу, підбору пароля або підключення до мережі неавторизованого устаткування. Після ідентифікації загрози необхідно оцінити вірогідність її здійснення. Допустимо використовувати при цьому трибальну шкалу (низька (1), середня (2) і висока (3) вірогідності). Окрім вірогідності здійснення, важли­во визначити розмір потенційного збитку. Наприклад, пожежі бувають нечасто, але втрати від кожної з них, як правило, великі. Величину втрат також можна оцінити за трибальною шкалою. Оцінюючи розмір втрат, необхідно мати на увазі не тільки безпосередні витрати на заміну устаткування або відновлення інфор­мації, але й втрати від підриву репутації, ослаблення позицій на ринку і т.п.

5.Оцінювання ризиків. Після того, як накопичені початкові дані і оцінений ступінь невизначеності, можна переходити до обробки інформації, тобто власне до оцінювання ризиків. Цілком допустимо застосувати такий простий метод, як множення вірогідності здійснення загрози на передбачувані втрати. Якщо для вірогідності та втрат використовувати трибальну шкалу, то можливих добутків буде шість: 1, 2, 3, 4. 6 і 9. Перші два результати можна віднести до низького ризику, третій і четвертий - до середнього, два останніх - до високого, після чого з’являється можливість знову привести їх до триба­льної шкали. За цією шкалою і слід оцінювати прийнятність ризиків. Правда, граничні випадки, коли обчислена величина збіглася з прийнятною, доцільно розглядати ретельніше через наближений характер результату .

6.Вибір захисних заходів. Якщо які-небудь ризики є неприпустимо високими, необхідно їх нейтралізувати, реалізувавши додаткові заходи захи­сту. Як правило, для ліквідації або нейтралізації вразливого місця, яке зро­било загрозу реальною, існує декілька механізмів безпеки, різних за ефекти­вністю та вартістю. Наприклад, якщо велика вірогідність нелегального вхо­ду в систему, можна вимагати, щоб користувачі вибирали паролі за допомо­гою програми генерування паролів або щоб автентифікація виконувалася на основі інтелектуальних карт. Якщо є вірогідність навмисного пошкодження сервера баз даних, що може мати серйозні наслідки, можна врізати замки в двері серверної кімнати або поставити біля кожного сервера охорону.

Оцінюючи вартість заходів захисту, треба враховувати не тільки пря­мі витрати на закупівлю устаткування та/або програм, але і витрати на впро­вадження новинки і, зокрема, навчання і перепідготовку персоналу. Цю вар­тість також можна оцінити за трибальною шкалою і потім зіставити її з різ­ницею між обчисленим і допустимим ризиками. Вибираючи відповідний спосіб захисту, доцільно враховувати можливість забезпечення одним меха­нізмом безпеки відразу декількох прикладних сервісів. Важливою обстави­ною є сумісність нового засобу з організаційною і апаратно-програмною структурою, що склалася в організації.

Можна уявити собі ситуацію, коли для нейтралізації ризику не існує ефективних і прийнятних за ціною заходів. У такому разі доводиться підні­мати планку прийнятного ризику і переносити центр тяжіння на пом'якшен­ня наслідків і вироблення планів відновлення після аварій, стихійних лих та інших подій.

7.Реалізація і перевірка вибраних заходів. Як і будь-яку іншу дія­льність, реалізацію і перевірку нових регуляторів безпеки слід заздалегідь планувати. У плані необхідно врахувати наявність фінансових коштів і тер­міни навчання персоналу. Якщо йдеться про програмно-технічний механізм захисту, потрібно скласти план тестування (автономного і комплексного).

8.Оцінювання залишкового ризику. Коли накреслені заходи при­йняті, необхідно перевірити їх дієвість, тобто переконатися, що залишкові ризики стали прийнятними. Якщо це так, то можна призначити дату най­ближчого переоцінювання. Інакше доведеться проаналізувати допущені по­милки і провести повторний сеанс управління ризиками.

Етапи 6 і 7 спрямовані на вибір захисних засобів (на нейтралізацію ризиків), інші - на оцінювання ризиків.

Перелік етапів показує, що управління ризиками - процес циклічний. Ри­зики потрібно контролювати постійно, періодично проводячи їх переоцінювання.

Управління ризиками, як і будь-яку іншу діяльність у галузі інформа­ційної безпеки, необхідно інтегрувати в життєвий цикл інформаційної сис­теми. Годі ефект виявляється найбільшим, а витрати - мінімальними. Розг­лянемо яким чином реалізується управління ризиками на кожному з етапів життєвого циклу.

На етапі ініціації відомі ризики слід врахувати для формування ви­мог до системи взагалі і засобів безпеки зокрема.

На етапі закупівлі (розробки) знання ризиків допоможе вибрати відпо­відні архітектурні рішення, які грають ключову роль у забезпеченні безпеки.

На етапі встановлення виявлені ризики слід враховувати при кон­фігурації, тестуванні і перевірці раніше сформульованих вимог, а повний цикл управління ризиками повинен передувати впровадженню системи в експлуатацію.

На етапі експлуатації управління ризиками повинно супроводжува­ти всі істотні зміни в системі.

При виведенні системи з експлуатації управління ризиками допома­гає переконатися в тому, що міграція даних відбувається безпечним чином.

Організаційні заходи є вирішальною ланкою формування і реалізації комплексного захисту інформації і створення системи безпеки підприємства.

 


Рис. 1.1 – Концептуальна модель безпеки інформації

 

 




Поиск по сайту:

©2015-2020 studopedya.ru Все права принадлежат авторам размещенных материалов.