При создании полномасштабной системы информационной безопасности следует учитывать все возможные способы совершения внутренних атак и пути утечки информации. Необходимы дополнительные системы защиты, позволяющие контролировать информацию, проходящую через каждый узел сети, и блокировать все попытки несанкционированного доступа к конфиденциальным данным.
Еще одной опасной инсайдерской угрозой являются корпоративный саботаж и диверсии, совершенные инсайдерами из эмоциональных и нерациональных побуждений, уязвленного самолюбия и обиды. В отличие от хакера, саботажник не преследует финансовой выгоды. По мнению экспертов компании InfoWatch, наилучшее средство предотвращения корпоративного саботажа – это профилактические меры. Прежде всего компаниям нужно проверять рекомендации и места предыдущей работы нанимаемых служащих. Таким способом удается исключить те 30 % претендентов, которые имели криминальную историю. Также целесообразно проводить регулярные тренинги и семинары, на которых до персонала доводится информация об угрозах ИТ-безопасности и последствиях саботажа.
6.3. Методы управления рисками информационной безопасности
Управление безопасностью включает в себя управление рисками, политики информационной безопасности, процедуры, стандарты, руководства, базисы, классификацию информации, организацию безопасности и обучение по вопросам безопасности.
Процесс управления рисками ИБ может затрагивать только информационные риски либо может быть интегрирован с общим процессом управления рисками в организации, поскольку риски информационной безопасности затрагивают подразделения, ведущие основные направления ее деятельности, подразделение управления информационной инфраструктурой, ИТ-подраз-деление.
Процесс управления рисками информационной безопасности можно подразделить на следующие основные этапы:
1) выбор анализируемых объектов и уровня детализации их рассмотрения;
2) выбор методики оценки рисков;
3) идентификация активов;
4) анализ угроз и их последствий, определение уязвимостей в защите;
5) оценка рисков;
6) выбор защитных мер;
7) реализация и проверка выбранных мер;
8) оценка остаточного риска.
Процесс управления безопасностью является непрерывным. Регулярная переоценка рисков позволит поддерживать данные о безопасности информационной системы организации в актуальном состоянии, оперативно выявлять новые опасные риски и нейтрализовывать их экономически целесообразным образом. Процесс начинается с анализа объектов информационной безопасности и идентификации угроз. Анализируемые виды угроз следует классифицировать по выделенному набору факторов, характеризующих простоту эксплуатации уязвимостей, и в пределах выбранных видов провести максимально полное рассмотрение. Прогнозирование вероятности угроз проводится уже на основании свойств уязвимости и групп нарушителей, от которых исходят угрозы. В процессе идентификации и оценки уязвимостей очень важен экспертный опыт специалистов по ИБ, выполняющих оценку рисков, и используемые статистические материалы и отчеты по уязвимостям и угрозам в области информационной безопасности.
Целесообразно выявлять не только сами угрозы, но и источники их возникновения для выбора наиболее подходящего средства защиты. Например, нелегальный вход в систему может стать следствием подбора пароля или подключения к сети неавторизованного оборудования. Для противодействия каждому из способов нелегального входа нужны свои механизмы безопасности.
После идентификации угрозы необходимо оценить вероятность ее осуществления и размер потенциального ущерба с использованием шкал и критериев оценки. При этом величина ущерба и вероятности не обязательно должна быть выражена в абсолютных денежных показателях. Используемые методы анализа и оценки рисков информационной безопасности (сценарный анализ, прогнозирование) допускают применение порядковой или количественной шкалы. Можно также использовать трехбалльную шкалу оценки вероятности и угроз: низкая/средняя/высокая. Но при этом надо одинаково понимать, что стоит за каждым из этих значений.
Оценивая тяжесть ущерба, необходимо иметь в виду не только непосредственные расходы на замену оборудования или восстановление информации, но и более отдаленные, такие как подрыв репутации, ослабление позиций на рынке и т. п.
После оценки рисков следует выбрать защитные меры, направленные на снижение рисков и реализацию потребностей информационной безопасности. В качестве защитных мер могут использоваться дополнительная настройка программного обеспечения, строгое управление паролями, охрана, механизмы контроля доступа операционных систем, обучение пользователей вопросам безопасности.
В конце цикла управления рисками ИБ проводится повышение осведомленности сотрудников компании в области политики безопасности, стандартов и руководств по обеспечению целостности, конфиденциальности и доступности данных.
Политика безопасности является своеобразным фундаментом для программы безопасности компании. К этой политике нужно относиться серьезно с самого начала, в нее должны быть заложены идеи постоянной актуализации, обеспечивающие постоянное функционирование всех компонентов безопасности и работу по достижению целей, соответствующих целям бизнеса. Выработка собственной уникальной политики безопасности нужна только для тех организаций, чьи информационные системы и обрабатываемые данные можно считать нестандартными. Для типовой организации можно использовать типовой набор защитных мер, выбранный из наиболее распространенных рисков информационной безопасности в базе международных или локальных стандартов (ISO 27001). При использовании западных стандартов следует провести анализ на соответствие требованиям национального законодательства в области информационной безопасности.
Разработка политики в области ИБ включает формирование соответствующего комплекта организационно-распорядительной и нормативно-методической документации, положений по обеспечению ИБ компании и методики проведения внутреннего аудита безопасности.
Внедрение политики информационной безопасности относится к организационным мерам управления безопасностью. Ввод в действие политики начинается с момента ознакомления всех сотрудников (под роспись) с актуальной политикой ИБ и ее основными принципами касательно применения видов связи, коммуникаций, хранения, использования и передачи данных. Так, например, политика безопасности может содержать регламенты использования следующих устройств:
