Отправлен в печать

УДК 002.5

    В настоящее время наблюдается стремительный рост количества информационных систем (ИС). Очевидна корреляция между ростом их количества и количеством данных, которые они обрабатывают. В крупных структурах (корпоративных масштабов) обрабатываемые данные особенно нуждаются в защите, т.к. от этого зависит конкурентоспособность компании, владеющей ИС. Однако даже при сегодняшнем количестве методов защиты таких систем, злоумышленникам все равно удается получить доступ к информации. В настоящее время, нет универсального практического решения этой проблемы. В рамках обозначенной проблемы необходимо  рассмотреть такую важную процедуру защиты ИС от несанкционированного доступа, как аудит информационной безопасности (ИБ) и, в частности, его неотъемлемую составляющую - анализ рисков. Рассматриваемая процедура позволяет указать на уязвимости, провоцирующие риск несанкционированного доступа со стороны и в дальнейшем свести его к минимуму.
    Для перехода к непосредственному описанию анализа необходимо рассмотреть определения некоторых основных понятий: Информационная система - совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств.
Аудит информационной безопасности - это исследование и оценка текущего состояния защищенности и безопасности информационных ресурсов и корпоративных систем организации, на соответствие стандартам и требованиям предъявляемых со стороны заказчика.
Процесс анализа рисков - инструмент, с помощью которого можно определить цели управления ИБ, оценить основные критичные факторы, негативно влияющие на ключевые бизнес-процессы компании, и выработать осознанные, эффективные и обоснованные решения для их контроля или минимизации.
    Цель управления ИБ состоит в сохранении конфиденциальности, целостности и доступности информации. Вопрос только в том, какую именно информацию необходимо охранять и какие усилия прилагать для обеспечения ее сохранности.
    Ресурсом или активом будем называть именованный элемент ИС, имеющий (материальную) ценность и подлежащий защите. Ценность актива выражается величиной потерь, которые понесет организация в случае нарушения безопасности актива. Однако стоит отметить, что определение стоимости актива уже не входит в компетенцию ИБ, этим должны заниматься менеджеры компании. Уже на основе предоставленных менеджерами приоритетов проводится аудит, способный оценить возможности защиты и выявляющий угрозы, уязвимости и риски ИБ.
    Угрозой ИБ называют потенциально возможное происшествие (неважно, преднамеренное или нет), которое может оказать нежелательное воздействие на компьютерную систему, а также информацию, хранящуюся и обрабатывающуюся в ней.
Уязвимость ИС - некая неудачная характеристика, которая делает возможным возникновение угрозы. Уязвимостью является недостаточная защищенность и/или некоторые ошибки в системе, а также наличие в системе потайных входов в нее, оставленные разработчиками этой системы при ее отладке и настройке.
    Риском в сфере ИБ будем называть потенциальную возможность понести убытки из-за нарушения безопасности информационной системы. Зачастую понятие риска смешивают с понятием угрозы.
    На уровне активов, риск может быть идентифицирован следующим набором параметров:
-    угроза, возможной реализацией которой вызван данный риск;
-    ресурс, в отношении которого может быть реализована данная угроза (ресурс может быть информационный, аппаратный, программный и т.д.);
-    уязвимость, через которую может быть реализована данная угроза в отношении данного ресурса.
От угрозы риск о

Похожие статьи