– A - Событие практически никогда не происходит.

– Б - Событие случается редко.

– В - Вероятность события за рассматриваемый промежуток времени - около 0.5.

– Г - Скорее всего, событие произойдет.

– Д - Событие почти обязательно произойдет.

Для оценки рисков определим шкалу из трех значений:

– Низкий риск.

– Средний риск.

– Высокий риск.

В результате, мы получаем таблицу качественной оценки информационных рисков в зависимости от двух факторов. Используя данную таблицу мы можем однозначно оценить уровень риска при реализации любой из угроз, рассматриваемых в данном контексте.

Таблица 1. Определение риска в зависимости от двух факторов

	Минимальный	Небольшой	Средний	Серьезный	Критический
A	Низкий риск	Низкий риск	Низкий риск	Средний риск	Средний риск
Б	Низкий риск	Низкий риск	Средний риск	Средний риск	Высокий риск
В	Низкий риск	Средний риск	Средний риск	Средний риск	Высокий риск
Г	Средний риск	Средний риск	Средний риск	Средний риск	Высокий риск
Д	Средний риск	Высокий риск	Высокий риск	Высокий риск	Высокий риск

Шкалы факторов риска и сама таблица могут быть определены иначе, иметь другое число градаций. Подобный подход к оценке рисков достаточно распространен.

При разработке (использовании) методик оценки рисков необходимо учитывать следующие особенности:

– Значения шкал должны быть четко определены (словесное описание) и пониматься одинаково всеми участниками процедуры экспертной оценки.

– Требуются обоснования выбранной таблицы. Необходимо убедиться, что разные инциденты, характеризующиеся одинаковыми сочетаниями факторов риска, имеют с точки зрения экспертов одинаковый уровень рисков.

Оценка рисков по трем факторам.

В зарубежных методиках, рассчитанных на более высокие требования, чем базовый уровень, используется модель оценки риска с тремя факторами [22, 23]: угроза, уязвимость, цена потери.

Вероятность происшествия, которая в данном подходе может быть объективной либо субъективной величиной, зависит от вероятностей угроз и уязвимостей:

Р происшествия = Р угрозы * Р уязвимости

Соответственно, риск определяется следующим образом:

РИСК = P угрозы * Р уязвимости * ЦЕНА ПОТЕРИ

Данное выражение можно рассматривать как математическую формулу, если используются количественные шкалы, либо как формулировку общей идеи, если хотя бы одна из шкал - качественная. В последнем случае используются различного рода табличные методы для определения риска в зависимости от трех факторов.

Например, показатель риска измеряется в шкале от 0 до 8 со следующими определениями уровней риска:

– 1 - риск практически отсутствует. Теоретически возможны ситуации, при которых событие наступает, но на практике это случается редко, а потенциальный ущерб сравнительно невелик.

– 2 - риск очень мал. События подобного рода случались достаточно редко, кроме того, негативные последствия сравнительно невелики.

– 3 - риск очень велик. Событие скорее всего наступит, и последствия будут чрезвычайно тяжелыми.

Вероятности уязвимостей и угроз представим шкалами:

По аналогии с ранее рассмотренным методом двухфакторного определения риска, таблица определения уровня риска по трем факторам может быть представлена следующим образом.

Подобные таблицы используются как в «бумажных» вариантах методик оценки рисков, так и в различного рода инструментальных средствах - ПО анализа рисков. В последнем случае матрица задается разработчиками ПО и, как правило, не подлежит корректировке. Это один из факторов, ограничивающих точность подобного рода инструментария.

Таблица 2. Определение риска в зависимости от трех факторов

Степень серьезности происшествия (цена потери)	Вероятность реализации угрозы
	Низкая	Средняя	Высокая
	Вероятности уязвимостей	Вероятности уязвимостей	Вероятности уязвимостей
	Н	С	В	Н	С	В	Н	С	В
Минимальный	0	1	2	1	2	3	2	3	4
Небольшой	1	2	3	2	3	4	3	4	5
Средний	2	3	4	3	4	5	4	5	6
Серьезный	3	4	5	4	5	6	5	6	7
Критический	4	5	6	5	6	7	6	7	8

В качестве дополнительных критериев оценки источников угроз, можно можем рассмотреть следующие:

4) Время опасности источника угроз - обозначает временной промежуток, в течение которого данный источник угроз необходимо учитывать (считаться с ним).

По времени существования (актуальности) источники угроз можно разделить на: постоянные или длительно существующие (длительность существования которых сравнима с длительностью существования объекта защиты), кратковременно существующие (длительность существования которых значительно меньше длительности существования объекта защиты), и периодически появляющиеся (кратковременно, но неоднократно появляются в течение времени существования объекта защиты). Необходимо учесть, что «время опасности источника угроз» - величина достаточно субъективная, как и восприятие самого времени.

С точки зрения организации системы защиты информации, для успешного противодействия постоянным и периодически появляющимся источникам угроз, необходимо проводить долговременные мероприятия, а для блокирования возможных кратковременных угроз достаточно определенных разовых действий. Данный подход позволяет избежать излишних затрат, и усложнений процессов обработки защищаемой информации.

5) Скрытность действий - открыто или скрытно будет действовать источник угроз при реализации угрозы. Будет ли источник угрозы действовать в рабочее время, или в нерабочее время и выходные дни, либо в любое время (круглосуточно).

Данный критерий определяет открыто или скрытно будет действовать источник угроз при реализации угрозы. И соответственно, от сюда вытекает вывод в необходимости применения дополнительных организационных мер, а так же, средств и методов контроля и наблюдения за защищаемой информацией, местами ее хранения, и средой обработки.

Проведя анализ источников угроз на основе вышеперечисленных критериев, мы получаем множество источников угроз для нашего защищаемого объекта. Далее, с учетом построенной модели угроз, мы имеем возможность создать модель источников угроз.

Одним из вариантов визуального представления модели источников угроз является двумерная матрица, строки которой определяются угрозами для защищаемого объекта, а столбцы - источниками угроз для защищаемого объекта. Каждая ячейка матрицы содержит информацию о потенциале опасности источника угроз при реализации данной угрозы, а так же другие необходимые характеристики источника. В случае, если вероятность реализации угрозы источником ниже порогового значения, либо равна нулю, или источник не в состоянии воздействовать на определенную уязвимость защищаемого объекта, то потенциал опасности источника в данной ячейке матрицы равен нулю.

Совокупность потенциалов опасности источников на каждой строке матрицы дает нам итоговый потенциал опасности каждой из рассматриваемых угроз. Устанавливая пороговые уровни потенциала опасности, мы можем ранжировать угрозы по данному параметру. В частности, можно выделить те угрозы, в случае их существования, которые в дальнейшем можно не учитывать.

При построении модели (как и для модели угроз) необходимо учесть такую составляющую, как прогнозирование источников угроз. Соответственно, модель источников угроз, как и модель угроз, должна быть динамичной, изменяемой.

В качестве сборников статистической информации об угрозах и уязвимостях можно использовать различные каталоги, в частности - каталоги CERT (Computer Emergency Response Team, www.kb.cert.org).

На этом шаге заканчивается стадия описания окружающей обстановки, в которой находится объект защиты. По завершении этой стадии специалисты должны иметь совокупную информацию, которую можно назвать моделью источника угроз для соответствующего объекта защиты. На основе полученной модели, на следующем шаге собственно и начнется создание системы защиты.

5. Построение модели системы защиты информации

5.1 Политика безопасности информации

После сбора и систематизации информации описывающей объект защиты и окружающую его обстановку, и формирования модели источников угроз, переходим к следующему шагу - разработке политики обеспечения безопасности в организации, и созданию модели системы защиты информации.

В основу политики обеспечения безопасности должны лечь правила организации взаимоотношений между субъектами и защищаемым объектом, реализующие защиту этого объекта от существующих угроз. На основе правил формируется перечень организационных и технических мер по защите информации от данных угроз.

Основная задача системы защиты - противодействие множеству известных угроз, направленных против защищаемого объекта, путем снижения потенциала опасности этих угроз до нулевого уровня. Для снижения потенциала опасности угрозы до порогового уровня, который можно считать нулевым, необходимо привести к нулю как минимум один из его компонентов: вероятность реализации угрозы или размер ущерба, наступаемого в результате реализации угрозы.

Размер ущерба можно свести к нулю только путем ликвидации уязвимости защищаемого объекта или ликвидации источника угрозы, при чем второе, как правило, весьма затруднительно. Ликвидация уязвимости возможна только в случае допустимости модификации свойств защищаемого объекта. К сожалению, нередки случаи, когда свойства объекта изменить нельзя, а соответственно - нельзя ликвидировать уязвимость. Поэтому, как правило, для снижения потенциала опасности угрозы, стараются снизить вероятность ее реализации, путем снижения доступности защищаемой информации для источника угроз, а так же путем снижения уровня опасности самого источника. Т.е. в случае природных и техногенных факторов обеспечивают снижение уровня разрушающего воздействия на защищаемый объект, а в случае человеческого фактора - ограничивают возможности при доступе к защищаемому объекту и воздействуют на мотивации людей (Пример: надписи «В зале ведется скрытое видеонаблюдение»).

В связи с этим, не лишним будет вспомнить еще одно популярное сегодня понятие: «Политика управления информационными рисками». Данный термин как раз и описывает комплекс правил, направленных на снижение потенциала опасности источников при реализации актуальных для нашего защищаемого объекта угроз. На сегодняшний день можно выделить два подхода к формированию «Политики …». Обозначим их как «Государственный» и «Коммерческий».

Государственный подход подразумевает снижение риска до минимально возможного уровня любой ценой, независимо от затрат (естественно, определенные ограничения всегда существуют). Определяющими здесь являются требования руководящих государственных и ведомственных документов, а так же мера ответственности за нарушения этих требований, так же определенная соответствующими руководящими документами (н-р Уголовный кодекс РФ).

Коммерческий подход подразумевает дифференцированную оценку рисков, и определение их безопасного порогового уровня. При снижении уровня риска до указанной границы, дальнейшее противодействие данному риску считается нецелесообразным, так как приводит к избыточным затратам на систему защиты информации (а деньги - как известно, любят счет).

На основе вышеописанной модели источника угроз, а так же, с учетом требований руководящих документов по защите информации, сформулируем обобщенный перечень правил и требований, необходимых для обеспечения безопасности информации, циркулирующей в организации, и требующей защиты.

Для организации полноценной системы защиты информации, необходимо учесть все основные направления защиты. Система защиты должна обеспечивать целостность, конфиденциальность и доступность защищаемой информации. С учетом этого можно выделить ряд следующих направлений защиты:

- Ограничение доступа к информации;

- Ограничение распространения информации;

- Обеспечение целостности самой информации;

- Обеспечение целостности атрибутов информации;

- Обеспечение работоспособности средств обработки и каналов связи.

В качестве мер, обеспечивающих целостность атрибутов защищаемой информации, можно рассмотреть меры, аналогичные предложенным при обеспечении целостности самой информации, в части касающейся.

Решение вопроса обеспечения работоспособности средств обработки и каналов связи можно разделить на два направления:

- обеспечение работоспособности технических средств обработки информации и каналов связи;

- защита информационной системы от логических ошибок и сбоев, приводящих к потере или недоступности информации.

Комплекс предполагаемых мер по противодействию известным угрозам будет составлять основу модели системы защиты, а каждую из мер можно рассматривать, как элемент системы защиты.

5.2 Модель системы защиты информации

Наглядно модель системы защиты можно отобразить в виде двумерной матрицы, строки которой определяются угрозами для защищаемого объекта, а столбцы - элементами системы защиты. В итоге мы получаем набор взаимоотношений между множеством угроз и множеством элементов системы защиты, где каждой угрозе соответствует, как минимум, один элемент защиты. Описание данных взаимоотношений и является в нашем случае моделью системы защиты. Для оценки системы защиты введем понятие ее эффективности.

Эффективность системы защиты - возможности системы защиты по противодействию множеству известных угроз, направленных против защищаемого объекта. Соответственно, эффективность элемента системы защиты определяется возможностью противодействия одной или нескольким конкретным угрозам.

В ячейках матрицы отображается уровень эффективности конкретного элемента защиты по отношению к конкретной угрозе, либо, как минимум, факт наличия взаимоотношений между данными элементом и угрозой. Данная матрица так же позволяет оптимизировать модель системы защиты за счет выявления избыточности Элементов, обеспечивающих защиту от одних и тех же угроз.

В результате анализа возможностей по противодействию угрозам, должен появиться документ описывающий политику безопасности организации с учетом модели системы защиты информации - «концепция безопасности». Концепция безопасности по сути должна являться совокупностью точек зрения специалистов, связанных как с самим защищаемым информационным ресурсом, так и с его защитой. Необходимо помнить, что концепция - документ предназначенный в первую очередь для руководства организации, и лиц, ответственных за защиту информации. В концепции должны быть отражены, как минимум, следующие вопросы:

- классификация видов защищаемой информации;

- классификация угроз и источников угроз;

- определение перечня защитных мер;

- определение категорий лиц, допущенных к различным видам защищаемой информации, их права, обязанности и мера ответственности;

- определение перечня санкционированных действий с объектом защиты для каждой категории допущенных лиц, и так далее.

При этом, определение категорий лиц, допущенных к различным видам защищаемой информации, их права, обязанности и мера ответственности может определяться на основе следующих положений:

- Полномочия лиц, допущенных к защищаемой информации, определяются, в первую очередь, их должностными обязанностями. Так же, полномочия могут определяться конкретными целями и задачами, решаемыми в процессе служебной деятельности.

- Определение полномочий пользователя в информационной системе осуществляет ответственный администратор системы, а контроль деятельности (аудит) уполномоченного пользователя, в том числе - администратора системы, осуществляет администратор безопасности информационной системы.

- Действия пользователей не должны выходить за пределы данных им полномочий. При попытке пользователя превысить свои полномочия, его действия должны рассматриваться как реализация угрозы в отношении защищаемой информации.

Определение перечня санкционированных действий с объектом защиты для каждой категории допущенных лиц производится, как правило, на том основании, что санкционированными считаются действия уполномоченного пользователя, которые согласуются с объемом его санкционированных полномочий.

Концепция безопасности позволяет наметить план действий по созданию защищенной инфраструктуры, согласовать деятельность различных подразделений в этом вопросе (что особенно актуально для организаций, имеющих территориально разнесенные подразделения), определить финансовую политику в отношении системы защиты.

Следует так же помнить, что избыточное усиление системы защиты не всегда является оправданным, и что любая конкретная реализация системы защиты в конечном итоге будет взломана - сегодня это считается аксиомой. Существует термин «время доступности», определяющий суммарные временные затраты на реализацию угрозы в отношении защищаемого объекта. То есть, время доступности - это время, прошедшее с момента принятия решения заинтересованным лицом о реализации угрозы, до момента фактической реализации. И основная задача любой современной системы защиты информации - обеспечить условия, при которых время доступности информации будет превышать время ее актуальности.

При создании модели системы защиты, необходимо учесть, что организационные меры, применяемые в составе системы защиты не менее важны, чем технические компоненты, но при этом обходятся значительно дешевле. Поэтому, необходимо продумать алгоритмы действий всех групп пользователей информационной системы, начиная с администратора, на случай реализации типовых угроз. Необходимо так же, разработать методы контроля выполнения предписаний и ограничений пользователями информационной системы. Все это позволит снизить влияние человеческого фактора на работу системы защиты информации, ограничить возможности злоумышленника при несанкционированном воздействии на защищаемый объект, и уменьшить уровень ущерба и сроки ликвидации потерь, возникших в результате реализации угрозы.

При построении системы информационной безопасности возможны два общих подхода - продуктовый и проектный. [31] В рамках продуктового подхода выбирается набор средств защиты, анализируются их функции, а на основе анализа функций определяется политика доступа к информационным ресурсам.

Альтернативой такому подходу является проектный подход, когда первоначально проводится проработка политики доступа, на основе которой определяются функции, необходимые для ее реализации, и производится выбор или разработка продуктов, обеспечивающих выполнение этих функций.

Продуктовый подход более дешев с точки зрения затрат на проектирование. Кроме того, он часто является единственно возможным в условиях дефицита решений (например, для криптографической защиты применяется исключительно такой подход). Проектный подход заведомо более полон, и системы, построенные на его основе, более оптимизированы и аттестуемы.

Проектный подход предпочтительнее и при создании больших гетерогенных систем, поскольку в отличие от продуктового подхода он не связан изначально с той или иной платформой. Кроме того, он обеспечивает более долговременные решения, поскольку допускает проведение замены продуктов и решений без изменения политики доступа.

С точки зрения проектной архитектуры подсистемы информационной безопасности обычно применяются объектный, прикладной или смешанный подход. [31]

Объектный подход строит защиту информации на основании структуры того или иного объекта (здания, подразделения, предприятия). Применение объектного подхода предполагает использование набора универсальных решений для обеспечения механизмов безопасности, поддерживающих однородный набор организационных мер. Классическим примером такого подхода является построение защищенных инфраструктур внешнего информационного обмена, локальной сети, системы телекоммуникаций и т. д. К недостаткам объектного подхода относятся очевидная неполнота его универсальных механизмов, особенно для организаций с большим набором сложно связанных между собой приложений.

Прикладной подход строит механизмы безопасности в привязке к конкретному приложению. Пример прикладного подхода - защита подсистемы либо отдельных задач автоматизации (бухгалтерия, кадры и т. д.). При большей полноте защитных мер такого подхода у него имеются и недостатки, а именно необходимость увязывать различные средства безопасности с целью минимизации затрат на администрирование и эксплуатацию, а также с необходимостью задействовать уже существующие средства защиты информации для сохранения инвестиций.

Возможна комбинация двух описанных подходов. В смешанном подходе информационная система представляется как совокупность объектов, для каждого из которых определена область использования универсальных средств реализации механизмов безопасности с применением вне этой области прикладного подхода. Такой подход оказывается более трудоемким на стадии проектирования, однако часто дает преимущества в стоимости внедрения и эксплуатации системы защиты информации.

С точки зрения стратегии защиты выделяют ресурсный подход, рассматривающий систему как набор ресурсов и привязывающий компоненты подсистемы информационной безопасности к ресурсам, и сервисный подход, трактующий систему как набор служб, предоставляемых пользователям. [31]

При реализации ресурсного подхода задачу защиты информации необходимо решать без дополнительных ограничений на структуру служб, что в условиях неоднородной системы не представляется возможным.

Сегодня сервисный подход представляется предпочтительным, поскольку привязывается к реализованным в системе службам и позволяет исключить широкий класс угроз при помощи отказа от «лишних» служб, делая структуру подсистемы информационной безопасности более логически обоснованной. Именно сервисный подход лежит в основе современных стандартов по безопасности, в частности, ГОСТ Р ИСО/МЭК 15408-2002.

Естественное желание любого руководителя организации, чтобы система защиты не мешала повседневной деятельности, эффективно выполняла свои функции, и при этом, ее стоимость была как можно меньшей. Система защиты не должна мешать сотрудникам организации исполнять свои обязанности, особенно, если их результатом является поступление финансовых средств в доходную часть бюджета организации. Если система защиты в этом случае является серьезной помехой, то значит - она сама причиняет ущерб. В итоге, мы подошли к описанию критерия оценки оптимальности системы защиты: оптимальной является та система защиты, затраты на которую значительно меньше величины возможного ущерба, возникающего при ее отсутствии. В принципе, данный критерий, хотя и субъективный, может являться одним из основных при оценке любой системы защиты. Какова должна быть разница между ущербом и затратами? Вот здесь и проявляется определенная субъективность критерия, зависящая, думается, от экономического (финансового) потенциала самой защищаемой организации.

Избыточные затраты - при которых не происходит ощутимого роста эффективности системы

Область вырождения (возможна теоретически) - уровень затрат, при котором система защиты становится убыточной вследствие своей сложности и громоздкости.

Из практики промышленно развитых стран известно, что на создание эффективной системы безопасности объекта тратится от 10% до 30% средств, идущих на строительство и оборудование самого объекта. Поскольку эффективность системы защиты определяется ее способностью противодействовать угрозам, порождаемым определенными группами источников, то соотношение эффективности системы и ее стоимости графически можно представить в виде кривой.

К сожалению, до сих пор серьезной проблемой является современная методология организации защиты информации в компьютерных системах. Технологически процесс выглядит так: берется типовой компьютер - законченная интегрированная система, и на него навешивается еще одна система - система защиты информации, чужеродная. Порочность данного подхода в том, что в этом случае из двух отдельных системообразующих компонент не получается единой защищенной системы, которая, согласно теории системного анализа, должна приобрести новые свойства, отсутствующие у исходных компонент. В нашем случае - есть компьютер и есть средство защиты. Убираем средство защиты - компьютер продолжает нормально функционировать! Переносим средство защиты на другой компьютер - получаем новую «защищенную систему». Нонсенс. При удалении одной из базовых компонент система должна перестать существовать!

То есть, если для создания защищенной системы обработки информации используется средство защиты и стандартный компьютер, то в реалии - системы (согласно определения) не получается, и компоненты существуют сами по себе. От сюда следует вывод, что средство защиты при определенных условиях злоумышленник может обойти, воздействуя напрямую на средство обработки информации. При наличии защиты объект защиты оказывается не защищен! В связи с этим, для повышения эффективности защиты, необходимо предусматривать дополнительные меры защиты и контроля, укрепляющие «защищенную систему».

6. Реализация системы защиты информации

Далее наступает этап реализации системы [7]. Идеальным считается вариант, когда система защиты строится одновременно с построением информационной системы. В этом случае существует возможность планирования архитектуры информационной системы с учетом вопросов безопасности, и компоненты защиты гармонично вольются в общую структуру. В действительности, как правило, системы обработки информации в организациях уже существуют, причем, некоторые из них построены достаточно хаотично. В связи с этим, построение системы защиты приходится проводить либо с учетом существующей топологии, либо при частичном изменении существующей топологии информационных систем.

Детальное рассмотрение процесса физического построения системы защиты информации на объекте мы опустим, так как это находится несколько в стороне от нашей темы, и частично будет рассмотрено далее. Как правило, реализацией технической составляющей системы защиты занимаются соответствующие организации - подрядчики (системные интеграторы), имеющие соответствующие лицензии и опыт работы.

В настоящее время многие системные интеграторы, говоря о преимуществах своих услуг, оперируют показателями: «Совокупная стоимость владения» (ТСО - total cost of ownership) и «Коэффициент возврата инвестиций» (ROI - return on investment). [34]

В теории, ROI определенным образом зависит как минимум от двух составляющих: ТСО (другими словами, инвестиций, необходимых для реализации проекта) и приносимой от их вложения прибыли. Здесь мы не будем задаваться вопросом точной зависимости от ТСО. Тем более, что в настоящее время в печати ведется достаточно острая полемика на эту тему. Важно другое. Если инвестиции «приносят» прибыль - все понятно: можно тем или иным образом определить ROI. А если прибыли от инвестиций нет и не подразумевается самим назначением проекта? Тогда для грамотной экономической оценки проекта остается лишь рассчитать ТСО.

Оценить прямой экономический эффект (получаемую прибыль) от реализации проекта по обеспечению информационной безопасности информационных систем практически невозможно. Даже если руководство организации убедилось в целесообразности реализации подобного проекта, то обычно сотруднику, отвечающему за информационную безопасность, необходимо пройти еще одну из самых трудных процедур - утвердить сметы затрат на реализацию проекта и доказать, что «сэкономить больше нельзя». В таких случаях определение ТСО становится как раз незаменимым инструментом. Наиболее наглядными являются два варианта оценки подобного проекта с использованием ТСО:

– Сравнение показателей ТСО уже реализованных в данной отрасли аналогичных проектов. Это позволило бы показать руководству организации, что уровень экономических показателей предлагаемого проекта не хуже (или лучше), чем в среднем по отрасли. Однако, такой подход требует наличия довольно большого объема статистического материала, что само по себе является достаточно трудоемкой задачей.

– Сравнение ТСО решений, предлагаемых разными производителями для реализации одного и того же проекта. Данный способ не требует такого объема необходимых статистических материалов, как в предыдущем случае, поэтому возможен практически всегда. Анализ результатов расчета может использоваться в качестве аргументации выбора того или иного исполнителя.

Методика определения ТСО изначально была выдвинута исследовательской компанией Garther Group в конце 80-х годов (1986 - 1987 гг.). В основу общей модели расчета ТСО положено разделение всех расходов (затрат) на две основные категории:

– прямые (бюджетные) расходы - это расходы, которые необходимо совершить фирме для запуска проекта и поддержания его в рабочем состоянии;

– косвенные расходы - расходы, которые понесет фирма (при условии реализации проекта) от влияния нововведений на работоспособность сотрудников фирмы.

Статьи прямых расходов можно разделить на следующие группы:

Единовременные расходы:

– Капитальные расходы: покупка необходимого оборудования, покупка/разработка необходимого программного обеспечения.

– Расходы на управление внедряемой системой: расходы на проектирование - разработка схем устройств, политики функционирования системы; расходы на администрирование (сопровождение) - изменение локальных политик функционирования системы, upgrade аппаратных платформ и т. д.; расходы на расширение системы; расходы на преодоление чрезвычайных ситуаций;

– расходы на интеграцию системы в уже существующую корпоративную систему - очень важная статья расходов, которая обычно не учитывается.

– Расходы на установку оборудования и программного обеспечения.

– Расходы на обучение обслуживающего персонала.

– Командировочные расходы.

– Прочие расходы, совершаемые для запуска проекта.

Ежегодные расходы:

– Расходы на техническую поддержку оборудования.

– Расходы на сопровождение программных средств.

– Расходы на оплату труда обслуживающего проект персонала.

– Расходы на услуги связи.

– Прочие расходы, совершаемые для поддержания проекта в рабочем состоянии.

Часть прямых расходов является обязательной - это покупка, установка и сопровождение необходимого оборудования и программных средств, привлечение дополнительного персонала и т. п., несение же другой части расходов зависит от конкретного проекта или пожеланий заказчика (услуги по обследованию существующей сети, аутсорсинг, услуги связи и т. п.). Поэтому при расчете ТСО имеет смысл все расходы разделить на следующие группы:

– расходы, обязательные к совершению (вероятность несения таких расходов 100%);

– расходы, возможные к совершению (вероятность несения таких расходов менее 100%).

Косвенные расходы часто находятся за рамками бюджетных затрат на информационные технологии, однако они могут играть существенную роль в оценке решений по проектам.

Можно выделить две группы источников возникновения косвенных расходов.

Первая группа косвенных расходов заключается в том, что, если информационная система спроектирована плохо (например, сервер дает частые сбои), то это вызывает непроизводительное расходование времени у пользователей (перерывы в работе) или даже потери в бизнесе. Как правило, косвенные расходы трудно определить напрямую. Однако их следует учитывать при проектировании информационных систем и организации технической поддержки. Для определения этой группы косвенных затрат нужно различать плановое время неработоспособности и сверхнормативное.

Вторая группа косвенных расходов отражает организационную сторону процесса использования информационных технологий и состоит в том, что, вследствие ненадлежащей поддержки со стороны штатных сотрудников информационных технологий, пользователи внутри компании вынуждены заниматься вопросами восстановления работоспособности, самообучением и т. д., что также уменьшает производительное время их работы.

Что касается расчета ТСО для систем информационной безопасности, то он относится аналитиками к числу наиболее сложных. Это происходит по следующим причинам:

– Применительно к системам безопасности необходимо учитывать такой фактор, как требования рынка к сертификации средств информационной безопасности. Этот фактор может найти свое отражение в расчете ТСО за счет более высокой цены продукта по сравнению с аналогом, не имеющим соответствующего сертификата, что в целом увеличит ТСО проекта, понизив при этом его привлекательность. Но при этом данный фактор останется одним из ключевых при принятии окончательного решения.

– Методика расчета экономической эффективности не в состоянии учитывать и такой важный фактор, как качество системы безопасности. Так, грубая ошибка в настройке или неизвестный «черный ход» в продукте могут свести на нет все экономические преимущества проекта, хотя его ТСО будет минимальна. Предсказать подобный исход на этапе финансового анализа, очевидно, невозможно.

Данные факторы могут и должны быть учтены в дополнение к основному определению ТСО. Причем некоторые параметры, прямо или косвенно влияющие на ТСО, придется оценивать экспертным методом.

К сожалению, из-за ограничения объема, на этом этапе описание методик придется завершить. С более полным описанием методик ТСО и ROI можно ознакомиться в соответствующей литературе, в частности в работе [34].

Само построение системы защиты производится согласно проекту, разработанному на основе созданной модели. Сдача объекта в эксплуатацию производится после проведения тестовых испытаний, и других приемо-сдаточных мероприятий. При необходимости, возможна предварительная сдача системы в опытную эксплуатацию. Опытная эксплуатация позволяет выявить и устранить возможные недостатки функционирования системы информационной безопасности, прежде чем запустить систему на объекте в полноценный рабочий режим.

Если в процессе опытной эксплуатации выявляются факты некорректной работы компонентов системы, то проводится корректировка настроек средств защиты, режимов их функционирования и т. п.

Подтверждение функциональной полноты системы безопасности и обеспечения требуемого уровня защищенности информационной системы организации обеспечивается при необходимости (в государственных организациях - в обязательном порядке) проведением аттестации системы соответствующими уполномоченными организациями.

Аттестация предусматривает комплексную проверку защищаемого объекта в реальных условиях эксплуатации с целью оценки соответствия применяемого комплекса мер и средств защиты требуемому уровню безопасности.

Помимо сдачи системы безопасности, одновременно должны проводиться обучение и аттестация обслуживающего персонала, администраторов системы и других ответственных лиц.

На основе концепции безопасности создается итоговый документ - «Положение по защите информации» для организации, содержащий перечень всех необходимых требований по информационной безопасности. Для отдельных подразделений, сотрудники которых имеют доступ к защищаемым ресурсам, либо отдельных объектов информатизации, необходимо создание инструкций по защите информации. В инструкциях обязательно должны быть отражены предварительно разработанные организационные меры для всех, реально существующих групп пользователей. Так же, должны быть назначены ответственные лица, контролирующие выполнение сотрудниками организации, и другими допущенными лицами, требований инструкций и руководящих документов по защите информации. Лица, допущенные к обработке защищаемой информации, в обязательном порядке должны быть предупреждены об ответственности за нарушение требований по информационной безопасности.

7. Эксплуатация системы защиты информации

7.1 Общие вопросы

Далее начинается самый длительный этап в существовании системы защиты информации - ее эксплуатация. Эксплуатация системы связана в первую очередь с поддержанием ее в рабочем состоянии, и принятии своевременных соответствующих мер в случае попытки реализации какой-либо из угроз. Это выражается в следующем:

- поддержание в рабочем состоянии технических средств;

- своевременное исправление ошибок в программном обеспечении;

- своевременное обновление и дополнение требующих этого компонент системы;

- контроль электронных журналов (Log-файлов), фиксирующих различные события в системе защиты;

- контроль ситуации в защищаемой системе на предмет несанкционированных изменений, либо несанкционированного накопления информации пользователями системы;

- проведение плановых мер по противодействию информационным угрозам, в том числе - тренировки персонала по отработке действий в случае реализации определенных видов угроз;

- отслеживание перспектив развития системы защиты;

- повышение квалификации персонала, эксплуатирующего систему защиты;

- постоянный контроль выполнения требований руководящих документов по защите информации в организации;

- осуществляемый на плановой основе анализ угроз безопасности организации, и отслеживание изменений в окружающей обстановке, касающихся информационной безопасности.

7.2 Специальный эксперимент

Одним из методов, используемых для текущего анализа эффективности системы защиты информации, является специальный эксперимент [14].

Ни одна из существующих методик обеспечения безопасности защищаемого объекта (в нашем случае - информации), не в состоянии учесть все тонкости и нюансы построения и эксплуатации конкретной системы защиты. Например - влияние человеческого фактора на эффективность обеспечения безопасности объекта (как часто, и насколько внимательно администратор таможенной информационной системы просматривает журналы учета событий (лог-файлы) в системе защиты).

Свободным от этого недостатка является метод специального эксперимента. Кроме того, эксперимент полезен при прогнозировании появления новых угроз для объекта защиты и новых источников этих угроз. То есть, эксперимент является одной из возможностей получения информации для коррекции модели источников угроз. Эксперимент носит название специального, так как он направлен исключительно на исследование безопасности ресурсов информационной системы, что является его отличительной особенностью.

В основу метода специального эксперимента положено то обстоятельство, что любое явление действительности связано с условиями своего существования, а значит и реакция объекта изучения зависит от воздействия на него окружающей обстановки. Следовательно, изменяя условия, в которых находится объект изучения, можно получить данные о его свойствах. В соответствии со своими техническими возможностями (для технических систем) или намерениями (для физического лица) изучаемый реагирует на эти, вновь созданные условия, принимая их за подлинные При этом необходимо отметить, что непосредственным объектом конкретного эксперимента является не вся система защиты, а лишь отдельные ее элементы или отдельные стороны. Это обстоятельство связано с невозможностью одновременного изучения всех составляющих информационной безопасности из-за многообразия угроз, которое, в свою очередь, влечет за собой проявление этих угроз в различных формах.

Эксперимент - это научно поставленный опыт. В научности эксперимента заложено его главное отличие от такого процесса как испытание, хотя, иногда, эти границы бывают достаточно условны. Тем не менее, изначально испытания проводятся с целью подтверждения (опровержения) соответствия какой-либо системы требованиям, техническим условиям, ГОСТ-ам, инструкциям и. т. п. Следовательно, и исход испытаний может быть либо положительным, либо отрицательным. В принципе, испытания - это проверка. А под экспериментальными исследованиями понимается совокупность действий исследователя с целью получения новой информации об изучаемом объекте (процессе, явлении) путем постановки опытов с физическими и (или) математическими моделями объектов или с самим объектом.

Таким образом, в отличие от испытания, эксперимент относится к исследовательской категории и его конечной целью является получение нового результата, который, как правило, заранее не известен. Следовательно, эксперимент и испытания отличаются друг от друга целями.

Следует особо подчеркнуть, что при оценке состояния системы защиты методом специального эксперимента, действует известный в других областях науки «принцип поглощения». Суть принципа заключается в том, что если эффективность защиты в «благоприятных» для источника угроз условиях будет высокой, то в «неблагоприятных» условиях эта эффективность будет еще выше (по крайней мере - не ниже). Например, если вероятность «вирусного заражения» информационной системы близка к нулю в результате организационных мер, то при использовании антивирусного программного обеспечения эта вероятность тем более будет стремиться к нулю.

7.3 Методика проведения специального эксперимента

Методика проведения специального эксперимента основывается на определенных результатах, полученных в процессе построения модели системы защиты информации. При подготовке к эксперименту учитывается специфика защищаемого информационного ресурса, множество существующих угроз и их потенциал, существующая модель источников угроз [14].

Поскольку основными направлениями обеспечения безопасности информации являются сохранение ее конфиденциальности, целостности и доступности, то специальный эксперимент предполагает искусственное воздействие именно на те составляющие системы защиты, которые используются в данных направлениях.

В частности, одним из направлений анализа надежности системы защиты информации в вычислительной системе организации, с применением методов специального эксперимента, является оценка устойчивости системы к несанкционированным действиям зарегистрированного пользователя, описанная в [8].

В настоящее время нередко можно услышать о низкой эффективности достаточно сложных, надежных и качественных средств защиты информации. Причина проста - человеческий фактор. Какова бы не была сложность и надежность системы защиты, человек своими действиями может свести ее на нет.

Всякая нормально функционирующая и правильно настроенная система защиты теоретически должна отрабатывать любые попытки вторжения на «охраняемую территорию» - попытки доступа к защищаемому информационному ресурсу. Если доступ субъекту или процессу разрешен соответствующими правами, то он его получает. Если доступ запрещен, то действия субъекта (процесса) блокируются, и отмечается факт несанкционированного доступа.

В реальности, на работу системы защиты всегда будет оказывать влияние человеческий фактор. И если несанкционированным воздействиям извне система, как правило, успешно противостоит, то перед воздействиями допущенных пользователей система может быть совершенно беззащитна. Причины этого могут быть как объективного, так и субъективного характера. Человеку свойственно ошибаться. Ошибки возможны как при создании системы защиты, так и при ее настройке, и контроле функционирования. Плюс к этому, администратор всегда может иметь субъективные симпатии и антипатии к определенным пользователям системы. Кроме того, в настоящее время встает вопрос о контроле действий самого администратора - задача практически не решаемая средствами современных операционных систем. То есть, администратор сегодня - человек с неограниченными в системе правами, и полным отсутствием контроля со стороны. Не надо быть сильным аналитиком, чтобы понять, к каким последствиям данная ситуация может привести.

Помимо администратора, опасность могут представлять и рядовые пользователи защищаемой системы. При выдаче им прав на определенные действия с защищаемыми ресурсами, одновременно, на них налагаются определенные обязанности, как правило отраженные в соответствующих инструкциях. Правда жизни такова, что положения инструкций исполняются далеко не всегда. Нарушения инструкций по защите информации можно подразделить на два основных вида:

- выполнение запрещенных действий;

- не выполнение положенных действий.

Эти нарушения могут происходить как умышленно, так и неумышленно, о чем уже упоминалось ранее.

Как правило, современные системы защиты, при правильной настройке политики безопасности, способны прореагировать на выполнение пользователем большинства запрещенных действий, но заставить пользователя выполнять требования инструкции, с помощью штатных средств информационной системы (или системы защиты) достаточно сложно (например: закрыть сессию по окончании сеанса работы, или проверить на наличие «вирусов» принесенную извне дискету). Для этого необходимы дополнительные системы контроля и алгоритмы взаимодействия, что усложняет и удорожает систему защиты.

В зависимости от технического и интеллектуального потенциала пользователя, а так же от его личной заинтересованности, виды и количество воздействий (действие или бездействие) на систему защиты информации могут различаться.

Пользователей, санкционировано допущенных в систему, можно условно разделить на следующие группы (согласно описанию источников угроз):

a) Злоумышленник, целенаправленно воздействующий на систему защиты с целью выполнения каких-либо деструктивных действий с защищаемым ресурсом.

В этом случае каждая попытка может оказаться опасной для защищаемого ресурса. Такой тип пользователя учитывается в моделях безопасности, и отражается в политике безопасности.

b) Подготовленный пользователь, желающий расширить свои возможности в системе, где он работает, либо халатно относящийся к требованиям политики безопасности, считающий их завышенными, а потому - необязательными к исполнению. При этом, каких-то деструктивных действий по отношению к защищаемым ресурсам, как правило, не планируется, но производится ослабление самой системы защиты (неявное нарушение политики безопасности).

c) Не подготовленный пользователь, нарушающий требования политики безопасности по незнанию. В этом случае так же происходит неявное нарушение политики безопасности.

При этом, возникает ситуация, опасная для защищаемого ресурса. Как правило, единичные случаи подобных нарушений могут не обратить на себя внимания злоумышленника, но с дальнейшим ростом количества нарушений, вероятность использования их злоумышленником повышается. Так же, повышается вероятность реализации неумышленных угроз под воздействием техногенных или природных факторов. То есть, можно говорить о некоем пороговом количестве нарушений политики безопасности, которые система защиты не смогла блокировать. При превышении этого порога вероятность реализации угрозы информации становится близкой к единице, и угроза переходит в разряд реальных. Наступит или нет момент реализации угрозы зависит окружающей обстановки вокруг объекта защиты, то есть, от составляющих компонентов «модели источников угроз», рассмотренной нами ранее.

Из рассмотренной ситуации можно сделать вывод о взаимосвязи безопасности объекта защиты, действий легальных пользователей, не являющихся злоумышленниками, и модели источников угроз. Таким образом, мы получаем еще одну комплексную составляющую, которую необходимо учитывать при построении и эксплуатации системы защиты информации.

Для проведения анализа защищенности системы с точки зрения компенсации действий пользователя, необходимо провести серию специальных экспериментов. Для этого необходимо:

1. Составить перечень проверяемых возможных действий пользователя.

2. Проанализировать и подготовить соответствующие условия, наиболее способствующие возможным нарушениям политики безопасности.

3. Подготовленным специалистам провести соответствующее воздействие на защищаемую информационную систему.

4. Проанализировать результат.

Будем считать действия пользователя, не являющимися явно деструктивными по отношению к защищаемому ресурсу, но направленными на нарушение политики безопасности, если они произошли по следующим причинам: вследствие слабой подготовки пользователя, его халатности, или умышленного нарушения им инструкций (любопытство, самоутверждение, получение дополнительных возможностей внутри защищенной системы, и т.п.). Их можно условно разделить на следующие типы:

Умышленные:

- подключение внешних или внутренних технических средств;

- отключение внешних или внутренних технических средств;

- использование внутренних возможностей операционной системы и ошибок администрирования;

- использование дополнительного программного обеспечения;

- игнорирование требований инструкций, либо упрощение алгоритмов требуемых действий.

Неумышленные:

1. невыполнение предписываемых действий, или выполнение запрещенных действий, вследствие низкого уровня подготовки;

2. случайное получение дополнительных прав по отношению к защищаемому ресурсу вследствие ошибок администрирования.

Система защиты должна быть в состоянии обнаружить эти действия или бездействие (поступки) пользователя, соответственно - блокировать или инициировать их, или провести мероприятия по восстановлению защищенности объекта.

Анализ рассмотренной методики показывает, что специальный эксперимент предоставляет универсальную возможность изучения всех составляющих системы защиты информации. Поскольку защита информации, как правило, является составной частью эффективности функционирования любой полноценной информационной системы, то специальный эксперимент оказывает непосредственное влияние на успешное функционирование таких систем.

Необходимо отметить, что в настоящее время существует достаточно обширный перечень программных и программно-аппаратных средств, в той или иной мере реализующие метод специального эксперимента, например - средства активного аудита, рассмотренные в следующих главах.

Рассмотренная методика создания системы защиты информации в организации, является основой для дальнейшего, более детального изучения методов защиты, применяемых в организациях для реализации политики информационной безопасности.

Итогом применения рассмотренной методики должен стать комплекс организационно-технических мероприятий, реализующих требуемый уровень защиты информационного ресурса организации.

Литература

1. Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации. - М., Гостехкомиссия России, 1997.

2. Александров А. Комплексное управление информационными рисками // BYTE Россия. - 2004.- 10 июня.

3. Астахов А.М. Аудит безопасности ИС // Конфидент.- 2003. № 1 (49). С. 63 - 67.

4. Баранов А.П., Борисенко Н.П., Зегжда П.Д., Корт С.С., Ростовцев А.Г. Математические основы информационной безопасности: Пособие. - Орел: ВИПС, 1997. - 354 с.

...