Контакты
Подписка
МЕНЮ
Контакты
Подписка

Защита от утечек информации. Поиск разумного компромисса

Защита от утечек информации. Поиск разумного компромисса

В рубрику "Оборудование и технологии" | К списку рубрик  |  К списку авторов  |  К списку публикаций

Защита от утечек информации.Поиск разумного компромисса

Антон Быков
Главный аналитик ООО “ЦАФТ”
(Центр аналитики и финансовых технологий)

Информация в последние десятилетия приобретает все большую ценность. Рост значимости информации формирует из нее новый вид ресурса, цена на который постоянно растет. Из этого следует, что и конкуренция за информационный ресурс будет стремительно расти, смещая внимание с его создания и использования в сторону защиты значимой информации.

Уже сегодня правительства и компании во всем мире тратят десятки миллиардов долларов на обеспечение информационной безопасности. Несмотря на эти усилия, количество воровства и несанкционированного использования информации неуклонно растет.

Сегодня даже правительство США и американские корпорации с самым мощным экономическим и интеллектуальным ресурсом в мире, значительным опытом защиты интеллектуальных прав не могут добиться эффективной блокировки несанкционированного проникновения в информационные системы и предотвратить утечки важных данных. Последние ограничительные действия правительства США против Китая, связанные с воровством интеллектуальной собственности американских компаний, тому подтверждение.

Сегодня важно понимать, что информация стала исключительно ценным ресурсом, а ее защита – критически важным элементом коммерческой деятельности и функционирования государства. При этом обеспечить информационную безопасность на 100% невозможно.

Именно поэтому общепринятые подходы к формированию систем информационной безопасности основываются на понятии вероятностного ущерба. Исходя из этого, необходима оценка такого ущерба и средств, которые будет разумно выделить на обеспечение информационной безопасности.

Если исходить из понимания вероятностного ущерба как произведения финансовой оценки ущерба и вероятности его реализации, то затраты на обеспечение информационной безопасности должны быть меньше вероятностного ущерба, иначе экономического смысла в такой защите нет. В общем виде такие затраты можно выразить следующим образом: финансовая оценка ущерба, Х-вероятность ущерба < вероятностный ущерб.

Определить эти расходы возможно лишь на административном уровне. Для этого совместно с руководством необходимо очертить круг критически важных бизнес-процессов и связанных с ним информационных систем. Деятельность по укреплению защиты в обозначенных направлениях станет политикой информационной безопасности.

Отталкиваясь от политики информационной безопасности, размера организации и величины вероятностного ущерба в абсолютных и относительных значениях, руководителю службы информационной безопасности предстоит выбрать процедурные и технические средства ее реализации.

Для крупных компаний, особенно имеющих сложную организационную структуру, оптимальным станет разработка индивидуальных систем. Сложная эшелонированная защита, состоящая из организационно-административного (поэтапные проверки персонала), физического (ограждения, камеры, сложные замки с параметрическими ключами и др.), программного (механизмы доступа и шифрования данных, защита внутренних и внешних сетей и др.) и аппаратного (файрволы и др.) слоев, сделает работу злоумышленников экономически нецелесообразной. Взлом будет стоить дороже самой информации.

Для средних и малых компаний разработка подобных систем станет слишком дорогим мероприятием. Для них лучшим вариантом станут готовые, универсальные решения анализа и управления рисками. Такие программные комплексы различаются актуальностью, объемом функционала и сложностью.

COBRA, CRAMM, RiskWatch, Risk Advisor, пожалуй, самые известные и старые программы в этом направлении. Большинство из них сейчас не поддерживаются и не обновляются, однако все еще очень распространены.

Самой простой в использовании и по функционалу оценки риска является COBRA. Программа фактически представляет собой опросник, по результатам которого формируется отчет. Программа соответствует базовому уровню безопасности и легко адаптируется под российские предприятия.

Risk Advisor и RiskWatch представляют более широкий функционал. Risk Advisor (RA) лучше подходит для верхних уровней системы информационной безопасности. На административном и процедурном уровнях программа предоставляет большой спектр возможностей учета и управления рисками, при этом сохраняя большую простоту в сравнении с аналогами (CRAMM).

RiskWatch дополняет Risk Advisor, предоставляя лучшие возможности для математической оценки рисков именно на техническом уровне. В то же время она позволяет достичь необходимого уровня информационной безопасности без серьезных затрат на интеграцию системы в информационные потоки компании.

Пожалуй, самой сложной с точки зрения использования и функционала является CRAMM. Функционал по оценке и управления рисками очень широкий. Используемые в программном комплексе методы создавалась и разрабатывались специализированными британскими государственными органами.

Главной проблемой CRAMM является ее сложность и моральная старость. Когда она создавалась, использовались старые модели безопасности, триада КЦД (конфиденциальность, целостность, доступность) 1975 г. Старые подходы не учитывают новые виды угроз (неотказуемость, захват привилегий, владение), однако CRAMM по-прежнему остается самой популярной программой среди желающих оценить риски информационной безопасности и потери важной информации.

Citicus ONE, RSAM v7.0, Lightwave Security SecureAware, пожалуй, достойная смена для устаревших программ. Они отличаются высокоуровневым управлением риска и стратегическим планированием. Все программы соответствуют современным отраслевым стандартам и обладают очень мощным функционалом.

Конкретные рекомендации по использованию вышеназванных систем сделать сложно, так как это зависит от размера организаций. Citicus ONE разработан для малых предприятий, Lightwave Security SecureAware – для средних и RSAM v7.0 – для крупных.

В заключение необходимо еще раз отметить, что абсолютную защищенность информации обеспечить невозможно. Ни один программный комплекс не сможет обеспечить полной непроницаемости для несанкционированного доступа к информационной системе. По статистике, наибольшее количество таких событий связанно с уволенными сотрудниками. Это еще раз подчеркивает необходимость поиска разумного компромисса между затратами на информационную безопасность и потенциальным ущербом от ее нарушения.

Опубликовано: Журнал "Information Security/ Информационная безопасность" #2, 2018

Приобрести этот номер или подписаться

Статьи про теме