На основе построенной модели можно обоснованно выбрать си-
стему контрмер, снижающих риски до допустимых уровней и облада-
ющих наибольшей ценовой эффективностью.
Обеспечение повышенных требований к ИБ предполагает соот-
ветствующие мероприятия на всех этапах жизненного цикла инфор-
мационных технологий. Планирование этих мероприятий проводится
по завершению этапа анализа рисков и выбора контрмер. Обязатель-
ной составной частью этих планов является периодическая проверка
соответствия существующего режима ИБ политике безопасности, сер-
тификация информационной системы (технологии) на соответствие
требованиям определенного стандарта безопасности.
Политика ИБ АС включает в себя требования в адрес персонала,
менеджеров и технических служб. Основные направления разработки
политики безопасности следующие:
— определить, какие данные и насколько серьезно необходимо за-
щищать;
— определить, кто (что) и какой ущерб может нанести АС в инфор-
мационном аспекте;
— определить информационные риски и определить схемы умень-
шения их до приемлемой величины.
Методика анализа информационных рисков.
Существуют две
методики оценки текущей ситуации в области ИБ на предприятии.
Они получили образные названия “исследование снизу вверх” и “ис-
следование сверху вниз”. Первая методика достаточно проста, требует
намного меньших затрат, но и имеет меньшие возможности. Она осно-
вана на известной схеме: “Вы — злоумышленник. Ваши действия?”,
т.е. служба ИБ, основываясь на данных обо всех известных видах атак,
пытается применить их на практике с целью проверить, возможна ли
такая атака со стороны реального злоумышленника.
Методика “сверху вниз” представляет собой, наоборот, детальный
анализ всей существующей схемы хранения и обработки информации.
Первым этапом этой методики является определение, какие инфор-
мационные объекты и потоки необходимо защищать. Далее следует
изучить текущее состояние подсистемы ИБ в целях определения, ка-
кие из классических способов защиты информации уже реализованы.
На третьем этапе проводится классификация всех информационных
объектов в соответствии с уровнем их конфиденциальности, требова-
ниями к доступности и целостности.
Далее следует выяснить, насколько серьезный ущерб может на-
нести АС раскрытие или иная атака на каждый конкретный инфор-
мационный объект. Этот этап состоит в определении рисков. Следу-
ет отметить, что классификацию ущерба, наносимого атакой, должен
106 ISSN 0236-3933. Вестник МГТУ им. Н.Э. Баумана. Сер. “Приборостроение”. 2010. № 1
