Просто тупо применять все подряд средства и методы защиты информации на всех подряд средствах обработки информации нецелесообразно и глупо. Например тратить кучу денег на сертифицированные дорогие межсетевые экраны, анализаторы трафика и т. п., незачем если во внешнюю сеть выходят компьютеры не обрабатывающие критически важную информацию (есть такие способы обработки, но о них я расскажу в следующий раз). В предыдущей статье мы с вами обсудили такой вопрос как Угрозы информационной безопасности. Но для чего мы их определили и классифицировали.
Все очень просто. Любая угроза может быть реализована если только есть возможность ее реализации. Правильными словами если сказать, то эта возможность называется уязвимостью. Возможно вы встречали данный термин в компьютерных областях, например уязвимости операционной системыили интернет браузера Microsoft Internet Explorer, которые постоянно закрывают в компании Microsoft. Да это те самые уязвимости о которых я говорю, но это понятие намного шире. Уязвимости могут быть также в информационных системах, автоматизированных системах управления технологическими процессами, уязвимость может быть даже в бизнес процессах вашей организации. В связи с этим необходимо выделить какую либо область защиты, к которой вы будете применять средства и меры защиты информации, например бизнес процесс расчета зарплаты, бизнес процесс материально-технического снабжения или например отдел маркетинговых исследований. Выделение бизнес процессов в область защиты на мой взгляд более удобнее чем обозначить один или группу серверов или всю организацию в целом. Области защиты, если их несколько, нужно распределить по важности обрабатываемой в них информации. Кроме того необходимо определить все возможные элементы этой области, назовем их объекты защиты. В качестве объектов защиты могут быть носители информации, сервера, базы данных, люди, каналы связи, персональные компьютеры, помещения и т. д. После того как вы определили область защиты и объекты защиты необходимо применить к ним классифицированные угрозы информационной безопасности с указанными вероятностями их возникновения. Затем по каждой угрозе и по каждому нарушителю необходимо определить уязвимости информационной безопасности которые могут быть в объектах защиты. Например реализация такой угрозы как нарушение доступности сервера базы данных возникшего в результате вирусного заражения возможна через такую уязвимость как наличие выхода в сеть Интернет с этого сервера или уязвимость отсутствия последних обновлений антивирусных баз на данном сервере (объектом защиты в данном случае является сервер с установленной на нем базой данных или сама база данных). Или еще пример реализация такой угрозы как уничтожение критически важных документов в результате пожара через такую уязвимость как отсутствие несгораемого сейфа в помещении бухгалтерии или отсутствие пожарной сигнализации в помещениях (помещение с хранящимися там документами или сами документы в данном случае является объектом защиты). Или вот еще пример - реализация угрозы нарушение конфиденциальности финансовых документов организации возникшее в результате копирования этих документов посторонним лицом по ошибке зашедшим в кабинет бухгалтерии пока там никого не было через такую уязвимость как отсутствие системы контроля доступа в помещение, или неосведомленности и безответственности сотрудников той самой бухгалтерии. Вобщем таких примеров я могу привести множество, да и вы уважаемые коллеги и читатели моего блока это сможете сделать, в связи с этим, дабы не отвлекаться от данной темы, предлагаю перенести обсуждение возможных уязвимостей на одну из тем форума сайта. После определения всех возможных уязвимостей в вашей области защиты необходимо определить их критичность в зависимости от важности информации обрабатываемой в данной области защиты. Критичность лучше всего выражать в по какой-то шкале, например трех или пяти бальной. Например 3 - критичная уязвимость, 2 - средняя уязвимость и 1 - низкая уязвимость. Каждой уязвимости, сопоставленной угрозе, ставится один из уровней критичности. Выбрать этот уровень можно путем опроса специалистов в той или иной области. Например такая уязвимость как отсутствие антивирусного ПО на сервере с установленной операционной системой Linux или на контроллере домена может быть принята низкой т. к. это ни как ни скажется на критически важной информации, уязвимость отсутствия огнетушителя в помещении архива тоже можно принять низкой, уязвимость отсутствия запираемого шкафа в помещении бухгалтерии тоже может быть принята низкой т. к. в этом помещении есть система контроля доступа в помещение, а вот отсутствие разграничения доступа информационной системе в маркетинговом отделе может быть принята высокой, т. к. это может привести к утечке информации с данной системы. В результате у нас должна получится некая матрица с объектами защиты, угрозами информационной безопасности с их вероятностями и нарушителями, и уязвимостями с их критичностями.
Спасибо за внимание, до встречи!