Под таким названием 15-го мая 2013 года пройдет ежегодная всероссийская научная конференция под эгидой ОАО "Концерн "Системпром", на которой я буду выступать с докладом. В докладе будет освящены вопросы связанные с использованием метода оценки рисков в информационных системах специального назначения. В частности будет проведено сравнение рискового подхода к оценке информационной безопасности коммерческих информационных систем и систем специального назначения. Под катом - тезисы доклада:ВОПРОСЫ ПРИМЕНЕНИЯ РИСКОВОГО ПОДХОДА ДЛЯ ОЦЕНКИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ СИСТЕМ СПЕЦИАЛЬНОГО НАЗНАЧЕНИЯ
Информационную безопасность в системах специального назначения принято измерять по двухбалльной шкале – соответствует требованиям по безопасности или нет. Сами эти требования спускаются «сверху» и не всегда учитывают специфику информационных систем (далее – ИС). Альтернативой такому подходу может служить методики управления рисками.
Все эти методики рассматривают риск как произведение вероятности возникновения инцидента (в определенный период времени) на средние потенциальные потери, которые произойдут вследствие его реализации. Назначение коммерческих ИС (для которых, главным образом, и разработан рисковый подход) состоит в максимизации прибыли ее владельцев. Отсюда мы получаем возможность оценивать риск в денежных единицах – как величину «недополученной прибыли» в период времени. Сравнение этой величины со стоимостью защитных мер (которые тоже можно измерить в денежных единицах) позволяет нам определить их целесообразность.
Для информационных систем специального назначения (далее – ИССН) все несколько сложнее. Владельцем рисков является государство, а ее назначение, как правило, не состоит в «максимизации прибыли». Поэтому ущерб, в случае инцидента, будет нанесен, в общем случае, не экономический. Ответить на вопрос, какой ущерб будет нанесен интересам государства, поможет Доктрина информационной безопасности РФ:
«Интересы государства в информационной сфере заключаются в создании условий для гармоничного развития российской информационной инфраструктуры, для реализации конституционных прав и свобод человека и гражданина в области получения информации и пользования ею в целях обеспечения незыблемости конституционного строя, суверенитета и территориальной целостности России, политической, экономической и социальной стабильности, в безусловном обеспечении законности и правопорядка, развитии равноправного и взаимовыгодного международного сотрудничества.»
Из данного абзаца можно выделить ряд направлений, которым может быть нанесен ущерб, вследствие реализации инцидентов информационной безопасности. При необходимости можно добавить и другие направления. Каждый из «ущербов» можно качественно оценить. Но остается проблема сравнения рисков различных сценариев инцидентов.
Для сравнения предлагается ввести коэффициенты значимости, которые будут получены методом парных сравнений. Используя полученные коэффициенты можно свести все к единой безразмерной шкале.
Полученные значения позволяют расставить приоритеты, опираясь на которые можно эффективней расходовать ресурсы на внедрение системы защиты информации, а значит эффективней управлять информационной безопасностью. Впрочем, эффективность рискового подхода стоит признать меньшей для ИССН, нежели для коммерческих ИС.
Комментариев нет:
Отправить комментарий