Анализ и управление на риска

1.2.2. Анализ и управление на риска

Започва се с избор на анализируемия обект. За неголеми организации може да се разглежда цялата информационна инфраструктура, но за крупни организации това може да се окаже необосновано скъпо и бавно. В тези случаи ще трябва да се анализират най-важните възли от мрежата. При анализа на риска са уязвими всички елементи от информационната система - от мрежовия кабел, който може да се прекъсне, до базата от данни, която може да бъде разрушена от неумелите действия на администратора. Много е важно да се избере разумна методология за оценка на риска. Целта на оценката е да получи отговор на два въпроса: Приемливи ли са съществуващите рискове и ако не, какви защитни средства е икономически изгодно да използваме? Това означава, че оценката е количествена. Управлението на риска е типична оптимизационна задача и съществуват достатъчно програмни средства, с които да се реши. Анализируеми обекти са: класифицираната информация, компонентите на информационната система, програмните ресурси, поддържащата инфраструктура, персоналът. Следва да се класифицират данните по нивото на сигурност⁵, да се определят местата за съхранение и обработка, начините за достъп до тях. Важно е да се систематизират обектите, за да може да се направи оценка за последствията от нарушаване на защитата на информацията.

Рискът се появява там, където има заплаха. Като правило наличието на една или друга заплаха е следствие на слабости в защитата на АИС и/или мрежите, което се обяснява с отсъствието на някои програмно-технически средства за сигурност или в недостатъци в реализиращите ги защитни механизми. При определянето на заплахите за класифицираната информация в АИС и/или мрежите също се прави идентификация. Анализируемите видове заплахи следва да се избират на базата на здравия разум (като оставим настрана например заплахата от земетресение и други природни бедствия), но в рамките на избраните видове трябва да се направи пълно разглеждане. Важно е да се определят не само заплахите, но и източниците на тяхното възникване - това може да помогне при избора на допълнителни средства за защита. След идентификацията на заплахите е необходимо да се оцени вероятността за осъществяването им. Може да се използва тристепенна скала: ниска, средна и висока вероятност⁶. Освен вероятността за осъществяване, важен е и потенциалният размер на щетите (също висок, среден и нисък). Например пожари се случват рядко, но размера на щетите от тях е голям и т.н. Оценявайки заплахите, трябва да се изхожда не толкова от средностатистическите данни, а от специфичните особености на конкретната АИС, организационна единица и персонал.

След това се прави оценка на риска. Най-простият метод е умножение на вероятността от осъществяване на заплаха и предполагаемите щети. За премахването и изглаждането на слабости, създаващи реална опасност, съществуват механизми, отличаващи се с голяма степен на ефективност. Например, ако има голяма опасност от нерегламентирано проникване в системата, може да се задължат потребителите да избират дълги пароли, да задействат програма за генериране на пароли или да се закупи интегрирана система за автентификация. За да се оценят като стойност защитните мерки, е нужно да се отчитат не само средствата, които ще са необходими за закупуване на оборудване и програми, но и разходите за внедряване, поддръжка, обучение и преквалификация на персонала. Ако по този показател новото средство се окаже икономически изгодно, може да бъде допуснато за по­-нататъшно разглеждане.

Когато необходимите мерки са приети, трябва да се провери тяхната действеност, т.е. да се установи, че остатъчният риск е станал приемлив⁷. След това се реализира процедурата по сертификация, според нашето законодателство. Ако не, ще се наложи да анализираме допуснатите грешки и да проведем повторен сеанс на управление на риска.

1.2.3. Организационни мерки за защита на класифицираната информация

В нашата нормативна база подробно и категорично са определени критериите за издаване на разрешение на лице за работа с класифицирана информация, като кандидатите се проверяват щателно от съответните служби за сигурност, извършват се проверки и/или беседи, за да не се допусне назначаване на лица, извършили престъпления, душевно болни или ненадеждни от гледна точка на опазване на тайната. Процедурата е дълга и зависи от нивото на класификация на информацията за достъп, до която кандидатства лицето.

Когато кандидатът е одобрен, той трябва да премине обучение да бъде запознат с нормативната база и да му бъде проведен изпит по защита на класифицираната информация. Законът изисква тези процедури да са извършени преди встъпването в длъжност и преди да бъде включен в списъка с входящи имена, пароли и допуски. След този момент започва неговото администриране, протоколиране и анализ на действията му като потребител. Когато един потребител напусне организацията, особено в случаите на конфликт между сътрудника и организацията, е необходимо да се действа максимално оперативно. Възможно е и физическо ограничаване на достъпа до работното място.

Понякога обслужването и администрирането на компоненти от АИС и/или мрежи се поема от външни организации. Това може да създаде допълнителни слабости в защитата, които е необходимо да се компенсират със засилен контрол на достъпа или с обучение на собствени служители. Проблемът за обучението на персонала е един от основните, що се отнася до защитата на информацията. Ако служителят не е запознат с политиката за сигурност, тойне може да се стреми към постигането на формираните цели. Ако не знае мерките за сигурност, не може да ги съблюдава. Напротив, ако знае, че неговите действия се контролират, е възможно да се въздържи от нарушение. Обучението трябва да се провежда регулярно и всеки път по различен начин, иначе ще се превърне във формалност и ще загуби своята ефективност.