Качество проводимого аудита безопасности во многом зависит от полноты и точности информации, которая была получена в процессе сбора исходных данных. Поэтому информация должна включать в себя: существующую организационно-распорядительную документацию, касающуюся вопросов информационной безопасности, сведения о программно-аппаратном обеспечении АБС, информацию о средствах защиты, установленных в АБС, и т.д.
Сбор исходных данных может осуществляться с использованием следующих методов:
- интервьюирование сотрудников заказчика, обладающих необходимой информацией. При этом интервью, как правило, проводится как с техническими специалистами, так и с представителями руководящего звена банка. Привлечение представителей руководящего звена обусловлено необходимостью сбора информации не только технического характера, но и определения бизнес-процессов организации. Необходимо отметить, что перечень вопросов, которые планируется обсудить в процессе интервью, согласовывается заранее;
- предоставление опросных листов по определенной тематике, самостоятельно заполняемых сотрудниками заказчика. В тех случаях, когда представленные материалы не полностью дают ответы на необходимые вопросы, проводится дополнительное интервьюирование;
- анализ существующей организационно-технической документации, используемой в банке. К такой документации относятся действующая политика информационной безопасности, IT-стратегия банка, регламенты работы с информационными ресурсами, должностные инструкции персонала и т.д.;
- использование специализированных программных средств, которые позволяют получить необходимую информацию о составе и настройках программно-аппаратного обеспечения АБС.
Оценка уровня информационной безопасности банка
После сбора необходимой информации проводится ее анализ с целью оценки текущего уровня защищенности системы. В процессе такого анализа определяются операционные риски информационной безопасности, которым может быть подвержен банк. Фактически риск представляет собой интегральную оценку того, насколько эффективно существующие средства защиты способны противостоять информационным атакам.
Обычно выделяют две основные группы методов расчета рисков безопасности. Первая группа позволяет установить уровень риска путем оценки степени соответствия определенному набору требований по обеспечению информационной безопасности. В качестве источников таких требований могут выступать требования Стандарта Банка России.
Вторая группа методов оценки рисков информационной безопасности базируется на определении вероятности реализации угрозы, а также уровней их ущерба. В данном случае значение риска вычисляется отдельно для каждой угрозы и в общем случае представляется как произведение вероятности реализации угрозы на величину возможного ущерба от этой угрозы - Риск (а) = Р (а) x Ущерб (а). Значение ущерба определяется собственником информационного ресурса, а вероятность атаки вычисляется группой экспертов, проводящих процедуру аудита.
Методы первой и второй группы могут использовать количественные или качественные шкалы для определения величины риска информационной безопасности. В первом случае риск и все его параметры выражаются в числовых значениях. Так, при использовании количественных шкал вероятность реализации угрозы Р (а) может выражаться числом в интервале (0, 1), а ущерб может задаваться в виде денежного эквивалента материальных потерь, которые может понести банк в случае успешного проведения атаки. При использовании качественных шкал числовые значения заменяются на эквивалентные им понятийные уровни. Каждому понятийному уровню в этом случае будет соответствовать определенный интервал количественной шкалы оценки. Количество уровней может варьироваться в зависимости от применяемых методик оценки рисков.
Ах, ы подлый вор, украл мою курсовую работу и выдаешь ее за свою.
В табл. 1 и 2 приведены примеры качественных шкал оценки рисков информационной безопасности, в которых для оценки уровней ущерба и вероятности атаки используется пять понятийных уровней.
Таблица 1
Качественная шкала оценки уровня ущерба
───┬───────────┬──────────────────────────────────────────────────
N │ Уровень │ Описание
│ ущерба │
───┼───────────┼──────────────────────────────────────────────────
1 │Малый ущерб│Приводит к незначительным потерям материальных
│ │активов, которые быстро восстанавливаются, или
│ │к незначительному влиянию на репутацию банка
2 │Умеренный │Вызывает заметные потери материальных активов или
│ущерб │приводит к умеренному влиянию на репутацию банка
3 │Ущерб │Приводит к существенным потерям материальных
│средней │активов или значительному урону репутации банка
│тяжести │
4 │Большой │Вызывает большие потери материальных активов
│ущерб │и наносит большой урон репутации банка
5 │Критический│Приводит к критическим потерям материальных
│ущерб │активов или к полной потере репутации компании
│ │на рынке, что делает невозможным дальнейшую
│ │деятельность банка
───┴───────────┴──────────────────────────────────────────────────
Таблица 2
Качественная шкала оценки вероятности реализации угрозы
│вероятности│
1 │Очень │Угроза практически никогда не будет реализована.
│низкая │Уровень соответствует числовому интервалу
│ │вероятности (0, 0,25)
2 │Низкая │Вероятность реализации угрозы достаточно низкая.
│ │Уровень соответствует числовому интервалу
│ │вероятности (0,25, 0,5)
Страницы: 1, 2, 3
