Этапы построения системы информационной безопасности предприятия

В коммерческих предприятиях право выбора мероприятий по обеспечению информационной безопасности принадлежит ее собственнику. При этом действующая в стране система правовых норм защиты информации должна оказывать методологическую помощь и правовую поддержку организации защитных меро­приятий.

Безопасность информации — это защита информации от слу­чайного или преднамеренного доступа лиц, не имеющих на это права, ее получения, раскрытия, модификации или разрушения. Реализация требований и правил по защите информации, под­держанию информационных систем в защищенном состоянии, эксплуатация специальных технических и программно-математи­ческих средств защиты и обеспечение организационных и науч­но-технических мер защиты информации, обрабатывающих ин­формацию с ограниченным доступом в непосредственных струк­турах, осуществляются службами безопасности информации.

Построение комплексной системы защиты информации на предприятии предполагает реализацию следующих этапов:

I. Проведение предварительного обследования состояния объекта и уровня организации защиты информации.

На этом этапе проводится анализ объекта защиты с выделе­нием следующих направлений: установление состава информа­ции, нуждающейся в защите; определение наиболее важных (кри­тических) элементов защищаемой информации; срок жизни кри­тической информации (время, необходимое конкуренту для реа­лизации добытой информации); определение ключевых элемен­тов информации (индикаторов), отражающих характер охраняемых сведений; проведение классификации индикаторов по функцио­нальным зонам (производственно-технологические процессы, сис­тема материально-технического обеспечения, подразделения

управления и т.д.), осуществление выбора и обоснование требова­ний ПО ищите информации на заданном объекте.

2. Ни тором папе выявляются потенциально возможные уг-р01Ы информации и вероятности их появления, определяется, ко­го Может чаинтересовать защищаемая информация; оцениваются Методы, используемые конкурентами для получения этой инфор­мации; определяются вероятные каналы утечки информации; раз-рйбятмппется система мероприятий по пресечению действий кон­курента.

На этом этапе определяется политика безопасности, допус­тимый степень риска, набор процедур и методов исключения не­санкционированного доступа к информационным ресурсам.

Разрабатываются специальные шкалы оценок допустимых потерь в натуральном и денежном эквивалентах. Это обусловлено тем, что на каждом предприятии существует своя граница «допус­тимости» потерь, определяемая ценностью информации, масшта­бами разработок, бюджетом и множеством других экономических, организационных, политических и этических факторов. Если поте­ри меньше, чем затраты, требуемые на разработку, внедрение и 'женлуатацию средств защиты, и если с точки зрения интересов 'жономической информационной системы возможный несанкцио­нированный доступ не приведет к существенным изменениям в ра­боте, то такой риск считается допустимым. Однако необходимо учитывать, что в большинстве случаев исключается даже незначи­тельная утечка информации, например, когда идет речь о содержа­нии конфиденциальной информации, связанной с анализом конъ­юнктуры рынка, новых технологий или оригинальных технических решений.

Одним из основных и весьма сложных вопросов создания СЗИ является разработка и принятие политики безопасности. Под политикой безопасности понимают комплекс законов, правил и практических рекомендаций, на основе которых строится управле­ние, защита и распределение критической информации. Политика безопасности должна охватывать все особенности процесса обра­ботки информации, определять поведение системы в различных си­туациях. Важным моментом является разработка механизмов обна­ружения попыток несанкционированного доступа к защищаемым ресурсам, которые могут базироваться на экспертных системах и

включать регистрацию, распознавание и обработку событий, свя­занных с доступом к информации, а также проверку в реальном масштабе времени соответствия всех условий доступа, принятых в концепции СЗИ и защиты данных.

3. В рамках третьего этапа анализируется состояние постоян­но действующих подсистем обеспечения безопасности, в том числе таких, как физическая безопасность документации, надеж­ность персонала, безопасность используемых для передачи кон­фиденциальной информации линий связи и т.д.

4. На основании проведенных аналитических исследований предыдущих трех этапов обосновываются задачи защиты инфор­мации, их классификации и определяются необходимые меры за­щиты, что составляет содержание работ четвертого этапа.

5. На пятом этапе рассматриваются представленные предло­жения по всем необходимым мерам защиты, сравниваются полу­ченные результаты с требуемыми и анализируются стоимостные затраты на обеспечение безопасности объекта.

6. Обосновывается структура и технология функционирова­ния комплексной системы защиты информации. Определяется со­став технического, математического, программного, информаци­онного и лингвистического обеспечения, нормативно-методичес­ких документов и организационно-технических мероприятий по защите информации.

7. Определяются технико-экономические оценки разработан­ного проекта комплекса. На этом этапе оцениваются: надежность всех компонентов комплексной системы защиты информации и надежность выполнения функций защиты; живучесть системы защиты, экономическая оценка эффективности комплексной сис­темы защиты информации.

8. Осуществляется отработка организационно-правовых и нормативно-методических вопросов защиты информации, разра­ботка правил выполнения процедур и мероприятий по защите ин­формации, определение прав и обязанностей подразделений и лиц, участвующих в работе комплексной системы защиты ин­формации. Установление правил и порядка контроля работы сис­темы защиты.

9. Внедрение системы защиты информации и доведение до
персонала реализуемых мер безопасности.

Отпи включает непосредственно работы по внедрению и вво­ду СПИ в жсплуатацию, обучение и аттестацию персонала, даль­нейшее развитие и поддержку составных частей системы инфор­мационной безопасности, а также регулярное тестирование. Тести-роиание должно проводиться регулярно на протяжении всего жиз­ненного цикла СИЕ для выявления новых видов угроз, которые не были предусмотрены при разработке. На основе информации о но­вых угрозах и каналах утечки информации, модификации инфор­мационных и коммуникационных технологий должна проводиться саоевремсниая модификация и развитие отдельных компонентов или всей СЗИ.

2.2. Анализ угроз и оценка рисков информационной безопасности

Необходимым условием обоснования эффективности созда­нии и функционирования системы информационной безопасно­сти является анализ факторов, приводящих к потерям информа­ции, и экономическая оценка понесенного при их осуществлении

ущерба.

Совокупность условий и факторов, которые могут стать при­чиной нарушения целостности, доступности, конфиденциально­сти информации, называется угрозой. Уязвимость характеризует слабость системы защиты, информации, что и приводит к воз­можности реализации угрозы.

Угрозы подразделяются на объективные и субъективные.

К объективным угрозам относятся угрозы, обусловленные

1) внутренними факторами:

- дефекты, сбои, отказы, аварии технических средств и сис­тем обработки информации;

- дефекты, сбои, отказы, аварии программного обеспечения обработки информации;

- электро-магнитное излучение;

- излучение сигналов, функционально присущих обработке

информации;

2) внешними факторами:

- явления техногенного характера;

- природные явления, стихийные бедствия.

К субъективным факторам относятся угрозы, обусловленные

1) внутренними факторами:

- неправомерные действия, разглашение защищаемой ин­формации лицами, имеющими к ней право доступа;

- несанкционированный доступ к защищаемой информации;

- изменение компьютерной информации, разработка и рас­пространение компьютерных вирусов;

- неправильное организационное обеспечение защиты ин­формации, небрежность в разработке, поддержке и эксплуатации систем защиты информации;

- ошибки обслуживающего персонала при эксплуатации технических средств и программного обеспечения, влияющие на уровень информационной безопасности;

2) внешними факторами:

- доступ к защищаемой информации с применением техни­ческих и программных средств;

- блокирование доступа к защищаемой информации путем перегрузки технических средств обработки информации ложны­ми заявками на ее обработку;

- перехват данных при передаче информации по глобальным сетям.

Основными направлениями защиты информации обычно яв­ляются:

- ЗИ от утечки, в том числе от разглашения, от несанкциони­рованного доступа и от промышленно-экономического шпионажа;

- ЗИ от несанкционированного воздействия;

- ЗИ от непреднамеренного воздействия.
Несанкционированные манипуляции с информацией могут

приводить к следующим последствиям:

-утрата информации - неосторожные действия владельца информации, представленной на различных носителях и в файлах, или лица, которому была доверена информация в силу его офици­альных обязанностей, в результате которых информация была по­теряна и стала достоянием посторонних лиц;

-раскрытие информации - умышленные или неосторожные действия, в результате которых содержание информации, пред-

ставленной на различных носителях и в файлах, стало известным или доступным для посторонних лиц;

порча информации - умышленные или неосторожные дей­ствия, приводящие к полному или частичному уничтожению ин­формации, представленной на различных носителях и в файлах;

кража информации - умышленные действия, направленные ни несанкционированное изъятие информации из системы ее обра-Гми'ки как посредством кражи носителей информации, так и по-с|«дством дублирования информации, представленной в виде файлов;

-подделка информации - умышленные или неосторожные действия, в результате которых нарушается целостность информа­ции, находящейся на различных носителях и в файлах ЭИС;

-блокирование информации - умышленные или неосторож­ные действия, приводящие к недоступности информации в системе ое обработки;

- нарушение работы системы обработки информации -
умышленные или неосторожные действия, приводящие к частич­
ному или полному отказу системы обработки или создающие бла-
I оприятные условия для выполнения вышеперечисленных действий.

При анализе угроз информационной безопасности важно иметь в виду и разновидности нарушителей, которые могут быть систематизированы в следующие группы:

- первая группа - так называемые хакеры;

-вторая группа- преступники, преследующие цели обогаще­ния путем непосредственного внедрения в финансовые системы или получения коммерческой и другой информации для организации действий уголовного характера;

- третья группа - террористы и другие экстремистские груп­
пы, использующие внедрение в информационные системы для со­
вершения устрашающих действий, шантажа и т.п.;

-четвертая группа - различные коммерческие организации и структуры, стремящиеся вести промышленный шпионаж и борьбу с конкурентами путем добычи или искажения конфиденциальной фи­нансовой, технологической, проектной, рекламной и другой ин­формации.

Уровень экономической безопасности по информационной составляющей определяется по формуле (1.1), представленной в предыдущей главе.

Общие понесенные затраты на реализацию мер по обеспе­чению информационной составляющей ЭБ будут складываться из текущих и единовременных затрат на повышение уровня защи­щенности предприятия от угроз информационной безопасности.

Текущие (систематические) затраты включают в себя сле­дующие группы затрат:

1) затраты на контроль

- плановые проверки и испытания;

- внеплановые проверки и испытания;

- соблюдение политики безопасности;

- внешние контрольные затраты;

- анализ политики безопасности предприятия;

2) предупредительные затраты

- управление системой ЗИ;

- регламентное обслуживание средств ЗИ;

- аудит системы безопасности;

- качество технологий;

- доверие к технологии;

- обучение персонала.

Оценка ущерба от различных рисков потери информации в наиболее полном виде должна включать в себя учет как прямых, так и косвенных убытков.

Прямые убытки - это непосредственный ущерб здоровью, имуществу или имущественным интересам предприятия в де­нежной форме.

Прямые убытки от понесенного ущерба составят затраты предприятия на восстановление системы безопасности до соот­ветствия требованиям политике безопасности, восстановление информационных ресурсов предприятия, затраты на выявление причин нарушения политики безопасности и затраты на переделки.

Косвенные убытки являются следствием того, что организа­ция какое-то время не может осуществлять свою нормальную деятельность. Это находит свое отражение в продвижении про­дукции на рынке, приводит к потере новаторства и, как следст­вие, к понесенному экономическому ущербу предприятия. Эко-

комический ущерб выражается в упущенной выгоде, убытках в виде претензий и исков вследствие невыполнения обязательств перед контрагентами, расходах на юридическое урегулирование дел и т.д.

Причинами упущенной выгоды могут быть:

•• снижение или остановка производства;

- неконкурентоспособность выпускаемой продукции;

- пассивно- выжидательная позиция фирмы на рынке;

- недопоставка продукции или услуг потребителям;

- некомпетентность управления;

- умышленное доведение фирмы до банкротства и т.д.
Общий ущерб (У) от атаки на информационный ресурс мож­
но определить по формуле:

У = П„ + ПЛП_пр, (2.1)

где П„ - стоимость потерь от снижения производительности со­трудников атакованного узла или сегмента; П_в - стоимость вос­становления работоспособности атакованного узла или сегмента, которая будет складываться из стоимости замены оборудования и ■ншасных частей, стоимости восстановления узла (переустановки системы) и стоимости повторного ввода информации; 17„_р - упу­щенная выгода от простоя атакованного узла или сегмента, в ре­зультате снижения объема продажи.

Анализ уровня информационной безопасности может прово­диться также на основе анализа качественных показателей. Оцен­ки состояния защищенности информации могут основываться на методе вопросников: оценивать степень защищенности информа­ции по ряду показателей, используя балльную систему оценки. 11ри анализе используется комплексный подход, учитывающий следующие компоненты:

- общая организация системы ЗИ;

- система ЗИ от несанкционированного доступа;

- система ЗИ управления телекоммуникациями и физическая защита;

- персонал;

- система восстановления.

Существуют различные методы оценки рисков информаци­онной безопасности при использовании программных средств и информационных систем управления.

Оценка риска - это этап анализа риска с целью определения его количественных характеристик: вероятность наступления не­благоприятных событий и возможный размер ущерба.

Концепции анализа рисков, управления рисками на всех ста­диях жизненного цикла информационной технологии были пред­ложены многими крупными организациями, занимающимися проблемами информационной безопасности. Отечественные ана­литики начали использовать различные методики на практике. Несколькими российскими организациями были разработаны собственные методики анализа и управления рисками, разработа­но собственное ПО, которое, наряду с зарубежным, имеется на отечественном рынке.

Существует ряд подходов к измерению рисков. Наиболее распространенные из них:

- оценка по двум факторам;

- оценка по трем факторам.

1. В простейшем случае используется оценка двух факторов: вероятность происшествия и тяжесть возможных последствий. Обычно считается, что риск тем больше, чем больше вероятность происшествия и тяжесть последствий. Общая идея может быть выражена формулой:

РИСК - Р происшествия ■ ЦЕНА ПОТЕРИ, (2.2)

где Р происшествия - вероятность происшествия за рассматри­ваемый промежуток времени.

Если переменные являются количественными величинами, то риск - это оценка математического ожидания потерь.

Если переменные являются качественными величинами, то метрическая операция умножения не определена. Таким образом, в явном виде эта формула использоваться не должна.

Рассмотрим вариант использования качественных величин (наиболее часто встречающаяся ситуация).

Вначале должны быть определены шкалы.

Определяется субъективная шкала вероятностей событий, например:

А - Событие практически никогда не происходит. В - Событие случается редко.

С - Вероятность события за рассматриваемый промежуток времени около 0.5.

I) - Скорее всего событие произойдет.

I'! Событие почти обязательно произойдет.

Кроме того, определяется субъективная шкала серьезности Происшествий, например:

N (№ёН§]Ые) - Воздействием можно пренебречь.

М| (Мтог) - Незначительное происшествие: последствия легко устранимы, затраты на ликвидацию последствий не велики, воздействие на информационную технологию -незначительно.

Мо (Моа'егай) - Происшествие с умеренными результатами: ликвидация последствий не связана с крупными затратами, воз­действие на информационную технологию не велико и не затра­гивает критически важные задачи.

У (Кепоиз) - Происшествие с серьезными последствиями: ли­квидация последствий связана со значительными затратами, воз­действие на информационные технологии ощутимо, воздействует па кыиолнение критически важных задач.

С (Спйеа1) - Происшествие приводит к невозможности ре­шения критически важных задач.

Для оценки рисков определяется шкала из трех значений: низкий риск;

- средний риск;

- высокий риск.

Риск, связанный с определенным событием, зависит от двух факторов и может быть определен по таблице 2.1.

Таблица 2.1 Определение риска в зависимости от двух факторов

Вероят­ность	ЫедИдМе	Мтог	МойегаЕе	Зепоиз	Сг№са1
А	Низкий риск	Низкий риск	Низкий риск	Средний риск	Средний риск
В	Низкий риск	Низкий риск	Средний риск	Средний риск	Высокий риск
С	Низкий риск	Средний риск	Средний риск	Средний риск	Высокий риск
Р	Средний риск	Средний риск	Средний риск	Средний риск	Высокий риск
Е	Средний риск	Высокий риск	Высокий риск	Высокий риск	Высокий риск

Шкалы факторов риска и сама таблица могут быть определе­ны иначе, иметь другое число градаций.

Подобный подход к оценке рисков достаточно распространен для оценки рисков базового среднего уровня безопасности.

При разработке (использовании) методик оценки рисков не­обходимо учитывать следующие особенности:

Значения шкал должны быть четко определены (словесное описание) и пониматься одинаково всеми участниками процеду­ры экспертной оценки.

Требуются обоснования выбранной таблицы. Необходимо убедиться, что разные инциденты, характеризующиеся одинако­выми сочетаниями факторов риска, имеют с точки зрения экспер­тов одинаковый уровень рисков.

2. Оценка рисков по трем факторам.

В зарубежных методиках, рассчитанных на более высокие требования, чем базовый уровень, используется модель оценки риска с тремя факторами: угроза, уязвимость, цена потери.

Вероятность происшествия, которая в данном подходе может быть объективной либо субъективной величиной, зависит от уровней (вероятностей) угроз и уязвимостей:

Р происшествия = Ругрозы • Руязвимости. (2.3)

Соответственно риск определяется следующим образом: РИСК = Ругрозы ■ Руязвимости ■ ЦЕНА ПОТЕРИ. (2.4)

Данное выражение можно рассматривать как математиче­скую формулу, если используются количественные шкалы, либо как формулировку общей идеи, если хотя бы одна из шкал каче­ственная. В последнем случае используются различного рода табличные методы для определения риска в зависимости от трех факторов. Подобные таблицы используются как в «бумажных» вариантах методик оценки рисков, так и в различного рода инст­рументальных средствах - ПО анализа рисков. В последнем слу­чае матрица задается разработчиками ПО и, как правило, не под­лежит корректировке. Это один из факторов, ограничивающих точность подобного рода инструментария

Для оценки угроз и уязвимостей используются различные методы, в основе которых могут лежать:

- экспертные оценки;

- статистические данные;

-- учет факторов, влияющих на уровни угроз и уязвимостей.

Один и') возможных подходов к разработке подобных мето-ЛКК *■ накопление статистических данных о реально случившихся Происшествиях, анализ и классификация их причин, выявление факторов, от которых они зависят. На основе этой информации МОЖНО оценить угрозы и уязвимости в других информационных оиотемих.

Практические сложности в реализации этого подхода сле­дующие:

• ко-нервых, должен быть собран весьма обширный матери­ал о происшествиях в этой области;

• во-вторых, применение этого подхода оправдано далеко не всегда.

Пели информационная система достаточно крупная (содер­жит много элементов, расположена на обширной территории), имеет давнюю историю, то подобный подход, скорее всего, при­меним. Пели система сравнительно невелика, использует новей­шие элементы технологии (для которых пока нет достоверной статистики), то оценки угроз и уязвимостей могут оказаться не­достоверными.

Наиболее распространенным в настоящее время является Подход, основанный на учете различных факторов, влияющих на уровни угроз и уязвимостей. Он позволяет абстрагироваться от мол «существенных технических деталей, учесть не только про­граммно-технические, но и иные аспекты.

Пример реализации подобного подхода, используемого в ме­тоде СКАММ 4.0 для одного из классов рисков: «Использование чужого идентификатора сотрудниками организации («маска-рид»)», приведен в приложении. Несомненным достоинством дшшого подхода является возможность учета множества косвен­ных факторов (не только технических). Методика проста и дает иладельцу информационных ресурсов ясное представление, ка­ким образом получается итоговая оценка и что надо изменить, чтобы улучшить оценки. Оценки рисков и уязвимостей в рас­смотренном примере являются качественными величинами. Од­нако подобными методами могут быть получены и количествен­ные оценки, необходимые при расчете остаточных рисков, реше­нии оптимизационных задач.

26

Инструментальные средства анализа рисков позволяют авто­матизировать работу специалистов в области защиты информа­ции, осуществляющих оценку информационных рисков предпри­ятия. Специализированное ПО, реализующее методики анализа рисков, может относиться к категории программных продуктов (продается на рынке) либо являться собственностью ведомства или организации и не продаваться. Если ПО разрабатывается как программный продукт, оно должно быть в достаточной степени универсальным. Ведомственные варианты ПО адаптированы под особенности постановок задач анализа и управления рисками, и позволяют учесть специфику информационных технологий орга­низации. Предлагаемое на рынке ПО ориентировано в основном на уровень информационной безопасности, несколько превы­шающий базовый уровень защищенности.

В 2000 году был принят международный стандарт 130 17799, за основу которого был взят Британский стандарт ВЗ 7799, в ре­зультате большинство инструментальных средств (ПО анализа и управления рисками) было в последнее время модифицировано таким образом, чтобы обеспечить соответствие требованиям это­го стандарта. В качестве примеров программных средств в соот­ветствующих 15017799 следует назвать ПО анализа рисков и ау­дита «СоЬга», разрабатываемая компанией Шзк Аззоаа^ез, и Виаау Зуз1ет, разрабатываемый компанией СошИегтеазигез Сог-рогапоп..

В настоящее время на российском рынке продается отечест­венное ПО «АванГард», разработка института системного анали­за РАН. «АванГард» позиционируется как экспертная система управления информационной безопасностью. Предлагаются две версии метода: «АванГард-Анализ» - для проведения анализа рисков, «АванГард-Контроль» - управление рисками.

Данный программный комплекс обладает развитыми средст­вами для построения моделей информационных систем с позиции информационной безопасности. В нем можно строить модели разных уровней (административного, организационного, про­граммно-технического, физического) и разной степени абстрак­ции. Авторы метода постарались не вносить «внутрь» конкрет­ные методики расчета составляющих элементов рисков. Риск (в терминах авторов размер риска) определяется как произведение

уЩврби (и терминах авторов цена риска) на вероятность риска. ИйКйДИЫС дшшые - ущерб и вероятность - должны быть введены I модель. Существует справочная база данных, помогающая в»мВире чтих значений, но процедура намеренно не формализована. Такой подход имеет свои достоинства и недостатки. Недостатком янлистси то, что методологически сложный этап - выбор значений, которые к тому же должны быть измерены в количественных шка-ЛИХ, полностью перекладывается на аналитика (пользователя).

В настоящее время на рынке имеется ПО, реализующее раз­личные методики анализа рисков. Однако одного «лучшего» уни­версального метода не существует, в каждом случае требуется ■ыбирвть подходящее ПО и настраивать его в соответствии со спецификой объекта исследования. По этой причине «бумажные» методики остаются весьма распространенными.

И нишей стране в настоящее время пока еще чаще всего ис­пользуются разнообразные «бумажные» методики анализа рис­ков, достоинствами которых является гибкость и адаптивность. Как пропило, разработкой данных методик занимаются компании -системные и специализированные интеграторы в области защиты информации. По понятным причинам методики обычно не пуб­ликуются, поскольку относятся к «Кпоу Нош» компании. В силу -шкрытости данных методик судить об их качестве, объективно­сти и возможностях достаточно сложно.

Изучение и оценка угроз негативных воздействий на информа­ционную составляющую экономической безопасности предприятия тшюлят обосновать необходимость создания системы ЗИ, рассчи­тать эффективность принятых мер по предотвращению ущербов от негативных воздействий на информационную безопасность.

2.3. Страхование рисков как способ экономической защиты информации

В организациях, достигнувших определенной степени зрело­сти, проведение анализа рисков и управление рисками на всех стадиях жизненного цикла информационной технологии являют­ся обязательными элементами в системе мероприятий по обеспе­чению режима информационной безопасности.

Управление риском - это процесс, целью которого является уменьшение или компенсация ущерба при наступлении неблаго­приятных событий. Процесс управления риском включает в себя следующие этапы:

• анализ риска, выбор методов воздействия;

• принятие решения;

• непосредственное воздействие на риск;

• контроль и корректировка результатов процесса управления.
Все способы воздействия на риск можно разделить на три ос­
новные группы.

1. Снижение риска за счет:

- исключения риска;

- снижения вероятности возникновения риска;

- снижения возможного ущерба.

2. Сохранение риска на существующем уровне в результате:

- самострахования (за счет использования средств из резерв­ного фонда);

- привлечения внешних финансовых источников (дотации, займы), для компенсации убытков и восстановления произ­водства.

3. Передача риска третьим лицам, при сохранении сущест­
вующего уровня риска:

- страхование;

- получение финансовых гарантий;

- другие методы (договорные, юридические и т.д.).

В России основная масса средств, выделяемых на защиту ин­формации, тратится на выполнение мероприятий, направленных на предупреждение утечки информации. В случае произошедшей утечки конфиденциальной информации предприятие несет мате­риальный или моральный ущерб, при этом тратя огромные сред­ства на локализацию последствий произошедшего. Практика по­казывает, что только комплексная система защиты информации является наиболее надежной защитой секретов предприятия. Комплексная система защиты информации должна предусматри­вать процедуру управления информационными рисками на пред­приятии. Однако методам, направленным на компенсацию ущер­ба при уже реализованных угрозах безопасности информации, руководителями предприятий уделяется недостаточное внима-

!№•< С другой стороны, применение методов возмещения убыт-ИМ ЩЧметую является более обоснованным с экономической ТОЧКИ зрения.

Рилнчпме виды обеспечения системы защиты информации ММ1ЮГ сноп методы и способы защиты информации. В сущест-|ующих условиях развития рыночных отношений в стране можно выделить еще один метод защиты информации - страхование Информационных рисков.

Страхование информационных рисков предприятия - это ме­тод чшциты информации в рамках финансово-экономического обеспечения системы защиты информации, основанный на выда­че страховыми обществами гарантий субъектам информацион­ных отношений по восполнению материального ущерба в случае реализации угроз информационной безопасности.

Преимущества страхования в качестве метода защиты оче­видны. Это не только способ возмещения материального ущерба. Использование страхования предполагает анализ объекта страхо­вания, и также полный и тщательный аудит состояния системы 1ИМ1НТМ информации предприятия перед заключением договора. Причем в этом заинтересован как страхователь, которому важно не переплатить взносы, так и страховщик, который не захочет принимать на страхование «недоделанную» систему. Страхова­ние играет и стимулирующую роль - фирма, улучшая свою сис­тему защиты информации, получает возможность снизить свои страховые взносы.

Выигрыш от страхования информационных рисков выража­ется также в повышении эффективности функционирования предприятия, в результате чего возрастает доверие к нему со сто­роны потенциальных клиентов и партнеров. По этому параметру деятельность предприятий приближается к мировым стандартам. Кроме того, страхование информационных рисков повышает ин­формационную прозрачность предприятий на внутреннем и ннешнем рынках.

Обычно страхование используется как дополнительная мера шциты информации. В случае если другие меры оказываются слишком дорогостоящими или непригодными, страхование ис­пользуется как альтернативный метод.

При выборе страхования как метода защиты информации проводится сопоставление затрат от потери информации и стои­мости мероприятий по ее защите. Исходя из критерия «эффек­тивность-стоимость», принимается решение об использовании того или иного метода защиты информации.

В случае выбора страхования как метода защиты информа­ции рекомендуется обратить внимание на следующие факторы:

1. Страхование стоит использовать, когда вероятность реали­зации угрозы не очень велика, но последствия для информацион­ной системы значительны.

2. Немаловажен такой показатель, как ценность информации. Если для предприятия важна сама информация, ее конфиденци­альность, наличие, то необходимо большую часть средств на­правлять именно на предотвращение несанкционированного дос­тупа к ней, то есть использование инженерно-технических или программно-аппаратных или криптографических средств защиты. Если же информация подлежит восстановлению, и ее потеря или модификация незначительно сказывается на работоспособности информационной системы, то целесообразно большую часть средств направлять на страхование.

3. Ущерб от потенциальных потерь низкий при достаточно высокой вероятности реализации угрозы.

При определении объема страхового покрытия страхователь должен понимать, что ввиду новизны страхования именно ин­формационных рисков и отсутствия статистики необходимо под­робно описать в страховых договорах все возможные страховые случаи, а также правила и условия страхования. После принятия решения об использовании страхования в качестве метода защи­ты информации специалист по защите информации (информаци­онной безопасности) должен составить справку по объектам, подлежащим страхованию, рискам и возможным потерям, по ве­роятности реализации рисков и по размерам возможных убытков и принять решение по поводу вида страхования, типа договора, условий страхования и т.п. После выбора вида страхования необ­ходимо заключить договор со страховой компанией. Компания может указать на недостатки в существующей системе защиты и не принять на страхование какие-то объекты, В таком случае не­обходимо ликвидировать «дыры» в системе.

В иоптнстствии с классификацией, принятой органами госу-ДЦрОТИепного страхового надзора, выделяют следующие виды «ГрЙХопшшя:

- СТрпчование имущества;

- страхование ответственности;

- личное страхование.

Страхование имущества

В рамках системы защиты информации можно выделить сле­дующие объекты страхования:

■ чдания и сооружения, в которых могут находиться объекты ШЦиты (помещения службы защиты информации, в которых по­стоянно хранятся и обрабатываются носители информации, др. выделенные помещения);

■ находящиеся в выделенных помещениях объекты защиты (письменные и видовые носители информации, средства переда­чи и обработки информации, системы обеспечения производст-непиой деятельности, средства радио и кабельной связи, радио-пещнния и телевидения);

- средства защиты информации (инженерно-технические, программно-аппаратные, криптографические, электрические, электронные, оптические и другие устройства и приспособления, приборы и технические системы);

- средства транспортировки письменных и видовых носите­
лей, а также сами носители информации.

Следует различать следующие разновидности страхования имущества:

а) страхование имущества и имущественных интересов от­дельно и в совокупности от огня и других опасностей, в том чис­ле и стихийных бедствий.

Часто имущество подвержено угрозе пожара, наводнения, чемлетрясения, аварии, удара молнии и взрыва газа, употребляе­мого в бытовых целях и т.д. Подлежат также возмещению убыт­ки, происшедшие вследствие принятых мер для спасения имуще­ства, тушения пожара или предупреждения его распространения.

Дополнительно в договор страхования может быть включена ответственность страховщика за убытки от повреждения или ги­бели имущества в результате стихийных бедствий (извержения

вулкана, землетрясения, горных обвалов, оползней, бури, вихря, урагана, ливня, наводнения и т.п.); повреждения электрических установок, приборов и машин от действия электрического тока; внезапной порчи водопроводных, противопожарных и канализа­ционных устройств; кражи с взломом.

Таким образом, принимается на страхование широкий набор рисков, который может быть еще расширен и дополнен по со­глашению сторон;

б)страхование технических рисков, например, страхование технических средств передачи, приема и обработки информации (ТСПИ).

Широкое применение электронного оборудования, его высо­кая стоимость, специфика эксплуатации и подверженность раз­личным рискам выделили его страхование в самостоятельную разновидность страхования имущества.

По этому виду страхования возмещению подлежат прямые убытки, образовавшиеся в результате гибели и/или повреждения технических средств передачи и обработки информации, пере­численных в договоре страхования, вследствие случаев, возник­ших под воздействием внешних факторов, а также кражи. На­пример, убытки образовавшиеся в результате ошибок в эксплуа­тации застрахованного имущества, неосторожности обслужи­вающего персонала или злоумышленных действиях третьих лиц, при коротком замыкании и других аналогичных причин, в случа­ях пожара, удара молнии или взрыва, а также стихийных бедст­вий, а также при краже с взломом, грабеже или разбойных дейст­виях; дефектах материалов, ошибках в конструкции, изготовле­нии или монтаже застрахованного имущества.

Данный вид страхования особенно эффективен в отношении разветвленных компьютерных сетей, сложных электронно-вычислительных комплексов, оборудования связи и другого до­рогостоящего оборудования.

Дополнительно может быть предоставлена защита от убыт­ков в случае внезапного прекращения подачи электроэнергии из общих сетей энергоснабжения, выхода из строя систем конди­ционирования воздуха, включая ущерб, причиненный самой сис­теме, использования застрахованного оборудования для проведе­ния экспериментальных или исследовательских работ;

») втрпхопаиие от электронных и компьютерных преступлений.

Этот нид страхования позволяет покрывать ущерб от пре-ЯупНЫХ действий с использованием компьютерных сетей и элек-ТфОННМХ средств банка в результате ввода мошеннически подго-Т4М*НПЫх или видоизмененных данных или команд в компью­терные сети банка, перевода средств или связи с клиентами, в том «Й(вЛе во ьремя передачи данных; умышленного уничтожения или рфЛИСН, воровства электронных данных и их носителей, вирусных |т!к; осуществления платежей на основе сфальсифицированных Поручений клиентов, передаваемых по системам электронной, ТМвКСНОЙ, факсимильной или телефонной связи.

Ото новая разновидность страхования, услуги по которой в России предоставляются пока ограниченным количеством стра-ЧОИЫХ компаний;

г) страхование выставочное.

П соответствии с действующей в настоящее время «Инструк­цией по обеспечению сохранности документов при организации ИХ экспонирования» (приказ Росархива от 11 ноября 1993 г. № °5) документы, выдаваемые из архива для экспонирования на иыстпвках, должны быть застрахованы. Это обеспечит их защиту от небрежного обращения, хищения, пропажи, повреждений.

(Страхование ответственности

И системе защиты информации это прежде всего страхование профессиональной ответственности, а именно:

а) страхование профессиональных упущений и ошибок раз­
личных категорий лиц предприятия, которые в результате допу­
щенной небрежности или недостатка опыта в процессе своей
профессиональной деятельности могут причинить ущерб здоро­
вью или имуществу клиентуры;

б) страхование ответственности охранных агентств (служб
охраны).

Страховая защита обеспечивается в процессе деятельности но реализации сохранности материальных ценностей, по сопро­вождению грузов, по охране физических лиц и иных видов ох­ранной деятельности. Страховой полис дает возможность полу­чить возмещение прямого действительного ущерба, причиненно­го уничтожением или повреждением имущества; дополнитель-

ных расходов, необходимых для восстановления здоровья потер­певших; судебных издержек; расходов на привлечение независи­мых экспертов; прочих расходов по предварительному выясне­нию степени виновности;

в) страхование ответственности производителей средств и систем защиты информации, программного обеспечения.

Объектом страхования в данном случае выступает ответст­венность производителя за причинение имущественного ущерба в случае поставки некачественных средств и систем защиты ин­формации, а также в случае их технического сопровождения с нарушением требований нормативно-технической документации.

Страховые компании предлагают также страхование ответст­венности разработчиков программного обеспечения, в том числе разработчиков автоматизированных банковских систем. Покры­тию подлежит ответственность разработчиков за потенциальный материальный или финансовый ущерб, который может быть на­несен в процессе эксплуатации клиентами их продукции.

Комплексное имущественное страхование

Данный вид страхования является основополагающим эле­ментом страхования банков и других финансовых институтов (например, профессиональных участников фондового рынка) и обеспечивает возмещение прямых убытков, вызванных противо­правными действиями их персонала или третьих лиц.

Полис комплексного страхования финансовых институтов от преступлений с участием персонала и третьих лиц (так называе­мый полис ВВВ - Вапкегв В1апке1 Вопи) применяется вот уже без малого сто лет, конечно претерпевая некоторые изменения. На сегодняшний день ВВВ является основополагающим элементом страховой защиты банка.

Основным риском, покрываемым полисом ВВВ, является риск противоправных действий персонала. Предоставляя это по­крытие, страховые компании вводят одну принципиальную ого­ворку: ими возмещаются лишь убытки от противоправных дейст­вий сотрудников, совершенных с целью личного обогащения ли­бо с целью преднамеренного нанесения ущерба.

По полису ВВВ покрытие предоставляется также в отноше­нии рисков утери ценностей, находящихся в помещениях банка (в хранилище, сейфах, кассах и т. д.) и во время их перевозки.

Кроме 'н'ого, страховщики возмещают убытки в результате КбШМЬ'ншння поддельных чеков, депозитных сертификатов, МКМлеи, облигаций, акций, других ценных бумаг, а также фаль-ШМЯЫХ денег. Компенсируется и ущерб, наносимый помещениям К внутренней обстановке банков в результате противоправных двЯетяии третьих лиц.

Комплексный подход к страхованию намного выгоднее по фИКИНеочым условиям (стоимость отдельных рисков, таким обра-ИМ. значительно уменьшается) и удобен с чисто технической ТОЧКИ зрения. Как правило, западные страховщики не идут на от-ДМЬНое страхование информационных рисков, и это понятно: прииичка к ВВВ заставляет страхователя искать виновных в «проколах» компьютерных систем и более ответственно подхо­дить к системам защиты, тем более что по статистике 70-80% преступлений в отношении банков совершается с участием их собственного персонала.

Рачумеется, компьютерные сбои, не связанные с противо­правными действиями, можно застраховать и в рамках обычного ЧТрнхоиппия «убытков, связанных с перерывами в коммерческой деятельности», однако в этом случае размеры покрытия будут существенно меньше.

Личное страхование

В качестве объектов личного страхования выступают жизнь, чдоровье и трудоспособность человека. Данный вид страхования можно порекомендовать в том случае, если работник фирмы, предприятия обладает ключевыми знаниями в той или иной об­ласти (ведущие специалисты). Такой вид страхования является мощным социально-психологическим методом защиты информа­ции, поскольку является не только моральным, но и материальным стимулом труда любого работника фирмы, предприятия.

Страхование информационных рисков - новый вид страхова­ния, получивший значительное развитие за последние несколько нет. При этом наиболее значительные темпы роста наблюдаются ■ш рубежом, где за сравнительно небольшой промежуток времени страхование информационных рисков выросло до объемов не­скольких тысяч страховых полисов по состоянию на 2004 г. По

оценкам экспертов, объемы рынка страхования информационных рисков только в США составляют около $4 млрд.

Вместе с тем, следует отметить, что в России уже создана минимальная информационно-правовая база, необходимая для страхования информационных рисков, и первые шаги в этом на­правлении уже сделаны. В России в прошлом году было выпла­чено свыше четырех миллионов долларов по страховым случаям, связанным с информационными рисками. Потенциальный объем страхового поля информационных рисков оценивается в несколь­ко миллиардов долларов. Вместе с тем, этим видом страхования сегодня занимаются менее десятка страховщиков и страховых брокеров. В 2000-2002 гг. в нескольких российских компаниях («Росно», «Ингосстрах» и др.) стартовали новые проекты по стра­хованию информационных рисков, одновременно компании на­чали получать лицензии на этот вид страхования. В основном предлагаются два вида страхования: страхование электронных устройств и страхование от преступлений в сфере компьютерной информации и электронных средств связи. Страхование инфор­мационных рисков относится к эксклюзивному виду страхования.

Контрольные вопросы

1. Назовите этапы построение комплексной системы защиты информации на предприятии.

2. Понятие политики безопасности и ее роль при создании системы защиты информации.

3. Что является необходимым условием обоснования эффек­тивности создания и функционирования системы информацион­ной безопасности?

4. Что понимается под угрозой информационной безопасно­сти объекта?

5. Перечислите угрозы, которые могут стать причиной нару­шения целостности, доступности, конфиденциальности инфор­мации, обусловленные объективными факторами.

6. К каким последствиям могут привести несанкционирован­ные манипуляции с информацией?

7, Ж каких компонентов складываются общие понесенные ИТрвты на реализацию мер по обеспечению информационной со-•МИЛИющсй ЭБ предприятия?

К. Как определить общий ущерб от атаки на информацион­ные ресурсы?

У. Назовите методы оценки рисков информационной безо-НШЗИости при использовании программных средств и информаци­онных систем управления.

К) 13 чем с экономической точки зрения состоит преимущест-«о стрпхования в качестве метода защиты информации?

11. Какие виды страхования в рамках системы защиты ин­формации возможны?