Выбор контрмер и оценка их эффективности
Система защиты строится комплексно, включает контрмеры разных уровней (административные, организационные, программно-технические). Для облегчения выбора комплекса контрмер в различных методиках используются таблицы, в которых классам угроз ставятся в соответствие возможные контрмеры. Приведем пример классификатора контрмер CRAMM 4.
Классы контрмер CRAMM (фрагмент)
Masquerading of User Identity by Insiders
Identification and Authentication
Logical Access Control
Accounting
Audit
Object Re-use
Security Testing
Software Integrity
Mobile Computing and Teleworking
Software Distribution
System Input/Output Controls
Network Access Controls
System Administration Controls
Application Input/Output Controls
Back-up of Data
Personnel
Security Education and Training
Security Policy
Security Infrastructure
Data Protection Legalization
Incident Handling
Compliance Checks
Masquerading of User Identity by Contracted Service Providers
Identification and Authentication
Logical Access Control
Accounting
Audit
Object Re-use
Security Testing
Software Integrity
Mobile Computing and Teleworking
Software Distribution
System Input/Output Controls
Network Access Controls
System Administration Controls
Application Input/Output Controls
Back-up of Data
Personnel
Security Education and Training
Security Policy
Security Infrastructure
Outsourcing
Data Protection Legalization
Incident Handling
Compliance Checks
Masquerading of User Identity by Outsiders
Identification and Authentication
Logical Access Control
Accounting
Audit
Object Re-use
Security Testing
Software Integrity
Mobile Computing and Teleworking
Software Distribution
System Input/Output Controls
Network Security Management
Network Access Controls
System Administration Controls
Application Input/Output Controls
Back-up of Data
Security Education and Training
Security Policy
Security Infrastructure
Data Protection Legalization
Incident Handling
Compliance Checks
Подобные классификаторы позволяют автоматически выбирать и предлагать конкретные варианты контрмер, возможных для рассматриваемой информационной системы. Владельцу информационных ресурсов остается отобрать из них приемлемые. Следующий шаг - оценка эффективности контрмер.
Задача оценки эффективности контрмер не проще, чем оценка рисков.
Это объясняется тем, что оценка эффективности комплексной подсистемы безопасности, включающей контрмеры разных уровней (административные, организационные, программно-технические), в конкретной информационной системе -методологически чрезвычайно сложная задача. По этой причине обычно ограничиваются упрощенными, качественными оценками эффективности контрмер.
Примером является таблица (см. табл. 3.3) типичных значений эффективности контрмер, используемых в методе анализа рисков RiskWatch, который рассматривается в следующей главе.
Таблица 3.3. Ориентировочная эффективность мероприятий в области защиты информации по критерию ROI (Return of Investment - возврат вложений)
Мероприятия | Степень эффективности |
Разработка и внедрение политики информационной безопасности | |
Работа с персоналом (наведение справок, контроль поведения и т.п.) | |
Совершенствование организационной структуры | |
Анализ рисков | |
Управление жизненным циклом (управление рисками) | |
Совершенствование должностных инструкций и условий контрактов | |
Меры контроля за посетителями | |
Управление имуществом компании | |
Обучение персонала и контроль соблюдения режима ИБ | |
Меры контроля за работой приложений |
Указанные в таблице значения представляют собой ориентировочные оценки эффективности вложений в различные классы мероприятий в области защиты информации.
В ряде случаев применяются более сложные таблицы, в которых отражена зависимость эффективности от ряда факторов.
На основе подобных таблиц делаются качественные оценки эффективности контрмер.