понедельник, 15 октября 2012 г.

Оценка рисков и непредсказуемость

Защита информационных систем зависит от самого слабого звена. Как раз самое слабое звено и определяет, насколько защищены информационные системы и насколько можно выполнить требования информационной безопасности.
При оценке рисков одной одна из наиболее сложных задач - оценить вероятность реализации той или иной угрозы. Тем более, что ситуация очень быстро меняется, возникают новые угрозы или реализуются давно забытые угрозы с новой силой.
Так, к примеру, угроза атак на активные сетевые устройства существовала давно, еще с времен когда эти самые устройства начали становится интеллектуальными, но какое-то время внимание от этой угрозы было отвлечено атаками на хосты (рабочие станции, ноутбуки, сервера). И вот, атака на модемы, которая произошла недавно в Бразилии, позволила злоумышленникам получить конфиденциальную информацию доступа к банковским счетам. Это тот случай, когда новое - это хорошо забытое старое.
Часто угроза исходит из совершенно другой области, не там где ее ожидаешь. Интересный пример - инцидент с мастер-ключами, который произошел в Нью-Йорке. История не совсем из области информационной безопасности, но довольно показательная. Уволенный слесарь начал продавать на аукционе мастер-ключи (физические) от стратегических объектов Нью-Йорка. Естественно, правоохранительные органы заинтересовались этим случаем, и через некоторое время ключи уже не продавались. Но, интересно, что угроза теперь уже начала исходить не от слесаря, а от средств массовой информации, которые подняли вокруг этого шумиху и опубликовали фотографии высокого разрешения этих самых ключей (а их форма и конфигурация до этого держались в секрете). Соответственно тот, кто не успел купить эти ключи на аукционе, сможет обладая минимальными знаниями, изготовить ключи по фотографии. Вот так получается, что ждешь угрозу с одного направления, а она приходит с другого.
Как же быть при оценке рисков в организации? Метаться из одного угла в другой при возникновении новых угроз и новых уязвимостей? Нет, внешнюю информацию безусловно нужно принимать во внимание, но, при этом, обладать здоровой долей скептицизма и использовать своеобразный "буфер" информации. Это означает, что информация о новых угрозах должна какое-то время анализироваться, при этом компания оценивает, насколько велик масштаб бедствия от этой угрозы для компании. И лишь спустя это время необходимо обновлять результаты оценки рисков. Какое это время - каждая организация выбирает самостоятельно, в зависимости от направления бизнеса, критичности операций по времени и т.д.
Из подходов к оценке рисков и угроз, а также управлению уязвимостями мне понравился следующий подход.