Существующие средства и меры защиты в ЛВС должны быть проанализированы, чтобы можно было определить, обеспечивают ли они в настоящее время адекватную защиту. Эти средства и меры, могут быть техническими, процедурными, и т.д.. Если средство защиты не обеспечивает адекватную защиту, это может рассматриваться как уязвимое место. Например, операционная система ЛВС может обеспечить управление доступом на уровне каталога, а не на уровне файла. Для некоторых пользователей угроза компрометации информации может быть такой большой, что требовать защиты на уровне отдельного файла. В этом примере недостаток степени точности при управлении доступом может рассматриваться как уязвимое место.
После того, как определенные угрозы и связанные с ними уязвимые места идентифицированы, с каждой парой угроза/уязвимое место должна быть связана вероятность(то есть Какова вероятность того, что угроза будет реализована при условии, что используется данное уязвимое место?). Методология риска, выбранная организацией, должна обеспечить возможность измерения вероятности. Наряду с оценкой ценностей, назначение меры вероятности может также быть субъективным процессом. Данные по угрозам для традиционных угроз (главным образом физических угроз) существуют и могут помочь при определении вероятности. Однако опыт относительно технических аспектов ЛВС и знание операционных аспектов организации может оказаться более ценным при назначении вероятности.
В самом широком смысле мера риска может рассматриваться как описание видов неблагоприятных действий, воздействию которых может подвергнуться система или организация и вероятностей того, что эти действия могут произойти. Результат этого процесса должен указать организации степень риска, связанного с определенными ценностями. Этот результат важен, потому что он является основой для выбора средств защиты и решений по минимизации риска.
Имеется большое количество способов измерения и представления риска. Процесс измерения риска должен быть согласован с (и больше чем вероятно определен) методологией оценки риска, используемой организацией. Количественные подходы часто связаны с измерением риска в терминах денежных потерь (например FIPS 65). Качественные подходы часто связаны с измерением риска в качественных терминах, заданных с помощью шкалы или ранжирования. Одномерные подходы рассматривают только ограниченные компоненты (например риск = величина потери * частота потери). Многомерные подходы рассматривают дополнительные компоненты в измерении риска, такие как надежность, безопасность, или производительность. Одним из наиболее важных аспектов меры риска является то, что представление должно быть понятным и логичным для тех, кто должен выбирать средства защиты и решать вопросы минимизации риска.
Этап 5 - Выбор подходящих мер и средств защиты
Цель этого процесса состоит в том, чтобы выбрать соответствующие меры и средства защиты. Этот процесс может быть выполнен с использованием проверки приемлемости риска.
В то время как эффективность защиты и финансовые соображения являются важными факторами, при принятии решения могут быть приняты во внимание другие факторы, такие, как политика организации, законодательство и уставы, безопасность и требования надежности, требования производительности и технические требования.
Взаимосвязь между проверкой приемлемости риска и выбором средств защиты может быть итеративной. Первоначально, организация должна упорядочить уровни рисков, которые были определены в ходе оценки риска. Наряду с этим, организация должна принять решение о количестве остаточного риска, который желательно было бы принять после того, как выбранные меры и средства защиты будут установлены. Эти начальные решения по принятию риска могут быть внести поправки в уравнение выбора средств защиты. Когда свойства предлагаемых мер и средств защиты известны, организация может повторно провести проверку приемлемости риска и определить, достигнут ли остаточный риск, или изменить решения относительно приемлемости риска, чтобы отразить информацию о свойствах предлагаемых средств защиты. Например, могут иметься риски, которые определены как слишком высокие. Однако после рассмотрения доступных мер и средств защиты, может выясниться, что в настоящее время предлагаемые решения очень дороги и не могут быть легко встроены в текущую конфигурацию аппаратных средств и программного обеспечения сети. Это может вынудить организацию либо пойти на дополнительные расходы ресурсов, чтобы сократить риск, либо принять решение о приемлемости риска, потому что в настоящее время снижение риска является слишком дорогостоящим.
Этап 6 - Внедрение и тестирование средств защиты
Внедрение и тестирование средств защиты должно быть выполнено структурированным способом. Цель этого процесса состоит в том, чтобы гарантировать, что средства защиты реализованы правильно, совместимы с другими функциональными возможностями ЛВС и средствами защиты, и обеспечивают ожидаемую защиту.
Этот процесс начинается разработкой плана внедрения средств защиты. Этот план должен учитывать факторы, такие как доступный объем финансирования, уровень подготовки пользователей, и т.д. График испытаний для каждого средства защиты также должен быть включен в этот план. Этот график должен показывать, как каждое средство защиты взаимодействует или влияет на другие средства защиты (или функциональные возможности ЛВС). Ожидаемые результаты (или предположение об отсутствии конфликта) взаимодействия должны быть детализированы. Должно признаваться, что не только важно, что средство защиты исполняет свои функции, как ожидается и обеспечивают ожидаемую защиту, но и что средство защиты не увеличивает риск ЛВС из-за конфликта с некоторым другим средством защиты или функциональной возможностью.
Каждое средство должно сначала быть проверено независимо от других средств, чтобы гарантировать, что оно обеспечивает ожидаемую защиту. Однако это может оказаться неуместным, если средство предназначено для совместной работы с другими средствами. После независимого испытания средства оно должно быть проверено совместно с другими средствами, чтобы гарантировать, что оно не нарушает нормального функционирования существующих средств. План внедрения должен учесть все эти испытания и должен отразить любые проблемы или специальные условия, возникшие в результате проведения испытания.
Этап 7 - Одобрение остаточного риска
После того, как все средства защиты реализованы, проверены и найдены приемлемыми, результаты проверки приемлемости риска должны быть повторно изучены. Риск, связанный с отношениями угроза/уязвимое место, должен теперь быть сокращен до приемлемого уровня или устранен. Если дело обстоит не так, тогда решения, сделанные на предыдущих шагах, должны быть пересмотрены, чтобы определить, каковы должны быть надлежащие меры защиты.
4. Обоснуйте экономическую целесообразность принятых решений
Вышеуказанный подход к организации политики безопасности является одним из выгодных проектов. Затраты нужны, для покупки программ защиты и приобретения дополнительного программного обеспечения (антивирусная программа, мониторинг сети).
Литература
1. Защита информации и безопасность компьютерных систем / В.В. Домарев. - К.: Издательство "ДиаСофт", 1999. - 480 с.
2. www.kiev-security.org.ua