В качестве дополнительного инструмента контроля информационной безопасности используется протоколирование – сбор и накопление информации о внешних, внутренних, клиентских событиях информационной системы. Далее осуществляется аудит – анализ накопленной информации, проводимый оперативно или периодически.

При анализе рисков информационной безопасности, с которыми сталкиваются корпорации в результате несанкционированного доступа, следует учитывать следующие основные категории.

1. Защита ресурсов. Как можно обеспечить безопасность и конфиденциальность важных корпоративных ресурсов, которые должны быть доступны лишь авторизованным людям для совершения одобренных действий?

2. Непрерывная доступность служб. Как можно обеспечить непрерывную доступность служб, которые предоставляются сотрудникам, партнерам и клиентам, без падения качества или уровня обслуживания?

3. Соответствие нормам. Как внутренние или внешние аудиторы ИТ могут проверить, что организация на самом деле удовлетворяет требованиям законодательных норм, которым она должна соответствовать?

Для обеспечения информационной безопасности информационной системы необходимо иметь в наличии документ, в котором должно быть четко описано, кто и на каком основании должен иметь доступ к ресурсам информационной системы. Нужно создать жесткий, но простой регламент обслуживания системы и обеспечить контроль за тем, чтобы настройки системы изменялись в соответствии с этим регламентом. Также желательно иметь единую точку взаимодействия сотрудников организации с информационной системой, через которую они смогут формулировать свои пожелания на предоставление доступа к тем или иным ресурсам ИС и иметь инструменты контроля правильности настроек системы.

В настоящее время в компаниях сложилась тенденция фокусировки на внешних угрозах:

• защита от хакеров и внешних вторжений (межсетевые экраны);

• антивирусы, антиспам, контентные фильтры почты и др.;

• системы авторизации, токены, VPN для доступа пользователей к важной информации извне;

• контролируемые почтовые серверы, средства фильтрации контента;

• запрет альтернативных почтовых ящиков.

При широко развитом использовании традиционных сетевых систем защиты информации во многих компаниях практически отсутствует контроль локальных каналов утечки информации. Это объясняется тем, что тотальный запрет переносных компьютеров, использования USB-портов, ограничение печати документов крайне неэффективны для бизнеса, с точки зрения операционной деятельности. Локальные каналы утечки стали, с одной стороны, наиболее удобны, незаметны и потому эффективны, с другой – наименее защищены, потому что традиционные сетевые системы защиты информации оказались недостаточно эффективны для борьбы с такими формами утечки, как копирование данных на USB и вынос ее в кармане. В итоге сегодня внутренние инсайдерские утечки через локальные порты компьютеров сотрудников, съемные носители и персональные мобильные устройства стали гораздо опаснее сетевых угроз извне.

При создании полномасштабной системы информационной безопасности следует учитывать все возможные способы совершения внутренних атак и пути утечки информации. Необходимы дополнительные системы защиты, позволяющие контролировать информацию, проходящую через каждый узел сети, и блокировать все попытки несанкционированного доступа к конфиденциальным данным.

Еще одной опасной инсайдерской угрозой являются корпоративный саботаж и диверсии, совершенные инсайдерами из эмоциональных и нерациональных побуждений, уязвленного самолюбия и обиды. В отличие от хакера, саботажник не преследует финансовой выгоды. По мнению экспертов компании InfoWatch, наилучшее средство предотвращения корпоративного саботажа – это профилактические меры. Прежде всего компаниям нужно проверять рекомендации и места предыдущей работы нанимаемых служащих. Таким способом удается исключить те 30 % претендентов, которые имели криминальную историю. Также целесообразно проводить регулярные тренинги и семинары, на которых до персонала доводится информация об угрозах ИТ-безопасности и последствиях саботажа.

Управление безопасностью включает в себя управление рисками, политики информационной безопасности, процедуры, стандарты, руководства, базисы, классификацию информации, организацию безопасности и обучение по вопросам безопасности.

Процесс управления рисками ИБ может затрагивать только информационные риски либо может быть интегрирован с общим процессом управления рисками в организации, поскольку риски информационной безопасности затрагивают подразделения, ведущие основные направления ее деятельности, подразделение управления информационной инфраструктурой, ИТ-подраз-деление.

Процесс управления рисками информационной безопасности можно подразделить на следующие основные этапы:

1) выбор анализируемых объектов и уровня детализации их рассмотрения;

2) выбор методики оценки рисков;

3) идентификация активов;

4) анализ угроз и их последствий, определение уязвимостей в защите;

5) оценка рисков;

6) выбор защитных мер;

7) реализация и проверка выбранных мер;

8) оценка остаточного риска.

Процесс управления безопасностью является непрерывным. Регулярная переоценка рисков позволит поддерживать данные о безопасности информационной системы организации в актуальном состоянии, оперативно выявлять новые опасные риски и нейтрализовывать их экономически целесообразным образом. Процесс начинается с анализа объектов информационной безопасности и идентификации угроз. Анализируемые виды угроз следует классифицировать по выделенному набору факторов, характеризующих простоту эксплуатации уязвимостей, и в пределах выбранных видов провести максимально полное рассмотрение. Прогнозирование вероятности угроз проводится уже на основании свойств уязвимости и групп нарушителей, от которых исходят угрозы. В процессе идентификации и оценки уязвимостей очень важен экспертный опыт специалистов по ИБ, выполняющих оценку рисков, и используемые статистические материалы и отчеты по уязвимостям и угрозам в области информационной безопасности.

Целесообразно выявлять не только сами угрозы, но и источники их возникновения для выбора наиболее подходящего средства защиты. Например, нелегальный вход в систему может стать следствием подбора пароля или подключения к сети неавторизованного оборудования. Для противодействия каждому из способов нелегального входа нужны свои механизмы безопасности.

После идентификации угрозы необходимо оценить вероятность ее осуществления и размер потенциального ущерба с использованием шкал и критериев оценки. При этом величина ущерба и вероятности не обязательно должна быть выражена в абсолютных денежных показателях. Используемые методы анализа и оценки рисков информационной безопасности (сценарный анализ, прогнозирование) допускают применение порядковой или количественной шкалы. Можно также использовать трехбалльную шкалу оценки вероятности и угроз: низкая/средняя/высокая. Но при этом надо одинаково понимать, что стоит за каждым из этих значений.

Оценивая тяжесть ущерба, необходимо иметь в виду не только непосредственные расходы на замену оборудования или восстановление информации, но и более отдаленные, такие как подрыв репутации, ослабление позиций на рынке и т. п.

После оценки рисков следует выбрать защитные меры, направленные на снижение рисков и реализацию потребностей информационной безопасности. В качестве защитных мер могут использоваться дополнительная настройка программного обеспечения, строгое управление паролями, охрана, механизмы контроля доступа операционных систем, обучение пользователей вопросам безопасности.