Н. Голдуев - Обеспечение информационной безопасности бизнеса

Понятно, что возможности по изменению цели ограничены не только условной величиной δ, но и особенностями (свойствами) самой цели. Корректирующие возможности существенно обуживаются при увеличении объемов инвестирования: на первых шагах они больше, а к последнему шагу эти возможности очень ограничены.

Поэтому нужна некоторая стратегия, учитывающая это обстоятельство. Риски такой стратегии связаны с точностью прогноза величины и возможностью точного ее покрытия корректировкой цели. Ошибки этих прогнозов накапливаются к последним инвестиционным этапам.

Задача идентификации событий ИБ состоит в выявлении событий ИБ среди полного множества различных событий организации. Трудности идентификации событий ИБ связаны с их косвенным влиянием на базовые риски организации (бизнеса), а также с тем, что отдельные (одиночные) события ИБ в силу их слабого влияния могут быть и вовсе не идентифицированы как события ИБ. Причина этого в том, что риски ИБ проявляются в наступлении событий иных (базовых) рисков. Так, например, отказ сервера (событие операционного риска) может иметь злоумышленную природу, и тогда это событие ИБ. Здесь видно, что почти всегда напрямую факторы рисков ИБ отображаются только на участвующего субъекта в виде факторов его совокупного объема знаний, мотивов, возможностей.

Под идентификацией рисковых событий ИБ будем понимать выявление среди общего потока событий в информационной сфере тех событий, которые прямо или косвенно (в сочетании с другими событиями) приводят к негативным последствиям для бизнеса.

Вследствие указанных выше обстоятельств идентифицировать напрямую рисковое событие как событие ИБ практически всегда невозможно. Исключением являются рисковые события, прямо связанные с работой средств защиты, например зафиксированные в регистрационных журналах попытки НСД. В остальных случаях это будут события базовых рисков, например операционного риска. Квалифицировать эти события как события ИБ (или инциденты ИБ) можно только по результатам расследования.

Тем более сложно оценить с точки зрения влияния на бизнес идентифицированное одиночное событие ИБ. Поэтому должна быть предложена система критериев как по идентификации, так и по оценке событий ИБ. Можно указать на ряд значимых факторов, обусловливающих возникновение событий ИБ:

а) неполная, недостоверная и несвоевременная внутренняя отчетность в организации и связанный с ней конфликт интересов: участвующие субъекты не заинтересованы в предоставлении отчетности, ухудшающей их статус в организации;

б) наличие стохастической составляющей (областей неформализованной деятельности), исключающей какие-либо формы контроля за деятельностью;

в) несовершенство ролей, ответственностей и организационных политик в организации и связанная с ними инсайдерская деятельность;

г) злоумышленная активность персонала;

д) противоборство организации за заимствуемые ресурсы c внешними субъектами;

е) организационное, функциональное и информационное несовершенство информационной сферы организации;

ж) слабости менеджмента в части накопления, обобщения, применения опыта для достижения целей организации;

з) неспрогнозированные изменения негативно влияющих факторов внешней среды, которые привели к увеличению базовых рисков.

Ситуация усугубляется тем, что значительная часть злоумышленников думает вовсе не о нанесении ущерба организации, а только о своей выгоде, и тем, что их деятельность может наносить ущерб третьим лицам, а не организации напрямую; может влиять негативно на какой-нибудь консолидированный показатель типа эффективности деятельности, наступление ущерба от которого солидарно распределяется между всеми участвующими субъектами, что крайне затрудняет идентификацию.

Совершенно понятно, что любой субъект, создающий для своей организации проблемы ИБ, будет препятствовать своей идентификации, создавая (или используя) различные неопределенности. Для этого у него есть целый ряд возможностей. Например, он может:

а) действовать в рамках чужих либо «ничьих» полномочий (ролей);

б) найти в рамках своих штатных полномочий различные непредусмотренные дополнительные возможности и их использовать;

в) исследовать структуру деятельности организации, обнаружить там условия возникновения коллизии (когда все действуют штатно, но возникает событие ИБ) и их инициировать в нужное ему время.

Самый простой и понятный способ идентификации событий ИБ основывается на предварительном анализе и фильтрации всех контролируемых в организации событий по принципу предопределенности в интерпретации события. Например, события, связанные с выявлением проникновения и тем более запуском вредоносного программного кода (вирусов). Очевидно, что иных целей, кроме злоумышленных, тут не может быть. То же можно сказать и о любых нарушениях в используемых технологиях на основе секрета (PIN-коды, пароли, криптографические ключи и т. д.). Нарушения в этой сфере могут содержать признаки злоумышленной активности. Можно указать также на процессы и технологии, связанные с отчуждением информации или получением прав доступа к ней, и на процедуры (процессы) контроля информации (особенно прикладными системами). Например, отбраковка первичного документа приложением «1С-Бухгалтерия» может указать на признаки злоумышленной активности при создании этого документа.

Сформированное таким образом подмножество типов данных дает весьма полезную для безопасности информацию. Однако:

а) это очень незначительная часть реально нужной информации;

б) могут быть проблемы с ее доступностью, достоверностью, полнотой и своевременностью.

Дело в том, что в большинстве случаев на практике непосредственное участие безопасности в этих проблемах ограничено созданием нормативной базы. Практическая реализация, а тем более контроль за деятельностью есть предмет соглашения заинтересованных субъектов. В каждой организации это реализуется по-разному, и безопасность лишь частично задействована.

Так, антивирусные средства почти всегда находятся во владении ИТ-подразделения; технологии с применением секрета могут быть замкнуты на бизнес-подразделения организации (в силу причин юридической ответственности исполнителя); контроль сосредоточен, как правило, в системе внутреннего контроля организации. Однако даже эта ограниченная информация уже может дать хороший результат, если обеспечить ее контекстное расширение и использовать накопительный анализ по всему контексту. Для этого для каждого зарегистрированного / задокументированного события необходимо идентифицировать все вовлеченные объекты (активы), процессы, инструменты, субъекты, роли. По всей полученной базе и нужно проводить анализ.