СодержаниеВведение
Информационная безопасность – один из главных приоритетов современного бизнеса, поскольку нарушения в этой сфере приводят к гибельным последствиям для бизнеса любой компании. Применение высоких информационных технологий XXI века, с одной стороны, дает значительные преимущества в деятельности предприятий и организаций, а с другой – потенциально создает предпосылки для утечки, хищения, утраты, искажения, подделки, уничтожения, копирования и блокирования информации и, как следствие, нанесение экономического, социального или других видов ущерба, т.е. проблема информационных рисков и нахождения путей снижения ущерба становится с каждым годом все острее.
Практика функционирования автоматизированных информационных систем показывает, что достижение 100 %-го уровня безопасности – дело дорогое и не всегда целесообразное, так как:
- даже самая совершенная на сегодня система информационной защиты не может противодействовать угрозам, которые могут возникнуть в последующем;
- стоимость комплексной защиты может оказаться значительно выше, чем стоимость защищаемых информационных ресурсов.
Важность проблемы защиты информации в нашей стране подчеркивает факт создания доктрины информационной безопасности по инициативе Президента Российской Федерации. Методы обеспечения информационной безопасности Российской Федерации, согласно Доктрине, разделяются на правовые, организационно-технические и экономические.
Экономические методы обеспечения информационной безопасности Российской Федерации включают в себя разработку программ обеспечения информационной безопасности Российской Федерации и определение порядка их финансирования, совершенствование системы финансирования работ, связанных с реализацией правовых и организационно-технических методов защиты информации, создание системы страхования информационных рисков физических и юридических лиц.
Глава 1. Анализ информационных угроз и рисков для предприятия.
1.1. Основные этапы анализа информационных угроз и рисков для предприятия.
Анализ информационных угроз и рисков помогает руководству компании, во-первых, определить разумную сумму для создания системы защиты своей информации, во-вторых, понять, какие угрозы через какие уязвимости могут быть реализованы, и на основании этих данных спроектировать правильную систему защиты.
Определение
Риск – это вероятный ущерб, который понесет компания при раскрытии, модификации, утрате или недоступности своей информации. Риск зависит от двух факторов: стоимости информации и эффективности средств защиты информационной системы, в которой она обрабатывается.
Анализ информационных рисков - это процесс определения угроз информации, уязвимостей информационной системы и возможного ущерба. Анализ информационных рисков служит для количественной оценки возможного материального ущерба (в т.ч. в денежном выражении) от реализации выявленных угроз безопасности информации.
Этапами анализа информационных рисков являются:
• инвентаризация информационных ресурсов компании;
• классификация информационных ресурсов по критериям безопасности;
• оценка стоимости информационных ресурсов;
• анализ угроз безопасности информации с определением перечней актуальных источников угроз и актуальных уязвимостей;
• определение перечня возможных атак на объект защиты и механизмов их реализации;
• оценивание возможного ущерба и последствий реализации угроз;
• формирование перечня, классификация и определение характеристик информационных рисков, оценка эффективности существующих методов управления рисками;
• определение уровня приемлемого риска
• выработка предложений по управлению рисками с помощью организационных, административных и технических мер и средств защиты информации.
Инвентаризация информационных ресурсов компании
Результатом инвентаризации информации компании является перечень ценной информации. Его можно составить из списка всей информации, обрабатываемой в компании, полученного, например, у системного администратора.
Классификация информационных ресурсов по критериям безопасности.
Информационные ресурсы компании классифицируют по уровням риска, для того чтобы определить порядок снижения рисков. В подавляющем большинстве случаев максимальные риски следует снижать в первую очередь.
Оценка стоимости информационных ресурсов
Обычно этот этап является самым сложным, так как оценить стоимость информации специалист по информационной безопасности не может, такая задача находится в компетенции владельца информации.
Для облегчения задачи можно использовать следующую методику. Сначала собирается экспертная комиссия, состоящая, например, из заместителей генерального директора, главного бухгалтера, специалиста службы информационной безопасности, начальников основных отделов, т. е. людей, которые знают назначение различных видов информации и могут оценить примерный уровень ее стоимости, в том числе относительную стоимость информации с учетом других информационных ресурсов.
Экспертная комиссия определяет следующие параметры, которые в дальнейшем используются для оценки информации ее владельцем:
• количество уровней критичности информации (наиболее простой является трехуровневая шкала);
• оценка уровней (оценка максимального уровня определяется как некоторый критичный процент общей капитализации компании; оценка минимального уровня является суммой, потеря которой не нанесет компании значительного ущерба; оценка остальных уровней распределяется в выбранных границах).
По полученной шкале владелец определяет уровень критичности информации. Для проведения анализа рисков критичность информации достаточно определить в уровнях (без оценки в денежных единицах), но денежный эквивалент всегда дает более точную оценку и наглядный результат.
Анализ угроз безопасности информации с определением перечней актуальных источников угроз и актуальных уязвимостей
Прежде всего необходимо описать угрозы и уязвимости информационной системы и исходя из их критичности и вероятности реализации оценить уровень защищенности. Угрозы и уязвимости можно определить, во-первых, с помощью технологического аудита защищенности информационной системы. Специалисты, проводящие аудит, выявляют угрозы и уязвимости, через которые они реализуются в информационной системе, их критичность и вероятность реализации. Во-вторых, специалист компании, ответственный за информационную безопасность, может самостоятельно описать защищенность системы. Для выполнения этой задачи существуют классификации угроз и уязвимостей, например OCTAVE (Operationally Critical Threat, Asset, and Vulnerability Evaluation, США), BSI (Federal Office for Information Security, Германия), DSECCT (Digital Security Classification of Threats, Россия). Классификация позволяет определить максимальное количество угроз и уязвимостей. В частности, для классификации DSECCT (она будет описана ниже) разработана база, содержащая наиболее распространенные угрозы и уязвимости. Используя классификации и базы угроз и уязвимостей, специалист по информационной безопасности компании может определить угрозы своей информационной системы и уязвимости, через которые они реализуются.
Оценивание возможного ущерба и последствий реализации угроз.
После определения критичности информации, угрозы и уязвимости информационной системы, в которой она обрабатывается, можно приступать к оценке рисков. Классическая формула оценки риска:
.
Критичность информации – это стоимость информации с точки зрения трех угроз: конфиденциальности, целостности и доступности, так как ущерб компании от их реализации может существенно различаться, и оценка общего ущерба приведет к неадекватным результатам анализа рисков. Вероятность реализации угрозы оценивается экспертом в области информационной безопасности на основании собственного опыта и особенностей информационной системы компании. Основными факторами при определении вероятности реализации угрозы являются такие параметры, как частота возникновения угрозы и простота ее реализации.
Определение уровня приемлемого риска
К сожалению, условия функционирования информационной системы не позволяют полностью исключить риск, и руководство компании должно учитывать это, чтобы возникновение чрезвычайной ситуации не стало не решаемой проблемой. В настоящее время существует концепция определения уровня приемлемого остаточного риска. Для снижения уровня риска специалистам по информационной безопасности необходимо внедрить контрмеры: организационные, технические, программные, аппаратные и программно-аппаратные.
Выработка предложений по управлению рисками с помощью организационных, административных и технических мер и средств защиты информации.
Управление рисками заключается в определении стратегии, которая будет описывать меры по снижению рисков до приемлемого уровня. В соответствии с приоритетностью снижения рисков и уровнем приемлемого риска, специалисты службы информационной безопасности (или сотрудники компании, ответственные за обеспечение информационной безопасности), как правило, совместно со сторонними консультантами определяют и внедряют меры для снижения рисков.
Автоматизированные средства анализа и управления рисками.
Для облегчения проведения анализа информационных рисков существуют автоматизированные средства анализа и управления информационными рисками – CRAMM (Central Computer and Telecommunications Agency, Великобритания), RiskWatch (RiskWatch, США), Digital Security Office (Digital Security, Россия). Данные программные продукты позволяют смоделировать информационную систему компании и рассчитать информационные риски. Кроме того, они генерируют отчет, содержащий рекомендации по снижению уровня риска в соответствии с особенностями информационной системы.ВведениеПринцип работы: ИБП преобразует 100% поступающего к нему на вход переменного тока в постоянный (т. н. выпрямление), а затем выполняет обратное преобразование. Внутренние узлы ИБП всегда работают "в линии" между входом, запитанным от обычной сети, и выходом, питающим ответственную нагрузку. Это своего рода электростанция, преобразующая всю поступающую на вход "грязную" энергию в "чистую", т. е. свободную от помех и каких-либо искажений, и поэтому идеально подходящая для питания сложных потребителей . ИБП класса ON-LINE обеспечивают прецизионную стабилизацию величины и формы выходного напряжения и полную фильтрацию любых помех, возникающих в электросети. Кроме этого, как правило, они корректируют коэффициент мощности нагрузки, снижая таким образом ток потребления от сети, благодаря чему не нужно устанавливать более мощные защитные автоматы и применять провода увеличенного сечения, чем в случае применения ИБП других классов. При их переходе на аккумуляторные батареи полностью отсутствуют переходные процессы у выходного электросигнала.
Если попытаться проанализировать эти классы, то можно увидеть, что такая характеристика, как время перехода на аккумулятор, присутствует только у ИБП классов OFF-LINE и ГИБРИДНЫХ. Типовое значение времени перехода на аккумулятор у этих классов составляет 4-5 мсек. Однако следует иметь в виду, что это верно лишь при обрыве входной линии. В случае, когда входное напряжение исчезает за счет короткого замыкания на входе или отключения питания на трансформаторной подстанции, оно может увеличиться в 4-6 раз. Теоретически современные компьютеры способны выдержать без мгновенных последствий единичный перерыв в питании продолжительностью до 15 мсек, но с более длительными перерывами уже приходится считаться, особенно неприятные последствия могут произойти, если компьютеры связаны в ЛВС.
ИБП класса ON-LINE с двойным преобразованием энергии, во-первых, не имеют времени перехода на аккумуляторы (оно равно нулю), так как выходному инвертору абсолютно все равно, откуда получать энергию, от выпрямителя или от аккумулятора. Таким образом, при переходе на аккумулятор или обратно выходная синусоида не имеет разрывов или каких-либо других искажений. Во-вторых, форма выходного напряжения всегда синусоидальная и не зависит от формы, частоты и величины входного напряжения, и, следовательно, электромагнитная совместимость этих ИБП неизмеримо выше, чем OFF-LINE и ГИБРИДНЫХ. В-третьих, выходное напряжение и частота всегда стабильны и также не зависят ни от формы, ни от частоты, ни от величины входного напряжения.
Описанные выше принципы построения ИБП ON-LINE имеют, помимо перечисленных, еще множество чрезвычайно полезных для пользователя следствий.
Гальваническая развязка
Высококачественные ON-LINE, за исключением особо малых, ИБП обычно имеют так называемую гальваническую развязку, т.е. в них отсутствует замкнутая электрическая цепь между входом и выходом (т.обр. электроцепи "до" и "после" прибора не связаны проводниками между собой), что существенно улучшает помехоустойчивость защищаемого оборудования.
Ресурс аккумуляторов
Стоимость аккумуляторов составляет 40-50% от стоимости ИБП класса ON-LINE. Ресурс аккумуляторов, как известно, определяется количеством циклов заряд-разряд, температурой окружающей среды, оптимальностью зарядного и разрядного тока и их периодическими "тренировками". Количество циклов заряд-разряд определяется диапазоном входного напряжения - чем он шире, тем реже ИБП переходит в автономный режим. На сегодняшний день самым широким диапазоном входного напряжения обладают ON-LINE ИБП POWERWARE. Наиболее комфортная температура для аккумуляторов 20-25¦С, при понижении снижается их емкость, при повышении увеличивается их саморазряд и уменьшается ресурс, поэтому при переходе ИБП POWERWARE в автономный режим, когда в результате происходящих химических процессов в аккумуляторах они начинают разогреваться, скорость вращения встроенных вентиляторов увеличивается. Оптимизация зарядного и разрядного тока выполнена в них аппаратными средствами, а чтобы осуществлять тренировку аккумуляторов в ИБП POWERWARE, встроен таймер, который каждые 28 дней включает аккумуляторы на внутреннюю нагрузку, определяя их емкость, после этого производится автоматический подзаряд батарей. Если емкость батарей ниже 75% первоначальной, пользователь получает соответствующее предупреждение. Благодаря этому ресурс аккумуляторов в ON-LINE ИБП POWERWARE составляет не менее 10 лет.
Режим Ву-Раss
Ву-Раss представляет собой режим, при котором нагрузка питается непосредственно от внешней сети через фильтр, в некоторых моделях еще и через трансформатор гальванической развязки, находящиеся в ИБП. Различают Ву-Раss автоматический и ручной.
Автоматический Ву-Раss включается при перегрузках ИБП, например при включении нагрузки, пусковая мощность которой в 3 - 7 раз выше номинальной, при отказах, возникающих внутри источника, при перегреве и т.п. Без автоматического Ву-Раss невозможно построение резервируемых систем бесперебойного питания. При резервировании входы ИБП и Ву-Раss должны быть раздельными. Вход основного ИБП питается от сети, а вход Ву-Раss от стоящего в горячем режиме резервного. В случае отказа основного ИБП он автоматически переключается в Ву-Раss и нагрузка получает питание от резервного. Существуют и другие архитектуры систем бесперебойного питания, в которых необходимо наличие автоматического Ву-Раss. Ручной Ву-Раss необходим при ремонтах, регламентных работах, производимых с ИБП, для обеспечения непрерывности в питании нагрузки. Таким образом, наличие режима Ву-Раss позволяет экономить на мощности ИБП (выбирать ИБП без учета пусковой мощности защищаемого оборудования), повышает надежность, обеспечивает гибкость при создании сложных систем бесперебойного питания, создает удобства при обслуживании и ремонте ИБП.
Холодный старт
Холодный старт - это режим автономного запуска ИБП при отсутствии напряжения во входной сети. Далеко не все ИБП имеют такую возможность. "Холодный старт" обеспечивает дополнительные удобства, например возможность срочно передать факс или вывести какой-либо файл на принтер при отсутствии напряжения в сети.
ИБП ON-LINE - идеальная защита для нагрузки даже в такихкритических ситуациях, как удары молний или статические разряды в элементы электросети. В этом случае все воздействие возникающего электрического пика принимает на себя выпрямитель ИБП, а нагрузка продолжает получать чистое питание без помех и сбоев.
Нагрузка, запитанная через ИБП класса ON-LINE, не может быть выведена из строя или повреждена путем "электродиверсии" (целенаправленного воздействия на электроприбор или группу приборов через внесение специально подобранной последовательности возмущений в питающую их электросеть).
Источники бесперебойного питания ON-LINE является единственной абсолютно надежной защитой от попыток считывания информации с компьютера путем анализа его обратного воздействия на электросеть.
Из-за высоких технических показателей источники класса ON-LINE в последнее время некоторые производители, а также их торговые партнеры выдают свои ГИБРИДНЫЕ источники за ON-LINE. Основополагающим признаком, отличающим все ИБП этого класса, является следующий: если весь поступающий на вход источника ток, независимо от режима работы, претерпевает как минимум двойное преобразование (переменный ток-постоянный-переменный), тогда ИБП относится к классу ON-LINE, иначе - нет.Литературанет
|
|
