Сравнительный анализ инструментальных средств анализа рисков информационной безопасности

Цель курсового проекта – определить сущность механизмов обеспечения ИБ, провести анализ методик оценки рисков, выявить их существующие достоинства и недостатки и произвести практический расчёт рисков согласно методике ИБ.

Целью угроз информационной безопасности могут быть получение различных данных об организации, их удаление, внесение несанкционированных изменений, расстройство нормального функционирования программного обеспечения или контроль над его работой. Естественно все эти угрозы влекут за собой негативные последствия для результативности работы организации.
Рассмотрев лишь основные угрозы информационной безопасности, можно отметить, что сегодня не представляется возможным организовать абсолютную защиту от всех угроз, так как они постоянно модифицируются. Однако каждой организации по силам снизить вероятность осуществления широкого спектра угроз и обезопасить себя как от различных атак извне, так и ошибок персонала.
1.3 Управление рисками и меры обеспечения информационной безопасности
C целью полной нейтрализации всех угроз, руководитель предприятия должен максимально чётко представлять возможные риски информационной безопасности и эффективно управлять ими.
Риск представляет собой возможный ущерб, т.е. комбинацию (как правило, произведение) вероятности реализации угрозы и ущерба от нее.
Понятие управления рисками определено в стандарте 31000:2009 Международной организации по стандартизации (ИСО) как «скоординированные действия по контролю и направлению деятельности организации [или иного пользователя стандарта] в отношении риска» [5].
Понятие управления рисками входит в более широкое определение управления (менеджмента) информационной безопасности. Под управлением (менеджментом) информационной безопасностью подразумевают скоординированные действия, выполняемые с целью повышения и поддержания на требуемом уровне ИБ организации.
Система менеджмента информационной безопасности (СМИБ, ISMS) организации основывается на подходе бизнес-риска и предназначена для создания, реализации, эксплуатации, мониторинга, анализа, поддержки и повышения ИБ. В рамках СМИБ рассматривают структуру системы, политики, действия по планированию, обязанности, практики, процедуры, процессы и ресурсы организации.
Концепция СМИБ определяется в стандарте ГОСТ Р ИСО/МЭК 27001-2006 [1] . В данном стандарте требования к СМИБ явно сопоставлены с элементами модели Шухарта-Деминга «Планирование (Plan) - Реализация (Do) - Проверка (Check) – Совершенствование (Act)» (PDCA). По сути, цикл PDCA отражает руководство здравым смыслом при внедрении какого-либо процесса: прежде чем что-нибудь сделать, мы планируем, затем это выполняем, после чего контролируем, что то, что сделали, соответствует тому, что хотели, а выявленные недостатки и отклонения устраняем (рисунок 2).

В основе механизма обеспечения экономической безопасности предприятия находится системное сочетание определенных методов, средств, инструментов и информационно-аналитического обеспечения, создаваемого на базе объективно существующих принципов обеспечения информационной безопасности. Реализация эффективного механизма информационной безопасности предприятия, использующего информационные технологии, нуждается в надлежащем внимании со стороны руководителей организации к вопросам уровня интегрированности предприятия в глобальное информационное пространство и уровня защищенности информации, циркулирующей в вычислительных сетях и беспроводных каналах передачи данных предприятия.
В первом разделе курсового проекта представлен теоретический обзор основных понятий и определений информационной безопасности, сформулированы угрозы и соответствующие меры обеспечения ИБ. Рассмотрены руководящие документы в данной области, в частности ГОСТ Р ИСО/МЭК 27001-2006.
Наличие большого количества угроз информации в современном динамически развивающемся мире обуславливает необходимость применения адекватных методик оценки рисков информационной безопасности при построении информационной системы предприятия.
Во втором разделе проведено исследование подходов к анализу рисков информационной безопасности, приведена классификация и основные характеристики подходов, подробно рассмотрены методики CRAMM, Microsoft Security Assessment Tool (MSAT), ГРИФ, CORAS, выявлены основные достоинства и недостатки указанных инструментов.
В третьем разделе курсового проекта произведён пример практического расчёта рисков информационной безопасности согласно методике RiskWatch на типовом предприятии, состоящем из 80 сотрудников со стоимостью информационного ресурса - 200000 у.е.
Согласно расчётам на обеспечение информационной безопасности предприятие в год тратит 18200 у.е, что составляет 9,1% от стоимости защищаемой информационной системы. Соответственно, предложенные меры по повышению эффективности системы безопасности предприятия являются экономически оправданными и удовлетворяют существующему подходу (стоимость мероприятий по защите информации не должна превышать 15-20% от стоимости защищаемой информационной системы).
Таким образом, для большинства предприятий и учреждений информационная безопасность становится одним из условий выживания и успешного функционирования. При этом обеспечение информационной безопасности требует умения предвидеть вероятное будущее состояние информационной среды, в которой она существует, вовремя предупредить возможные сбои и срывы в работе. Это достигается с помощью анализа и прогнозирования рисков информационной безопасности по всем направлениям деятельности предприятий и учреждений. В данном курсовом проекте определена сущность механизмов обеспечения ИБ, проведён анализ методик оценки рисков, выявлены их существующие достоинства и недостатки и произведён пример практического расчёта рисков согласно методике RiskWatch.