В настоящее время большинство организаций зависит от использования сетей и связанных с ними информационных систем и информации для поддержки функционирования своей деятельности. Кроме того, во многих случаях существует четко выраженная потребность основной деятельности в отношении использования сетей между информационными системами на каждой площадке организации, а также в других местах как внутри организации, так и за ее пределами, включая соединение с общедоступной сетью. При установлении соединения с другой сетью следует проявлять значительную осторожность для обеспечения того, чтобы организация не подвергалась дополнительным рискам (вследствие потенциальных угроз, использующих уязвимости). Эти риски могут исходить, например, от самого соединения или от абонента на другом конце сети.
Некоторые из этих рисков могут быть связаны с обеспечением соблюдения соответствующего законодательства и предписаний. (Особое внимание следует уделять законам о неприкосновенности частной жизни и защите данных. В некоторых странах приняты законы, устанавливающие меры и средства контроля и управления сбором, обработкой и передачей персональных данных, т.е. данных, которые могут быть связаны с конкретным лицом или лицами. В зависимости от соответствующего национального законодательства такие меры и средства контроля и управления могут налагать определенные обязанности на лиц, собирающих, обрабатывающих и распространяющих персональную информацию через сети, и даже могут ограничивать возможность передачи этих данных в определенные страны, приводя к дополнительным серьезным проблемам, связанным с безопасностью. Менее наглядными примерами данных, которые могут стать объектом такого законодательства, являются некоторые сведения об отдельных категориях аппаратных средств и IP-адреса.)
Таким образом, риски, с которыми сталкивается организация, могут быть связаны с проблемами несанкционированного доступа к информации, несанкционированной передачи информации, внесения вредоносной программы, отказа от факта приема или источника информации, отказа в обслуживании и недоступности информации или услуг. Указанные угрозы могут быть связаны с утратой:
- конфиденциальности информации и программы (в сетях и системах, соединенных с сетями);
- целостности информации и программы (в сетях и системах, соединенных с сетями);
- доступности информации и сетевых услуг (и систем, соединенных с сетями);
- неотказуемости сетевых транзакций (обязательств);
- подотчетности сетевых транзакций;
- подлинности информации (а также аутентичности сетевых пользователей и администраторов);
- достоверности информации и программы (в сетях и системах, соединенных с сетями);
- способности контролировать несанкционированное использование и эксплуатацию сетевых ресурсов, включая осуществление контроля в контексте политики безопасности организации (например, продажа полосы пропускания или использование полосы пропускания для собственной выгоды) и выполнение обязательств в отношении законодательства и предписаний (например, в отношении хранения детской порнографии);
- способности контролировать злоупотребление санкционированным доступом.
Концептуальная модель сетевой безопасности, показывающая, где могут возникать разные виды рисков безопасности, представлена на рисунке 5.
Рисунок 5 - Концептуальная модель областей риска сетевой безопасности
Таким образом, для идентификации и подтверждения технических мер и средств контроля и управления безопасностью, аспектов специализированной архитектуры/проекта безопасности и поддерживающих нетехнических мер и средств контроля и управления безопасностью должна проводиться оценка риска сетевой безопасности и, руководством организации, - проверка обеспечения безопасности в соответствии с рекомендациями, представленными в ИСО/МЭК 27001, ИСО/МЭК 27002 и ИСО/МЭК 27005. Для этого должны быть выполнены следующие основные действия:
- определение степени значимости информации и услуг, выраженной с точки зрения потенциального неблагоприятного воздействия на основную деятельность организации в случае возникновения нежелательных инцидентов (оценка активов). К оценке активов относится рассмотрение ценности информации для деятельности организации, передаваемой по сети, и любой другой информации, к которой можно получить несанкционированный доступ посредством сети, а также рассмотрение ценности предоставляемых услуг;
- идентификация и оценка вероятности или уровней угроз, направленных против информации и услуг;
- идентификация и оценка степени серьезности или уровня уязвимостей (слабых мест), которые могли бы быть использованы идентифицированными угрозами;
- оценка величины рисков, основывающихся на определенных последствиях потенциального неблагоприятного воздействия на операции деятельности организации и уровнях угроз и уязвимостей;
- идентификация аспектов специализированной архитектуры/проекта безопасности и оправданных потенциальных областей действия мер и средств контроля и управления безопасностью, необходимых для обеспечения того, чтобы оцененные риски оставались в допустимых пределах.
Основные процессы оценки и менеджмента риска сетевой безопасности показаны ниже на рисунке 6 (в сущности, это является расширением представленного на рисунке 4 блока "Определение области/контекста и последующая оценка рисков" и связанного с ним блока "Идентификация рисков, связанных с сетями, и подготовка к идентификации мер и средств контроля и управления безопасностью").
Рисунок 6 - Процессы оценки и менеджмента риска сетевой безопасности
Первые два ряда блоков, представленные на рисунке 6 "Установление границ/области проверки" и "Идентификация активов", соответствуют подготовительным мероприятиям. Следующие два ряда блоков соответствуют мероприятиям по оценке риска, а нижние два ряда блоков - мероприятиям по выбору мер и средств контроля и управления информационной безопасностью и принятию (остаточного) риска.