Управление на риска в информационните системи (компютърна и мрежова сигурност)

[Mozo]

ПУ „Паисий Хилендарски”
Факултет „Икономически и социални науки”





К У Р С О В А Р А Б О Т А




Т Е М А


Управление на риска в информационните системи
(компютърна и мрежова сигурност)





Изготвил: Румяна Павлова Янева,
фак.№ 0808387034
Магистърска програма,
специалност „Финансов мениджмънт”
Самооценка: Мн.добър 5






П Л О В Д И В

2010

Увод

С нарастването на използването на Интернет във всички бизнес операции, е станало задължително всички организации да защитят корпоративните си мрежи. Ако защитата на една такава мрежа бъде прекъсната, това може да доведе до огромни загуби на приходи и клиенти.
Интернет се разраства с експотенциални темпове. Въпреки, че представлява изключително благотворен фактор за технологичното развитие, той е също така и опасна зона. Личното пространство в Интернет е станало грижа от първостепенна важност за потребителите. Хакери, вируси, червеи, следене, фрикинг – тези и много други жаргонни изрази са заплахи за сигурността.
Развиването на успешна дейност в каквато и да е област, е в пряка зависимост от идентифицирането, поемането и управлението на различните видове риск – оперативен, организационен, както и риска от използване на информационните системи.

Основни елементи на сигурността
Терминът „сигурност” е субективен. Никоя система не е изцяло защитена. Всяка система, която е свързана с Интернет, по един или друг начин, е обект на заплахи за сигурността. Единствено система, която не е свързана с Мрежата и на която е прекъснато електрозахранването, е напълно защитена. Основната цел на мерките за сигурност е да намаляват ефекта от заплахите и уязвимостите до приемливо ниво (т.е. да „смекчават” риска). Най-общо, сигурността се определя чрез дефинирането на нива, като може да съществуват множество нива на сигурност. Броят на нивата се определя субективно и зависи от гледната точка на конкретния потребител. Най-важното качество за всеки модел на сигурност е способността му да установи предполагаемите рискове за конкретната система. Всъщност, успехът на един модел на сигурност се крепи изцяло на разпознаването и определянето на заплахите и рисковете. Колкото повече са очакваните заплахи, толкова е по-гояма вероятността да се опази системата.

Скициране на модел за сигурност
Винаги, когато се скицира модел на сигурност за някоя система, е важно да се определят две неща – компонентите, които са част от системата, и тези, които не са. За да се създаде модел за сигурност, трябва да се познават всички вътрешни компоненти на системата. Външните компоненти не са обект на мерки за сигурност. Когато бъдат определени всички вътрешни и външни компоненти на системата, е по-лесно да се определят рисковете(заплахите). Заплахите са събития, които могат да причинят срив в системата, нередности или възможни атаки срещу системата (например пожар, неправилно свързване на мрежата, атаки на хакери). Почти е невъзможно да се предвидят всички рискове за сигурността на дадена система, но е препоръчително да се опише всяка възможна заплаха.
Друг основен принцип при дефинирането на модел на сигурност е, че всички външни компоненти на системата трябва да се разглеждат като заплаха. Един външен компонент почти винаги е заплаха, но това не означава, че вътрешните не са. (Например един хакер е заплаха за сигурността, но хакерът може да бъде не само външен компонент на системата, но и вътрешен). Следователно простото разделяне на вътрешни и външни компоненти не гарантира, че няма заплахи от страна на вътрешните компоненти.



Основни елементи на модела за сигурност

• Идентичност. Това е способността да се идентифицира потребител и всички вътрешни компоненти на системата. Например, ако разглеждаме мрежата като система, е важно да идентифицираме всички потребители, устройства, хостове, сървъри, услуги и приложения като вътрешни компоненти. Също така трябва да идентифицираме всеки един ресурс – като рутери, комутатори, мостове, хъбове или конектори. Това са технологиите, които позволяват идентификацията на вътрешните компоненти. Тези технологии включват мрежовите протоколи за автентикация (като Kerberos), старите инструменти за пароли, RADIUS И TACACS+. Съществуват и други методи за идентификация, като smart карти, цифрови сертификати и биометрични устройства.
• Периметър на сигурност. Този елемент помага да контролираме критичните системни ресурси. Той налага условия за контрол на достъпа на базата на файлове с правила. Файлът с правила за достъп съдържа списък с потребители, които имат право да използват ресурсите в системата. На всеки потребител се дават точно определени права за използване на системата. Защитните стени са реализация на периметър на сигурност, тъй като те ограничават достъпа на външни потребители до вътрешната система.
• Поверителност на данните. Това е умението информацията в системата да се предпази от неразрешен достъп или непозволени промени. За запазване поверителността на данните се използват двуслоен тунелинг, цифрово криптиране, виртуални частни мрежи и криптография.
• Мониторинг на сигурността. Това е умението постоянно да се наблюдава системата. Така се определя състоянието на модела на сигурността, който се използва. Мониторингът на сигурността е и начин за откриване на уязвими точки в системата. Не на последно място, той може да помогне и за установяване на опити за нахлуване в системата.
• Управление на политиката. Това е още един ключов елемент на сигурността- политиката на мрежовата сигурност определя очакванията на организацията за безпроблемно използване на мрежата и компютрите в нея и излага процедурите за предпазване от инциденти. Политиката на мрежовата сигурност очертава кои активи да се защитават и кои действия или бездействия заплашват тези активи. При големи и сложни мрежи е от изключителна важност управлението на политиката да е централизирано.

Анализ на риска

„Риск” е потенциалната вреда или загуба, причинена на дадена система; вероятността дадена заплаха да се материализира. Рисковете, свързани с информационната сигурност могат да имат ефект върху множество бизнес процеси:
• Защита на личната информация на клиентите;
• Спечелване и запазване на потребителското доверие;
• Създаване, запазване и увеличаване на репутацията;
• Увеличаване на печалбата и цената на акциите/дяловете;
• Увеличаване на размера на пазарния дял, който компанията владее;
• Намаляване на времето, необходимо за въвеждане на нови продукти на пазара;
• Разрастване на бизнеса;
• Формулиране и изпълнение на мисията на компанията;
• Привличане и запазване на компетентен персонал и др.
Една от основните цели на мрежовата сигурност е да се предпазят вътрешните компоненти на системата от външните. Необходимо е да се преценят рисковете при защитата на вътрешните компоненти от външната среда.
Винаги съществуват рискове при определяне на подходящия модел на сигурност и затова трябва да се направи анализ на риска за всички възможни модели. Предприетата стратегия за анализ на риска помага за намаляване на рисковете и дори за пълното им отстраняване. Съществуват два подхода за анализ на риска – количествен и качествен.

Количествен анализ на риска
Количественият анализ включва два основни елемента:
• Вероятността за настъпване на определено събитие;
• Вероятните загуби при настъпване на събитието.
Количественият анализ изчислява обективно цените и стойностите, като оценява риска чрез умножаване на потенциалните загуби по вероятността от настъпване на събитието. Този вид анализ е несигурен, в случай че преценката за вероятността да настъпи определено събитие е недостатъчно точна.

Качествен анализ на риска
Качественият анализ не използва никакви вероятности за формулиране на оценка на нематериалните щети. Вместо това се базира на следните взаимно свързани елементи:
• Заплахи. Нежеланите събития в системата се наричат заплахи (пожар или хакерска атака).
• Уязвимост. Уязвимостта представлява слабост на системата, която би могла да бъде експлоатирана от външни фактори (например персонален компютър, свързан с интернет без защитна стена.
• Контроли. Това са мерките, предприети за премахване на уязвимостта. Съществуват четири типа контроли:
◦ Възпрепятстващи контроли – намаляват вероятността от преднамерени атаки.
◦ Предпазни контроли – спомагат за намаляване влиянието на атаката, т.е. предпазват уязвимите места на системата с цел премахване на въздействието на атаката.
◦ Корективни контроли – намаляват ефекта от атаката върху системата.
◦ Разузнавателни контроли – отчитат и идентифицират атаките и задействат предпазни или корективни контролни мерки.

Осигуряване на успеха на модела за сигурност
За да се осигури успехът на модела за сигурност трябва да се извършат следните дейности:
• Идентифициране на вътрешните и външните компоненти на системата.
• Определяне на ясна граница между външните и вътрешните компоненти.
• Идентифициране на всички заплахи за системата.
• Осъществяване на качествен анализ на риска в съответствие с модела на сигурността, който е избран.

Стратегии за управление на риска
• Понижаване на риска
• Прехвърляне на риска (например чрез застраховка)
• Приемане на риска

Развитие на модела за сигурност
Моделите за сигурност не престават да се развиват и винаги са итеративни по природа. Развитието на модела за сигурност би могло да премине през следните основни фази:
1. Установяване на политика на сигурността. В тази фаза трябва да се определят целите на модела за сигурност.
2. Осъществяване на мрежова сигурност. На този етап сигурността се разглежда в аспекта на цялото предприятие спрямо модела за сигурност, който е избран, така че системата да не разчита само на една технология за разрешаване на проблемите със сигурността.
3. Проверки. През определен период от време трябва да се уверяваме, че политиката на сигурността се спазва стриктно без каквито и да е несъответствия. Резултатът от проверките служи като допълнителна информация, която трябва да се анализира и така да се установят възможните нови уязвими места в системата. По този начин политиката на сигурността се развива и преминава на по-високо ниво.

Целият материал: