Информационная безопасность

  • 26 янв. 2014 г.
  • 2055 Слова
РАЗДЕЛ 1. ЭКОНОМИЧЕСКИЕ АСПЕКТЫ ЗИ

1.1. Принцип разумной достаточности. Подходы к обоснованию стоимости корпоративной системы защиты

Сегодня высшее руководство любой компании при осуществлении управления, по существу имеет дело только с информацией - и на ее основе принимает решения. Информация в настоящее время решает все.

Вы знаете, что информация в настоящее время уже давно сталатоваром, который можно покупать и продавать на рынке, иногда – за достаточно большие деньги. Как и любой товар, информация имеет свою цену, за которую она покупается и продается, и как любой ценный ресурс – подлежит защите.

Отечественный ИТ-рынок в последние несколько лет динамично развивается, по оценкам экспертов его рост превышает 10% в год. При этом сектор информационной безопасности (ИБ)развивается еще более быстрыми темпами — более чем на 25% в год. Такой рост определяется в основном двумя факторами: возросшим вниманием руководства к обеспечению ИБ и недостаточным уровнем ИБ в существующих информационных системах (ИС). Понятно, что долго такие темпы роста сектора ИБ сохраняться не смогут, они замедлятся, и вопросы оценки эффективности затрат в области ИБ встанут весьма остро. Уже сейчас вотечественных ИС с повышенными требованиями в области ИБ (банковские системы, ответственные производства, и т.д.) затраты на обеспечение режима ИБ составляют до 30% всех затрат на ИС, и владельцы информационных ресурсов серьезно рассматривают экономические аспекты обеспечения ИБ. Даже в тех ИС, уровень ИБ которых явно не достаточен, у технических специалистов зачастую возникают проблемы обоснования передруководством (владельцами информационных ресурсов) затрат на повышение этого уровня. Начальники служб автоматизации, исполнительные директора, начальники служб информационной безопасности должны иметь понятные для бизнеса аргументы для обоснования инвестиций в ИБ, т.е., по сути, представлять обоснование стоимости системы ИБ для бизнеса.

Таким образом, в настоящее время комплексное управление процессамиобеспечения информационной безопасностью (ИБ) подразумевает не просто бесцельное внедрение совокупности средств и систем защиты. ИБ превратилась в науку о реализации адекватного и эффективного по качеству и стоимости подхода к обеспечению защищенности всех элементов ИТ. Такой взгляд на проблему ИБ неизбежно требует определения показателей и метрик, позволяющих сравнивать защищенность различных систем ИТ, сравниватьэффективность контрмер, ранжировать угрозы и уязвимости по своей важности.

Для любых компаний очень важно деньги в ЗИ вкладывать обоснованно. В информационной безопасности известен принцип разумной достаточности, который гласит следующее:

Создание 100% надежной системы защиты информации невозможно в принципе, в любых случаях остается ненулевая возможность реализации какой-либо угрозы либоуязвимости. Любая система защиты информации может быть взломана, это вопрос только времени и потраченных злоумышленником средств. Поэтому бесконечно вкладывать деньги в обеспечение ИБ бессмысленно, необходимо когда-то остановиться (вопрос только в выборе этого порога). Согласно принципу разумной достаточности, стойкость СЗИ считается достаточной, если время взлома злоумышленником СЗИ превосходит время старенияинформации (либо некоторый разумный предел), либо стоимость взлома системы защиты информации превосходит стоимость полученной злоумышленником выгоды от взлома. В последнем случае, если злоумышленник является нормальным экономическим субъектом (не фанат, с психикой все в порядке), то он конечно не будет работать себе в убыток.

Пример

Возьмем парольную систему идентификации и аутентификациипользователей ОС Windows 2000. Предположим, что пользовательские пароли выбираются длиной 10 символов и используется следующий алфавит символов (наиболее распространенный):

1. Английские малые и большие буквы.

2. Цифры.

3. Специальные знаки (13 штук).

Пространство атаки хэша NTLM в этом случае = (26+26+10+13)10=7510

Пространство...
tracking img