Sakaru Pasaule - Žurnāls par
modernām komunikācijām

  
  


Atpakaļ Jaunais numurs Arhīvs Par mums Meklēšana

Kā sadzīvot ar bubuļiem. Ieskats informācijas drošības risku analīzē

   

Kā sadzīvot ar “bubuļiem” – ieskats informācijas drošības risku analīzē

 

Risks – potenciāls, kas norāda apdraudējuma iespējamību nodarīt kaitējumu vai pilnībā iznīcināt kādu vērtību vai vērtību grupu. Riska realizēšanās izmaksas ir tieši proporcionālas apdraudējuma objekta (informācijas sistēmas, uzņēmuma, iestādes, organizācijas vai konkrētas informācijas) vērtībai un apdraudējuma atkārtošanās biežumam.

 

Informācija, neatkarīgi no veida, kādā tiek nodrošināta tās aprite (elektroniska, verbāla, rakstiska), ir prece. Kā katrai precei, arī informācijai ir cena. Tāpat kā katra prece, vieniem informācija var šķist nevērtīga, bet citiem – kārojamākais guvums.

 

Risku līmenis

Ja informācijas īpašnieks šo preci novērtē zemāk nekā tas, kurš vēlas to iegūt, īpašnieks cietīs zaudējumus (turklāt, neizprotot informācijas patieso vērtību, zaudējumi var būt neparedzēti lieli). Informācijas īpašnieku, kā jebkuras materiālas vērtības turētāju, apdraud varbūtība zaudēt tam piederošo vērtību. Ļoti daudzi, ja ne visi, zina, ka aizsardzības pasākumu izmaksām jābūt sabalansētām ar aizsargājamo vērtību.

Problēma rodas, kad jāsāk šo izmaksu sabalansēšana, jo nav viegli atrast atbildes uz jautājumiem, cik maksā informācija un kas un kādā mērā to apdraud. Informācijas apdraudējumu raksturo riska līmenis. Risks šajā gadījumā nav vienkārši vārds, kas bieži tiek lietots sadzīvē. Attiecībā uz informācijas drošību risks ir mērāms lielums ar noteiktu vērtību. Jebkuras informācijas sistēmas drošības pārvaldība balstās (laikam pareizāk būtu teikt – tai vajadzētu balstīties) uz šīs vērtības līmeņa noteikšanu.

Informācijas drošības risku līmeni raksturo šādi komponenti:

Ÿ         apdraudējumu, kas vērsti pret informācijas aprites un glabāšanas nodrošināšanas procesiem un vērtībām (par vērtību ir uzskatāmi gan fiziski objekti, gan informācija), veids vai raksturs;

Ÿ         nepilnības (vājības), kas piemīt šiem procesiem un vērtībām (piemēram, tehnoloģisko rīku izstrādātāju pieļautās kļūdas, kļūdaini izstrādātas procedūras vai to trūkums utt.);

Ÿ         apdraudējuma ietekme uz informācijas aprites un glabāšanas nodrošināšanas procesiem un vērtībām (ievērojot apdraudējumu raksturu, kā arī procesiem un vērtībām piemītošās nepilnības);

Ÿ         apdraudējumu realizēšanās varbūtība un to atkārtošanās iespējamais periodiskums.

Iespējamie apdraudējumi informācijas sistēmai ir atkarīgi ne tikai no tās tehniskā raksturojuma, ģeogrāfiskā izvietojuma, organizatoriskiem un sociāliem procesiem, bet arī no uzņēmuma vai iestādes darbības rakstura, kas nosaka tā galvenās funkcijas, klientu un partneru loku, konkurentus, kriminālas un politiskas intereses utt. Šie un daudzi citi aspekti tiek ņemti vērā, realizējot procesu, kas tiek saukts par risku analīzi.

 

Risku analīze

Risku analīzes gaitā tiek identificētas aizsargājamās vērtības un noteikts to riska līmenis. Šis process ir viens no informācijas drošības pārvaldības pamatkomponentiem – informācijas drošības pārvaldības uzdevums ir kontrolēt risku līmeni un noteikt pasākumus, lai tas nepārsniegtu pieļaujamās robežas.

Ko nozīmē noteikt riska līmeni? Tas nozīmē, ka jānosaka, kādi varētu būt zaudējumi (gan tiešie, gan netiešie), kas rastos uzņēmumam vai organizācijai, ja šī vērtība (informācija, iekārta u. c.) tiktu bojāta vai iznīcināta. Tas ir samērā vienkāršs uzdevums, ja tiek analizētas iekārtas (kuru cenas ir zināmas) un iespējamie tiešie zaudējumi (kas, piemēram, radušies, ja iekārtu nozog), bet ļoti sarežģīts uzdevums, ja tiek analizēta informācija, kas ir uzņēmuma vai iestādes apritē, un tās bojāšanas vai zaudēšanas rezultātā gūtie tiešie vai netiešie zaudējumi.

Jebkura uzņēmuma vai organizācijas vadītājam ir svarīgi saprast, ka biznesa riski ir nesaraujami saistīti ar informācijas drošības riskiem. Jāatceras, ka, veicot risku analīzi, var nonākt pie negaidītiem atklājumiem, piemēram, ka, pazaudējot disketi, kuras tirgus cena ir daži santīmi, var nodarīt kaitējumu daudzu tūkstošu latu apmērā, vai kāda darbinieka aizvainošana var novest pie plaukstoša uzņēmuma bankrota.

Informācijas drošības risku analīze sastāv no vairākiem posmiem:

Ÿ         aizsargājamo vērtību apzināšana;

Ÿ         iespējamo apdraudējumu raksturošana;

Ÿ         apdraudējumu realizēšanās iespējamās ietekmes uz aizsargājamām vērtībām noteikšana (risku prioritizācija);

Ÿ         risku vērtēšana;

Ÿ         risku mazināšanas pasākumu noteikšana.

Risku analīzi parasti veic tad, kad notiek kādas izmaiņas informācijas sistēmā (piemēram, ievieš jaunas sistēmas), kad mainās uzņēmuma vai iestādes darbības raksturs (mainās pamatfunkcijas, klientu raksturojums u.c.), kad mainās uz uzņēmumu vai iestādi attiecināmās likumdošanas normas utt. (piemēram, elektroniskā paraksta ieviešana bez iepriekšējas risku analīzes būtu visai drosmīgs eksperiments).

 

Risku vērtēšana

Risku vērtēšanai tiek pakļauti visi informācijas sistēmas komponenti – gan fiziskas vērtības, gan informācija. Riska lielums ir atkarīgs no apdraudējuma realizēšanās varbūtības (apdraudējuma atkārtošanās biežuma) un iespējamā kaitējuma apjoma. Vadoties pēc šīs sakarības, riska vērtēšanas procesā tiek iegūta skaitliska vērtība (nosacīts lielums vai konkrēta summa latos).

Lai noteiktu apdraudējuma realizēšanās varbūtību, jānosaka tā raksturs. Drošības apdraudējumus nosacīti var sadalīt trīs grupās:

Ÿ         fizikālie apdraudējumi (fiziska nopostīšana, ielaušanās, dabas stihija utt.),

Ÿ         tehniskie apdraudējumi (datorvīrusi, energoapgādes pārtraukumi, iekārtu bojāšanās, programmatūru nepilnības u.c.),

Ÿ         sociālie apdraudējumi (personāla nekompetence, kļūdīšanās, paroļu zaudēšana, aizmāršība utt.).

Ir simtiem iespējamo apdraudējumu, bet to realizēšanās varbūtība ir atkarīga no daudziem gan objektīviem (piemēram, iekārtas tehniskie parametri, atrašanās vieta u. c.), gan subjektīviem (piemēram, personāla savstarpējās attiecības, materiālais nodrošinājums, profesionālās zināšanas u. c.) faktoriem.

Lai vienkāršotu kāda konkrēta apdraudējuma iespējamā kaitējuma noteikšanu, visiem informācijas sistēmas komponentiem (resursiem) jābūt sagrupētiem klasifikācijas kategorijās, vadoties pēc šādām prasībām:

Ÿ         konfidencialitāte – nosaka, cik nozīmīga ir informācijas slepenības nodrošināšana;

Ÿ         integritāte – nosaka, cik nozīmīga ir informācijas uzticamības nodrošināšana;

Ÿ         pieejamība – nosaka, cik nozīmīga ir informācijas pieejamības nodrošināšana lietotājam vēlamajā brīdī.

Resursa klasifikācijas kategorija norāda tā nozīmību (vērtību) konkrētam uzņēmumam vai iestādei, tātad rodas iespēja noteikt iespējamā kaitējuma apjomu. Balstoties uz risku vērtību, tiek gatavoti informācijas sistēmu attīstības plāni un ieviesti pasākumi risku līmeņa mazināšanai.

 

Risku līmeņa mazināšana

Informācijas drošības pārvaldības principu ieviešana nav vienīgi lielu informācijas sistēmu prerogatīva. Jēdziens risks ir attiecināms gan uz maziem, gan uz lieliem uzņēmumiem, starpība būs vienīgi šo risku vērtībā (naudas izteiksmē). Risku analīze ir tas instruments, kas ļauj pieņemt pareizu lēmumu, ieviešot jaunas sistēmas, kā arī novērtēt to ieviešanas rezultātā iegūtos labumus un iespējamos zaudējumus.

Riska līmenis ir tieši proporcionāls apdraudējuma objekta vērtībai (iespējamā kaitējuma summai) un apdraudējuma atkārtošanās biežumam. Tātad risku līmeņa mazināšanas pasākumiem tiešā vai netiešā veidā ir jāsamazina kāds no šiem faktoriem – objekta vērtība (maksa par objekta pilnīgu vai daļēju atjaunošanu), apdraudējuma atkārtošanās varbūtība. Piemēram, ugunsgrēka atkārtošanās varbūtību var samazināt, izmantojot ugunsdzēsības signalizāciju un citus ugunsdrošības pasākumus; programmatūras kļūmju ietekmi var samazināt, nodrošinot to uzlabojumu regulāru lejupielādi; lietotāju nesankcionētas piekļuves apdraudējumus iespējams mazināt, ieviešot lietotāju tiesību piešķiršanas un anulēšanas procedūras; kaitējuma varbūtību var samazināt, paaugstinot objekta drošības prasības (paredzot sertificētu risinājumu lietošanu, nodrošinot personāla kvalifikācijas paaugstināšanu, ieviešot īpašus aizsardzības pasākumus utt.). Ja riski apzināti un novērtēti, vienmēr pastāv iespēja veikt nepieciešamos pasākumus to mazināšanai.

Vadlīnijas šādu pasākumu plānam varētu izskatīties šādi:

Ÿ         definēta organizatoriskā struktūra, noteikti darbinieku pienākumi un atbildība;

Ÿ         klasificēti informācijas un tehniskie resursi;

Ÿ         noteiktas fiziskās drošības prasības;

Ÿ         noteiktas drošības prasības personālam un informācijas lietotājiem;

Ÿ         noteiktas prasības un standarti tehnoloģiskajam aprīkojumam un iekārtām;

Ÿ         realizēta informācijas sistēmas drošības pārvaldība;

Ÿ         kontrolēta sistēmas attīstība.

Risku līmeņa mazināšana ir kolektīvs darbs, kura pamatā ir izpratne par notiekošajiem procesiem, to attīstības gaitu un mērķiem. Lai nokļūtu pie mērķa, ir jāzina, kur atrodies. Risku analīze var sniegt atbildes, kas palīdzēs izvairīties no smagiem zaudējumiem, bet nepietiekamās zināšanas tās realizēšanai var papildināt, gan apmācot savus darbiniekus, gan pieaicinot speciālistus, gan izmantojot specializētas lietojumprogrammas.

Dainis RUMENTS,

IS drošības konsultants

SIA E-protect

dainis.ruments@e-protect.lv

 
Design and programming by Anton Alexandrov - 2001