Практикум по информационной безопасности: Учебно-методическое пособие, страница 5

категориям    пользователей    КИС    -    от    руководителя    компании    до    рядового специалиста, - для выполнения ими своих служебных обязанностей.

К неинформационным активам относятся; программное обеспечение; аппаратное обеспечение; персонал бизнес подразделений и подразделений, обеспечивающих ведение бизнеса, с их знаниями, навыками и опытом; репутация компании. Однако от этого такие активы не менее ценны для деятельности компании.

Широко используемый термин информационные технологии (ИТ технологии) может быть определен следующим образом. ИТ технологии - инфраструктура, обеспечивающая реализацию информационных процессов: каналы передачи данных; программы, управляющие сбором, хранением, обработкой и представлением информации; компьютеры и аппаратура, обеспечивающие выполнение этих программ; данные; инструменты, реализующие информационные процессы: языки программирования, протоколы передачи данных, модели храпения и передачи данных и т.д. [...... ].

ИТ сервис- это совокупность компонент ИТ инфраструктуры корпоративной сети, предоставляющих пользователям необходимую информационную функциональность для выполнении ими своих служебных обязанностей, например: доставка сообщения по электронной почте, доступ в Интернет, хранение данных, передача информации внутри корпоративной сети, создание информации с использованием информационной системы, печать данных на сетевом или персональном принтере и т.д.

Располагая представляющими ценность информационными и другими активами, компания должна принимать соответствующие меры для их защиты (например, от хищения данных или физического разрушения управляющей серверной платформы). Уровень ценности актива для компании определяет требуемый уровень защиты и, в конечном счете, стоимость создаваемой системы ИБ.

В дальнейшем рассмотрении, если это не будет оговариваться особо, под активом будет пониматься информационный актив компании.

1.2   Причины возникновения и области ИТ рисков

Существует множество причин, по которым компания может понести финансовые и другие потери, используя ИТ технологии для обеспечения своей деятельности. Они могут быть внутренними и внешними по отношению к КИС. вызывать последствия различной степени тяжести - от незначительных убытков, до прекращения   бизнес   деятельности,   возникатьчасто   или   крайне   редко,   иметь


различную природу (стихийное бедствие или непреднамеренная ошибка пользователя). Например, пожар в здании может уничтожить все оборудование корпоративной сети и если компания не располагает запасным центром обработки данных или другими возможностями возобновления функционирования ИГ. то велика вероятность, что ей придется уйти с рынка. Ошибка пользователя, допущенная при вводе критических данных в информационную систему, обслуживающую руководителя компании, который принимает критически важное управленческое решения, приведет к искажению управленческой информации, что повлечет за собой значительные финансовые потери.

Для того чтобы те или иные причины действительно вызвали негативные последствия одного лишь их наличия не достаточно. Должны еще сложиться определенные условия, чтобы негативный потенциал причины оказался реализованным. Так, если здание в целом и серверное помещение, в том числе. оборудованы системой предупреждения о задымлении и пожаротушения, то последствия пожара могут не оказать столь губительного воздействия на деятельность компании, как прекращение бизнеса. Если этих средств нет, если к тому же электропроводка здания изношенная, если электрическая сеть перегружена потребителями, если не налажена деятельность противопожарной службы и еще много отрицательных «если», то не миновать самых тяжелых последствий. Действия пользователя, допустившего ошибку при вводе данных в ИС, оказались возможны вследствие того, что отсутствуют средства контроля правильности ввода исходных данных, что является объективным недостатком функционального ПО ИС. Кроме того, оказывается, что пользователь не выполнил требований инструкции по вводу данных в ИС. Таким образом, вновь некоторое сочетание неблагоприятных условий привело к тому, что причина «ошибка пользователя» оказалась реализованной.

Для того чтобы некоторая причина - угроза, способная вызвать негативные последствия для компании была реализована, должны существовать определенная слабость в системе защиты - уязвимость (уязвимости). Плохая электропроводка, перегрузка электросети, упомянутые выше, - ни что иное, как уязвимости. Уязвимости существуют либо объективно (в случае с ИС не предусмотрены средства контроля, поскольку это оказалось невозможным сделать при разработке прикладною ПО ИС), либо субъективно (по халатности персонала не смонтирована система пожаротушения). Только лишь наличие угроз и уязвимостей само по себе не может привести к возникновению ущерба. Требуется наличие некоторого субъекта -нарушителя (злоумышленник, агент угрозы),который реализует угрозу, пользуясь