Анализ Рисков Информационной Безопасности Предприятия на Примере
А. С. Годла, Е. Д. Хамидуллина, Н. Е. Губенко
Донецкий национальный технический университет,
г. Донецк, Украина
В настоящее время происходит глобальная компьютеризация и информатизация общества, поэтому одной из главных проблем малого бизнеса является обеспечение необходимых условий для информационной безопасности (ИБ).
В 2011 году компания Symantec провела исследование угроз безопасности в Интернете. По сравнению с 2010 годом число кибератак на компьютеры увеличилось на 36 %. Кроме того, было создано более 403 миллионов новых разновидностей вредоносного программного обеспечения. Это говорит о росте количества разработок на 41 % [3].
Также данные компании Sophos показывают, что в 2009–2010 гг. произошел значительный рост спама и фишинга [4].
В 2004 году сертифицированными профессионалами в области информационной безопасности (CISSP) было проведено исследование, выявившее, что для улучшения ситуации в области политики информационной безопасности необходима поддержка топ-менеджмента компании, который зачастую недостаточно осведомлен о важности вопроса [2].
Риск-менеджмент является эффективным способом анализа рисков малых предприятий. В настоящий момент их корпоративные сети считаются наиболее уязвимыми с точки зрения безопасности во всей их инфраструктуре.
Для подтверждения данного факта, рассмотрим стандартную схему корпоративной сети предприятия на примере интернет-магазина (рис. 1).
Определение границ безопасности для данного типа малого бизнеса практически невозможно. Это связано с тем, что предприятие использует сеть для хранения данных, применяет связи типа peer-to-peer, осуществляет переписку с помощью мгновенных сообщений, имеет удаленный доступ, а также клиентские сервисы. Из этого следует, что для обеспечения ИБ данного предприятия необходимо выработать некие стандартные подходы.
Режим безопасности должен реализовать такие подходы работы с рисками: снижение риска, неприятие риска, изменение характера или принятие риска [1].
Рисунок 1. Структурная схема малого предприятия
К данной схеме малого предприятия можно применить прогнозирование угроз методом экспертных оценок. Для этого формируется база данных (рис. 2), основанная на знаниях экспертов в области ИБ. Этоупрощает поиск аналогичных происшествий, методов их решения.
Достоинства метода: отсутствие ложных тревог, простота реализации.
Недостатки метода: невозможность отражения неизвестных атак, уязвимость даже при небольшом изменении известной угрозы [5].