Выбор контрмер и оценка их эффективности

Система защиты строится комплексно, включает контрмеры разных уровней (административные, организационные, программно-технические). Для облегчения выбора комплекса контрмер в различных методиках используются таблицы, в которых классам угроз ставятся в соответствие возможные контрмеры. Приведем пример классификатора контрмер CRAMM 4.

Классы контрмер CRAMM (фрагмент)

Masquerading of User Identity by Insiders

Identification and Authentication

Logical Access Control

Accounting

Audit

Object Re-use

Security Testing

Software Integrity

Mobile Computing and Teleworking

Software Distribution

System Input/Output Controls

Network Access Controls

System Administration Controls

Application Input/Output Controls

Back-up of Data

Personnel

Security Education and Training

Security Policy

Security Infrastructure

Data Protection Legalization

Incident Handling

Compliance Checks

Masquerading of User Identity by Contracted Service Providers

Identification and Authentication

Logical Access Control

Accounting

Audit

Object Re-use

Security Testing

Software Integrity

Mobile Computing and Teleworking

Software Distribution

System Input/Output Controls

Network Access Controls

System Administration Controls

Application Input/Output Controls

Back-up of Data

Personnel

Security Education and Training

Security Policy

Security Infrastructure

Outsourcing

Data Protection Legalization

Incident Handling

Compliance Checks

Masquerading of User Identity by Outsiders

Identification and Authentication

Logical Access Control

Accounting

Audit

Object Re-use

Security Testing

Software Integrity

Mobile Computing and Teleworking

Software Distribution

System Input/Output Controls

Network Security Management

Network Access Controls

System Administration Controls

Application Input/Output Controls

Back-up of Data

Security Education and Training

Security Policy

Security Infrastructure

Data Protection Legalization

Incident Handling

Compliance Checks

Подобные классификаторы позволяют автоматически выбирать и предлагать конкретные варианты контрмер, возможных для рассматриваемой информационной системы. Владельцу информационных ресурсов остается отобрать из них приемлемые. Следующий шаг - оценка эффективности контрмер.

Задача оценки эффективности контрмер не проще, чем оценка рисков.

Это объясняется тем, что оценка эффективности комплексной подсистемы безопасности, включающей контрмеры разных уровней (административные, организационные, программно-технические), в конкретной информационной системе -методологически чрезвычайно сложная задача. По этой причине обычно ограничиваются упрощенными, качественными оценками эффективности контрмер.

Примером является таблица (см. табл. 3.3) типичных значений эффективности контрмер, используемых в методе анализа рисков RiskWatch, который рассматривается в следующей главе.

Таблица 3.3. Ориентировочная эффективность мероприятий в области защиты информации по критерию ROI (Return of Investment - возврат вложений)

Мероприятия	Степень эффективности
Разработка и внедрение политики информационной безопасности
Работа с персоналом (наведение справок, контроль поведения и т.п.)
Совершенствование организационной структуры
Анализ рисков
Управление жизненным циклом (управление рисками)
Совершенствование должностных инструкций и условий контрактов
Меры контроля за посетителями
Управление имуществом компании
Обучение персонала и контроль соблюдения режима ИБ
Меры контроля за работой приложений

Указанные в таблице значения представляют собой ориентировочные оценки эффективности вложений в различные классы мероприятий в области защиты информации.

В ряде случаев применяются более сложные таблицы, в которых отражена зависимость эффективности от ряда факторов.

На основе подобных таблиц делаются качественные оценки эффективности контрмер.