Современные стандарты на системы защиты предписывают предприятию построить систему управления информационной безопасностью (СУИБ). При этом предполагается наличие на предприятии специальной службы, которая была бы ответственна за обнаружение и разбор компьютерных инцидентов, нанесших определенный вред предприятию. Хотя полное соответствие стандартам с получением соответствующего сертификата необходимо только крупным компаниям, тем не менее некоторые элементы СУИБ было бы неплохо реализовать всем.
Начинать построение СУИБ, по мнению генерального директора компании «ДиалогНаука» Виктора Сердюка, нужно с инвентаризации системы и выделения информационных активов и приложений, от которых зависит работа всей компании. Даже в небольшой компании есть бухгалтерия, список клиентов, телефонный справочник сотрудников и договоры с партнерами и клиентами. Их доступность, разглашение и достоверность в разной степени влияют на бизнес, поэтому нужно также оценить, какие риски для каждого ресурса наиболее критичны.
Например, для небольшой компании доступность бухгалтерии не очень критична, а вот ее конфиденциальность нужно сохранять. Более критичной базой может оказаться телефонный справочник, без которого трудно будет найти сотрудников, или база данных клиентов, в получении которой заинтересованы конкуренты.
Собственно, риск можно оценивать как качественно, так и количественно. При качественной оценке для каждой угрозы определяется уровень ее критичности. Сердюк считает, что оптимальной является пятибалльная шкала оценки. Риск также можно выразить в деньгах. Тогда для каждой угрозы рассчитывается ущерб, который будет нанесен компании при ее реализации. Ущерб умножается на вероятность реализации угрозы — это и будет количественная оценка риска. Риски суммируются по всем угрозам, таким образом и определяется общий уровень риска. Если он неприемлем, то необходимо принять меры по его снижению.
Для снижения рисков используются так называемые «контроли», которые предназначены для ограничения уровня риска. Этими контролями в терминологии риск-менеджеров и являются различные технологические средства защиты, такие как антивирусы, межсетевые экраны, системы усиленной аутентификации, средства шифрования и контроля доступа. Каждый из этих продуктов снижает уровень риска реализации определенных угроз. Следует помнить, что техническими методами нельзя уменьшить риск до нуля, поэтому важно правильно посчитать уровень остаточного риска после внедрения определенных защитных механизмов.
Важным элементом СУИБ является выявление и анализ инцидентов, которые приводят к переоценке рисков и изменению системы информационной безопасности. Для поиска уязвимостей традиционно используются сканеры уязвимостей, такие как Nessus, nmap или XSpider. Они дают возможность компаниям определить риски, которым подвергается их информационная система, а также сформировать набор мероприятий и защитных механизмов, необходимых в конкретной системе для предотвращения нападений. Кроме того, для функционирования СУИБ важно установить на предприятии систему управления информационной безопасностью (Security Management) или хотя бы управления информационной системой (System Management). Эти продукты можно использовать как для мониторинга работы защиты, так и для управления ею. Есть также системы анализа событий, которые происходят в информационной системе. Правда, пока они достаточно сложны и внедрять их имеет смысл только на больших системах с огромным количеством порождаемых событий.