Меню
ГлавнаяТехника

Анализ и управление рисками при реализации информационной безопасности. Нарушения информационной безопасности

На данный момент риски информационной безопасности представляют большую угрозу для нормальной деятельности многих предприятий и учреждений. В наш век информационных технологий добыть какие-либо данные практически не составляет труда. С одной стороны, это, конечно, несет много положительных моментов, но для лица и бренда многих фирм становится проблемой.

Защита информации на предприятиях становится сейчас чуть ли не первоочередной задачей. Специалисты считают, что, только вырабатывая определенную осознанную последовательность действий, можно достичь этой цели. В данном случае возможно руководствоваться лишь достоверными фактами и использовать продвинутые аналитические методы. Определенную лепту вносит развитость интуиции и опыт специалиста, ответственного за данное подразделение на предприятии.

Этот материал расскажет про управление рисками информационной безопасности хозяйствующего субъекта.

Какие существуют виды возможных угроз в информационной среде?

Видов угроз может быть множество. Анализ рисков информационной безопасности предприятия начинается с рассмотрения всех возможных потенциальных угроз. Это необходимо для того, чтобы определиться со способами проверки в случае возникновения данных непредвиденных ситуаций, а также сформировать соответствующую систему защиты. Риски информационной безопасности подразделяются на определенные категории в зависимости от различных классификационных признаков. Они бывают следующих типов:

  • физические источники;
  • нецелесообразное пользование компьютерной сетью и Всемирной паутиной;
  • утечка из закрытых источников;
  • утечка техническими путями;
  • несанкционированное вторжение;
  • атака информационных активов;
  • нарушение целостности модификации данных;
  • чрезвычайные ситуации;
  • правовые нарушения.

Что входит в понятие "физические угрозы информационной безопасности"?

Виды рисков информационной безопасности определяются в зависимости от источников их возникновения, способа реализации незаконного вторжения и цели. Наиболее простыми технически, но требующими все же профессионального исполнения, являются физические угрозы. Они представляют собой несанкционированный доступ к закрытым источникам. То есть этот процесс по факту является обыкновенной кражей. Информацию можно достать лично, своими руками, попросту вторгнувшись на территорию учреждения, в кабинеты, архивы для получения доступа к техническому оборудованию, документации и другим носителям информации.

Кража может заключаться даже не в самих данных, а в месте их хранения, то есть непосредственно самого компьютерного оборудования. Для того чтобы нарушить нормальную деятельность организации, злоумышленники могут попросту обеспечить сбой в работе носителей информации или технического оборудования.

Целью физического вторжения может также является получение доступа к системе, от которой и зависит защита информации. Злоумышленник может изменить опции сети, отвечающей за информационную безопасность с целью дальнейшего облегчения внедрения незаконных методов.

Возможность физической угрозы могут обеспечивать и члены различных группировок, имеющих доступ к закрытой информации, которая не имеет гласности. Их целью является ценная документация. Таких лиц называют инсайдерами.

На этот же объект может быть направлена деятельность внешних злоумышленников.

Как сами сотрудники предприятия могут стать причиной возникновения угроз?

Риски информационной безопасности часто возникают из-за нецелесообразного использования сотрудниками сети Интернет и внутренней компьютерной системы. Злоумышленники прекрасно играют на неопытности, невнимательности и необразованности некоторых людей в отношении информационной безопасности. Для того чтобы исключить этот вариант похищения конфиденциальных данных, руководство многих организаций проводит специальную политику среди своего коллектива. Её целью является обучение людей правилам поведения и пользования сетями. Это является достаточно распространенной практикой, так как и угрозы возникающие таким образом достаточно распространены. В программы получения навыков информационной безопасности сотрудниками предприятия входят следующие моменты:

  • преодоление неэффективного использования средств аудита;
  • уменьшение степени пользования людьми специальных средств для обработки данных;
  • снижение применения ресурсов и активов;
  • приучение к получению доступа к сетевым средствам только установленными методами;
  • выделение зон влияния и обозначение территории ответственности.

Когда каждый сотрудник понимает, что от ответственного выполнения, возложенных на него задач зависит судьба учреждения, то он пытается придерживаться всех правил. Перед людьми необходимо ставить конкретные задачи и обосновывать получаемые результаты.

Каким образом нарушаются условия конфиденциальности?

Риски и угрозы информационной безопасности во многом связаны с незаконным получением информации, которая не должна быть доступна посторонним лицам. Первым и наиболее распространенным каналом утечки являются всевозможные способы связи и общения. В то время, когда, казалось бы, личная переписка доступна лишь двум сторонам, её перехватывают заинтересованные лица. Хотя разумные люди понимают, что передавать что-либо чрезвычайно важное и секретное необходимо другими путями.

Так как сейчас много информации хранится на переносных носителях, то злоумышленники активно осваивают и перехват информации через данный вид техники. Очень популярным является прослушивание каналов связи, только теперь все усилия технических гениев направлены на взлом защитных барьеров смартфонов.

Конфиденциальная информация может быть неумышленно раскрыта сотрудниками организации. Они могут не напрямую выдать все "явки и пароли", а лишь навести злоумышленника на верный путь. Например, люди, сами того не ведая, сообщают сведения о месте хранения важной документации.

Не всегда уязвимыми являются лишь подчиненные. Выдать конфиденциальную информацию в ходе партнерских взаимоотношений могут и подрядчики.

Как нарушается информационная безопасность техническими способами воздействия?

Обеспечение информационной безопасности во многом обусловлено применением надежных технических средств защиты. Если система обеспечения работоспособна и эффективна хотя бы в самом оборудовании, то это уже половина успеха.

В основном утечка информации таким образом обеспечивается с помощью управления различными сигналами. К подобным методам относится создание специализированных источников радиоизлучения или сигналов. Последние могут быть электрическими, акустическими или вибрационными.

Достаточно часто применяются оптические приборы, которые позволяют считывать информацию с дисплеев и мониторов.

Разнообразие приспособлений обуславливает широкий круг методов внедрения и добычи информации злоумышленниками. Помимо вышеперечисленных способов существуют еще телевизионная, фотографическая и визуальная разведка.

По причине таких широких возможностей аудит информационной безопасности в первую очередь включает в себя проверку и анализ работы технических средств по защите конфиденциальных данных.

Что считается несанкционированным доступом к информации предприятия?

Управление рисками информационной безопасности невозможно без предотвращения угроз несанкционированного доступа.

Одним из наиболее ярких представителей данного способа взлома чужой системы безопасности является присвоение идентификатора пользователя. Такой метод носит название «Маскарад». Несанкционированный доступ в этом случае заключается в применении аутентификационных данных. То есть цель нарушителя - добыть пароль или любой другой идентификатор.

Злоумышленники могут оказывать воздействие изнутри самого объекта или с внешней стороны. Получать необходимые сведения они могут из таких источников, как журнал аудита или средства аудита.

Часто нарушитель пытается применить политику внедрения и использовать на первый взгляд вполне легальные методы.

Несанкционированный доступ применяется в отношении следующих источников информации:

  • веб-сайт и внешние хосты;
  • беспроводная сеть предприятия;
  • резервные копии данных.

Способов и методов несанкционированного доступа бесчисленное множество. Злоумышленники ищут просчеты и пробелы в конфигурации и архитектуре программного обеспечения. Они получают данные путем модификации ПО. Для нейтрализации и усыпления бдительности нарушители запускают вредоносные программы и логические бомбы.

Что представляют собой юридические угрозы информационной безопасности компании?

Менеджмент рисков информационной безопасности работает по различным направлениям, ведь его главная цель - это обеспечение комплексной и целостной защиты предприятия от постороннего вторжения.

Не менее важным, чем техническое направление, является юридическое. Таким образом, который, казалось бы, наоборот, должен отстаивать интересы, получается добыть очень полезные сведения.

Нарушения относительно юридической стороны могут касаться прав собственности, авторских и патентных прав. К этой категории относится и нелегальное использование программного обеспечения, в том числе импорт и экспорт. Нарушить юридические предписания можно лишь, не соблюдая условия контракта или законодательной базы в целом.

Как установить цели информационной безопасности?

Обеспечение информационной безопасности начинается собственно с установления области протекции. Необходимо четко определить, что нужно защищать и от кого. Для этого определяется портрет потенциального преступника, а также возможные способы взлома и внедрения. Для того чтобы установить цели, в первую очередь нужно переговорить с руководством. Оно подскажет приоритетные направления защиты.

С этого момента начинается аудит информационной безопасности. Он позволяет определить, в каком соотношении необходимо применять технологические приемы и методы бизнеса. Результатом данного процесса является конечный перечень мероприятий, который и закрепляет собой цели, стоящие перед подразделением по обеспечению защиты от несанкционированного вторжения. Процедура аудита направлена на выявление критических моментов и слабых мест системы, которые мешают нормальной деятельности и развитию предприятия.

После установления целей вырабатывается и механизм по их реализации. Формируются инструменты контроля и минимизации рисков.

Какую роль в анализе рисков играют активы?

Риски информационной безопасности организации непосредственно влияют на активы предприятия. Ведь цель злоумышленников заключается в получении ценной информации. Её потеря или разглашение непременно ведет к убыткам. Ущерб, причиненный несанкционированным вторжением, может оказывать прямое влияние, а может лишь косвенное. То есть неправомерные действия в отношении организации могут привести к полной потере контроля над бизнесом.

Оценивается размер ущерба согласно имеющимся в распоряжении организации активам. Подверженными являются все ресурсы, которые каким-либо образом способствуют реализации целей руководства. Под активами предприятия подразумеваются все материальные и нематериальные ценности, приносящие и помогающие приносить доход.

Активы бывают нескольких типов:

  • материальные;
  • человеческие;
  • информационные;
  • финансовые;
  • процессы;
  • бренд и авторитет.

Последний тип актива страдает от несанкционированного вторжения больше всего. Это связано с тем, что любые реальные риски информационной безопасности влияют на имидж. Проблемы с данной сферой автоматически снижают уважение и доверие к такому предприятию, так как никто не хочет, чтобы его конфиденциальная информация стала достоянием общественности. Каждая уважающая себя организация заботится о защите собственных информационных ресурсов.

На то, в каком объеме и какие активы будут страдать, влияют различные факторы. Они подразделяются на внешние и внутренние. Их комплексное воздействие, как правило, касается одновременно нескольких групп ценных ресурсов.

На активах построен весь бизнес предприятия. Они присутствуют в каком-либо объеме в деятельности любого учреждения. Просто для одних более важным являются одни группы, и менее - другие. В зависимости от того, на какой вид активов удалось повлиять злоумышленникам, зависит результат, то есть причиненный ущерб.

Оценка рисков информационной безопасности позволяет четко идентифицировать основные активы, и если задеты были именно они, то это чревато невосполнимыми потерями для предприятия. Внимание этим группам ценных ресурсов должно уделять само руководство, так как их безопасность находится в сфере интересов владельцев.

Приоритетное направление для подразделения по информационной безопасности занимают вспомогательные активы. За их защиту отвечает специальный человек. Риски относительно них не являются критическими и задевают лишь систему управления.

Каковы факторы информационной безопасности?

Расчет рисков информационной безопасности включает в себя построение специализированной модели. Она представляет собой узлы, которые соединены друг с другом функциональными связями. Узлы - это и есть те самые активы. В модели используется следующие ценные ресурсы:

  • люди;
  • стратегия;
  • технологии;
  • процессы.

Ребра, которые связывают их, являются теми самыми факторами риска. Для того чтобы определить возможные угрозы, лучше всего обратиться непосредственно к тому отделу или специалисту, который занимается работой с этими активами. Любой потенциальный фактор риска может являться предпосылкой к образованию проблемы. В модели выделены основные угрозы, которые могут возникнуть.

Относительно коллектива проблема заключается в низком образовательном уровне, нехватке кадров, отсутствии момента мотивирования.

К рискам процессов относятся изменчивость внешней среды, слабая автоматизация производства, нечеткое разделение обязанностей.

Технологии могут страдать от несовременного программного обеспечения, отсутствия контроля над пользователями. Также причиной могут быть проблемы с гетерогенным информационно-технологическим ландшафтом.

Плюсом такой модели является то, что пороговые значения рисков информационной безопасности не являются четко установленными, так как проблема рассматривается под разным углом.

Что такое аудит информационной безопасности?

Важной процедурой в сфере информационной безопасности предприятия является аудит. Он представляет собой проверку текущего состояния системы защиты от несанкционированных вторжений. В процессе аудита определяется степень соответствия установленным требованиям. Его проведение обязательно для некоторых типов учреждений, для остальных он носит рекомендательный характер. Экспертиза проводится в отношении документации бухгалтерского и налогового отделов, технических средств и финансово-хозяйственной части.

Аудит необходим для того, чтобы понять уровень защищенности, а в случае его несоответствия проведения оптимизирования до нормального. Эта процедура также позволяет оценить целесообразность финансовых вложений в информационную безопасность. В конечном итоге эксперт даст рекомендации о норме финансовых трат для получения максимальной эффективности. Аудит позволяет регулировать средства контроля.

Экспертиза в отношении информационной безопасности делится на несколько этапов:

  1. Установка целей и способов их достижения.
  2. Анализ информации, необходимой для вынесения вердикта.
  3. Обработка собранных данных.
  4. Экспертное заключение и рекомендации.

В конечном итоге специалист выдаст свое решение. Рекомендации комиссии направлены чаще всего на изменение конфигураций технических средств, а также серверов. Часто проблемному предприятию предлагают выбрать другой метод обеспечения безопасности. Возможно, для дополнительного усиления экспертами будет назначен комплекс защитных мер.

Работа после получения результатов аудита направлена на информирование коллектива о проблемах. Если это необходимо, то стоит провести дополнительный инструктаж в целях повышения образованности сотрудников относительно защиты информационных ресурсов предприятия.

История доказывала много раз, что стабильность, какой бы идеальной и хорошей она ни была на первый взгляд, ведет к деградации. Развитие невозможно без риска. Вся наша жизнь складывается из вероятностей, оценки возможностей и решений, приводящих к успеху или поражению. Но многое зависит от нас. Благополучно ли закончится прыжок с парашютом? Зависит от того, правильно ли он был уложен, знаете ли вы порядок действий при прыжке и т.д. Теперь риск равен нулю? Нет, но своими действиями вы смогли существенно снизить его. Помимо индивидуальных рисков, выделяют риски социальные, технологические и многие другие. Мы же сосредоточимся на рисках информационной безопасности и управлении ими.

Антон Макарычев
Руководитель направления ИБ Группы компаний “Компьюлинк"

Стандарт управления рисками ISO 31000:2009 дает определение риска как результата неопределенности в отношении целей, где результат – это отклонение от предполагаемого исхода (положительного или отрицательного), а неопределенность – состояние недостаточности информации, связанное с пониманием события или знаниями о нем, его последствиями или вероятностью. Учитывая, что большинство рисков невозможно свести к нулевым значениям, на первое место как в глобальном, так и в локальном масштабе выходит управление ими. К сожалению, в том случае, когда действие происходит раньше анализа (а именно такая ситуация характерна для многих российских компаний), эффективность принятых мер также отдается на волю случая. Все равно что использовать бензопилу в качестве топора, не удосужившись прочитать инструкцию по применению. Вот почему, прежде чем браться за управление рисками ИБ, следует разобраться с существующими наработками и стандартами в этой области.


От общего к частному

Рассматривая управление рисками в фокусе информационной безопасности, полезно иметь представление о следующих документах:

  • международный стандарт ISO 31000:2009;
  • концептуальные основы управления рисками организаций Комитета спонсорских организаций Комиссии Тредвея (COSO ERM);
  • стандарт управления рисками Института риск-менеджмента (IRM) Ассоциации риск-менеджмента и страхования (AIRMIC), а также Национального форума риск-менеджмента в общественном секторе Великобритании.

На сегодняшний день информатизация общества вкупе с автоматизацией процессов развиваются столь стремительно, что игнорирование возрастающих рисков в области информационных технологий становится недопустимым.

ISO 31000:2009 является основным международным стандартом по управлению рисками для организаций и дает основные определения и принципы, которыми должна руководствоваться организация после принятия решения о внедрении системы управления рисками. Этот документ можно использовать в качестве руководства для первых шагов, так как он описывает именно менеджмент риска, то есть архитектуру.

Более подробные инструкции содержатся в Концептуальных основах управления рисками организаций Комитета спонсорских организаций Комиссии Тредвея. В частности, практическую пользу, помимо самого документа, представляют дополнительные материалы, выпущенные Комитетом COSO:

  • ERM Risk Assessment in Practice (практика проведения оценки рисков в системе управления рисками);
  • Enterprise Risk Management for C
  • oud Computing (управление рисками для систем облачных вычислений);
  • Enterprise Risk Management – Understanding and Communicating Risk Appetite (понимание и коммуникация риск-аппетита в системе управления рисками);
  • Embracing Enterprise Risk Management: Practica
  • Approaches for Getting Started (практические подходы для начала внедрения системы управления рисками) и др.

Их цель – подробное раскрытие всех аспектов, изложенных в концептуальных основах, что в конечном счете позволяет ставить описанные принципы на практические рельсы.

Однако стоит упомянуть один важный нюанс, который может приводить к некоторой путанице при попытке совмещения описанных выше стандартов, – различия в определениях. Например, определение понятия "риск" в стандарте ISO – это вероятность и положительного и негативного последствия, в стандарте COSO – это только вероятность негативного последствия, для положительного, есть отдельный термин – возможность. Тем не менее, учитывая перманентное развитие стандарта, он заслуживает самого пристального внимания.

Еще одним полезным документом является стандарт управления рисками Института риск-менеджмента (IRM) Ассоциации риск-менеджмента и страхования (AIRMIC), а также Национального форума риск-менеджмента в Общественном секторе Великобритании. Взяв за основу терминологию ISO, данный стандарт более детально раскрывает процесс управления рисками (рис. 2).


Он будет крайне полезен для малого и среднего бизнеса, так как способен выступать в качестве единого и единственного документа для внедрения качественной системы управления рисками.

Таким образом, перед тем как перейти к частным вопросам управления рисками информационной безопасности, можно сделать промежуточные выводы по рассмотренным стандартам:

  • ISO 31000:2009 подойдет в качестве основного для любой организации;
  • AIRMIC ориентирован на практику и подойдет в качестве основного документа для малого и среднего бизнеса, а также в качестве отправной точки для крупных компаний;
  • COSO ERM выступает в качестве основного документа для практического внедрения системы управления рисками в любой организации, однако изначально тяготеет к крупному бизнесу.

Управление рисками информационной безопасности

На сегодняшний день информатизация общества вкупе с автоматизацией процессов развиваются столь стремительно, что игнорирование возрастающих рисков в области информационных технологий становится недопустимым. Доступность ЦОД измеряется в пяти и шести "девятках", а сбои в информационных системах крупных компаний становятся новостями мирового масштаба.

Как следствие, в организациях создаются отдельные подразделения по информационной безопасности и IТ-рискам, которые занимаются выявлением и управлением рисками в данной сфере.


Спрос породил предложение. Так, международной организацией ISO был выпущен стандарт по управлению рисками информационной безопасности в организации – ISO 27005:2008 "Информационные технологии – техники безопасности – управление рисками информационной безопасности". Однако, помимо него, существуют и другие не менее полезные документы, например:

  • рабочая среда по управлению IТ-рисками (The Risk IT Framework) и инструкция по применению для IТ-рисков (The Risk IT Practitioner Guide), основанные на стандарте Cobit организации ISACA;
  • авторская методика по управлению рисками информационных систем Кена Джаворски (Ken Jaworski).

Рассмотрим каждый из них подробнее.

В стандарте ISO 27005:2008 дается определение риска информационной безопасности – вероятность того, что заданная угроза использует уязвимости актива или группы активов и таким образом нанесет вред организации.

В соответствии со стандартом процесс управления рисками информационной безопасности позволяет организовать следующее:

  • идентификацию рисков;
  • оценку рисков в терминах последствий для бизнеса и вероятности их появления;
  • сообщение и осознание вероятности и последствий рисков;
  • выстраивание порядка приоритетов для обработки рисков;
  • выстраивание приоритета для действий по уменьшению вероятности возникновения рисков;
  • вовлечение заинтересованных лиц в процесс принятия решений по управлению рисками и информирование о статусе процесса управления рисками;
  • мониторинг эффективности обработки рисков;
  • регулярное отслеживание и пересмотр рисков и процесса управления рисками;
  • выявление информации для улучшения подхода к управлению рисками;
  • обучение менеджеров и сотрудников рискам и действиям для их снижения.

В области управления рисками информационной безопасности существует определенный прогресс, позволяющий заинтересованным специалистам переходить от теоретических описаний к практическим действиям. Так, международный стандарт ISO 27005:2008 служит отправной теоретической точкой, дальнейший практический путь от которой, несмотря на индивидуальный подход для каждой организации, может быть эффективно реализован с помощью как минимум двух методик.

Примечательно, что схема процесса управления рисками информационной безопасности совпадает со схемой стандарта 31000, представленной ранее, что еще раз подтверждает одинаковый подход к управлению рисками в серии стандартов ISO. Стандарт носит теоретический характер, но будет полезен в качестве основы для дальнейшего внедрения системы управления рисками.

Рабочая среда по управлению IТ-рисками (The Risk IT Framework), основанная на стандарте Cobit организации ISACA, включает в себя теоретическую базу, инструкцию по применению – методологию и практические примеры.

В данном документе дается определение IТ-риска – это бизнес-риск, в частности бизнес-риск, ассоциированный с использованием, владением, произведением действий, вовлечением, влиянием или адаптацией IТ в организации.

Процессная модель данной среды состоит из трех доменов:

  • управление риском (Risk Governance);
  • оценка риска (Risk Evaluation);
  • реагирование на риск (Risk Response).

В документе тщательно разобрана эта трехдоменная модель. Приведены все необходимые определения, разобрана ролевая модель по перечисляемым процессам, а также порядок внедрения.

Инструкция по применению для IТ-рисков (The Risk IT Practitioner Guide) является логическим продолжением рабочей среды, ориентированным на практическое внедрение трехдоменной модели в организации. В документе представлены необходимые шаблоны, таблицы и другие документы, которые можно при необходимости изменить и использовать в системе управления рисками вашей организации. Также дается описание лучших практик внедрения систем IТ-рисков.

Методика по управлению рисками информационных систем Кена Джаворски основана на стандарте ISO и акцентирует свое внимание на практических аспектах внедрения системы управления рисками, а также содержит необходимые шаблоны и способы расчета влияния рисков на деятельность организации.

Подводя итоги, можно сделать вывод, что в области управления рисками информационной безопасности существует определенный прогресс, позволяющий заинтересованным специалистам переходить от теоретических описаний к практическим действиям. Так, международный стандарт ISO 27005:2008 служит отправной теоретической точкой, дальнейший практический путь от которой, несмотря на индивидуальный подход для каждой организации, может быть эффективно реализован с помощью как минимум двух методик.

Заключение

Система управления рисками как часть корпоративного управления уже показывает свою эффективность в тех компаниях, в которых она начинает внедряться или уже внедрена. В связи с кризисным состоянием мировой экономики на данный момент можно предполагать распространение в будущем подобных систем и в госсекторе. Это возможно даже сегодня, так как уже существуют стандарты и другие документы по системе управления рисками, позволяющие внедрить данную систему качественно и в относительно короткие сроки. Принципиальным моментом является тот факт, что, помимо "общих" документов, существуют отраслевые стандарты управления рисками, в частности управления рисками IТ/ИБ. Однако, учитывая специфику российской экономики, многие организации больше рассчитывают на поддержку государства или так называемый административный ресурс, недостаточно уделяя внимания системе корпоративного управления и управления рисками в частности. Как следствие, в нашей стране возрастает предрасположенность к более крупным, чем в США, банкротствам. Вот только бездействие вряд ли будет способствовать разрешению проблемы.

Аннотация: В лекции дается подробное определение информационной безопасности, рассматриваются аспекты управления рисками. Описывается модель безопасности с полным перекрытием.

Введение

Целью данного курса является изучение современных методик анализа и управления рисками, связанными с информационной безопасностью (ИБ). В связи с тем, что в процессе управления рисками может проводиться внедрение конкретных средств и механизмов защиты, в практической части курса упор делается на управление рисками в системах, базирующихся на операционных системах (ОС) семейства Microsoft Windows .

Риском в сфере ИБ будем называть потенциальную возможность понести убытки из-за нарушения безопасности информационной системы (ИС). Зачастую понятие риска смешивают с понятием угрозы.

Угрозой ИБ называют потенциально возможное происшествие неважно, преднамеренное или нет, которое может оказать нежелательное воздействие на компьютерную систему, а также информацию, хранящуюся и обрабатывающуюся в ней.

Уязвимость ИС - это некая неудачная характеристика, которая делает возможным возникновение угрозы. Уязвимость есть недостаточная защищенность и/или некоторые ошибки в системе, а также наличие в системе потайных входов в нее, оставленные разработчиками этой системы при ее отладке и настройке.

От угрозы риск отличает наличие количественной оценки возможных потерь и (возможно) оценки вероятности реализации угрозы.

Но разберемся, зачем нужно исследовать риски в сфере ИБ и что это может дать при разработке системы обеспечения ИБ для ИС. Для любого проекта, требующего финансовых затрат на его реализацию, весьма желательно уже на начальной стадии определить, что мы будем считать признаком завершения работы и как будем оценивать результаты проекта. Для задач, связанных с обеспечением ИБ это более чем актуально.

На практике наибольшее распространение получили два подхода к обоснованию проекта подсистемы обеспечения безопасности.

Первый из них основан на проверке соответствия уровня защищенности ИС требованиям одного из стандартов в области информационной безопасности. Это может быть класс защищенности в соответствии с требованиями руководящих документов Гостехкомиссии РФ (сейчас это ФСТЭК России), профиль защиты , разработанный в соответствии со стандартом ISO-15408, или какой-либо другой набор требований. Тогда критерий достижения цели в области безопасности - это выполнение заданного набора требований. Критерий эффективности - минимальные суммарные затраты на выполнение поставленных функциональных требований: где c i - затраты на i -е средство защиты.

Основной недостаток данного подхода заключается в том, что в случае, когда требуемый уровень защищенности жестко не задан (например, через законодательные требования) определить "наиболее эффективный" уровень защищенности ИС достаточно сложно.

Второй подход к построению системы обеспечения ИБ связан с оценкой и управлением рисками. Изначально он произошел из принципа "разумной достаточности" примененного к сфере обеспечения ИБ. Этот принцип может быть описан следующим набором утверждений:

  • абсолютно непреодолимой защиты создать невозможно;
  • необходимо соблюдать баланс между затратами на защиту и получаемым эффектом, в т.ч. и экономическим, заключающимся в снижении потерь от нарушений безопасности;
  • стоимость средств защиты не должна превышать стоимости защищаемой информации (или других ресурсов - аппаратных, программных);
  • затраты нарушителя на несанкционированный доступ (НСД) к информации должны превышать тот эффект, который он получит, осуществив подобный доступ.

Но вернемся к рискам. В данном случае, рассматривая ИС в ее исходном состоянии, мы оцениваем размер ожидаемых потерь от инцидентов, связанных с информационной безопасностью (как правило, берется определенный период времени, например - год). После этого, делается оценка того, как предлагаемые средства и меры обеспечения безопасности влияют на снижение рисков, и сколько они стоят. Если представить некоторую идеальную ситуацию, то идею подхода отображает приведенный ниже график ( рис. 1.1) .

По мере того, как затраты на защиту растут, размер ожидаемых потерь падает. Если обе функции имеют вид, представленный на рисунке, то можно определить минимум функции "Ожидаемые суммарные затраты ", который нам и требуется.

К сожалению, на практике точные зависимости между затратами и уровнем защищенности определить не представляется возможным, поэтому аналитический метод определения минимальных затрат в представленном виде неприменим.

Для того, чтобы перейти к рассмотрению вопросов описания риска, введем еще одно определение . Ресурсом или активом будем называть именованный элемент ИС, имеющий (материальную) ценность и подлежащий защите.

Тогда риск может быть идентифицирован следующим набором параметров:

  • угроза, возможной реализацией которой вызван данный риск;
  • ресурс, в отношении которого может быть реализована данная угроза (ресурс может быть информационный, аппаратный, программный и т.д.);
  • уязвимость, через которую может быть реализована данная угроза в отношении данного ресурса.

Важно также определить то, как мы узнаем, что нежелательное событие произошло. Поэтому в процессе описания рисков, обычно также указывают события- "триггеры" , являющиеся идентификаторами рисков, произошедших или ожидающихся в скором времени (например, увеличение времени отклика web-сервера может свидетельствовать о производимой на него одной из разновидностей атак на "отказ в обслуживании").

Исходя из сказанного выше, в процессе оценки риска надо оценить стоимость ущерба и частоту возникновения нежелательных событий и вероятность того, что подобное событие нанесет урон ресурсу.

Размер ущерба от реализации угрозы в отношении ресурса зависит от:

  1. От стоимости ресурса, который подвергается риску.
  2. От степени разрушительности воздействия на ресурс, выражаемой в виде коэффициента разрушительности. Как правило, указанный коэффициент лежит в диапазоне от 0 до 1.

Таким образом, получаем оценку, представимую в виде произведения:

(Стоимость ресурса)*(Коэф. Разрушительности).

Далее необходимо оценить частоту возникновения рассматриваемого нежелательного события (за какой-то фиксированный период) и вероятность успешной реализации угрозы. В результате, стоимость риска может быть вычислена по формуле:

(Частота)*(Вероятность)*(Стоимость ресурса)*(Коэф. Разрушительности).

Примерно такая формула используется во многих методиках анализа рисков, некоторые из которых будут рассмотрены в дальнейшем. Ожидаемый ущерб сравнивается с затратами на меры и средства защиты, после чего принимается решение в отношении данного риска. Он может быть:

  • снижен (например, за счет внедрения средств и механизмов защиты, уменьшающих вероятность реализации угрозы или коэффициент разрушительности);
  • устранен (за счет отказа от использования подверженного угрозе ресурса);
  • перенесен (например, застрахован, в результате чего в случае реализации угрозы безопасности, потери будет нести страховая компания, а не владелец ИС);
  • принят.

Управление рисками. Модель безопасности с полным перекрытием

Идеи управления рисками во многом восходят к модели безопасности с полным перекрытием, разработанной в 70-х годах .

Модель системы безопасности с полным перекрытием строится исходя из постулата, что система безопасности должна иметь, по крайней мере, одно средство для обеспечения безопасности на каждом возможном пути воздействия нарушителя на ИС.

В модели точно определяется каждая область, требующая защиты, оцениваются средства обеспечения безопасности с точки зрения их эффективности и их вклад в обеспечение безопасности во всей вычислительной системе.


Рис. 1.2. Двудольный граф "угроза- объект".


Рис. 1.3. Трехдольный граф "угроза - средство безопасности - объект".

Считается, что несанкционированный доступ к каждому из множества защищаемых объектов (ресурсов ИС) О сопряжен с некоторой "величиной ущерба" для владельца ИС, и этот ущерб может быть определен количественно.

С каждым объектом, требующим защиты, связывается некоторое множество действий, к которым может прибегнуть нарушитель для получения несанкционированного доступа к объекту. Потенциальные злоумышленные действия по отношению ко всем объектам формируют набор угроз ИБ Т . Каждый элемент множества угроз характеризуется вероятностью появления.

Множество отношений " объект - угроза " образуют двухдольный граф ( рис. 1.2), в котором ребро (t i ,о j ) существует тогда и только тогда, когда t i является средством получения доступа к объекту o j . Следует отметить, что связь между угрозами и объектами не является связью типа "один к одному" - угроза может распространяться на любое число объектов, а объект может быть уязвим со стороны более чем одной угрозы. Цель защиты состоит в том, чтобы "перекрыть" каждое ребро данного графа и воздвигнуть барьер для доступа t i ,m k ) и (m k ,o j ). Любое ребро в форме (t i ,o j ) определяет незащищенный объект . Следует отметить, что одно и то же средство обеспечения безопасности может противостоять реализации более чем одной угрозы и (или) защищать более одного объекта. Отсутствие ребра (t i ,o j ) не гарантирует полного обеспечения безопасности (хотя наличие такого ребра дает потенциальную возможность несанкционированного доступа за исключением случая, когда вероятность появления t i равна нулю).

Далее в рассмотрение включается теоретико-множественная модель защищенной системы - система обеспечения безопасности Клементса. Она описывает систему в виде пятикортежного набора S={О,T,M,V,B} , где О - набор защищаемых объектов; Т - набор угроз; М - набор средств обеспечения безопасности; V - набор уязвимых мест - отображение ТxO на набор упорядоченных пар V i =(t i ,o j) , представляющих собой пути проникновения в систему; В - набор барьеров - отображение VxM или ТxОxМ на набор упорядоченных троек b i =(t i ,o j ,m k) представляющих собой точки, в которых требуется осуществлять защиту в системе.

Таким образом, система с полным перекрытием - это система, в которой имеются средства защиты на каждый возможный путь проникновения. Если в такой системе , то .

Модель системы безопасности с полным перекрытием описывает требования к составу подсистемы защиты ИС. Но в ней не рассматривается вопрос стоимости внедряемых средств защиты и соотношения затрат на защиту и получаемого эффекта. Кроме того, определить полное множество "путей проникновения" в систему на практике может оказаться достаточно сложно. А именно от того, как полно описано это множество, зависит то, насколько полученный результат будет адекватен реальному положению дел.

Настоящий План разработан в соответствии с требованиями рекомендаций в области стандартизации информационной безопасности.

Риск информационной безопасности — риск прямых или косвенных потерь в результате несоблюдения работниками организации установленных порядков и процедур обеспечения информационной безопасности, сбоев и отказов в функционировании информационных систем и оборудования, случайных или преднамеренных действий физических или юридических лиц, направленных против интересов организации.

Обработка риска нарушения информационной безопасности это процесс выбора и осуществления защитных мер, снижающих риск нарушения информационной безопасности, или мер по переносу, принятию или уходу от риска.

План определяет необходимые действия и процедуры, которым должна следовать организация при обработке рисков информационной безопасности.

  1. Обработка рисков информационной безопасности

2.1. Степень влияния риска информационной безопасности

В зависимости от степени влияния риска информационной безопасности на финансовый результат деятельности организации различают следующие уровни рисков информационной безопасности:

  • минимальный риск : финансовые потери отсутствуют или незначительны, нарушение информационной структуры локализовано в пределах автоматизированного рабочего места и не приводит к приостановке деятельности организации, время восстановления до одного часа;
  • средний риск : финансовые потери незначительны, нарушение значительной части информационной структуры и приостановка деятельности организации, время восстановления до трех часов, финансовые затраты на восстановление незначительны;
  • высокий риск : финансовые потери значительны, нарушение всей информационной структуры и приостановка деятельности организации, время восстановления до одних суток, финансовые затраты на восстановление средние;
  • критический риск : критические финансовые потери, нарушение всей информационной структуры, время восстановления до нескольких недель, финансовые затраты на восстановление средние.

2.2. Способы обработки риска

2.2.1. Снижение риска

Действие : Уровень риска должен быть снижен посредством выбора средств защиты и контроля так, чтобы остаточный риск мог быть повторно оценен как допустимый.

Руководство по реализации : Должны быть выбраны соответствующие и обоснованные средства защиты и контроля для того, чтобы удовлетворять требованиям, идентифицированным с помощью оценки риска и процесса обработки риска. Такой выбор должен учитывать критерии принятия рисков, а также правовые, регулирующие и договорные требования. Этот выбор должен также принимать в расчет стоимость и период реализации средств защиты и контроля или технические аспекты и аспекты среды. Средства защиты и контроля могут обеспечивать один или несколько из следующих видов защиты: исправление, исключение, предупреждение, уменьшение влияния, сдерживание, обнаружение, восстановление, мониторинг и информированность.

Во время выбора средств защиты и контроля важно «взвешивать» стоимость приобретения, реализации, администрирования, функционирования, мониторинга и поддержки средств по отношению к ценности защищаемых активов.

Ограничениями при реализации способа «Снижение риска » являются:

  • временные ограничения;
  • финансовые ограничения;
  • технические ограничения;
  • операционные ограничения;
  • юридические ограничения;
  • простота использования;
  • кадровые ограничения;
  • ограничения, касающиеся интеграции новых и существующих средств контроля.

2.2.2. Сохранение риска

Руководство по реализации : Если уровень риска соответствует критериям принятия риска, то нет необходимости реализовывать дополнительные средства защиты и контроля и риск может быть сохранен.

2.2.3. Предотвращение риска

Действие : Следует отказаться от деятельности или условия, вызывающего конкретный риск.
Руководство по реализации : Когда идентифицированные риски являются высокими или критическими, а расходы на реализацию других вариантов обработки риска превышают выгоду, может быть принято решение о полном предотвращении риска путем прекращения программы или отказа от планируемой или существующей деятельности, или совокупности действий или изменения условий, при которых проводится деятельность (действия ).

2.2.4. Перенос риска

Действие : Риск должен быть передан (перенесен ) стороне, которая может наиболее эффективно осуществлять менеджмент конкретного риска.
Руководство по реализации : Перенос риска включает в себя решение разделить определенные риски с внешними сторонами.

Перенос может быть осуществлен:

  • страхованием, которое будет поддерживать последствия;
  • с помощью заключения договора субподряда (аутсорсинга ) с «партнером», чья роль будет заключаться в проведении мониторинга информационной системы и осуществлении немедленных действий по прекращению атаки, прежде чем она приведет к определенному уровню ущерба.

2.2.5. Принятие риска информационной безопасности

Входные данные : План обработки риска и оценка остаточного риска является объектом решения руководства организации о принятии риска.

Действие : Должно быть принято и формально зарегистрировано решение о принятии рисков и ответственности за это решение.

Руководство по реализации : Критерии принятия риска могут быть более многогранным аспектом, чем просто определение того, находится ли остаточный риск выше или ниже единого порогового значения.

В некоторых случаях уровень остаточного риска может не соответствовать критериям принятия риска, поскольку применяемые критерии не учитывают превалирующие обстоятельства. Например, может быть доказано, что необходимо принимать риски по причине выгод, связанных с рисками, которые могут быть очень привлекательными, или потому, что расходы, связанные со снижением риска, очень высоки. Не всегда возможно пересмотреть критерии принятия риска своевременно. В таких случаях лица, принимающие решения обязаны принять риски, которые не соответствуют стандартным критериям принятия. Если это необходимо, лицо, принимающее решение, должно явным образом прокомментировать риски и включить обоснование для решения, превышающего стандартный критерий принятия рисков.

Выходные данные : Перечень принятых рисков с обоснованием тех рисков, которые не соответствуют стандартным критериям принятия риска организации.

2.2.6. Коммуникация риска информационной безопасности

Входные данные : Вся информация о рисках, полученная в результате действий по менеджменту риска.

Действие : Принимающие решение лица и другие причастные стороны должны обмениваться и/или совместно использовать информацию о риске.
Руководство по реализации : Коммуникация риска представляет собой деятельность, связанную с достижением соглашения о том, как осуществлять менеджмент рисков путем обмена и/или совместного использования информации о риске между лицами, принимающими решения, и другими причастными сторонами (например, заключение соглашений с другими причастными сторонами о возможности отзыва (замены, исправления) ошибочной информации в приемлемый промежуток времени ).
Эффективная коммуникация между причастными сторонами имеет большое значение, поскольку она может оказывать существенное влияние на решения, которые должны быть приняты. Коммуникация будет обеспечивать уверенность в том, что лица, отвечающие за осуществление менеджмента риска, и лица, относящиеся к заинтересованным кругам, понимают основу, на которой принимаются решения, и причины необходимости определенных действий. Коммуникация является двунаправленной.
Выходные данные : Постоянное понимание процесса менеджмента риска информационной безопасности организации.

  1. Распределение ролей по реализации плана обработки рисков

3.1. Руководство организации:

  • определяет правила и процедуры управления рисками;
  • рассматривает и принимает решения по вопросам повышения безопасности организации и его клиентов;
  • оценивает риски, влияющие на достижение поставленных целей, и принимает меры, обеспечивающие реагирование на меняющиеся обстоятельства и условия в целях обеспечения эффективности оценки рисков;
  • определяет организационно – штатную структуру организации.

3.2. Департамент экономической безопасности:

  • участвует в разработке и апробации методик оценки риска информационной безопасности;
  • проводит мониторинг, анализ и оценку рисков информационной безопасности;
  • участвует в подготовке информации о результатах мониторинга риска информационной безопасности в составе операционного риска;
  • готовит предложения по коррекции методики оценки рисков информационной безопасности;
  • готовит предложения по разработке и внедрению мер, процедур, механизмов и технологий по ограничению и снижению рисков информационной безопасности;
  • участвует в реализации (внедрении ) защитных мер;
  • осуществляет контроль реализованных защитных мер;
  • разрабатывает внутренние положения организации по рискам информационной безопасности.

3.3. Управление по анализу и контролю за рисками:

  • осуществляет сбор и введение в аналитическую базу данных информации о состоянии риска информационной безопасности в составе операционного риска;
  • проводит оценку операционного риска;
  • осуществляет контроль за соблюдением установленных лимитов показателей, используемых для мониторинга операционного риска;
  • регулярно представляет Комитету по рискам отчеты;
  • осуществляет разработку и внедрение мер, процедур, механизмов и технологий по ограничению и снижению операционного риска.

3.4. Работник организации:

  • оказывает содействие в проведении мониторинга, анализа и оценки рисков информационной безопасности;
  • докладывает непосредственному начальнику о выявленных факторах рисков информационной безопасности.

  1. Заключение

Настоящий План является примерным и в каждом конкретном случае должен учитывать особенности текущей ситуации.

Скачать ZIP файл (22660)

Пригодились документы - поставь «лайк» или .

Прародитель международных стандартов управления информационной безопасностью – британский стандарт BS 7799. Его первая часть – BS 7799-1 «Практические правила управления информационной безопасностью» – была разработана Британским Институтом стандартов (BSI) в 1995 г. по заказу правительства Великобритании. Как следует из названия, этот документ является практическим руководством по управлению информационной безопасностью в организации. Он описывает 10 областей и 127 механизмов контроля, необходимых для построения СУИБ, определенных на основе лучших примеров из мировой практики. В 1998 году появилась вторая часть этого британского стандарта – BS 7799-2 «Системы управления информационной безопасностью. Спецификация и руководство по применению», определившая общую модель построения СУИБ и набор обязательных требований для сертификации. С появлением второй части BS 7799, определившей, что должна из себя представлять СУИБ, началось активное развитие системы сертификации в области управления безопасностью. В 1999 году обе части BS 7799 были пересмотрены и гармонизированы с международными стандартами систем управления ISO 9001 и ISO 14001, а год спустя технический комитет ISO без изменений принял BS 7799-1 в качестве международного стандарта ISO 17799, который впоследствии был переименован в ISO 27002.

Вторая часть BS 7799 пересматривалась в 2002 г., а в конце 2005 г. была принята в качестве международного стандарта ISO/IEC 27001:2005 «Информационные технологии – Методы обеспечения безопасности – Системы управления информационной безопасностью – Требования». В это же время была обновлена и первая часть стандарта. С выходом ISO 27001 спецификации СУИБ приобрели международный статус, и теперь роль и престижность СУИБ, сертифицированных по стандарту ISO 27001, значительно повысились.

BS 7799 и его международные редакции постепенно стали одними из наиболее важных стандартов для отрасли информационной безопасности. Однако, когда в августе 2000 г. в ISO обсуждалась первая редакция международного стандарта ISO 17799, с трудом удалось достичь консенсуса. Документ вызвал массу критических замечаний со стороны представителей ведущих ИТ держав, которые утверждали, что он не отвечает основным критериям, предъявляемым к международным стандартам. «Не было даже возможности сравнить этот документ со всеми остальными работами по безопасности, когда-либо рассматриваемыми в ISO», – говорит Жене Трой, представитель США в техническом комитете ISO.

Сразу несколько государств, включая США, Канаду, Францию и Германию, выступили против принятия ISO 17799. По их мнению, этот документ хорош как набор рекомендаций, но не как стандарт. В США и европейских странах до 2000 г. уже была проделана огромная работа по стандартизации информационной безопасности. «Существует несколько различных подходов к ИТ безопасности. Мы считали, чтобы получить действительно приемлемый международный стандарт, все они должны быть приняты к рассмотрению, вместо того чтобы взять один из документов и ускоренно его согласовать, – говорит Жене Трой. – Главный стандарт безопасности был представлен как свершившийся факт, и просто не было возможности использовать результаты другой работы, проделанной в этой области».

Представители BSI возражали, что работы, о которых идет речь, касаются в основном технических аспектов, а BS 7799 никогда не рассматривался как технический стандарт. В отличие от других стандартов безопасности, таких как Commonly Accepted Security Practices and Regulations (CASPR) или ISO 15408/Common Criteria, он определяет основные не технические аспекты защиты информации, представленной в любой форме. «Он должен быть таким, так как предназначается для любых видов организаций и внешних окружений, – говорит представитель BSI Стив Тайлер (Steve Tyler). – Это документ по управлению информационной безопасностью, а не каталог ИТ продуктов».

Несмотря на все возражения, авторитет BSI (являющегося основателем ISO, основным разработчиком международных стандартов и главным органом по сертификации в мире) перевесил. Была запущена процедура ускоренного согласования, и стандарт вскоре был принят.Основным достоинством ISO 17799 и родственных ему стандартов является их гибкость и универсальность. Описанный в нем набор лучших практик применим практически к любой организации, независимо от формы собственности, вида деятельности, размера и внешних условий. Он нейтрален в технологическом плане и всегда оставляет возможность выбора технологий. Когда возникают вопросы: «С чего начать?», «Как управлять ИБ?», «На соответствие каким критериям следует проводить аудит?» – этот стандарт поможет определить верное направление и не упустить из виду существенные моменты. Его также можно использовать как авторитетный источник и один из инструментов для «продажи» безопасности руководству организации, определения критериев и обоснования затрат на ИБ.

В стандартах серии ISO 27000 нашло отражение все, что требуется для управления информационными рисками. Речь идет прежде всего о выпущенном в 2008 году международном стандарте ISO/IEC 27005:2008, а также о его предшественнике – британском стандарте BS 7799-3:2006, увидевшим свет в 2006 году. Эти стандарты во многих вещах взаимно перекликаются, а в некоторых вопросах дополняют друг друга. Они служат фундаментом для излагаемой в настоящей книге методологии управления рисками и широко цитируются при последующем изложении материала.

Заслуживает также упоминания американский стандарт в области управления рисками NIST 800-30, который, в свою очередь, опирается на ISO Guide 73, ISO 16085, AS/NZS 4360. Основные положения этого стандарта были учтены при разработке ISO 27005.

Вопреки ожиданиям, ISO 27005 вовсе не является международной версией BS 7799-3, в отличие от своих предшественников ISO 27001 и ISO 27002, которые, как известно, являются международными версиями британских стандартов BS 7799-2 и BS 7799-1 соответственно. ISO 27005 пришел на смену международным стандартам ISO 13335-3 и ISO 13335-4, действие которых теперь отменено. Это свидетельствует о позитивном процессе замещения уже слегка устаревшей серии стандартов ИТ безопасности ISO 13335 относительно новой серией стандартов в области управления информационной безопасностью – ISO 27000. В результате данного процесса стандартов становится меньше, а их качество заметно улучшается.

Сопоставляя стандарты BS 7799-3 и ISO 27005, мы обнаруживаем, что они определяют все наиболее важные моменты, связанные с рисками, сходным образом. Это касается процессной модели, элементов управления рисками, подходов к анализу рисков и способам их обработки, а также вопросов коммуникации рисков. Оба стандарта содержат в виде приложений примеры типовых угроз, уязвимостей и требований безопасности.

BS 7799-3 и ISO 27005 определяют:

    основные элементы процесса управления рисками;

    процессную модель;

    общий подход к управлению рисками;

    процессы анализа и оценивания рисков;

    способы качественного определения величины рисков;

    способы обработки рисков;

    процесс коммуникации рисков;

    примеры рисков, угроз, уязвимостей, активов, ущербов, требований законодательства и нормативной базы.

___________________________________

Однако разные источники разработки обусловили и ряд различий между британским и международным стандартами управления рисками. ISO 27005 более подробно описывает критерии и подходы к оценке рисков, контекст управления рисками, область и границы оценки, а также ограничения, влияющие на уменьшение риска. В то же время BS 7799-3 более тесно связан с ISO 27001 и непосредственным образом отображает процессы управления рисками на процессы жизненного цикла СУИБ. Он также определяет требования к эксперту по оценке рисков и риск-менеджеру и включает в себя рекомендации по выбору инструментария для оценки рисков. BS 7799-3 также содержит примеры законодательных и нормативных требований применительно к США и странам Европы.

_________________________________

Различия стандартов управления рисками информационной безопасности:

ISO 27005

    заменяет ISO 13335-3 и ISO 13335-4;

    определяет основные критерии для оценки рисков:

    область действия и границы;

    подходы к оценке рисков;

    ограничения, влияющие на уменьшение риска.

BS 7799-3

    отображает процессы управления рисками на модель жизненного цикла СУИБ согласно ISO 27001;

    определяет требования к эксперту по оценке рисков и к риск-менеджеру;

    содержит примеры соответствия требованиям законодательства и нормативной базы;

__________________________________

Подробная сравнительная таблица стандартов ISO 27001, ISO 27005 и BS 7799-3 приведена в Приложении № 1 . Сведения о лицензионных русских переводах этих стандартов приведены в Приложении № 12 .

  • Для комментирования войдите или зарегистрируйтесь