Какие формулы используются при количественной оценке информационных рисков
Библиографическая ссылка на статью:
Пашков Н.Н., Дрозд В.Г. Анализ рисков информационной безопасности и оценка эффективности систем защиты информации на предприятии // Современные научные исследования и инновации. 2020. № 1 [Электронный ресурс]. URL: https://web.snauka.ru/issues/2020/01/90380 (дата обращения: 05.09.2023).
Актуальность исследования
Разбор рисков информационной безопасности позволяет открыть критические факторы, оказывающие отрицательное влияние на бизнес-процессы предприятия, и принимать меры для их устранения или минимизация негативного воздействия. Особо важно знать на какой стадии развития находится информационная система организации, она обязана отвечать установленному комплексу требований к обеспечению информационной безопасности. Определение требования к обеспечению защиты, по определёнными областям системы. Так же возможно использования имеющихся систем обеспечивающие должную информационную безопасности на должном уровне и отвечающая запросам организации.
Цель исследования
Цель проведения оценки риска состоит в том, чтобы определить риск утечки информации из корпоративной сети предприятия. Процесс оценки риска проводится в два этапа. На первом этапе определяют границы сети для анализа и детальному конфигурированию уровни опасности угрозы. На втором этапе проводится анализ риска. Анализ риска разделяется на идентификацию ценностей угроз и уязвимых мест, проведение оценки вероятности и измерения риска. Значения ресурсов, значимости уязвимостей и угроз, эффективности средств защиты определяются как количественными методами, к примеру, при определении стоимости характеристик, так и качественными учитывающие штатные или внешние воздействие среды.
Задача исследования
Комплексная система, обеспечивающая защиту ИС на предприятии, должна иметь в виду таковые цели как предупреждение кражи, утечки, потери, модифицирования. Фальсификации информации, отведение противоправных поступков по искоренению, видоизменению, искривлению, имитированию, снятию с блокировки информации, а также предупреждению прочих противопоказанных вторжений в информационные ресурсы и информационные системы.
Проведение анализа рисков для каждой организации индивидуален. Индивидуальность, один из основных параметров, которые оценивает размер ущерба. Ведь индивидуальность связана с информационными ресурсами и с оценкой важности, которая уникальна у каждого предприятия.
В процесс проведения анализа рисков входит определение того что необходимо защищать в первую очередь и какими методами, с учётом рассмотрения всех возможных рисков, сортировать их в зависимости от потенциального размера ущерба. Данный процесс состоит из множества экономических решений. [1, c.46]
Ниже будут представлены требования к специалисту, который производит оценку рисков на основе британского стандарта BS 7799:3 «Руководство по управлению рисками ИБ» и ISO/IEC 27005:2008 «Информационная технология»:
— Знание бизнеса и готовность принятия данный уровень риска в процессе.
— Знание концепции риска
— Способность проведения аналитический действий
— Понимание уязвимостей и угроз
— Коммуникабельность
— Знание типов контрольных механизмов ИБ
— Способность находить необходимые контактные лица
Из предложенного этого списка, умение оперировать уязвимостями и угрозами не занимает первое место и не является основным навыком.
Проведение анализа рисков в сфере ИБ может быть количественным и качественным. Количественный анализ более точнее, что позволяет получить точные значения рисков, но проведение такого анализа занимает большее количество времени, что не оправдано. Уровень качественного анализа отличается в разных методам оценка, но всё сводится к тому, чтобы выявить самые серьёзные угрозы. [2, c.35]
Самым трудными аспектом, который влияет на увеличение стоимости работ по анализу рисков, оказывается необходимость знание бизнеса. К сожалению, подразделения ИТ и безопасности, находящихся внутри организации, не всегда обладают достаточными знаниями. Очень важно определить, как будут выполняться работы по оценке рисков силами сотрудников организации или специалистами.
В задачи сотрудников отдела ИБ входят обязанности оповещения руководящих лиц организации о имеющихся и потенциальных угрозах. Отчёты должны сопровождаться аналитическими выкладками, показателями, фактами. Это самый эффективный метод довести информацию до глав предприятия.
Анализ рисков состоит в том, чтобы определить имеющиеся риски и оценить из величины.
Процесс анализа предусматривает решение следующих задач:
1. Определение основных ресурсов ИС.
2. Определение Важности различных ресурсов для организации
3. Идентификация имеющихся угроз и уязвимостей безопасности, возможные осуществления угроз.
4. Расчёт рисков, связанных с реализацией угроз безопасности.
Средства ИС выделяются на следующие категории:
• Ресурсы ИС
• Программное обеспечение
• Техническое обеспечение (сетевое оборудование, сервера, дата центр, рабочие компьютеры и.т.п)
• Человеко-ресурсы
В выше перечисленных категориях ресурсы так же делятся на классы и подклассы.
Необходимость, а также стоимость ресурса определяется на основе величины ущерба, наносимого в случае нарушения конфиденциальности, целостности или доступности ресурса. К примеру, обычно рассматриваются следующие разновидности ущерба:
• Информация была раскрыта, удалена, модифицирована или стала недоступной для использования
• Оборудование была подвергнута к разрушению или техническому повреждению
• Нарушение работоспособности программного обеспечения
Так же ущерб может быть нанесён в результате целенаправленных хакерских атак или следующих видов угроз безопасности ИС:
• ситуации стихийного бедствия (наводнение или затопление оборудование, землетрясение и.т.п)
• Удалённые или локальные атаки на ресурсы ИС
• Умышленные действия или совершение ошибок в процессе работы персонала организации.
• Сбои работы в системе, вызванные неправильной работы программного обеспечения или неисправности оборудования
Величина риска определяется на основе стоимости ресурса, вероятность угрозы и величина уязвимости определяется по формуле:
Стоимость ресурса * Вероятность угрозы = Величина уязвимости
Основная цель управления рисками состоит в выборе обоснованного комплекса мер, позволяющих снизить уровень рисков нанесения угрозы до минимального уровня. Затраты на реализацию должна не должна превышать величину возможного ущерба. Отличию между величиной возможного ущерба и реализации контрмер должна быть противоположной вероятности причинения ущерба. [3, c.195]
Метод на основании анализа информационных рисков организации наиболее значимые для обеспечения безопасности ИС, это значит, что эффективно управлять ИБ организации позволяет только после проведения анализа риска. Для начала проведения работ по анализу риска нужно определить, что именно следует защитить на предприятии, какие области ИС подвержены высокому риску несанкционированной атаке. Анализ риска проводится, основываясь на непосредственные цели и задачи по защите определённого вида конфиденциальной информации. Самая из важнейших задач в рамках обеспечения защиты информации является обеспечение её доступности и целостности. Но не стоит забывать, что нарушение целостности может произойти и от непреднамеренных действий пользователей системы, но и по ряду других причин:
• Технический сбой, ведущий к потере или искажению информации
• Физическое воздействие (наводнение, землетрясение и других стихийных бедствий)
• Ошибки программных продуктов
При проведении анализа риска разрабатываются:
• Общий план или стратегия проведений операций против нарушителей.
• Предположительные способы проводимых атак комплексную систему защиты и обработки информации
• План осуществления противоправных действий против хакерских атак
• Технические характеристики каналов связи утечки информации.
• Тип нарушения
• Способы оценки ИБ
Для того что бы разработать надёжную комплексную систему защиты информации предприятия необходимо:
• Определить все возможные угрозы защиты, которые могут привести несанкционированной атаке
• Дать оценку последствий проявлений угроз
• Разработать необходимые методы и средства защиты учитывая нормативные требования нормативных документов.
• Экономическая целесообразность, бесконфликтность, совместимость с используемым ПО.
• Оценка эффективности выбранного метода и средств защиты
Анализ риска проводится строго следующей методике, по сценарию которая изображена на рисунке 1.
На данном изображении представлены 6 этапов проведения анализа рисков. При выполнении первого и второго этапа определяются сведения, в которые разрабатываются для организации коммерческую тайну и которые следует защищать.
На третьем этап анализа риска производится построение каналов доступа, воздействия или каналов утечки на ресурсы ИС. Каждый канал связи имеются уязвимости и требуют применения средств недопущения несанкционированного доступа к информации.
Четвертый этап — это разработка методов защиты всех уязвимых точек доступа, любая имеющаяся уязвимость может неблагоприятно сказаться на защищённость системы.
Пятый этап – на основе всех известных и имеющихся данных, методов, средств, определяются вероятности осуществлении угроз на все имеющиеся уязвимых точек атак.
Заключительным шестым этапом проводится оценка нанесённого ущерба предприятия в ходе реализации атак, который с оценками уязвимости позволяет получить сгруппированный список угроз ИС. Конечным выводом выполненной работы отображаются в виде, приятного для восприятия и выработки решений. Но при этом каждый ресурс ИС может быть подвержен негативному воздействия нежелательных атак.
На основе имеющихся фактов выясняется, что проблемы в IT-безопасности предприятия бывают не только технические, но и управленческие. Большую часть рисков можно сократить управленческими решениями, рассматривая риски в качестве операционных, а другие риски можно минимизировать программным обеспечением или техническими средствами. Мало известно, но что, как и когда необходимо реализовать все запланированные мероприятия точно в срок.
В большинстве организациях КСЗИ разрабатываются по принципу «заблокировать доступ», что сказывается на неудобстве в работе пользователей, наиболее важное это может послужить причиной медлительного развития организации, так как корпоративные знания не доступны или имеют ограничения. Большое количество запретительных мероприятий порождает способы обмена информацией в обход защищённых каналов, что сводит все усилия по защите информации к нулю, тем самым бизнес процессы компании перестраиваются в обход всех запретительных мер.
Дальнейшее проведения цикла анализа рисков даёт возможность определить необходимые эффективные мероприятия для минимизации и предотвращении рисков, а какие нет. На основе проведённого анализа эффективности корректируется понимание риска, оценка и необходимых действий. Анализ эффективности предоставит возможность увидеть минимизированные параметры уязвимости и общий ущерб всех рисков, что усилит режим безопасности IT организации. Проведение оценки эффективности КСЗИ является системным процессом получения объективной оценки данных о текущем состоянии системы. На данном этапе мониторинг проводится заранее установленных мероприятий, направленных на уменьшение совокупности убытка или частоты появления рисков. Эффективность мероприятий по защите необходимо оценивать на этапе разработки, для получения оптимальных показателей работы комплексной системы в целом. [4, c.98]
Эффективность механизма защиты оценивается на этапе разработки и в процессе эксплуатации системы защиты. При оценке механизма защиты, в зависимости от применяемых способов и показателей получения, выделяют три подхода:
-официальный
-экспериментальный
-классический
Классический подход к оценке эффективности подразумевает использование критериев эффективности, получаемых из показателей эффективности. Показатели эффективности получают путём моделирования и рассчитываются по характеристикам действующей автоматизированной системы. Данный подход используется при создании или модификации КСЗИ. В силу ряда причин, возможности классических методов оценивания эффективности весьма ограничены. Большое количество вероятных неопределённых исходных данных, сложность формализации процессов, отсутствие общепринятых методов вычисления показателей эффективности и определение критериев оптимальности образуют значительную трудность для использования стандартных методов оценки эффективности.
Особую значимость имеет подход к эффективности, который условно может считаться официальным. Стратегия безопасности ИТ проводится государством и должна основываться на нормативные акты.
Под понятием экспериментального подхода проведения анализа понимается организация процесса определения эффективности КСЗИ методом преодоления защитных элементов системы разработчиками системы, выступающие в роли злоумышленников. Подобные исследования проводится дальнейшим способом. Для проведения такого исследования в качестве злоумышленника выбирается один или более специалистов в сфере ИТ-безопасности с высшей степени квалификации. Прорабатывается стратегия проведения эксперимента, определяются этапы и материально-техническое обеспечение по обнаружению уязвимых звеньев в системе защиты. При этом имитируются действия схожие со злоумышленником: от неопытного злоумышленника, не имеющего официального доступа к автоматизированной системы, до высококвалифицированного сотрудника отдела ИТ-безопасности.
Идеальные значения оценки эффективности защиты имеет выбор базы с целью сравнения или определения степени эффективности, принимаемые за нормативный. Так же можно выбрать несколько подходов, которые могут дифференцированно использоваться к определённым случаям. Один из случаем приводится к сравнению с показателями, определяющими эффективность эталонного образца защиты системы.
Эталонный образец может быть спроектирован и разработан с применением известных методов и средств проектирования систем защиты, опираясь на современные методы и технологии других организаций.
Но также могут возникнуть определённые трудности использования указанных подходов, которые необходимо обеспечивать сопоставимо со сравниваемыми вариантами. По этой причине вместо них используется экспертная оценка комплексного уровня анализируемой и разрабатываемой системы, а также отдельных субъектов и принимаемых проектных решений, или комплексная оценка системы обеспечения защиты, основывающаяся на применении количественно-качественного подхода, позволяющий оценивать механизм защиты по большей совокупности обстоятельств. Так же экспертная оценка является составным элементом комплексной оценки эффективности механизма защиты системы, использующая все подходы к отдельным субъектам подсистемы, так и всей системы в целом. [5, c.60]
Эффективности системы защиты информации оценивается при помощи показателей эффективности, иногда именуемый термином – показатель качества.
Значения качества характеризуют степень совершенства какого-либо товара. Оборудования, машины. В отношении совокупности использование человеко-машинных систем желательнее использовать термин показатель эффективности функционирования, представляющий из себя уровень соответствия системы защиту необходимым требованьям.
Термин показателя эффективности можно охарактеризовать двумя научными методами:
• Эксперимент (испытание)
• Математическое моделирование (именуемым как вычислительными экспериментом).
По отношению к механизмам защиты информации показатели значимости (восходящие: снизу-вверх) разделяются на:
• Системные
• Надсисистемные (ценностные)
• Технические
• Информационные (датчики)
Технически, применительно к защите от утечки, это выглядит примерно таким образом: сигнал/шум – риск обнаружения – источника информации – вероятность обнаружения – источника информации – вероятность его вскрытия – ущерб утечки информации, при этом все показатели между собой связаны.
Для проведения оценки эффективности комплексной системы защиты информации или сравнения системы по их показателям эффективности, необходимо указать предпочтения. Данное правило или соотношение основывается на использовании показателей эффективности. Для получения характеристики эффективности с использование K-показателей используют ряд методов. При синтезе системы может возникнуть проблема при решении ряд задач с показателями.
Подход к проведению оценки эффективности комплексной системы защиты информации
Определение эффективности комплексных систем защиты информации относится к задачам оценки множеств характеристик, данную сложную системы невозможно в полной мере и достаточно правильно охарактеризовать с помощью единичного показателя. Поэтому использование при оценке эффективности комплексной системы защиты множество показателей будет характеризовать эффективность более подробно. К этим недостаткам относятся те оценки имеющие следующие характеристики методик:
1) Конечный результат данных будут изображены в виде шкалы оценок предполагаемых угроз и последствий. Данная методика отображает приблизительные значения показателей, основывающиеся на анализе статистики нарушений на экспертных оценках. Что бы определить значения необходим большой набрать большой объём статического материала, то есть оценка не может быть применена для оценки эффективности и выбора методов защиты информации.
2) Ri10(Si*V-4), S показатель частоты проявления угрозы выбирается из интервала от 0 до 7, значение равное 0 случай когда угроза не возникает, значение 7 когда угроза возникает раз в год, V – показатель объёма ущерба который назначается от значения S и принимает от 1 до 1 миллиона долл. В связи с тем, что оценка очень приближена с действительной, необходимо сконденсировать значительный объём статистического материала, значение не может быть использовано для оценки эффективности и выбранных мер, методов защиты информации.
Параметр Wi обозначает субъективный коэффициент необходимости j характеристики защиты информации, n – количественное значение характеристик, Gi – обозначенная экспертным путём значения каждой характеристики. Для получения приблизительной оценки эффективности необходимо использовать выражение, которое может быть использовано при отсутствии необходимых исходных данных для наиболее точной оценки.
С использованием счётного количества показателей WiGi(Wi), i1, n, значение n – это количество показателей, с помощью которого оценка эффективности будет проводится полная оценка с учётом правильности выбора характеристик и количества выбранных показателей.
Проводя оценку эффективности, в которой показатель эффективности выражается в неточных значениях защиты ИС, в виде условных обозначений, именуемых как:
• Абсолютная незащищённая или защищённая
• Защищённая
• Недостаточная или достаточная защищённость
• Защищённость
С определением таких обозначений формируется необходимая и достаточная картина защищённости от несанкционированного доступа как в качественной, так и в количественной оценке, что является положительным свойством, имеющим превосходство над всеми известными методиками.
При таком подходе, принадлежность уровня безопасности будут определятся в [0,1] значений, и показатели надёжность будут функцией принадлежности μA(xi), где xi – элемент множества, X – требование безопасности, а A – множество значений, определение выполнения требований безопасности выполняется по следующей формуле:
Пара является «функцией принадлежности / элемента», то возможно произвести оценку эффективности, по точно определённым характеристикам ИБ следующим образом:
Допустим массив X= <1,2,3,4,5>в котором заданы набор требований защиты системы, то неточное множество оценки безопасности системы, имеющие определённые характеристики будут:
А = (0,2/1) + (0,4/2) + (0,6/3) + (0,8/4) + (1/5)
Это необходимо определить следующим образом, что система, имеющая в совокупности набор выполненных требований:
• 1 – абсолютной незащищённой
• 2 – недостаточно защищённая
• 3 – защищённая с имеющимся набором выполненных требований
• 4 – достаточно защищённая система
• 5 – абсолютная защищённая система
Причем «5» набор является «абсолютной защищённой» системой к ней причисляются и другие. Другие различные состояния безопасности выделяют в виде подмножеств неопределённого подмножества А. Риск взлома оцениваемой системы, может соответствовать конкретному числу неопределённого множества, конкретно:
X= <1, 2, 3, 4, 5>; А = (0,2/1) + (0,4/2) + (0,6/3) + (0,8/4) + (1/5);
Card A = |A|=3, т.е вероятность взлома будет 3k, значение k – значение соответствия.
Каждый из выше перечисленных терминов имеют определённые значения в диапазоне от 0 до T, где T – максимальное количество требований в комплексной системе защиты информации, набор требований может быть в диапазоне от 0 до 20, набор «1» будет множеством выполненных требований.
Несомненно, что при данном подходе при оценке эффективности АС защиты от несанкционированного доступа необходимы данные о требованиях защищённости и данные о выполнении требований защиты. Выше описанная технология даёт возможность её использования при проведении оценки эффективности системы защиты с использованием нейросетевых программных обеспечений.
С использованием данных технологий совместно с программно-аппаратным комплексом системы защиты информации можно достичь:
• Мониторинг состояния АС ИБ;
• Прогнозирование возможных или осуществляемых атак, путём имитации угроз;
• Предотвращение или затруднение (создание помех, преград) реализации угроз;
Комплекс системы защиты может так же обладать возможностью перевода режима ИБ к наиболее высокому уровню эффективности.
Вывод.
Предложенная методика разработки политики информационной безопасности современного предприятия позволяет полностью проанализировать и документально оформить требования, связанные с обеспечением информационной безопасности, избежать расходы на дополнительные меры безопасности, возможные при субъективной оценке рисков, оказать помощь в планировании и реализации защиты на всех стадиях жизненного цикла информационных систем, представить обоснование для выбора мер противодействия, оценить эффективность контрмер, сравнить различные варианты контрмер.
72. Оценка информационных рисков (количественная модель).
Осуществляется на основе экспертной оценки, либо анализа атак.
ARO — годовая частота происшествия. Зависит от установленной системы защиты и от квалификации персонала.
SLE — ожидаемый ущерб от одной успешно проведенной атаки.
ALE — ожидаемый годовой ущерб (ALE = ARO * SLE).
Должны учитываться возможные стихийные бедствия, перебои в электропитании, статистика отказов оборудования.
Определение стоимости информационных активов:
Осязаемый актив: ПО, которое в результате атак приходит в негодность, аппаратная часть сетевое обеспечение.
Неосязаемые активы: затраты на работу по восстановлению всего, что пришло в негодность в результате атаки.
Оценка рисков:
Модель нарушителя — внутренние(А), внешние(В), классификация по степени опасности с указанием характеристик и возможностей каждой группы.
Идентификация угроз с указанием: ресурса, его ценности (AV), модели нарушителя, уязвимости ресурса (EF), вероятности реализации угрозы (ARO), ущерба от реализации угрозы (SLE), показателя риска (АLЕ).
Сам расчет стоимости риска и его вероятности (ALE = ARO * SLE, SLE = EF * AV). EF — показывает, в какой степени тот или иной ресурс уязвим по отношению к угрозе. Классификация угроз по степеням:
Средняя угроза — можно восстановить ресурсы.
Максимальная угроза — ресурсы требуют полной замены после воздействия на них.
Определение методики управления рисками.
Возможность принятия риска.
Снижение в процессе управления
Некоторые риски могут быть переданы — т.е. потенциальный ущерб перекладывается на страховщиков.
Управление рисками. Таблица снижения рисков с указанием: всех ресурсов, угроз для каждого, Начального риска, остаточного риска и % его снижения.
73. Современные методы и средства контроля информационных рисков.
Метод CRAMM(the UK Goverment Risk Analysis and Managment Method) был разработан Службой безопасности Великобритании (UK Security Service) по заданию Британского правительства и взят на вооружение в качестве государственного стандарта. Он используется, начиная с 1985 года, правительственными и коммерческими организациями Великобритании. К настоящему моменту CRAMM приобрел популярность во всем мире. Фирма Insight Consulting Limited занимается разработкой и сопровождением одноименного программного продукта, реализующего метод CRAMM.
В настоящее время CRAMM — это довольно мощный и универсальный инструмент, позволяющий, помимо анализа рисков, решать также и ряд других аудиторских задач, включая:
проведение обследования ИС и выпуск сопроводительной документации на всех этапах его проведения;
проведение аудита в соответствии с требованиями Британского правительства, а также стандарта BS 7799:1995 — Code of Practice for Information Security Management BS7799;
разработку политики безопасности и плана обеспечения непрерывности бизнеса.
RAMM предполагает разделение всей процедуры на три последовательных этапа. Задачей первого этапа является ответ на вопрос: «Достаточно ли для защиты системы применения средств базового уровня, реализующих традиционные функции безопасности, или необходимо проведение более детального анализа?» На втором этапе производится идентификация рисков и оценивается их величина. На третьем этапе решается вопрос о выборе адекватных контрмер.
Методика CRAMM для каждого этапа определяет набор исходных данных, последовательность мероприятий, анкеты для проведения интервью, списки проверки и набор отчетных документов.
Если по результатам проведения первого этапа, установлено, что уровень критичности ресурсов является очень низким и существующие риски заведомо не превысят некоторого базового уровня, то к системе предъявляется минимальный набор требований безопасности. В этом случае большая часть мероприятий второго этапа не выполняется, а осуществляется переход к третьему этапу, на котором генерируется стандартный список контрмер для обеспечения соответствия базовому набору требований безопасности.
На втором этапе производится анализ угроз безопасности и уязвимостей. Исходные данные для оценки угроз и уязвимостей аудитор получает от уполномоченных представителей организации в ходе соответствующих интервью. Для проведения интервью используются специализированные опросники.
На третьем этапе решается задача управления рисками, состоящая в выборе адекватных контрмер. Решение о внедрении в систему новых механизмов безопасности и модификации старых принимает руководство организации, учитывая связанные с этим расходы, их приемлемость и конечную выгоду для бизнеса. Задачей аудитора является обоснование рекомендуемых контрмер для руководства организации.
К недостаткам метода CRAMM можно отнести следующее:
Использование метода CRAMM требует специальной подготовки и высокой квалификации аудитора.
CRAMM в гораздо большей степени подходит для аудита уже существующих ИС, находящихся на стадии эксплуатации, нежели чем для ИС, находящихся на стадии разработки.
Аудит по методу CRAMM — процесс достаточно трудоемкий и может потребовать месяцев непрерывной работы аудитора.
Программный инструментарий CRAMM генерирует большое количество бумажной документации, которая не всегда оказывается полезной на практике.
CRAMM не позволяет создавать собственные шаблоны отчетов или модифицировать имеющиеся.
Возможность внесения дополнений в базу знаний CRAMM недоступна пользователям, что вызывает определенные трудности при адаптации этого метода к потребностям конкретной организации.
ПО CRAMM существует только на английском языке.
Высокая стоимость лицензии.
Программное обеспечение RiskWatch, разрабатываемое американской компанией RiskWatch, является мощным средством анализа и управления рисками. В семейство RiskWatch входят программные продукты для проведения различных видов аудита безопасности. Оно включает в себя следующие средства аудита и анализа рисков:
RiskWatch for Physical Security — для физических методов защиты ИС;
RiskWatch for Information Systems — для информационных рисков;
HIPAA-WATCH for Healthcare Industry — для оценки соответствия требованиям стандарта HIPAA;
RiskWatch RW17799 for ISO17799 — для оценки требованиям стандарта ISO17799.
RiskWatch помогает провести анализ рисков и сделать обоснованный выбор мер и средств защиты. Используемая в программе методика включает в себя 4 фазы:
Первая фаза — определение предмета исследования. На данном этапе описываются общие параметры организации — тип организации, состав исследуемой системы, базовые требования в области безопасности. Описание формализуется в ряде подпунктов, которые можно выбрать для более подробного описания или пропустить.
Вторая фаза — ввод данных, описывающих конкретные характеристики системы. Данные могут вводиться вручную или импортироваться из отчетов, созданных инструментальными средствами исследования уязвимости компьютерных сетей. На этом этапе подробно описываются ресурсы, потери и классы инцидентов.
Третья фаза — оценка рисков. Сначала устанавливаются связи между ресурсами, потерями, угрозами и уязвимостями, выделенными на предыдущих этапах. Для рисков рассчитываются математические ожидания потерь за год по формуле: m=p * v, где p — частота возникновения угрозы в течение года, v — стоимость ресурса, который подвергается угрозе.
Четвертая фаза — генерация отчетов. Типы отчетов: краткие итоги; полные и краткие отчеты об элементах, описанных на стадиях 1 и 2; отчет о стоимости защищаемых ресурсов и ожидаемых потерь от реализации угроз; отчет об угрозах и мерах противодействия; отчет о результатах аудита безопасности.
К недостаткам RiskWatch можно отнести:
Такой метод подходит, если требуется провести анализ рисков на программно-техническом уровне защиты, без учета организационных и административных факторов. Полученные оценки рисков (математическое ожидание потерь) далеко не исчерпывают понимание риска с системных позиций — метод не учитывает комплексный подход к информационной безопасности.
ПО RiskWatch существует только на английском языке.
Высокая стоимость лицензии — от $15 000 за одно рабочее место для небольшой компании и от $125 000 за корпоративную лицензию.
Для проведения полного анализа информационных рисков, прежде всего, необходимо построить полную модель информационной системы с точки зрения ИБ. Для решения этой задачи ГРИФ, в отличие от представленных на рынке западных систем анализа рисков, довольно громоздких и часто не предполагающих самостоятельного использования ИТ-менеджерами и системными администраторами, ответственными за обеспечение безопасности информационных систем компаний, обладает простым и интуитивно понятным для пользователя интерфейсом. Однако за внешней простотой скрывается сложный алгоритм анализа рисков, учитывающий более ста параметров, который позволяет на выходе дать точную оценку существующих в информационной системе рисков, основанную на анализе особенностей практической реализации информационной системы.
Основная задача системы ГРИФ — дать возможность ИТ-менеджеру самостоятельно (без привлечения сторонних экспертов) оценить уровень рисков в информационной системе и эффективность существующей практики по обеспечению безопасности компании, а также предоставить возможность доказательно (в цифрах) убедить руководство компании в необходимости инвестиций в сферу ее информационной безопасности.
На первом этапе метода ГРИФ проводится опрос ИТ-менеджера с целью определения полного списка информационных ресурсов, представляющих ценность для компании.
На втором этапе проводится опрос ИТ-менеджера с целью ввода в систему ГРИФ всех видов информации, представляющей ценность для компании. Введенные группы ценной информации должны быть размещены пользователем на указанных на предыдущем этапе объектах хранения информации (серверах, рабочих станциях и т.д.). Заключительная фаза — указание ущерба по каждой группе ценной информации, расположенной на соответствующих ресурсах, по всем видам угроз.
На третьем этапе проходит определение всех видов пользовательских групп с указанием числа пользователей в каждой группе. Затем фиксируется, к каким группам информации на ресурсах имеет доступ каждая из групп пользователей. В заключение определяются виды (локальный и/или удаленный) и права (чтение, запись, удаление) доступа пользователей ко всем ресурсам, содержащим ценную информацию.
На четвертом этапе проводится опрос ИТ-менеджера для определения средств защиты ценной информации на ресурсах. Кроме того, в систему вводится информация о разовых затратах на приобретение всех применяющихся средств защиты информации и ежегодные затраты на их техническую поддержку, а также ежегодные затраты на сопровождение системы информационной безопасности компании.
На завершающем этапе необходимо ответить на вопросы по политике безопасности, реализованной в системе, что позволит оценить реальный уровень защищенности системы и детализировать оценки рисков.
Наличие средств информационной защиты, отмеченных на первом этапе, само по себе еще не делает систему защищенной в случае их неадекватного использования и отсутствия комплексной политики безопасности, учитывающей все аспекты защиты информации, включая вопросы организации защиты, физической безопасности, безопасности персонала, непрерывности ведения бизнеса и т.д.
Оценка рисков нарушения информационной безопасности
Деятельность любой современной компании невозможно представить без активного использования информации и информационных технологий. Информация стала одним из важнейших активов, находящихся в распоряжении компаний. Все это порождает новый, принципиально отличающийся от привычных финансовых, юридических и других класс рисков для деятельности организаций – рисков нарушения информационной безопасности.
А если есть риски – ими надо управлять. Такой подход заложен в основу современных международных и отечественных стандартов в области обеспечения ИБ.
Начать сначала
Начать, пожалуй, следует с выбора методики, по которой будет проводиться оценка рисков. На сегодняшний день недостатка в таких методиках оценки рисков нарушения информационной безопасности нет. Это, к примеру, OCTAVE, CRAMM, RA2, отраслевая методика Банка России РС БР ИББС 2.2 – вот лишь немногие из них. Методики можно разделить на качественные и количественные, в зависимости от шкал, применяемых для оценки вероятности реализации угрозы и тяжести последствий от её реализации. Кроме того, отличия методик заложены в подходах (базовый уровень или детальная оценка рисков) и процедурах оценки рисков. Для некоторых методик разработаны инструментальные средства, содержащие базу знаний по рискам и механизмы их минимизации.
Независимо от выбранной методики, процесс управления рисками ИБ будет включать в себя выполнение следующих задач:
- определение области оценки рисков;
- оценка рисков;
- обработка рисков;
- мониторинг и контроль;
- совершенствование процесса.
Также перед началом работ по оценке рисков необходимо создать организационную структуру по управлению рисками, и разработать Политику управления рисками ИБ. В ней должны быть отражены такие вопросы, как цели и процессы управления рисками (в соответствии с выбранной методологией), критерии управления рисками (включая критерии оценки ущерба, оценки рисков и принятия рисков), функциональные роли по оценке рисков.
Составляющие
В область оценки рисков могут входить бизнес-процессы, элементы инфраструктуры, информационные активы, сервисы, персонал и т.д. На практике для организаций, которые впервые проводят оценку рисков, целесообразно ограничить область оценки, например, одним из вспомогательных бизнес-процессов или даже конкретным информационным активом. Иначе говоря, выполнить пилотный проект. Такое ограничение позволит «обкатать» и, при необходимости, доработать применяемую методику, довести до ума шаблоны документов, а также практически безболезненно наступить на все остальные грабли, разбросанные на пути внедрения системы управления рисками ИБ.
Впоследствии область оценки рисков должна охватить всю организацию в целом (по крайней мере, ту её часть, на которую распространяется действие системы управления информационной безопасностью — СУИБ).
Идентификация активов
На этапе оценки рисков мы должны идентифицировать информационные активы, входящие в область оценки; определить ценность этих активов; определить перечень угроз и вероятность их реализации; произвести оценивание и ранжирование рисков.
Начнем с идентификации информационных активов. Информационный актив – это любая информация, независимо от вида её представления, имеющая ценность для организации и находящаяся в её распоряжении. У каждой организации свой набор активов, относящихся к тому или иному типу, например:
- персональные данные;
- стратегическая информация, необходимая для достижения бизнес-целей;
- ноухау;
- коммерческая тайна;
- служебная тайна и т.д.
Для каждого актива необходимо определить владельца, который несет за него ответственность.
Стоит заметить, что на данном этапе большим подспорьем может служить документированное описание бизнес-процессов организации. Это позволит нам быстро идентифицировать информационные активы, вовлеченные в конкретный бизнес-процесс, а также определить задействованный в нем персонал. Если же бизнес-процессы в организации не документированы, то самое время начать это делать. Помимо практической пользы при внедрении системы управления рисками ИБ и СУИБ, перенос бизнес-процессов «на бумагу» часто помогает увидеть возможности по их оптимизации.
Определение ценности активов, а точнее, оценка степени тяжести последствий (СТП) от утраты активом свойств информационной безопасности — конфиденциальности, целостности или доступности — необходима нам для того, чтобы ответить на следующие вопросы: Сколько нам будет стоить «простой» системы в течение времени, требующегося на её восстановление? Каков будет ущерб, если эта информация станет известной конкурентам?
Цена и ценности
В рамках пилотного проекта по созданию системы управления рисками ИБ наиболее целесообразной является качественная оценка ценности информационного актива со стороны владельца. При этом, в зависимости от потребностей организации, её размера или иных факторов, качественная шкала оценки может использовать такие слова, как «незначительный», «низкий», «средний», «высокий», «критический», под которыми подразумевается определенный интервал количественной шкалы оценки. Например, «незначительный» — менее 10 тыс. рублей, «низкий» — от 10 до 100 тыс. рублей и т.д.
Впрочем, существуют специальные методики, используемые оценочными компаниями для количественной оценки стоимости нематериальных активов на основе рыночного, доходного или затратного подходов. Однако их применение часто требует привлечения профессиональных оценщиков, так как в подавляющем большинстве случаев специалисты подразделений ИБ не обладают подобными знаниями.
Опять же, в рамках пилотного проекта имеет смысл анализировать только высокоуровневые риски, постепенно повышая детализацию и глубину анализа в последующих оценках. Этим принципом мы будем руководствоваться при составлении перечня угроз, если в организации нет утвержденной Модели угроз, которую можно взять за основу. Угрозы могут иметь природное или техногенное происхождение, могут быть случайными или преднамеренными. Типовые перечни угроз приведены в приложениях к стандартам ISO 27005, BS 7799-3 и РС БР ИББС 2.2. Для определения степени вероятности реализации (СВР) той или иной угрозы на данном этапе можно воспользоваться качественной экспертной оценкой.
Переход на количественные шкалы, безусловно, позволяет сделать результаты оценки рисков более точными, однако предполагает наличие некоего уровня зрелости существующих процессов управления ИБ и оценки рисков и не всегда оправдан. Тем не менее, если в организации существует функционирующая система менеджмента инцидентов, фиксируются данные о частоте реализации той или иной угрозы, то грех не воспользоваться подобной информацией.
Оценивание риска, в общем случае, происходит путем сопоставления оценок СТП с оценкой СВР угроз ИБ (иногда к ним добавляется оценка уязвимостей).
Для оценивания рисков нарушения ИБ, в зависимости от потребностей организации и критериев, определенных в Политике, может быть использована простая качественная шкала («допустимый», «недопустимый»), более продвинутая качественная шкала (например, «критический», «высокий», «средний», «приемлемый») или даже количественная шкала, выраженная в процентах или деньгах (таблица 1).
Моделирование угроз ИБ: различные подходы
Основой управления информационной безопасностью предприятия является анализ рисков . Фактически риск представляет собой интегральную оценку того, насколько эффективно существующие средства защиты способны противостоять информационным атакам .
Обычно выделяют две основные группы методов расчёта рисков безопасности. Первая группа позволяет установить уровень риска путём оценки степени соответствия определённому набору требований по обеспечению информационной безопасности . В качестве источников таких требований могут выступать (рис. 3.1):
- Нормативно-правовые документы предприятия, касающиеся вопросов информационной безопасности ;
- Требования действующего российского законодательства — руководящие документы ФСТЭК (Гостехкомиссии), СТР-К, требования ФСБ РФ, ГОСТы и др.;
- Рекомендации международных стандартов — ISO 17799 , OCTAVE , CoBIT и др.;
- Рекомендации компаний-производителей программного и аппаратного обеспечения — Microsoft , Oracle , Cisco и др.
Вторая группа методов оценки рисков информационной безопасности базируется на определении вероятности реализации атак, а также уровней их ущерба . В данном случае значение риска вычисляется отдельно для каждой атаки и в общем случае представляется как произведение вероятности проведения атаки на величину возможного ущерба от этой атаки . Значение ущерба определяется собственником информационного ресурса, а вероятность атаки вычисляется группой экспертов, проводящих процедуру аудита.
Методы первой и второй группы могут использовать количественные или качественные шкалы для определения величины риска информационной безопасности . В первом случае риск и все его параметры выражаются в числовых значениях. Так, например, при использовании количественных шкал вероятность проведения атаки может выражаться числом в интервале , а ущерб атаки может задаваться в виде денежного эквивалента материальных потерь, которые может понести организация в случае успешного проведения атаки . При использовании качественных шкал числовые значения заменяются на эквивалентные им понятийные уровни. Каждому понятийному уровню в этом случае будет соответствовать определённый интервал количественной шкалы оценки. Количество уровней может варьироваться в зависимости от применяемых методик оценки рисков . В таблицах 3.1 и 3.2 приведены примеры качественных шкал оценки рисков информационной безопасности , в которых для оценки уровней ущерба и вероятности атаки используется пять понятийных уровней.
№ | Уровень ущерба | Описание |
---|---|---|
1 | Малый ущерб | Приводит к незначительным потерям материальных активов , которые быстро восстанавливаются, или к незначительному влиянию на репутацию компании |
2 | Умеренный ущерб | Вызывает заметные потери материальных активов или к умеренному влиянию на репутацию компании |
3 | Ущерб средней тяжести | Приводит к существенным потерям материальных активов или значительному урону репутации компании |
4 | Большой ущерб | Вызывает большие потери материальных активов и наносит большой урон репутации компании |
5 | Критический ущерб | Приводит к критическим потерям материальных активов или к полной потере репутации компании на рынке, что делает невозможным дальнейшую деятельность организации |
При использовании качественных шкал для вычисления уровня риска применяются специальные таблицы, в которых в первом столбце задаются понятийные уровни ущерба , а в первой строке — уровни вероятности атаки . Ячейки же таблицы, расположенные на пересечении первой строки и столбца, содержат уровень риска безопасности. Размерность таблицы зависит от количества концептуальных уровней вероятности атаки и ущерба . Пример таблицы, на основе которой можно определить уровень риска, приведён в табл. 3.3.
№ | Уровень вероятности атаки | Описание |
---|---|---|
1 | Очень низкая | Атака практически никогда не будет проведена. Уровень соответствует числовому интервалу вероятности [0, 0.25) |
2 | Низкая | Вероятность проведения атаки достаточно низкая. Уровень соответствует числовому интервалу вероятности [0.25, 0.5) |
3 | Средняя | Вероятность проведения атаки приблизительно равна 0,5 |
4 | Высокая | Атака скорее всего будет проведена. Уровень соответствует числовому интервалу вероятности (0.5, 0.75] |
5 | Очень высокая | Атака почти наверняка будет проведена. Уровень соответствует числовому интервалу вероятности (0.75, 1] |
Вероятность атаки | Очень низкая | Низкая | Средняя | Высокая | Очень высокая |
Ущерб | |||||
Малый ущерб | Низкий Риск | Низкий риск | Низкий риск | Средний риск | Средний риск |
Умеренный ущерб | Низкий Риск | Низкий риск | Средний риск | Средний риск | Высокий риск |
Ущерб средней тяжести | Низкий Риск | Средний риск | Средний риск | Средний риск | Высокий риск |
Большой ущерб | Средний риск | Средний риск | Средний риск | Средний риск | Высокий риск |
Критический ущерб | Средний риск | Высокий риск | Высокий риск | Высокий риск | Высокий риск |
При расчете значений вероятности проведения атаки , а также уровня возможного ущерба могут использоваться статистические методы , методы экспертных оценок или элементы теории принятия решений . Статистические методы предполагают анализ уже накопленных данных о реально случавшихся инцидентах, связанных с нарушением информационной безопасности . На основе результатов такого анализа строятся предположения о вероятности проведения атак и уровнях ущерба от них в других АС . Однако применение статистических методов не всегда возможно из-за отсутствия в полном объёме статистических данных о ранее проведённых атаках на информационные ресурсы АС , аналогичной той, которая выступает в качестве объекта оценки.
При использовании аппарата экспертных оценок проводится анализ результатов работы группы экспертов, компетентных в области информационной безопасности , которые на основе имеющегося у них опыта определяют количественные или качественные уровни риска. Элементы теории принятия решений позволяют применять для вычисления значения риска безопасности более сложные алгоритмы обработки результатов работы группы экспертов.
В процессе анализа рисков информационной безопасности могут использоваться специализированные программные комплексы, позволяющие автоматизировать процесс анализа исходных данных и расчёта значений рисков. Примерами таких комплексов являются «Гриф» и «Кондор» (компании » Digital Security «), британский CRAMM (компания Insight Consulting , подразделение Siemens ), американский RiskWatch (компания RiskWatch ), а также «АванГард» (Института Системного Анализа РАН).
Традиционно выделяют три основные составляющие безопасности информации:
- конфиденциальность ( confidentiality ) — сохранение информации в тайне, невозможность раскрытия информации без согласия заинтересованных сторон;
- целостность ( integrity ) — непротиворечивость и правильность информации, защита информации от неавторизованной модификации;
- доступность ( availability ) — обеспечение наличия информации и работоспособности основных услуг для пользователя в нужное для него время.
Ведутся дискуссии на тему полноты » триады CIA » для описания угроз ИБ. Существует альтернатива этой классификации — т.н. » гексада Паркера » ( Parkerian Hexad ). Помимо вышеперечисленных свойств, Дон Паркер выделяет:
- подлинность ( authenticity ) — в применении к пользователю определяет соответствие участника взаимодействия своему имени; в применении к сообщению — достоверность того, что данные были созданы заявленным источником.
- управляемость, или владение (possession or control) — гарантия того, что законный владелец является единственным лицом, во власти которого изменить информацию или получить к ней доступ на чтение
- полезность ( utility ) — «практичность», удобство доступа; нахождение информации в такой форме, что ее законный владелец не должен для получения доступа тратить неоправданных усилий (таких, как преобразование формата, подбор ключа шифрования и т.д.)
Существует также классификация 5А, горячо одобряемая известным криптографом Брюсом Шнайером:
- Authentication (аутентификация: кто ты?)
- Authorization (авторизация: что тебе можно делать?)
- Availability (доступность: можно ли получить работать с данными?)
- Authenticity (подлинность: не повреждены ли данные злоумышленником?)
- Admissibility (допустимость: являются ли данные достоверными, актуальными и полезными?)
Мы в данном курсе будем придерживаться модели угроз STRIDE , являющейся компонентом используемой Microsoft методологии SDL ( Secure Development Lifecycle ).
- Spoofing ( притворство)
- Tampering ( изменение)
- Repudiation ( отказ от ответственности)
- Information Disclosure ( утечка данных)
- Denial of Service ( отказ в обслуживании)
- Elevation of Privilege ( захват привилегий)
Данная классификация расширяет традиционный подход к оценке безопасности информации (покрытие области CIA обеспечивают компоненты Tampering + Information Disclosure + Denial of Service) и позволяет разработчику взглянуть на информационную систему с позиции злоумышленника. Далее мы будем рассматривать продукты и технологии, упорядочивая их согласно тому, от какого типа угрозы по классификации STRIDE они призваны защитить информационные ресурсы.
Краткие итоги
В данной лекции были рассмотрены принципы применения анализа рисков для управления информационной безопасностью предприятия. Проведен сравнительный анализ подходов к распознаванию угроз с использованием различных моделей: CIA , Гексада Паркера , 5A , STRIDE .