Симонов С. - Технологии и инструментарий для управления рисками
Введение
На этапе анализа рисков определяется возможность понести убытки из-за нарушения режима информационной безопасности организации, детализируются характеристики (или составляющие) рисков для информационных ресурсов и технологий. Результаты анализа используются при выборе средств защиты, оценке эффективности существующих и проектируемых подсистем информационной безопасности.
Под управлением рисками понимается процесс идентификации и уменьшения рисков, которые могут воздействовать на информационную систему.
Концепции анализа рисков, управления рисками на всех стадиях жизненного цикла информационной технологии были предложены многими крупными организациями, занимающимися проблемами информационной безопасности. Отечественные аналитики начали использовать различные методики на практике. Несколькими российскими организациями были разработаны собственные методики анализа и управления рисками, разработано собственное ПО, которое, наряду с зарубежным, имеется на отечественном рынке.
Таким образом, различные технологии анализа рисков начали реально применяться в России. Появилась возможность обобщить этот опыт, более четко очертить границы применимости различных методов в отечественных условиях.
В статье рассматривается следующий круг вопросов:
• Различные определения и постановки задач анализа рисков.
• Современные концепции управления рисками.
• Реализация методик в соответствии с этими концепциями.
• Обзор специализированного ПО анализа и управления рисков.
Комплекс вопросов, связанных с анализом рисков, был рассмотрен в [1.2.3]. Там же приведен один из вариантов определений основных понятий (риск, угроза, уязвимость). В многочисленных публикациях на эту тему предлагаются и другие постановки задач и определения основных понятий, некоторые из них приводятся в приложении.
Постановка задачи обеспечения информационной безопасности может варьироваться в широких пределах. Соответственно варьируются и постановки задач анализа рисков.
Основным фактором, определяющим отношение организации к вопросам информационной безопасности, является степень ее зрелости.
В соответствии с одной из моделей организации с позиции их зрелости, предлагаемой Carnegie Mellon University [4], выделяется 5 уровней зрелости, которым, как правило, соответствует различное понимание проблем информационной безопасности организации. (Схема 1).
Проблема обеспечения режима информационной безопасности будет ставиться (хотя бы в неявном виде) и решаться для организаций, находящихся на разных уровнях развития, по-разному.
На первом уровне она, как правило, руководством формально не ставится. Но это не значит, что она не решается сотрудниками по собственной инициативе, и возможно эффективно.
В качестве положительного примера можно привести один случай, имевший место в действительности. Сравнительно небольшая организация (порядка 80 компьютеров, 3 файл-сервера), занимающаяся рекламным бизнесом, в результате пожара в арендуемом ей здании, потеряла всю вычислительную технику и данные. Однако уже через неделю она полностью смогла восстановить свою работу. Некоторые сотрудники по своей инициативе делали копии наиболее важной информации на CD, что-то хранилось на домашних компьютерах сотрудников, что-то отправлялось по электронной почте различным адресатам и было затребовано обратно. В результате большая часть наиболее ценных информационных ресурсов была быстро восстановлена (а техника быстро закуплена), что позволило фирме успешно продолжить работу. При этом вопросы информационной безопасности руководством никогда не ставились и по-видимому ставиться не будут.
Уровень зрелости организации
Характеристика организации в области информационной безопасности
Политика в области ИБ неформализована, руководство не занимается этими вопросами Обеспечением информационной безопасности сотрудники могут заниматься по своей инициативе, в соответсвии со своим пониманием задач
Уровень 1. «Анархия»
Признаки:
- сотрудники сами определяют, что хорошо, а что плохо
- затраты и качество не прогнозируются
- отсутствует контроль изменений
- высшее руководство плохо представляет реальной положение дел
Руководство осознает задачи в области информационной безопасности В организации имеется документация (возможно неполная), относящаяся к политике информационной безопасности Руководство заинтересовано в исполнении стандартов в области информационной безопасности, оформлении документации в соответствии с ними. Осознается задача управления режимом ИБ на всех стадиях жизненного цикла информационной технологии
Уровень 3. «Стандарты»
Признаки:
- корпоративная мифология записана на бумаге
- процессы повторяемы и не зависят от личных качеств исполнителей
- информация о процессах для измерения эффективности не собирается
- наличие формализованного описания процессов не означает, что они работают
- организация начинает адаптировать свой опыт к специфике бизнеса
- производится анализ знаний и умений сотрудников с целью определения необходимого уровня компетентности
- вырабатывается стратегия развития компетентности
Уровень 4. «Измеряемый
Признаки:
- процессы измеряемы и стандартизированы
Имеется полный комплект документов, относящихся к обеспечению режима информационной безопасности, оформленный в соответствии с каким-либо стандартом Действующие инструкции соблюдаются, документы служат руководством к действию соответствующих должностных лиц Регулярно проводится внутренний (и возможно внешний) аудит в области ИБ Руководство уделяет должное внимание вопросам информационной безопасности, в частности имеет адекватное представление относительно существующих уровней угроз и уязвимостей, потенциальных потерях в случае возможных инцидентов
Уровень 5. «Оптимизируемый»
Признаки:
- фокус на повторяемости, измерении эффективности, оптимизации
- вся информация о функционировании процессов фиксируется
Руководство заинтересовано в количественной оценке существующих рисков, готово нести ответственность за выбор определенных уровней остаточных рисков, ставит оптимизированные задачи построения системы защиты информации
Схема 1. Соответствие уровня зрелости организации и ее потребностей в области информационной безопасности.
_І_
Уровень 2. «Фольклор»
Признаки:
- выявлена определенная повторяемость организационных процессов
- опыт организации представлен в виде преданий корпоративной мифологии
- знания накапливаются в виде личного опыта сотрудников и пропадают при их увольнении
-г
На уровне руководства существует определенное понимание задач обеспечения информационной безопасности
Существуют стихийно сложившиеся процедуры обеспечения информационной безопасности, их полнота и эффективность не анализируются Процедуры не документированы и полностью зависят от личностей вовлеченных в них сотрудников Руководство не ставит задач формализации процедур защиты информации
Наряду со случаями, когда все окончилось благополучно, можно привести и много иных примеров, когда пренебрежение вопросами информационной безопасности имело чрезвычайно серьезные последствия.
Тем не менее, с точки зрения руководства организации, находящейся на первом уровне зрелости, задачи обеспечения режима информационной безопасности, как правило, неактуаль-
ны. Несмотря на это, организации могут быть вполне жизнеспособными.
На втором уровне проблема обеспечения информационной безопасности решается неформально, на основе постепенно сложившейся практики. Комплекс мер (организационных и программнотехнических) позволяет защититься от наиболее вероятных угроз, как потенциально возможных, так и имевших место ранее. Вопрос относительно эффективности защиты не ставится. Таким образом, постепенно складывается неформальный список актуальных для организации классов рисков, который постепенно пополняется
Если серьезных инцидентов не происходило, руководство организации, как правило, считает вопросы информационной безопасности не приоритетными.
В случае серьезного инцидента сложившаяся система обеспечения безопасности корректируется, а проблема поиска других возможных брешей в защите может быть осознана руководством. Один из вариантов определения риска в этом случае: ситуация, когда известны уязвимости, потенциальные нарушители и их мотивация (модель нарушителя), сценарии развития событий, связанные с выявленными уязвимостями [IATF]. Для данного уровня зрелости организации типичными являются локальные (не связанные с другими этапами жизненного цикла технологии) постановки задачи анализа рисков, когда считается достаточным перечислить актуальные для данной информационной системы классы рисков и возможно описать модель нарушителя, а задача анализа вариантов контрмер, их эффективность, управление рисками, как правило, не считается актуальной.
На третьем уровне в организации считается целесообразным следовать в той или иной мере (возможно частично) стандартам и рекомендациям, обеспечивающим базовый уровень информационной безопасности (например, ISO 17799), вопросам документирования уделяется должное внимание.
Задача анализа рисков считается руководством актуальной. Анализ рисков рассматривается как один из элементов технологии управления режимом информационной безопасности на всех стадиях жизненного цикла. Понятие риска включает несколько аспектов: вероятность, угроза, уязвимость, иногда стоимость.
Один из вариантов определения риска (определенного класса) в этом случае: вероятность возникновения инцидента в результате того, что имеющаяся уязвимость (определенного класса) будет способствовать реализации угрозы (определенного класса).
Технология управления режимом информационной безопасности в полном варианте включает следующие элементы:
• Документирование информационной системы организации с позиции информационной безопасности.
• Категорирование информационных ресурсов с позиции руководства организации.
• Определение возможного воздействия различного рода происшествий в области безопасности на информационную технологию.
• Анализ рисков.
• Технология управление рисками на всех этапах жизненного цикла.
• Аудит в области информационной безопасности.
На данном уровне зрелости организации анализ рисков связан с другими компонентами технологии управления режимом информационной безопасности, подробнее эти вопросы рассматриваются в разделе «Современные концепции управления рисками».
На четвертом уровне для руководства организации актуальны вопросы измерения параметров, характеризующих режим информационной безопасности. На этом уровне руководство осознанно принимает на себя ответственность за выбор определенных величин остаточных рисков (которые остаются всегда). Риски, как правило, оцениваются по нескольким критериям (не только стоимостным).
Технология управления режимом информационной безопасности остается прежней, но на этапе анализа рисков применяются количественные методы, позволяющие оценить параметры остаточных рисков, эффективность различных вариантов контрмер при управлении рисками.
На пятом уровне ставятся и решаются различные варианты оптимизационных задач в области обеспечения режима информационной безопасности. Примеры постановок задач:
• Выбрать вариант подсистемы информационной безопасности, оптимизированной по критерию стоимость/эффективность при заданном уровне остаточных рисков.
• Выбрать вариант подсистемы информационной безопасности, при котором минимизируются остаточные риски при фиксированной стоимости подсистемы безопасности.
• Выбрать архитектуру подсистемы информационной безопасности с минимальной стоимостью владения на протяжении жизненного цикла при определенном уровне остаточных рисков.
Распределение организаций по их подходам к вопросам информационной безопасности иллюстрируют диаграммы (Рис. 1 и 2), относящиеся к развитым зарубежным странам (заимствованы из обзора компании Эрнст энд Янг).
В Табл. 1 показано, какие критерии используются организациями для оценки системы информационной безопасности (если они используются).
либо подходы к оценке системы информационной безопасности, применяют стандартные рекомендации и руководства класса «good practice», относящиеся к базовому уровню информационной безопасности. Эти организации используют или планируют использовать систему управления рисками базового уровня (или ее элементы) на всех стадиях жизненного цикла информационной технологии.
Организации, относящиеся к четвертому и пятому уровням зрелости, составляющие в настоящее время не более 7% от общего числа, используют разнообразные «углубленные» методики анализа рисков, обладающие дополнительными возможностями по сравнению с методиками базового уровня.
Такого рода дополнения, обеспечивающие возможность количественного анализа и оптимизации подсистемы информационной безопасности в различной постановке, в официальных руководствах не регламентируются.
В России доля организаций, относящихся к третьему, четвертому и пятому уровням зрелости, еще меньше. Соответственно наиболее востребованными в настоящее время являются простейшие методики анализа рисков, являющиеся частью методик управления рисками базового уровня.
Потребителями количественных методик анализа рисков в России являются в основном компании финансового профиля, для которых информационные ресурсы представляют большую ценность. Их немного, но они готовы вкладывать существенные ресурсы в разработку собственных (приемлемых для них) количественных методик.
2. Современные концепции управления рисками_
Наличие системы управления рисками (Risk Management) является обязательным компонентом общей системы обеспечения информационной безопасности на всех этапах жизненного цикла. Организации, начиная с третьего уровня зрелости, применяют какой-либо вариант системы управления рисками. Многие зарубежные национальные институты стандартов, организации, специализирующиеся в решении комплексных проблем информационной безопасности предложили схожие концепции управления информационными рисками. В [1] были рассмотрены концепции Британского стандарта BS 7799 и Германского BSI. Рассмотрим концепции, опубликованные национальным институтом стандартов США (NIST) [5] и организацией MITRE [6].
2.1. Управление рисками в соответствии со стандартом NIST 800-30
Система управления (информационными) рисками организации должна минимизировать возможные
Фаза жизненного цикла информационной технологии
1. Предпроектная стадия ИС
(концепция данной ИС: определение целей и задач и их документирование)
2. Проектирование ИС
3. Создание ИС: поставка элементов, монтаж, настройка и конфигурирование
4. Функционирование ИС
5. Прекращение функционирования ИС (информационные и вычислительные ресурсы более не используются по назначению и утилизируются)
Соответствие фазе управления рисками
Выявление основных классов рисков для данной ИС, вытекающих из целей и задач, концепция обеспечения ИБ
Выявление рисков, специфичных для данной ИС (вытекающих из особенностей архитектуры ИС)
До начала функционирования ИС должны быть идентифицированы и приняты во внимания все классы рисков
Периодическая переоценка рисков, связанная с изменениями внешних условий и в конфигурации ИС
Соблюдение требований информационной безопасности по отношению к выводимым информационным ресурсам
Табл. 2. Управление рисками на различных стадиях жизненного цикла информационной технологии
негативные последствия, связанные с использованием информационных технологий и обеспечить возможность выполнения основных бизнес-целей предприятия.
Система управления рисками должна быть интегрирована в систему управления жизненным циклом информационной технологии (Табл. 2).
В соответствии с [5] технология управления рисками должна включать следующие основные стадии (рис. 3).
2.2. Концепция управления рисками MITRE
Организацией MITRE [6] была предложена концепция управления рисками при построении различных систем (не только информационных). В целом эта концепция близка к рассмотренной выше. MITRE бесплатно распространяет простейший инструментарий на базе электронной таблицы, предназначенный для использования на этапе идентификации и оценки рисков, выбора возможных контрмер в соответствии с этой концепцией — «Risk Matrix» [7].
В данной концепции риск не разделяется на составляющие части (угрозы и уязвимости), что в некоторых случаях может оказаться более удобным с точки зрения владельцев информационных ресурсов. Например, в России в настоящее время на этапе анализа рисков (если он вообще выполняется) весьма распространено построение модели нарушителя с прямой экспертной оценкой рисков. По этой причине простейшие методики и инструменты типа «Risk Matrix» наиболее востребованы в настоящее время на Российском рынке.
3. Реализация концепции управления рисками на практике_
Опубликованные документы различных организаций, касающиеся управления рисками, не содержат ряда важных деталей, которые обязательно надо конкретизировать при разработке применимых на практике методик. Конкретизация этих деталей зависит от уровня зрелости организации, специфики ее деятельности и некоторых других факторов. Таким образом, невозможно предложить единую, приемлемую для всех, универсальную методику, соответствующую некоторой концепции управления рисками.
Рассмотрим типичные вопросы, возникающие при реализации концепции управления рисками и возможные подходы к их решению.
3.1 Идентификация рисков
В любой методике необходимо идентифицировать риски, как вариант — их составляющие (угрозы и уязвимости). Естественным требованием к списку является его полнота.
Сложность задачи составления списка и доказательство его полноты зависит от того, какие требования предъявляются к детализации списка.
На базовом уровне безопасности (третий уровень зрелости организации) специальных требований к детализации классов, как правило, не предъявляется и достаточно использовать какой-либо подходящий в данном случае стандартный список классов рисков.
Примером является Германский стандарт BSI, в котором имеется каталог угроз применительно к различным элементам информационной технологии.
Исходная информация
Стадии управления рисками
Выходные документы
Цели ИС и основные функции Информационные ресурсы Описание интерфейсов ИС и входящих/исходящих потоков Персонал, его функции
Имевшие место инциденты в области ИБ (история)
ДАнные по инцидентам в аналогичных системах (отечественный и зарубежный опыт)
Документация по предыдущей оценке рисков Требования в области ИБ Данные по аудиту ИБ данной ИС
Документация, относящаяся к имеющейся и планируемой системе управления информационной технологией
Модель нарушителя Цены потерь (при различных сценариях реализации угроз). Оценка уязвимостей Существующая система управления рисками
Возможные последствия нарушения ИБ с позиции основных целей системы
Оценка критичности ресурсов Критичные данные
Границы системы Функции системы Критичные элементы ИС Классификация данных с позиции ИБ
Класс угроз для данной ИС
Описание системы управления информационной системой (имеющихся и планируемой)
Ранжированные по степени опасности последствия нарушения режима ИБ
Ранжированный список рисков
Отчетные документы
Оценка величины рисков не рассматривается, что приемлемо для некоторых разновидностей методик базового уровня.
Списки классов рисков содержатся в некоторых руководствах, в специализированном ПО анализа рисков. Классификация рисков, используемая в методе CRAMM, была рассмотрена в [1], в [8] даны другие примеры классификаций.
Достоинством подобных списков является их полнота: классов, как правило, немного (десятки), они достаточно широкие и заведомо покрывают всё существующее множество рисков.
Недостаток — сложность оценки уровня риска и эффективности контрмер для широкого класса, поскольку подобные расчеты удобнее проводить по более узким (конкретным) классам рисков. К примеру, класс рисков «неисправность маршрутизатора» может быть разбит на множество подклассов, включающих возможные виды неисправности (уязвимости) ПО конкретного маршрутизатора и неисправности оборудования.
3.2. Оценивание рисков
Рассмотрим следующие аспекты:
• Шкалы и критерии, по которым можно измерять риски.
• Оценку вероятностей событий.
• Технологии измерения рисков.
3.2.1. Шкалы и критерии, по которым измеряются риски
Для измерения какого-либо свойства необходимо выбрать шкалу. Шкалы могут быть прямыми (естественными) или косвенными (производными). Примерами прямых шкал являются шкалы для измерения физических величин, например, литры для измерения объемов, метры для измерения длины.
В ряде случаев прямых шкал не существует, приходится использовать либо прямые шкалы других свойств, связанных с интересующими нас, либо определять новые шкалы. Примером является шкала для измерения субъективного свойства «ценность информационного ресурса». Она может измеряться в производных шкалах, таких как стоимость восстановления ресурса, время восстановления ресурса и других. Другой вариант — определить шкалу для получения экспертной оценки, например, имеющую три значения:
• Малоценный информационный ресурс: от него не зависят критически важные задачи и он может быть восстановлен с небольшими затратами времени и денег.
• Ресурс средней ценности: от него зависит ряд важных задач, но в случае его утраты он может быть восстановлен за время менее, чем критически допустимое, стоимость восстановления высокая.
• Ценный ресурс: от него зависят критически важные задачи, в случае утраты время восстановления превышает критически допустимое, либо стоимость чрезвычайно высока.
Для измерения рисков не существует естественной шкалы.
Риски можно оценивать по объективным либо субъективным критериям.
Примером объективного критерия является вероятность выхода из строя какого-либо оборудования, например, ПК за определенный промежуток времени.
Примером субъективного критерия является оценка владельцем информационного ресурса риска выхода из строя ПК. Для этого обычно разрабатывается качественная шкала с несколькими градациями, например: низкий, средний, высокий уровени.
В методиках анализа рисков, как правило, используются субъективные критерии, измеряемые в качественных шкалах, поскольку:
• Оценка должна отражать субъективную точку зрения владельца информационных ресурсов.
• Должны быть учтены различные аспекты, не только технические, но и организационные, психологические, и т.д.
Для получения субъективной оценки в рассматриваемом примере с оценкой риска выхода из строя ПК, можно использовать либо прямую экспертную оценку, либо определить функцию, отображающую объективные данные (вероятность) в субъективную шкалу рисков.
Субъективные шкалы могут быть количественными и качественными, но на практике, как правило, используются качественные шкалы с 3-7 градациями. С одной стороны, это просто и удобно, с другой — требует грамотного подхода к обработке данных.
3.2.2 Объективные и субъективные вероятности
Термин «вероятность» имеет несколько различных значений. Наиболее часто встречаются два толкования этого слова, которые обозначаются сочетанием «объективная вероятность» и «субъективная вероятность». Под объективной (иногда называемой физической) вероятностью понимается относительная частота появления какого-либо события в общем объеме наблюдений или отношение числа благоприятных исходов к общему их количеству. Объективная вероятность возникает при анализе результатов большого числа наблюдений, имевших место в прошлом, а также как следствия из моделей, описывающих некоторые процессы.
Под субъективной вероятностью понимается мера уверенности некоторого человека или группы людей в том, что данное событие в действительности будет иметь место.
Как мера уверенности человека в возможности наступления события субъективная вероятность может быть формально представлена различными способами: вероятностным распределением на множестве событий, бинарным отношением на множестве событий, неполностью заданным вероятностным распределением или бинарным отношением и другими способами. Наиболее часто субъективная вероятность представляет собой вероятностную меру, полученную экспертным путем.
Именно в этом смысле мы и будем понимать субъективную вероятность в дальнейшем.
Субъективная вероятность в современных работах в области системного анализа не просто представляет меру уверенности на множестве событий, а увязывается с системой предпочтений лица, принимающего решения (ЛПР), и в конечном итоге с функцией полезности, отражающей его предпочтения на множестве альтернатив.
Тесная связь между субъективной вероятностью и полезностью используется при построении некоторых методов получения субъективной вероятности.
3.2.3. Получение оценок субъективной вероятности
Процесс получения субъективной вероятности принято разделять на три этапа:
• Подготовительный этап.
• Получение оценок.
• Этап анализа полученных оценок.
Первый этап. Во время этого этапа формируется объект исследования — множество событий, проводится предварительный анализ свойств этого множества (устанавливается зависимость или независимость событий, дискретность или непрерывность случайной величины, порождающей данное множество событий). На основе такого анализа выбирается один из подходящих методов (подробно рассматриваются в [8] ) получения субъективной вероятности.
На этом же этапе производится подготовка эксперта или группы экспертов, ознакомление их с методом и проверка понимания поставленной задачи экспертами.
Второй этап состоит в применении метода, выбранного на первом этапе. Результатом этого этапа является набор чисел, который отражает субъективный взгляд эксперта или группы экспертов на вероятность того или иного события, однако далеко не всегда может считаться окончательно полученным распределением, поскольку может быть противоречивым.
Третий этап состоит в исследовании результатов опроса. Если вероятности, полученные от экспертов, не согласуются с аксиомами вероятности, то на это обращается внимание экспертов и производится уточнение ответов с целью их соответствия аксиомам.
Для некоторых методов получения субъективной вероятности третий этап не проводится, поскольку сам метод состоит в выборе вероятного распределения, подчиняющегося аксиомам вероятности, которое в том или другом смысле наиболее близко к оценкам экспертов. Особую важность третий этап приобретает при агрегировании оценок, полученных от группы экспертов. Более подробно технология агрегирования групповых оценок применительно к факторам риска рассмотрена в [8].
3.2.4. Измерение рисков
Существует ряд подходов к измерению рисков. Рассмотрим наиболее распространенные:
• Оценка по двум факторам;
• Оценка по трем факторам.
3.2.4.1 Оценка рисков по двум факторам
В простейшем случае используется оценка двух факторов: вероятность происшествия и тяжесть возможных последствий. Обычно считается, что риск тем больше, чем больше вероятность происшествия и тяжесть последствий. Общая идея может быть выражена формулой:
РИСК =
рпроисшествия * Ц
ЕНА потери
Если переменные являются количественными величинами — риск это оценка математического ожидания потерь.
Если переменные являются качественными величинами, то метрическая операция умножения не определена. Таким образом, в явном виде эта формула использоваться не должна. Рассмотрим вариант использования качественных величин (наиболее часто встречающаяся ситуация).
Вначале должны быть определены шкалы.
Определяется субъективная шкала вероятностей событий, пример такой шкалы [5]:
A — Событие практически никогда не происходит.
B — Событие случается редко.
Negligible
Minor
Moderate
Serious
Critical
A
Низкий риск
Низкий риск
Низкий риск
Средний риск
Средний риск
B
Низкий риск
Низкий риск
Средний риск
Средний риск
Высокий риск
C
Низкий риск
Средний риск
Средний риск
Средний риск
Высокий риск
D
Средний риск
Средний риск
Средний риск
Средний риск
Высокий риск
E
Средний риск
Высокий риск
Высокий риск
Высокий риск
Высокий риск
Табл. 3. Определение риска в зависимости от двух факторов.
C — Вероятность события за рассматриваемый промежуток времени — около 0.5.
D — Скорее всего событие произойдет.
E — Событие почти обязательно произойдет.
Кроме того, определяется субъективная шкала серьезности происшествий, например, в соответствии с [5]:
N (Negligible) — Воздействием можно пренебречь.
Mi (Minor) — Незначительное происшествие: последствия легко устранимы, затраты на ликвидацию последствий не велики, воздействие на информационную технологию -незначительно.
Mo (Moderate) — Происшествие с умеренными результатами: ликвидация последствий не связана с крупными затратами, воздействие на информационную технологию не велико и не затрагивает критически важные задачи.
S (Serious) — Происшествие с серьезными последствиями: ликвидация последствий связана со значительными затратами, воздействие на информационные технологии ощутимо, воздействует на выполнение критически важных задач.
C (Critical) — Происшествие приводит к невозможности решения критически важных задач.
Для оценки рисков определяется шкала из трех значений:
• Низкий риск.
• Средний риск.
• Высокий риск.
Риск, связанный с определенным событием, зависит от двух факторов и может быть определен так [5] — Табл. 3.
Шкалы факторов риска и сама таблица могут быть определены иначе, иметь другое число градаций.
Подобный подход к оценке рисков достаточно распространен.
При разработке (использовании) методик оценки рисков необходимо учитывать следующие особенности:
• Значения шкал должны быть четко определены (словесное описание) и пониматься одинаково всеми участниками процедуры экспертной оценки.
• Требуются обоснования выбранной таблицы. Необходимо убедиться, что разные инциденты, характеризующиеся одинаковыми сочетаниями факторов риска, имеют с точки зрения экспертов одинаковый уровень рисков. Для этого существуют специальные процедуры проверки, подробности можно посмотреть в [8].
Подобные методики широко применяются при проведении анализа рисков базового уровня.
3.2.4.2 Оценка рисков по трем факторам.
В зарубежных методиках, рассчитанных на более высокие требования, чем базовый уровень, используется модель оценки риска с тремя факторами: угроза, уязвимость, цена потери. Угроза и уязвимость определяются следующим образом:
Угроза — совокупность условий и факторов, которые могут стать причиной нарушения целостности, доступности, конфиденциальности информации.
Уязвимость — слабость в системе защиты, которая делает возможным реализацию угрозы.
Вероятность происшествия, которая в данном подходе может быть объективной либо субъективной величиной, зависит от уровней (вероятностей) угроз и уязвимостей:
Р = Р * Р
Рпроисшествия
Ругрозы
Руязвимости
Соответственно риск определяется следующим образом:
РИСК =
Ругрозы *
Руязвимости *
ЦЕНА ПОТЕРИ
Данное выражение можно рассматривать как математическую формулу, если используются количественные шкалы, либо как формулировку общей идеи, если хотя бы одна из шкал — качественная. В последнем случае используются различного рода табличные методы для определения риска в зависимости от трех факторов.
Степень серьезности происшествия (цена потери)
Низкий
Уровни уязвимостей
Уровень угрозы Средний
Уровни уязвимостей
Высокий
Уровни уязвимостей
Negligible
Minor
Moderate
Serious
Critical
Табл. 4. Определение риска в зависимости от трех факторов
Например, показатель риска измеряется в шкале от 0 до 8 со следующими определениями уровней риска:
1 риск практически отсутствует. Теоретически возможны ситуации, при которых событие наступает, но на практике это случается редко, а потенциальный ущерб сравнительно невелик.
2 риск очень мал. События подобного рода случались достаточно редко, кроме того, негативные последствия сравнительно невелики.
8 риск очень велик. Событие скорее всего наступит, и последствия будут чрезвычайно тяжелыми.
Матрица может быть определена следующим образом — Табл. 4. В данной таблице уровни уязвимости Н, С, В означают соответственно: низкий, средний, высокий уровни. Некоторые другие варианты таблиц рассмотрены в [2].
Подобные таблицы используются как в «бумажных» вариантах методик оценки рисков, так и в различного рода инструментальных средствах — ПО анализа рисков.
В последнем случае матрица задается разработчиками ПО и, как правило, не подлежит корректировке. Это один из факторов, ограничивающих точность подобного рода инструментария.
3.2.5 Технология оценки угроз и уязвимостей
Для оценки угроз и уязвимостей используются различные методы, в основе которых могут лежать:
• Экспертные оценки.
• Статистические данные.
• Учет факторов, влияющих на уровни угроз и уязвимостей.
Один из возможных подходов к разработке подобных методик — накопление статистических данных о реально случившихся происшествиях, анализ и классификация их причин, выявление факторов, от которых они зависят. На основе этой информации можно оценить угрозы и уязвимости в других информационных системах.
Практические сложности в реализации этого подхода следующие:
Во-первых, должен быть собран весьма обширный материал о происшествиях в этой области.
Во-вторых, применение этого подхода оправдано далеко не всегда. Если информационная система достаточно крупная (содержит много элементов, расположена на обширной территории), имеет давнюю историю, то подобный подход, скорее всего, применим. Если система сравнительно невелика, использует новейшие элементы технологии (для которых пока нет достоверной статистики), оценки угроз и уязвимостей могут оказаться недостоверными.
Наиболее распространенным в настоящее время является подход, основанный на учете различных факторов, влияющих на уровни угроз и уязвимостей. Такой подход позволяет абстрагироваться от малосущественных технических деталей, учесть не только программно-технические, но и иные аспекты.
Рассмотрим пример реализации подобного подхода, используемого в методе CRAMM 4.0 для одного из классов рисков: «Использование чужого идентификатора сотрудниками организации («маскарад»)».
Для оценки угроз выбраны следующие косвенные факторы:
• Статистика по зарегистрированным инцидентам.
• Тенденции в статистке по подобным нарушениям.
• Наличие в системе информации, представляющей интерес для потенциальных внутренних или внешних нарушителей.
• Моральные качества персонала.
• Возможность извлечь выгоду из изменения обрабатываемой в системе информации.
• Наличие альтернативных способов доступа к информации.
• Статистика по подобным нарушениям в других информационных системах организации.
Для оценки уязвимостей выбраны следующие косвенные факторы:
• Количество рабочих мест (пользователей) в системе.
• Размер рабочих групп.
• Осведомленность руководства о действиях сотрудников (разные аспекты).
• Характер используемого на рабочих местах оборудования и ПО.
• Полномочия пользователей.
По косвенным факторам предложены вопросы и несколько фиксированных вариантов ответов, которые «стоят» определенное количество баллов. Итоговая оценка угрозы и уязвимости данного класса определяется путем суммирования баллов.
Оценка угрозы
Ответьте на вопросы
1. Сколько раз за последние 3 года сотрудники организации пытались получить несанкционированный доступ к хранящейся в информационной системе информации с использованием прав других пользователей?
Варианты ответов
a
Ни разу
0
b
Один или два раза
10
c
В среднем раз в год
20
d
В среднем чаще одного раза в год
30
e
Неизвестно
10
2. Какова тенденция в статистике такого рода попыток несанкционированного проникновения в информационную систему?
Варианты ответов
a
К возрастанию
10
b
Оставаться постоянной
0
c
К снижению
-10
3. Хранится ли в информационной системе информация (например, личные дела), которая может представлять интерес для сотрудников организации и побуждать их к попыткам несанкционированного доступа к ней?
Варианты ответов
a Да 5
b Нет 0
4. Известны ли случаи нападения, угроз, шантажа, давления на сотрудников со стороны посторонних лиц?
Варианты ответов
a Да 10
b Нет 0
5. Существуют ли среди персонала группы лиц или отдельные лица с недостаточно высокими моральными качествами?
Варианты ответов
a Нет, все сотрудники отличаются высокой честностью и порядочностью 0
b Существуют группы лиц и отдельные личности с недостаточно высокими моральными качествами, но это вряд ли может спровоцировать их на несанкционированное использование системы 5
c Существуют группы лиц и отдельные
личности с настолько низкими моральными качествами, что это повышает вероятность несанкционированного использования системы сотрудниками 10
6. Хранится ли в информационной системе информация, несанкционированное изменение которой может принести прямую выгоду сотрудникам?
Варианты ответов
a Да 5
b Нет 0
7. Предусмотрена ли в информационной системе поддержка пользователей, обладающих техническими возможностями совершить подобные действия?
Варианты ответов
a Нет 0
b Да 5
8. Существуют ли другие способы просмотра информации, позволяющие злоумышленнику добраться до нее более простыми методами, чем с использованием «маскарада»?
Варианты ответов
a Да -10
b Нет 0
9. Существуют ли другие способы несанкционированного изменения информации, позволяющие злоумышленнику достичь желаемого результата более простыми методами, чем с использованием «маскарада»?
Варианты ответов
a Да -10
b Нет 0
10.Сколько раз за последние 3 года сотрудники пытались получить несанкционированный доступ к информации, хранящейся в других подобных системах в вашей организации?
Варианты ответов
a Ни разу
0
b Один или два раза
5
c В среднем раз в год
10
d В среднем чаще одного раза в год 15
e Неизвестно
10
Степень угрозы при количестве баллов:
До 9
Очень низкая
От 10 до 19
Низкая
От 20 до 29
Средняя
От 30 до 39
Высокая
40 и более
Очень высокая
Оценка уязвимости
Ответьте на вопросы:
1. Сколько людей имеют право информационной системой?
пользоваться
Варианты ответов a От 1 до 10
0
b От 11 до 50
4
c От 51 до 200
10
d От 200 до 1000
14
e Свыше 1000
20
2. Будет ли руководство осведомлено о том, что люди, работающие под их началом, ведут
себя необычным образом?
Варианты ответов a Да
0
b Нет
10
3. Какие устройства и программы доступны пользователям?
Варианты ответов а Только терминалы или сетевые контроллеры, ответственные за предоставление и маршрутизацию информации, но не за передачу данных -5 b Только стандартные офисные
4. Возможны ли ситуации, когда сотрудникам, предупрежденным о предстоящем сокращении или увольнении, разрешается логический доступ к информационной системе?
Варианты ответов
a Да 10
b Нет 0
5. Каковы в среднем размеры рабочих групп сотрудников пользовательских подразделений, имеющих доступ к информационной системе?
Варианты ответов
6. Станет ли факт изменения хранящихся в информационной системе данных очевидным сразу для нескольких человек (в результате чего его будет очень трудно скрыть)?
Варианты ответов
a Да 0
b Нет 10
7. Насколько велики официально предоставленные пользователям возможности по просмотру всех хранящихся в системе данных?
Варианты ответов
a Официальное право предоставлено
всем пользователям -2
b Официальное право предоставлено
только некоторым пользователям 0
8. Насколько необходимо пользователям знать всю информацию, хранящуюся в системе?
Варианты ответов
a Всем пользователям необходимо
знать всю информацию -4
b Отдельным пользователям необходимо знать лишь относящуюся к ним информацию 0
Степень уязвимости при количестве баллов:
До 9 Низкая
От 10 до 19 Средняя
20 и более Высокая
Возможности данного подхода и границы его применимости.
Несомненным достоинством данного подхода является возможность учета множества косвенных факторов (не только технических). Методика проста и дает владельцу информационных ресурсов ясное представление, каким образом получается итоговая оценка и что надо изменить, чтобы улучшить оценки.
Недостатки: Косвенные факторы зависят от сферы деятельности организации, а также от ряда иных обстоятельств. Таким образом, методика всегда требует подстройки под конкретный объект. При этом доказательство полноты выбранных косвенных факторов и правильности их весовых коэффициентов (задача малоформализованная и сложная) на практике решается экспертными методами (проверка соответствия полученных по методике результатов ожидаемым для тестовых ситуаций).
Подобные методики, как правило, разрабатываются для организаций определенного профиля (ведомств), апробируются и затем используются в качестве ведомственного стандарта. По такому пути пошли и разработчики CRAMM, создав около десятка версий метода для разных ведомств (министерство иностранных дел, вооруженные силы и т.д.).
Оценки рисков и уязвимостей в рассмотренном примере являются качественными величинами. Однако подобными методами могут быть получены и количественные оценки, необходимые при расчете остаточных рисков, решении оптимизационных задач. Для этого применяется ряд методов, позволяющих установить на упорядоченном множестве оценок систему расстояний, обзор приводится в [8].
Получение объективных количественных оценок рисков должно быть актуально для страховых агентств, занимающихся страхованием информационных рисков.
На практике страховые агентства пользуются в большинстве случаев качественными оценками. Простые методики без длительного и дорогостоящего обследования позволяют отнести информационную систему к той или иной группе риска (по классификации страховой компании) на основе интервью с рядом должностных лиц. В таких методиках также фиксируются и анализируются косвенные факторы.
3.3 Выбор допустимого уровня риска
Выбор допустимого уровня риска связан с затратами на реализацию подсистемы информационной безопасности. Существует два подхода к выбору допустимого уровня рисков.
Первый подход типичен для базового уровня безопасности. Уровень остаточных рисков не принимается во внимание. Затраты на программно-технические средства защиты и организационные мероприятия, необходимые для соответствия информационной системы спецификациям базового уровня (антивирусное ПО, МЭ, криптографическая защита, системы резервного копирования, системы контроля доступа) являются обязательными, целесообразность их использования не обсуждается. Дополнительные затраты (если такой вопрос будет поставлен по результатам проведения аудита ИБ либо по инициативе службы безопасности) должны находиться в разумных пределах и не превышать 515% средств, которые тратятся на поддержание работы информационной системы.
Второй подход применяется при обеспечении повышенного уровня безопасности. Собственник информационных ресурсов должен сам выбирать допустимый уровень остаточных рисков и нести ответственность за свой выбор.
В зависимости от уровня зрелости организации, характера основной деятельности обоснование выбора допустимого уровня риска может проводиться разными способами.
Наиболее распространенным является анализ стоимость/эффективность различных вариантов защиты, примеры постановок задач:
• Стоимость подсистемы безопасности должна составлять не более 20% от стоимости информационной системы. Найти вариант контрмер, максимально снижающих уровень интегральный рисков.
• Уровень рисков по всем классам не должен превышать «очень низкий уровень». Найти вариант контрмер с минимальной стоимостью.
В случае постановок оптимизационных задач важно правильно выбрать комплекс контрмер (перечислить возможные варианты) и оценить его эффективность.
3.4 Выбор контрмер и оценка их эффективности
Система защиты строится комплексно, включает контрмеры разных уровней (административные, организационные, программно-технические).
Для облегчения выбора комплекса контрмер в различных методиках используются таблицы, в которых классам угроз ставятся в соответствие возможные контрмеры. Ниже приводится пример классификатора контрмер CRAMM 4:
Классы контрмеры, соответствующие классам угроз в методе CRAMM 4 (фрагмент)
Masquerading of User Identity by Insiders
Identification and Authentication Logical Access Control Accounting Audit
Object Re-use Security Testing Software Integrity
Mobile Computing and Teleworking Software Distribution System Input/Output Controls Network Access Controls
System Administration Controls
Security Testing
Application Input/Output Controls
Software Integrity
Back-up of Data
Mobile Computing and Teleworking
Personnel
Software Distribution
Security Education and Training
System Input/Output Controls
Security Policy
Network Security Management
Security Infrastructure
Network Access Controls
Data Protection Legalisation
System Administration Controls
Incident Handling
Application Input/Output Controls
Compliance Checks
Back-up of Data
Security Education and Training
Masquerading of User Identity by Contracted
Security Policy
Service Providers
Security Infrastructure
Identification and Authentication
Data Protection Legalisation
Logical Access Control
Incident Handling
Accounting
Compliance Checks
Audit
Object Re-use
Подобные классификаторы позволяют авто-
Security Testing
матически выбирать и предлагать конкретные вари-
Software Integrity
анты контрмер, возможных для рассматриваемой
Mobile Computing and Teleworking
информационной системы. Владелец информаци-
Software Distribution
онных ресурсов может отбирать из них приемле-
System Input/Output Controls
мые. Следующий шаг — оценка эффективности
Network Access Controls
контрмер.
System Administration Controls
Задача оценки эффективности контрмер яв-
Application Input/Output Controls
ляется не менее сложной, чем оценка рисков.
Back-up of Data
Причина в том, что оценка эффективности
Personnel
комплексной подсистемы безопасности, включаю-
Security Education and Training
щей контрмеры разных уровней (административ-
Security Policy
ные, организационные, программно-технические) в
Security Infrastructure
конкретной информационной системе — методоло-
Outsourcing
гически чрезвычайно сложная задача. По этой при-
Data Protection Legalisation
чине обычно используются упрощенные, качест-
Incident Handling
венные оценки эффективности контрмер.
Compliance Checks
Примером является таблица типичных значе-
ний эффективности контрмер, используемых в ме-
Masquerading of User Identity by Outsiders
Содержание раздела
