ВВедение, 1 глава. Анализ предметной области и постановка задачи 4 1 Классификация информационных рисков 8
Скачать 274.56 Kb.
|
2.3 Анализ стандартов и методик процедур оценки рисковВ России в настоящее время чаще всего используются разнообразные «бумажные» методики, достоинствами которых являются гибкость и адаптивность. Как правило, разработкой данных методик занимаются компании – системные и специализированные интеграторы в области защиты информации. По понятным причинам методики обычно не публикуются, поскольку относятся к этой компании. В силу закрытости данных методик судить об их качестве, объективности и возможностях достаточно сложно. Специализированное ПО, реализующее методики анализа рисков, может относиться к категории программных продуктов (имеется на рынке) либо являться собственностью ведомства или организации и не продаваться. Если ПО разрабатывается как программный продукт, оно должно быть в достаточной степени универсальным. Ведомственные варианты ПО адаптированы под особенности постановок задач анализа и управления рисками и позволяют учесть специфику информационных технологий организации. Предлагаемое на рынке ПО ориентировано в основном на уровень информационной безопасности, несколько превышающий базовый уровень защищенности. Таким образом, инструментарий рассчитан в основном на потребности организаций 3–4 степени зрелости, описанных в первой главе. За последние двадцать лет появился целый ряд стандартов в области ИБ, в которых освещены вопросы управления рисками. Наибольшее распространение получил международный стандарт ISO/IEC 27005:2011 [152], прародителем которого является Британский стандарт BS 7799-2:2002 [141]. В США для управления рисками ИБ используются стандарты NIST SP серии 800 [166-168]. При этом база нормативно-методических документов в области управления рисками продолжает пополняться. Помимо стандартов большой вклад в развитие теории информационных рисков внесли научные группы и компании в сфере ИТ, разработавшие различные методики оценки рисков [8]. Для решения данной задачи были разработаны программные комплексы анализа и контроля информационных рисков: CRAMM, FRAP, RiskWatch, Microsoft, ГРИФ. Ниже приведены краткие описания ряда распространенных методик анализа рисков. Их можно разделить на: методики, использующие оценку риска на качественном уровне (например, по шкале «высокий», «средний», «низкий»). К таким методикам, в частности, относится FRAP; количественные методики (риск оценивается через числовое значение, например, размер ожидаемых годовых потерь). К этому классу относится методика RiskWatch; методики, использующие смешанные оценки (такой подход используется в CRAMM, методике Microsoft и т.д.) [31,32]. 2.3.1 Анализ методики CRAMMМетодика CRAMM одна из первых зарубежных работ по анализу рисков в сфере информационной безопасности, разработанная в 80-х годах. Ее основу составляет комплексный подход к оценке рисков, сочетающий количественные и качественные методы анализа. Метод является универсальным и подходит как для крупных, так и для малых организаций, как правительственного, так и коммерческого сектора. Версии программного обеспечения CRAMM, ориентированные на разные типы организаций, отличаются друг от друга своими базами знаний (профили): коммерческий профиль; правительственный профиль. При работе методики на первых этапах учитывается ценность ресурсов исследуемой системы, собираются первичные сведения о конфигурации системы. Проводится идентификация ресурсов: физических, программных и информационных, содержащихся внутри границ системы. Результатом этого этапа является построение модели системы, с деревом связи ресурсов. Эта схема позволяет выделить критичные элементы. Ценность физических ресурсов в CRAMM определяется стоимостью их восстановления в случае разрушения. Ценность данных и программного обеспечения определяется в следующих ситуациях: недоступность ресурса в течение определенного периода времени; разрушение ресурса – потеря информации, полученной со времени последнего резервного копирования, или ее полное разрушение; нарушение конфиденциальности в случаях несанкционированного доступа штатных сотрудников или посторонних лиц; модификация – рассматривается для случаев мелких ошибок персонала (ошибки ввода), программных ошибок, преднамеренных ошибок; ошибки, связанные с передачей информации: отказ от доставки, недоставка информации, доставка по неверному адресу [2,46]. Методика CRAMM рекомендует использовать следующие параметры: ущерб репутации организации; нарушение действующего законодательства; ущерб для здоровья персонала; ущерб, при разглашении персональных данных отдельных лиц; финансовые потери от разглашения информации; финансовые потери, связанные с восстановлением ресурсов; потери, связанные с невозможностью выполнения обязательств; дезорганизация деятельности. На второй стадии рассматривается все, что относится к идентификации и оценке уровней угроз для групп ресурсов и их уязвимостей. В конце стадии заказчик получает идентифицированные и оцененные уровни рисков для своей системы. На этой стадии оцениваются зависимость пользовательских сервисов от определенных групп ресурсов и существующий уровень угроз и уязвимостей, вычисляются уровни рисков и анализируются результаты. Ресурсы группируются по типам угроз и уязвимостей. Программное обеспечение CRAMM для каждой группы ресурсов и каждого из 36 типов угроз генерирует список вопросов, допускающих однозначный ответ. Уровень угроз оценивается, в зависимости от ответов, как очень высокий, высокий, средний, низкий и очень низкий. Уровень уязвимости оценивается, в зависимости от ответов, как высокий, средний и низкий. На основе этой информации рассчитываются уровни рисков в дискретной шкале с градациями от 1 до 7. Полученные уровни угроз, уязвимостей и рисков анализируются и согласовываются с заказчиком. Основной подход, для решения этой проблемы состоит в рассмотрении: уровня угрозы; уровня уязвимости; размера ожидаемых финансовых потерь. Исходя из оценок стоимости ресурсов защищаемой ИС, оценок угроз и уязвимостей, определяются «ожидаемые годовые потери». Третья стадия исследования заключается в поиске адекватных контрмер. По существу, это поиск варианта системы безопасности, наилучшим образом удовлетворяющей требованиям заказчика. На этой стадии CRAMM генерирует несколько вариантов мер противодействия, адекватных выявленным рискам и их уровням. Таким образом, CRAMM – пример методики расчета, при которой первоначальные оценки даются на качественном уровне, и потом производится переход к количественной оценке (в баллах). Работа по методике CRAMM осуществляется в три этапа, каждый из которых преследует свою цель в построении модели рисков информационной системы в целом. Рассматриваются угрозы системы для конкретных ее ресурсов. Проводится анализ как программного, так и технического состояния системы на каждом шаге, построив дерево зависимостей в системе, можно увидеть ее слабые места и предупредить потерю информации в результате краха системы, как из за вирусной атаки, так и при хакерских угрозах. К недостаткам метода CRAMM можно отнести следующее: использование метода CRAMM требует специальной подготовки и высокой квалификации аудитора; CRAMM в гораздо большей степени подходит для аудита уже существующих ИС, находящихся на стадии эксплуатации, нежели чем для ИС, находящихся на стадии разработки; аудит по методу CRAMM – процесс достаточно трудоемкий и может потребовать месяцев непрерывной работы аудитора; программный инструментарий CRAMM генерирует большое количество бумажной документации, которая не всегда оказывается полезной на практике; CRAMM не позволяет создавать собственные шаблоны отчетов или модифицировать имеющиеся; возможность внесения дополнений в базу знаний CRAMM не доступна пользователям, что вызывает определенные трудности при адаптации этого метода к потребностям конкретной организации; программное обеспечение CRAMM существует только на английском языке; высокая стоимость лицензии. 2.3.2 Анализ методики FRAPМетодика «Facilitated Risk Analysis Process (FRAP)» предлагаемая компанией Peltier and Associates, разработана Томасом Пелтиером (Thomas R. Peltier. В методике, обеспечение ИБ предлагается рассматривать в рамках процесса управления рисками. Управление рисками в сфере ИБ – процесс, позволяющий компаниям найти баланс между затратами средств и сил на средства защиты и получаемым эффектом. Управление рисков должно начинается с оценки рисков: должным образом оформленные результаты оценки станут основой для принятия решений в области повышения безопасности системы в будущем. После завершения оценки, проводится анализ соотношения затрат и получаемого эффекта, который позволяет определить те средства защиты, которые нужны, для снижения риска до приемлемого уровня. Составление списка угроз поможет использовать разные подходы: заранее подготовленные экспертами перечни угроз, из которых выбираются актуальные для данной системы; анализ статистики происшествий в данной ИС происходит оценка частоты их возникновения; по ряду угроз; «мозговой штурм», проводимый сотрудниками компании [9,46]. Когда список угроз закончен, каждой из них сопоставляют вероятность возникновения. После чего оценивают ущерб, который может быть нанесен данной угрозой. Исходя из полученных значений, оценивается уровень угрозы. Таким образом оценивается уровень риска для незащищенной ИС, что в последствии позволяет показать эффект от внедрения средств защиты информации (СЗИ). Оценка можно произвести для вероятности возникновения угрозы и ущерба от нее по следующим пунктам: вероятность: высокая – очень вероятно, что угроза реализуется в течение следующего года; средняя – возможно угроза реализуется в течение следующего года; низкая – маловероятно, что угроза реализуется в течение следующего года. Ущерб – мера величины потерь или вреда, наносимого активу: высокий: остановка критически важных бизнес-подразделений, которая приводит к существенному ущербу для бизнеса, потере имиджа или неполучению существенной прибыли; средний: кратковременное прерывание работы критических процессов или систем, которое приводит к ограниченным финансовым потерям в одном бизнес-подразделении; низкий: перерыв в работе, не вызывающий ощутимых финансовых потерь. После идентификации угрозы и получении оценки риска, должны быть определены контрмеры, позволяющие устранить риск или свести его до приемлемого уровня. При этом должны приниматься во внимание законодательные ограничения, делающие невозможным или, наоборот, предписывающие в обязательном порядке, использование тех или иных средств и механизмов защиты. Если риск снижен недостаточно, возможно, надо применить другое СЗИ. Вместе с определением средства защиты, надо определить какие затраты повлечет его приобретение и внедрение (затраты могут быть как прямые, так и косвенные). Кроме того, необходимо оценить, безопасно ли само это средство, не создает ли оно новых уязвимостей в системе [28,27]. Чтобы использовать экономически эффективные средства защиты, нужно проводить анализ соотношения затрат и получаемого эффекта. При этом надо оценивать не только стоимость приобретения решения, но и стоимость поддержания его работы. В затраты могут включаться: стоимость реализации проекта, включая дополнительное программное и аппаратное обеспечение; снижение эффективности выполнения системой своих основных задач; внедрение дополнительных политик и процедур для поддержания средства; затраты на найм дополнительного персонала или переобучение имеющегося. Последний пункт в этой методике – документирование. Когда оценка рисков закончена, ее результаты должны быть подробно документированы в стандартизованном формате, для дальнейшего использования или для проведения более глубокого анализа [4]. Методика рассчитана на управленцев отделов по обеспечению информационной безопасностью предприятия с экономическим уклоном. Производится анализ затрат и полученного эффекта от применения средства защиты информационной системы предприятия. Методика позволяет снизить риск до приемлемого уровня, что позволяет избежать максимальных затрат на обеспечение безопасности современными средствами ИБ. Характерность для этой методики вызывает «мозговой штурм» проводимый сотрудниками организации, проведение анализа статистики происшествий для данных информационных систем. Принимаются законодательные ограничения, делающие невозможным или, наоборот, предписывающие в обязательном порядке, использование тех или иных средств и механизмов защиты. Конец методики позволяет просчитать, с точки зрения финансирования, применение средства для обеспечения безопасности предприятия, учитывается стоимость приобретения решения, но и стоимость поддержания его работы. Примером здесь может выступить внедрение антивирусного средства с файерволом и спам фильтром для каждого компьютера в сети, то есть его закупка, и сопровождение в последующее время его работы на обеспечение безопасности предприятия в пределах сети. Сразу же применяется программно-аппаратный комплекс для обеспечения безопасности информационной системы предприятия. 2.3.3 Анализ методики RiskWatchКомпания RiskWatch разработала собственную методику анализа рисков и семейство программный средств, в которых она в той либо иной мере реализуется. Семейство RiskWatch состоит из программных продуктов: RiskWatch for Physical Security – для анализа физической защиты ИС; RiskWatch for Information Systems – для информационных рисков; HIPAA-WATCH for Healthcare Industry – для оценки соответствия требованиям стандарта HIPAA (US Healthcare Insurance Portability and Accountability Act), актуальных в основном для медицинских учреждений, работающих на территории США; RiskWatch RW17799 for ISO 17799 – для оценки соответствия ИС требованиям стандарта международного стандарта ISO 17799. RiskWatch используется в качестве критериев для оценки и управления рисками используются ожидаемые годовые потери (Annual Loss Expectancy, ALE) и оценка возврата инвестиций (Return on Investment, ROI). RiskWatch ориентирована на точную количественную оценку соотношения потерь от угроз безопасности и затрат на создание системы защиты. В основе продукта RiskWatch находится методика анализа рисков, которая состоит из четырех этапов[8]. Первый этап – определение предмета исследования. Здесь описываются параметры: как тип организации, состав исследуемой системы (в общих чертах), базовые требования в области безопасности. Для облегчения работы аналитика, в шаблонах, соответствующих типу организации («коммерческая информационная система», «государственная / военная информационная система» и т.д.), есть списки категорий защищаемых ресурсов, потерь, угроз, уязвимостей и мер защиты. И выбираются категории потерь, присутствующие в организации: задержки и отказ в обслуживании; раскрытие информации; прямые потери (например, от уничтожения оборудования огнем); жизнь и здоровье (персонала, заказчиков и т.д.); изменение данных; косвенные потери (например, затраты на восстановление); репутация. Второй этап – ввод данных, описывающих конкретные характеристики системы. Данные могут вводиться вручную или импортироваться из отчетов, созданных инструментальными средствами исследования уязвимости компьютерных сетей. Подробнейшим образом описываются ресурсы, потери и классы инцидентов. Классы инцидентов получаются путем сопоставления категории потерь и категории ресурсов. Также задается частота возникновения каждой из выделенных угроз, степень уязвимости и ценность ресурсов. Если для выбранного класса угроз в системе есть среднегодовые оценки возникновения (LAFE и SAFE), то используются они. Все это используется в дальнейшем для расчета эффекта от внедрения средств защиты. Третий этап – количественная оценка риска. На этом этапе рассчитывается профиль рисков, и выбираются меры обеспечения безопасности. Сначала устанавливаются связи между ресурсами, потерями, угрозами и уязвимостями, выделенными на предыдущих шагах исследования. SAFE (Standard Annual Frequency Estimate) – показывает, сколько раз в год в среднем данная угроза реализуется в этой «части мира» (например, в Северной Америке). Вводится также поправочный коэффициент, который позволяет учесть, что в результате реализации угрозы защищаемый ресурс может быть уничтожен не полностью, а только частично. ВСТАВИТЬ ФОРМУЛЫ Когда все активы и воздействия идентифицированы и собраны вместе, то появляется возможность оценить общий риск для ИС, как сумму всех частных значений. Можно ввести показатели «ожидаемая годовая частота происшествия» (Annualized Rate of Occurrence – ARO) и «ожидаемый единичный ущерб» (Single Loss Expectancy – SLE), который может рассчитываться как разница первоначальной стоимости актива и его остаточной стоимости после происшествия (хотя подобный способ оценки применим не во всех случаях, например, он не подходит для оценки рисков, связанных с нарушением конфиденциальности информации). Тогда, для отдельно взятого сочетания угроза-ресурс применима формула : Четвертый этап – генерация отчетов. Типы отчетов: краткие итоги; полные и краткие отчеты об элементах, описанных на стадиях 1 и 2; отчет от стоимости защищаемых ресурсов и ожидаемых потерях от реализации угроз; отчет об угрозах и мерах противодействия; отчет о ROI; отчет о результатах аудита безопасности. Таким образом, рассматриваемое средство позволяет оценить не только те риски, которые сейчас существуют у предприятия, но и ту выгоду, которую может принести внедрение физических, технических, программных и прочих средств и механизмов защиты. Подготовленные отчеты и графики дают материал, достаточный для принятия решений об изменении системы обеспечения безопасности предприятия [4,8]. Недостатки методики RiskWatch: – методика RiskWatch подходит, если требуется провести анализ рисков на программно-техническом уровне защиты, без учета организационных и административных факторов; – полученные оценки рисков (математическое ожидание потерь) далеко не исчерпывает понимание риска с системных позиций – метод не учитывает комплексный подход к информационной безопасности; – программное обеспечение RiskWatch существует только на английском языке; – высокая стоимость лицензии (от 15'000 долл. за одно рабочее место для небольшой компании; от 125'000 долл. за корпоративную лицензию). Методика RiskWatch позволяет разделить информационные системы на несколько профилей и уже использовать конкретизированную систему для учета рисков информационной безопасности предприятия, что очень удобно в современное время. Различные организации используют однотипные модели для оценки рисков, что не очень позволяет просчитать тот или иной ущерб при возникновении угрозы. Методика позволяет в живую в цифрах увидеть оценку ожидаемых потерь за год от бездействия со стороны предприятия к угрозе из-за направленного отсутствия финансирования для обеспечения безопасности предприятия. 2.3.4 Анализ методики ГрифДля проведения полного анализа информационных рисков, прежде всего, необходимо построить полную модель информационной системы с точки зрения ИБ. Для решения этой задачи ГРИФ, в отличие от прередставленных на рынке западных систем анализа рисков, которые громоздки, сложны в использовании и часто не предполагают самостоятельного применения ИТ-менеджерами и системными администраторами, ответственными за обеспечение безопасности информационных систем компаний, обладает простым и интуитивно понятным для пользователя интерфейсом. Основная задача методики ГРИФ – дать возможность ИТ менеджеру самостоятельно оценить уровень рисков в информационной системе, оценить эффективность существующей практики по обеспечению безопасности компании и иметь возможность доказательно (в цифрах) [6]. На первом этапе методики ГРИФ проводится опрос ИТ-менеджера с целью определения полного списка информационных ресурсов, представляющих ценность для компании. На втором этапе проводится опрос ИТ-менеджера с целью ввода в систему ГРИФ всех видов информации, представляющей ценность для компании. Введенные группы ценной информации должны быть размещены пользователем на ранее указанных на предыдущем этапе объектах хранения информации (серверах, рабочих станциях и т.д.). Заключительная фаза – указание ущерба по каждой группе ценной информации, расположенной на соответствующих ресурсах, по всем видам угроз. На третьем этапе вначале проходит определение всех видов пользовательских групп (и число пользователей в каждой группе). Затем определяется, к каким группам информации на ресурсах имеет доступ каждая из групп пользователей. В заключение определяются виды (локальный и / или удаленный) и права (чтение, запись, удаление) доступа пользователей ко всем ресурсам, содержащих ценную информацию. На четвертом этапе проводится опрос ИТ-менеджера для определения средств защиты информации, которыми защищена ценная информация на ресурсах. Кроме того, в систему вводится информация о разовых затратах на приобретение всех применяющихся средств защиты информации и ежегодные затраты на их техническую поддержку, а также – ежегодные затраты на сопровождение системы информационной безопасности компании [4]. На завершающем этапе пользователь должен ответить на список вопросов по политике безопасности, реализованной в системе, что позволяет оценить реальный уровень защищенности системы и детализировать оценки рисков. Наличие средств информационной защиты, отмеченных на первом этапе, само по себе еще не делает систему защищенной в случае их неадекватного использования и отсутствия комплексной политики безопасности, учитывающей все аспекты защиты информации, включая вопросы организации защиты, физической безопасности, безопасности персонала, непрерывности ведения бизнеса. К недостаткам ГРИФ можно отнести: отсутствие привязки к бизнес-процессам; нет возможности сравнения отчетов на разных этапах внедрения комплекса мер по обеспечению; отсутствует возможность добавить специфичные для данной компании требования политики безопасности. В результате выполнения всех действий по данным этапам, на выходе сформирована полная модель информационной системы с точки зрения информационной безопасности с учетом реального выполнения требований комплексной политики безопасности, что позволяет перейти к программному анализу введенных данных для получения комплексной оценки рисков и формирования итогового отчета. Отчет представляет собой подробный, дающий полную картину возможного ущерба от инцидентов документ, готовый для представления руководству компании. Существующая методика оценки риска позволяет самостоятельно оценить степень риска предприятия в пределах одной сети, но не даст полной картины, что существенно влияет на безопасность информации в целом. Рассмотренные методики в той или иной степени позволяют показать примерную оценку информационного риска для предприятия. Невозможно дать точную оценку риску, ввиду сложности представления ущерба для системы из-за большого количества компонентов вычислительной среды и различных топологий локальных и корпоративных сетей с их программно-аппаратным наполнением и управлением. 2.3.5 Анализ методики MicrosoftВ качестве возможного примера корпоративной методики анализа рисков рассмотрим методику компании Microsoft. В методике риск определяется как возможность понести убытки из-за нарушения безопасности сети изнутри или извне. Управление рисками предприятия в сфере информационной безопасности требует выполнения четырех этапов: 1) Распознавание (идентификация) рисков. 2) Определение размера риска. 3) Разработка плана управления рисками. 4) Текущий контроль и управление рисками. При ограниченном времени для идентификации рисков рекомендуется применять методики получения сведений от экспертов, в частности метод «мозгового штурма». Для каждого выявленного риска требуется оценить его стоимость (то есть определить ущерб в том случае, если рассматриваемое нежелательное событие произошло) и вероятность возникновения риска. Оценка для каждой из угроз может производиться следующими способами: – с использованием группы нападения - имитируется атака на систему группой специалистов; – методом накопления идей - создается группа сотрудников и/или консультантов, которые обсуждают возможные риски и предлагают контрмеры; – путем применения формальных оценок угроз, методов управления рисками и интеграции защитных мер. Предлагаемая Microsoft стратегия оценки рисков включает следующие этапы: – определение допустимого уровня рисков (то есть того уровня рисков, который приемлем); – оценка вероятности возникновения каждого риска; – присвоение стоимости каждому риску; – расстановка приоритетов. В процессе оценки для каждого риска вычисляется вероятность его возникновения и размер, связанных с ним потерь. Далее используется одна из разновидностей табличной оценки рисков - строится матрица следующего вида (см. табл. 5). Таблица . Табличная оценка риска в зависимости от факторов Вероятность Стоимость высокая средняя низкая Высокая Красная Красная Синяя Средняя Желтая Желтая Зеленая Низкая Синяя Синяя Зеленая В зависимости от полученных оценок риск относится к одной из следующих групп: – высокий риск (красная область). Предполагается, что без снижения таких рисков обращение к информационной системе предприятия может оказать отрицательное влияние на бизнес; – существенный риск (желтая область). Здесь требуется эффективная стратегия управления рисками, которая позволит уменьшить или полностью исключить отрицательные последствия нападения; – умеренный риск (синяя область). В отношении рисков, попавших в эту область, достаточно применить основные процедуры управления рисками; – незначительный риск (зеленая область). Усилия по управлению рисками в данном случае не будут играть важной роли. На основании уровня допуска (уровня допустимых рисков), размера потенциальных потерь и вероятности их возникновения рискам назначаются приоритеты. Они служат для того, чтобы определить те риски, которые в первую очередь надо предотвратить (рекомендуется создать список десяти основных рисков, которым в первую очередь уделяется внимание), после чего составляется план по управлению рисками. Планирование заключается в следующем: – идентификации триггеров для каждого риска (триггер, или пусковое событие -идентификатор риска, реализованного или ожидаемого в скором времени); – подготовке плана превентивных мероприятий, планов реагирования на непредвиденные ситуации и планов по уменьшению последствий каждого риска. Выделяются четыре составные части планирования управления рисками: – исследование; – принятие (можно ли принять данный риск?); – управление (можно ли сделать что-то, чтобы уменьшить риск?); – исключение (что можно сделать, чтобы предотвратить риск или блокировать его?). При этом исследование применяется по отношению к каждому риску, а остальные стадии могут комбинироваться. Предположим, исследование системы показало, что на предприятии установлено потенциально уязвимое приложение, причем полностью отказаться от работы с ним в данный момент невозможно. Допустим, далее данное приложение удалили на всех узлах, где это было допустимо, а на остальных, соответственно, оставили. Получается, что в отношении этого риска были выполнены следующие этапы: исследование, исключение (частичное), принятие (частичное). Не менее важна и задача контроля рисков (отслеживания рисков), которая заключается в том, чтобы при изменении внешних или внутренних условий скорректировать сделанные ранее оценки рисков. |