информационная безопасность. Лекции ИБ. Учебник для вузов В. Г. Олифер, Н. А. Олифер 2е изд. Спб. Питер 2009 669 с ил. Межсетевое экранирование учеб пособие О. Р. Лапонина М. Интернет Ун т Информ. Технологий бином. Лаб знаний 2007 343 с ил
Скачать 0.82 Mb.
|
4.1. Кто действительно разбирается в управлении рисками? В действительности людей, которые понимают как управлять рисками, очень мало (в том числе и за рамками вопросов безопасности). В информационной безопасности часто концентрируются на приложениях, устройствах, протоколах, вирусах и т.д. Эти детали безусловно должны быть учтены в процессе управления рисками, но они не должны быть в центре внимания при управлении рисками. Управление рисками в целом значительно важнее отдельных технических мер. Безопасность - задача бизнеса. Однако бизнес работает, чтобы зарабатывать деньги, а не только чтобы быть безопасным. Бизнес часто обращает внимание на безопасность только тогда, когда появляются реальные угрозы основной деятельности - потеря репутации и клиентов из-за утечки информации, ущерб в результате вирусной атаки и т.д. Специалисты по информационной безопасности должны понимать эти угрозы, но гораздо важнее, чтобы они понимали как можно рассчитать риски этих угроз и предоставить карту рисков руководителям бизнеса. Чаще всего бюджет является ограниченным, а количество уязвимостей - нет. В этом случае необходимо сконцентрироваться на наиболее критичных уязвимостях, устранение которых даст реальную отдачу для бизнеса. 4.2. Политика управления информационными рисками Полноценное управление рисками требует полноценной поддержки высшего руководства, документированного процесса поддержки миссии организации, IRM- политики и IRM-группы. IRM-политика должна быть частью общей политики управления рисками компании. IRM-политика должна быть отражена и в организационной политике безопасности компании. В IRM-политике должны учитываться следующие аспекты: • Цели IRM-группы • Уровень риска, который компания приняла для себя как приемлемый • Формальные процессы выявления рисков • Связь между IRM-политикой и процессами стратегического планирования компании • Обязанности, связанные с IRM, и роли, необходимые для их выполнения • Связь между рисками и внутренним контролем • Подходы к изменению поведения сотрудников и распределения ресурсов с учетом анализа рисков • Связь между рисками и целевыми показателями и бюджетами • Ключевые показатели для мониторинга эффективности защитных мер IRM- политика предоставляет инфраструктуру для процессов и процедур управления рисками компании. Она должна охватывать все вопросы информационной безопасности, начиная от подбора персонала и инсайдерских угроз, заканчивая физической безопасностью и межсетевыми экранами. Она должна предоставлять механизм передачи информации о рисках от IRM-группы высшему руководству, а также механизм принятия решений о необходимости снижения рисков высшим руководством. 23 4.3. Группа управления рисками (IRM-группа) В зависимости от размеров компании и бюджета безопасности компания может иметь одного или нескольких сотрудников, ответственных за IRM (IRM-группу). Основная цель IRM-группы - обеспечить защиту компании наиболее выгодным (экономически) и эффективным способом. Эта цель может быть достигнута только при наличии следующих компонентов: • Установленный высшим руководством приемлемый уровень риска • Документированные процессы и процедуры оценки рисков • Процедуры выявления и снижения рисков • Адекватные ресурсы и бюджет, предоставленные высшим руководством • Планы действий при возникновении непредвиденных обстоятельств (для тех областей, оценка которых указывает на необходимость таких планов) • Тренинги по вопросам безопасности для всех сотрудников, использующих информационные активы • Возможность расширения (развития) группы в отдельных областях, в случае необходимости • Учет и выполнение требований законодательства и регуляторов • Разработка метрик и показателей эффективности, позволяющих измерить и управлять различными видами рисков • Возможность выявления и оценки новых рисков при изменениях в компании или окружении • Интеграция IRM и процессов управления изменениями компании, чтобы изменения не приводили к появлению новых уязвимостей В большинстве случаев, в IRM-группу включают не отдельных, специально нанятых, сотрудников, а тех, которые уже работают в компании и выполняют другие задачи. В таких случаях совершенно необходима поддержка высшего руководства для надлежащего распределения ресурсов. Как и в любой другой команде, IRM-группе нужен лидер. Он должен заниматься только этим вопросом (либо, в крупных компаниях, он должен уделять этому 50-70% рабочего времени). Руководство должно выделить этому человеку адекватный бюджет, в случае необходимости обеспечить профессиональную подготовку, наличие инструментов для успешного анализа рисков. 5. Анализ рисков Анализ рисков, который на самом деле представляет собой инструмент для управления рисками, является методом выявления уязвимостей и угроз, оценки возможного воздействия, что позволяет выбирать адекватные защитные меры именно для тех систем и процессов, в которых они необходимы. Анализ рисков позволяет сделать безопасность экономически эффективной, актуальной, своевременной и способной реагировать на угрозы. Он также помогает компании приоритезировать список рисков, определить и обосновать разумную стоимость защитных мер. Анализ рисков имеет четыре основные цели: • Идентификация активов и их ценности для компании • Идентификация угроз и уязвимостей • Количественная оценка вероятности и влияния на бизнес этих потенциальных угроз • Обеспечение экономического баланса между ущербом от воздействия угроз и стоимостью контрмер Анализ рисков позволяет сравнить годовую стоимость защитных мер с потенциальным ущербом. Годовая стоимость защитных мер не должна превышать 24 потенциальный годовой ущерб. Также, анализ рисков позволяет связать программу безопасности с целями и требованиями бизнеса компании, что крайне важно для успеха и в том, и в другом. Перед началом работы по выявлению и анализу рисков важно понять цель данной работы, ее объем и ожидаемый результат. Следует учитывать, что попытка проанализировать все риски во всех областях за один раз может оказаться невыполнимой. Одной из первых задач группы анализа рисков является подготовка детального отчета по стоимости активов. Высшее руководство должно проанализировать этот отчет и определить сферу деятельности для IRM-проекта (объем работы), исключив из него те активы, которые не важны на данном этапе. При определении объема работ следует также учитывать бюджет проекта, а также требования законодательства. В ходе обсуждений с руководством, все участники должны иметь ясное представление о ценности обеспечения AIC-триады (доступность, целостность и конфиденциальность) и ее непосредственной связи с потребностями бизнеса. Анализ рисков должен осуществляться при поддержке и управлении со стороны высшего руководства. Только в этом случае он будет успешным. Руководство должно определить цели и масштабы анализа, назначить членов группы для проведения оценки, а также выделить необходимое время и средства для проведения этой работы. Крайне важно, чтобы высшее руководство внимательно отнеслось к результатам проведенной оценки. 5.1. Группа анализа рисков Для наиболее эффективного анализа рисков, компания должна включить в состав группы анализа рисков сотрудников большинства (или всех) своих подразделений, что необходимо для выявления и учета всех рисков. Членами группы могут быть руководители подразделений, разработчики приложений, ИТ-персонал - любые ключевые сотрудники ключевых подразделений компании. Это совершенно необходимо, т.к. группа, состоящая только из ИТ-специалистов, не сможет выявить множество рисков (например, риски, связанные с работой бухгалтерии). Желательно в состав группы включать руководителей подразделений, а не рядовых сотрудников, которые могут не представлять себе работу всего подразделения в целом и, соответственно, не могут выявить все угрозы. Для этого целесообразно установить соответствующий минимальный уровень должности для члена группы. Если по какой-либо причине компания не может включить в группу сотрудников из различных подразделений, необходимо, как минимум, организовать проведение интервью с ключевыми сотрудниками каждого подразделения. При анализе рисков следует задавать следующие вопросы: Что случится при реализации угрозы? Какими могут быть потенциальные последствия? Как часто это может происходить? Какой уровень достоверности ответов на первые три вопроса? Большинство такой информации собирается в ходе внутренних исследований, интервью, собраний рабочих групп. Владельцы рисков Один из наиболее важных вопросов – кто в компании владеет рисками? Ответить на него непросто, т.к. это зависит от ситуации и от того, о каких рисках идет речь. Высшее руководство владеет рисками, связанными с процессом функционирования компании, но оно может переложить их на ответственных за хранение данных или бизнес- подразделения для проведения определенных работ, и на это время они должны выполнять отдельные обязанности владельцев рисков. Конечно, риски в конечном итоге всегда остаются у высшего руководства и оно должно быть уверено, что делегированная 25 работа выполняется понятными методами, в процессе нее учитываются существующие риски и предпринимаются действия по их минимизации. 5.2. Ценность информации и активов Ценность информации опредляется трудоемкостью ее подготовки (сбора), стоимостью ее поддержки (сопровождения), величиной возможного ущерба в случае ее потери или уничтожения, стоимостью, которую другие лица (конкуренты, злоумышленники) готовы заплатить за нее, а также величиной возможных последствий и штрафов, в случае ее утраты (утечки). Без проведения оценки информации невозможно адекватно оценить целесообразность затрат денег и ресурсов на ее защиту. Ценность информации обязательно должна учитываться при выборе защитных мер. 5.3. Определение стоимости и ценности Оценка актива может проводиться как количественными, так и качественными методами. Фактическая стоимость актива определяется на основании стоимости его приобретения, разработки и поддержки. Ценность актива определяется его значением, которое он имеет для владельцев, уполномоченных и неуполномоченных пользователей. Некоторая информация является важной для компании и ей присваивается гриф конфиденциальности. Например, стоимость сервера составляет $4000, но это не является его ценностью, учитываемой при оценке рисков. Ценность определяется затратами на его замену или ремонт, потерями из-за снижения производительности, ущербом от повреждения или утраты хранящихся на нем данных. Именно это будет определять ущерб для компании в случае повреждения или утраты сервера по той или иной причине. Следующие вопросы должны быть учтены при определении ценности активов: • Затраты на получение или разработку актива • Затраты на поддержку и защиту актива • Ценность актива для владельцев и пользователей • Ценность актива для злоумышленников (конкурентов) • Ценность интеллектуальной собственности, использованной при разработке актива • Цена, которую другие готовы заплатить за актив • Затраты на замену актива при утрате • Операционная и производственная деятельность, которая зависит от доступности актива • Ответственность в случае компрометации актива • Польза и роль актива в компании Понимание ценности актива является первым шагом к пониманию того, какие средства и механизмы безопасности должны использоваться для его защиты. Ценность актива определяет стоимость защитных мер, которые следует использовать для его защиты. Определение стоимости активов полезно для компании по целому ряду причин, включая следующие: • Для проведения анализа затраты/выгоды (cost/benefit analyse) • Для выбора конкретных контрмер и защитных средств • Для определения необходимого уровня страхового покрытия • Для понимания, чем именно рискует компания • Для выполнения требований законодательства, регуляторов, соблюдения должной заботы (due care) 26 Активы могут быть материальным (компьютеры, оборудование, материалы) или нематериальные (репутация, данные, интеллектуальная собственность). Обычно трудно оценить количественно ценность нематериальных активов (например, репутации), которая может меняться с течением времени. 5.4. Идентификация угроз Как было сказано ранее, риск - это вероятность того, что источник угрозы воспользуется уязвимостью, что приведет к негативному воздействию на бизнес. Существует множество видов источников угрозы, которые могут использовать разные типы уязвимостей, что может привести к определенным угрозам. Некоторые примеры рисков показаны в таблице 2. Таблице 2 – Пример идентификации рисков Источники угрозы Может использовать эту уязвимость В результате возникает угроза Вирус Отсутствие антивирусного ПО Заражение вирусом Хакер Большое количество служб, запущенных на сервере Несанкционированный доступ к конфиденциальной информации Пользователи Неверно настроенный параметр операционной системы Неисправность системы Пожар Отсутствие системы пожаротушения Здание и компьютеры повреждены, возможны человеческие жертвы Сотрудник Отсутствие обучения, требований или контроля Общий доступ к критичной информации Внесение изменений во вводимую информацию и выводимую из приложений обработки данных Подрядчик Слабые механизмы контроля доступа Утечка конфиденциальной информации Атакующий Плохо написанное приложение Нестрогие настройки межсетевого экрана Проведение атаки «переполнение буфера» Проведение DoS-атаки Нарушитель Отсутствие охраны Похищение компьютеров и других устройств Существуют и другие, гораздо более сложные для выявления виды угроз, которые могут произойти в компьютерной среде. Эти угрозы связаны с ошибками в приложениях и ошибками пользователей. Однако, при надлежащей организации контроля и аудита действий пользователей их ошибки (умышленные или случайные) выявить существенно проще. После выявления уязвимостей и связанных с ними угроз должны быть проанализированы последствия их использования, т.е. риски потенциального ущерба. Ущерб может быть связан с повреждением данных или систем (объектов), несанкционированным разглашением конфиденциальной информации, снижением производительности работы и т.д. При проведении анализа рисков, группа должна также рассмотреть вероятный отложенный ущерб (delayed loss), который может произойти по 27 прошествии некоторого времени (от 15 минут до нескольких лет) после реализации риска. Отложенный ущерб может быть вызван, например, снижением производительности работы через определенный период времени, снижением дохода компании, ущербом ее репутации, накопительными штрафами, дополнительными расходами на восстановление окружения, приостановкой приема средств от клиентов и т. д. Например, если в результате атаки на веб-серверы компании они перестали обслуживать клиентов, непосредственным ущербом может быть повреждение данных, затраты рабочего времени на восстановление работы серверов, обновление уязвимого программного обеспечения на них. Кроме того, компания потеряет определенный доход в следствие невозможности обслуживания клиентов в течение времени, которое потребуется ей на восстановление работы своих веб-серверов. Если восстановительные работы займут значительное время (например, неделю), компания может потерять настолько большой объем прибыли, что будет уже не в состоянии оплачивать счета и другие расходы. Это и будет являться отложенным ущербом. А если кроме всего прочего компания еще и потеряет доверие клиентов, она может полностью потерять свой бизнес (на некоторое время или навсегда). Это является крайним случаем отложенного ущерба. Такого рода вопросы существенно усложняют количественную оценку ущерба, но они обязательно должны быть приняты во внимание для получения достоверной оценки. 5.5. Анализ сбоев и дефектов FMEA (Failure Modes and Effect Analysis)– это метод определения функций, выявления функциональных дефектов, оценки причин дефекта и его последствий с помощью структурированного процесса. Применение этого процесса в случае постоянных дефектов позволяет определить место, где ошибка, скорее всего, произойдет. Это очень помогает выявить уязвимые места, точно определить границы уязвимостей и последствия их эксплуатации. В свою очередь, это позволяет не только упростить применение исправлений, устраняющих уязвимости, но и обеспечить более эффективное использование ресурсов в рамках этой задачи. Следуя определенной последовательности шагов, можно достичь наилучших результатов в анализе дефектов. 1. Начните с блок-схемы системы или контроля (объекта анализа). 2. Рассмотрите, что произойдет, если каждый блок диаграммы даст сбой. 3. Нарисуйте таблицу, и укажите в ней дефекты в паре с их последствиями и оценкой этих последствий. 4. Корректируйте проект системы и вносите соответствующие изменения в таблицу до тех пор, пока не станет ясно, что система не подвержена проблемам. 5. Получите несколько инженерных обзоров характера дефектов и анализа последствий. В таблице 3 приведен пример проведения и документирования FMEA. Хотя большинство компаний не имеют ресурсов для столь детальной проработки каждой системы и контроля, она должна проводиться для критичных функций и систем, которые могут оказать существенное влияние на компанию. Очень важно проанализировать защитную меру или систему от микро- до макро-уровня, чтобы в полной мере понять, где могут находиться потенциальные уязвимости или дефекты и каковы последствия эксплуатации этих недостатков. Каждая компьютерная система может состоять из множества различных временных бомб на разных уровнях ее структуры. На уровне компонентов это может быть переполнение буфера или опасные компоненты ActiveX, что может позволить злоумышленнику получить контроль над системой, воспользовавшись уязвимостью. На программном уровне приложение может небезопасно проводить авторизацию или может не защищать свои криптографические ключи должным образом. На системном уровне ядро операционной системы может иметь недостатки, что позволит 28 злоумышленнику без особого труда получить административный доступ. Различные ужасные вещи могут произойти на любом уровне, поэтому необходим столь детальный подход. Изначально FMEA была разработана для исследования систем. Ее цель заключается в том, чтобы изучить потенциальные дефекты в продуктах и связанных с ними процессах. Этот подход оказался успешным и был адаптирован для использования при оценке приоритетов в области управления рисками и минимизации известных угроз- уязвимостей. Однако FMEA недостаточно эффективна при выявлении сложных дефектов, в которые могут быть вовлечены несколько различных систем или подсистем. В этом случае более целесообразно использовать анализ дерева сбоев (fault tree analysis). Для анализа с помощью дерева сбоев берется основной процесс. В качестве его корня (самого верхнего элемента этого логического дерева) указывается нежелательное событие. Затем, в качестве ветвей, добавляется ряд логических выражений и событий, которые могут привести к реализации вышестоящего нежелательного события. После этого дерево сбоев помечается цифрами, соответствующими вероятности сбоев (обычно это делается с помощью специализированных компьютерных программ, которые могут рассчитывать вероятности в дереве сбоев). На рисунке 7 показано упрощенное дерево сбоев и различные логические знаки, используемые для представления того, что должно произойти, чтобы вызвать сбой. Таблица 3 - Пример проведения и документирования FMEA Подготовлено: Согласовано: Дата: Версия: Дефект воздействует на Идентификац ия элемента Функция Характер сбоя Причина сбоя Последст вия Последст вия на более высоком уровне Последств ия системы Метод выявления сбоя Центральный сервер предприятия обновления антивирусных сигнатур Передает обновления сигнатур на серверы и рабочие станции Сбои не позволяют обеспечить адекватную и современную защиту от вредоносного кода Отключается центральный сервер Не обновляю тся антивирус ы на серверах и рабочих станций Сеть заражает ся вредонос ным кодом Центральн ый сервер может быть заражен и/или заражать другие системы Сообщение о текущем состоянии (работоспособ ность) отправляется на консоль и страницу сетевого администратор а Водяные трубы Тушение пожара в пяти зонах здания 1 Неисправности, приводят к неработоспособ ности Вода в трубах замерзнет Нет В здании 1 тушение пожара не производ ится Трубы системы пожаротуш ения ломаются Датчики системы пожаротушени я напрямую связываются с центральной консолью пожарной системы И т.д. 29 Рисунок 7. - Дерево сбоев и логические элементы При создании дерева, необходимо точно указать все угрозы или сбои, которые могут произойти с системой. Ветви дерева можно разделить на категории, например, физические угрозы, сетевые угрозы, компьютерные угрозы, интернет-угрозы и угрозы сбоя. Когда все возможные категории отмечены, вы можете подрезать ветви с дерева, удаляя угрозы, неприменимые в данном случае (если система не подключена к Интернету, то связанные с Интернетом ветви можно спокойно срезать с дерева). Некоторые из наиболее распространенных программных сбоев, которые могут быть исследованы с помощью анализа дерева сбоев, приведены ниже: • Ложные срабатывания (тревоги или защиты) • Недостаточная обработка ошибок • Нарушение последовательности или порядка • Некорректная синхронизация выдачи результатов • Корректные, но неожиданные результаты Итак, мы получили надлежащую поддержку руководства в рамках задачи по анализу рисков, создали группу анализа рисков из сотрудников различных подразделений компании, определили ценность каждого из активов компании, определили все возможные угрозы, которые могут повлиять на активы. Мы также приняли во внимание все возможные варианты отложенного ущерба, который может выдержать компания в отношении каждого актива и угрозы. Мы провели анализ сбоев и дефектов (или анализ дерева сбоев) для понимания причин, лежащих в основе выявленных угроз. Следующим шагом является расчет актуальных для компании рисков с использованием качественных и количественных методов. 5.6. Количественный анализ рисков Количественный анализ рисков пытается присвоить реальные и осмысленные числа всем элементам процесса анализа рисков. Этими элементами могут быть стоимость защитных мер, ценность актива, ущерб для бизнеса, частота возникновения угрозы, эффективность защитных мер, вероятность использования уязвимости и т.д. Количественный анализ рисков позволяет получить конкретное значение вероятности (в процентах) реализации угрозы. 30 Каждый элемент в процессе анализа вставляется в количественном виде в уравнение определения общего и остаточного риска. Нужно понимать, что количественный анализ рисков в чистом виде невозможен, так как всегда есть некоторая степень неопределенности в значении отдельных количественных величин (особенно если угрозы сложны, а частота их возникновения невелика). Например, как узнать насколько часто уязвимостью будут пользоваться? Или как узнать точную денежную сумму потерь компании? Даже если вы проанализировали все произошедшие ранее события, максимально точно определили ценность активов, обратились за информацией в организацию, которая оценивает частоту стихийных бедствий в вашей местности, вы все равно не сможете точно сказать, что для вашего дата-центра есть 10%- ная вероятность пожара и что пожар приведет к ущербу ровно в $230,000. Будущее предсказать невозможно. Автоматизированные методы анализа рисков Сбор всех данных, которые необходимы для подстановки в уравнения анализа рисков и правильной интерпретации результатов, может быть крайне трудоемким, если он производится вручную. На рынке существует несколько автоматизированных средств анализа рисков, что может существенно упростить данную задачу и повысить точность результатов. Собранные данные могут использоваться повторно, что значительно сократит время проведения повторного анализа. Имеющиеся автоматизированные инструменты могут помочь также при подготовке отчетов и всевозможных графиков для руководства. Цель этих инструментов - сократить объем ручной работы, оперативно выполнять расчеты, оценивать ожидаемые потери, оценивать эффективность и преимущества выбранных контрмер. Шаги процесса анализа рисков. Шаг 1: Определить ценность активов. Для каждого актива необходимо ответить на следующие вопросы для определения его ценности: |