информационная безопасность. Лекции ИБ. Учебник для вузов В. Г. Олифер, Н. А. Олифер 2е изд. Спб. Питер 2009 669 с ил. Межсетевое экранирование учеб пособие О. Р. Лапонина М. Интернет Ун т Информ. Технологий бином. Лаб знаний 2007 343 с ил

31
• Собрать информацию о вероятности каждой угрозы, опросив сотрудников каждого подразделения, проанализировав произведенные ранее записи, а также официальные источники по безопасности, которые предоставляют такую информацию.
• Рассчитать среднегодовую частоту возникновения инцидентов (ARO – Annualized
Rate of Occurrence), которая показывает сколько инцидентов может произойти за год.
Шаг 4: Определить общие годовые потери на угрозу. Для этого нужно выполнить следующее:
• Объединить потенциальные потери и вероятность.
• Рассчитать ожидаемый среднегодовой ущерб (ALE – Annualized Loss Expectancy) на угрозу, используя информацию, собранную на первых трех шагах.
• Выбрать контрмеры для противодействия каждой угрозе.
• Выполнить анализ затрат/выгод выбранных контрмер.
Шаг 5: Уменьшить, перенести, избежать или принять риск. Для каждого риска необходимо выбрать меры по его снижению, переносу, либо принять его.
• Методы снижения риска:
• Внедрить защитные меры и средства управления;
• Усовершенствовать процедуры;
• Изменить окружение;
• Внедрить методы раннего обнаружения для своевременного выявления факторов воздействия угрозы и снижения возможных последствий;
• Разработать план действий в непредвиденных ситуациях, позволяющий продолжить работу в случае воздействия определенных угроз и снизить последствия от угрозы;
• Создать препятствия для реализации угрозы;
• Провести тренинг по вопросам безопасности.
• Перенос риска– например, застраховать некоторые риски.
• Избежание риска– прекратить деятельность, вызывающую риск.
• Принятие риска – смириться с риском и не тратить деньги на защиту от него (это целесообразно, если стоимость защитных мер превышает величину возможного ущерба).
Однако при этом нужно учитывать, что реализация риска может вести к дополнительным последствиям (например, потере репутации).
Принятие риска. Если компания решает принять риск, это решение должно основываться на стоимости (стоимость контрмер превышает возможные потери) и приемлемом уровне риска (при котором компания может жить с уязвимостью или угрозой). Но компания должна также понимать, что это не полноценное решение.
Реализация риска может нести также и ущерб репутации, причем не только репутации компании, но и репутации целой отрасли.
При проведении количественного анализа рисков необходимы, реальные цифры и расчеты. Ранее уже были упомянуты показатели SLE (ущерб от единичного инцидента)и
ALE (ожидаемый среднегодовой ущерб). SLE - это потенциальная сумма (в деньгах) ущерба для компании в результате единичного факта реализации соответствующей угрозы:
Ценность актива х Фактор воздействия (EF - Exposure Factor) = SLE
EF (фактор воздействия)– это процент ущерба для актива от реализовавшейся угрозы, т.е. часть значения (ценности), которую актив потеряет в результате инцидента.
Например, ценность актива "хранилище данных" составляет $150,000. В случае пожара может быть повреждено 25% хранилища (но не более, так как установлена система пожаротушения, поблизости находится пожарная часть и т.д.). В этом случае SLE будет составлять $37,500.
Значение SLE используется при расчете ALE:
SLE х Среднегодовая частота возникновения инцидентов (ARO -Annualized Rate of
Occurrence) = ALE

32
ARO (среднегодовая частота возникновения инцидентов)– это величина, представляющая собой ожидаемую частоту реализации соответствующей угрозы в год.
Значение ARO может быть от 0,0 (никогда) до 1,0 (по крайней мере, раз в год) и выше (несколько раз в год). Например, наводнения в той местности, в которой расположено здание компании, происходят в среднем раз в 1000 лет. Значит величина
ARO составляет 0,001.
Таким образом, если SLE для хранилища данных компании при пожаре равно
$37,500, а пожары в аналогичных условия случаются примерно раз в 10 лет (ARO равно
0,1), величина ALE будет равна $3,750 ($37,500 х 0,1 = $3,750).
Значение ALE используется при оценке целесообразности внедрения тех или иных мер защиты соответствующего актива от соответствующей угрозы - годовая стоимость защитных мер, обеспечивающих необходимый уровень безопасности актива, не должна превышать значение ALE. Применение более дорогих защитных мер не будет эффективным и целесообразным.
Рассмотрим пример результатов анализа рисков (Таблица 4). Используя полученные данные компания может принять обоснованное решение о том, какие угрозы необходимо рассматривать в первую очередь, основываясь на их последствиях и вероятности реализации.
Также компания может оценить целесообразный уровень затрат на защиту от каждой угрозы.
Таблица 4 – Пример результатов анализа рисков
Актив
Угроза
SLE
ARO
ALE
Здание
Пожар
230 000 0,1 23 000
Коммерческая тайна
Хищение
40 000 0,01 400
Файловый сервер
Неисправность
11 500 0,1 1 150
Данные
Вирус
6 500 1,0 6 500
Информация о кредитной карте клиента
Хищение
300 000 3
900 000
Результаты анализа рисков
Группа анализа рисков должна иметь четко определенные цели. Следующий список показывает, что в основном можно ожидать от результатов анализа рисков:
• Ценность активов в денежном выражении;
• Полный список всех возможных и существенных угроз;
• Вероятная частота возникновения каждой угрозы;
• Потенциальные потери компании от угроз, которые она может понести в 12-ти месячный срок;
• Рекомендуемые меры безопасности, контрмеры и действия.
Хотя данный список следует по возможности детализировать, следует сделать краткое резюме для руководства, на основании которого можно быстро сделать выводы о результатах анализа.
5.7. Качественный анализ рисков
Другим методом анализа рисков является качественный метод, который не присваивает количественные или денежные значения компонентам и потерям, вместо этого он использует различные сценарии вероятности риска, уровней серьезности угроз и

33
обоснованности различных возможных контрмер. Для качественного анализа рисков применяются суждения, лучшие практики, интуиция и опыт. Примерами техник сбора данных для качественного анализа рисков являются: метод Delphi, мозговой штурм, работа с архивными документами, опросы целевых групп, анкетирование, чек-листы, личные встречи, интервью. Группа анализа рисков должна выбрать лучшую технику в зависимости от видов оцениваемых угроз, культуры компании, людей, вовлеченных в процесс анализа.
В группу анализа рисков должны быть включены сотрудники, которые имеют опыт и образование в той области, в которой они будут оценивать угрозы. В процессе оценки угрозы и ущерба каждый член группы высказывает свою оценку, основываясь на своем предчувствии и опыте.
Каждый член группы описывает приблизительный сценарий (не более страницы) для каждой существенной угрозы. Тот "эксперт", кто лучше всех разбирается в данном виде угроз, делает общий сценарий, описывающий процесс реализации угрозы. Затем оцениваются защитные меры, уменьшающие опасность этой угрозы, и описывается сценарий противодействия для каждой защитной меры. Возможное воздействие и возможный ущерб должны быть проранжированы по трех (высокий-средний-низкий), пяти или десятибалльной шкале. Уровни вероятности угрозы, потенциальных потерь и преимущества каждой защитной меры объединяются в отчет, который предоставляется руководству для принятия правильного решения. Преимущество данного метода анализа заключается в постоянном взаимодействии между всеми членами группы в процессах ранжирования рисков, определения сильных и слабых сторон защитных мер. Также преимуществом является подготовка окончательного отчета именно тем членом группы, который наиболее компетентен в соответствующей области.
Рассмотрим простой пример качественного анализа рисков. Группа анализа рисков написала одностраничный сценарий, описывающий угрозу получения хакером доступа к конфиденциальной информации, хранящейся на файловых серверах компании. Группа распространяет этот сценарий между пятью сотрудниками (ИТ-директор, администратор базы данных, программист, системный инженер и руководители подразделения технической поддержки), которые заполняют лист оценки, ранжируя (от 1 до 5) серьезность угрозы, уровень потенциального ущерба, эффективность каждой защитной меры. Результаты показаны в Таблице 5. Затем на основе этих результатов один из членов группы готовит отчет для руководства, в котором указывает, что из проанализированных трех вариантов защиты (межсетевой экран, система IDS и honeypot (приманка)), наиболее эффективной является защита с помощью межсетевого экрана.
Анализируя отчет по анализу рисков, руководство видит оценки серьезности угроз, вероятности их реализации, а также уровень потенциальных потерь от каждой угрозы. На основе этой информации руководство может выбрать наиболее критичные для компании риски, которые должны быть учтены в первую очередь.
Таблица 5 - Пример качественного анализа рисков
Угроза:
Доступ хакера к конфиденциа льной информации
Серьезн ость угрозы
Вероятн ость реализац ии угрозы
Потенциал ьный ущерб для компании
Эффективн ость защиты с помощью межсетево го экрана
Эффективн ость защиты с помощью
IDS
Эффективн ость защиты с помощью
Honeypot
ИТ-директор
4 2
4 4
3 2
Администрат ор БД
4 4
4 4
4 1
Программист
3 3
3 3
2 1
Системный инженер
4 4
3 3
2 1

34
Руководитель тех. поддержки
5 4
4 4
4 2
Итог:
3,6 3,4 3,8 3,8 3,0 1,4
Техника DELPHI
Техника Delphi – это метод группового принятия решений, обеспечивающий получение от каждого члена его истинного мнения, не подверженного влиянию мнения других. Каждый член группы указывает свое мнение на листке бумаги, после чего все члены группы показывают свои листки для выполнения окончательного анализа.
Результаты объединяются и распространяются между членами группы, которые пишут свои комментарии и возвращают их. Комментарии объединяются и снова распространяются до тех пор, пока не будет достигнут консенсус. Этот метод позволяет получить согласованное общее мнение по стоимости, уровню потерь, вероятности события без устного обсуждения. С использованием данной техники возможно проведение анонимных опросов.
5.8. Количественный или качественный
Каждый метод имеет свои преимущества и недостатки. Некоторые из них приведены в Таблице 6. Критерием выбора могут быть особенности группы анализа рисков, мнение руководства, имеющиеся инструменты анализа рисков, культура компании. Целью обоих методов является оценка реальных рисков компании, их классификация по уровню серьезности угроз, что позволит выбрать правильные контрмеры в рамках имеющегося бюджета.

35
Таблица 6 – Характеристики количественного и качественного методов
Атрибут
Количественный
Качественный
Требует простых расчетов
+
Требует более сложных расчетов
+
Основывается в значительной степени на предположениях
+
Предоставляет основные области и показатели риска
+
Проще автоматизировать
+
Позволяет контролировать эффективность управления рисками
+
Предоставляет заслуживающий доверия анализ стоимости/выгоды
+
Использует независимо проверяемые и объективные метрики
+
Предоставляет мнения людей, которые в совершенстве знают анализируемые процессы
+
Четко показывает потери, которые могут нарастать в течении года
+
Недостатки качественного анализа:
• Оценка и результаты в основном субъективны;
• Обычно исключает возможность оценки денежной оценки затрат/выгод;
• Сложно сопоставить цели управления рисками с субъективными оценками;
• Нет стандартов. Каждый специалист имеет свою интерпретацию процесса и результатов.
Недостатки количественного анализа:
• Расчеты более сложны. Сложно объяснить руководству как эти значения были получены;
• Процесс очень трудоемок без применения средств автоматизации;
• Больше предварительной работы, связанной с получением детальной информации об окружении;
• Нет стандартов. Каждый специалист имеет свою интерпретацию процесса и результатов.
Уровень неопределенности– это степень неуверенности в оценке. Он измеряется от
0% до 100%. При проведении анализа следует указывать уровень неопределенности, так как это способствует лучшему пониманию результатов анализа.
5.9. Защитные механизмы
Следующим шагом является идентификация доступных защитных механизмов
(контрмер) и оценка их эффективности.
Выбор защитных мер

36
Преимущества внедряемых защитных механизмов должны превышать затраты на них, только в этом случае они будут эффективными. Для проведения такой оценки используется анализ затрат/выгод. Обычно это считают следующим образом:
(ALE до ввода защитных мер) – (ALE после ввода защитных мер) –
(годовая стоимость защитных мер) = ценность защитных мер
Например, ALE угрозы выведения веб-сервера из строя хакерами составляет
$12,000 до внедрения соответствующих защитных мер, а после их внедрения ALE снижается до $3,000. При этом годовая стоимость функционирования и поддержки этих защитных мер - $650. В этом случае ценность защитных мер составляет $8,350 в год.
Стоимость контрмер – это не просто цена их покупки. Нужно учитывать следующие элементы при расчете полной стоимости контрмер:
• Стоимость продукта
• Стоимость проектирования / планирования
• Стоимость внедрения
• Необходимость внесения изменений в окружение
• Совместимость с другими контрмерами
• Эксплуатационные требования
• Тестирование
• Стоимость восстановления, замены и обновления
• Стоимость эксплуатации и поддержки
• Влияние на производительность
• Стоимость подписки
• Работа сотрудников в нерабочее время и по выходным дням для мониторинга и реакции на сообщения об инцидентах
ПРЕДУПРЕЖДЕНИЕ. Очень часто компании покупают новые продукты безопасности, не понимая, что им нужен дополнительный персонал на использование этих продуктов. Хотя инструменты автоматизируют задачи, многие компании ни разу не выполняли эти задачи перед покупкой, поэтому с помощью них они не сэкономят время, а наоборот начнут тратить его еще больше.
Например, компания А решает защитить ряд своих ресурсов с помощью IDS, стоимостью $5,500. Эта IDS должна быть протестирована в отдельном тестовом сегменте сети, чтобы ИТ-службы убедились в безопасности ее ввода в промышленную эксплуатацию. После этого ИТ-службы должны установить и настроить сенсоры и программное обеспечение для мониторинга. Затем ИТ-службы должны перенастроить коммуникационное оборудование, направив все потоки трафика через IDS, а также ограничить доступ к консоли IDS, настроить базу данных сигнатур атак. Только после этого IDS можно включить в работу.
При этом нужно учесть вероятное снижение производительности сети, возможные неудобства для пользователей, проявление "тонкостей", о которых "забыл" заранее сообщить поставщик, а также затраты времени и денег на обучение персонала, а затем затраты на реагирование на реальные и ложные срабатывания IDS. Кроме того, может возникнуть необходимость закупки средств оповещения администратора безопасности об инцидентах, выявленных IDS (например, отдельного смартфона), от которых будет зависеть время реакции на инциденты.
Таким образом, изначальная цена увеличивается: $5,500 стоит сама система IDS,
$2,500 стоит обучение персонала, $3,400 стоит тестирование системы, $2,600 - потери производительности пользователей, вызванные внедрением этой системы и еще $4,000 стоит перенастройка коммуникационного оборудования, установка IDS, выявление ошибок, установка патчей. Реальная стоимость этой защитной меры составит $18,000.
Если при этом рассчитанная величина вероятного ущерба составляет только $9,000, применение этой IDS неэффективно и приведет к перерасходу адекватного бюджета на
100%.

37
Функциональность и эффективность защитных мер
Группа анализа рисков должна оценить функциональность и эффективность защитных мер. При выборе защитных мер некоторые характеристики будут важнее, чем другие, которые должны быть тщательно проанализированы до покупки и внедрения средства обеспечения безопасности.
Таблица 7. – Характеристики, которые следует учесть при выборе средств
Характеристика
Описание
Модульная архитектура
Система может быть установлена или удалена из окружения без неблагоприятного воздействия на другие механизмы.
Обеспечивает стандартную защиту
Стандартный уровень безопасности, обеспечивается стандартными настройками всех механизмов.
Предоставляет возможность отмены функциональности
Администратор может отменить ограничения при необходимости
Минимальные привилегии по умолчанию
После установки должны применяться настройки по умолчанию, не предусматривающие какие-либо разрешения и права, кроме заданных явно.
Независимость средств защиты и защищаемых активов
Средства защиты могут быть использованы для защиты различных активов, а различные активы, в свою очередь, могут быть защищены различными средствами.
Гибкость и безопасность
Должно быть представлено как можно больше функций безопасности, однако настройки при этом должны быть гибкими и позволять выбрать нужный набор функций (а не «все», либо «ничего»).
Явное разделение
«пользователя» и
«администратора»
Пользователь должен иметь минимум разрешений на изменение настроек или отключение механизмов защиты.
Минимальное вмешательство человека
Средства защиты должны предусматривать минимальное вмешательство человека, так как любые производимые вручную настройки и изменений с высокой степенью вероятности приводят к ошибки.
Простота обновления
Программное обеспечение продолжает развиваться, поэтому важно, чтобы обновления устанавливались безболезненно.
Средства аудита
Должен существовать механизм, являющийся неотъемлемой частью средства защиты, предоставляющий минимальный и/или подробный аудит событий.
Минимальная зависимость от других компонентов
Средства защиты должны быть гибкими и не предъявлять жестких требований к окружению, в которое они устанавливаются.
Простота использования, незаметность для Средства защиты не должны снижать

38
персонала производительности работы, добавлять дополнительные шаги к простым задачам; пользователи не должны испытывать дискомфорт из-за их применения.
Исходящая информация (отчеты) должна предоставляться в простом и понятном виде
Важная информация должна быть представлена в простой для человека форме, понятной и применимой для анализа изменений и тенденций.
Должна существовать возможность сброса настроек средства защиты
Средства защиты должны позволять сбросить настройки и вернуться к оригинальной конфигурации и настройкам, что не должно оказывать влияния на защищаемые системы и активы.
Возможность тестирования
Должна существовать возможность протестировать работу средств защиты в различном окружении и в различных ситуациях.
Отсутствие компромиссов
Средства защиты не должны содержать скрытых каналов и потайных входов (back doors).
Производительность систем и пользователей
Применение средства защиты не должно оказывать существенного влияния на производительность систем и пользователей.
Качественная система оповещений
Порог срабатывания системы оповещения персонала об инцидентах безопасности должен быть настраиваемым, типы сообщений должны быть приемлемыми.
Не должно оказываться влияние на активы
Средства защиты не должны оказывать неблагоприятного воздействия на активы.
Защитные средства могут также иметь сдерживающие атрибуты, говорящие потенциальному злоумышленнику, что здесь внедрена надежная защита и ему лучше поискать другую, более легкую цель. Однако здесь также следует соблюдать определенную степень осторожности и не предоставлять потенциальному злоумышленнику излишней информации о применяемых средствах защиты и методах их работы, так как это может позволить ему обойти их. Если пользователи знают, как отключить антивирусную программу, чтобы повысить производительность своего компьютера, или как обойти прокси-сервер, чтобы получить неограниченный доступ в
Интернет, они будут делать это.
5.10. Обобщение
Для проведения анализа рисков, компания сначала решает, какие активы нуждаются в защите и в какой степени. Указывается, какие суммы денежных средств могут быть потрачены на защиту данных активов. Далее, оценивается функциональность доступных средств защиты и определяются те, которые будут наиболее эффективны для компании. После этого, компания должна оценить и сопоставить расходы на защитные меры. Эти шаги позволят руководству принять разумное и осознанное решение о выборе и покупке контрмер.
Необходимо учитывать, что только переоценивая риски на периодической основе можно обеспечить постоянную эффективность защитных мер и поддерживать уровень

39
рисков информационной безопасности на приемлемом уровне. Если риск не изменился и защитные меры внедрены и хорошо работают, значит риски снижены достаточно.
Продолжение анализа уязвимостей и выявления нуждающихся в защите активов также является важной задачей управления рисками.
5.11. Общий риск и Остаточный риск
Общий риск (total risk)- это риск, перед лицом которого стоит компания, не внедрившая никаких защитных мер. Если его уровень не приемлем для компании
(вероятный ущерб от реализации риска превышает стоимость защитных мер), она внедряет защитные меры чтобы снизить общий риск до приемлемого уровня. Однако систем или сред, защищенных на 100%, не существует - всегда есть некоторый остаточный риск (residual risk). Необходимо обеспечить, чтобы уровень остаточного риска был приемлем для компании.