Нир Виталий. Выпускная квалификационная работа разработка модели оценки рисков информационной безопасности корпоративной сети
 Скачать 0.65 Mb.
|
2. Разработка модели оценки рисков БКИ.1 Методики разработки оценки рисков для корпоративной сетиИнформационные риски - это опасность возникновения убытков или ущерба в результате применения компанией информационных технологий. Иными словами, IT-риски связаны с созданием, передачей, хранением и использованием информации с помощью электронных носителей и иных средств связи. В спорах на тему оценки информационных рисков или экономического обоснования инвестиций в информационную безопасность сломано немало копий. В настоящее время идет активное накопление данных, на основании которых можно было бы с приемлемой точностью определить вероятность реализации той или иной угрозы. К сожалению, имеющиеся справочники опираются на зарубежный опыт и потому с трудом применимы к российским реалиям. К тому же определение величины стоимости информационного ресурса (будь то физический сервер или файлы и записи СУБД) тоже зачастую затруднено. К примеру, если владелец ресурса может назвать стоимость оборудования и носителей и его амортизацию, то указать точную стоимость находящихся в его ведении данных он практически никогда не в состоянии. Поэтому наиболее распространенной остается качественная оценка информационных рисков, когда при отсутствии точных данных значения параметров устанавливает проводящий анализ рисков эксперт [27,28]. Анализ рисков для каждого предприятия индивидуален. Индивидуальность обеспечивает первый параметр - размер ущерба. Ведь он связан как с самими информационными ресурсами, так и с оценкой их важности, которая уникальна у каждой организации. Вот какие требования предъявляются к специалисту, который производит оценку рисков, например, в стандарте BS 7799:3 (Руководство по управлению рисками информационной безопасности): - понимание бизнеса и риск-аппетита (готовности принять данный уровень риска в процессе получения прибыли); - понимание концепции риска; - понимание угроз и уязвимостей; - понимание типов контрольных механизмов (контролей) информационной безопасности; - навыки использования методик оценки рисков; - аналитические способности; - способность определять необходимые контактные лица; - коммуникабельность. Как видно из этого списка, умение оперировать угрозами и уязвимостями не занимает первое место и не является единственным навыком. Наиболее сложным аспектом, который сильно влияет на увеличение стоимости работ по анализу рисков, оказывается необходимость понимания бизнеса. К сожалению, даже собственные подразделения ИТ и безопасности предприятия не всегда обладают достаточными знаниями. Поэтому очень важно определить, как будут выполняться работы по оценке рисков - своими силами или внешним консультантом. Несмотря на высокую стоимость услуг, часто целесообразнее отдать предпочтение второму варианту, если, конечно, руководство организации заинтересовано в реальном результате [27,30]. Как известно, система управления информационной безопасностью в целом и анализ рисков в частности - это не разовое мероприятия, а динамическая, развивающаяся система со своим жизненным циклом. Это означает, что анализ рисков необходимо проводить регулярно, через определенные периоды. Поскольку такие работы еще не очень распространены в России, в работе рассказывается о первом цикле анализа рисков, то есть о варианте, когда анализа рисков в необходимом объеме на предприятии не производилось. 2.2 Разработка методики оценки рисков на примере методики MicrosoftОсобый интерес к управлению рисками вызывает система анализа рисков крупнейшего производителя программного обеспечения почти во всех сферах деятельности - Microsoft. Процесс управления рисками, предлагаемый корпорацией Майкрософт, разбивает этап оценки рисков на три шага: - планирование - разработка основы для успешной оценки рисков; - координированный сбор данных - сбор информации о рисках в ходе координированных обсуждений рисков; - приоритизация рисков - ранжирование выявленных рисков на основе непротиворечивого и повторяемого процесса. Но с учетом неравномерной нагрузки на коммуникационную структуру предприятия в различное время, возникают неучтенные риски. По этому к трем пердыдущим пунктам можно добавить неучтенные риски, которые также оказывают существенное влияние на совокупность учтенных рисков. Собираются данные об: - активах организации; - угрозах безопасности; - уязвимостях. Собранные активы, угрозы и уязвимости следует ранжировать по их степени оказания влияния на корпоративную систему, после этого нужно соотнести активы, угрозы и уязвимости между собой и выявить закономерности [3,4]. Оценку рисков нужно проводить в то время, когда нагрузка на информационную систему будет минимальна. Работа по определению ценности информационных активов в разрезе всей организации одновременно наиболее значима и сложна. Именно оценка информационных активов позволит начальнику отдела ИБ выбрать основные направления деятельности по обеспечению информационной безопасности. Ценность актива выражается величиной потерь, которые понесет организация в случае нарушения безопасности актива. Активами считается все, что представляет ценность для организации. К материальным активам относится физическая инфраструктура. К нематериальным активам относятся данные и другая ценная для организации информация, хранящаяся в цифровой форме. В некоторых организациях может оказаться полезным определение третьего типа активов - ИТ-служб. ИТ-служба представляет собой сочетание материальных и нематериальных активов. Например, это может быть корпоративная служба электронной почты [14,30]. Для увеличения эффективности модели, анализ производится исходя из непосредственных целей и задач по защите конкретного вида информации конфиденциального характера. Одна из важнейших задач в рамках такой защиты информации - обеспечение ее целостности и доступности. Часто забывают, что нарушение целостности может произойти не только вследствие преднамеренных действий, но и по ряду других причин: – сбоев оборудования, ведущих к потере или искажению информации; – физических воздействий, в частности в результате стихийных бедствий; – ошибок в программном обеспечении (в том числе из-за недокументированных возможностей). При изучении материальных активов организации, ее электронной техники ввода, вывода и централизованной обработки информации в ее корпоративной сети, то есть провести оценку рисков внутри оценки рисков. Процесс управления рисками безопасности, предлагаемый корпорацией Майкрософт, определяет следующие три качественных класса активов: - высокое влияние на бизнес (ВВБ) - влияние на конфиденциальность, целостность и доступность этих активов может причинить организации значительный или катастрофический ущерб. К этому классу относятся конфиденциальные деловые данные; - среднее влияние на бизнес (СВБ) - влияние на конфиденциальность, целостность и доступность этих активов может причинить организации средний ущерб. Средний ущерб не вызывает значительных или катастрофических изменений, однако нарушает нормальную работу организации до такой степени, что это требует проактивных элементов контроля для минимизации влияния в данном классе активов. К этому классу могут относиться внутренние коммерческие данные, такие как перечень сотрудников или данные о заказах предприятия; - низкое влияние на бизнес (НВБ) - активы, не попадающие в классы ВВБ и СВБ, относятся к классу НВБ. К защите подобных активов не выдвигаются формальные требования, и она не требует дополнительного контроля, выходящего за рамки стандартных рекомендаций по защите инфраструктуры. Таким образом можно показать тяжесть последствий: - незначительный (менее $100); - минимальный (менее $1000); - умеренны (менее $10 000); - серьезные (существенное негативное влияние на бизнес); - критическое (катастрофическое воздействие, возможно прекращение функционирования системы) [3,18,19]. Но следует учесть, что это можно считать за базовые оценки ущерба и в зависимости от размера организации денежные суммы могут изменяться значительно. Далее определяется перечень угроз и уязвимостей и выполняется оценка уровня потенциального ущерба, называемого степенью подверженности актива воздействию. Оценка ущерба может проводиться по различным категориям: - конкурентное преимущество; - законы и регулятивные требования; - операционная доступность; - репутация на рынке. Оценку предлагается проводить по следующей шкале: - высокая подверженность воздействию - значительный или полный ущерб для актива; - средняя подверженность воздействию - средний или ограниченный ущерб; - низкая подверженность воздействию - незначительный ущерб или отсутствие такового; Следующий шаг - оценка частоты возникновения угроз: - высокая - вероятно возникновение одного или нескольких событий в пределах года; - средняя - влияние может возникнуть в пределах двух-трех лет; - низкая - возникновение влияния в пределах трех лет маловероятно. Для угроз указывается уровень воздействия в соответствии с концепцией многоуровневой защиты (уровни - физический, сети, хоста, приложения, данных). Для выявлении рисков в корпоративной сети предприятия, риски можно разделить на пять видов: - риск целостности (integrity risk): включает в себя все риски, связанные с подтверждением полномочий, завершенностью и точностью передачи транзакций и информации. Эти риски могут возникать при работе с пользовательским интерфейсом, обработке данных, обработке ошибок, изменениях в управлении и данных; - риск соответствия (relevance risk): относится к своевременности и полезности информации и непосредственно влияет на принятие решения. Другими словами, не всегда можно гарантировать, что нужная информация своевременно будет передана нужному человеку (или в нужное место); - риск готовности (availability risk): его можно нивелировать за счет контроля и превентивных действий; сюда относятся кратковременные сбои в системе во время процесса восстановления; риски, вызванные авариями, повлекшими за собой долговременные сбои, на случай которых предусмотрено резервное копирование и поддержка ряда ограничений на возможные действия; – риск доступа (access risk): включает в себя нелигитимный доступ к системе, информации и данным; риск инфраструктуры (infrastructure risk): связан с важнейшими компонентами инфраструктуры информационных систем, в том числе с аппаратным и программным обеспечением, сетями, людскими ресурсами и различными процессами [3,20,34]. Следующий шаг этапа оценки рисков - приоритизация рисков, т.е. создание упорядоченного по приоритетам списка рисков. Формирование данного списка сначала предлагается выполнить на обобщенном уровне, после чего описания наиболее существенных рисков детализируются. Итоговый уровень риска определяется исходя из уровня влияния и оценки частоты возникновения риска, для которой используется шкала: - высокая - вероятно возникновение одного или нескольких влияний в течение года; - средняя - влияние может хотя бы один раз возникнуть в течение двух или трех лет; - низкая - возникновение влияния в течение трех лет маловероятно. Для детального изучения (составления «перечня на уровне детализации») отбираются риски, отнесенные по результатам оценки на обобщенном уровне к одной из трех групп: - риски высокого уровня; - граничные риски: риски среднего уровня, которые необходимо снижать; - противоречивые риски: риск является новым и знаний об этом риске у организации недостаточно или различные заинтересованные лица оценивают этот риск по-разному. Формирование перечня рисков на уровне детализации является последней задачей процесса оценки рисков. В этом перечне каждому риску в итоге сопоставляется оценка в числовой (денежной) форме. Вновь определяются: - величина влияния и подверженности воздействию; - текущие элементы контроля; - вероятности влияния; - уровень риска. После определения уровня подверженности воздействию производится оценка величины влияния. Каждому уровню подверженности воздействию сопоставляется значение в процентах, отражающее величину ущерба, причиненного активу, и называемое фактором подверженности воздействию. Следующая задача - определение вероятности влияния. Результирующий уровень вероятности определяется на основании двух значений. Первое значение определяет вероятность существования уязвимости в текущей среде. Второе значение определяет вероятность существования уязвимости исходя из эффективности текущих элементов контроля. Меньший результат означает большую эффективность элементов контроля и их способность уменьшать вероятность взлома [3,9]. В заключение процедуры оценки рисков, проводится количественный анализ. Чтобы определить количественные характеристики, необходимо выполнить следующие задачи. - сопоставить каждому классу активов в организации денежную стоимость; - определить стоимость актива для каждого риска; - определить величину ожидаемого разового ущерба (single loss expectancy - SLE); - определить ежегодную частоту возникновения (annual rate of occurrence - ARO); - определить ожидаемый годовой ущерб (annual loss expectancy - ALE). Количественную оценку предлагается начать с активов, соответствующих описанию класса ВВБ. Для каждого актива определяется денежная стоимость с точки зрения его материальной и нематериальной ценности для организации. Также учитывается: - стоимость замены; - затраты на обслуживание и поддержание работоспособности; - затраты на обеспечение избыточности и доступности; - влияние на репутацию организации; - влияние на эффективность работы организации; - годовой доход; - конкурентное преимущество; - внутренняя эффективность эксплуатации; - правовая и регулятивная ответственность; - процесс повторяется для каждого актива в классах СВБ и НВБ [6,9]. Каждому классу активов сопоставляется одно денежное значение, которое будет представлять ценность класса активов. Например, наименьшее среди активов данного класса. Данный подход уменьшает затраты времени на обсуждение стоимости конкретных активов. После определения стоимостей классов активов необходимо определить и выбрать стоимость каждого риска. Следующей задачей является определение степени ущерба, который может быть причинен активу. Для расчетов предлагается использовать ранее определенный уровень подверженности воздействию, на основе которого определяется фактор подверженности воздействию (рекомендуемая формула пересчета - умножение значения уровня (в баллах) на 20%). Последний шаг состоит в получении количественной оценки влияния путем умножения стоимости актива на фактор подверженности воздействию. В классической количественной модели оценки рисков это значение называется величиной ожидаемого разового ущерба (SLE). Далее делается оценка ежегодной частоты возникновения (ARO). В процессе оценки ARO используются ранее полученные качественные оценки. Для определения ожидаемого годового ущерба (ALE) значения SLE и ARO перемножаются:
Величина ALE характеризует потенциальные годовые убытки от риска. Хотя данный показатель может помочь в оценке ущерба заинтересованным лицам, имеющим финансовую подготовку, группа управления рисками безопасности должна напомнить, что влияние на организацию не ограничивается величиной годовых издержек - возникновение риска может повлечь за собой причинение ущерба в полном объеме [5,3]. Анализ рисков - достаточно трудоемкая процедура. В процессе анализа рисков должны применяться методические материалы и инструментальные средства. Однако для успешного внедрения повторяемого процесса этого недостаточно; еще одна важная его составляющая - регламент управления рисками. Он может быть самодостаточным и затрагивать только риски ИБ, а может быть интегрирован с общим процессом управления рисками в организации. В процессе анализа рисков задействованы многие структурные подразделения организации: подразделения, ведущие основные направления ее деятельности, подразделение управления информационной инфраструктурой, подразделение управления ИБ. Кроме того, для успешного проведения анализа рисков и эффективного использования его результатов необходимо привлечь высший менеджмент организации, обеспечив тем самым взаимодействие между структурными подразделениями. Одной лишь методики анализа рисков или специализированного инструментального средства для оценки рисков ИБ недостаточно. Необходимы процедуры идентификации активов, определения значимости активов, разработки моделей нарушителя и угроз, идентификации уязвимостей, агрегирования и классификации рисков. В различных организациях все перечисленные процедуры могут существенно различаться. Цели и масштаб проведения анализа рисков ИБ также влияют на требования, предъявляемые к сопутствующим анализу рисков процессам. Применение метода анализа рисков для управления ИБ требует от организации достаточного уровня зрелости, на котором можно будет реализовать все необходимые в рамках анализа рисков процессы. Управление рисками позволяет структурировать деятельность отдела ИБ, найти общий язык с высшим менеджментом организации, оценить эффективность работы отдела ИБ и обосновать решения по выбору конкретных технических и организационных мер защиты перед высшим менеджментом. Процесс анализа рисков непрерывен, так как верхнеуровневые цели обеспечения ИБ могут оставаться неизменными на протяжении длительного времени, а информационная инфраструктура, методы обработки информации и риски, связанные с использованием ИТ, постоянно меняются [3,9]. Отдел ИБ и организация в целом в случае структурирования своей деятельности путем непрерывного анализа рисков получают следующие весьма значимые преимущества: - идентификация целей управления; - определение методов управления; - эффективность управления, основанная на принятии обоснованных и своевременных решений. Объединение рисков по всем ресурсам дает общую величину риска при принятой архитектуре КИС и внедренной в нее системы защиты информации. Таким образом, варьируя варианты построения системы защиты информации и архитектуры КИС, можно (за счет изменения вероятности реализации угроз) представить и рассмотреть различные значения риска. Здесь весьма важным шагом является выбор одного из вариантов в соответствии с заданным критерием принятия решения. Таким критерием может быть допустимая величина риска или отношение затрат на обеспечение информационной безопасности к остаточному риску. При построении систем обеспечения информационной безопасности также нужно определить стратегию управления рисками на предприятии. На сегодня известно несколько подходов к управлению рисками. Один из наиболее распространенных - уменьшение риска путем принятия комплексной системы контрмер, включающей программно-технические и организационные меры защиты. Близким является подход, связанный с уклонением от риска. От некоторых классов рисков можно уклониться, например: вынесение Web-сервера организации за пределы локальной сети позволяет избежать риска несанкционированного доступа в локальную сеть со стороны Web-клиентов [28,30]. Наконец, в ряде случаев допустимо принятие риска. В этой ситуации важно определиться со следующей дилеммой: что для предприятия выгоднее - бороться с рисками или же с их последствиями. Здесь приходится решать оптимизационную задачу. Необходимо отметить, что выполнение анализа рисков и оценки потерь требует глубоких системных знаний и аналитического мышления во многих областях, смежных с проблемой защиты информации. |
