Криптография. Вопросы для повторения

Менеджмент информационной безопасности
14
Рис. 1.2. Процессная модель управления информационной безопасностью
Что касается мер, то следует заметить, что в мире
1
сложилась нормативная база менеджмента ИБ, в том числе организацион- но-технических мер ИБ. Наибольшей популярностью пользуют- ся стандарты ISO 27001 и NIST 800-53 [62]. Например, в ISO
27001:2013 (в приложении A) представлено 114 мер управления и контроля, применяемых в жизненном цикле СМИБ, которые распределены по 14 рубрикам:
‘
A.5: Политики информационной безопасности;
‘
A.6: Организационные аспекты информационной безопас- ности;
‘
A.7: Вопросы безопасности, связанные с персоналом;
‘
A.8: Управление активами;
‘
A.9: Управление доступом;
‘
A.10: Криптография;
1
·RU· В России, кроме международных стандартов, применяются приказы ФСТЭК
России № 17, 21, 31, которые регламентируют национальные организационно-тех- нические (некриптографические) меры обеспечения безопасности информации для некоторых классов информационных систем.

15
Система менеджмента информационной безопасности
‘
A.11: Физическая безопасность и защита от угроз окружаю- щей среды;
‘
A.12: Безопасность операций;
‘
A.13: Безопасность коммуникаций;
‘
A.14: Приемка, разработка и поддержка систем;
‘
A.15: Отношения с поставщиками услуг;
‘
A.16: Управление инцидентами информационной безопас- ности;
‘
A.17: Аспекты информационной безопасности в обеспечении непрерывности бизнеса;
‘
A.18: Соответствие требованиям.
Следует прокомментировать выбор, внедрение и контроль ука- занных мер ИБ (или «мер управления и контроля»), направленных главным образом на минимизацию остаточных рисков.
В случае внедрения СМИБ в соответствии с ISO 27001:2013 компания руководствуется приложением A стандарта для выбора конкретных мер, при этом исключение меры должно быть обо- снованным, как и включение меры, отсутствующей в стандарте.
Интересно, что меры неравноценны. В целом меры из приложе- ния A относятся к организационным, например встречаются меры
«Политика контроля доступа» (A.9.1.1), «Правила использования активов» (A.8.1.3), предусматривающие определение правил ИБ в форме политик. Что же касается технических мер, то они фор- мулируются общими словами, например: «Безопасность сетевых сервисов» (A.13.1.2).
После решения задачи выбора мер (которые должны быть внед- рены, чтобы снизить риски до приемлемого уровня) определяет- ся: что конкретно должно быть сделано, какие ресурсы для этого необходимо задействовать, кто будет ответственным, как будет проводиться оценка выполнения.
На данном этапе разрабатываются политики, процедуры, ин- струкции (подробнее о них ниже), внедряются технические сред- ства защиты информации, проводится обучение специалистов, задействованных в процессах обеспечения ИБ, внедряется про-

Менеджмент информационной безопасности
16
грамма повышения осведомленности сотрудников компании в во- просах безопасности (security awareness program).
В результате внедрения мер должны быть получены работающие процессы СМИБ, которые выполняются, измеряются и контроли- руются. Необходимо отметить следующие три важные составляю- щие контроля работы СМИБ:
‘
операционный контроль,
‘
внутренний аудит,
‘
анализ со стороны руководства.
Операционный контроль подразумевает собой текущий конт- роль со стороны непосредственных руководителей. Например, принятая процедура предусматривает выполнение периодиче- ского сканирования на наличие уязвимостей сетевых сервисов, и отвечает за эту функцию конкретный специалист отдела ИБ.
Соответственно, руководитель отдела следит за тем, чтобы зада- ча выполнялась подчиненным и чтобы он вовремя получал отчет с результатами сканирования.
Внутренний аудит заключается в периодической проверке эф- фективности мер. Например, аудитор просит системного адми- нистратора предоставить перечень учетных записей, созданных в течение прошлого года, выбирает несколько и просит показать заявки, по которым он может убедиться, что доступ был согласован с руководителями сотрудников и с владельцами системы.
Анализ со стороны руководства подразумевает, что менеджмент интересуется тем, как работает СМИБ, и, в частности, анализирует результаты проведенных аудитов (как внутренних, так и внешних), информацию о количестве произошедших инцидентов ИБ, в каком объеме требуются ресурсы для работы системы и т. п.
Результатом подобных контрольных мероприятий будет инфор- мация о недостатках и необходимых улучшениях системы.
Заметим, что в мировой практике, кроме ISO-стандартов, попу- лярностью пользуются представленные в открытом доступе доку- менты NIST [62–66, 70].
Далее в главе мы рассмотрим ключевые аспекты менеджмента
ИБ, а именно:

17
Анализ и управление рисками
‘
риск-ориентированный подход к менеджменту ИБ,
‘
классификацию информации и документирование,
‘
аспекты человеческого фактора.
1.3. Анализ и управление рисками
1.3.1. Цикл управления рисками
Очевидно, что повышение ИБ не является самоцелью. С точки зрения бизнеса, основная цель реализации тех или иных серви- сов ИБ – это всего лишь механизм предотвращения возможного ущерба организации. Основным методом решения задачи обосно-
ванного анализа и синтеза мер и средств безопасности является управление рисками (risk management).
Управление рисками представляет собой процесс всестороннего изучения факторов, которые могут привести к реализации воз- можных угроз по отношению к активам информационной системы, для последующего выбора, реализации и контроля экономически эффективных мер безопасности.
Управление рисками в общем виде включает в себя оценку рис- ка, обработку риска, контроль и оптимизацию рисков.
Процесс оценки рисков включает в себя два этапа:
‘
анализ рисков,
‘
оценивание рисков.
Анализ рисков имеет целью идентификацию источников и оценку величины риска. В общем виде в анализ риска входят инвента- ризация и категорирование ресурсов, идентификация значимых угроз и уязвимостей, а также оценка вероятностей реализации угроз и уязвимостей.
Оценивание риска заключается в вычислении риска и оценива- нии его по заданной шкале.
Как правило, риск вычисляется как функция от стоимости акти- вов и вероятности реализации тех или иных угроз по отношению к данным активам.

Менеджмент информационной безопасности
18
Рис. 1.3. Процедура оценки и обработки риска
После того как риск был оценен, должно быть принято решение относительно обработки этого риска
– выбора и реализации мер по модификации риска.
В основу принятия решения кладут ожидаемые потери и частоту возникновения инцидента. Помимо предполагаемых потерь, орга- низация должна также рассмотреть затраты на реализацию реше- ния по обработке риска, а также политику руководства, простоту мер и сервисов безопасности и т. д.
Полученное значение риска анализируется, и выбирается одна из четырех мер обработки риска:
1. Уменьшение риска (reducing risk, risk mitigation). Риск счи- тается неприемлемым, и для его уменьшения выбираются и реа лизуются соответствующие механизмы безопасности.
2. Передача риска (assigning risk, transferring risk). Риск счита- ется неприемлемым и на определенных условиях (например, в рамках страхования, поставки или аутсорсинга) переадре- суется сторонней организации.

19
Анализ и управление рисками
3. Принятие риска (accepting risk). Риск в данном случае счи- тается осознанно допустимым – организация должна сми- риться с возможными последствиями. Обычно это означает, что стоимость реализации контрмер значительно превосходит финансовые потери в случае реализации угрозы либо органи- зация не может сочинить меры и средства безопасности.
4. Отказ от риска (rejecting risk, ignoring risk). Риск исключается путем отказа от бизнес-процессов организации, являющихся причиной риска. Например, отказ от электронных платежей по Интернету.
В результате обработки риска остается так называемый оста- точный риск (residual risk), относительно которого принимается решение о завершении этапа отработки риска.
В результате этого процесса должен быть разработан план об- работки рисков.
Международный стандарт ISO 27005 регламентирует общий под- ход к менеджменту рисков ИБ, а ISO 31010 определяет множест- во методик и методов анализа риска, как то: «мозговой штурм», структурированные и полуструктурированные опросы, метод Дель- фи, контрольные листы, анализ сценариев, BIA, анализ дерева неисправностей, анализ дерева событий, причинно-следственный анализ, анализ причинно-следственных связей, анализ уровней надежности средств защиты, анализ дерева решений, HRA, анализ диаграммы «галстук-бабочка», цепи Маркова (ТМО), метод Мон- те-Карло, байесовский подход и сети Байеса, FN-кривые, метод индексов рисков, матрица последствий и вероятностей, многокри- териальный анализ решений и др.
Известен ряд технологий и программных средств оценки и управления рисками ИБ, из которых можно назвать: FRAM
(Facilitated Risk Analysis Process), CRAMM (CCTA Risk Analysis and Management Method), MSAT (Microsoft Security Assessment
Tools), OCTAVE (Operationally Critical Threat, Asset, and Vul ne- rability Evaluation) и др.
Ответственность за управление рисками лежит на высшем ме- неджменте организации (CEO, Chief Executive Officer). В то же

Менеджмент информационной безопасности
20
время рутинные операции по оценке, обработке и мониторингу рисков часто делегируются сотрудникам службы ИБ.
1.3.2. Методы оценки рисков
Различают два метода оценки рисков:
‘
количественный (quantitative)
1
,
‘
качественный (qualitative).
Для количественной оценки рисков характерно использование объективных численных, а именно финансовых характеристик.
В отличие от количественного, качественный анализ рисков не ставит своей задачей получение численных финансовых характе- ристик. Для оценки активов и критичности угроз вводится качест- венная неформальная или полуформальная шкала, и основной целью анализа становится ранжирование угроз в соответствии с выбранными критериями.
В международной практике при проведении количественного анализа часто используются следующие показатели:
‘
EF – уровень компрометации (Exposure Factor). Данная характеристика определяет, какая часть актива в про- центном соотношении будет потеряна в случае реализации угрозы;
‘
SLE – ожидаемые однократные потери (Single Loss
Expectancy). Определяет ожидаемые потери от однократной реализации угрозы и вычисляется по следующей формуле:
SLE = AV · EF,
где AV – стоимость актива;
‘
ARO – среднегодовая частота реализации (Annualized Rate of Occurrence). Представляет собой ожидаемое количество реализаций угрозы по отношению к активу в течение года;
‘
ALE – ожидаемые среднегодовые потери (Annualized Loss
Expectancy). Определяет ожидаемые финансовые потери от
1
В ISO 31010 для случая применения шкал используется понятие «полуколичествен- ный» метод.

21
Анализ и управление рисками всех случаев реализации определенной угрозы за год и вычис- ляется по следующей формуле:
ALE = SLE · ARO.
Порядок проведения количественной оценки рисков может быть следующим:
1) оценка вероятных финансовых потерь путем оценки AV, EF и вычисления SLE;
2) выявление потенциальных угроз и вычисление ARO;
3) вычисление ALE;
4) анализ полученных значений и выбор одной из мер обработки риска, описанных ранее;
5) в случае если принято решение о необходимости уменьшения риска, то после выбора механизмов безопасности проводится повторное вычисление ALE с учетом изменившейся вероят- ности реализации угрозы.
Как правило, на практике точный расчет значений рисков невозможен из-за неопределенности, нечеткости и неточности входных данных, описывающих, по сути, качественные характе- ристики.
Приведем пример методики качественной оценки уровня рисков:
1) с использованием заданных шкал (например, 5-бальных) оце- ниваются уровни стоимости идентифицированного ресурса и уровни вероятности угрозы;
2) по заданной матрице риска (рис. 1.4) рассчитываются уровни риска.
Для определения затрат на обработку рисков может быть выпол- нено ранжирование инцидентов по уровню риска.

Менеджмент информационной безопасности
22
Рис. 1.4. Матрица оценки рисков
1.3.3. Выбор мер безопасности
При минимизации риска главным критерием выбора мер и средств безопасности является экономическая эффективность, которая обычно количественно оценивается с помощью показателя ROI
(Return on Investment – отдача от инвестиций):
ROI = NVP (
∆ALE – AT),
где AT – годовые затраты на внедрение и поддержку механизма безопасности,
∆ALE – ожидаемое снижение среднегодовых по- терь от внедрения механизма безопасности, NPV – коэффициент инфляции (Net Present Value).

23
Классификация информации
Данный показатель позволяет наглядно оценить выигрыш (или отсутствие такового) от использования того или иного механизма безопасности.
Другими важными факторами, влияющими на выбор мер безопас- ности, являются отраслевые стандарты и правовые нормы, кото- рые в ряде случаев требуют использования детерминированных технологий и механизмов безопасности, возможно, не являющихся оптимальными с экономической точки зрения. Примером может служить требование по использованию ведомственных сертифи- цированных средств защиты информации для систем, обрабаты- вающих информацию, составляющую государственную тайну, или персональные данные.
1.4. Классификация информации
При управлении ресурсами самыми важными являются их клас- сификация и определение ответственности за них. Дело в том, что в информационных системах обрабатывается и хранится, как правило, информация разного уровня значимости с точки зрения
ИБ. Например, в системе может быть информация как открытая
(общедоступная), так и ограниченного доступа. Кроме того, к раз- личным наборам и потокам данных могут предъявляться различные требования по доступности и целостности, а также и другие требо- вания, определяемые спецификой бизнес-процессов организации.
Для обоснования необходимого уровня защиты информации предназначена процедура классификации (категорирования) ин- формации (information classification) – распределение информации по различным классам ИБ. Результаты классификации позволяют структурировать документооборот, определить критические под- системы, сформировать требования и выбрать меры и сервисы безопасности.
Исторически категорирование информации возникло как эле- мент обеспечения ИБ в национальных и оборонных информацион- ных инфраструктурах. В большинстве развитых стран сложилась градация информации на относящуюся и не относящуюся к госу-

Менеджмент информационной безопасности
24
дарственной тайне – а последняя, в свою очередь, классифици- руется по степени секретности
1
. Например, в ряде стран можно встретить следующую классификацию информации:
‘
Top Secret – информация, которая имеет важное значение для обеспечения национальной безопасности;
‘
Secret – информация, разглашение которой может причинить серьезный ущерб национальным интересам;
‘
Confidential – информация, разглашение которой может при- чинить ущерб национальным интересам;
‘
Sensitive (Controlled, Restricted, For Official Use Only, Limited
Distribution) Unclassified Information – информация, не яв- ляющаяся общедоступной, однако не способная причинить значительного ущерба национальным интересам в случае ее разглашения;
‘
Unclassified – общедоступная информация.
В ряде зарубежных стран ограничения к информации вводятся дополнительно политиками по безопасности разного типа объектов информатизации.
Для получения доступа к какой-либо из классифицированной информации должны быть выполнены два условия:
‘
пользователь должен иметь соответствующий уровень допус- ка (clearance);
‘
соответствующая информация должна иметь непосредствен- ное отношение к деятельности пользователя.
Последнее требование очень важно, т. к. реализует так называе- мый принцип «
положено знать только то, что связано с профес- сиональной необходимостью» (need-to-know). Для этого в пре- делах одного уровня секретности производится дополнительное
1
·RU· В России информация ограниченного доступа разделяется на составляющую государственную тайну («особой важности», «совершенно секретно», «секретно») и информацию ограниченного доступа, не относящуюся к государственной тайне
(конфиденциальная информация). К конфиденциальной информации относят около полусотни видов тайн: коммерческую тайну, врачебную тайну, личную и семейную тайну (персональные данные) и др.

25
Классификация информации разграничение доступа к информации по смысловым категориям
1
К примеру, пусть пользователь имеет допуск к информации с гри- фом «особой важности». В таком случае это совершенно не озна- чает наличия его доступа к любой информации данной степени секретности. Пользователь может получить только ту информа- цию, которая имеет непосредственное отношение к его служебной деятельности.
С учетом вышеизложенного идею классификации информации можно представить рис. 1.5.
Рис. 1.5. Уровни классификации информации
Для негосударственных структур выбор уровней конфиденциаль- ности и категорий защищаемой информации может быть выполнен произвольно с учетом специфики конкретной организации.
На практике при проведении классификации информации в ка- честве критериев могут быть определены следующие:
1) ценность информации (value). Это наиболее универсальный критерий классификации информации, допускающий очень широкое толкование. Обычно ценность легко выражает-
1
Например, гриф секретности может быть помечен дополнительной литерой.

Менеджмент информационной безопасности
26
ся в денежных единицах (например, можно количественно оценить стоимость уникальной продукции). Иногда ценность определяется качественно (например, трудно оценить мате- риальный ущерб от незапланированного раскрытия финансо- вых показателей компании, однако потери могут быть вполне ощутимыми);
2) возраст информации (age). Во многих случаях актуальность
(и, соответственно, ценность) информации уменьшается с те- чением времени;
3) юридические аспекты. Определенные категории информа- ции в соответствии с законодательством большинства стран подлежат защите в обязательном порядке. Это прежде все- го государственная тайна, персональные данные (приватная информация о сотрудниках), данные по налогообложению, врачебная тайна и т. п.
Приведем типовой порядок классификации информации.
Первое – это назначение сотрудника, ответственного за клас- сификацию информации. Данная роль является одной из самых критичных для всей системы обеспечения ИБ организации.
Второе – следует выбрать критерии для классификации инфор- мации. Выбор одного или нескольких из приведенных выше крите- риев должен быть обусловлен спецификой организации. Первич- ную классификацию осуществляет владелец информации, однако результаты контролируются вышестоящим руководителем.
Далее следует провести идентификацию и документирование всех исключений из общих правил, существующих в системе клас- сификации информации.
После этого осуществляются выбор и документирование серви- сов безопасности, применяемых для защиты информации каждого из уровней конфиденциальности.
Затем выполняются определение и документирование порядка изменения уровня конфиденциальности для тех или иных данных.
Данная процедура может потребоваться, например, в случае воз- никновения необходимости передачи категорированных данных за пределы автоматизированной системы организации.

27
Классификация информации
В завершение следует организовать доведение до сотрудников компании порядка обращения с классификационной информа- цией. Данный аспект является одним из важнейших, поскольку адекватная реализация многоуровневой политики безопасности принци пиально невозможна в случае непонимания сотрудниками ее базовых принципов.
Отдельного рассмотрения заслуживает порядок изменения уров- ня конфиденциальности информации. Отметим, что, кроме исте- чения заданного срока конфиденциальности информации, поводом для ее раскрытия может стать, например, судебный запрос.
Важно заметить, что классифицированная информация должна подлежать