- •1. Оценка рисков информационной безопасности для беспроводных телекоммуникационных сетей
- •1.1. Оценка рисков и международные стандарты
- •1.1.1. Стандарт iso/iec 17799:2000(e), iso/iec tr 13335-2
- •1.1.2. Стандарт nist 800-30
- •1.1.3. Стандарт СоbiТ
- •1.1.4. Стандарт score
- •1.1.5. Метод cramm
- •1.1.6. Стандарт SysTrust
- •1.2. Методика оценки рисков информационной безопасности беспроводных телекоммуникационных систем
- •1.3. Расчет риска отказа в обслуживании абонентов базовой станции беспроводной системы связи
- •2. Управление рисками информационной безопасности для беспроводных систем связи
- •2.1. Методика управления рисками информационной безопасности
- •2.2. Основные концепции управления рисками информационной безопасности
- •2.2.1. Концепция управления рисками octave
- •2.2.2. Концепция управления рисками сramm
- •2.2.3. Концепция управления рисками mitre
- •2.3. Инструментарий для управления рисками информационной безопасности
- •3. Методы и средства снижения рисков беспроводных систем связи
- •3.1. Аутентификация
- •3.1.1. Открытая аутентификация
- •3.1.2. Аутентификация с совместно используемым ключом
- •3.1.3. Аутентификация с использованием мас-адресов
- •3.2. Шифрование данных
- •3.2.1. Шифрование с применением статических wep-ключей
- •3.2.2. Шифрование с использованием протокола целостности временных ключей (tkip)
- •3.2.3. Улучшенный алгоритм шифрования (aes)
- •3.3. Виртуальные частные сети (vpn) как механизм защиты беспроводных систем связи
- •3.3.1. Топологии vpn с точки зрения беспроводной связи
- •3.3.2. Туннельные протоколы в vpn
- •3.3.3. Альтернативные реализации vpn
- •3.3.3.1. Протокол cIPe
- •3.3.3.2. Пакет OpenVpn
- •3.3.3.3. Пакет vTun
- •3.3.3.4. Обзор протокола ipSec
- •3.4. Системы обнаружения атак (ids)
- •Вопросы для самоконтроля
- •394026 Воронеж, Московский просп., 14
2. Управление рисками информационной безопасности для беспроводных систем связи
Сущность любого подхода к управлению рисками заключается в принятии адекватных решений по их обработке и анализе сопутствующих факторов. Факторы риска – это те семь основные параметры, которыми мы оперируем при оценке: актив (asset), ущерб (loss), угроза (threat), уязвимость (vulnerability), механизм контроля (control), размер среднегодовых потерь (ALE) и возврат инвестиций (ROI).
Способы анализа и оценки этих параметров определяются используемой в организации методологией оценки рисков. При этом общий подход и схема рассуждений примерно одинаковы, какая бы методология не использовалась. Процесс оценки рисков (assessment) включает в себя две фазы. На первой фазе, которая определяется в стандартах как анализ рисков (analysis), необходимо адекватно оценить активы компании, их реальную ценность, угрозы, актуальные для них, возможные последствия и пр. На второй фазе, которая определяется стандартами как оценивание рисков (evaluation), необходимо ответить на вопрос, какой уровень риска (размер среднегодовых потерь) является приемлемым для организации и, исходя из этого, какие риски превышают этот уровень.
Таким образом, по результатам оценки можно получить описание рисков, превышающих допустимый уровень и реальное представление об их величине. Последняя определяется размером среднегодовых потерь. Далее необходимо принять решение по обработке рисков, т.е. ответить на вопросы о выборе варианта обработки рисков, механизмах контроля их минимизации и степени эффективности.
На выходе данного процесса появляется план обработки рисков, определяющий способы, стоимость контрмер, а также сроки и ответственных за их реализацию.
Принятие решения по обработке рисков – ключевой и наиболее ответственный момент в процессе управления внедрением СУИБ. Чтобы руководство могло принять правильное решение, сотрудник, отвечающий за управление рисками в организации, должен предоставить ему соответствующую информацию. Форма представления такой информации определяется стандартным алгоритмом делового общения, который включает в себя четыре основных пункта: сообщение о проблеме, оценка степени ее серьезности, предлагаемое и альтернативные решения [9, 10].
2.1. Методика управления рисками информационной безопасности
Методика управления остаточными рисками подразумевает несколько способов действий. Риск может быть:
- принят (assumption), т.е. пользователь согласен на риск и связанные с ним потери, поэтому работа информационной системы продолжается в обычном режиме;
- снижен (mitigation) – с целью уменьшения риска будут приняты определенные меры;
- передан (transferrence) – компенсацию материального ущерба возложат на страховую компанию, либо риск трансформируют в другой риск – с более низким значением – путем внедрения специальных механизмов.
Некоторые методики дополнительно предусматривают еще один способ управления – упразднение (avoidance). Он подразумевает принятие мер по ликвидации источника риска. Например, удаление из системы функций, порождающих риск, либо выведение части системы из эксплуатации. Однако такой подход нежелателен ввиду того, что если величина риска достаточно велика, порождающий компонент критичен для информационной системы и, следовательно, не может быть удален. При низких значениях риска данный метод трансформируется в метод снижения риска.
После ранжирования рисков определяются требующие первоочередного внимания; основным методом управления такими рисками является снижение, реже – передача. Риски среднего ранга могут передаваться или снижаться наравне с высокими рисками. Риски низшего ранга, как правило, принимаются и исключаются из дальнейшего анализа.
Диапазон ранжирования рисков принимается исходя из проведенного расчета их качественных величин. Таким образом, управление рисками сводится к снижению до допустимого уровня рисков.
Снижение величины риска достигается за счет уменьшения одной из составляющих (стоимость ресурса, мера уязвимости ресурса к угрозе, оценка ожидаемого возможного ущерба от единичной реализации определенной угрозы).
Выбор допустимого уровня риска связан с затратами на реализацию подсистемы информационной безопасности. Существует два подхода к выбору допустимого уровня рисков.
Первый подход типичен для базового уровня безопасности. Уровень остаточных рисков не принимается во внимание. Затраты на программно-технические средства защиты и организационные мероприятия, необходимые для соответствия информационной системы спецификациям базового уровня (антивирусное ПО, МЭ, криптографическая защита, системы контроля доступа) являются обязательными, целесообразность их использования не обсуждается. Дополнительные затраты (если такой вопрос будет поставлен по результатам проведения аудита ИБ либо по инициативе службы безопасности) должны находиться в разумных пределах и не превышать 5-15 % средств, которые тратятся на поддержание работы информационной системы.
Второй подход применяется при обеспечении повышенного уровня безопасности. Собственник информационных ресурсов должен сам выбирать допустимый уровень остаточных рисков и нести ответственность за свой выбор.
В зависимости от уровня зрелости организации, характера основной деятельности обоснование выбора допустимого уровня риска может проводиться разными способами [11].