Управление информационными рисками – Т. Ю. Зырянова, А. А. Захаров, Ю. И. Ялышев (2008)

личаются по охвату целей безопасности. В ОК выделены следующие классы функциональных требований (имя класса формируется из буквы F (от Functional) и сокращения названия класса):

1.Аудит безопасности (FAU).

2.Связь (FCO).

3.Криптографическая поддержка (FCS).

4.Защита данных пользователя (FDP).

5.Идентификация и аутентификация (FIA).

6.Управление безопасностью (FMT).

7.Приватность (FPR).

8.Защиты ФБО (FPT).

9.Использование ресурсов (FRU).

10.Доступ к ОО (FTA).

11.Доверенный маршрут/канал (FTP).

Классы требований доверия следующие (имя класса формируется из буквы A (от Assurance) и сокращения названия класса):

1.Оценка профиля защиты (APE).

2.Оценка задания по безопасности (ASE).

3.Управление конфигурацией (ACM).

4.Поставка и эксплуатация (ADO).

5.Разработка (ADV).

6.Руководства (AGD).

7.Поддержка жизненного цикла (ALC).

8.Тестирование (ATE).

9.Оценка уязвимостей (AVA).

10.Поддержка доверия (AMA).

Семейством называется группа наборов требований, имеющих общие цели безопасности, но различающихся акцентами или строгостью.

Компонент описывает специфический набор требований безопасности, который является наименьшим выбираемым набором для вклю- чения в пакет, профиль защиты и задание по безопасности.

Следует отметить, что между компонентами могут устанавливаться зависимости. В этом случае при включении в пакет, ПЗ, ЗБ компонента, автоматически включаются и все подчиненные компоненты.

В качестве примера рассмотрим класс требований FAU Аудит безопасности.

Аудит безопасности включает в себя распознавание, запись, хранение и анализ информации, связанной с действиями, относящимися к безопасности.

111

Âкласс FAU входят, например, следующие семейства (здесь приведен неполный перечень семейств класса):

FAU_ARP Автоматическая реакция аудита безопасности; FAU_GEN Генерация данных аудита безопасности; FAU_SSA Анализ аудита безопасности; и т. д.

Семейство требований, например, FAU_SSA определяет требования для автоматизированных средств, которые анализируют показатели функционирования системы и данные аудита в целях поиска возможных или реальных нарушений безопасности.

Âэто семейство входят четыре компонента (здесь приведен полный перечень компонентов):

FAU_SSA.1 Анализ потенциального нарушителя; FAU_SSA.2 Выявление аномалии, основанное на профиле;

FAU_SSA.3 Простая эвристика атаки (имеется в виду обнаружение характерных событий, которые свидетельствуют о значительной угрозе);

FAU_SSA.4 Сложная эвристика атаки (имеется в виду обнаружение событий, свидетельствующих о многошаговом сценарии проникновения).

3.4.9. Оценочные уровни доверия

В части 3 «Общих критериев» вводится понятие оценочных уровней доверия (ОУД), которые образуют возрастающую шкалу, позволяющую соотнести получаемый уровень доверия со стоимостью и возможностью достижения этой цели.

Сводное описание ОУД приведено в табл. 3.2. Столбцы таблицы представляют иерархически упорядоченный набор ОУД, а строки — семейства доверия. Каждый номер в ячейках таблицы означает конкретный компонент доверия из соответствующего семейства, применяемый для соответствующего ОУД.

В стандарте определены семь иерархически упорядоченных ОУД для ранжирования требований к ОО. Каждый последующий ОУД представляет собой более высокое доверие, чем любой из предыдущих. Увеличение доверия от предыдущего ОУД к последующему достигается заменой какого-либо компонента доверия иерархичным компонентом из того же семейства доверия (то есть увеличением строгости, области и/или глубины оценки) и добавлением компонентов из других семейств доверия, то есть добавлением новых требований.

112

113

3.4.10. Процесс оценки ОО

Оценка ОО, согласно «Общим критериям», начинается с оценки ПЗ и ЗБ и проводится по схеме, приведенной на рис. 3.8.

Ðèñ. 3.8. Процесс оценки ОО

Оценка ПЗ выполняется согласно критериям, содержащимся в ча- сти 3 «Общих критериев». Целью такой оценки является проверка того, что ПЗ полон, непротиворечив, технически правилен и пригоден для использования при изложении требований к ОО. Результат оценки ПЗ формулируется как «соответствие/несоответствие». Соответствующий критериям ПЗ включается в реестр.

Оценка ЗБ также проводится согласно требованиям части 3 «Общих критериев». Ее цель, во-первых, установить, что ЗБ является полным, непротиворечивым, технически правильным и, соответственно, пригодным для использования в качестве основы для оценки соответствующего ОО. Во-вторых, если в ЗБ имеется утверждение о соответствии некоторому ПЗ, установить, что ЗБ должным образом отвечает требованиям этого ПЗ.

Оценка ОО проводится согласно критериям части 3 «Общих критериев», с использованием в качестве основы ЗБ, прошедшего оценку. Цель такой оценки — продемонстрировать, что ОО отвечает требованиям безопасности, содержащимся в ЗБ. В результате оценки ОО дол-

114

жна быть установлена степень доверия тому, что ОО соответствует требованиям. Результат формулируется как «соответствие/несоответствие». ОО, для которого получена положительная оценка, получает право включения в реестр.

Как показывает международный и отечественный опыт применения «Общих критериев», этот документ позволяет повысить качество оценки и уверенность в безопасности информационных технологий за счет трех основных характеристик:

1)возможности гибкого задания требований к средствам защиты информации с учетом их назначения и условий применения;

2)более полного и обоснованного набора требований безопасности;

3)использования общей методологии оценки, обеспечивающей объективность и сопоставимость результатов.

«Общие критерии» определяют функциональные требования безопасности и требования к адекватности реализации функций безопасности.

При проведении работ по анализу защищенности информационных систем «Общие критерии» целесообразно использовать в качестве основных критериев, позволяющих оценить уровень защищенности системы с точки зрения полноты реализованных в ней функций безопасности и надежности реализации этих функций.

3.5. Стандарты серии ISO/IEC 13335

Стандарты серии ISO/IEC 13335 менее известны и не так широко применяются. Эта серия включает в себя четыре документа и содержит:

—определения важнейших понятий, непосредственно связанных

ñпроблемой управления информационной безопасностью;

—определение важных архитектурных решений по созданию систем управления информационной безопасностью, в том числе определение состава элементов, задач, механизмов и методов СУИБ;

—описание типового жизненного цикла и принципов функционирования СУИБ;

—описание принципов формирования политики (методики) управления информационной безопасностью;

—методику анализа исходных данных для построения СУИБ, в частности методику идентификации и анализа состава объектов защиты, уязвимых мест информационной системы, угроз безопасности и рисков;

115

—методику выбора соответствующих мер защиты и оценки остаточного риска;

—принципы построения организационного обеспечения управления в СУИБ.

3.6. Национальный стандарт Германии

Немецкий национальный стандарт BSI «Руководство по обеспече- нию безопасности информационных технологий базового уровня» счи- тается самым объемным, содержательным и практичным стандартом по информационной безопасности. Он имеется в свободном доступе в сети Интернет и представляет собой очень интересный набор документов для ознакомления. В них содержатся подробные руководства по обеспечению информационной безопасности применительно к различным аспектам функционирования информационных систем и различным областям ИТ.

Данный стандарт постоянно совершенствуется с целью обеспече- ния его соответствия текущему состоянию дел в области информационных технологий и информационной безопасности. К настоящему времени накоплена уникальная база знаний, содержащая информацию по угрозам и контрмерам в хорошо структурированном виде.

3.7. Стандарт NIST 800-30

NIST 800-30 «Risk Management Guide for Information Technology Systems» — рекомендации Национального института стандартов и технологий США «Руководство по управлению рисками для систем информационных технологий».

3.7.1. Содержание и основные положения стандарта

Стандарт NIST 800-30 содержит следующие разделы:

1.Введение.

2.Обзор процесса риск-менеджмента.

2.1.Важность риск-менеджмента.

2.2.Внедрение риск-менеджмента в жизненный цикл СУИБ

3.Оценка риска.

3.1.Шаг 1: Описание системы.

3.2.Шаг 2: Идентификация угроз.

3.3.Шаг 3: Идентификация уязвимостей.

3.4.Шаг 4: Анализ контроля.

116

3.5.Шаг 5: Вычисление вероятности реализации угрозы.

3.6.Шаг 6: Анализ ущерба.

3.7.Шаг 7: Определение рисков.

3.8.Шаг 8: Рекомендации по контролю.

3.9.Шаг 9: Документирование результатов.

4.Уменьшение риска.

5.Лучшие практики информационной безопасности.

Согласно данному стандарту, проведенный риск-менеджмент — это ключевой шаг к достижению успеха в общем процессе управления ИТ-безопасностью.

Главной целью риск-менеджмента должна быть защита предприятия, организации, ее возможность следовать своей миссии (не только защиты ее ИТ-ресурсов).

Таким образом, управление рисками является одной из необходимых функций управления, которая не должна быть сведена к исклю- чительно технической функции, связанной с эксплуатацией информационной технологии или выполнением персоналом требований по безопасности. Руководство организации, ответственное за ИТ-инфраструктуру, должно определить и гарантировать выполнение эффективной и всесторонней программы управления рисками, которая должна охватывать все сегменты предприятия и поддерживать осуществление его миссии.

Управление риском представляет собой процесс идентификации риска, процесс оценки степени риска и процесс осуществления мероприятий, направленных на уменьшение риска до приемлемого уровня. Цель выполнения процессов управления риском состоит в том, чтобы дать возможность организации выполнить свою миссию или миссии за счет:

1)повышения безопасности ИТ-систем, которые хранят, обрабатывают или передают информацию в пределах и вне организации;

2)повышения информированности и осведомленности руководства относительно принятых решений по управлению риском для получения обоснованных объемов затрат, которые должны становиться неотъемлемой частью общего бюджета информационных технологий;

3)оказания помощи руководству в авторизации (или в аккредитации) своих ИТ-систем на базе документированной поддержки результатами, вытекающими из выполнения процессов управления риском.

Управление риском охватывает решение трех задач:

— оценка (или определение) риска;

— уменьшение риска;

— окончательные оценки и выводы.

117

Управление рисками является процессом, который позволяет ИТменеджерам сбалансировать эксплуатационные и экономические затраты предпринимаемых мер по защите и достигать улучшений в осуществлении миссии, обеспечивая защиту тех ИТ-систем и тех данных, которые поддерживают выполнение миссии своих организаций.

Таблица 3.3

Обобщенное представление действий по управлению риском для каждой стадии жизненного цикла ИТ-системы

118

Ðèñ. 3.9. Общая схема методологии оценки риска

119

Жизненный цикл ИТ-систем имеет пять основных стадий:

1)инициирование;

2)разработка (или приобретение);

3)реализация;

4)эксплуатация (или обслуживание);

5)вывод из эксплуатации (удаление, передача, списание и т. д.). В табл. 3.3 обобщается деятельность по управлению риском, свя-

занная с каждой стадией жизненного цикла ИТ-системы.

3.7.2. Методика оценки риска

Оценка риска является первым процессом в методологии управления рисками. Организации используют оценку риска, чтобы определить степень потенциальной угрозы и связанного с ней риска от применения ИТ-системы в пределах всего своего жизненного цикла. Результаты этого процесса помогают идентифицировать соответствующие меры по управлению (контролю) за сокращением или устранением риска при выполнении мероприятий, направленных на уменьшение риска.

Методика оценки риска охватывает девять главных шагов. Общая схема методики оценки риска представлена на рис. 3.9.

3.7.3. Уменьшение рисков

Уменьшение рисков предполагает определение приоритетов, проведение оценок и реализацию соответствующих средств управления сокращением рисков, рекомендуемых в процессе проведения оценок рисков. Поскольку полное устранение риска, как правило, неосуществимо, высшее руководство организации, менеджеры функциональных и бизнес-подразделений несут ответственность за то, чтобы реализовать наиболее подходящие средства управления и контроля, позволяющие уменьшить риски для выполнения миссии до приемлемого уровня, с минимальным неблагоприятным воздействием на ресурсы организации и на выполнение миссии (рентабельное управление рисками). Уменьшение рисков является последовательной и систематизированной методологией, которая должна использоваться высшим руководством с целью уменьшения рисков для осуществления миссии. Уменьшение рисков может быть достигнуто применением любой из перечисленных ниже опций по уменьшению риска:

1)принятие риска;

2)предотвращение риска;

3)ограничение риска;

120