Управление информационными рисками – Т. Ю. Зырянова, А. А. Захаров, Ю. И. Ялышев (2008)

—сетевые рабочие станции;

—локальные запоминающие устройства;

—сетевые печатающие устройства;

—сетевые распределительные компоненты;

—сетевые шлюзы;

—управление сетью и управляющие серверы;

—сетевые интерфейсы;

—сетевые сервисы;

—сервисы конечного пользователя;

—коммутационные протоколы;

—носители данных.

Программные ресурсы делятся на 5 классов.

Для каждого информационного процесса, имеющего самостоятельное значение с точки зрения пользователя, строится дерево используемых ресурсов.

Определяется ценность ресурсов. Для физических ресурсов она равняется стоимости восстановления после разрушения. Для данных и программного обеспечения ценность определяется в следующих случаях:

—недоступность ресурса в течение определенного периода вре-

ìåíè;

—потеря информации с момента последнего резервного копирования или полное ее разрушение;

—НСД сотрудников и сторонних лиц;

—модификация вследствие ошибки персонала;

—ошибки, связанные с передачей информации.

Оценивается возможный ущерб по шкале от 1 до 10 по следующим критериям:

—ущерб репутации организации;

—нарушение действующего законодательства;

—ущерб для здоровья персонала;

—разглашение персональных данных;

—финансовые потери от разглашения информации;

—финансовые потери от восстановления ресурсов;

—невозможность выполнения обязательств;

—дезорганизация деятельности.

Вырабатываются шкалы оценок для каждого из критериев. Например, для критерия «дезорганизация деятельности»:

2 — отсутствие доступа к информации до 15 минут;

4 — отсутствие доступа к информации до 1 часа;

141

6 — отсутствие доступа к информации до 3 часов;

8 — отсутствие доступа к информации до 12 часов;

10 — отсутствие доступа к информации более 12 часов. Рассматриваются сценарии, приводящие к негативным последстви-

ям. Например:

Параметр — ущерб коммерческим и экономическим интересам; Уровень — 4; Ущерб — 10000 руб.;

Сценарий — восстановление базы данных.

Íà втором этапе анализа рисков по методике CRAMM проводится анализ угроз и уязвимостей.

Определяется зависимость системы от группы ресурсов. Например, в случае угрозы пожара уязвимость представляют все ресурсы, сосредоточенные в одном месте.

Оценка угроз и уязвимостей определяется при помощи вопросов, предполагающих однозначный ответ. Например, для вида угрозы «установка вредоносного программного обеспечения» — вопрос: «имеете ли вы свободный обмен информацией с другими организациями через информационную систему?» — варианты ответа: «да, при помощи дискет», «да, через прямое подключение», «нет».

Âзависимости от ответов уровень угроз оценивается по качественной шкале: «очень высокий», «высокий», «средний», «низкий», «очень низкий».

Íà третьем этапе производится выбор контрмер. Контрмеры выбираются из предлагаемого методикой списка, содержащего 300 рекомендаций общего характера, 1000 конкретных рекомендаций и 900 примеров организации защиты.

Ê достоинствам CRAMM можно отнести следующее.

Âнастоящее время CRAMM — это довольно мощный и универсальный инструмент, позволяющий, помимо анализа рисков, решать также и ряд других аудиторских задач, включая:

— проведение обследования информационных систем и выпуск сопроводительной документации на всех этапах его проведения;

— проведение аудита в соответствии с требованиями международных стандартов;

— разработка политики безопасности и плана обеспечения непрерывности бизнеса.

Âоснове метода CRAMM лежит комплексный подход к оценке рисков, в котором сочетаются количественные и качественные методы

142

анализа. Тем самым CRAMM позволяет весьма детально оценить риски и различные варианты контрмер.

Метод является универсальным и подходит для больших и мелких организаций, как правительственного, так и коммерческого сектора. Версии программного обеспечения CRAMM, ориентированные на разные типы предприятия, отличаются друг от друга своими базами знаний (profiles). Для коммерческих организаций имеется Коммер- ческий профиль (commercial profile), для правительственных организаций — Правительственный профиль (government profile).

Грамотное использование метода CRAMM позволяет получать очень хорошие результаты, наиболее важным из которых, пожалуй, является возможность экономического обоснования расходов предприятия на обеспечение информационной безопасности и непрерывности бизнеса. Экономически обоснованная стратегия управления рисками позволяет, в конечном итоге, экономить средства, избегая неоправданных расходов.

Ê недостаткам метода CRAMM можно отнести следующее:

—использование метода CRAMM требует специальной подготовки и высокой квалификации аудитора;

—CRAMM в гораздо большей степени подходит для аудита уже существующих информационных систем, находящихся на стадии эксплуатации, нежели для информационных систем, находящихся на стадии разработки;

—аудит по методу CRAMM — процесс достаточно трудоемкий и может потребовать месяцев непрерывной работы аудитора;

—программный инструментарий CRAMM генерирует большое количество бумажной документации, которая не всегда оказывается полезной на практике;

—CRAMM не позволяет создавать собственные шаблоны отчетов или модифицировать имеющиеся;

—возможность внесения дополнений в базу знаний CRAMM не доступна пользователям, что вызывает определенные трудности при адаптации этого метода к потребностям конкретного предприятия.

В целом, рассмотренная методика анализа и управления рисками полностью применима в российских условиях, несмотря на то, что показатели защищенности от несанкционированного доступа к информации и требования по защите информации различаются в российских руководящих документах и зарубежных стандартах. Особенно полезным представляется использование инструментальных средств типа

143

метода CRAMM при проведении анализа рисков информационных систем с повышенными требованиями в области информационной безопасности. Это позволяет получать обоснованные оценки существующих

èдопустимых уровней угроз, уязвимостей, эффективности защиты.

4.1.2.Количественные методы анализа информационных рисков АванГард

Система АванГард позиционируется как экспертная СУИБ. Информационный риск в этой методике определяется как произведение размера ущерба на вероятность его возникновения. Исходные данные (ущерб и вероятность) в количественном выражении должны быть введены в модель экспертом. Существует справочная база данных, помогающая эксперту в выборе этих значений. Недостатком такого подхода является то, что выбор этих значений не подвергается ника-

кой верификации.

RiskWatch

Программное обеспечение RiskWatch является средством анализа и управления рисками. В семейство RiskWatch входят программные продукты для проведения различных видов аудита безопасности. Оно включает в себя следующие средства аудита и анализа рисков:

—RiskWatch for Physical Security — для физических методов защиты информационных систем;

—RiskWatch for Information Systems — для информационных

рисков;

—HIPAA-WATCH for Healthcare Industry — для оценки соответствия требованиям стандарта HIPAA (US Healthcare Insurance Portability and Accountability Act);

—RiskWatch RW17799 for ISO 17799 — для оценки требованиям стандарта ISO 17799.

В методе RiskWatch в качестве критериев для оценки и управления рисками используются предсказание годовых потерь (Annual Loss Expectancy, ALE) и оценка возврата от инвестиций (Return on Investment, ROI).

В основе продукта RiskWatch находится методика анализа рис-

ков, которая состоит из четырех этапов.

Этап 1. Определение предмета исследования

На данном этапе описываются параметры предприятия — тип предприятия, состав исследуемой системы, базовые требования в области

144

безопасности. Описание формализуется в ряде подпунктов, которые можно выбрать для более подробного описания или пропустить.

Для облегчения работы аналитика в шаблонах даются списки категорий защищаемых ресурсов, потерь, угроз, уязвимостей и мер защиты. Из них нужно выбрать те, что реально присутствуют на предприятии.

Допускается модификация названий, описаний, а также добавление новых категорий. Это позволяет достаточно просто русифициро-

вать данный метод.

Этап 2. Ввод данных, описывающих конкретные

характеристики системы

Данные могут вводиться вручную или импортироваться из отче- тов, созданных инструментальными средствами исследования уязвимости компьютерных сетей.

На этом этапе:

—подробно описываются ресурсы, потери и классы инцидентов; классы инцидентов получаются путем сопоставления категории потерь и категории ресурсов;

—для выявления возможных уязвимостей используется опросник, база которого содержит более 600 вопросов. Вопросы связаны с категориями ресурсов. Допускается корректировка вопросов, исклю- чение или добавление новых;

—задается частота возникновения каждой из выделенных угроз, степень уязвимости и ценность ресурсов. Все это используется в даль-

нейшем для расчета эффективности внедрения средств защиты.

Этап 3. Количественная оценка

На этом этапе рассчитывается профиль рисков и выбираются меры обеспечения безопасности. Сначала устанавливаются связи между ресурсами, потерями, угрозами и уязвимостями, выделенными на предыдущих шагах исследования (риск описывается совокупностью этих четырех параметров).

Фактически, риск оценивается с помощью математического ожидания потерь за год. Например, если стоимость сервера 150000 у. е., а вероятность того, что он будет уничтожен пожаром в течение года равна 0,01, то ожидаемые потери составят 1500 у. е.

Общеизвестная формула (Ðèñê = P ½ V, ãäå P — вероятность возникновения угрозы, V — стоимость ресурса) претерпела некоторые изменения, в связи с тем, что RiskWatch использует определенные Американским институтом стандартов NIST оценки, называемые LAFE и SAFE.

145

LAFE (Local Annual Frequency Estimate) — показывает, сколько раз в год в среднем данная угроза реализуется в данном месте (например, в городе).

SAFE (Standard Annual Frequency Estimate) — показывает, сколько раз в год в среднем данная угроза реализуется в данной части мира (например, в Северной Америке).

Вводится также поправочный коэффициент, который позволяет учесть, что в результате реализации угрозы защищаемый ресурс может быть уничтожен не полностью, а только частично.

Дополнительно рассматриваются сценарии «что, если:», которые позволяют описать аналогичные ситуации при условии внедрения средств защиты. Сравнивая ожидаемые потери при условии внедрения защитных мер и без них, можно оценить эффект от таких мероприятий.

RiskWatch включает в себя базы с оценками LAFE и SAFE, а также с обобщенным описанием различных типов средств защиты.

Эффект от внедрения средств защиты количественно описывается с помощью показателя ROI (Return on Investment — отдача от инвестиций) (формула 4.1), который показывает отдачу от сделанных инвестиций за определенный период времени:

ãäå Costsi — затраты на внедрение и поддержание i-меры защиты; Benefitsi — оценка той пользы (то есть ожидаемого снижения

потерь), которую приносит внедрение данной меры защиты;

NPV (Net Present Value) — дает поправку на инфляцию.

Этап 4. Генерация отчетов

На этом этапе генерируются следующие типы отчетов:

—краткие итоги;

—полные и краткие отчеты об элементах, описанных на этапах 1 и 2;

—отчет о стоимости защищаемых ресурсов и ожидаемых потерях от реализации угроз;

—отчет об угрозах и мерах противодействия;

—отчет о ROI;

—отчет о результатах аудита безопасности.

Ê достоинствам RiskWatch можно отнести следующие:

— рассматриваемое средство позволяет оценить не только те риски, которые сейчас существуют у предприятия, но и ту выгоду, кото-

146

рую может принести внедрение физических, технических, программных и прочих средств и механизмов защиты;

—подготовленные отчеты и графики дают материал, достаточный для принятия решений об изменении системы обеспечения безопасности предприятия;

—в RiskWatch используется упрощенный подход, как к описанию модели информационной системы, так и оценке рисков;

—существенным достоинством RiskWatch с точки зрения отече- ственного потребителя является сравнительная простота, малая трудоемкость русификации и большая гибкость метода, обеспечиваемая возможностью введения новых категорий, описаний, вопросов и т. д.;

—на основе этого метода отечественные разработчики могут создавать свои профили, учитывающие отечественные требования в области безопасности, разработать ведомственные методики анализа и управления рисками.

Ê недостаткам RiskWatch можно отнести:

—такой метод подходит, если требуется провести анализ рисков на программно-техническом уровне защиты, без учета организационных и административных факторов;

—полученные оценки рисков (математическое ожидание потерь) далеко не исчерпывают понимание риска с системных позиций — метод не учитывает комплексный подход к информационной безопасности;

—для отечественных пользователей проблема заключается в том, что получить используемые в RiskWatch оценки (такие как LAFE и SAFE) для наших условий достаточно проблематично;

—программное обеспечение RiskWatch существует только на английском языке.

4.1.3. Сравнение инструментальных методов анализа информационных рисков

В табл. 4.1 приводятся основные характеристики описанных выше методик анализа информационных рисков.

Из табл. 4.1 видно, что основные методики анализа рисков разли- чаются по двум характеристикам — входные данные и выходные данные, точнее по типу входных и выходных данных. По остальным характеристикам методики аналогичны. Большинство из них предполагают проведение полного анализа рисков (при повышенных требованиях к безопасности), опираются на одни и те же стандарты (BS 7799, ISO/IEC 17799), преследуют одни и те же цели (управление инфор-

147

мационной безопасностью на основании оценки информационного риска).

Различающиеся характеристики определяют критерии оценки рисков (входные данные) и шкалы измерения критериев (выходные данные).

Критерии оценки рисков подразделяются на объективные и субъективные [40]. Объективные критерии основаны на физическом наступлении того или иного события (например, вероятность выхода из строя оборудования). Субъективные критерии основаны на мнении определенного лица (лиц) о наступлении того или иного события. Большинство из приведенных в табл. 4.1 методик анализа рисков основано на субъективных критериях. Только в методике CRAMM присутствуют элементы объективного подхода.

Шкалы измерения критериев оценки рисков всегда имеют косвенный характер, то есть представляют собой шкалы других свойств, связанных с изучаемым, либо вводятся как совершенно новые. Так, в простейшем случае риск оценивается через шкалы для оценки ущерба и вероятности его наступления. Прямые (естественные) шкалы для измерения критериев информационного риска применяться не могут. Косвенные же шкалы могут, в свою очередь, носить качественный или количественный характер. Исключительно качественные оценки дают методики COBRA, RA Software Tool, Risk Advisor. Количественные оценки информационного риска могут быть получены в результате применения методик АванГард и RiskWatch, но в силу субъективности этих методик такие оценки не всегда адекватны. Элементы каче-

150