Управление информационными рисками – Т. Ю. Зырянова, А. А. Захаров, Ю. И. Ялышев (2008)
.pdf—сетевые рабочие станции;
—локальные запоминающие устройства;
—сетевые печатающие устройства;
—сетевые распределительные компоненты;
—сетевые шлюзы;
—управление сетью и управляющие серверы;
—сетевые интерфейсы;
—сетевые сервисы;
—сервисы конечного пользователя;
—коммутационные протоколы;
—носители данных.
Программные ресурсы делятся на 5 классов.
Для каждого информационного процесса, имеющего самостоятельное значение с точки зрения пользователя, строится дерево используемых ресурсов.
Определяется ценность ресурсов. Для физических ресурсов она равняется стоимости восстановления после разрушения. Для данных и программного обеспечения ценность определяется в следующих случаях:
—недоступность ресурса в течение определенного периода вре-
ìåíè;
—потеря информации с момента последнего резервного копирования или полное ее разрушение;
—НСД сотрудников и сторонних лиц;
—модификация вследствие ошибки персонала;
—ошибки, связанные с передачей информации.
Оценивается возможный ущерб по шкале от 1 до 10 по следующим критериям:
—ущерб репутации организации;
—нарушение действующего законодательства;
—ущерб для здоровья персонала;
—разглашение персональных данных;
—финансовые потери от разглашения информации;
—финансовые потери от восстановления ресурсов;
—невозможность выполнения обязательств;
—дезорганизация деятельности.
Вырабатываются шкалы оценок для каждого из критериев. Например, для критерия «дезорганизация деятельности»:
2 — отсутствие доступа к информации до 15 минут;
4 — отсутствие доступа к информации до 1 часа;
141
6 — отсутствие доступа к информации до 3 часов;
8 — отсутствие доступа к информации до 12 часов;
10 — отсутствие доступа к информации более 12 часов. Рассматриваются сценарии, приводящие к негативным последстви-
ям. Например:
Параметр — ущерб коммерческим и экономическим интересам; Уровень — 4; Ущерб — 10000 руб.;
Сценарий — восстановление базы данных.
Íà втором этапе анализа рисков по методике CRAMM проводится анализ угроз и уязвимостей.
Определяется зависимость системы от группы ресурсов. Например, в случае угрозы пожара уязвимость представляют все ресурсы, сосредоточенные в одном месте.
Оценка угроз и уязвимостей определяется при помощи вопросов, предполагающих однозначный ответ. Например, для вида угрозы «установка вредоносного программного обеспечения» — вопрос: «имеете ли вы свободный обмен информацией с другими организациями через информационную систему?» — варианты ответа: «да, при помощи дискет», «да, через прямое подключение», «нет».
Âзависимости от ответов уровень угроз оценивается по качественной шкале: «очень высокий», «высокий», «средний», «низкий», «очень низкий».
Íà третьем этапе производится выбор контрмер. Контрмеры выбираются из предлагаемого методикой списка, содержащего 300 рекомендаций общего характера, 1000 конкретных рекомендаций и 900 примеров организации защиты.
Ê достоинствам CRAMM можно отнести следующее.
Âнастоящее время CRAMM — это довольно мощный и универсальный инструмент, позволяющий, помимо анализа рисков, решать также и ряд других аудиторских задач, включая:
— проведение обследования информационных систем и выпуск сопроводительной документации на всех этапах его проведения;
— проведение аудита в соответствии с требованиями международных стандартов;
— разработка политики безопасности и плана обеспечения непрерывности бизнеса.
Âоснове метода CRAMM лежит комплексный подход к оценке рисков, в котором сочетаются количественные и качественные методы
142
анализа. Тем самым CRAMM позволяет весьма детально оценить риски и различные варианты контрмер.
Метод является универсальным и подходит для больших и мелких организаций, как правительственного, так и коммерческого сектора. Версии программного обеспечения CRAMM, ориентированные на разные типы предприятия, отличаются друг от друга своими базами знаний (profiles). Для коммерческих организаций имеется Коммер- ческий профиль (commercial profile), для правительственных организаций — Правительственный профиль (government profile).
Грамотное использование метода CRAMM позволяет получать очень хорошие результаты, наиболее важным из которых, пожалуй, является возможность экономического обоснования расходов предприятия на обеспечение информационной безопасности и непрерывности бизнеса. Экономически обоснованная стратегия управления рисками позволяет, в конечном итоге, экономить средства, избегая неоправданных расходов.
Ê недостаткам метода CRAMM можно отнести следующее:
—использование метода CRAMM требует специальной подготовки и высокой квалификации аудитора;
—CRAMM в гораздо большей степени подходит для аудита уже существующих информационных систем, находящихся на стадии эксплуатации, нежели для информационных систем, находящихся на стадии разработки;
—аудит по методу CRAMM — процесс достаточно трудоемкий и может потребовать месяцев непрерывной работы аудитора;
—программный инструментарий CRAMM генерирует большое количество бумажной документации, которая не всегда оказывается полезной на практике;
—CRAMM не позволяет создавать собственные шаблоны отчетов или модифицировать имеющиеся;
—возможность внесения дополнений в базу знаний CRAMM не доступна пользователям, что вызывает определенные трудности при адаптации этого метода к потребностям конкретного предприятия.
В целом, рассмотренная методика анализа и управления рисками полностью применима в российских условиях, несмотря на то, что показатели защищенности от несанкционированного доступа к информации и требования по защите информации различаются в российских руководящих документах и зарубежных стандартах. Особенно полезным представляется использование инструментальных средств типа
143
метода CRAMM при проведении анализа рисков информационных систем с повышенными требованиями в области информационной безопасности. Это позволяет получать обоснованные оценки существующих
èдопустимых уровней угроз, уязвимостей, эффективности защиты.
4.1.2.Количественные методы анализа информационных рисков АванГард
Система АванГард позиционируется как экспертная СУИБ. Информационный риск в этой методике определяется как произведение размера ущерба на вероятность его возникновения. Исходные данные (ущерб и вероятность) в количественном выражении должны быть введены в модель экспертом. Существует справочная база данных, помогающая эксперту в выборе этих значений. Недостатком такого подхода является то, что выбор этих значений не подвергается ника-
кой верификации.
RiskWatch
Программное обеспечение RiskWatch является средством анализа и управления рисками. В семейство RiskWatch входят программные продукты для проведения различных видов аудита безопасности. Оно включает в себя следующие средства аудита и анализа рисков:
—RiskWatch for Physical Security — для физических методов защиты информационных систем;
—RiskWatch for Information Systems — для информационных
рисков;
—HIPAA-WATCH for Healthcare Industry — для оценки соответствия требованиям стандарта HIPAA (US Healthcare Insurance Portability and Accountability Act);
—RiskWatch RW17799 for ISO 17799 — для оценки требованиям стандарта ISO 17799.
В методе RiskWatch в качестве критериев для оценки и управления рисками используются предсказание годовых потерь (Annual Loss Expectancy, ALE) и оценка возврата от инвестиций (Return on Investment, ROI).
В основе продукта RiskWatch находится методика анализа рис-
ков, которая состоит из четырех этапов.
Этап 1. Определение предмета исследования
На данном этапе описываются параметры предприятия — тип предприятия, состав исследуемой системы, базовые требования в области
144
безопасности. Описание формализуется в ряде подпунктов, которые можно выбрать для более подробного описания или пропустить.
Для облегчения работы аналитика в шаблонах даются списки категорий защищаемых ресурсов, потерь, угроз, уязвимостей и мер защиты. Из них нужно выбрать те, что реально присутствуют на предприятии.
Допускается модификация названий, описаний, а также добавление новых категорий. Это позволяет достаточно просто русифициро-
вать данный метод.
Этап 2. Ввод данных, описывающих конкретные
характеристики системы
Данные могут вводиться вручную или импортироваться из отче- тов, созданных инструментальными средствами исследования уязвимости компьютерных сетей.
На этом этапе:
—подробно описываются ресурсы, потери и классы инцидентов; классы инцидентов получаются путем сопоставления категории потерь и категории ресурсов;
—для выявления возможных уязвимостей используется опросник, база которого содержит более 600 вопросов. Вопросы связаны с категориями ресурсов. Допускается корректировка вопросов, исклю- чение или добавление новых;
—задается частота возникновения каждой из выделенных угроз, степень уязвимости и ценность ресурсов. Все это используется в даль-
нейшем для расчета эффективности внедрения средств защиты.
Этап 3. Количественная оценка
На этом этапе рассчитывается профиль рисков и выбираются меры обеспечения безопасности. Сначала устанавливаются связи между ресурсами, потерями, угрозами и уязвимостями, выделенными на предыдущих шагах исследования (риск описывается совокупностью этих четырех параметров).
Фактически, риск оценивается с помощью математического ожидания потерь за год. Например, если стоимость сервера 150000 у. е., а вероятность того, что он будет уничтожен пожаром в течение года равна 0,01, то ожидаемые потери составят 1500 у. е.
Общеизвестная формула (Ðèñê = P ½ V, ãäå P — вероятность возникновения угрозы, V — стоимость ресурса) претерпела некоторые изменения, в связи с тем, что RiskWatch использует определенные Американским институтом стандартов NIST оценки, называемые LAFE и SAFE.
145
LAFE (Local Annual Frequency Estimate) — показывает, сколько раз в год в среднем данная угроза реализуется в данном месте (например, в городе).
SAFE (Standard Annual Frequency Estimate) — показывает, сколько раз в год в среднем данная угроза реализуется в данной части мира (например, в Северной Америке).
Вводится также поправочный коэффициент, который позволяет учесть, что в результате реализации угрозы защищаемый ресурс может быть уничтожен не полностью, а только частично.
Дополнительно рассматриваются сценарии «что, если:», которые позволяют описать аналогичные ситуации при условии внедрения средств защиты. Сравнивая ожидаемые потери при условии внедрения защитных мер и без них, можно оценить эффект от таких мероприятий.
RiskWatch включает в себя базы с оценками LAFE и SAFE, а также с обобщенным описанием различных типов средств защиты.
Эффект от внедрения средств защиты количественно описывается с помощью показателя ROI (Return on Investment — отдача от инвестиций) (формула 4.1), который показывает отдачу от сделанных инвестиций за определенный период времени:
, |
(4.1) |
ãäå Costsi — затраты на внедрение и поддержание i-меры защиты; Benefitsi — оценка той пользы (то есть ожидаемого снижения
потерь), которую приносит внедрение данной меры защиты;
NPV (Net Present Value) — дает поправку на инфляцию.
Этап 4. Генерация отчетов
На этом этапе генерируются следующие типы отчетов:
—краткие итоги;
—полные и краткие отчеты об элементах, описанных на этапах 1 и 2;
—отчет о стоимости защищаемых ресурсов и ожидаемых потерях от реализации угроз;
—отчет об угрозах и мерах противодействия;
—отчет о ROI;
—отчет о результатах аудита безопасности.
Ê достоинствам RiskWatch можно отнести следующие:
— рассматриваемое средство позволяет оценить не только те риски, которые сейчас существуют у предприятия, но и ту выгоду, кото-
146
рую может принести внедрение физических, технических, программных и прочих средств и механизмов защиты;
—подготовленные отчеты и графики дают материал, достаточный для принятия решений об изменении системы обеспечения безопасности предприятия;
—в RiskWatch используется упрощенный подход, как к описанию модели информационной системы, так и оценке рисков;
—существенным достоинством RiskWatch с точки зрения отече- ственного потребителя является сравнительная простота, малая трудоемкость русификации и большая гибкость метода, обеспечиваемая возможностью введения новых категорий, описаний, вопросов и т. д.;
—на основе этого метода отечественные разработчики могут создавать свои профили, учитывающие отечественные требования в области безопасности, разработать ведомственные методики анализа и управления рисками.
Ê недостаткам RiskWatch можно отнести:
—такой метод подходит, если требуется провести анализ рисков на программно-техническом уровне защиты, без учета организационных и административных факторов;
—полученные оценки рисков (математическое ожидание потерь) далеко не исчерпывают понимание риска с системных позиций — метод не учитывает комплексный подход к информационной безопасности;
—для отечественных пользователей проблема заключается в том, что получить используемые в RiskWatch оценки (такие как LAFE и SAFE) для наших условий достаточно проблематично;
—программное обеспечение RiskWatch существует только на английском языке.
4.1.3. Сравнение инструментальных методов анализа информационных рисков
В табл. 4.1 приводятся основные характеристики описанных выше методик анализа информационных рисков.
Из табл. 4.1 видно, что основные методики анализа рисков разли- чаются по двум характеристикам — входные данные и выходные данные, точнее по типу входных и выходных данных. По остальным характеристикам методики аналогичны. Большинство из них предполагают проведение полного анализа рисков (при повышенных требованиях к безопасности), опираются на одни и те же стандарты (BS 7799, ISO/IEC 17799), преследуют одни и те же цели (управление инфор-
147
Таблица 4.1 |
Характеристики методик анализа информационных рисков |
148 |
Продолжение табл. 4.1 |
149 |
Окончание табл. 4.1 |
мационной безопасностью на основании оценки информационного риска).
Различающиеся характеристики определяют критерии оценки рисков (входные данные) и шкалы измерения критериев (выходные данные).
Критерии оценки рисков подразделяются на объективные и субъективные [40]. Объективные критерии основаны на физическом наступлении того или иного события (например, вероятность выхода из строя оборудования). Субъективные критерии основаны на мнении определенного лица (лиц) о наступлении того или иного события. Большинство из приведенных в табл. 4.1 методик анализа рисков основано на субъективных критериях. Только в методике CRAMM присутствуют элементы объективного подхода.
Шкалы измерения критериев оценки рисков всегда имеют косвенный характер, то есть представляют собой шкалы других свойств, связанных с изучаемым, либо вводятся как совершенно новые. Так, в простейшем случае риск оценивается через шкалы для оценки ущерба и вероятности его наступления. Прямые (естественные) шкалы для измерения критериев информационного риска применяться не могут. Косвенные же шкалы могут, в свою очередь, носить качественный или количественный характер. Исключительно качественные оценки дают методики COBRA, RA Software Tool, Risk Advisor. Количественные оценки информационного риска могут быть получены в результате применения методик АванГард и RiskWatch, но в силу субъективности этих методик такие оценки не всегда адекватны. Элементы каче-
150