###
  • Интернет
  • Программы
  • Игры
  • Проблемы
  • Windows
  • Социальные сети
  • Android
  • Ios

    • Риски информационной безопасности. Обеспечение информационной безопасности

    29.07.2019 Социальные сети

    Информационные риски - это опасность возникновения убытков или ущерба в результате применения компанией информационных технологий.

    Иными словами, IT-риски связаны с созданием, передачей, хранением и использованием информации с помощью электронных носителей и иных средств связи. риски делятся на две категории:

    • ? риски, вызванные утечкой информации и использованием ее конкурентами или сотрудниками в целях, которые могут повредить бизнесу;
    • ? риски технических сбоев работы каналов передачи информации, которые могут привести к убыткам.

    Работа по минимизации IT-рисков заключается в предупреждении несанкционированного доступа к данным, а также аварий и сбоев оборудования.

    Процесс минимизации IT-рисков рассматривается комплексно: сначала выявляются возможные проблемы, а затем определяется, какими способами их можно решить.

    Сейчас используются различные методы оценки информационных рисков отечественных компаний и управления ими.

    Оценка информационных рисков компании может быть выполнена в соответствии со следующим планом:

    • ? идентификация и количественная оценка информационных ресурсов компании, значимых для бизнеса;
    • ? оценивание возможных угроз;
    • ? оценивание существующих уязвимостей;
    • ? оценивание эффективности средств обеспечения информационной безопасности.

    Риски характеризуют опасность, которая может угрожать компонентам корпоративной информационной системы.

    Информационные риски компании зависят от:

    • ? показателей ценности информационных ресурсов;
    • ? вероятности реализации угроз для ресурсов;
    • ? эффективности существующих или планируемых средств обеспечения информационной безопасности.

    Цель оценивания рисков состоит в определении характеристик рисков корпоративной информационной системы и ее ресурсов.

    После оценки рисков можно выбрать средства, обеспечивающие желаемый уровень информационной безопасности компании. При оценивании рисков учитываются такие факторы, как ценность ресурсов, значимость угроз и уязвимостей, эффективность имеющихся и планируемых средств защиты.

    Возможность реализации угрозы для некоторого ресурса компании оценивается вероятностью ее реализации в течение заданного отрезка времени. При этом вероятность того, что угроза реализуется, определяется следующими основными факторами:

    • ? привлекательностью ресурса (учитывается при рассмотрении угрозы от умышленного воздействия со стороны человека);
    • ? возможностью использования ресурса для получения дохода (также в случае угрозы от умышленного воздействия со стороны человека);
    • ? техническими возможностями реализации угрозы при умышленном воздействии со стороны человека;
    • ? степенью легкости, с которой уязвимость может быть использована.

    В России в настоящее время чаще всего используются разнообразные "бумажные" методики, достоинствами которых являются гибкость и адаптивность. Как правило, разработкой данных методик занимаются компании - системные и специализированные интеграторы в области защиты информации.

    Специализированное ПО, реализующее методики анализа рисков, может относиться к категории программных продуктов (имеется на рынке) либо являться собственностью ведомства или организации и не продаваться.

    Если ПО разрабатывается как программный продукт, оно должно быть в достаточной степени универсальным. Ведомственные варианты ПО адаптированы под особенности постановок задач анализа и управления рисками и позволяют учесть специфику информационных технологий организации.

    Предлагаемое на рынке ПО ориентировано в основном на уровень информационной безопасности, несколько превышающий базовый уровень защищенности. Таким образом, инструментарий рассчитан в основном на потребности организаций 3-4 степени зрелости, описанных в первой главе.

    Для решения данной задачи были разработаны программные комплексы анализа и контроля информационных рисков: CRAMM, FRAP, RiskWatch, Microsoft, ГРИФ. Ниже приведены краткие описания ряда распространенных методик анализа рисков.

    Распространенные методики анализа рисков:

    • ? методики, использующие оценку риска на качественном уровне (например, по шкале "высокий", "средний", "низкий"). К таким методикам, в частности, относится FRAP;
    • ? количественные методики (риск оценивается через числовое значение, например размер ожидаемых годовых потерь). К этому классу относится методика RiskWatch;
    • ? методики, использующие смешанные оценки (такой подход используется в CRAMM, методике Microsoft и т.д.).

    Методика CRAMM одна из первых зарубежных работ по анализу рисков в сфере информационной безопасности, разработанная в 80-х гг.

    Ее основу составляет комплексный подход к оценке рисков, сочетающий количественные и качественные методы анализа. Метод является универсальным и подходит как для крупных, так и для малых организаций, как правительственного, так и коммерческого сектора. Версии программного обеспечения CRAMM, ориентированные на разные типы организаций, отличаются друг от друга своими базами знаний (профили):

    • ? коммерческий профиль;
    • ? правительственный профиль.

    При работе методики на первых этапах учитывается ценность ресурсов исследуемой системы, собираются первичные сведения о конфигурации системы. Проводится идентификация ресурсов: физических, программных и информационных, содержащихся внутри границ системы.

    Результатом этого этапа является построение модели системы, с деревом связи ресурсов. Эта схема позволяет выделить критичные элементы. Ценность физических ресурсов в CRAMM определяется стоимостью их восстановления в случае разрушения.

    Ценность данных и программного обеспечения определяется в следующих ситуациях:

    • ? недоступность ресурса в течение определенного периода времени;
    • ? разрушение ресурса - потеря информации, полученной со времени последнего резервного копирования, или ее полное разрушение;
    • ? нарушение конфиденциальности в случаях несанкционированного доступа штатных сотрудников или посторонних лиц;
    • ? модификация - рассматривается для случаев мелких ошибок персонала (ошибки ввода), программных ошибок, преднамеренных ошибок;
    • ? ошибки, связанные с передачей информации: отказ от доставки, недоставка информации, доставка по неверному адресу.
    • ? ущерб репутации организации;
    • ? нарушение действующего законодательства;
    • ? ущерб для здоровья персонала;
    • ? ущерб, при разглашении персональных данных отдельных лиц;
    • ? финансовые потери от разглашения информации;
    • ? финансовые потери, связанные с восстановлением ресурсов;
    • ? потери, связанные с невозможностью выполнения обязательств;
    • ? дезорганизация деятельности.

    На второй стадии рассматривается все, что относится к идентификации и оценке уровней угроз для групп ресурсов и их уязвимостей. В конце стадии заказчик получает идентифицированные и оцененные уровни рисков для своей системы. На этой стадии оцениваются зависимость пользовательских сервисов от определенных групп ресурсов и существующий уровень угроз и уязвимостей, вычисляются уровни рисков и анализируются результаты.

    Ресурсы группируются по типам угроз и уязвимостей. Программное обеспечение CRAMM для каждой группы ресурсов и каждого из 36 типов угроз генерирует список вопросов, допускающих однозначный ответ.

    Уровень угроз оценивается, в зависимости от ответов, как очень высокий, высокий, средний, низкий и очень низкий. Уровень уязвимости оценивается, в зависимости от ответов, как высокий, средний и низкий.

    На основе этой информации рассчитываются уровни рисков в дискретной шкале с градациями от 1 до 7. Полученные уровни угроз, уязвимостей и рисков анализируются и согласовываются с заказчиком.

    Основной подход, для решения этой проблемы состоит в рассмотрении:

    • ? уровня угрозы;
    • ? уровня уязвимости;
    • ? размера ожидаемых финансовых потерь.

    Исходя из оценок стоимости ресурсов защищаемой ИС, оценок угроз и уязвимостей, определяются "ожидаемые годовые потери".

    Третья стадия исследования поиск варианта системы безопасности, наилучшим образом удовлетворяющей требованиям заказчика.

    На этой стадии CRAMM генерирует несколько вариантов мер противодействия, адекватных выявленным рискам и их уровням.

    Таким образом, CRAMM - пример методики расчета, при которой первоначальные оценки даются на качественном уровне, и потом производится переход к количественной оценке (в баллах).

    Работа по методике CRAMM осуществляется в три этапа, каждый из которых преследует свою цель в построении модели рисков информационной системы в целом. Рассматриваются угрозы системы для конкретных ее ресурсов. Проводится анализ как программного, так и технического состояния системы на каждом шаге, построив дерево зависимостей в системе, можно увидеть ее слабые места и предупредить потерю информации в результате краха системы, как из за вирусной атаки, так и при хакерских угрозах.

    Недостатки метода CRAMM:

    • ? использование метода CRAMM требует специальной подготовки и высокой квалификации аудитора;
    • ? CRAMM в гораздо большей степени подходит для аудита уже существующих ИС, находящихся на стадии эксплуатации, нежели чем для ИС, находящихся на стадии разработки;
    • ? аудит по методу CRAMM - процесс достаточно трудоемкий и может потребовать месяцев непрерывной работы аудитора;
    • ? программный инструментарий CRAMM генерирует большое количество бумажной документации, которая не всегда оказывается полезной на практике;
    • ? CRAMM не позволяет создавать собственные шаблоны отчетов или модифицировать имеющиеся;
    • ? возможность внесения дополнений в базу знаний CRAMM не доступна пользователям, что вызывает определенные трудности при адаптации этого метода к потребностям конкретной организации;
    • ? программное обеспечение CRAMM существует только на английском языке;
    • ? высокая стоимость лицензии.

    НИУ ИТМО, *****@***com

    Научный руководитель - д. т.н., профессор НИУ ИТМО, *****@

    Аннотация

    В статье рассмотрены методы расчета риска информационной безопасности, произведено сравнение с указанием критичных недостатков. Представлено предложение использование собственного метода оценки рисков.

    Ключевые слова: риск, информационная система , информационная безопасность, метод расчета риска, оценка рисков, информационный актив.

    Введение

    Система управления рисками информационной безопасности (ИБ) является актуальной задачей на всех этапах работы комплекса защиты информации . При этом управлять рисками невозможно предварительно их не оценив, что в свою очередь должно быть произведено по какой-либо методике. На этапе оценки рисков наибольший интерес представляют непосредственно формулы и входные данные для расчета значения риска. В статье проанализировано несколько разных методов расчета риска и представлена собственная методика. Целью работы является вывод формулы расчета риска информационной безопасности, позволяющей получить массив актуальных рисков и оценить потери в денежном эквиваленте.

    Риск информационной безопасности в классическом виде определяется как функция трёх переменных :

      вероятность существования угрозы; вероятность существования уязвимости (незащищенности); потенциальное воздействие.

    Если любая из этих переменных приближается к нулю, полный риск так же стремится к нулю.

    Методы оценки рисков

    ISO/IEC 27001. В отношении методологии расчета значения риска сказано: выбранная методология должна гарантировать, что оценки риска дают сравнимые и воспроизводимые результаты. При этом в стандарте не приводится конкретной формулы расчета.

    NIST 800-30 предлагает классическую формулу расчета риска:

    где R - значение риска;

    P(t) - вероятность реализации угрозы ИБ (применяется смесь качественной и количественной шкалы);

    S - степень влияния угрозы на актив (цена актива в качественной шкале и количественной).

    В итоге вычисляется значение риска в относительных единицах, которое можно ранжировать по степени значимости для процедуры управления рисками информационной безопасности.

    ГОСТ Р ИСО/МЭК ТО 7. Расчет риска, в отличии от стандарта NIST 800-30 происходит по трем факторам:

    R = P(t) * P(v) * S,

    где R - значение риска;

    P(t) - вероятность реализации угрозы ИБ;

    P(v) - вероятность наличия уязвимости;

    S - ценность актива.

    В качестве примера значений вероятностей P(t) и P(v) приведена качественная шкала с тремя уровнями: низкая, средняя и высокая. Для оценки значения ценности актива S представлены числовые значения в интервале от 0 до 4. Сопоставление им качественных значений должна произвести организация, в которой производится оценка рисков информационной безопасности.

    BS 7799. Уровень риска вычисляется с учетом трех показателей – ценности ресурса, уровня угрозы и степени уязвимости. С увеличением значений этих трех параметров риск возрастает, таким образом, формулу можно представить в следующем виде:

    R = S * L(t) * L(v),

    где R - значение риска;

    S - ценность актива/ресурса;

    L(t) - уровень угрозы;

    L(v) - уровень/степень уязвимости.

    На практике вычисление рисков ИБ происходит по таблице позиционирования значений уровня угроз, степени вероятности использования уязвимости и стоимости актива. Значение риска может изменятся в диапазоне от 0 до 8, в результате по каждому активу получается список угроз с различными значениями риска. Так же стандарт предлагает шкалу ранжирования рисков: низкий (0-2), средний (3-5) и высокий(6-8), что позволяет определить наиболее критичные риски.

    СТО БР ИББС. Согласно стандарту оценка степени возможности реализации угрозы ИБ производится по качественно-количественной шкале, нереализуемая угроза - 0%, средняя - от 21% до 50% и т. д. Определение степени тяжести последствий для разных типов информационных активов так же предлагается оценивать с использованием качественно-количественной шкалы, т. е. минимальное - 0,5% от величины капитала банка , высокое - от 1,5% до 3% от величины капитала банка.

    Для выполнения качественной оценки рисков информационной безопасности используется таблица соответствия степени тяжести последствий и вероятности реализации угрозы. Если необходимо произвести количественную оценку, то формулу можно представить в виде:

    где R - значение риска;

    P(v) - вероятность реализации угрозы ИБ;

    S - ценность актива (степень тяжести последствий).

    Предложенный метод

    Рассмотрев все вышеперечисленные методы оценки рисков в части расчета значения риска информационной безопасности стоит отметить, что расчет риска производится с использованием значения угроз и ценность актива. Значительным недостатком является оценка стоимости активов (размер ущерба) в виде условных значений. Условные значения не имеют единиц измерения применимых в практике, в частности не являются денежным эквивалентом. В итоге это не дает реального представления уровня риска, который возможно перенести на реальные активы объекта защиты.

    Таким образом предлагается разделить процедуру расчета риска на два этапа:

    1. Вычисление значения технического риска.

    2. Вычисление потенциального ущерба.

    Под техническим риском понимается значение риска информационной безопасности состоящего из вероятностей реализации угроз и использования уязвимостей каждого компонента информационной инфраструктуры с учётом уровня их конфиденциальности, целостности и доступности. Для первого этапа имеем следующие 3 формулы:

    Rc = Kc * P(T) * P(V), Ri = Ki * P(T) * P(V),

    Ra = Ka * P(T) * P(V),

    где Rс - значение риска конфиденциальности;

    Ri - значение риска целостности;

    Ra - значение риска доступности;

    Kс - коэффициент конфиденциальности информационного актива;

    Ki - коэффициент целостности информационного актива;

    Ka - коэффициент доступности информационного актива;

    P(T) - вероятность реализации угрозы;

    P(V) - вероятность использования уязвимости.

    Применение данного алгоритма позволит произвести более детальную оценку риска, получив на выходе безразмерное значение вероятности возникновения риска компрометации каждого информационного актива в отдельности.

    В последующем возможно вычисление значения ущерба, для этого используется усредненное значение риска каждого информационного актива и размер потенциальных потерь:

    где L - значение ущерба;

    Rср - среденее значение риска;

    S - потери (в денежном эквиваленте).

    Предложенная методика позволяет корректно оценить значение риска информационной безопасности и скалькулировать денежные потери в случае возникновения инцидентов безопасности.

    Литература

    1. ISO/IEC 27001. Международный стандарт содержит требования в области информационной безопасности для создания, развития и поддержания системы менеджмента информационной безопасности. 20с.

    2. ГОСТ Р ИСО/МЭК ТО 7. Национальный стандарт Российской Федерации. Методы и средства обеспечения безопасности. Часть 3. Методы менеджмента безопасности информационных технологий. Москва. 20с.

    3. BS 7799-2:2005 Спецификация системы управления информационной безопасностью. Англия. 20с.

    4. РС БР ИББС-2.2-200. Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Методика оценки рисков нарушения информационной безопасности. Москва. 20с.

    5. Risk Management Guide for Information Technology Systems. Recommendations of the National Institute of Standards and Technology. США. 20с.

    6. Электронный источник Википедия, статья "Риск" .


    Ценность информации опредляется трудоемкостью ее подготовки (сбора), стоимостью ее поддержки (сопровождения), величиной возможного ущерба в случае ее потери или уничтожения, стоимостью, которую другие лица (конкуренты, злоумышленники) готовы заплатить за нее, а также величиной возможных последствий и штрафов, в случае ее утраты (утечки). Без проведения оценки информации невозможно адекватно оценить целесообразность затрат денег и ресурсов на ее защиту. Ценность информации обязательно должна учитываться при выборе защитных мер.



    Оценка актива может проводиться как количественными, так и качественными методами. Фактическая стоимость актива определяется на основании стоимости его приобретения, разработки и поддержки. Ценность актива определяется его значением, которое он имеет для владельцев, уполномоченных и неуполномоченных пользователей. Некоторая информация является важной для компании и ей присваивается гриф конфиденциальности.

    Например, стоимость сервера составляет $4000, но это не является его ценностью, учитываемой при оценке рисков. Ценность определяется затратами на его замену или ремонт, потерями из-за снижения производительности, ущербом от повреждения или утраты хранящихся на нем данных. Именно это будет определять ущерб для компании в случае повреждения или утраты сервера по той или иной причине.

    Следующие вопросы должны быть учтены при определении ценности активов:

    • Затраты на получение или разработку актива
    • Затраты на поддержку и защиту актива
    • Ценность актива для владельцев и пользователей
    • Ценность актива для злоумышленников (конкурентов)
    • Ценность интеллектуальной собственности, использованной при разработке актива
    • Цена, которую другие готовы заплатить за актив
    • Затраты на замену актива при утрате
    • Операционная и производственная деятельность, которая зависит от доступности актива
    • Ответственность в случае компрометации актива
    • Польза и роль актива в компании
    Понимание ценности актива является первым шагом к пониманию того, какие средства и механизмы безопасности должны использоваться для его защиты. Ценность актива определяет стоимость защитных мер, которые следует использовать для его защиты.

    Определение стоимости активов полезно для компании по целому ряду причин, включая следующие:

    • Для проведения анализа затраты/выгоды (cost/benefit analyse)
    • Для выбора конкретных контрмер и защитных средств
    • Для определения необходимого уровня страхового покрытия
    • Для понимания, чем именно рискует компания
    • Для выполнения требований законодательства, регуляторов, соблюдения должной заботы (due care)
    Активы могут быть материальным (компьютеры, оборудование, материалы) или нематериальные (репутация, данные, интеллектуальная собственность). Обычно трудно оценить количественно ценность нематериальных активов (например, репутации), которая может меняться с течением времени.


    Как было сказано ранее, риск - это вероятность того, что источник угрозы воспользуется уязвимостью, что приведет к негативному воздействию на бизнес. Существует множество видов источников угрозы, которые могут использовать разные типы уязвимостей, что может привести к определенным угрозам. Некоторые примеры рисков показаны в таблице 1-2.

    Таблица 1-2 Взаимосвязь угроз и уязвимостей

    Существуют и другие, гораздо более сложные для выявления виды угроз, которые могут произойти в компьютерной среде. Эти угрозы связаны с ошибками в приложениях и ошибками пользователей. Однако, при надлежащей организации контроля и аудита действий пользователей их ошибки (умышленные или случайные) выявить существенно проще.

    После выявления уязвимостей и связанных с ними угроз должны быть проанализированы последствия их использования, т.е. риски потенциального ущерба. Ущерб может быть связан с повреждением данных или систем (объектов), несанкционированным разглашением конфиденциальной информации, снижением производительности работы и т.д. При проведении анализа рисков, группа должна также рассмотреть вероятный отложенный ущерб (delayed loss), который может произойти по прошествии некоторого времени (от 15 минут до нескольких лет) после реализации риска. Отложенный ущерб может быть вызван, например, снижением производительности работы через определенный период времени, снижением дохода компании, ущербом ее репутации, накопительными штрафами, дополнительными расходами на восстановление окружения, приостановкой приема средств от клиентов и т.д.

    Например, если в результате атаки на веб-серверы компании они перестали обслуживать клиентов, непосредственным ущербом может быть повреждение данных, затраты рабочего времени на восстановление работы серверов, обновление уязвимого программного обеспечения на них. Кроме того, компания потеряет определенный доход в следствие невозможности обслуживания клиентов в течение времени, которое потребуется ей на восстановление работы своих веб-серверов. Если восстановительные работы займут значительное время (например, неделю), компания может потерять настолько большой объем прибыли, что будет уже не в состоянии оплачивать счета и другие расходы. Это и будет являться отложенным ущербом. А если кроме всего прочего компания еще и потеряет доверие клиентов, она может полностью потерять свой бизнес (на некоторое время или навсегда). Это является крайним случаем отложенного ущерба.

    Такого рода вопросы существенно усложняют количественную оценку ущерба, но они обязательно должны быть приняты во внимание для получения достоверной оценки.

    Методики оценки рисков. Для оценки рисков используется множество различных методик. Давайте рассмотрим некоторые из них.
    NIST SP 800-30 и 800-66 являются методологиями, которые могут использоваться коммерческими компаниями, хотя 800-66 изначально разрабатывалась для здравоохранения и других регулируемых отраслей. Подход NIST учитывает угрозы ИТ и соответствующие риски информационной безопасности. Он предусматривает следующие шаги:
    • Описание характеристик системы
    • Идентификация угроз
    • Идентификация уязвимостей
    • Анализ защитных мер
    • Определение вероятности
    • Анализ воздействия
    • Определение риска
    • Рекомендации защитных мер
    • Документирование результатов
    Методология оценки рисков NIST SP 800-30 часто используется консультантами и специалистами по безопасности, внутренними ИТ-подразделениями. Она ориентируется в основном на компьютерные системы. Отдельные люди или небольшие группы собирают данные из сети, из используемых практик по безопасности, а также от людей, работающих в компании. Собранные данные используются в качестве исходных данных для выполнения шагов анализа рисков, описанных в документе 800-30.
    Другой методологией оценки рисков является FRAP (Facilitated Risk Analysis Process – Групповой процесс анализа рисков). Она создана для проведения качественной оценки рисков способом, который позволяет вести проверки по различным аспектам и с использованием различной методологии. Она предоставляет способы, позволяющие компании принимать решения о направлении действий и конкретных действиях в конкретных обстоятельствах для учета различных проблем. Это дает возможность посредством предварительного отбора определить те области в компании, которые действительно нуждаются в анализе рисков. FRAP построен таким образом, что любой человек с хорошими навыками организации групповой работы сможет успешно провести анализ рисков по этой методике.
    Еще одним видом методологии является OCTAVE (Operationally Critical Threat, Asset, and Vulnerability Evaluation – Оценка критичных угроз, активов и уязвимостей). Это методология, которую следует применять в ситуациях, когда весь процесс анализа рисков информационной безопасности проводится силами сотрудников компании (без привлечения внешних консультантов). Она основана на идее, что сотрудники компании лучше всех понимают, что действительно нужно компании, и перед лицом каких рисков она стоит. Выбранные для участия в процессе оценки сотрудники сами решают, какой подход будет наилучшим для оценки безопасности их компании.
    В то время, как методологии NIST и OCTAVE направлены на угрозы ИТ и риски информационной безопасности, AS/NZS 4360 использует гораздо более широкий подход к управлению рисками. Эта методология может использоваться для понимания рисков компании в области финансов, защиты людей, принятия бизнес-решений и т.д. Она не была разработана специально для анализа рисков безопасности, хотя может успешно использоваться и для этой цели.
    ПРИМЕЧАНИЕ. Вы можете найти дополнительную информацию по этим подходам к анализу рисков и их использованию в статье Шон Харрис на странице http://searchsecurity.techtarget.com/generic/0,295582,sid14_gci1191926,00.html .

    CRAMM (CCTA Risk Analysis and Management Method – Метод анализа и управления рисками Центрального агентства по компьютерам и телекоммуникациям (CCTA) Великобритании) разделен на три сегмента: идентификация и оценка активов, анализ угроз и уязвимостей, выбор контрмер. Эта методика учитывает как технические аспекты компании, так и нетехнические.


    Анализ связующего дерева (Spanning Tree Analysis) – это методология, которая создает дерево всех потенциальных угроз и недостатков, которые могут нарушить работу системы. Каждая ветвь является обобщенной темой или категорией, неприменимые ветви могут удаляться в процессе проведения анализа рисков.

    FMEA (Failure Modes and Effect Analysis) – это метод определения функций, выявления функциональных дефектов, оценки причин дефекта и его последствий с помощью структурированного процесса. Применение этого процесса в случае постоянных дефектов позволяет определить место, где ошибка, скорее всего, произойдет. Это очень помогает выявить уязвимые места, точно определить границы уязвимостей и последствия их эксплуатации. В свою очередь, это позволяет не только упростить применение исправлений, устраняющих уязвимости, но и обеспечить более эффективное использование ресурсов в рамках этой задачи.

    Следуя определенной последовательности шагов, можно достичь наилучших результатов в анализе дефектов.

    1. Начните с блок-схемы системы или контроля (объекта анализа).
    2. Рассмотрите, что произойдет, если каждый блок диаграммы даст сбой.
    3. Нарисуйте таблицу, и укажите в ней дефекты в паре с их последствиями и оценкой этих последствий.
    4. Корректируйте проект системы и вносите соответствующие изменения в таблицу до тех пор, пока не станет ясно, что система не подвержена проблемам.
    5. Получите несколько инженерных обзоров характера дефектов и анализа последствий.

    В таблице 1-3 приведен пример проведения и документирования FMEA. Хотя большинство компаний не имеют ресурсов для столь детальной проработки каждой системы и контроля, она должна проводиться для критичных функций и систем, которые могут оказать существенное влияние на компанию. Очень важно проанализировать защитную меру или систему от микро- до макро-уровня, чтобы в полной мере понять, где могут находиться потенциальные уязвимости или дефекты и каковы последствия эксплуатации этих недостатков. Каждая компьютерная система может состоять из множества различных временных бомб на разных уровнях ее структуры. На уровне компонентов это может быть переполнение буфера или опасные компоненты ActiveX, что может позволить злоумышленнику получить контроль над системой, воспользовавшись уязвимостью. На программном уровне приложение может небезопасно проводить авторизацию или может не защищать свои криптографические ключи должным образом. На системном уровне ядро операционной системы может иметь недостатки, что позволит злоумышленнику без особого труда получить административный доступ. Различные ужасные вещи могут произойти на любом уровне, поэтому необходим столь детальный подход.

    Таблица 1-3 Пример проведения и документирования FMEA

    Изначально FMEA была разработана для исследования систем. Ее цель заключается в том, чтобы изучить потенциальные дефекты в продуктах и связанных с ними процессах. Этот подход оказался успешным и был адаптирован для использования при оценке приоритетов в области управления рисками и минимизации известных угроз-уязвимостей.

    Однако FMEA недостаточно эффективна при выявлении сложных дефектов, в которые могут быть вовлечены несколько различных систем или подсистем. В этом случае более целесообразно использовать анализ дерева сбоев (fault tree analysis). Для анализа с помощью дерева сбоев берется основной процесс. В качестве его корня (самого верхнего элемента этого логического дерева) указывается нежелательное событие. Затем, в качестве ветвей, добавляется ряд логических выражений и событий, которые могут привести к реализации вышестоящего нежелательного события. После этого дерево сбоев помечается цифрами, соответствующими вероятности сбоев (обычно это делается с помощью специализированных компьютерных программ, которые могут рассчитывать вероятности в дереве сбоев). На рисунке 1-7 показано упрощенное дерево сбоев и различные логические знаки, используемые для представления того, что должно произойти, чтобы вызвать сбой.

    Рисунок 1-7 Дерево сбоев и логические элементы


    При создании дерева, необходимо точно указать все угрозы или сбои, которые могут произойти с системой. Ветви дерева можно разделить на категории, например, физические угрозы, сетевые угрозы, компьютерные угрозы, интернет-угрозы и угрозы сбоя. Когда все возможные категории отмечены, вы можете подрезать ветви с дерева, удаляя угрозы, неприменимые в данном случае (если система не подключена к Интернету, то связанные с Интернетом ветви можно спокойно срезать с дерева).

    Некоторые из наиболее распространенных программных сбоев, которые могут быть исследованы с помощью анализа дерева сбоев, приведены ниже:

    • Ложные срабатывания (тревоги или защиты)
    • Недостаточная обработка ошибок
    • Нарушение последовательности или порядка
    • Некорректная синхронизация выдачи результатов
    • Корректные, но неожиданные результаты
    Итак, мы получили надлежащую поддержку руководства в рамках задачи по анализу рисков, создали группу анализа рисков из сотрудников различных подразделений компании, определили ценность каждого из активов компании, определили все возможные угрозы, которые могут повлиять на активы. Мы также приняли во внимание все возможные варианты отложенного ущерба, который может выдержать компания в отношении каждого актива и угрозы. Мы провели анализ сбоев и дефектов (или анализ дерева сбоев) для понимания причин, лежащих в основе выявленных угроз. Следующим шагом является расчет актуальных для компании рисков с использованием качественных и количественных методов.

    При внедрении системы управления информационной безопасностью (СУИБ) в организации одной из основных точек преткновения обычно становится система управления рисками. Рассуждения об управлении рисками информационной безопасности сродни проблеме НЛО. С одной стороны никто из окружающих вроде бы этого не видел и само событие представляется маловероятным, с другой стороны существует масса свидетельств, написаны сотни книг, имеются даже соответствующие научные дисциплины и объединения ученых мужей, вовлеченных в данный исследовательский процесс и, как водится, спецслужбы обладают в этой области особым тайным знанием.

    Александр Астахов, CISA, 2006

    Введение

    Среди специалистов по информационной безопасности в вопросах управления рисками нет единодушия. Кто-то отрицает количественные методы оценки рисков, кто-то отрицает качественные, кто-то вообще отрицает целесообразность и саму возможность оценки рисков, кто-то обвиняет руководство организации в недостаточном осознании важности вопросов безопасности или жалуется на трудности, связанные с получением объективной оценки ценности определенных активов, таких, например, как репутация организации. Другие, не видя возможности обосновать расходы на безопасность, предлагают относиться к этому как к некой гигиенической процедуре и тратить на эту процедуру столько денег, сколько не жалко, либо сколько осталось в бюджете.

    Какие бы не существовали мнения по вопросу управления рисками ИБ и как бы мы не относились к этим рискам, ясно одно, что в данном вопросе кроется суть многогранной деятельности специалистов по ИБ, непосредственно связывающая ее с бизнесом, придающая ей разумный смысл и целесообразность. В данной статье излагается один из возможных подходов к управлению рисками и дается ответ на вопрос, почему различные организации относятся к рискам информационной безопасности и управляют ими по-разному.

    Основные и вспомогательные активы

    Говоря о рисках для бизнеса мы имеем ввиду возможность с определенной вероятностью понести определенный ущерб. Это может быть как прямой материальный ущерб, так и косвенный ущерб, выражающийся, например, в упущенной выгоде, вплоть до выхода из бизнеса, ведь, если риском не управлять, то бизнес можно потерять.

    Собственно, суть вопроса заключается в том, что организация располагает и использует для достижения результатов своей деятельности (своих бизнес целей) несколько основных категорий ресурсов (далее будем использовать непосредственно связанное с бизнесом понятие актива). Актив – это все что имеет ценность для организации и генерирует ее доход (другими словами это то, что создает положительный финансовый поток, либо сберегает средства)

    Различают материальные, финансовые, людские и информационные активы. Современные международные стандарты также определяют еще одну категорию активов – это процессы. Процесс - это агрегированный актив, который оперирует всеми другими активами компании для достижения бизнес целей. В качестве одного из важнейших активов также рассматриваются имидж и репутация компании. Эти ключевые активы для любой организации, являются ни чем иным как особой разновидностью информационных активов, поскольку имидж и репутация компании – это ни что иное как содержание открытой и широко распространенной информацией о ней. Информационная безопасность занимается имиджевыми вопросами постольку, поскольку проблемы с безопасностью организации, а также утечка конфиденциальной информации крайне негативно влияют на имидж.

    На результаты бизнеса влияют различные внешние и внутренние факторы, относящиеся к категории риска. Влияние это выражается в отрицательном воздействии на одну или одновременно несколько групп активов организации. Например, сбой сервера влияет на доступность хранящейся на нем информации и приложений, а его ремонт отвлекает людские ресурсы, создавая их дефицит на определенном участке работ и вызывая дезорганизацию бизнес процессов, при этом временная недоступность клиентских сервисов может негативно повлиять на имидж компании.

    По определению, для организации важны все виды активов. Однако у каждой организации есть основные жизненно важные активы и активы вспомогательные. Определить какие активы являются основными очень просто, т.к. это те активы, вокруг которых построен бизнес организации. Так, бизнес организации может быть основан на владении и использовании материальных активов (например, земли, недвижимости, оборудования, полезных ископаемых), бизнес также может быть построен на управлении финансовыми активами (кредитная деятельность, страхование, инвестирование), бизнес может быть основан на компетенции и авторитете конкретных специалистов (консалтинг, аудит, обучение, высокотехнологичные и наукоемкие отрасли) или бизнес может вращаться вокруг информационных активов (разработка ПО, информационных продуктов, электронная коммерция, бизнес в Интернет). Риски основных активов чреваты потерей бизнеса и невосполнимыми потерями для организации, поэтому на этих рисках в первую очередь сосредоточено внимание владельцев бизнеса и ими руководство организации занимается лично. Риски вспомогательных активов обычно приводят к восполнимому ущербу и не являются основным приоритетом в системе управления организации. Обычно управлением такими рисками занимаются специально назначаемые люди, либо эти риски передаются сторонней организации, например, аутсорсеру или страховой компании. Для организации это скорее вопрос эффективности управления, нежели выживания.

    Существующие подходы к управлению рисками

    Поскольку риски информационной безопасности являются основными далеко не для всех организаций, практикуются три основных подхода к управлению этими рисками, различающиеся глубиной и уровнем формализма.

    Для некритичных систем, когда информационные активы являются вспомогательными, а уровень информатизации не высок, что характерно для большинства современных российских компаний, существует минимальная необходимость в оценке рисков. В таких организациях следует вести речь о некотором базовом уровне ИБ, определяемом существующими нормативами и стандартами, лучшими практиками, опытом, а также тем, как это делается в большинстве других организаций. Однако, существующие стандарты, описывая некоторый базовый набор требований и механизмов безопасности, всегда оговаривают необходимость оценки рисков и экономической целесообразности применения тех или иных механизмов контроля для того, чтобы выбрать из общего набора требования и механизмов те их них, которые применимы в конкретной организации.

    Для критичных систем, в которых информационные активы не являются основными, однако уровень информатизации бизнес процессов очень высок и информационные риски могут существенно повлиять на основные бизнес процессы, оценку рисков применять необходимо, однако в данном случае целесообразно ограничиться неформальными качественными подходами к решению этой задачи, уделяя особое внимание наиболее критичным системам.

    Когда же бизнес организации построен вокруг информационных активов и риски информационной безопасности являются основными, для оценки этих рисков необходимо применять формальный подход и количественные методы.

    Во многих компаниях одновременно несколько видов активов могут являться жизненно важными, например, когда бизнес диверсифицирован или компания занимается созданием информационных продуктов и для нее могут быть одинаково важны и людские и информационные ресурсы. В этом случае, рациональный подход заключается в проведении высокоуровневой оценки рисков, с целью определения того, какие системы подвержены рискам в высокой степени и какие имеют критическое значение для ведения деловых операций, с последующим проведением детальной оценки рисков для выделенных систем. Для всех остальных некритичных систем целесообразно ограничиться применением базового подхода, принимая решения по управлению рисками на основании существующего опыта, экспертных заключений и лучшей практики.

    Уровни зрелости

    На выбор подхода к оценке рисков в организации, помимо характера ее бизнеса и уровня информатизации бизнес процессов, также оказывает влияние ее уровень зрелости. Управление рисками ИБ – это бизнес задача, инициируемая руководством организации в силу своей информированности и степени осознания проблем ИБ, смысл которой заключается в защите бизнеса от реально существующих угроз ИБ. По степени осознания прослеживаются несколько уровней зрелости организаций, которые в определенной степени соотносятся с уровнями зрелости, определяемыми в COBIT и других стандартах:

    1. На начальном уровне осознание как таковое отсутствует, в организации предпринимаются фрагментарные меры по обеспечению ИБ, инициируемые и реализуемые ИТ специалистами под свою ответственность.
    2. На втором уровне в организации определена ответственность за ИБ, делаются попытки применения интегрированных решений с централизованным управлением и внедрения отдельных процессов управления ИБ.
    3. Третий уровень характеризуется применением процессного подхода к управлению ИБ, описанного в стандартах. Система управления ИБ становится настолько значимой для организации, что рассматриваться как необходимый составной элемент системы управления организацией. Однако полноценной системы управления ИБ еще не существует, т.к. отсутствует базовый элемент этой системы – процессы управления рисками.
    4. Для организаций с наивысшей степенью осознания проблем ИБ характерно применение формализованного подхода к управлению рисками ИБ, отличающегося наличием документированных процессов планирования, реализации, мониторинга и совершенствования.

    Процессная модель управления рисками

    В марте этого года был принят новый британский стандарт BS 7799 Часть 3 – Системы управления информационной безопасностью - Практические правила управления рисками информационной безопасности. Ожидает, что до конца 2007 года ISO утвердит этот документ в качестве международного стандарта. BS 7799-3 определяет процессы оценки и управления рисками как составной элемент системы управления организации, используя ту же процессную модель, что и другие стандарты управления, которая включает в себя четыре группы процессов: планирование, реализация, проверка, действия (ПРПД), что отражает стандартный цикл любых процессов управления. В то время как ISO 27001 описывает общий непрерывный цикл управления безопасностью, в BS 7799-3 содержится его проекция на процессы управления рисками ИБ.

    В системе управления рисками ИБ на этапе Планирования определяются политика и методология управления рисками, а также выполняется оценка рисков, включающая в себя инвентаризацию активов, составление профилей угроз и уязвимостей, оценку эффективность контрмер и потенциального ущерба, определение допустимого уровня остаточных рисков.

    На этапе Реализации производится обработка рисков и внедрение механизмов контроля, предназначенных для их минимизации. Руководством организации принимается одно из четырех решений по каждому идентифицированному риску: проигнорировать, избежать, передать внешней стороне, либо минимизировать. После этого разрабатывается и внедряется план обработки рисков.

    На этапе Проверки отслеживается функционирование механизмов контроля, контролируются изменения факторов риска (активов, угроз, уязвимостей), проводятся аудиты и выполняются различные контролирующие процедуры.

    На этапе Действия по результатам непрерывного мониторинга и проводимых проверок, выполняются необходимые корректирующие действия, которые могут включать в себя, в частности, переоценку величины рисков, корректировку политики и методологии управления рисками, а также плана обработки рисков.

    Факторы риска

    Сущность любого подхода к управлению рисками заключается в анализе факторов риска и принятии адекватных решений по обработке рисков. Факторы риска – это те основные параметры, которыми мы оперируем при оценке рисков. Таких параметров всего семь:

    • Актив (Asset)
    • Ущерб (Loss)
    • Угроза (Threat)
    • Уязвимость (Vulnerability)
    • Мехнизм контроля (Сontrol)
    • Размер среднегодовых потерь (ALE)
    • Возврат инвестиций (ROI)

    Способы анализа и оценки этих параметров определяются используемой в организации методологией оценки рисков. При этом общий подход и схема рассуждений примерно одинаковы, какая бы методология не использовалась. Процесс оценки рисков (assessment) включает в себя две фазы. На первой фазе, которая определяется в стандартах как анализ рисков (analysis), необходимо ответить на следующие вопросы:

    • Что является основным активом компании?
    • Какова реальная ценность данного актива?
    • Какие существуют угрозы в отношении данного актива?
    • Каковы последствия этих угроз и ущерб для бизнеса?
    • Насколько вероятны эти угрозы?
    • Насколько уязвим бизнес в отношении этих угроз?
    • Каков ожидаемый размер среднегодовых потерь?

    На второй фазе, которая определяется стандартами как оценивание рисков (evaluation), необходимо ответить на вопрос: Какой уровень риска (размер среднегодовых потерь) является приемлемым для организации и, исходя из этого, какие риски превышают этот уровень.

    Таким образом, по результатам оценки рисков, мы получаем описание рисков, превышающих допустимый уровень, и оценку величины этих рисков, которая определяется размером среднегодовых потерь. Далее необходимо принять решение по обработке рисков, т.е. ответить на следующие вопросы:

    • Какой вариант обработки риска выбираем?
    • Если принимается решение о минимизации риска, то какие механизмы контроля необходимо использовать?
    • Насколько эффективны эти механизмы контроля и какой возврат инвестиций они обеспечат?

    На выходе данного процесса появляется план обработки рисков, определяющий способы обработки рисков, стоимость контрмер, а также сроки и ответственных за реализацию контрмер.

    Принятие решения по обработке рисков

    Принятие решения по обработке рисков – ключевой и наиболее ответственный момент в процессе управления рисками. Для того чтобы руководство могло принять правильное решение, сотрудник, отвечающий за управление рисками в организации, должен предоставить ему соответствующую информацию. Форма представления такой информации определяется стандартным алгоритмом делового общения, который включает в себя четыре основных пункта:

    • Сообщение о проблеме: В чем заключается угроза для бизнеса (источник, объект, способ реализации) и в чем причина ее существования?
    • Степень серьезности проблемы: Чем это грозит организации, ее руководству и акционерам?
    • Предлагаемое решение: Что предлагается сделать для исправления ситуации, во сколько это обойдется, кто это должен делать и что требуется непосредственно от руководства?
    • Альтернативные решения: Какие еще способы решения проблемы существуют (альтернативы есть всегда и у руководства должна быть возможность выбора).

    Пункты 1 и 2, а также 3 и 4 могут меняться местами, в зависимости от конкретной ситуации.

    Методы управления рисками

    Существует достаточное количество хорошо себя зарекомендовавших и достаточно широко используемых методов оценки и управления рисками. Одним из таких методов является OCTAVE, разработанный в университете Карнеги-Мелон для внутреннего применения в организации. OCTAVE – Оценка критичных угроз, активов и уязвимостей (Operationally Critical Threat, Asset, and Vulnerability Evaluation) имеет ряд модификаций, рассчитанных на организации разного размера и области деятельности. Сущность этого метода заключается в том, что для оценки рисков используется последовательность соответствующим образом организованных внутренних семинаров (workshops). Оценка рисков осуществляется в три этапа, которым предшествует набор подготовительных мероприятий, включающих в себя согласования графика семинаров, назначения ролей, планирование, координация действий участников проектной группы.

    На первом этапе, в ходе практических семинаров, осуществляется разработка профилей угроз, включающих в себя инвентаризацию и оценку ценности активов, идентификация применимых требований законодательства и нормативной базы, идентификацию угроз и оценку их вероятности, а также определение системы организационных мер по поддержанию режима ИБ.

    На втором этапе производится технический анализ уязвимостей информационных систем организации в отношении угроз, чьи профили были разработаны на предыдущем этапе, который включает в себя идентификацию имеющихся уязвимостей информационных систем организации и оценку их величины.

    На третьем этапе производится оценка и обработка рисков ИБ, включающая в себя определение величины и вероятности причинения ущерба в результате осуществления угроз безопасности с использованием уязвимостей, которые были идентифицированы на предыдущих этапах, определение стратегии защиты, а также выбор вариантов и принятие решений по обработке рисков. Величина риска определяется как усредненная величина годовых потерь организации в результате реализации угроз безопасности.

    Аналогичный подход используется и в широко известном методе оценки рисков CRAMM, разработанном в свое время, по заказу британского правительства. В CRAMM основной способ оценки рисков – это тщательно спланированные интервью, в которых используются подробнейшие опросники. CRAMM используется в тысячах организаций по всему миру, благодаря, кроме всего прочего, и наличию весьма развитого программного инструментария, содержащего базу знаний по рискам и механизмам их минимизации, средства сбора информации, формирования отчетов, а также реализующего алгоритмы для вычисления величины рисков.

    В отличие от метода OCTAVE, в CRAMM используется несколько иная последовательность действий и методы определения величины рисков. Сначала определяется целесообразность оценки рисков вообще и если информационная система организации недостаточно критична, то к ней применятся стандартный набор механизмов контроля описанный в международных стандартах и содержащихся в базе знаний CRAMM.

    На первом этапе в методе CRAMM строиться модель ресурсов информационной системы, описывающая взаимосвязи между информационными, программными и техническими ресурсами, а также оценивается ценность ресурсов, исходя из возможного ущерба, который организация может понести в результате их компрометации.

    На втором этапе производится оценка рисков, включающая в себя идентификацию и оценку вероятности угроз, оценку величины уязвимостей и вычисление рисков для каждой тройки: ресурс – угроза – уязвимость. В CRAMM оцениваются «чистые» риски, безотносительно к реализованным в системе механизмам контроля. На этапе оценки рисков предполагается, что контрмеры вообще не применяются и набор рекомендуемых контрмер по минимизации рисков, формируется, исходя из этого предположения.

    На заключительном этапе инструментарием CRAMM формируется набор контрмер по минимизации идентифицированных рисков и производится сравнение рекомендуемых и существующих контрмер, после чего формируется план обработки рисков.

    Инструментарий для управления рисками

    В процессе оценки рисков мы проходим ряд последовательных этапов, периодически откатываясь на предыдущие этапы, например, переоценивая, определенный риск после выбора конкретной контрмеры для его минимизации. На каждом этапе необходимо иметь под рукой опросники, перечни угроз и уязвимостей, реестры ресурсов и рисков, документация, протоколы совещаний, стандарты и руководства. В связи с этим нужен некий запрограммированный алгоритм, база данных и интерфейс для работы с этими разнообразными данными.

    Для управления рисками ИБ можно применять инструментарий, например, как в методе CRAMM, либо RA2 (показан на рисунке), однако это не является обязательным. Примерно также об этом сказано и в стандарте BS 7799-3. Полезность применения инструментария может заключаться в том, что он содержит запрограмированый алгоритм рабочего процесса оценки и управления рисками, что упрощает работу неопытному специалисту.

    Использование инструментария позволяет унифицировать методологию и упростить использование результатов для переоценки рисков, даже если она выполняется другими специалистами. Благодаря использованию инструментария есть возможность упорядочить хранение данных и работу с моделью ресурсов, профилями угроз, перечнями уязвимостей и рисками.

    Помимо собственно средств оценки и управления рисками программный инструментарий может также содержать дополнительные средства для документирования СУИБ, анализа расхождений с требованиями стандартов, разработки реестра ресурсов, а также другие средства, необходимые для внедрения и эксплуатации СУИБ.

    Выводы

    Выбор качественного или количественного подходов к оценке рисков, определяется характером бизнеса организации и уровнем его информатизации, т.е. важностью для него информационных активов, а также уровнем зрелости организации.

    При реализации формального подхода к управлению рисками в организации необходимо опираться, прежде всего, на здравый смысл, существующие стандарты (например, BS 7799-3) и хорошо зарекомендовавшие себя методологии (например, OCTAVE или CRAMM). Может оказаться полезным использовать для этих целей программный инструментарий, который реализует соответствующие методологии и в максимальной степени отвечает требованиям стандартов (например, RA2).

    Эффективность процесса управления рисками ИБ определяется точностью и полнотой анализа и оценки факторов риска, а также эффективностью используемых в организации механизмов принятия управленческих решений и контроля их исполнения.

    Ссылки

    • Астахов А.М., «История стандарта BS 7799», http://www.globaltrust.ru/shop/osnov.php?idstat=61&idcatstat=12
    • Астахов А.М., «Как построить и сертифицировать систему управления информационной безопасностью?»,

    В настоящее время используются различные методы оценки информационных рисков компаний и управления ими. Оценка информационных рисков компании может быть выполнена в соответствии со следующим планом:

    1) Идентификация и количественная оценка информационных ресурсов компании, значимых для бизнеса.

    2) Оценивание возможных угроз.

    3) Оценивание существующих уязвимостей.

    4) Оценивание эффективности средств обеспечения информационной безопасности.

    Предполагается, что значимые для бизнеса уязвимые информационные ресурсы компании подвергаются риску, если по отношению к ним существуют какие-либо угрозы. Другими словами, риски характеризуют опасность, которая может угрожать компонентам корпоративной информационной системы. При этом информационные риски компании зависят от:

    Показателей ценности информационных ресурсов;

    Вероятности реализации угроз для ресурсов;

    Эффективности существующих или планируемых средств обеспечения информационной безопасности.

    Цель оценивания рисков состоит в определении характеристик рисков корпоративной информационной системы и ее ресурсов. После оценки рисков можно выбрать средства, обеспечивающие желаемый уровень информационной безопасности компании. При оценивании рисков учитываются такие факторы, как ценность ресурсов, значимость угроз и уязвимостей, эффективность имеющихся и планируемых средств защиты. Возможность реализации угрозы для некоторого ресурса компании оценивается вероятностью ее реализации в течение заданного отрезка времени. При этом вероятность того, что угроза реализуется, определяется следующими основными факторами:

    Привлекательностью ресурса (учитывается при рассмотрении угрозы от умышленного воздействия со стороны человека);

    Возможностью использования ресурса для получения дохода (также в случае угрозы от умышленного воздействия со стороны человека);

    Техническими возможностями реализации угрозы при умышленном воздействии со стороны человека;

    Степенью легкости, с которой уязвимость может быть использована.

    В настоящее время управление информационными рисками представляет собой одно из наиболее актуальных и динамично развивающихся направлений стратегического и оперативного менеджмента в области защиты информации. Его основная задача - объективно идентифицировать и оценить наиболее значимые для бизнеса информационные риски компании, а также адекватность используемых средств контроля рисков для увеличения эффективности и рентабельности экономической деятельности компании. Поэтому под термином «управление информационными рисками» обычно понимается системный процесс идентификации, контроля и уменьшения информационных рисков компаний в соответствии с определенными ограничениями российской нормативно­правовой базы в области защиты информации и собственной корпоративной политики безопасности. Считается, что качественное управление рисками позволяет использовать оптимальные по эффективности и затратам средства контроля рисков и средства защиты информации, адекватные текущим целям и задачам бизнеса компании.

    Не секрет, что сегодня наблюдается повсеместное усиление зависимости успешной бизнес­деятельности отечественных компаний от используемых организационных мер и технических средств контроля и уменьшения риска. Для эффективного управления информационными рисками разработаны специальные методики, например методики международных стандартов ISO 15408, ISO 17799 (BS7799), BSI; а также национальных стандартов NIST 800­30, SAC, COSO, SAS 55/78 и некоторые другие, аналогичные им. В соответствие с этими методиками управление информационными рисками любой компании предполагает следующее. Во­первых, определение основных целей и задач защиты информационных активов компании. Во­вторых, создание эффективной системы оценки и управления информационными рисками. В­третьих, расчет совокупности детализированных не только качественных, но и количественных оценок рисков, адекватных заявленным целям бизнеса. В­четвертых, применение специального инструментария оценивания и управления рисками.

    Качественные методики управления рисками

    Качественные методики управления рисками приняты на вооружение в технологически развитых странах многочисленной армией внутренних и внешних IT­аудиторов. Эти методики достаточно популярны и относительно просты, и разработаны, как правило, на основе требований международного стандарта ISO 17799­2002.

    Стандарт ISO 17799 содержит две части.

    В Части 1: Практические рекомендации по управлению информационной безо­пасностью, 2002 г., определены основные аспекты организации режима информационной безопасности в компании: Политика безопасности. Организация защиты. Классификация и управление информационными ресурсами. Управление персоналом. Физическая безопасность. Администрирование компьютерных систем и сетей. Управление доступом к системам. Разработка и сопровождение систем. Планирование бесперебойной работы организации. Проверка системы на соответствие требованиям ИБ.

    Часть 2: Спецификации, 2002 г., рассматривает эти же аспекты с точки зрения сертификации режима информационной безопасности компании на соответствие требованиям стандарта. С практической точки зрения эта часть является инструментом для IT­аудитора и позволяет оперативно проводить внутренний или внешний аудит информационной безопасности любой компании.

    К качественным методикам управления рисками на основе требований ISO 17999 относятся методики COBRA и RA Software Tool. Давайте кратко рассмот­рим названные методики.

    Эта методика позволяет выполнить в автоматизированном режиме простейший вариант оценивания информационных рисков любой компании. Для этого предлагается использовать специальные электронные базы знаний и процедуры логического вывода, ориентированные на требования ISO 17799. Существенно, что при желании перечень учитываемых требований можно дополнить различными требованиями отечественных нормативно­регулирующих органов, например, требованиями руководящих документов (РД) Гос­техкомиссии при Президенте РФ.

    Методика COBRA представляет требования стандарта ISO 17799 в виде тематических вопросников (check list’s), на которые следует ответить в ходе оценки рисков информационных активов и электронных бизнес­транзакций компании (рис. 1. - Пример тематического сборника вопросов COBRA ). Далее введенные ответы автоматически обрабатываются,и с помощью соответствующих правил логического вывода формируется итоговый отчет c текущими оценками информационных рисков компании и рекомендациями по их управлению.

    RA Software Tool

    Методика и одноименное инструментальное средство RA Software Tool (рис. 2. - Основные модули методики RA Software Tool ) основаны на требованиях международных стандартов ISO 17999 и ISO 13335 (части 3 и 4), а также на требованиях некоторых руководств Британского национального института стандартов (BSI), например, PD 3002 (Руководство по оценке и управлению рисками), PD 3003 (Оценка готовности компании к аудиту в соответствии с BS 7799), PD 3005 (Руководство по выбору системы защиты) и пр.

    Эта методика позволяет выполнять оценку информационных рисков (модули 4 и 5) в соответствии с требованиями ISO 17799, а при желании в соответствии с более детальными спецификациями руководства PD 3002 Британского института стандартов.

    Количественные методики управления рисками

    Вторую группу методик управления рисками составляют количественные методики, актуальность которых обу­словлена необходимостью решения различных оптимизационных задач, которые часто возникают в реальной жизни. Суть этих задач сводится к поиску единственного оптимального решения, из множества существующих. Например, необходимо ответить на следующие вопросы: «Как, оставаясь в рамках утвержденного годового (квартального) бюджета на информационную безопасность, достигнуть максимального уровня защищенности информационных активов компании?» или «Какую из альтернатив построения корпоративной защиты информации (защищенного WWW сайта или корпоративной E­mail) выбрать с учетом известных ограничений бизнес­ресурсов компании?» Для решения этих задач и разрабатываются методы и методики количественной оценки и управления рисками на основе структурных и реже объектноориентированных методов системного анализа и проектирования (SSADM - Structured Systems Analysis and Design). На практике такие методики управления рисками позволяют: Создавать модели информационных активов компании с точки зрения безопасности; Классифицировать и оценивать ценности активов; Составлять списки наиболее значимых угроз и уязвимостей безопасности; Ранжировать угрозы и уязвимости безопасности; Обосновывать средства и меры контроля рисков; Оценивать эффективность/стоимость различных вариантов защиты; Формализовать и автоматизировать процедуры оценивания и управления рисками.

    Одной из наиболее известных методик этого класса является методика CRAMM.

    сначала был создан метод, а затем одноименная методика CRAMM (анализа и контроля рисков), соответствующая требованиям CCTA. Затем появилось несколько версий методики, ориентированных на требования различных государственных и коммер­ческих организаций и структур. Одна из версий «коммерческого профиля» широко распространилась на рынке средств защиты информации.

    Основными целями методики CRAMM являются: Формализация и автоматизация процедур анализа и управления рисками; Оптимизация расходов на средства контроля и защиты; Комплексное планирование и управ­ление рисками на всех стадиях жизненного цикла информационных систем; Сокращение времени на разработку и сопровождение корпоративной системы защиты информации; Обоснование эффективности предлагаемых мер защиты и средств контроля; Управление изменениями и инциден­тами; Поддержка непрерывности бизнеса; Оперативное принятие решений по вопросам управления безопасностью и пр.

    Управление рисками в методике СRAMM осуществляется в несколько этапов (рис. 3).

    На первом этапе инициации - «Initiation» - определяются границы исследуемой информационной системы компании, состав и структура ее основных информационных активов и транзакций.

    На этапе идентификации и оценки ресурсов - «Identification and Valuation of Assets» - четко идентифицируются активы и определяется их стоимость. Расчет стоимости информационных активов однозначно позволяет определить необходимость и достаточность предлагаемых средств контроля и защиты.

    На этапе оценивания угроз и уязвимостей - «Threat and Vulnerability Assessment» - идентифицируются и оцениваются угрозы и уязвимости информационных активов компании.

    Этап анализа рисков - «Risk Analysis» - позволяет получить качественные и количественные оценки рисков.

    На этапе управления рисками - «Risk management» - предлагаются меры и средства уменьшения или уклонения от риска.

    Давайте рассмотрим возможности CRAMM на следующем примере. Пусть проводится оценка информационных рисков следующей корпоративной информационной системы (рис. 4).

    В этой схеме условно выделим следующие элементы системы: рабочие места, на которых операторы вводят информацию, поступающую из внешнего мира; почтовый сервер, на который информация поступает с удаленных узлов сети через Интернет; сервер обработки, на котором установлена СУБД; сервер резервного копирования; рабочие места группы оперативного реагирования; рабочее место администратора безопасности; рабочее место администратора БД.

    Функционирование системы осуществляется следующим образом. Данные, введенные с рабочих мест пользователей и поступившие на почтовый сервер, направляются на сервер корпоративной обработки данных. Затем данные поступают на рабочие места группы оперативного реагирования и там принимаются соответствующие решения.

    Давайте теперь проведем анализ рисков с помощью методики CRAMM и предложим некоторые средства контроля и управления рисками, адекватные целям и задачам бизнеса компании.

    Определение границ исследования. Этап начинается с решения задачи определения границ исследуемой системы. Для этого собирается следующая информация: ответственные за физические и программные ресурсы; кто является пользователем и как пользователи применяют или будут использовать систему; конфигурация системы. Первичная информация собирается в процессе бесед с менеджерами проектов, менеджером пользователей или другими сотрудниками.

    Идентификация ресурсов и построение модели системы с точки зрения ИБ. Проводится идентификация ресурсов: материальных, программных и ин­формационных, содержащихся внутри границ системы. Каждый ресурс необходимо отнести к одному из предопределенных классов. Классификация физических ресурсов приводится в приложении. Затем строится модель информационной системы с точки зрения ИБ. Для каждого информационного процесса, имеющего самостоятельное значение с точки зрения пользователя и называемого пользовательским сервисом (End­User­Service), строится дерево связей используемых ресурсов. В рассматриваемом примере будет единственный подобный сервис (рис. 5). Построенная модель позволяет выделить критичные элементы.

    Ценность ресурсов. Методика позволяет определить ценность ресурсов. Этот шаг является обязательным в полном варианте анализа рисков. Ценность физических ресурсов в данном методе определяется ценой их восстановления в случае разрушения. Ценность данных и программного обеспечения определяется в следующих ситуациях: недоступность ресурса в течение определенного периода времени; разрушение ресурса - потеря информации, полученной со времени последнего резервного копирования или ее полное разрушение; нарушение конфиденциальности в случаях несанкционированного доступа штатных сотрудников или посторонних лиц; модификация рассматривается для случаев мелких ошибок персонала (ошибки ввода), программных ошибок, преднамеренных ошибок; ошибки, связанные с передачей информации: отказ от доставки, недоставка информации, доставка по неверному адресу. Для оценки возможного ущерба предлагается использовать следующие критерии: ущерб репутации организации; нарушение действующего законодательства; ущерб для здоровья персонала; ущерб, связанный с разглашением персональных данных отдельных лиц; финансовые потери от разглашения информации; финансовые потери, связанные с восстановлением ресурсов; потери, связанные с невозможностью выполнения обязательств; дезорганизация деятельности.

    Приведенная совокупность критериев используется в коммерческом варианте метода (профиль Standard). В других версиях совокупность будет иной, например, в версии, используемой в правительственных учреждениях, добавляются параметры, отражающие такие области, как национальная безопасность и международные отношения.

    Для данных и программного обеспечения выбираются применимые к данной ИС критерии, дается оценка ущерба по шкале со значениями от 1 до 10.

    К примеру, если данные содержат подробности коммерческой конфиденциальной (критичной) информации, эксперт, проводящий исследование, задает вопрос: как может повлиять на организацию несанкционированный доступ посторонних лиц к этой информации?

    Возможен такой ответ: провал сразу по нескольким параметрам из перечисленных выше, причем каждый аспект следовало бы рассмотреть подробнее и присвоить самую высокую из возможных оценок.

    Затем разрабатываются шкалы для выбранной системы параметров. Они могут выглядеть следующим образом.

    Ущерб репутации организации: 2 - негативная реакция отдельных чиновников, общественных деятелей; 4 - критика в средствах массовой информации, не имеющая широкого общественного резонанса; 6 - негативная реакция отдельных депутатов Думы, Совета Федерации; 8 - критика в средствах массовой информации, имеющая последствия в виде крупных скандалов, парламентских слушаний, широкомасштабных проверок и т. п.; 10 - негативная реакция на уровне Президента и Правительства.

    Ущерб для здоровья персонала: 2 - минимальный ущерб (последствия не связаны с госпитализаций или длительным лечением); 4 - ущерб среднего размера (необходимо лечение для одного или нескольких сотрудников, но длительных отрицательных последствий нет); 6 - серьезные последствия (длительная госпитализация, инвалидность одного или нескольких сотрудников); 10 - гибель людей.

    Финансовые потери, связанныес восстановлением ресурсов: 2 - менее $1000; 6 - от $1000 до $10 000; 8 - от $10 000 до $100 000; 10 - свыше $100 000.

    Дезорганизация деятельностив связи с недоступностью данных: 2 - отсутствие доступа к информации до 15 минут; 4 - отсутствие доступа к информации до 1 часа; 6 - отсутствие доступа к информации до 3 часов; 8 - отсутствие доступа к информации от 12 часов; 10 - отсутствие доступа к информации более суток.

    На этом этапе может быть подготовлено несколько типов отчетов (границы системы, модель, определение ценности ресурсов). Если ценности ресурсов низкие, можно использовать базовый вариант защиты. В таком случае исследователь может перейти от этой стадии сразу к стадии анализа рисков. Однако для адекватного учета потенциального воздействия какой­либо угрозы, уязвимости или комбинации угроз и уязвимостей, которые имеют высокие уровни, следует использовать сокращенную версию стадии оценки угроз и уязвимостей. Это позволяет разработать более эффективную систему защиты информации компании.

    На этапе оценивания угроз и уявимостей оцениваются зависимости пользовательских сервисов от определенных групп ресурсов и существующий уровень угроз и уязвимостей.

    Далее активы компании группируются с точки зрения угроз и уязвимостей.Например, в случае наличия угрозы пожара или кражи, в качестве группы ресурсов разумно рассмотреть все ресурсы, находящиеся в одном месте (серверный зал, комната средств связи и т. д.).

    При этом оценка уровней угроз и уязвимостей может проводиться на основе косвенных факторов или на основе прямых оценок экспертов. В первом случае программное обеспечение CRAMM для каждой группы ресурсов и каждого из них генерирует список вопросов, допускающих однозначный ответ (рис. 8. -Оценка уровня угрозы безопасности по косвенным факторам ).

    Уровень угроз оценивается, в зависимости от ответов, как: очень высокий; высокий; средний; низкий; очень низкий.

    Уровень уязвимости оценивается, в зависимости от ответов, как: высокий; средний; низкий; отсутствует.

    Возможно проведение коррекции результатов или использование других методов оценки. На основе этой информации рассчитываются уровни рисков в дискретной шкале с градациями от 1 до 7 (этап анализа рисков). Полученные уровни угроз, уязвимостей и рисков анализируются и согласовываются с заказчиком. Только после этого можно переходить к заключительной стадии метода.

    Управление рисками. Основные шаги стадии управления рисками представлены на рис. 9.

    На этом этапе CRAMM генерирует несколько вариантов мер противодействия, адекватных выявленным рискам и их уровням. Контрмеры разбиваются на группы и подгруппы по следующим категориям: Обеспечение безопасности на сетевом уровне. Обеспечение физической безопасности. Обеспечение безопасности поддерживающей инфраструктуры. Меры безопасности на уровне системного администратора.

    В результате выполнения данного этапа формируется несколько видов отчетов.

    Таким образом, рассмотренная методика анализа и управления рисками полностью применима и в российских условиях, несмотря на то, что показатели защищенности от НСД к информации и требования по защите информации различаются в российских РД и зарубежных стандартах. Особенно полезным представляется использование инструментальных средств типа метода CRAMM при проведении анализа рисков информационных систем с повышенными требованиями в области ИБ. Это позволяет получать обоснованные оценки существующих и допустимых уровней угроз, уязвимостей, эффективности защиты.

    Методика MethodWare

    Компания MethodWare разработала свою собственную методику оценки и управления рисками и выпустила ряд соответствующих инструментальных средств. К этим средствам относятся: ПО анализа и управления рисками Operational Risk Builder и Risk Advisor. Методика соответствует австралийскому стандарту Australian/New Zealand Risk Management Standard (AS/NZS 4360:1999) и стандарту ISO17799. ПО управления жизненным цик­лом информационной технологии в соответствии с CobiT Advisor 3rd Edition (Audit) и CobiT 3rd Edition Management Advisor. В руководствах CobiT существенное место уделяется анализу и управлению рисками. ПО для автоматизации построения разнообразных опросных листов Questionnaire Builder.

    Давайте кратко рассмотрим возможности Risk Advisor. Это ПО позиционируется как инструментарий аналитика или менеджера в области информационной безопасности. Реализована методика, позволяющая задать модель информационной системы с позиции информационной безопасности, идентифицировать риски, угрозы, потери в результате инцидентов. Основными этапами работы являются: описание контекста, определение рисков, оценка угроз и возможного ущерба, выработка управляющих воздействий и разработка плана восстановления и действий в чрезвычайных ситуациях. Давайте рассмотрим перечисленные этапы подробнее. Описание рисков. Задается матрица рисков (рис. 10. - Идентификация и определение рисков в Risk Advisor ) на основе некоторого шаблона. Риски оцениваются по качественной шкале и разделяются на приемлемые и неприемлемые (рис. 11. - Разделение рисков на приемлемые и неприемлемые в Risk Advisor ). Затем выбираются управляющие воздействия (контрмеры) с учетом зафиксированной ранее системы критериев, эффективности контрмер и их стоимости. Стоимость и эффективность также оцениваются в качественных шкалах.

    Описание угроз. В начале формируется список угроз. Угрозы определенным образом классифицируются, затем описывается связь между рисками и угрозами. Описание также делается на качественном уровне и позволяет зафиксировать их взаимосвязи.

    Описание потерь. Описываются события (последствия), связанные с нарушением режима информационной безопасности. Потери оцениваются в выбранной системе критериев.

    Анализ результатов. В результате построения модели можно сформировать подробный отчет (около 100 разделов), посмотреть на экране агрегированные описания в виде графа­рисков.

    Рассмотренная методика позволяет автоматизировать различные аспекты управления рисками компании. При этом оценки рисков даются в качественных шкалах. Подробный анализ факторов рисков не предусмотрен. Сильной стороной рассмотренной методики является возможность описания различных связей, адекватный учет многих факторов риска и существенно меньшая трудоемкость по сравнению с CRAMM.

    Заключение

    Современные методики и технологии управления информационными рисками позволяют оценить существующий уровень остаточных информационных рисков в отечественных компаниях. Это особенно важно в тех случаях, когда к информационной системе компании предъявляются повышенные требования в области защиты информации и непрерывности бизнеса.Сегодня существует ряд методик анализа рисков, в том числе с использованием CASE­средств, адаптированныхк использованию в отечественных условиях. Существенно, что качественно выполненный анализ информационных рисков позволяет провести сравнительный анализ «эффективность­стоимость» различных вариантов защиты, выбрать адекватные контрмеры и средства контроля, оценить уровень остаточных рисков. Кроме того, инструментальные средства анализа рисков, основанные на современных базах знаний и процедурах логического вывода, позволяют построить структурные и объектно­ориентированные модели информационных активов компании, модели угроз и модели рисков, связанных с отдельными информационными и бизнес­транзакциями и, следовательно, выявлять такие информационные активы компании, риск нарушения защищенности которых является критическим, то есть неприемлемым. Такие инструментальные средства предоставляют возможность построить различные модели защиты информационных активов компании, сравнивать между собой по критерию «эффективность­стоимость» различные варианты комплексов мер защиты и контроля, а также вести мониторинг выполнения требований по организации режима информационной безопасности отечественной компании.