97514

МЕТОД ОЦІНКИ ЗАХИЩЕНОСТІ ІНФОРМАЦІЙНИХ СИСТЕМ

Дипломная

Информатика, кибернетика и программирование

Нове покоління стандартів відрізняється як від попередніх більшою формалізацією технології організації режиму ІБ і детальним комплексним обліком вимірних показників інформаційної безпеки компанії. Комплексний облік показників передбачає і комплексний підхід до організації режиму ІБ

Украинкский

2015-10-19

894 KB

3 чел.

1 НОРМОТИВНО-ПРАВОВА БАЗА ПОБУДОВИ СИСТЕМ ЗАХИСТУ

1.1 Загальні відомості про міжнародні стандарти

Останнім часом в різних технологічно розвинених країнах з'явилося нове покоління стандартів інформаційної безпеки, присвячених практичним питанням організації режиму ІБ на підприємстві. Це перш за все міжнародні і національні стандарти оцінки інформаційної безпеки і управління нею - ISO 15408, ISO 17799 (BS7799), BSI; стандарти аудиту, що відображають питання інформаційної безпеки, - COBIT, SAC, COSO, SAS 55/78 і деякі інші, аналогічні їм. Відповідно до цих стандартів організація режиму ІБ в будь-якій компанії передбачає наступне.

По-перше, визначення цілей забезпечення інформаційної безпеки компанії.

По-друге, створення ефективної системи управління інформаційною безпекою.

По-третє, розрахунок сукупності деталізованих не лише якісних, але і кількісних показників для оцінки відповідності інформаційної безпеки заявленим цілям.

По-четверте, вживання інструментарію забезпечення інформаційної безпеки і оцінки її поточного стану.

По-п'яте, використання методик (із зрозумілою системою критеріїв і заходів забезпечення інформаційної безпеки) в процесі аналізу ризиків і управління ними, що дозволяють об'єктивно оцінити поточний стан справ.

Нове покоління стандартів відрізняється як від попередніх більшою формалізацією технології організації режиму ІБ і детальним комплексним обліком вимірних показників інформаційної безпеки компанії. Комплексний облік показників передбачає і комплексний підхід до організації режиму ІБ, коли перевіряється на відповідність певним правилам, контролюється і підтримується не лише програмно-технічна складова інформаційної безпеки КІС, але і організаційно-адміністративні заходи по її забезпеченню.

Наявність системи управління інформаційною безпекою (Information Security Management), і зокрема аналізу інформаційних ризиків і управління ними (Risk Management), є обов'язковою умовою організації режиму ІБ на підприємстві. Підприємства, починаючи з третього рівня зрілості, застосовують який-небудь варіант системи управління ризиками. Багато зарубіжних національних інститутів стандартів і організації, що спеціалізуються у вирішенні комплексних проблем інформаційної безпеки, запропонували схожі концепції управління інформаційними ризиками. Розглянемо концепції Британського стандарту BS 7799 (ISO 17799), Німецького стандарту BSI і стандарту США NIST.

      У стандарті ISO 17799 (BS 7799) декларуються загальні принципи, які пропонується конкретизувати стосовно досліджуваних інформаційних технологій. У другій частині основна увага приділена сертифікації інформаційної системи на відповідність стандарту, тобто формальній процедурі, що дозволяє переконатися, що декларовані принципи реалізовані. Об'єм стандарту порівняно невеликий - менше 120 сторінок в обох частинах.

У німецькому стандарті BSI, навпаки, обговорюється багато «окремих випадків» - різних елементів інформаційних технологій. Об'єм документа дуже великий - декілька тисяч сторінок. Такий підхід має свої переваги і недоліки. До його переваг належить урахування специфіки різних елементів. Іншою гідністю є гіпертекстова структура документа, що дозволяє оперативно вносити зміни і коректувати зв'язки між частинами стандарту. Остання версія стандарту завжди доступна в Internet. Недолік - неможливість обійняти неосяжне. Неминуче доводиться вводити розділ «Інше», в якому в загальному вигляді описуються менш поширені елементи.

Що стосується Британського стандарту, то його недолік полягає у високих вимогах до кваліфікації фахівців, що здійснюють перевірку на відповідність вимогам стандарту. Крім того, в нім не повною мірою враховується специфіка сучасних розподілених систем. Зведемо дані у табл. 1.1.

        Таким чином, всі підходи, що мають свої переваги і недоліки, продовжують еволюціонувати, і лише практика їх впровадження дозволить виявити кращий або, можливо, запропонувати інший підхід.

Таблиця 1.1 – Порівняння стандартів

 

BS 7799 (ISO 17799)

BSI

NIST 800-30

Рік публікації

1995

1998

2002

Країна розробник

Великобританія

Німеччина

США

Переваги

- порівняно невеликий об'єм документу (120 стор.)

- враховує специфіку різних елементів

- детально описує усі можливі ризики для інформаційних активів

- наявність сертифікації ІС на відповідність стандарту

- наявність гіпертекстової частини документів для оперативного внесення змін і корегування зв'язків між частинами стандарту

- Підходить для організацій різних типів (класів)

 

- доступність через Інтернет

 

Недоліки

- високі вимоги до кваліфікації фахівців

- великий об'єм звітів (декілька тисяч сторінок)

- занадто довгий процес аналізу

- неповністю враховується специфіка сучасних систем

- необхідність вводити додатковий розділ для менш поширених елементів

- відсутність автоматизації деяких функцій

1.2 Загальні критерії оцінки безпеки інформаційних технологій

У 1999 році Міжнародна Організація по Стандартизації (ISO) прийняла міжнародний стандарт ISO 15408 під назвою «Загальні критерії оцінки безпеки ІТ» (Common Criteria for Information Technology Security Evaluation або скорочено  Common Criteria). ISO 15408 містять узагальнене формалізоване представлення знань і досвіду, накопиченого в області забезпечення інформаційної безпеки протягом десятиліть.

У цьому стандарті ISO 15408  найбільш детально представлені критерії для оцінки механізмів безпеки програмно-технічного рівня. Загальні критерії визначають функціональні вимоги безпеки (security functional requirements) та вимоги до адекватності реалізації функцій безпеки (security assurance requirements).

При проведенні робіт з аналізу захищеності автоматизованих систем (ЗОТ) «Загальні критерії» використовуються як основні критерії, що дозволяють оцінити рівень захищеності АС (ЗОТ) з точки зору повноти реалізованих в ній функцій безпеки і надійності реалізації цих функцій. Хоча застосування «Загальних критеріїв» обмежується механізмами безпеки програмно-технічного рівня, в ньому міститься певний набір вимог до механізмів безпеки організаційного рівня і вимог з фізичного захисту, які безпосередньо пов'язані з описуваними функціями безпеки.

У ході формування такої галузі знань, як комп'ютерна безпека, розроблялися і удосконалювалися критерії оцінки безпеки. Точність, повнота і зрозумілість цих критеріїв зростала в міру того, як уточнювалися концепції, формулювалися основні принципи комп'ютерної безпеки, вводилися нові поняття та окреслювалась мета старих.

До теперішнього часу в багатьох країнах світу розроблені критерії оцінки безпеки автоматизованих систем. Ще на початку 80-х у США були розроблені критерії оцінки захищеності Комп'ютерних Систем (TCSEC або Помаранчева книга). У Європі такі критерії (ITSEC) були опубліковані в 1991 році Європейською Комісією, до складу якої входили представники Франції, Німеччини, Нідерландів і Великобританії. Потім в Канаді в 1993 році були опубліковані Канадські Критерії оцінки захищеності комп'ютерних продуктів (CTCPEC), що є подальшим розвитком і об'єднанням Європейського та Американського підходів. У тому ж році в США виходить проект Федеральних Критеріїв Оцінки Безпеки ІТ (FC), що реалізує другий підхід до об'єднання Північноамериканської та Європейської концепцій оцінки безпеки. Відсутність міжнародного стандарту в області оцінки безпеки не дозволяє фахівцям із сертифікації комп'ютерних програм однієї країни використовувати результати оцінок отримані фахівцями іншої країни. Тому наступним етапом розвитку цього науково-технічного напрямку, після прийняття відповідних національних стандартів, повинна була закономірно стати розробка міжнародного стандарту для критерію оцінки безпеки автоматизованих систем.

ISO почала розробку такого міжнародного стандарту ще в 1990 році. Потім, автори Канадського (CTCPEC), Європейського (ITSEC) і Американських (FC і TCSEC) критеріїв в 1993 році об'єднали свої зусилля і почали розробку проекту «Єдиних критеріїв». Метою проекту є усунення концептуальних і технічних відмінностей між існуючими критеріями і надання отриманих результатів ISO в якості внеску в розробку міжнародного стандарту.

В результаті міжнародного співробітництва була розроблена перша версія Єдиних критеріїв оцінки безпеки ІТ (а до теперішнього часу розроблено та передано до ISO їхня друга версія). Перша версія цього документа була опублікована в Інтернеті з метою її вивчення міжнародним співтовариством і проведення пробних оцінок. Досвід проведення пробних оцінок і отримані коментарії передбачають використовувати для розробки наступних версій "Єдиних критеріїв".

Не має сенсу порівнювати особливості нового і старого підходів до оцінки безпеки, тому що новий підхід є подальшим розвитком предметної області. В даний час можна говорити про створення єдиної мови для формулювання тверджень щодо безпеки автоматизованих систем (вимог, погроз і цілей захисту) і часткової формалізації цієї предметної області. Застосування концепцій, які містяться у цих документах, дозволить покращити ефективність оцінок і якість одержуваних результатів. Це також дозволить використовувати досвід, накопичений у цій області світовим співтовариством. «Єдині критерії» являють собою набір з п'яти окремих взаємопов'язаних частин. До них відносяться:

  •  введення і загальна модель;
  •  функціональні вимоги безпеки;
  •  вимоги до надійності захисних механізмів;
  •  попереднє визначення профілі захисту;
  •  процедури реєстрації профілів захисту

Стандарт містить два основних види вимог безпеки: функціональні, що висуваються до функцій безпеки і реалізує їх механізмів, і вимоги довіри, що пред'являються до технології та процесу розробки та експлуатації.

Щоб структурувати простір вимог, в стандарті використовується ієрархія клас – сімейство – компонент – елемент. «Класи»  визначають найбільш загальну,  предметну  групу  вимог, «сімейство» в межах класу розрізняються за суворістю та іншим нюансами вимог, «компонент» мінімальний набір вимог, що фігурує як ціле та «елемент» неподільний вимогам.

Функціональні вимоги згруповані на основі виконуваної ними ролі або обслуговуваній цілі безпеки, всього 11 функціональних класів (у трьох групах), 66 сімейств та  135 компонентів. Розподіл функціональних класів по групам представлений на рис.1.1.  

Перша група визначає елементарні сервіси безпеки:

1. FAU аудит, безпека (вимоги до сервісу, протоколювання і аудит);

2. FIA ідентифікація та аутентифікація;

3. FRU використання ресурсів (для забезпечення відмовостійкості).

 Друга група описує похідні сервіси, реалізовані на базі елементарних:

1. FCO зв'язок (безпека комунікацій відправник-одержувач);

2. FPR приватність;

3. FDP захист даних користувача;

4. FPT захист функцій безпеки об'єкта оцінки.

Третя група класів пов'язана з інфраструктурою об'єкта оцінки:

1. FCS криптографічний підтримка (обслуговує управління криптоключами і криптоопераціями);

2. FMT управління безпекою;

3. FTA доступ до об'єкта оцінки (керування сеансами роботи користувачів);

4. FTP довірений маршрут / канал;

Рисунок 1.1   Структурна схема функціональних класів

До елементарним сервісів безпеки відносяться наступні класи FAU, FIA і FRU. Клас FAU включає шість родин (FAU_GEN, FAU_SEL, FAU_STG, FAU_SAR, FAU_SAA і FAU_ARP), причому кожне сімейство може містити різну кількість компонентів.

Призначення FAU_GEN генерація даних аудиту безпеки. Містить два компоненти FAU_GEN.1 (генерація даних аудиту) та FAU_GEN.2 (асоціація ідентифікатора користувача).

Що стосується вимог гарантії безпеки (довіри), то це вимоги, що пред'являються до технології та процесу розробки та експлуатації об'єкта оцінки. Вони розділені на 10 класів, 44 сімейства, 93 компоненти, які охоплюють різні етапи життєвого циклу.

Перша група містить класи вимог, що передують розробці та оцінки об'єкта:

1. APE оцінка профілю захисту;

2. ASE оцінка завдання з безпеки.

Друга група пов'язана з етапами життєвого циклу об'єкта атестації:

1. ADV розробка, проектування об'єкта;

2. ALC підтримка життєвого циклу;

3. ACM управління конфігурацією;

4. AGD керівництво адміністратора та користувача;

5. ATE тестування;

6. AVA оцінка вразливостей;

7. ADO вимоги до постачання та експлуатації;

8. АMA підтримка довіри-вимоги, застосовується після сертифікації   об'єкта на відповідність загальним критеріям.

Вивчення існуючих критеріїв оцінки безпеки АС дозволяє зробити наступні висновки:

Для того, щоб результати даних випробувань можна було порівнювати між собою, вони повинні проводитися в рамках надійної схеми, що встановлюється відповідними стандартами в цій галузі і дозволяє контролювати якість оцінки безпеки.

В даний час в деяких країнах існують такі схеми, але вони базуються на різних критеріях оцінки. Однак, ці критерії мають між собою багато спільного, тому що використовують подібні концепції, що дозволяє здійснювати їх порівняння. «Єдині критерії» підтримують сумісність з уже існуючими критеріями. Це дозволяє використовувати наявні результати і методики оцінок.

«Єдині критерії» визначають загальний набір понять, структур даних і мов для формулювання питань і тверджень щодо безпеки АС. Це дозволяє експертам, які проводять оцінку, використовувати вже накопичений у цій області досвід.

Вимоги, що містяться в «Єдиних критеріях», можуть також використовуватися при виборі відповідних засобів забезпечення безпеки АС. Потенційні користувачі АС, спираючись на результати сертифікації, можуть визначити чи задовольняє даний програмний продукт або система їх вимогам безпеки.

Крім цього, «Єдині критерії» покращують існуючі критерії, вводячи нові концепції та уточнюючи утримання діючих.

 

2 ОГЛЯД МЕТОДІВ ОЦІНКИ РИЗИКІВ В ОБЛАСТІ ЗАХИСТУ ІНФОРМАЦІЇ

2.1 Базові поняття у сфері оцінки ризиків стану захищеності систем

Аналіз інформаційних ризиків дозволяє ефективно управляти інформаційною безпекою підприємства. Для цього на початку робіт по аналізу ризиків необхідно визначити, що саме підлягає захисту на підприємстві і дії яких погроз воно схильне, а потім виробити рекомендації по практиці захисту.

Такий аналіз проводитися виходячи з безпосередніх цілей і завдань по захисту конкретного вигляду інформації конфіденційного характеру. Одне з найважливіших завдань в рамках такого захисту інформації - забезпечення її цілісності і доступності. Часто забувають, що порушення цілісності може статися не лише унаслідок навмисних дій, але і по ряду інших причин: збоїв устаткування, ведучих до втрати або спотворення інформації; фізичних дій, зокрема в результаті стихійних відважний; помилок в програмному забезпеченні (в тому числі із-за не документованих можливостей). Тому під терміном «атака» розумітимемо дії на інформаційні ресурси не лише людські, але і довкілля, в якому функціонує система обробки інформації підприємства. Розглянемо детальніше терміни, що стосуються тими аналізу оцінки ризиків.

Ризик — вірогідна подія, яка може виникнути в процесі виконання робіт над проектом і яка негативно впливає на один або декілька з ключових чинників успішного проекту (рис.2.1).  

Управління ризиками — дисципліна із складу практик управління проектами, направлена на зменшення впливу ризиків на цілі і кінцевий стан проекту. Управлінням ризиками займається або сам керівник проекту (для невеликих проектів), або спеціально виділений для цих цілей співробітник (ризик-менеджер). Якщо в компанії прийнята практика централізованого управління ризиками, то в її рамках проводитися обмін інформацією і знаннями про управління ризиками ідентифіковані ризики, методах попередження і реагування і так далі між керівниками проектів, ризик - менеджерами і Проектнім офісом (у разі наявності такого підрозділу; тут і далі вважається, що проектний офіс присутній в організації, в разі його відсутності його функції можуть виконувати такі підрозділи, як Відділ управління проектами, Відділ методології і т. д.).

Система управління ризиками — комплекс засобів автоматизації, нормативної і організаційної документації, робочих процедур, штатних позицій і конкретних співробітників тих, що їх займають, призначений для управління ризиками в рамках проектної діяльності організації.

Рисунок 2.1 – Математичне представлення ризику в 3-х мірному просторі


          Інформаційна система управління ризиками — програмно-інформаційний комплекс, елемент системи управління ризиками. Є програмним забезпеченням і інформаційними базами даних для підтримки процесів і процедур управління ризиками в рамках проектної діяльності в компанії.

Ризик-менеджер — спеціально виділений в проектній команді співробітник, чиїм основним обов'язком є управління ризиками проекту. Ризик-менеджер структурно входить до складу проектного офісу. Один ризик-менеджер може бути задіяний на декількох проектах. На невеликих проектах управління ризиками здійснює сам керівник проекту.

Проектний офіс — структурний підрозділ, що відповідає за розвиток і реалізацію методології проектного управління в компанії. Однією з функцій проектного офісу є централізоване управління ризиками.   

          Централізоване управління ризиками — набір процедур, що дозволяють успішно поширювати інформацію і знання по дисципліні управління ризиками між всіма задіяними в системі управління ризиками співробітниками. До поширюваних знань відносяться методичні інструкції і інші нормативно-довідкові матеріали по управлінню ризиками, реєстри ідентифікованих ризиків, шаблони і зразки документів по управлінню ризиками, типові плани реагування на ризики різних категорій, опис кращих практик по управлінню ризиками.
        Ієрархічна структура ризиків —
ієрархічно організоване представлення ідентифікованих ризиків проекту, розподілених по категоріям і під категоріям ризиків, які вказують на різні області і джерела можливих ризиків. Ієрархічна структура ризиків часто буває адаптована під конкретні типи проектів.

Базовий (Baseline) аналіз ризиків - аналіз ризиків, що проводиться відповідно до вимог базового рівня захищеності. Прикладні методи аналізу ризиків, орієнтовані на даний рівень, зазвичай не розглядають цінність ресурсів і не оцінюють ефективність контрзаходів. Методи даного класу застосовуються у випадках, коли до інформаційної системи не пред'являється підвищених вимог безпеки.

  Повний (Full) аналіз ризиків - аналіз ризиків для інформаційних систем з підвищеними вимогами в області ІБ (вищі, ніж базовий рівень захищеності). Це передбачає:

  •  визначення цінності ресурсів;
  •  оцінку погроз і уразливості;
  •  вибір належних контрзаходів, оцінку їх ефективності.

 Загроза (Threat)  - сукупність умов і чинників, які можуть стати причиною порушення цілісності, доступності, конфіденційності.

 Загроза ІБ (Threat)  - можлива небезпека (потенційна або така, що реально існує) здійснення якого-небудь діяння (дії або бездіяльності), направленого проти об'єкту захисту (інформаційних ресурсів), що завдає збитку власникові або користувачеві і що виявляється в спотворенні і втраті інформації.

 Джерело загрози  - потенційні антропогенні, техногенні або стихійні носії загрози безпеці.

 Наслідки (атака)  - можливі наслідки реалізації загрози (можливі дії) при взаємодії джерела загрози з системою через наявні чинники (уразливості). Як видно з визначення, атака - це завжди пара «джерело-чинник», що реалізує загрозу і що призводить до збитків.

 Уразливість (Vulnerability) - слабкість в системі захисту, що робить можливою реалізацію загрози.

 Аналіз ризиків - процес визначення погроз, уразливості, можливого збитку, а також контрзаходів.

 Оцінка ризиків  (Risk Assessment) - ідентифікація ризиків, вибір параметрів для їх опису і здобуття оцінок по цих параметрах.

Ризик порушення ІБ (Security Risk)  - можливість реалізації загрози.

Ціна ризику  - розмір збитку, який може бути нанесений в результаті деякої події ризику.

Вірогідність ризику  - вірогідність виникнення події ризику з певною ціною ризику в результаті реалізації деякої комбінації погроз.

Розмір ризику (очікуваний збиток або міра ризику) - математичне очікування (множення ціни ризику на вірогідність ризику) виникнення події ризику з певною ціною і вірогідністю ризику цієї події.

2.2  Методика оцінки ризиків порушення інформаційної безпеки

Ризик інформаційної безпеки  потенційна можливість використання певною загрозою вразливостей активу або групи активів для заподіяння шкоди організації. З певного ризику ІБ видно, що ризик це потенційна шкода організації. Законно очікувати від організації діяльності з запобігання шкоди, а значить і ризиків. Головною метою будьякої системи інформаційної безпеки є забезпечення сталого функціонування об'єкта, запобігання загрозам його безпеки, захист законних інтересів замовника від протиправних посягань, недопущення розкрадання фінансових коштів, розголошення, втрати, витоку, перекручування і знищення службової інформації, забезпечення нормальної виробничої діяльності всіх підрозділів об'єкта. Іншою метою системи інформаційної безпеки є підвищення якості надаваних послуг і гарантій безпеки майнових прав та інтересів клієнтів.

Досягнення заданих цілей можливо в ході вирішення наступних основних завдань:

  •  Віднесення інформації до категорії обмеженого доступу (службової таємниці);
  •  Прогнозування і своєчасне виявлення загроз безпеки інформаційних ресурсів, причин і умов, що сприяють нанесенню фінансового, матеріального і морального збитку, порушення його нормального функціонування і розвитку;
  •  Створення умов функціонування з найменшою вірогідністю реалізації загроз безпеки інформаційних ресурсів і нанесення різних видів збитків;
  •  Створення механізму та умов оперативного реагування на загрози інформаційної безпеки та прояву негативних тенденцій у функціонуванні, ефективне припинення зазіхань на ресурси на основі правових, організаційних і технічних заходів і засобів забезпечення безпеки;
  •  Створення умов для максимально можливого відшкодування та локалізації збитків, що наноситься неправомірними діями фізичних та юридичних осіб, ослаблення негативного впливу наслідків порушення інформаційної безпеки на досягнення стратегічних цілей.

При виконанні робіт можна використовувати наступну модель побудови системи інформаційної безпеки (рис. 2.2), засновану на адаптації ОК (ISO 15408) і проведенні аналізу ризику (ISO 17799).

Рисунок 2.2 Модель побудови системи інформаційної

                                 безпеки підприємства

Ця модель відповідає спеціальним нормативним документам щодо забезпечення інформаційної безпеки, міжнародному стандарту ISO / IEC 15408 "Інформаційна технологія методи захисту критерії оцінки інформаційної безпеки", стандарту ISO / IEC 17799 "Управління інформаційною безпекою", і враховує тенденції розвитку вітчизняної нормативної бази (зокрема, Держтехкомісії) з питань інформаційної безпеки.

Представлена модель інформаційної безпеки - це сукупність об'єктивних зовнішніх і внутрішніх факторів і їх вплив на стан інформаційної безпеки на об'єкті і на збереження матеріальних або інформаційних ресурсів.

Розглядаються наступні об'єктивні фактори:

  •  Загрози інформаційній безпеці, що характеризуються ймовірністю виникнення та ймовірністю реалізації;
  •  Вразливості інформаційної системи або системи контрольних заходів (системи інформаційної безпеки), що впливають на ймовірність реалізації загрози;
  •  Ризик фактор, що відображає можливий збиток організації в результаті реалізації загрози інформаційної безпеки: витоку інформації та її неправомірного використання (ризик в кінцевому підсумку відображає ймовірні фінансові втрати - прямі чи непрямі).

Для побудови збалансованої системи інформаційної безпеки передбачається спочатку провести аналіз ризиків у галузі інформаційної безпеки. Потім визначити оптимальний рівень ризику для організації на основі заданого критерію. Систему інформаційної безпеки потрібно будувати таким чином, щоб досягти заданого рівня ризику.

Запропонована методика дозволяє:

  •  Повністю проаналізувати і документально оформити вимоги, пов'язані із забезпеченням інформаційною безпекою;
  •  Уникнути витрат на зайві заходи безпеки, можливі при суб'єктивній оцінці ризиків;
  •  Надати допомогу в плануванні та здійсненні захисту на всіх стадіях життєвого циклу інформаційних систем;
  •  Забезпечити проведення робіт у стислі строки;
  •  Представити обґрунтування для вибору заходів протидії;
  •  Оцінити ефективність контрзаходів, порівняти різні варіанти контрзаходів.

У ході робіт мають бути встановлені межі дослідження. Для цього необхідно виділити ресурси інформаційної системи, для яких в подальшому будуть отримані оцінки ризиків. При цьому належить розділити розглядаються ресурси і зовнішні елементи, з якими здійснюється взаємодія. Ресурсами можуть бути кошти обчислювальної техніки, програмне забезпечення, дані. Прикладами зовнішніх елементів є мережі зв'язку, зовнішні сервіси і т. п.

При побудові моделі будуть враховуватися взаємозв'язку між ресурсами. Наприклад, вихід з ладу будь-якого обладнання може призвести до втрати даних або виходу з ладу іншого критично важливого елемента системи. Подібні взаємозв'язки визначають основу побудови моделі організації з точки зору ІБ.

Ця модель, у відповідність з пропонованою методикою, будується таким чином: для виділених ресурсів визначається їх цінність, як з точки зору асоційованих з ними можливих фінансових втрат, так і з точки зору шкоди репутації організації, дезорганізації її діяльності, нематеріальної шкоди від розголошення конфіденційної інформації і т. д. Потім описуються взаємозв'язок ресурсів, визначаються загрози безпеки і оцінюються ймовірності їх реалізації.

На основі побудованої моделі можна обґрунтовано вибрати систему контрзаходів, що знижують ризики до допустимих рівнів і володіють найбільш цінною ефективністю. Частиною системи контрзаходів будуть рекомендації з проведення регулярних перевірок ефективності системи захисту.

Забезпечення підвищених вимог до ІБ передбачає відповідні заходи на всіх етапах життєвого циклу інформаційних технологій. Планування цих заходів проводиться по завершенні етапу аналізу ризиків і вибору контрзаходів. Обов'язковою складовою частиною цих планів є періодична перевірка відповідності існуючого режиму ІБ політиці безпеки, сертифікація інформаційної системи (технології) на відповідність вимогам певного стандарту безпеки.

На завершення робіт, можна буде визначити міру гарантії безпеки інформаційного середовища Замовника, засновану на оцінці, з якою можна довіряти інформаційному середовищі об'єкта.

Даний підхід передбачає, що велика гарантія випливає з застосування великих зусиль при проведенні оцінки безпеки. Адекватність оцінки заснована на:

  •  Залученні в процес оцінки більшого числа елементів інформаційного середовища об'єкта Замовника;
  •  Глибині, що досягається за рахунок використання при проектуванні системи забезпечення безпеки більшого числа проектів та описів деталей виконання;
  •  Строгості, яка полягає в застосуванні більшого числа інструментів пошуку і методів, спрямованих на виявлення менш очевидних вразливостей або на зменшення ймовірності їх наявності.

Мета процесу оцінювання ризиків полягає у визначенні характеристик ризиків в інформаційній системі та її ресурси. На основі таких даних вибираються необхідні засоби управління ІБ.

Процес оцінювання ризиків містить кілька етапів:

  •  опис об'єкта і заходів захисту;
  •  ідентифікація ресурсу та оцінювання його кількісних показників (визначення потенційного негативного впливу на бізнес);
  •  аналіз загроз інформаційної безпеки;
  •  оцінювання вразливостей;
  •  оцінювання існуючих і передбачуваних засобів забезпечення інформаційної безпеки;
  •  оцінювання ризиків.

Ризик характеризує небезпеку, якої може піддаватися система і що використовує її організація, і залежить від:

  •  показників цінності ресурсів;
  •  ймовірностей нанесення збитку ресурсів (висловлюваних через ймовірності реалізації загроз для ресурсів);
  •  ступеня легкості, з якою уразливості можуть бути використані при виникненні загроз (уразливості системи захисту);
  •  існуючих або запланованих засобів забезпечення ІБ.

Розглянемо для початку структуру ризику або з чого складається ризик. Існує кілька підходів до структури ріска. Найбільш повно відображає підхід до структури ризику, в якому він перебуває з впливу на бізнес, загрози та вразливості (рис.2.3)

 цінність активу

                                                     впливу на бізнес

 

                                                                                                                        рівень вразливості

                                         рівень загрози

Рисунок 2.3 Структура ризику

З рисунка видно, що якщо знизити рівень загроз, вразливостей або впливу на бізнес, то обсяг ризику значно зменшитися.

Аналіз ризиків в області ІБ може бути якісним і кількісним. Кількісний аналіз точніше, він дозволяє отримати конкретні значення ризиків, але він віднімає помітно більше часу, що не завжди виправдано. Найчастіше буває досить швидкого якісного аналізу, завданням якого є розподіл факторів ризику по групах. Шкала якісного аналізу може відрізнятися в різних методах оцінки, але все зводиться до того, щоб виявити найбільш серйозні загрози.

Важливо розрізняти поняття одиничного і приведеного збитків. Одиничний збиток це витрати на один інцидент. Наведений збиток враховує кількість конкретних інцидентів безпеки за деякий проміжок часу, зазвичай за рік. Якщо одиничні і приведені збитки плутати, отримані результати будуть мати мало спільного з дійсністю.

У завдання співробітників підрозділів ІБ входить сповіщення керівництва підприємств про існуючі та потенційні загрози. Звіти повинні супроводжуватися фактами, цифрами, аналітичними викладками. Це найбільш ефективний спосіб довести інформацію до голів організацій.

Топменеджери набагато краще розуміють бізнесмову, тому співробітникам підрозділів ІБ треба навчитися складати елементарний бізнесплан. На основі даних кількісного аналізу ризиків слід визначати можливі фінансові втрати, витрати на придбання та експлуатацію системи безпеки, а потім розраховувати економічний ефект заходів. Краще надавати декілька варіантів рішень і складати кошторис для кожного.

Існує кілька моделей якісного аналізу. Всі вони досить прості. Варіанти розрізняються лише кількістю градацій ризику. Одна з найпоширеніших моделей триступінчаста. Кожен фактор оцінюється за шкалою "низький середній високий". Супротивники даного способу вважають, що трьох ступенів для точного поділу ризиків недостатньо, і пропонують п'ятирівневу модель. Однак це не принципово, адже в цілому будьяка модель аналізу зводиться до найпростішого поділу загроз на критичні й другорядні. Трьох, п’ятирівневі та інші моделі використовуються для наочності.

При роботі з моделями з великим числом градацій, наприклад з п'ятьма, в аналітиків можуть виникнути труднощі віднести ризик до п'ятої або до четвертої групи. Якісний аналіз допускає подібні "помилки", оскільки є саморегульований. Не критично, якщо спочатку ризик необґрунтовано віднесли до четвертої категорії замість п'ятої. Якісний метод дозволяє проводити аналіз за лічені хвилини. Передбачається, що така оцінка ризиків буде здійснюватися регулярно. І вже на наступному кроці категорії будуть перепризначені, фактор перейде до п'ятої групи. Тому якісний аналіз також називається ітераційним методом.

Для прикладу якісного методу покажемо, як працювати з п'ятирівневою моделлю. Оцінюємо всі чинники ризику і ділимо їх на п'ять категорій. Після цього виключаємо зі списку критичні загрози п'ятого рівня і аналізуємо, ті фактори, що залишилися. Таким чином, розширена п'ятиступінчаста модель ризику зберігає швидкість якісного аналізу, але дозволяє точніше визначити ступінь загрози. Більш того, можна відразу усунути або знизити загрози п'ятої категорії як найбільш небезпечні. А після цього заново провести аналіз і знову почати працювати з ризиками п'ятої групи.

Кількісний метод потребує значно більше часу, оскільки кожному фактору ризику присвоюється конкретне значення. Результати кількісного аналізу можуть бути більш корисні для бізнеспланування. Однак у більшості випадків додаткова точність не вимагається. Наприклад, якщо для оцінки фактора ризику треба витратити чотири місяці, а рішення проблеми займе тільки два, ресурси використовуються неефективно. Також слід враховувати, що багато організацій постійно розвиваються, змінюються. І за той час, що виконується аналіз, фактичні значення ризиків виявляться іншими. Перераховані чинники говорять на користь якісного аналізу. Крім того, експерти вважають, що, незважаючи на всю свою простоту, якісний метод є досить ефективним інструментом аналізу.

Говорячи про практичні аспекти аналізу, не можна не згадати розрахунок ризиків. До його складу входять дві величини одиничний і наведений збиток інциденту. Одиничний збиток (ОЗ) визначають як добуток ймовірності події і номінального збитку. ОЗ дає уявлення про величину втрат, однак спрогнозувати збитки на деякий час уперед важко. Тому з практичної точки зору корисніше знати наведену величину збитку.

Наведений збиток (НЗ) це добуток ОЗ і числа інцидентів за певний період, який зазвичай приймають рівним році. Виходячи з річного прогнозу, можна екстраполювати або інтерполювати результат на інші проміжки часу.

Продемонструємо різницю між ОЗ та НЗ на прикладі. Припустимо, компанія бере участь у тендері з шести етапів вартістю в 1 млн. дол кожен і три етапи програла. Аналіз невдач показав, що конкуренти були знайомі з пропозицією фірми, тому змогли виставити кращі умови. Таким чином, у наявності загроза інсайдерів. У даному прикладі компанія може втратити 1 млн. дол Імовірність того, що інсайдери "зіллють" інформацію, на основі історичної вибірки (три випадки з шести) становить 50%. Таким чином, ОЗ дорівнює 500 тис. дол

Очевидно, фірма спробує зробити якісь кроки, щоб підвищити шанси на успіх. При розробці контрзаходів необхідно точно знати збиток. Якщо використовувати невірне значення, результат буде некоректним. Приміром, протягом року компанія бере участь у шести тендерах з однаковим призовим фондом, значить, число ризиків дорівнює шести. І дійсне значення річних втрат НЗ дорівнює добутку ЄУ і числа ризиків, тобто 3 млн. дол Нехай, на зниження ризику внутрішніх загроз потрібно витратити 400 тис. дол Віддавати 400 тис., щоб підвищити ймовірність заробити 500 тис., не завжди раціонально. Натомість протягом року 400 тис. інвестицій допоможуть заробити не 500 тис., а 3 млн.

Оцінюючи рентабельність засобів захисту, потрібно пам'ятати про сукупну вартість володіння (ССВ) ними. Повернемося до розглянутого прикладу.

Як ми зазначили, в компанії явно існує проблема витоку інформації. Можливо, права доступу погано розмежовані, користувачі використовують слабкі паролі, контроль доступу не здійснюється. Припустимо, вартість нових серверів і ключів доступу для працівників становить 80 тис. дол і 20 тис. коштує ПЗ. На перший погляд витрати на впровадження всієї системи складуть 100 тис. дол, однак це лише ціна компонентів системи. Коли почнуть збирати компоненти, налаштовувати і запускати комплекс, витрати значно зростуть, тому що кожен етап вимагає чимало сил і робочого часу співробітників. Напевно знизиться ефективність праці, поки персонал буде пристосовуватися до нового порядку авторизації. Крім того, готову систему потрібно обслуговувати. Тому загальна вартість володіння новими засобами захисту буде вище, ніж ціна їх окремих складових.

У сфері ІБ постійно виникають нові загрози, відповідно в організаціях весь час повинні удосконалюватися і заходи захисту. Топменеджери не можуть самі відслідковувати ці зміни. Якщо департамент ІБ не доповідали про наростаючих внутрішніх погрози, здатних привести до відчутних збитків, звідки про це дізнається керівництво? Таким чином, частина роботи співробітників ІБ полягає в тому, щоб відслідковувати загрози і доповідати про них начальству, яке приймає стратегічні рішення.

Ще одним аспектом роботи над ІБпроектом є вибір адекватного інструменту. Коли співробітники підрозділу ІБ виявляють загрозу, потрібно спочатку знайти її справжні причини. Вивчити наслідки недостатньо, потрібно дивитися ширше рамок конкретного інциденту. Комплексне рішення часто допоможе впоратися не тільки з нинішніми, але і з майбутніми погрозами. У той же час в деяких випадках великі витрати невиправдані, стріляти з гармати по горобцях не потрібно. Часом буде достатньо обмежити доступ конкретного співробітника до конкретних конфіденційним ресурсів, Інтернету, закрити USB-порти на комп'ютері і т. п. І тоді вже не буде потреби відслідковувати його діяльність, працівник уже не зможе скопіювати секретні документи. Спостерігати треба за тими користувачами, які мають доступ до критичних даних.

Часто співробітники, які відповідають за ІБ, скаржаться, що керівництво їх погано фінансує. Однак на ділі з'ясовується, що у більшості таких випадків діалог зводиться до простого обміну репліками, виконавець просить стількито грошей, начальство відмовляє. Оперуючи цифрами, легко показати, скільки можна заощадити і на чому виграти від додаткових інвестицій у безпеку. Якщо багато говорити про проблеми і загрози, не спираючись на факти, дуже скоро на це перестануть звертати увагу. Багато співробітників підрозділів ІБ не готові або просто не вміють підготувати економічне обґрунтування витрат. Коли співробітники ІБ і бізнесуправлінці зможуть говорити на одній мові, співпраця вийде більш продуктивним. Якщо зібрати свідчення, підкріпити їх звітами аналітиків і представити чіткий бізнесплан, як усунути загрозу, тоді буде легше переконати керівництво в необхідності вжити відповідних заходів

Найпростіша оцінка інформаційних ризиків полягає в розрахунку ризиків, який виконується з урахуванням відомостей про критичність активів, а також ймовірностей реалізації вразливостей.

Згідно авторитетної класифікації NIST, включеної до RISK MANAGEMENT GUIDE FOR THE INFORMATION TECHNOLOGY SYSTEMS, категорірованію та оцінки загроз передує безпосередня ідентифікація їх джерел. Так, відповідно до вищезгаданої класифікації, можна виділити основні джерела загроз, серед яких:

  •  загрози природного походження (землетруси, повені тощо);
  •  загрози, які виходять від людини (неавторизований доступ, мережеві атаки, помилки користувачів і т.п.);
  •  загрози техногенного походження (аварії різного роду, відключення електропостачання, хімічне забруднення тощо).

Вищеописана класифікація може бути далі категорірована більш докладно. Так, до самостійних категоріям джерел загроз, що походять від людини, відповідно до згаданої класифікації NIST(National Institute of Standards and Technology) відносяться:

  •  Хакери;
  •  Кримінальні структури;
  •  Терористи;
  •   Компанії, які займаються промисловим шпигунством;
  •   Інсайдери.

Кожна з перерахованих загроз, у свою чергу, повинна бути деталізована і оцінена за шкалою значущості (наприклад: низький, середній, високий). Очевидно, що аналіз загроз має розглядатися в тісному зв'язку з уразливими місцями досліджуваної нами системи. Завданням даного етапу управління ризиками є складання переліку можливих вразливостей системи та категорірованіє цих вразливостей з урахуванням їх "сили". Так, згідно загальносвітовій практиці, градацію вразливостей можна розбити за рівнями: Критичний, Високий, Середній, Низький. Розглянемо ці рівні детальніше:

1. Критичний рівень небезпеки. До цього рівня небезпеки відносяться уразливості, які дозволяють здійснити віддалену компрометацію системи без додаткової дії цільового користувача і активно експлуатуються в даний час. Даний рівень небезпеки на увазі, що експлойт знаходиться в публічному доступі.

2. Високий ступінь небезпеки. До цього рівня небезпеки відносяться уразливості, які дозволяють здійснити віддалену компрометацію системи. Як правило, для подібних вразливостей не існує експлойта в публічному доступі.

3. Середня ступінь небезпеки. До цього рівня небезпеки відносяться уразливості, які дозволяють провести віддалений відмова в обслуговуванні, неавторизований доступ до даних або виконання довільного коду при безпосередній взаємодії з користувачем (наприклад, через підключення до зловмисному серверу вразливим додатком).

4. Низький рівень небезпеки. До цього рівня відносяться всі уразливості, експлуатовані локально, а також уразливості, експлуатація яких утруднена або які мають мінімальний вплив (наприклад, XSS, відмова в обслуговуванні клієнтського додатку).

Класична формула оцінки ризиків виглядає таким чином:

R = D * P (V)                                                     (2.1)

де R інформаційний ризик;

D критичність активу (збиток);

   P (V) ймовірність реалізації уразливості.

Одним із прикладів практичної реалізації вищеописаного підходу до визначення рівнів ризику є матриця ризиків, запропонована NIST

Таблиця 2.1. Матриця ризиків (згідно з рекомендаціями NIST "Risk Management Guide for Information Technology Systems")

Threat Likelihood-загроза (її ймовірність)

Impact-збиток

Low (низький) - 10

Medium (середній)-50

High (високий) -100

High (висока) - 1

Low

(низький) 10x1 = 10

Medium

(середній)50x1= 50

High

(високий)100x1=100

Medium(середня)- 0.5

Low

(низький) 10x0.5 = 5

Medium

(середній) 50x0.5 = 25

Medium

(середній)100x0.5=50

Low (низька) - 0.1

Low

(низький) 10x0.1 = 1

Low

(низький) 50x0.1 = 5

Low 

(низький)100x0.1=10

Рівень ризику: Високий (від 50 до 100); Середній (від 10 до 50); Низький (від 1 до 10).

Кожен з можливих вхідних параметрів (наприклад, вразливість, загроза, активів і збиток) описується своєю функцією приналежності з урахуванням відповідного коефіцієнта.

Механізми оцінки ризиків на основі нечіткої логіки включає в себе послідовність етапів, в кожному з яких використовуються результати попереднього етапу. Послідовність цих етапів зазвичай така:

  1.  Введення правил програмування у вигляді продукційних правил, що відображають взаємозв'язок рівня вхідних даних та рівня ризику на виході.
  2.  Завдання функції приналежності вхідних змінних.
  3.  Отримання первинного результату оцінок вхідних змінних.
  4.  Фазіфікація оцінок вхідних змінних (знаходження конкретних значень функцій приналежності).
  5.  Агрегування (має на увазі перевірку істинності умов шляхом перетворень функцій приналежності через нечітку кон'юнкція і нечітку диз'юнкція).

6) Активізація висновків (знаходження вагових коефіцієнтів по кожному з правил і функцій істинності).

7) Акумуляція висновків (знаходження функції приналежності для кожної з вихідних змінних).

8) Дефазіфікація (знаходження чітких значень вихідних змінних).

Графічний інтерфейс в даному випадку дозволяє переглядати графіки залежності ризику від імовірності загрози і відповідно інших вхідних змінних.

       ризик

                                                                                                       загроза

Рисунок 2.4 Залежність ризику від імовірності загрози

    

 ризик

                                                                                       збиток

Рисунок 2.5 Залежність ризику від збитку

Гладкий і монотонний графік залежності "кривий висновку" свідчить про достатність та несуперечності використовуваних правил виводу. Наочне графічне представлення дозволяє оцінити адекватність властивостей механізму виведення запропонованим вимогам. У даному випадку "крива висновку" свідчить про те, що механізм виведення доцільно використовувати лише в області низьких значень ймовірності.

При виконанні повного аналізу ризиків з урахуванням безлічі факторів доводиться вирішувати ряд складних проблем, а саме як визначити цінність ресурсів, як скласти повний список загроз ІБ і оцінити їх параметри, а також як правильно вибрати контрзаходи і оцінити їх ефективність.

Для вирішення цих проблем існують спеціально розроблені інструментальні засоби, побудовані з використанням структурних методів системного аналізу і проектування (SSADM - Structured Systems Analysis and Design), які забезпечують:

  •  Побудова моделі ІС з точки зору ІБ;
  •  Методи для оцінки цінності ресурсів;
  •  Інструментарій для складання списку загроз та оцінки їх вірогідності;
  •  Вибір контрзаходів та аналіз їх ефективності;
  •  Аналіз варіантів побудови захисту;
  •  Документування (генерацію звітів).

В даний час на ринку присутні кілька програмних продуктів цього класу. Найбільш популярний з них - CRAMM. Коротко розглянемо його нижче.

Метод CRAMM (the UK Goverment Risk Analysis and Managment Method) був розроблений Службою Безпеки Великобританії (UK Security Service) за завданням Британського уряду і взято на озброєння в якості державного стандарту. Він використовується, починаючи з 1985 р. урядовими і комерційними організаціями Великобританії. За цей час CRAMM придбав популярність у всьому світі. Фірма Insight Consulting Limited займається розробкою і супроводом однойменного програмного продукту, що реалізує метод CRAMM.

Метод CRAMM обраний нами для більш детального розгляду і це не випадково. В даний час CRAMM це досить потужний і універсальний інструмент, що дозволяє, крім аналізу ризиків, вирішувати також і ряд інших аудиторських завдань, включаючи:

  •  проведення обстеження ІВ і випуск супровідної документації на всіх етапах його проведення;
  •  роведення аудиту у відповідності до вимог Британського уряду, а також стандарту BS 7799:1995 - Code of Practice for Information Security Management BS7799;

В основі методу лежить CRAMM комплексний підхід до оцінки ризиків, поєднуючи кількісні та якісні методи аналізу. Метод є універсальним і підходить як для великих, так і для дрібних організацій, як урядового, так і комерційного сектора. Версії програмного забезпечення CRAMM, орієнтовані на різні типи організацій, відрізняються один від одного своїми базами знань (profiles). Для комерційних організацій є Комерційний профіль (Commercial Profile), для урядових організацій Урядовий профіль (Government profile). Урядовий варіант профілю, також дозволяє проводити аудит на відповідність вимогам американського стандарту ITSEC ("Помаранчева книга").

Грамотне використання методу CRAMM дозволяє отримувати дуже хороші результати, найбільш важливим з яких, мабуть, є можливість економічного обґрунтування витрат організації на забезпечення інформаційної безпеки і безперервності бізнесу. Економічно обґрунтована стратегія управління ризиками дозволяє, в кінцевому підсумку, заощаджувати кошти, уникаючи невиправданих витрат.

3 МЕТОД ОЦІНКИ ЗАХИЩЕНОСТІ ІНФОРМАЦІЙНИХ СИСТЕМ

3.1 Методика оцінки ризиків інформаційних систем

Проведення внутрішнього контролю та самооцінки захищеності великих інформаційних систем (ІС) в умовах високого ступеня невизначеності середовища їх функціонування та постійного вдосконалення технологій, достатньо складна та багатокритеріальна задача. Для цього необхідно мати уяву про структуру ІС, про особливості технологічних процесів обробки, передачі та зберігання інформації в ній, про способи взаємодії з іншими ІС, про реалізовані заходи захисту та, нарешті, про основні принципи та підходи, що використовуються у системі безпеки.

Для того щоб оцінити захищеність ІС існують, в основному, якісні методи оцінки, які на виході дозволяють одержати не кількісну оцінку (система захищена на 4,2 бали або на 58%), а якісну – система відповідає певному класу або рівню захищеності, тому чи іншому стандарту безпеки.

Кількісні методи оцінки захищеності ще  мало застосовуються на практиці, оскільки не враховують такий показник як якість функціонування захисних механізмів або ефективність систем захисту.

Необхідність же кількісної оцінки рівня захищеності ІС виникає щоразу під час об’єктивної оцінки загального стану захищеності інформаційних ресурсів. Кількісна оцінка може стати простим та зрозумілим засобом підтримки прийняття рішень, що базується на аналізі поточного стану ІС та враховує виконання вимог безпеки.

Формалізований опис узагальненої моделі безпеки ІС (3.1) містить у собі опис: характерних загроз безпеці, яким повинні протидіяти компоненти ІС IЗАГР, політики, здійснення якої повинно бути забезпечене механізмами безпеки компонентів ІС IПІБ, пропозицій безпеки відносно використання  IПРОП, цілей безпеки, що відповідають компонентам ІС IЦІЛІ, часткових моделей безпеки компонентів, що враховують внутрішні та міжрівневі залежності функцій безпеки компонентів ІС та відповідають рівням управління та контролю ІС IЧМ тощо.

                                      (3.1)

З огляду на вищезазначене, у рамках виконання досліджень, було поставлено задачу – розробити метод кількісної оцінки захищеності, що повинен враховувати наступні особливості ІС:

– переважно якісний характер показників, що враховуються під час аналізу захищеності ІС;

– необхідність обліку великої кількості показників або вимог безпеки;

– складний опосередкований взаємозв’язок показників якості захисту з показниками якості функціонування ІС;

– відмінності у важливості виконання вимог безпеки, що висуваються до ІС;

– істотний взаємозв’язок та взаємозалежність показників різних продуктів ІТ, що входять в ІС;

– труднощі одержання вихідних даних, необхідних для розв’язування задач контролю, аналізу та оцінки захищеності.

Зазначені особливості впливають на вибір математичних методів розв’язування задачі, здійснення процедур контролю, аналізу, оцінки та удосконалення захисних механізмів.

Аналіз останніх досягнень та публікацій показує, що принциповими особливостями задач контролю та оцінки захищеності ІС, що визначають метод її розв’язування, є: багатокритеріальність задач; не тільки кількісний, але і в основному якісний опис показників, що задаються у вигляді вимог безпеки;  вплив експертної інформації, що визначає переваги того або іншого показника, при нечіткій постановці задачі. Аналіз досліджень та публікацій показує, що всі методи розв’язування багатокритеріальних задач можна звести до трьох груп

методів:

  •  метод головного показника;
  •  метод результуючого показника;
  •  лексикографічні методи (методи послідовних поступок).

Метод головного показника базується на переведенні всіх показників, крім якогонабудь однорідного, що називається головним, у розряд обмежень типу рівностей та нерівностей. До недоліків методу головного показника можна віднести: труднощі виділення головного показника та встановлення припустимих значень для показників, що переводяться у розряд обмежень.

Метод результуючого показника базується на формуванні узагальненого показника шляхом інтуїтивних оцінок впливу часткових показників на результуючу якість виконання системою її функцій. Оцінки такого впливу даються групою фахівців – експертів.

Лексикографічний метод базується на впорядкованих за важливістю показниках. Суть методу полягає у виділенні безлічі альтернатив з найкращою оцінкою за найбільш важливим показником. Якщо така альтернатива єдина, то вона вважається найкращою; якщо їх декілька, то з їхньої підмножини виділяються ті, які мають кращу оцінку за другим показником тощо. За сукупністю показників може призначатися поступка, у межах якої альтернативи вважаються еквівалентними.

Вибір методу розв’язування багатокритеріальної задачі, як у класичній, так і в нечіткій постановці визначається тим, в якому вигляді представлена експертна інформація щодо переваг показників. Якщо представлено експертну інформацію про ступінь або важливість переваги показників та визначені їхні вагові коефіцієнти, то методом  розв’язування багатокритеріальної задачі вважається метод результуючого показника.

Найбільш широке застосування серед результуючих показників одержали адитивний, мультиплікативний та мінімаксний показники.

Моделі безпеки як складового компонента ІС запропоновано розглядати у термінах ISO/IEC 15408-1,3 з урахуванням загроз безпеці інформаційним ресурсам, політики та припущень безпеки у конкретному структурному підрозділі.

3.2 Модель контролю, аналізу та оцінки захищеності системи

Розглянемо розробку моделі контролю, аналізу та оцінки захищеності ІС на прикладі узагальненої моделі безпеки.

При проведенні контролю може виявитися, що деякі показники не виконуються або не виконуються їхні залежності. Контроль реалізованих параметрів відображається в узагальненій моделі безпеки ІС ступенем виконання, а точніше повнотою реалізації вимог.

Оцінка захищеності ІС ґрунтується на вихідних даних, представлених у вигляді бази даних, заповненої в процесі внутрішнього контролю фахівцями з безпеки.

Вважаємо, що якщо у розглянутої ІС забезпечені всі функції безпеки, що входять у її модель безпеки, то система перебуває у захищеному стані і її рівень захищеності відповідає встановленим нормативам.

Для визначення важливості показників та розрахунку вагових коефіцієнтів пропонується керуватися пріоритетами політики безпеки інформації (БІ). Наприклад, поширеною практикою є розподіл пріоритетів політики БІ відповідно до табл.3.1.

Таблиця 3.1 – Розподіл пріоритетів політики БІ

Після ранжирування класів або показників за важливістю для кожного показника моделі визначаються вагові коефіцієнти, і проводиться їхнє нормування.

Нормовані значення вагових коефіцієнтів класів, що відповідають пріоритетам політики БІ при обробці інформації з обмеженим доступом наведені в табл.3.1. Ранжирування класів або показників безпеки за важливістю може бути виконане і по-іншому, наприклад, відповідно до особистих переваг фахівців, що приймають рішення.

Формалізація критеріїв контролю дозволяє автоматизувати процес оцінки, тобто розробити засіб для оцінки відповідності заходів безпеки еталонному зразку (стандарту, політиці безпеки, профілю захисту, моделі безпеки) і автоматизувати дії, що пов’язані зі збором, зберіганням і обробкою результатів внутрішнього контролю захищеності.

Для підтримки прийняття рішень захищеність ІС зручно виражати в бальній або лінгвістичній оцінці. Для таких оцінок вводиться еталонна шкала, тобто така шкала, у якій відображено адитивну ознаку. У розглянутому прикладі оцінка захищеності представлена в інтервалі від 0 до 1, для переформатування її в інші оцінки в табл. 3.2 представлено шкалу відповідності Q~B~L.

Таблиця 3.2 – Шкала відповідності Q~B~L

Особливістю обраної системи оцінки є можливість її використання для обробки вихідної експертної інформації, а також для надання даної інформації в інтерпретованому вигляді, вираженою нетехнічною мовою та придатною для підтримки прийняття обґрунтованих рішень керівниками як завгодно високого рангу. Метод, що застосовано для визначення вагових коефіцієнтів – метод ранжирування, дозволяє одержати досить точні вагові коефіцієнти, при цьому час спілкування з експертами мінімальний.

Схема контролю та оцінки захищеності ІС і прийняття рішень на вибір варіантів захисту ІС або схема реалізації запропонованого методу представлена на рис.3.1.

Реалізація методу розбита на три етапи:

Етап 1.Здійснюється побудова узагальненої моделі безпеки ІС і проводиться розрахунок вагових коефіцієнтів показників і класів, що входять у модель із урахуванням пріоритетів політики БІ.

Етап 2. Здійснюється контроль виконання показників, що входять у модель, заповнення бази даних поточного контролю та розрахунок підсумкової оцінки захищеності.

Етап 3. На основі результатів контролю та отриманої оцінки захищеності приймається рішення про вдосконалення захисних заходів або необхідність корегування моделі безпеки, зміни пріоритетів захисту та перерахування вагових коефіцієнтів.

Рисунок 3.1 – Схема реалізації методу оцінки захищеності ІС

Отже, розроблений метод та схема його реалізації дозволяють оцінити поточний або реалізований рівень захищеності ІС, провести порівняння із заданою моделлю безпеки та визначити слабкі показники. Розроблений інструментарій служить засобом підтримки прийняття рішень щодо вдосконалювання захисних заходів.

Застосований метод визначення вагових коефіцієнтів – метод ранжирування, при всій його простоті дозволяє одержати вагові коефіцієнти досить точні та близькі за значенням, що отримуються методом лінійної згортки, та потребує в 12 разів менше часу для спілкування з експертами.

4 АНАЛІЗ МЕТОДІВ ОЦІНКИ РИЗИКІВ СИСТЕМ БЕЗПЕКИ

4.1 Програмний комплекс  COBRA

Програмний продукт для аналізу і управління ризиками COBRA [12], виробник - С & A Systems Security Ltd., дозволяє формалізувати і прискорити процес перевірки на відповідність режиму інформаційної безпеки вимогам Британського стандарту BS 7799 (ISO 17799) і провести простий аналіз ризиків. Є декілька баз знань: загальні вимоги BS 7799 (ISO 17799) і спеціалізовані бази, орієнтовані на різні сфери застосування. Доступна демонстраційна версія цього програмного забезпечення (ПЗ).

COBRA дозволяє представити вимоги стандарту у вигляді тематичних «запитальників» по окремих аспектах діяльності організації. На першому етапі його використання вступає в роботу "Question Module" — Модуль відповідей на питання, який містить набір питань, розділених на групи відповідно до структури стандарту ISO 17799: безпека персоналу, політика безпеки, управління доступом, планерування безперервної роботи і тому подібне ( рис. 4.1).

Рисунок 4.1 – Приклади питань, які використовуються для аналізу стану інформаційної безпеки системою "COBRA"

На основі введеної таким чином інформації може бути отриманий звіт про стан інформаційної безпеки і міри її відповідності вимогам стандарту. Зокрема, такий звіт може складатися з п'яти основних розділів:

  •  Ввідна частина
  •  Перелік основних напрямів роботи, підданих перевірці
  •  Оцінка рівня невідповідностей
  •  Перелік організаційних заходів, реалізація яких необхідна для виконання вимог стандарту
  •  Перелік поставлених питань і даних на них відповідей

Окрім текстової частини, в звіт також можуть бути включені графіки, рівні виконання вимог стандарту, що наочно відображають (рис. 4.2).

Рисунок 4.2 –  Міра виконання вимог стандарту BS 7799 (ISO 17799) комплексу COBRA

Аналіз ризиків, що виконується даним методом, відповідає базовому рівню безпеки, тобто рівні ризиків не визначаються. Гідність методики - в її простоті. Необхідно відповісти на декілька десятків питань, потім автоматично формується звіт.

Цей програмний продукт може застосовуватися при проведенні аудиту ІБ або для роботи фахівців служб, відповідальних за забезпечення інформаційної безпеки.

Простота, відповідність міжнародному стандарту, порівняльне невелике число питань дозволяють легко адаптувати цей метод для роботи у вітчизняних умовах. Тобто до переваг даного продукту можна віднести простоту використання і, відносно, прийнятну вартість (все залежить від бюджету, виділеного на ІБ) –  7200 грн і 16000 грн за систему з модулем аналізу ризиків базового рівня. До недоліків комплексу можна віднести:

      – застарілий, не дуже зручний для користувача інтерфейс (незважаючи, на те що, даний продукт є в цій області одним з найбільш відомих на заході, його розробники по якихось причинах не займаються модернізацією його призначеного для користувача інтерфейсу);

– відсутність можливості установки користувачем ваги на кожну вимогу;

     – відсутність підтримки української та російською мов;

     – виникають проблеми з генерацією звіту та можлива нестабільна робота під Win2000.

4.2 Метод CRAMM

 Історія створення методу. У 1985 році Центральне агентство по комп'ютерах і телекомунікаціях (ССТА) Великобританії початок дослідження існуючих методів аналізу ІБ, аби рекомендувати методи, придатні для використання в урядових установах, зайнятих обробкою несекретної, але критичної інформації. Жоден з розглянутих методів не підійшов. Тому був розроблений новий метод, відповідний вимогам ССТА Він отримав назву CRАММ - метод ССТА аналізу і контролю ризиків. Потім з'явилося декілька версій методу, орієнтованих на вимоги Міністерства оборони, цивільних державних установ, фінансових структур, приватних організацій, Одна з версій, «комерційний профіль», є комерційний продукт.

Метою розробки методу було створення формалізованої процедури, що дозволяє:

  •  переконатися, що вимоги, пов'язані з безпекою, повністю проаналізовані і документовані;
  •  уникнути витрат на зайві заходи безпеки, можливі при суб'єктивній оцінці ризиків;
  •  надавати допомогу в планеруванні і здійсненні захисту на всіх стадіях життєвого циклу інформаційних систем;
  •  забезпечити проведення робіт в стислі терміни;
  •  автоматизувати процес аналізу вимог безпеки;
  •  представити обґрунтування для заходів протидії;
  •  оцінювати ефективність контрзаходів, порівнювати різні їх варіанти;
  •  генерувати звіти.

CRAMM, судячи по числу заслань в Internet - найпоширеніший метод аналізу ризиків і управління ними.

В даний час продається версія CRAMM 5 [11], відповідна стандарту BS 7799 (ISO 17799).

Концепція, покладена в основу методу. Аналіз ризиків включає ідентифікацію і обчислення рівнів (заходів) ризиків на основі оцінок, привласнених ресурсам, погрозам і уразливості ресурсів.

Контроль ризиків полягає в ідентифікації і виборі контрзаходів, завдяки яким удається понизити ризики до прийнятного рівня.

Формалізований метод, заснований на цій концепції, дозволяє переконатися, що захист охоплює всю систему і існує упевненість в тому, що:

  •  всі можливі ризики ідентифіковані;
  •  уразливості ресурсів ідентифіковані і їх рівні оцінені;
  •  погрози ідентифіковані і їх рівні оцінені;
  •  контрзаходи ефективні;
  •  витрати, пов'язані з ІБ, виправдані.

Дослідження ІБ системи за допомогою CRAMM проводиться у декілька етапів (рис. 4.3).

На першій стадії, Initiation – ініціація процесу аналізу, проводиться формалізований опис кордонів інформаційної системи, її основних функцій, категорій користувачів, а також персоналу, що бере участь в обстеженні.

На стадії вивчення (ідентифікації) і оцінки активів, Identification and Valuation of Assets, описується і аналізується все, що стосується ідентифікації і визначення цінності ресурсів системи. В кінці цієї стадії замовник дослідження знатиме, чи задовольнить його існуюча традиційна практика або він потребує проведення повного аналізу ризиків. У останньому випадку буде побудована модель інформаційної системи з позиції інформаційної безпеки.

Рисунок 4.3 – Основні етапи методу CRAMM

Стадія оцінювання погроз і вразливості, Threat and Vulnerability Assessment, не є обов'язковою, якщо замовника задовольнить базовий рівень інформаційної безпеки. Ця стадія виконується при проведенні повного аналізу ризиків. Береться до уваги все, що відноситься до ідентифікації і оцінки рівнів погроз для груп ресурсів і їх вразливості. В кінці стадії замовник отримує ідентифіковані і оцінені рівні погроз і вразливості для своєї системи.

Стадія аналізу ризиків, Risk Analysis, дозволяє оцінити ризики або на основі зроблених оцінок погроз і вразливості при проведенні повного аналізу ризиків, або шляхом використання спрощених методик для базового рівня безпеки.

На стадії управління ризиками, Risk Management, проводиться пошук адекватних контрзаходів. По суті йдеться про знаходженні варіанту системи безпеки, що щонайкраще задовольняє вимогам замовника. В кінці стадії він знатиме, як модифікувати систему в термінах заходів ухилення від ризику, а також шляхом вибору спеціальних заходів протидії, ведучих до зниження або мінімізації ризиків, що залишилися.

Кожна стадія оголошується закінченою після детального обговорення і узгодження результатів із замовником. Сам процес аналізу див. на рис. 4.4.

     Переваги і недоліки методу CRAMM

Переваги:

  •   добре апробований метод;
  •   вдала система моделювання ІТ;
  •   велика БД для оцінки ризиків і вибору контрзаходів;
  •   можливість використання як засоби аудиту.

         

Рисунок 4.4 – Процес аналізу і управління ризиками по методу CRAMM

Недоліки:

  •  великий об'єм звітів;
  •  порівняно висока трудомісткість.

Дослідження ІБ системи за допомогою СRAMM проводиться в три стадії.

На першій стадії аналізується все, що стосується ідентифікації та визначення цінності ресурсів системи. Вона починається з рішення задачі визначення меж досліджуваної системи: збираються відомості про конфігурацію системи і про те, хто відповідає за фізичні та програмні ресурси, хто входить в число користувачів системи, як вони її застосовують або будуть застосовувати.

Проводиться ідентифікація ресурсів: фізичних, програмних та інформаційних, що містяться всередині кордонів системи. Кожен ресурс необхідно віднести до одного з визначених класів. Потім будується модель інформаційної системи з позиції ІБ. Для кожного інформаційного процесу, що має, на думку користувача, самостійне значення і званого користувальницькою сервісом, будується дерево зв'язків використовуваних ресурсів. Побудована модель дозволяє виділити критичні елементи.

Цінність фізичних ресурсів в CRAMM визначається вартістю їх відновлення у випадку руйнування.

Цінність даних та програмного забезпечення визначається в таких ситуаціях:

  1.  недоступність ресурсу протягом певного періоду часу;
  2.  руйнування ресурсу - втрата інформації, отриманої з часу останнього резервного копіювання, або її повне руйнування;
  3.  порушення конфіденційності у випадках несанкціонованого доступу штатних співробітників або сторонніх осіб;
  4.  модифікація - розглядається для випадків дрібних помилок персоналу (помилки введення), програмних помилок, навмисних помилок;
  5.  похибки, пов'язані з передачею інформації: відмова від доставки, недоставляння інформації, доставка по невірному адресою.

Для оцінки можливого збитку CRAMM рекомендує використовувати такі параметри:

  1.  збиток репутації організації;
  2.  порушення чинного законодавства;
  3.  збиток для здоров'я персоналу;
  4.  збиток, пов'язаний з розголошенням персональних даних окремих осіб;
  5.  фінансові втрати від розголошення інформації;
  6.  фінансові втрати, пов'язані з відновленням ресурсів;
  7.  дезорганізація діяльності.

Для даних та програмного забезпечення вибираються застосовні до даної ІС критерії, дається оцінка збитку за шкалою зі значеннями від 1 до 10.

В описах CRAMM як приклад наводиться в [7] така шкала оцінки за критерієм "Фінансові втрати, пов'язані з відновленням ресурсів":

  1.  2 бали - менше $ 1000;
  2.  6 балів - від $ 1000 до $ 10 000;
  3.  8 балів - від $ 10 000 до $ 100 000;
  4.  10 балів - понад $ 100 000.

При низькій оцінці по всіх використовуваних критеріями (3 бали і нижче) вважається, що розглянута система вимагає базового рівня захисту (для цього рівня не потрібно докладної оцінки загроз ІБ) і друга стадія дослідження пропускається.

На другій стадії розглядається все, що відноситься до ідентифікації та оцінки рівнів загроз для груп ресурсів та їх вразливостей. Наприкінці стадії замовник отримує ідентифіковані і оцінені рівні ризиків для своєї системи. На цій стадії оцінюються залежність користувача сервісів від певних груп ресурсів і існуючий рівень загроз і вразливостей, обчислюються рівні ризиків і аналізуються результати.

Ресурси групуються за типами загроз і вразливостей. Наприклад, у випадку існування загрози пожежі або крадіжки в якості групи ресурсів розумно розглянути всі ресурси, які знаходяться в одному місці (серверний зал, кімната засобів зв'язку і т. Д.). Оцінка рівнів загроз і вразливостей проводиться на основі дослідження непрямих факторів.

Програмне забезпечення CRAMM для кожної групи ресурсів і кожного з 36 типів загроз генерує список питань, що допускають однозначну відповідь. Рівень загроз оцінюється, залежно від відповідей, як дуже високий, високий, середній, низький і дуже низький. Рівень уразливості оцінюється, залежно від відповідей, як високий, середній і низький.

На основі цієї інформації розраховуються рівні ризиків в дискретної шкалою з градаціями від 1 до 7. Отримані рівні загроз, вразливостей і ризиків аналізуються і узгоджуються із замовником.

CRAMM об'єднує загрози та вразливості в матриці ризику. Розглянемо, як виходить ця матриця, і що кожен з рівнів ризику означає.

Основний підхід, для вирішення цієї проблеми полягає у розгляді [10]:

рівня загрози (шкала наведена в табл. 2);

рівня вразливості (шкала наведена в табл. 3);

розміру очікуваних фінансових втрат (приклад на рис.9).

Таблиця 2. Шкала оцінки рівнів загрози (частота виникнення).

Опис                                                 

Значення

інцидент відбувається в середньому, не частіше, ніж кожні 10 років

дуже низький

інцидент відбувається в середньому один раз на 3 роки

низький

інцидент відбувається в середньому раз на рік

середній

інцидент відбувається в середньому один раз на чотири місяці

високий

інцидент відбувається в середньому раз на місяць

дуже високий

Третя стадія дослідження полягає в пошуку адекватних контрзаходів. По суті, це пошук варіанту системи безпеки, найкращим чином задовольняє вимогам замовника.

На цій стадії CRAMM генерує кілька варіантів заходів протидії, адекватних виявленим ризикам і їх рівнями. Контрзаходи можна об'єднати в три категорії: близько 300 рекомендацій загального плану; більше 1000 конкретних рекомендацій; близько 900 22 прикладів того, як можна організувати захист в даній ситуації.

Таким чином, CRAMM - приклад методики розрахунку, при якій початкові оцінки даються на якісному рівні, і потім проводиться перехід до кількісної оцінки (в балах).

4.3 Аналіз методики FRAP

Методика «Facilitated Risk Analysis Process (FRAP)» пропонована компанією Peltier and Associates, розроблена Томасом Пелтиером (Thomas R. Peltier).

У методиці забезпечення IБ розглядається як частина процесу управління ризиками. Управління ризиками у сфері ІБ є процесом який дозволяє компаніям знайти баланс між витратами коштів та зусиль на засоби захисту та отриманим ефектом.

Управління ризиками повинно починатися з оцінки ризиків: належним чином задокументовані результати висновків стануть основою для прийняття рішень у сфері зміцнення безпеки системи в майбутньому.

Після завершення оцінки, проводиться аналіз відношення затрат та отриманого ефекту, який дозволяє визначити ті інструменти захисту, які потрібні, для зниження ризику до прийнятного рівня.

Створення списку ЗАГРОЗА поможет використовуват Різні підході:

  •  заздалегідь підготовлені експертами списки ЗАГРОЗА, з якіх обіраються Актуальні для даної системи;
  •  аналіз статистики пригод в даній ІС відбувається оцінка частоти їх виникнення по ряду загроз;
  •   «мозковий штурм», що проводиться співробітниками компанії.

Коли список загроз закінчено, кожній з них зіставляють ймовірність виникнення. Після чого оцінюють збиток, який може бути нанесений даної загрозою. Виходячи з отриманих значень, оцінюється рівень загрози. Таким чином оцінюється рівень ризику для незахищеної ІС, що надалі дозволяє показати ефект від впровадження засобів захисту інформації (СЗІ).

Оцінку можна провести для ймовірності виникнення загрози та шкоди від неї за наступними пунктами:

1 Вірогідність:

  •  висока - дуже ймовірно, що загроза реалізується протягом наступного року;
  •  середня - можливо загроза реалізується протягом наступного року;
  •  низька - малоймовірно, що загроза реалізується протягом наступного року.

2 Шкода - міра величини втрат або шкоди, що завдається активу:

  •  високий: зупинка критично важливих бізнес-підрозділів, яка призводить до істотного збитку для бізнесу, втрати іміджу або неотримання істотного прибутку;
  •  середній: короткочасне переривання роботи критичних процесів або систем, яке призводить до обмежених фінансових втрат в одному бізнес-підрозділі;
  •  низький: перерва в роботі, що не викликає відчутних фінансових втрат.

Після ідентифікації загрози та одержанні оцінки ризику, повинні бути визначені контрзаходи, що дозволяють усунути ризик або звести його до прийнятного рівня. При цьому повинні братися до уваги законодавчі обмеження, що роблять неможливим або, навпаки, веліли у обов'язковому порядку, використання тих чи інших засобів і механізмів захисту. Якщо ризик знижений недостатньо, можливо, треба застосувати інше СЗІ. Разом з визначенням засоби захисту, треба визначити які витрати спричинить його придбання і впровадження (витрати можуть бути як прямі, так і непрямі). Крім того, необхідно оцінити, чи безпечно саме цей засіб, чи не створює воно нових вразливостей в системі.

Щоб використовувати економічно ефективні засоби захисту, потрібно проводити аналіз співвідношення витрат і одержуваного ефекту. При цьому треба оцінювати не тільки вартість придбання рішення, але і вартість підтримки його роботи. У витрати можуть включатися:

  •  вартість реалізації проекту, включаючи додаткове програмне і апаратне забезпечення;
  •  зниження ефективності виконання системою своїх основних завдань;
  •  впровадження додаткових політик і процедур для підтримки засобу;
  •  витрати на найм додаткового персоналу або перенавчання наявного.

Останній пункт в цій методиці - документування. Коли оцінка ризиків закінчена, її результати повинні бути докладно документовані в стандартизованому форматі, для подальшого використання або для проведення більш глибокого аналізу.

Методика розрахована на управлінців відділів щодо забезпечення інформаційної безпекою підприємства з економічним ухилом. Виробляється аналіз витрат і отриманого ефекту від застосування засобу захисту інформаційної системи підприємства. Методика дозволяє знизити ризик до прийнятного рівня, що дозволяє уникнути максимальних витрат на забезпечення безпеки сучасними засобами ІБ.

Характерність для цієї методики викликає «мозковий штурм» проводиться співробітниками організації, проведення аналізу статистики пригод для даних інформаційних систем.

Приймаються законодавчі обмеження, що роблять неможливим або, навпаки, веліли у обов'язковому порядку, використання тих чи інших засобів і механізмів захисту.

Кінець методики дозволяє прорахувати, з точки зору фінансування, застосування засобу для забезпечення безпеки підприємства, враховується вартість придбання рішення, але і вартість підтримки його роботи. Прикладом тут може виступити впровадження антивірусного засобу з файерволом і спам фільтром для кожного комп'ютера в мережі, тобто його закупівля, і супровід в подальший час його роботи на забезпечення безпеки підприємства в межах мережі. Відразу ж застосовується програмно-апаратний комплекс для забезпечення безпеки інформаційної системи підприємства.

Нижче наведені основні етапи оцінки ризиків. Даний список багато в чому повторює аналогічний перелік з інших методик, але під FRAP більш докладно розкриваються шляхи отримання даних про систему і її вразливості.

1) Визначення захищаються активів проводиться з використанням опитувальних листів, вивчення документації на систему, використання інструментів автоматизованого аналізу (сканування) мереж.

2) Ідентифікація загроз. При складанні списку загроз можуть використовуватися різні підходи:

- Заздалегідь підготовлені експертами переліки загроз (checklists), з яких вибираються актуальні для даної системи;

- Аналіз статистики пригод пов'язаних з ІБ даної ІС подібних їй, оцінюється їх середньорічна частота (по ряду загроз, наприклад, загрозу виникнення пожежі, подібну статистику можна отримати у відповідних державних організацій);

- «Мозковий штурм», що проводиться співробітниками компанії.

3) Коли список загроз закінчений, кожній з них співставляють ймовірність виникнення.

Після чого оцінюють збиток, який може бути нанесений даної загрозою. Виходячи з отриманих значень, оцінюється рівень загрози.

При проведенні аналізу, як правило, приймають, що на початковому етапі в системі відсутні кошти і механізми захисту. Таким чином оцінюється рівень ризику для незахищеної ІС, що надалі дозволяє показати ефект від впровадження засобів захисту інформації (СЗІ).

Оцінка проводиться для ймовірності виникнення загрози та шкоди від неї за наступними шкалами.

Імовірність (Probability):

  1.  Висока (High Probability) - дуже ймовірно, що загроза реалізується протягом наступного року;
  2.  Середня (Medium Probability) - можливо загроза реалізується протягом наступного року;
  3.  Низка (Low Probability) - малоймовірно, що загроза реалізується протягом наступного року.

Збиток (Impact) - міра величини втрат або шкоди, що завдається активу:

  1.  Високий (High Impact): зупинка критично важливих бізнес-підрозділів, яка призводить до істотного збитку для бізнесу, втрати іміджу або неотримання істотного прибутку;
  2.  Середній (Medium Impact): короткочасне переривання роботи критичних процесів або систем, яке призводить до обмежених фінансових втрат в одному бізнес-підрозділі;
  3.  Низькій (Low Impact): перерва в роботі, не викликає відчутних фінансових втрат.

Оцінка визначається відповідно до правила, що задається матрицею ризиків, зображеної на рис. 12. Отримана оцінка рівня ризику може інтерпретуватися таким чином:

• рівень A - пов'язані з ризиком дії (наприклад, впровадження СЗІ) повинні бути виконані негайно і в обов'язковому порядку;

• рівень B - пов'язані з ризиком дії повинні бути зроблені;

• рівень C - потрібно моніторинг ситуації (але безпосередніх заходів з протидії загрозі приймати, можливо, не треба);

• рівень D-ніяких дій в даний момент робити не потрібно.

4) Після того як загрози ідентифіковані і дана оцінка ризику, повинні бути визначені контрзаходи, що дозволяють усунути ризик або звести його до прийнятного рівня. При цьому повинні братися до уваги законодавчі обмеження, що роблять неможливим або навпаки розпорядчі в обов'язковому порядку, використання тих чи інших засобів і механізмів захисту. Щоб визначити очікуваний ефект, можна провести оцінку того ж ризику, але за умови впровадження пропонованого СЗІ. Якщо ризик знижений недостатньо, можливо, треба застосувати інше СЗІ. Разом з визначенням засоби захисту, треба визначити які витрати спричинить його придбання і впровадження (витрати можуть бути як прямі, так і непрямі - див. Нижче). Крім того, необхідно оцінити, чи безпечно саме цей засіб, не створює воно нових вразливостей в системі.

Щоб використовувати економічно ефективні засоби захисту, потрібно проводити аналіз співвідношення витрат і одержуваного ефекту. При цьому треба оцінювати не тільки вартість придбання рішення, але і вартість підтримки його роботи. У витрати можуть включатися:

- Вартість реалізації проекту, включаючи додаткове програмне і апаратне забезпечення;

- Зниження ефективності виконання системою своїх основних завдань;

- Впровадження додаткових політик і процедур для підтримки засобу;

- Витрати на найм додаткового персоналу або перенавчання наявного.

5) Документування. Коли оцінка ризиків закінчена, її результати повинні бути детально задокументовані в стандартизованому форматі. Отриманий звіт може бути використаний при визначенні політик, процедур, бюджету безпеки і т.д.

4.4 Аналіз методики RiskWatch

Компанія RiskWatch розробила власну методику аналізу ризиків і сімейство програмний засобів, в яких вона в тій чи іншій мірі реалізується. Сімейство RiskWatch складається з програмних продуктів:

  •  RiskWatch for Physical Security - для аналізу фізичного захисту ІВ;
  •  RiskWatch for Information Systems - для інформаційних ризиків;
  •  HIPAA-WATCH for Healthcare Industry - для оцінки відповідності вимогам стандарту HIPAA (US Healthcare Insurance Portability and Accountability Act), актуальних в основному для медичних установ, що працюють на території США;
  •  RiskWatch RW17799 for ISO 17799 - для оцінки відповідності ІС вимогам стандарту міжнародного стандарту ISO 17799.

RiskWatch використовується в якості критеріїв для оцінки та управління ризиками використовуються очікувані річні втрати (Annual Loss Expectancy, ALE) і оцінка повернення інвестицій (Return on Investment, ROI). RiskWatch орієнтована на точну кількісну оцінку співвідношення втрат від загроз безпеки і витрат на створення системи захисту. В основі продукту RiskWatch знаходиться методика аналізу ризиків, яка складається з чотирьох етапів.

Перший етап - визначення предмета дослідження. Тут описуються параметри: як тип організації, склад досліджуваної системи (у загальних рисах), базові вимоги в галузі безпеки. Для полегшення роботи аналітика, в шаблонах, відповідають типу організації («комерційна інформаційна система», «державна / військова інформаційна система» і т.д.), є списки категорій захищаються ресурсів, втрат, погроз, вразливостей і заходів захисту. І вибираються категорії втрат, присутні в організації:

  •  затримки і відмова в обслуговуванні;
  •  розкриття інформації;
  •  прямі втрати (наприклад, від знищення обладнання вогнем);
  •  життя і здоров'я (персоналу, замовників і т.д.);
  •  зміна даних;
  •  непрямі втрати (наприклад, витрати на відновлення);
  •  репутація.

Другий етап - введення даних, що описують конкретні характеристики системи. Дані можуть вводитися вручну або імпортуватися із звітів, створених інструментальними засобами дослідження уразливості комп'ютерних мереж. Докладним чином описуються ресурси, втрати і класи інцидентів. Класи інцидентів виходять шляхом зіставлення категорії втрат і категорії ресурсів.

Також задається частота виникнення кожної з виділених загроз, ступінь уразливості і цінність ресурсів. Якщо для обраного класу загроз в системі є середньорічні оцінки виникнення (LAFE і SAFE), то використовуються вони. Все це використовується надалі для розрахунку ефекту від впровадження засобів захисту.

Третій етап - кількісна оцінка ризику. На цьому етапі розраховується профіль ризиків, і вибираються заходи забезпечення безпеки. Спочатку встановлюються зв'язки між ресурсами, втратами, погрозами і уразливими, виділеними на попередніх кроках дослідження. SAFE (Standard Annual Frequency Estimate) - показує, скільки разів на рік у середньому ця загроза реалізується в цій «частини світу» (наприклад, в Північній Америці). Вводиться також поправочний коефіцієнт, який дозволяє врахувати, що в результаті реалізації загрози захищається ресурс може бути знищений не повністю, а тільки частково.

Формула (4.1) показує варіанти розрахунку показника ALE:

(4.1)

де:

  •  Asset Value - вартість розглянутого активу (даних, програм, апаратури і т.д.);
  •  Exposure Factor - коефіцієнт впливу - показує, яка частина (у відсотках) від вартості активу, піддається ризику;
  •  Frequency - частота виникнення небажаної події;
  •  ALE - це оцінка очікуваних річних втрат для одного конкретного активу від реалізації однієї загрози.

Коли всі активи і впливу ідентифіковані і зібрані разом, то з'являється можливість оцінити загальний ризик для ІС, як суму всіх приватних значень.

Можна ввести показники «очікувана річна частота події» (Annualized Rate of Occurrence - ARO) і «очікуваний одиничний збиток» (Single Loss Expectancy - SLE), який може розраховуватися як різниця первісної вартості активу та його залишкової вартості після події (хоча подібний спосіб оцінки застосувати не у всіх випадках, наприклад, він не підходить для оцінки ризиків, пов'язаних з порушенням конфіденційності інформації). Тоді, для окремо взятого поєднання загроза-ресурс застосовна формула (4.2):

(4.2)

Четвертий етап - генерація звітів. Типи звітів:

  •  короткі підсумки;
  •  повні і короткі звіти про елементи, описаних на стадіях 1 і 2;
  •  звіт від вартості захищаються ресурсів та очікуваних втратах від реалізації загроз;
  •  звіт про загрози та заходи протидії;
  •  звіт про ROI;
  •  звіт про результати аудиту безпеки.

Таким чином, розглянуте засіб дозволяє оцінити не тільки ті ризики, які зараз існують у підприємства, а й ту вигоду, яку може принести впровадження фізичних, технічних, програмних та інших засобів і механізмів захисту. Підготовлені звіти і графіки дають матеріал, достатній для прийняття рішень про зміну системи забезпечення безпеки підприємства.

Недоліки методики RiskWatch:

- Методика RiskWatch підходить, якщо потрібно провести аналіз ризиків на програмно-технічному рівні захисту, без урахування організаційних і адміністративних чинників;

- Отримані оцінки ризиків (математичне очікування втрат) далеко не вичерпує розуміння ризику з системних позицій - метод не враховує комплексний підхід до інформаційної безпеки;

- Програмне забезпечення RiskWatch існує тільки англійською мовою;

- Висока вартість ліцензії (від 15'000 дол за одне робоче місце для невеликої компанії; від 125'000 дол за корпоративну ліцензію).

Методика RiskWatch дозволяє розділити інформаційні системи на кілька профілів і вже використовувати конкретизовану систему для обліку ризиків інформаційної безпеки підприємства, що дуже зручно в сучасний час. Різні організації використовують однотипні моделі для оцінки ризиків, що не дуже дозволяє прорахувати той чи інший збиток при виникненні загрози. Методика дозволяє в живу в цифрах побачити оцінку очікуваних втрат за рік від бездіяльності з боку підприємства до загрози через спрямованого відсутність фінансування для забезпечення безпеки підприємства.

4.5 Аналіз методики Гриф

Для проведення повного аналізу інформаційних ризиків, насамперед, необхідно побудувати повну модель інформаційної системи з точки зору ІБ. Для вирішення цього завдання ГРИФ, на відміну від прередставленних на ринку західних систем аналізу ризиків, які громіздкі, складні у використанні і часто не припускають самостійного застосування ІТ-менеджерами і системними адміністраторами, відповідальними за забезпечення безпеки інформаційних систем компаній, володіє простим і інтуїтивно зрозумілим для користувача інтерфейсом. Основне завдання методики ГРИФ - дати можливість ІТ менеджеру самостійно оцінити рівень ризиків в інформаційній системі, оцінити ефективність існуючої практики щодо забезпечення безпеки компанії і мати можливість доказово (у цифрах).

На першому етапі методики ГРИФ проводиться опитування ІТ-менеджера з метою визначення повного списку інформаційних ресурсів, які мають цінність для компанії.

На другому етапі проводиться опитування ІТ-менеджера з метою введення в систему ГРИФ всіх видів інформації, що представляє цінність для компанії. Введені групи цінної інформації повинні бути розміщені користувачем на раніше зазначених на попередньому етапі об'єктах зберігання інформації (серверах, робочих станціях і т.д.). Заключна фаза - вказівка ​​збитку по кожній групі цінної інформації, розташованої на відповідних ресурсах, за всіма видами загроз.

На третьому етапі спочатку проходить визначення всіх видів користувальницьких груп (і число користувачів в кожній групі). Потім визначається, до яких груп інформації на ресурсах має доступ кожна з груп користувачів. На закінчення визначаються види (локальний і / або віддалений) і права (читання, запис, видалення) доступу користувачів до всіх ресурсів, що містять цінну інформацію.

На четвертому етапі проводиться опитування ІТ-менеджера для визначення засобів захисту інформації, якими захищена цінна інформація на ресурсах. Крім того, в систему вводиться інформація про разові витратах на придбання всіх застосовуються засобів захисту інформації та щорічні витрати на їх технічну підтримку, а також - щорічні витрати на супровід системи інформаційної безпеки компанії.

На завершальному етапі користувач повинен відповісти на список питань з політики безпеки, реалізованої в системі, що дозволяє оцінити реальний рівень захищеності системи і деталізувати оцінки ризиків. Наявність засобів інформаційного захисту, відзначених на першому етапі, саме по собі ще не робить систему захищеної в разі їх неадекватного використання та відсутності комплексної політики безпеки, що враховує всі аспекти захисту інформації, включаючи питання організації захисту, фізичної безпеки, безпеки персоналу, безперервності ведення бізнесу. До недоліків ГРИФ можна віднести:

  •  відсутність прив'язки до бізнес-процесам;
  •  немає можливості порівняння звітів на різних етапах впровадження комплексу заходів щодо забезпечення;
  •  відсутня можливість додати специфічні для даної компанії вимоги політики безпеки.

В результаті виконання всіх дій за даними етапам, на виході сформована повна модель інформаційної системи з точки зору інформаційної безпеки з урахуванням реального виконання вимог комплексної політики безпеки, що дозволяє перейти до програмного аналізу введених даних для отримання комплексної оцінки ризиків і формування підсумкового звіту. Звітом є докладний, що дає повну картину можливого збитку від інцидентів документ, готовий для подання керівництву компанії.

Існуюча методика оцінки ризику дозволяє самостійно оцінити ступінь ризику підприємства в межах однієї мережі, але не дасть повної картини, що істотно впливає на безпеку інформації в цілому.

  1.  Методика OCTAVE

OCTAVE (Operationally Critical Threat, Asset, and Vulnerability Evaluation) - методика поведінки оцінки ризиків в організації, що розробляється інститутом Software Engineering Institute (SEI) при університеті Карнегі Меллон (Carnegie Mellon University). Повний опис методики є в Інтернет на сайті www.cert.org/octave. Їй також присвячено цілий ряд наукових статей [13,14].

Особливість даної методики полягає в тому, що весь процес аналізу проводиться силами співробітників організації, без залучення зовнішніх консультантів. Для цього створюється змішана група, що включає як технічних фахівців, так і керівників різного рівня, що дозволяє всебічно оцінити наслідки для бізнесу можливих інцидентів в області безпеки і розробити контрзаходи.

OCTAVE передбачає три фази аналізу:

1. розробка профілю загроз, пов'язаних з активом;

2. ідентифікація інфраструктурних вразливостей;

3. розробка стратегії та планів безпеки.

Профіль загрози включає в себе вказівки на актив (asset), тип доступу до активу (access), джерело загрози (actor), тип порушення або мотив (motive), результат (outcome) і посилання на описи загрози в загальнодоступних каталогах. За типом джерела, погрози на OCTAVE поділяються на:

1) загрози, які виходять від людини-порушника, чинного через мережу передачі даних;

2) загрози, які виходять від людини-порушника, який використовує фізичний доступ;

3) загрози, пов'язані зі збоями в роботі системи;

4) інші.

Методика OCTAVE пропонує при описі профілю використовувати «дерева варіантів», приклад подібного дерева для погроз класу 1) наведено на рис.13. При створенні профілю загроз рекомендується уникати великої кількості технічних деталей - це завдання другого етапу дослідження. Головне завдання першої стадії - стандартизованим чином описати поєднання загрози та ресурсу.

Друга фаза дослідження системи відповідно до методики - ідентифікація інфраструктурних вразливостей. На ній визначається інфраструктура, підтримуюча існування виділеного раніше активу (наприклад, якщо це БД відділу кадрів, то нам для роботи з нею потрібен сервер, на якому база розміщена, робоча станція службовця відділу кадрів і т.д.) і те оточення, яке може дозволити отримати до неї доступ (наприклад, відповідний сегмент локальної мережі). Розглядаються компоненти наступних класів: сервери; мережеве обладнання; СЗІ; Персональні комп'ютери; домашні персональні комп'ютери «надомних» користувачів, що працюють віддалено, але мають доступ в мережу організації; мобільні комп'ютери; системи зберігання; бездротові пристрої; інше.

Група, яка проводить аналіз для кожного сегмента мережі, зазначає, які компоненти в ньому перевіряються на наявність вразливостей. Уразливості перевіряються сканерами безпеки рівня операційної системи, мережевими сканерами безпеки, спеціалізованими сканерами (для конкретних web-серверів, СУБД та ін.), За допомогою списків вразливостей (checklists), тестових скриптів.

Для кожного компонента визначається:

  •  Список вразливостей, які треба усунути негайно (high-severity vulnerabilities);
    •  Список вразливостей, які треба усунути найближчим часом (middle-severity vulnerabilities);
    •  Список вразливостей, щодо яких не вимагається негайних дій (low-severity vulnerabilities).

За результатами стадії готується звіт, в якому вказується, які уразливості виявлені, який вплив вони можуть зробити на виділені раніше активи, які заходи треба вжити для усунення вразливостей.

Розробка стратегії та планів безпеки - третя стадія дослідження системи. Вона починається з оцінки ризиків, яка проводиться на базі звітів по двох попередніх етапів. У OCTAVE при оцінці ризику дається тільки оцінка очікуваного збитку, без оцінки ймовірності. Шкала: високий (high), середній (middle), низький (low). Оцінюється фінансовий збиток, збиток репутації компанії, життю і здоров'ю клієнтів і співробітників, збиток, який може викликати судове переслідування в результаті того чи іншого інциденту. Описуються значення, відповідні кожної градації шкали (наприклад, для малого підприємства фінансовий збиток в $ 10000 - високий, для більш великого - середній).

Далі, розробляють плани зниження ризиків декількох типів:

  •  Довготривалі;
    •  На середню перспективу;
    •  Списки завдань на найближчий час.

Для визначення заходів протидії загрозам в методиці пропонуються каталоги засобів.

Хотілося б ще раз підкреслити, що на відміну від інших методик, OCTAVE не передбачає залучення для дослідження безпеки ІС сторонніх експертів, а вся документація по OCTAVE загальнодоступна і безкоштовна, що робить методику особливо привабливою для підприємств з жорстко обмеженим бюджетом, виділеним на цілі забезпечення ІБ .

  1.  Методика оцінка серйозності мережевої атаки, використовувана  SANS / GIAC

Дана методика розроблена в інституті SANS (System Administration, Networking and Security Institute) і центрі аналізу комп'ютерних інцидентів GIAC (Global Incident Analysis Center). У ній пропонується оцінити «критичність» мережевої атаки (Severity), яка визначається величиною ризику, пов'язаного з її здійсненням. Опис методики наводиться за статтею [12], першоджерелом для автора статті послужив навчальний курс SANS "Intrusion Detection in Depth" матеріали якого, на даний момент, відсутні у відкритому доступі.

Величина ризику визначається ймовірністю успішного здійснення атаки і величиною можливого збитку. Величина можливого збитку визначається критичністю ресурсів (Criticality), проти яких спрямована атака. Імовірність успішного здійснення атаки (Lethality) визначається ефективністю методів і величиною уразливості системи захисту, що використовуються для її здійснення. Величина уразливості визначається ефективністю контрзаходів системного (System countermeasures) і мережевого рівня (Network countermeasures), використовуваних для протидії даному виду загроз.

Формула для визначення рівня серйозності атаки виглядає наступним чином:

SEVERITY = (CRITICALITY + LETHALITY) - (SYSTEM COUNTERMEASURES + NETWORK COUNTERMEASURES) (1)

Показник SEVERITY оцінюють за числовий шкалою від -10 до +10.

Критичність мережевого ресурсу (CRITICALITY) визначається за 5-бальною шкалою виходячи з призначення даного мережевого ресурсу і виконуваних ним функцій. На практиці зазвичай орієнтуються на таку шкалу (у прикладі вона далеко не повна):

5: МЕ, DNS сервер, маршрутизатор;

4: поштову шлюз;

2: UNIX робоча станція;

1: персональний комп'ютер.

Імовірність успішного здійснення атаки і вид збитку (LETHALITY) визначається за наступною шкалою:

5: атакуючий може отримати права суперкористувача на віддаленій системі;

4: відмова в обслуговуванні в результаті здійснення мережевої атаки;

3: отримання прав непривилегированного користувача на віддаленій системі, наприклад, шляхом перехоплення пароля, переданого по мережі у відкритому вигляді;

2: розкриття конфіденційної інформації в результаті здійснення несанкціонованого мережевого доступу, наприклад, атака "null session" на Windows системи;

1: ймовірність успішного здійснення атаки дуже мала.

Ефективність реалізованих контрзаходів системного рівня (SYSTEM COUNTERMEASURES) можна оцінити за наступною шкалою:

5: сучасна ОС, встановлені всі пакети оновлень, використовуються додаткові мережеві засоби захисту;

3: застаріла версія ОС, не встановлені деякі пакети оновлень;

1: відсутні спеціалізовані засоби захисту, відсутня політика управління паролями, паролі передаються по мережі у відкритому вигляді.

Ефективність реалізованих контрзаходів мережевого рівня (NETWORK COUNTERMEASURES) можна оцінити за наступною шкалою:

5: У системі використовується міжмережевий екран (МЕ), який реалізує принцип мінімізації привілеїв, є єдиною точкою входу в мережу

4: МЕ і наявність додаткових точок входу в мережу;

2: МЕ дозволяючи все, що явно не заборонено (дозвільна політика управління доступом).

Хоча дана методика розроблялася тільки для оцінки ризиків, пов'язаних із здійсненням мережевих атак, її можна поширити і на інші класи загроз безпеці.

4.8 Проведеніе оцінки ризиків згідно з методикою Microsoft.

Процес управління ризиками, пропонований корпорацією Майкрософт [6], розбиває етап оцінки ризиків на наступні три кроки:

1. Планування. Розробка основи для успішної оцінки ризиків.

2. Координований збір даних. Збір інформації про ризики в ході координованих обговорень ризиків.

3. Пріоритизація ризиків. Ранжування виявлених ризиків на основі несуперечливого і повторюваногопроцесу.

Для проведення оцінки потрібно зібрати дані про:

• Активах організації.

• загроза безпеці.

• вразливою.

• Поточною середовищі контролю (прім.в прийнятої авторами перекладу керівництва [6] термінології засоби і заходи захисту інформації називаються елементами контролю, відповідно, середа контролю - сукупність елементів).

• Пропоновані елементи контролю.

Активами вважається все, що представляє цінність для організації. До матеріальних активів відноситься фізична інфраструктура (наприклад, центри обробки даних, сервери і майно). До нематеріальних активів належать дані та інша цінна для організації інформація, що зберігається в цифровій формі (наприклад, банківські транзакції, розрахунки платежів, специфікації і плани розробки продуктів). У деяких організаціях може виявитися корисним визначення третього типу активів - ІТ-служб. ІТ-служба являє собою поєднання матеріальних і нематеріальних активів. Наприклад, це може бути корпоративна служба електронної пошти.

Процес управління ризиками безпеки, пропонований корпорацією Майкрософт, визначає наступні три якісних класу активів:

1. високий вплив на бізнес (ВВБ) - вплив на конфіденційність, цілісність і доступність цих активів може заподіяти організації значний або катастрофічний збиток. Наприклад, до цього класу відносяться конфіденційні ділові дані.

2. середнє вплив на бізнес (СВБ) - вплив на конфіденційність, цілісність і доступність цих активів може заподіяти організації середній збиток. Середній збиток не викликає значних або катастрофічних змін, однак порушує нормальну роботу організації до такої міри, що це вимагає проактивних елементів контролю для мінімізації впливу в даному класі активів. До цього класу можуть належати внутрішні комерційні дані, такі як перелік співробітників або дані про замовлення підприємства.

3. низький вплив на бізнес (НВБ) - активи, які не потрапляють в класи ВВБ і СВБ, відносяться до класу НВБ. До захисту подібних активів не висуваються формальні вимоги, і вона не вимагає додаткового контролю, що виходить за рамки стандартних рекомендацій щодо захисту інфраструктури. Наприклад, це можуть бути загальні відомості про структуру організації. Далі визначається перелік загроз і вразливостей і виконується оцінка рівня потенційного збитку, званого ступенем схильності активу впливу. Оцінка збитків може проводитися за різними категоріями:

• Конкурентна перевага.

• Закони та регулятивні вимоги.

• Операційна доступність.

• Репутація на ринку.

Оцінку пропонується проводити за наступною шкалою:

• Висока схильність до впливу. Значний або повний збиток для активу.

• Середня схильність до впливу. Середній або обмежений збиток.

• Низька схильність до впливу. Незначний збиток або відсутність такого.

Наступний крок - оцінка частоти виникнення загроз:

• Висока. Ймовірно виникнення одного або декількох подій в межах року.

• Середня. Вплив може виникнути в межах двох-трьох років.

• Низька. Виникнення впливу в межах трьох років малоймовірно.

Дані збираються в шаблон . Набір шаблонів (у вигляді файлів Excel) для проведення аналізу ризиків доступний разом з текстом керівництва на сайті Microsoft. Для пояснення методики нижче будуть приводитися скріншоти, які відображатимуть різні етапи заповнення шаблонів.

Для загроз вказується рівень впливу відповідно до концепції багаторівневого захисту (рівні - фізичний, мережі, хоста, додатки, даних).

Наступний крок етапу оцінки ризиків - пріоритизація ризиків, тобто створення упорядкованого за пріоритетами списку ризиків. Формування даного списку спочатку пропонується виконати на узагальненому рівні, після чого описи найбільш істотних ризиків деталізуються.

Підсумковий рівень ризику визначається виходячи з рівня впливу та оцінки частоти виникнення ризику, для якої використовується шкала:

• Висока. Ймовірно виникнення одного або декількох впливів протягом року;

• Середня. Вплив може хоча б один раз виникнути протягом двох або трьох років;

• Низька. Виникнення впливу протягом трьох років малоймовірно.

Для детального вивчення (складання «переліку на рівні деталізації») відбираються ризики, віднесені за результатами оцінки на узагальненому рівні до однієї з трьох груп:

• ризики високого рівня;

• граничні ризики: ризики середнього рівня, які необхідно знижувати;

• суперечливі ризики: ризик є новим і знань про цей ризик у організації недостатньо або різні зацікавлені особи оцінюють цей ризик по-різному.

Формування переліку ризиків на рівні деталізації є останньою завданням процесу оцінки ризиків. У цьому переліку кожному ризику в підсумку зіставляється оцінка в числовий (грошовій) формі.

Знову визначаються:

• величина впливу і схильності впливу;

• поточні елементи контролю;

• ймовірності впливу;

• рівень ризику.

Рівень схильності впливу оцінюється за п'ятибальною шкалою

Після визначення рівня схильності впливу проводиться оцінка величини впливу. Кожному рівню схильності впливу зіставляється значення у відсотках, що відображає величину збитку, заподіяного активу, і зване фактором схильності впливу. Майкрософт, рекомендує використовувати лінійну шкалу схильності впливу від 100 до 20%, яка може змінюватися відповідно до вимог організації. Крім того, кожній величині впливу зіставляється якісна оцінка: висока, середня або низька.

Наступне завдання - визначення ймовірності впливу. Результуючий рівень ймовірності визначається на підставі двох значень. Перше значення визначає ймовірність існування уразливості в поточній середовищі. Друге значення визначає ймовірність існування уразливості виходячи з ефективності поточних елементів контролю. Кожне значення змінюється в діапазоні від 1 до 5. Визначення оцінки проводиться на основі відповідей на питання з наступним переходом до результуючої оцінці. При цьому розробники керівництва вказують, що оцінка ймовірності злому має суб'єктивний характер і пропонують при проведенні оцінки уточнювати наведений перелік.

У висновку процедури оцінки ризиків, для проводиться кількісний аналіз. Щоб визначити кількісні характеристики, необхідно виконати наступні завдання.

• Зіставити кожному класу активів в організації грошову вартість.

• Визначити вартість активу для кожного ризику.

• Визначити величину очікуваного разового збитку (single loss expectancy -SLE).

• Визначити щорічну частоту виникнення (annual rate of occurrence - ARO).

• Визначити очікуваний річний збиток (annual loss expectancy - ALE).

Кількісну оцінку пропонується почати з активів, що відповідають опису класу ВВБ. Для кожного активу визначається грошова вартість з точки зору його матеріальної і нематеріальної цінності для організації. Також враховується:

  •  Вартість заміни.
    •  Витрати на обслуговування і підтримку працездатності.
      •  Витрати на забезпечення надмірності та доступності.
      •  Вплив на репутацію організації.
      •  Вплив на ефективність роботи організації.
      •  Річний дохід.
      •  Конкурентна перевага.
      •  Внутрішня ефективність експлуатації.
      •  Правова та регулятивна відповідальність.

Процес повторюється для кожного активу в класах СВБ і НВБ.

Кожному класу активів зіставляється одне грошове значення, яке буде представляти цінність класу активів. Наприклад, найменше серед активів даного класу. Даний підхід зменшує витрати часу на обговорення вартості конкретних активів.

Після визначення вартостей класів активів необхідно визначити і вибрати вартість кожного ризику.

Наступним завданням є визначення ступеня шкоди, яку може бути заподіяно активу. Для розрахунків пропонується використовувати раніше певний рівень схильності впливу, на основі якого визначається фактор схильності впливу (рекомендована формула перерахунку - множення значення рівня (у балах) на 20%).

Останній крок полягає в отриманні кількісної оцінки впливу шляхом множення вартості активу на фактор схильності впливу. У класичній кількісної моделі оцінки ризиків це значення називається величиною очікуваного разового збитку (SLE).

Для визначення очікуваного річного збитку (ALE) значення SLE і ARO перемножуються.

ALE = SLE × ARO

Величина ALE характеризує потенційні річні збитки від ризику. Хоча даний показник може допомогти в оцінці збитку зацікавленим особам, які мають фінансову підготовку, група управління ризиками безпеки повинна нагадати, що вплив на організацію не обмежується величиною річних витрат - виникнення ризику може спричинити за собою заподіяння шкоди в повному обсязі.

Підводячи підсумок, можна ще раз наголосити, що процес управління ризиками безпеки, пропонований корпорацією Майкрософт, використовує комбінований підхід включає оцінку ризиків на якісному рівні на початковому етапі і кількісну оцінку - на заключному.

ВИСНОВКИ ТА РЕКОМЕНДАЦІЇЦІЇ

Підводячи підсумок, перерахуємо ті переваги, які дає проведення аналізу ризиків у сфері ІБ:

1) виявлення проблем у сфері безпеки (не тільки вразливостей компонент системи, але і недоліків політик безпеки і т.д.);

2) аналіз ризиків дозволяє нетехнічних фахівцям (зокрема, керівництву організації) оцінити вигоди від впровадження засобів і механізмів захисту і взяти участь у процесі визначення необхідного рівня захищеності КС;

3) проведення оцінки ризиків додає обґрунтованість рекомендацій з безпеки;

4) ранжування ризиків за пріоритетами дозволяє виділити найбільш пріоритетні напрямки для впровадження нових СЗІ, заходів і процедур забезпечення ІБ;

5) докладно описані методики аналізу ризиків дозволяє людям, які не є експертами в даній області, скористатися акумульованими в методиці знаннями, щоб отримати заслуговують довіри результати аналізу.

У той же час, необхідно відзначити, що оцінка ризиків на якісному рівні не дозволяє однозначно порівняти витрати на забезпечення ІБ і отримується від них віддачу (у вигляді зниження сумарного ризику). Тому більш кращими представляються кількісні методики. Але вони вимагають наявності оцінок ймовірності виникнення для кожної з розглянутих загроз безпеці. Крім того, використання інтегральних показників, таких як ALE, небезпечно тим, що неправильна оцінка ймовірності загрози в відношенні дуже дорогого активу може кардинально змінити оцінювана значення сумарної вартості ризиків.

Представляється більш обґрунтованим формування не єдиною, скалярною оцінки вартості ризику, а векторної. Кожен елемент вектора оцінки відповідає узагальненій загрозу безпеці (подмножеству загроз, подібних за способом реалізації і чиниться на систему впливу).

Також пропонується проводити оцінку ризику, виходячи з аналізу моделі конфлікту інтересів власника системи і порушника її безпеки. Дана модель повинна будуватися з використанням математичного апарату, що допускає відсутність статистики щодо частоти виникнення загроз безпеці. Подібна модель описується в наступному розділі курсу.

Розглянуті методики в тій чи іншій мірі дозволяють показати приблизну оцінку інформаційного ризику для підприємства. Неможливо дати точну оцінку ризику, зважаючи на складність представлення шкоди для системи за великої кількості компонентів обчислювальної середовища і різних топологій локальних і корпоративних мереж з їх програмно-апаратним наповненням і керуванням.

Жодна з методик не пропонує оцінку ризиків в корпоративному середовищі підприємства, крім методики аналізу корпоративних ризиків від Microsoft. Сучасний бізнес диктує швидкість розвитку технологій, як з економічної, так і з технічного боку. Будь середня організація має як мінімум два віддалених офісу.

Розглянуті методики орієнтовані на ті мережі, які побудовані за доменним принципом, що мають чіткі поділу прав користувачів, групи, загальні ресурси, що в деякій мірі дозволяє застосують групову політику на весь домен, але з іншого боку, при падінні домену, мережа виявляється повністю не працездатною .

Доменна структура складна в налаштуванні, але її продуктивність того варто. Для мереж з невеликою кількістю комп'ютерів доменна організація не має сенсу.

Не всі системи обліку ризиків не пропонують виділити системи захисту по щаблях, тобто від технічного захисту до програмної, тобто самої теоретично стійкою до злому.

Більшість організацій середнього розміру, і покупка дуже дорогого засобу обліку ризиків просто не по кишені підприємству. Слід враховувати той факт, що і те, кількість інформації, яка є комерційною таємницею її не дуже велика кількість.

Необхідний ступінь конкретизації деталей залежить від рівня зрілості організації, специфіки її діяльності і ряду інших чинників. Таким чином, неможливо запропонувати якусь єдину, прийнятну для всіх вітчизняних компаній і організацій, універсальну методику, відповідну певної концепції управління ризиками. У кожному окремому випадку доводиться адаптувати загальну методику аналізу ризиків та управління ними під конкретні потреби підприємства з урахуванням специфіки його функціонування та ведення бізнесу. Розглянемо спочатку типові питання та проблеми, що виникають при розробці таких методик, можливі підходи до вирішення цих проблем, а потім обговоримо приклади адаптації та розробки відповідних корпоративних методик.

Таким чином, облік ризиків повинен бути:

- недорогих;

- профільними;

- ефективним;

- масштабованим;

- керованим;

- легко адаптованим до системи;

- враховувати всі особливості побудованої мережі.

Компанія може придбати кращі технології з безпеки, які тільки можна купити за гроші, натренувати своїх людей так, що вони стануть ховати всі свої секрети, перш ніж піти вночі додому, і найняти охоронців в кращій охоронній фірмі на ринку. Але ця компанія все ще залишається повністю вразливою.

Самі люди можуть повністю слідувати кращій практиці з безпеки, рекомендованої експертами, по-рабськи встановлювати кожен знову з'явився рекомендований програмний продукт з безпеки і ретельно стежити за зміною своєї системи і стежити за випуском патчів. Але й вони все одно повністю уразливі.

Зведемо порівняльні характеристики методів до таблиці 4.1.


ПЕРЕЛІК ПОСИЛАНЬ

  1.  Мартемьянов Ю.Ф., Лазарева Т.Я. Экспертные методы принятия

решений: учебное пособие / Тамбов: Изд-во Тамб. гос. техн. ун-та, 2010.

2 Петренко С. А. Управление информационными рисками. Экономически оправданная безопасность / - М.: Компания АйТи ; ДМК Пресс, 2004.

3 Колпаков В.М. Теория и практика принятия управленческих решений: Учеб. пособие.- К.: МАУП, 2000.

4 Литвак И Г. - Экспертные оценки и принятие решений. М.: Патент, 1996.

5 Шаньгин В.Ф. Защита компьютерной информации. Эффективные методы средств. М.:ДМК Пресс, 2008. 544с.

6 Симонов С.В. Методологія аналізу ризиків в інформаційних системах // Конфідент. Захист інформації. - № 1. - 2001. - С. 72-76.

7 Общие рекомендации по обращению с рисками. Мохор В.В., Богданов. Изложение «ISO 31000:2009 Risk management – PRINCIPLES AND GUIDELINES» на русском языке. Журнал Бизнес и безопасность. №5/2011.

8 Міжнародні та національні стандарти в сфері інформаційної безпеки. Гладун А.Я. Журнал Бизнес и безопасность. №1/2012.

9 ISO 13335-3 Методы менеджмента безопасности информационных технологий

10 NIST SP 800-30:2002 Пособие по управлению рисками в системах информационных технологий

11 Сайт компанії «Інсайт консалтинг» - http://www.insight.co.uk/cramm/index.htm.

12 Сайт компанії «SecuirityVulns» - http://www.security.nnov.ru.


Функціональні класи

I група

II група

III група

FAU 

аудит, безпека

FIA   ідентифікація   та аутентифікація

FRU  використання ресурсів

FCO 

зв'язок

FPR  приватність

DP  

захист даних користувача

FPT  захист функцій безпеки об'єкта оцінки

FCS  криптографічний підтримка

FMT  управління безпекою

FTA 

 доступ до об'єкта оцінки

FTP  довірений маршрут / канал

      

    Рівень    ризику


 

А также другие работы, которые могут Вас заинтересовать

2580. Муравьиные системы: Оптимизация при помощи колонии взаимодействуюих агентов. 106 KB
  Муравьиные системы: Оптимизация при помощи колонии взаимодействующих агентов Marco Dorigo, Member, IEEE,Vittorio Maniezzo and Alberto Colorni Введение В этой статье описан новый эвристический алгоритм общего назначения, который может быть использован...
2581. ТУРИСТСКИЙ ПОТЕНЦИАЛ, КАК СРЕДСТВО РАЗВИТИЯ ТУРИЗМА В ГЕРМАНИИ 2.1 MB
  Изучить определение туризма его виды, формы и классификацию. Выяснить сущность туристского потенциала. Определить особенности туристского потенциала Германии. Провести сегментирование рынка и выделить фокус – группу. Составить программу пребывания для группы туристов.