Сучасні технології аналізу ризиків в інформаційних системах
Метою аналізу ризиків, пов'язаних з експлуатацією інформаційних систем (ІС), є оцінка загроз (т. Е. Умов і факторів, які можуть стати причиною порушення цілісності системи, її конфіденційності, а також полегшити несанкціонований доступ до неї) і вразливостей (слабких місць в захисту, які уможливлюють реалізацію загрози), а також визначення комплексу контрзаходів, що забезпечує достатній рівень захищеності ІС. При оцінюванні ризиків враховуються багато факторів: цінність ресурсів, значимість загроз, вразливостей, ефективність наявних і запланованих засобів захисту і багато іншого.
Сучасні технології аналізу ризиків в Росії використовуються порівняно рідко. Основна причина такого становища полягає в тому, що в керівних документах (РД Держтехкомісії) не розглядаються аспект ризиків, їх допустимий рівень і відповідальність за прийняття певного рівня ризиків. Інформаційна система, в залежності від свого класу, повинна мати підсистемою безпеки з конкретними формальними властивостями. Аналіз ризиків, як правило, виконується формально, з використанням довільних методик. У розвинених країнах це не так. Наприклад, в американському глосарії з безпеки можна знайти термін Designated Approving Authority - особа, уповноважена прийняти рішення про допустимість певного рівня ризиків. Питанням аналізу ризиків приділяється серйозна увага: десятиліттями збирається статистика, удосконалюються методики.
Проте нинішнє становище починає змінюватися. Серед вітчизняних фахівців служб інформаційної безпеки (ІБ) зріє розуміння необхідності проведення такої роботи. В першу чергу це відноситься до банків і великим комерційним структурам, т. Е. До тих, які серйозно піклуються про безпеку своїх інформаційних ресурсів.
Основні підходи до аналізу ризиків
В даний час використовуються два підходи до аналізу ризиків - базовий і повний варіант. Вибір залежить від оцінки власниками цінності своїх інформаційних ресурсів і можливих наслідків порушення режиму інформаційної безпеки. У найпростішому випадку власники інформаційних ресурсів можуть не оцінювати ці параметри. Мається на увазі, що цінність ресурсів з точки зору організації не є надмірно високою. У цьому випадку аналіз ризиків проводиться за спрощеною схемою: розглядається стандартний набір найбільш поширених загроз без оцінки їх ймовірності і забезпечується мінімальний або базовий рівень ІБ.
Повний варіант аналізу ризиків застосовується в разі підвищених вимог до ІБ. На відміну від базового варіанту в тому чи іншому вигляді оцінюються ресурси, характеристики ризиків і вразливостей. Як правило, проводиться аналіз співвідношення вартість / ефективність декількох варіантів захисту.
Таким чином, при проведенні повного аналізу ризиків необхідно:
- визначити цінність ресурсів;
- додати до стандартного набору список загроз, актуальних для досліджуваної інформаційної системи;
- оцінити ймовірність загроз;
- визначити вразливість ресурсів;
- запропонувати рішення, що забезпечує необхідний рівень ІБ.
Методологія аналізу ризиків в ІС з підвищеними вимогами в області ІБ
При виконанні повного аналізу ризиків доводиться вирішувати ряд складних проблем: як визначити цінність ресурсів? як скласти повний список загроз ІБ і оцінити їх параметри? як правильно вибрати ефективні контрзаходи?
Процес аналізу ризиків ділиться на кілька етапів:
- ідентифікація інформаційних ресурсів;
- вибір критеріїв оцінки і визначення потенційного негативного впливу на ресурси і додатки;
- оцінка загроз;
- оцінка вразливостей;
- оцінка ризиків;
- оцінка ефективності існуючих і передбачуваних засобів забезпечення інформаційної безпеки.
Процедура аналізу ризиків
На основі аналізу ризиків вибираються засоби, що забезпечують режим ІБ. Ресурси, значимі для бізнесу і мають певну ступінь уразливості, піддаються ризику, якщо по відношенню до них існує якась загроза. При оцінці ризиків враховуються потенційний негативний вплив від небажаних пригод і показники значущості розглянутих вразливостей і загроз.
Ризик характеризує небезпеку, якій може піддаватися система і використовує її організація.
Ступінь ризику залежить від ряду факторів:
- цінності ресурсів;
- ймовірності реалізації загроз;
- простоти використання уразливості для реалізації загроз;
- існуючих або планованих до впровадження засобів забезпечення ІБ, які зменшують число вразливостей, ймовірність виникнення загроз і можливість негативних впливів.
Визначення цінності ресурсів
Ресурси зазвичай поділяються на кілька класів - наприклад, фізичні, програмні ресурси, дані. Для кожного класу необхідна своя методика визначення цінності елементів, що допомагає вибрати відповідний набір критеріїв. Ці критерії служать для опису потенційного збитку, пов'язаного з порушенням конфіденційності і цілісності ІС, рівня її доступності.
Фізичні ресурси оцінюються з точки зору вартості їх заміни або відновлення працездатності. Ці вартісні розміри потім перетворюються в рангову (якісну) шкалу, яка використовується також для інформаційних ресурсів. Програмні ресурси оцінюються тим же способом, що і фізичні, на основі визначення витрат на їх придбання або відновлення.
Якщо для інформаційного ресурсу існують особливі вимоги до конфіденційності або цілісності (наприклад, якщо вихідний текст має високу комерційну цінність), то оцінка цього ресурсу проводиться за тією ж схемою, т. Е. У вартісному вираженні.
Крім критеріїв, що враховують фінансові втрати, комерційні організації можуть застосовувати критерії, що відображають:
- збиток репутації організації;
- неприємності, пов'язані з порушенням чинного законодавства;
- збиток для здоров'я персоналу;
- збиток, пов'язаний з розголошенням персональних даних окремих осіб;
- фінансові втрати від розголошення інформації;
- фінансові втрати, пов'язані з відновленням ресурсів;
- втрати, пов'язані з неможливістю виконання зобов'язань;
- збиток від дезорганізації діяльності.
Можуть використовуватися й інші критерії залежно від профілю організації. Наприклад, в урядових установах вдаються до критеріїв, що відображає специфіку національної безпеки і міжнародних відносин.
Оцінка характеристик факторів ризику
Ресурси повинні бути проаналізовані з точки зору оцінки впливу можливих атак (спланованих дій внутрішніх або зовнішніх зловмисників) і різних небажаних подій природного походження. Такі потенційно можливі події будемо називати загрозами безпеці. Крім того, необхідно ідентифікувати уразливості - слабкі місця в системі захисту, які уможливлюють реалізацію загроз.
Імовірність того, що загроза реалізується, визначається наступними основними факторами:
- привабливістю ресурсу (цей показник враховується при розгляді загрози навмисного впливу з боку людини);
- можливістю використання ресурсу для отримання доходу (показник враховується при розгляді загрози навмисного впливу з боку людини);
- простотою використання уразливості при проведенні атаки.
Технологія аналізу ризиків
Існує безліч методик аналізу ризиків. Деякі з них засновані на досить простих табличних методах і не припускають застосування спеціалізованого ПЗ, інші, навпаки, його використовують.
В табличних методах можна наочно відобразити зв'язок факторів негативного впливу (показників ресурсів) і ймовірностей реалізації загрози з урахуванням показників вразливостей. Зразок таблиці наводиться нижче.
Подібні методи зводяться до кількох нескладних кроків. Ось приклад одного з таких методів.
На першому кроці оцінюється негативний вплив (показник ресурсу) за заздалегідь визначеною шкалою (скажімо, від 1 до 5) для кожного ресурсу, яким загрожує небезпека (ряд b в таблиці).
На другому - за тією ж шкалою оцінюється ймовірність реалізації кожної загрози.
На третьому кроці обчислюється показник ризику. У найпростішому варіанті методики це робиться шляхом множення (b · c). Однак необхідно пам'ятати, що операція множення визначена для кількісних шкал. Для рангових (якісних) параметрів, якими є показник негативного впливу і ймовірність реалізації загрози, показник ризику в разі, якщо b = 1, c = 3, зовсім не обов'язково буде еквівалентний b = 3, c = 1. Відповідно повинна бути розроблена методика оцінки показників ризиків стосовно конкретної організації.
На четвертому кроці загрози ранжуються за значенням їх фактора ризику.
У розглянутому прикладі для позначення найменшого негативного впливу і найменшої імовірності реалізації обраний показник 1.
Дана процедура дозволяє порівнювати і ранжувати за пріоритетом загрози з різними негативними впливами і можливостями реалізації.
Застосування будь-яких інструментальних засобів не є обов'язковим, однак дозволяє зменшити трудомісткість аналізу ризиків та вибору контрзаходів. В даний час на ринку є близько двох десятків програмних продуктів для аналізу ризиків: від найпростіших, орієнтованих на базовий рівень безпеки, до складних і дорогих, що дозволяють реалізувати повний варіант аналізу ризиків і вибрати комплекс контрзаходів необхідної ефективності.
Програмні засоби, необхідні для повного аналізу ризиків, будуються з використанням структурних методів системного аналізу і проектування (SSADM, Structured Systems Analysis and Design) і являють собою інструментарій для виконання наступних операцій:
- побудови моделі ІС з позиції ІБ;
- оцінки цінності ресурсів;
- складання списку загроз і вразливостей, оцінки їх характеристик;
- вибору контрзаходів і аналізу їх ефективності;
- аналізу варіантів побудови захисту;
- документування (генерація звітів).
Прикладами програмних продуктів цього класу є CRAMM (розробник - компанія Logica, Великобританія), MARION (розробник CLUSIF, Франція), RiskWatch (США).
Обов'язковим елементом цих продуктів є база даних, яка містить інформацію по інцидентах в області ІБ, що дозволяє оцінити ризики і уразливості, ефективність різних варіантів контрзаходів в певній ситуації.
Принципи, покладені в основу методик. Межі застосування методик
Один з можливих підходів до розробки подібних методик - накопичення статистичних даних про реальних подіях, аналіз і класифікація їх причин, виявлення факторів ризику. На основі цієї інформації можна оцінити загрози та вразливості в інших інформаційних системах.
Практичні складності в реалізації цього підходу такі.
По-перше, повинен бути зібраний досить великий матеріал про події в цій галузі.
По-друге, застосування цього підходу виправдано далеко не завжди. Якщо інформаційна система досить велика (містить багато елементів, розташована на великій території), має давню історію, то подібний підхід швидше за все застосуємо. Якщо система порівняно невелика, використовує тільки новітні елементи технології (для яких поки немає достатньої статистики), оцінки ризиків та вразливостей можуть виявитися недостовірними.
Альтернативою статистичного підходу є підхід, заснований на аналізі особливостей технології. Втім, він також не універсальний: темпи технологічного прогресу в області ІТ такі, що наявні оцінки відносяться до вже застарілим або устаревающим технологіям, для новітніх технологій таких оцінок поки не існує.
Один з найбільш відомих продуктів цього класу, CRAMM, розглянуто нижче.
Метод CRAMM. історія створення методу
У 1985 р Центральне агентство з комп'ютерів і телекомунікацій (CCTA) Великобританії початок дослідження існуючих методів аналізу ІБ для того, щоб рекомендувати найбільш придатні для використання в урядових установах, зайнятих обробкою несекретной, але критичної інформації. Жоден з розглянутих варіантів не підійшов. Тому був розроблений новий метод, який відповідає вимогам CCTA. Він отримав назву CRAMM - метод CCTA аналізу та контролю ризиків. Потім з'явилося кілька його версій, орієнтованих на вимоги міністерства оборони, цивільних державних установ, фінансових структур, приватних організацій. Одна з версій, "комерційний профіль", є комерційним продуктом. В даний час продається версія CRAMM 4.0.
Метою розробки методу було створення формалізованої процедури, що дозволяє:
- переконатися, що вимоги, пов'язані з безпекою, повністю проаналізовані і задокументовані;
- уникнути витрат на зайві заходи безпеки, можливі при суб'єктивній оцінці ризиків;
- надавати допомогу в плануванні і здійсненні захисту на всіх стадіях життєвого циклу інформаційних систем;
- забезпечити проведення робіт в стислі терміни;
- автоматизувати процес аналізу вимог безпеки;
- представити обґрунтування для заходів протидії;
- оцінювати ефективність контрзаходів, порівнювати різні варіанти контрзаходів;
- генерувати звіти.
Концепція, покладена в основу методу
Аналіз ризиків включає в себе ідентифікацію та обчислення рівнів (заходів) ризиків на основі оцінок, присвоєних ресурсів, погроз і вразливостей ресурсів.
Контроль ризиків полягає в ідентифікації та виборі контрзаходів, що дозволяють знизити ризики до прийнятного рівня.
Формальний метод, заснований на цій концепції, дозволяє переконатися, що захист охоплює всю систему і є впевненість в тому, що всі можливі ризики ідентифіковані; уразливості ресурсів і загрози ідентифіковані та їх рівні оцінені; контрзаходи ефективні; витрати, пов'язані з ІБ, виправдані.
Дослідження ІБ системи за допомогою СRAMM проводиться в три стадії.
Стадія 1: аналізується все, що стосується ідентифікації та визначення цінності ресурсів системи. По завершенні цієї стадії замовник дослідження буде знати, чи достатньо йому існуючої традиційної практики або він потребує проведення повного аналізу ризиків.
Стадія починається з рішення задачі визначення меж досліджуваної системи. Для цього накопичується інформація про те, хто відповідає за фізичні і програмні ресурси, хто входить в число користувачів системи і як вони її застосовують або будуть застосовувати, а також відомості про конфігурацію системи.
Первинна інформація збирається в процесі бесід з менеджерами проектів, менеджером користувачів або іншими співробітниками.
Проводиться ідентифікація ресурсів: фізичних, програмних і інформаційних, що містяться всередині кордонів системи. Кожен ресурс необхідно віднести до одного з визначених класів. Потім будується модель інформаційної системи з позиції ІБ. Для кожного інформаційного процесу, що має, на думку користувача, самостійне значення і званого призначеним для користувача сервісом (еnd-userservice), будується дерево зв'язків використовуваних ресурсів. Побудована модель дозволяє виділити критичні елементи.
Цінність фізичних ресурсів в даному методі визначається вартістю їх відновлення в разі руйнування.
Цінність даних і програмного забезпечення визначається в наступних ситуаціях:
- недоступність ресурсу протягом певного періоду часу;
- руйнування ресурсу - втрата інформації, отриманої з часу останнього резервного копіювання, або її повне руйнування;
- порушення конфіденційності у випадках несанкціонованого доступу штатних співробітників або сторонніх осіб;
- модифікація - розглядається для випадків дрібних помилок персоналу (помилки введення), програмних помилок, навмисних помилок;
- помилки, пов'язані з передачею інформації: відмова від доставки, недоставляння інформації, доставка по невірному адресою.
Для оцінки можливого збитку рекомендується використовувати деякі з наступних параметрів:
- збиток репутації організації;
- порушення чинного законодавства;
- збиток для здоров'я персоналу;
- збиток, пов'язаний з розголошенням персональних даних окремих осіб;
- фінансові втрати від розголошення інформації;
- фінансові втрати, пов'язані з відновленням ресурсів;
- втрати, пов'язані з неможливістю виконання зобов'язань;
- дезорганізація діяльності.
Наведена сукупність параметрів вікорістовується в комерційному варіанті методу. В других версіях сукупність буде Інший. Так, в версію, яка використовується в урядових установах, додаються параметри, що відображають національну безпеку і міжнародні відносини.
Для даних і програмного забезпечення вибираються застосовні до даної ІС критерії, дається оцінка збитку за шкалою зі значеннями від 1 до 10.
Наприклад, якщо дані містять подробиці комерційної конфіденційної (критичною) інформації, експерт, який проводить дослідження, задає питання: як може вплинути на організацію несанкціонованого доступу сторонніх осіб до цієї інформації?
Можливий такий відповідь: провал відразу за кількома параметрами з перерахованих вище, причому кожен аспект варто було б розглянути докладніше і привласнити йому найвищу з можливих оцінок.
Стадія 2: розглядається все, що відноситься до ідентифікації та оцінки рівнів загроз для груп ресурсів і їх вразливостей. В кінці стадії замовник отримує ідентифіковані і оцінені рівні ризиків для своєї системи.
На цій стадії оцінюються залежність призначених для користувача сервісів від певних груп ресурсів і існуючий рівень загроз і вразливостей, обчислюються рівні ризиків і аналізуються результати.
Ресурси групуються за типами загроз і вразливостей. Наприклад, в разі існування загрози пожежі або крадіжки в якості групи ресурсів розумно розглянути всі ресурси, що знаходяться в одному місці (серверний зал, кімната засобів зв'язку і т. Д.).
Оцінка рівнів загроз і вразливостей проводиться на основі дослідження непрямих факторів. Програмне забезпечення CRAMM для кожної групи ресурсів і кожного з 36 типів загроз генерує список питань, що допускають однозначну відповідь.
Рівень загроз оцінюється, в залежності від відповідей, як дуже високий, високий, середній, низький і дуже низький.
Рівень уразливості оцінюється, в залежності від відповідей, як високий, середній і низький.
Можливе проведення корекції результатів або використання інших методів оцінки.
На основі цієї інформації розраховуються рівні ризиків в дискретної шкалою з градаціями від 1 до 7.
Отримані рівні загроз, вразливостей і ризиків аналізуються і узгоджуються з замовником. Тільки після цього можна переходити до третьої стадії методу.
Стадія 3: пошук адекватних контрзаходів. По суті, це пошук варіанту системи безпеки, найкращим чином задовольняє вимогам замовника. По завершенні стадії він буде знати, як слід модифікувати систему для вжиття заходів ухилення від ризику, а також для вибору спеціальних заходів протидії, що ведуть до зниження або мінімізації залишилися ризиків.
На цій стадії CRAMM генерує кілька варіантів заходів протидії, адекватних виявленим ризикам і їх рівнями. Контрзаходи можна об'єднати в три категорії: близько 300 рекомендацій загального плану; більше 1000 конкретних рекомендацій; близько 900 прикладів того, як можна організувати захист в даній ситуації.
На цій стадії можна провести порівняльний аналіз ефективності різних варіантів захисту.
Укладення
Розглянута методологія аналізу ризиків та управління ними повністю застосовна і в російських умовах, незважаючи на те, що показники захищеності від несанкціонованого доступу до інформації та вимоги щодо захисту інформації різняться в російських РД і зарубіжних стандартах.
Особливо корисним є використання інструментальних засобів типу методу CRAMM при проведенні аналізу ризиків інформаційних систем з підвищеними вимогами в області ІБ. Це дозволяє отримувати обгрунтовані оцінки ризиків, вразливостей, ефективності захисту. Істотним достоїнством таких методів є можливість проведення дослідження в стислі терміни з документуванням результатів.
З автором статті можна зв'язатися по електронній пошті: [email protected].
Версія для друку
Тільки зареєстровані Користувачі могут залішаті Коментарі.
К скласти повний список загроз ІБ і оцінити їх параметри?К правильно вибрати ефективні контрзаходи?