Як визначити джерела загроз?
Сергій Вихорев, Роман Кобцев
Відкриті системи No.7-8 / 2002
Перш ніж приступити до створення системи інформаційної безпеки, необхідно оцінити які загрози є найбільш актуальними. Дана стаття є введенням у велику проблему методології оцінки загроз інформаційній безпеці.
До того, що мало-мальськи солідна захист інформації повинна носити комплексний характер, люди вже поступово звикли. Однак, організація забезпечення безпеки інформації повинна не просто носити комплексний характер, але ще і грунтуватися на глибокому аналізі можливих негативних наслідків. При цьому важливо не упустити будь-які істотні аспекти. Все більше в минуле відходить марне нагромадження різних засобів захисту як реакція на першу хвилю страху перед комп'ютерними злочинами.
Сьогодні комплексна система безпеки інформації це не просто комплекс засобів, а комплекс заходів, спрямованих на запобігання втрати інформації.
Компанії більше не хочуть викидати гроші на вітер, вони хочуть купувати тільки те, що їм дійсно необхідно для побудови надійної системи захисту інформації та при цьому з мінімальними витратами. А щоб не стріляти з гармати по горобцях або не кидатися з пістолетом на танк необхідно знати про характер можливих небезпек. Ще В. Г. Бєлінський відзначав, що "знайти причину зла - майже те саме, що знайти проти нього ліки". Наприклад, чи потрібно на комп'ютер керівника організації нагромаджувати купу засобів захисту від несанкціонованого доступу, якщо він і в окремому кабінеті стоїть, і кабінет закритий, а навколо ще й вартові стоять?
З іншого боку, не завадило б поговорити про те, як вивчати небезпеки. Можна, наприклад, з криком "Ура" кинутися на всі граблі відразу, і потім кожну нову "шишку на лобі" "заклеювати" новими сканерами, міжмережевими екранами і VPN. В результаті, звичайно, можна отримати надійну, перевірену захист, з якої ваш бізнес може спати спокійно, якщо, звичайно, після всього цього у вас ще залишаться кошти на продовження економічної діяльності. Можна повчитися на чужих помилках. Але, по-перше, вчитися на чужих помилках у нашого народу взагалі не прийнято, а по-друге, хто ж про свої помилки розповість? Залишається спочатку представити всі можливі варіанти, а потім відібрати найбільш застосовні до конкретного випадку. Тут знову-таки альтернатива: або використовувати накопичений банк даних вже трапилися варіантів проявів загроз (і не бути до кінця впевненим, що всі варіанти вже перевірені), або спробувати створити методологічний інструмент формування поля можливих проявів загроз, заснований на вивченні всіх факторів, що впливають і дозволяє розглянути навіть самі малоймовірні варіанти. Наприклад, в США тільки після трагічних подій 11 вересня 2001 року в цивільних літаках стали ставити броньовані двері в кабіни пілотів, в той час як в СРСР, цей загрозливий стан передбачали ще на зорі становлення цивільної авіації.
Однак не будемо лукавити і стверджувати, що в природі немає методик проведення аналізу ризиків. Наприклад, в нашій компанії консалтинг в області інформаційної безпеки є серйозним напрямом, і нами був найретельнішим чином вивчений досвід колег в даному питанні. Але всі наявні на сьогоднішній день методики (на жаль, переважно іноземні) дозволяють отримати тільки якісну оцінку. Це, наприклад, такі методики як Guide to BS 7799 risk assessment and risk management. - DISC, PD 3002, 1998., Guide to BS 7799 auditing.о - DISC, PD 3004, 1998. (на основі стандартів BS 7799 і ISO / IEC 17799-00). У даних методиках оцінка безпеки інформації проводиться з 10 ключових контрольних точках, які являють собою або обов'язкові вимоги (вимоги чинного законодавства), або вважаються основними структурними елементами інформаційної безпеки (наприклад, навчання правилам безпеки). Ці контрольні точки застосовні до всіх організацій. До них відносяться:
- документ про політику інформаційної безпеки;
- розподіл обов'язків по забезпеченню інформаційної безпеки;
- навчання та підготовка персоналу до підтримки режиму інформаційної безпеки;
- повідомлення про випадки порушення захисту;
- засоби захисту від вірусів;
- планування безперебійної роботи організації;
- контроль копіювання ПО, захищеного законом про авторське право;
- захист документації організації;
- захист даних;
- контроль відповідності політиці безпеки.
Процедура аудиту безпеки ІС включає в себе перевірку наявності перелічених ключових точок, оцінку повноти та правильності їх реалізації, а також аналіз їх адекватності існуючим ризикам. Такий підхід може дати відповідь тільки на рівні "це добре, а це погано", а питання "на скільки погано або добре", "до якої міри критично або некритично" залишаються без відповіді. Тому сьогодні виникла необхідність вироблення такої методики, яка видавала б керівнику кількісний підсумок, повну картину ситуації, цифрами підтверджуючи рекомендації фахівців, що відповідають за забезпечення безпеки інформації в компанії. Розглянемо, що ж лягло в основу такої методики.
Егоїзм править світом, і тому вся діяльність всіх організацій щодо забезпечення інформаційної безпеки спрямована тільки на те, щоб не допустити збитків від втрати конфіденційної інформації. Відповідно, вже передбачається наявність цінної інформації, через втрату якої компанія може зазнати збитків і завдяки нехитрим логічним вигадкам ми отримуємо ланцюжок:
джерело загрози - фактор (вразливість) - загроза (дія) - наслідки (атака).
Сьогодні загрозу безпеці інформації ототожнюють зазвичай або з характером (видом, способом) дестабілізуючого впливу на інформацію, або з наслідками (результатами) такого впливу. Однак, практика свідчить, що про те, що такого роду складні терміни можуть мати велику кількість трактувань і можливий інший підхід до визначення загрози безпеці інформації, що базується на понятті "загроза". "Загроза" - намір завдати фізичної, матеріальної чи іншої шкоди суспільним чи особистим інтересам, можлива небезпека (С. І. Ожегов, Словник російської мови), інакше кажучи, поняття загроза жорстко пов'язано з юридичною категорією "збиток" - фактичні витрати, понесені суб'єктом в результаті порушення його прав (наприклад, розголошення або використання порушником конфіденційної інформації), втрати або пошкодження майна, а також витрати, які він повинен буде зробити для відновлення порушеного права і вартості пошкоджений ного або втраченого майна (ГК ФР, частина I, ст.15). Аналіз негативних наслідків реалізації загроз передбачає обов'язкову ідентифікацію можливих джерел загроз, вразливостей, що сприяють їх прояву і методів реалізації. І тоді ланцюжок виростає в схему, представлену на рис. 1.
Мал. 1.
В ході аналізу необхідно переконатися, що всі можливі джерела загроз і вразливості ідентифіковані і зіставлені один з одним, а всім ідентифікованим джерел загроз і вразливостей (факторів) зіставлені методи реалізації. При цьому важливо мати можливість, при необхідності, не змінюючи самого методичного інструментарію, вводити нові види джерел загроз, методів реалізації, вразливостей, які стануть відомі в результаті розвитку знань у цій області.
Загрози класифікуються за можливості нанесення шкоди суб'єкту відносин при порушенні цілей безпеки. Збиток може бути заподіяна будь-яким суб'єктом (злочин, вина або недбалість), а також стати наслідком, незалежних від суб'єкта проявів. Погроз не так вже й багато:
- при забезпеченні конфіденційності інформації:
- розкрадання (копіювання) інформації і засобів її обробки
- втрата (ненавмисна втрата, витік) інформації
- при забезпеченні цілісності інформації:
- модифікація (спотворення) інформації
- заперечення автентичності інформації
- нав'язування неправдивої інформації
- при забезпеченні доступності інформації:
- блокування інформації
- знищення інформації і засобів її обробки
Всі джерела погроз можна розділити на класи, обумовлені типом носія, а класи на групи за місцем розташування (Рис. 2).
Уразливості також можна розділити на класи за належністю до джерела вразливостей, а класи на групи і підгрупи по проявах (рис. 3).
Методи реалізації можна розділити на групи за способами реалізації (рис. 4). При цьому необхідно враховувати, що саме поняття "метод", може бути застосовано тільки при розгляді реалізації загроз антропогенними джерелами. Для техногенних та стихійних джерел, це поняття трансформується в поняття "передумова".
Класифікація можливостей реалізації загроз (атак), являє собою сукупність можливих варіантів дій джерела загроз певними методами реалізації з використанням вразливостей, які призводять до реалізації цілей атаки. Мета атаки може не збігатися з метою реалізації загроз і може бути спрямована на отримання проміжного результату, необхідного для досягнення надалі реалізації загрози. У разі такого неспівпадання атака розглядається як етап підготовки до вчинення дій, спрямованих на реалізацію загрози, тобто як "підготовка до вчинення" протиправної дії. Результатом атаки є наслідки, які є реалізацією загрози і / або сприяють такої реалізації.
Сам підхід до аналізу й оцінки стану безпеки інформації грунтується на обчисленні вагових коефіцієнтів небезпеки для джерел загроз і вразливостей, порівняння цих коефіцієнтів з наперед заданим критерієм і послідовному скороченні (виключення) повного переліку можливих джерел загроз і вразливостей до мінімально актуального для конкретного об'єкта.
Вихідними даними для проведення оцінки та аналізу (рис. 5) служать результати анкетування суб'єктів відносин, спрямовані на з'ясування спрямованості їх діяльності, передбачуваних пріоритетів цілей безпеки, завдань, що вирішуються АС та умов розташування та експлуатації об'єкта. Завдяки такому підходу можливо:
- встановити пріоритети цілей безпеки для суб'єкта відносин;
- визначити Перелік актуальних джерел загроз;
- визначити Перелік актуальних вразливостей;
- оцінити взаємозв'язок загроз, джерел загроз та вразливостей;
- визначити Перелік можливих атак на об'єкт;
- описати можливі наслідки реалізації загроз.
Результати проведення оцінки та аналізу можуть бути використані при виборі адекватних оптимальних методів парирування загрозам, а також при аудиті реального стану інформаційної безпеки об'єкта для цілей його страхування.
При визначенні актуальних загроз, експертно-аналітичним методом визначаються об'єкти захисту, схильні до дії тієї чи іншої загрози, характерні джерела цих загроз і вразливості, що сприяють реалізації загроз.
На підставі аналізу складається матриця взаємозв'язку джерел загроз і вразливостей з якої визначаються можливі наслідки реалізації загроз (атаки) і обчислюється коефіцієнт небезпеки цих атак як твір коефіцієнтів небезпеки відповідних загроз і джерел загроз, визначених раніше.
Запропонована класифікація може служити основою для вироблення методики оцінки актуальності тієї чи іншої загрози, а вже по виявленню найбільш актуальних загроз можуть вживатися заходи щодо вибору методів і засобів для їх парирування.
Як зазначав С. Далі, "Не бійся досконалості, тобі його НЕ досягти" - все сказане є нашим суто суб'єктивною думкою і не є панацеєю при побудові системи безпеки інформації. Однак потрібно завжди прагнути до досконалості і принцип системного підходу до вирішення питань інформаційної безпеки дозволяє закласти комплекс заходів по парирування загроз безпеки інформації вже на стадії проектування захищеної мережі, тим самим позбавивши себе від зайвих витрат надалі.
Сергій Вихорев ( [email protected] ), Роман Кобцев, співробітники ВАТ "Елвіс Плюс" (Москва)
Але, по-перше, вчитися на чужих помилках у нашого народу взагалі не прийнято, а по-друге, хто ж про свої помилки розповість?