1.1.4. Стандарт score
SCORE (Security Consensus Operational Readiness Evaluation) является совместным проектом института SANS и Центра безопасности Интернет (CIS). Различные организации объединились в рамках проекта SCORE для разработки базового множества практических стандартов по обеспечению безопасности для различных операционных платформ. Требования и рекомендации широко обсуждаются и проверяются участниками проекта SCORE, и только после этого передаются в CIS, который занимается их формализацией и оформлением, а также разрабатывает программные средства для оценки соответствия операционных платформ предложенным стандартам [45]. Практические стандарты и руководства по обеспечению информационной безопасности, разрабатываемые в рамках проекта SCORE, ориентированны на технических специалистов и являются в техническом плане наиболее совершенными в настоящее время.
Методика оценки рисков, предложенная институтом SANS, прежде всего, связана с возможностью осуществления сетевых воздействий. Воздействия разной степени критичности требуют разного уровня реагирования (рис. 1.2).
Критичность воздействия (Severity) определяется величиной риска, связанного с ее осуществлением, который определяется вероятностью успешной реализации этого воздействия и величиной потенциального ущерба.
Рис. 1.2. Схема зависимостей свойств СОИ при оценке риска по методике SANS
Величина ущерба определяется критичностью ресурсов (Criticality), на которые направлено воздействие.
Вероятность успешного осуществления воздействия (Lethality) определяется эффективностью методов и величиной уязвимости.
Величина уязвимости определяется эффективностью контрмер системного (System countermeasures) и сетевого уровня (Network countermeasures), используемых для противодействия данному виду угроз.
1.1.5. Метод cramm
Метод CRAMM (the UK Goverment Risk Analysis and Managment Method) был разработан Службой Безопасности Великобритании (UK Security Service) no заданию Британского правительства и взят на вооружение в качестве государственного стандарта [43]. Он используется, начиная с 1985 г. правительственными и коммерческими организациями Великобритании. В основе метода CRAMM лежит комплексный подход к оценке рисков, сочетающий количественные и качественные методы анализа. Метод является универсальным и подходит как для больших, так и для мелких организаций, как правительственного, так и коммерческого сектора (рис. 1.3).
Версии CRAMM, ориентированные на разные типы организаций, отличаются друг от друга своими базами знаний (profiles). Для коммерческих организаций имеется Коммерческий профиль (Commercial Profile), для правительственных организаций - Правительственный профиль (Government Profile).
Грамотное использование метода CRAMM позволяет получать очень хорошие результаты, наиболее важным из которых, пожалуй, является возможность экономического обоснования расходов организации на обеспечение информационной безопасности и непрерывности бизнеса. Экономически обоснованная стратегия управления рисками позволяет, в конечном итоге, экономить средства, избегая неоправданных расходов.
Методика CRAMM предполагает разделение всей процедуры на три последовательных этапа.
Рис. 1.3. Концептуальная схема обследования мо методу CRAMM
На первом этапе необходимо определить - достаточно ли для защиты системы применения средств базового уровня, реализующих традиционные функции безопасности, или необходимо проведение более детального анализа.
На втором этапе производится идентификация рисков и оценивается их величина.
На третьем этапе решается вопрос о выборе адекватных контрмер для каждого этапа определяет набор исходных данных, последовательность мероприятий, анкеты для проведения интервью, списки проверки и набор отчетных документов.
На первой стадии исследования производится идентификация и определение ценности защищаемых ресурсов, а также ущерба от реализации угроз ИБ.
Для оценки возможного ущерба по методу CRAMM рекомендуется использовать некоторые из следующих критериев [44]:
- ущерб репутации организации;
- нарушение действующего законодательства;
- ущерб для здоровья персонала;
- ущерб, связанный с разглашением персональных данных отдельных лиц;
- финансовые потери от разглашения информации;
- финансовые потери, связанные с восстановлением ресурсов;
- потери, связанные с невозможностью выполнения обязательств;
- дезорганизация деятельности.
Оценка ущерба в данном случае проводиться по дискретной шкале со значениями от 1 до 10 [43]. К примеру, если данные содержат подробности коммерческой конфиденциальной (критичной) информации, эксперт, проводящий исследование, задает вопрос: как может повлиять на организацию несанкционированный доступ посторонних лиц к этой информации? Возможен такой ответ: провал сразу по нескольким параметрам из перечисленных выше, причем каждый аспект следовало бы рассмотреть подробнее и присвоить самую высокую из возможных оценок. Рассмотрим примеры шкал оценки ущерба в зависимости от описанных выше критериев.
Финансовые потери, связанные с восстановлением ресурсов оцениваются по следующей шкале.
Таблица 1.2
Шкала оценок ущерба по методу CRAMM
Балл |
Ущерб (USD) |
2 |
Менее 1000 |
6 |
От 1000 до 10 000 |
8 |
От 10 000 до 100 000 |
10 |
Свыше 1 00 000 |
Ущерб, связанный с репутации организации (табл. 1.3).
Таблица 1.3
Шкала оценок ущерба по методу CRAMM
Балл |
Ущерб |
2 |
негативная реакция отдельных чиновников, общественных деятелей |
4 |
критика в средствах массовой информации, не имеющая широкого общественного резонанса |
6 |
негативная реакция отдельных депутатов Думы, Совета Федерации |
8 |
критика в средствах массовой информации, имеющая последствия в виде крупных скандалов, парламентских слушаний, широкомасштабных проверок и т.п. |
10 |
негативная реакция на уровне Президента и Правительства |
Ущерб для здоровья персонала (табл. 1.4).
Таблица 1.4
Шкала оценок ущерба по методу CRAMM
Балл |
Ущерб |
2 |
минимальный ущерб (последствия не связаны с госпитализаций или длительным лечением) |
4 |
ущерб среднего размера (необходимо лечение для одного или нескольких сотрудников, но длительных отрицательных последствий нет) |
6 |
серьезные последствия (длительная госпитализация, инвалидность одного или нескольких сотрудников) |
10 |
гибель людей |
Дезорганизация деятельности в связи с недоступностью данных (табл. 1.5).
Таблица 1.5
Шкала оценок ущерба по методу CRAMM
Балл |
Ущерб |
2 |
отсутствие доступа к информации до 15 минут
|
4 |
отсутствие доступа к информации до 1 часа
|
6 |
отсутствие доступа к информации до 3 часов
|
8 |
отсутствие доступа к информации от 12 часов
|
10 |
отсутствие доступа к информации более суток
|
При низкой оценке по всем используемым критериям считается, что рассматриваемая система требует базового уровня защиты, и вторая стадия исследования пропускается.
На второй стадии идентифицируются и оцениваются угрозы в сфере информационной безопасности, производится поиск и оценка уязвимостей защищаемой системы. Уровень угроз оценивается по следующей шкале: очень высокий, высокий, средний, низкий, очень низкий. Уровень уязвимости оценивается как высокий, средний или низкий. На основе этой информации вычисляется оценка уровня риска по семи бальной шкале.
На третьей стадии CRAMM генерирует варианты мер противодействия выявленным рискам. Продукт предлагает рекомендации следующих типов:
- рекомендации общего характера;
- конкретные рекомендации;
- примеры того, как можно организовать защиту.
CRAMM имеет обширную базу, содержащую описание около 1000 примеров реализации подсистем защиты различных компьютерных систем. Данные описания можно использовать в качестве шаблонов.