1.1.6. Стандарт SysTrust
Стандарт SysTrust был разработан Американским институт сертифицированных публичных бухгалтеров (AICPA) и Канадским институт общественных бухгалтеров (CICA), для проведения ИТ - аудита, который является дополнением к финансовому аудиту.
Спецификация SysTrust [45] в настоящее время достаточно широко используется аудиторскими компаниями, традиционно выполняющими финансовый аудит для своих клиентов и предлагающих услугу аудита информационных технологий в качестве дополнения к финансовому аудиту.
Основная идея состоит в том, что использование надежных и безопасных информационных технологий до определенной степени гарантирует надежность финансовой отчетности организации. Результаты информационного аудита в некоторых случаях позволяют проводить финансовый аудит в сокращенном варианте. В стандарте SysTrust ИТКС оценивается в терминах ее доступности, безопасности, целостности и эксплуатационной надежности. Под доступностью традиционно понимается возможность системы обработки информации предоставлять информационные сервисы в любых режимах функционирования и при любых нагрузках, предусмотренных условиями ее эксплуатация, с задержками, не превышающими установленные требования. Под безопасностью понимается защищенность системы обработки информации от физического и логического несанкционированного доступа. Под целостностью понимается возможность систему обработки информации обеспечить сохранение таких свойств обрабатываемой в системе информации как полнота, точность, актуальность, своевременность и аутентичность. Эксплуатационная надежность системы обработки информации определяется возможностью изменения конфигурации и обновления системы для обеспечения таких ее свойств как доступность, безопасность и целостность.
1.2. Методика оценки рисков информационной безопасности беспроводных телекоммуникационных систем
Оценка рисков является элементом анализа, когда различные риски сопоставляются и делается вывод о допустимом их уровне, первоочередных мероприятиях по повышению защиты, выбираются средства, обеспечивающие оптимальный режим ИБ. Анализ рисков, таким образом, дает необходимую информацию для системы управления рисками, в которой определяются контрмеры в зависимости от опасности. При выработке предложений по противодействию угрозам, в первую очередь, ставится задача обеспечения максимальной безопасности штатными средствами сети связи с привлечением при необходимости дополнительных средств.
Целью анализа является оценка величин отдельных рисков, угрожающих активам организации, определение наиболее значимых из них и выработка политики информационной безопасности (ИБ), определяющей приоритеты в реализации системы защиты.
Отметим, что в Российской Федерации для данных ТКС не разработано отдельной методики анализа и управления рисками информационной безопасности. Специфика беспроводных сетей этого стандарта отражается в используемых подходах к анализу рисков. Особенностью ИБ системы связи является то, что в результате атак, выполняемых через ее уязвимости, основной ущерб наносится как ресурсам самой системы связи, так и активам организации оператора сети связи в целом. При этом многие активы не имеют четкого денежного выражения (например, компрометация оператора). Это затрудняет, а в большинстве случаев делает невозможным более или менее точную количественную оценку ущерба. Поскольку априори данные о вероятностях реализации угроз и ущербах от них отсутствуют (отсутствие статистических данных), должна быть проведена оценка этих показателей по уровневым значениям на основе экспертной оценки. Оценку ущерба предлагается выполнить в соответствии с методом CRAMM.
Для выполнения экспертной оценки должна быть сформирована группа экспертов из числа наиболее квалифицированных специалистов, обладающих необходимой информацией. Группа должна насчитывать не менее 4 и не более 10 специалистов. При меньшем составе группы снижается точность оценки по причине недостаточной статистики, а при большей - из-за неоднородности группы (в плане владения информацией) и сложности интерпретации результатов.
На первом этапе процесса анализа рисков информационной безопасности необходимо определить вариант оценки – базовый (минимальный) или полный. В базовом (минимальном) подходе оценки риск определяется исходя из двух факторов: вероятность реализации угрозы и ущерб, нанесенный владельцу информации от реализации угроз. Полный вариант анализа рисков применяется в случае повышенных требований в области ИБ. В отличие от базового варианта в том или ином виде производится оценка ценности ресурсов, характеристик рисков и уязвимостей ресурсов. Как правило, проводится анализ стоимость/эффективность нескольких вариантов защиты. Таким образом, при проведении полного анализа рисков необходимо:
- определить ценность ресурсов;
- к стандартному набору добавить список угроз, актуальных для исследуемой информационной системы;
- оценить вероятность угроз;
- определить уязвимость ресурсов;
- предложить решение, обеспечивающее необходимый уровень ИБ.
На основе оценивания рисков выбираются средства, обеспечивающие режим ИБ. Ресурсы, значимые для организации и имеющие определенную степень уязвимости, подвергаются риску, если по отношению к ним существует какая-либо угроза. При оценивании рисков учитываются потенциальное негативное воздействие от нежелательных происшествий и показатели значимости рассматриваемых уязвимостей и угроз для них.
Риск характеризует опасность, которой может подвергаться система и использующая ее организация. Степень риска зависит от:
-показателей ценности ресурсов;
-вероятности реализации угроз;
-простоты использования уязвимости при возникновении угроз;
- существующих или планируемых к внедрению средств обеспечения ИБ, которые уменьшают уязвимости, сокращают вероятность возникновения угроз и негативных воздействий.
Определение ценности ресурсов. Ресурсы обычно подразделяются на несколько классов, например, физические программные и данные. Для каждого класса должна существовать своя методика оценки ценности элементов. Для оценки ценности ресурсов выбирается подходящая система критериев. Критерии должны позволять описать потенциальный ущерб, связанный с нарушением конфиденциальности, целостности, доступности. Ценность физических ресурсов оцениваются с точки зрения стоимости их замены или восстановления работоспособности. Эти стоимостные величины затем преобразуются в качественную шкалу, которая используется также для информационных ресурсов. Программные ресурсы оцениваются тем же способом, что и физические, на основе определения затрат на их приобретение или восстановление. Если для информационного ресурса существуют особенные требования к конфиденциальности или целостности (например, если исходный текст имеет высокую коммерческую ценность), то оценка этого ресурса производится по той же схеме, т.е. в стоимостном выражении. Кроме критериев, учитывающих финансовые потери, в коммерческих организациях могут присутствовать критерии, отражающие:
- ущерб репутации организации;
- неприятности, связанные с нарушением действующего законодательства;
- ущерб для здоровья персонала;
- ущерб, связанный с разглашением персональных данных отдельных лиц;
- финансовые потери от разглашения информации;
- финансовые потери, связанные с восстановлением ресурсов;
- потери, связанные с невозможностью выполнения обязательств;
- ущерб от дезорганизации деятельности.
В процессе экспертной оценки рисков информационной безопасности встает вопрос определения шкал оценок вероятностей угроз, уязвимостей, ущерба, показателя риска (экспертных суждений).
Для измерения рисков не существует естественной шкалы. Риски можно оценивать по объективным либо субъективным критериям. Примером объективного критерия является: вероятность выхода из строя какого-либо оборудования, например, ПК за определенный промежуток времени (объективная вероятность). Примером субъективного критерия является оценка владельцем информационного ресурса риска выхода из строя ПК (субъективная вероятность). Для этого обычно разрабатывается качественная шкала с несколькими градациями, например: низкий, средний, высокий уровни.
В методиках анализа рисков, как правило, используются субъективные критерии, измеряемые в качественных шкалах, поскольку:
- оценка должна отражать субъективную точку зрения владельца информационных ресурсов.
- должны быть учтены различные аспекты, не только технические, но и организационные, психологические, и т.д.
Под объективной (иногда называемой физической) вероятностью понимается относительная частота появления какого-либо события в общем объеме наблюдений или отношение числа благоприятных исходов к общему их количеству. Объективная вероятность возникает при анализе результатов большого числа наблюдений, имевших место в прошлом, а также как следствия из моделей, описывающих некоторые процессы. Под субъективной вероятностью понимается мера уверенности некоторого человека или группы людей в том, что данное событие в действительности будет иметь место. Как мера уверенности человека в возможности наступления события субъективная вероятность может быть формально представлена различными способами: вероятностным распределением на множестве событий, бинарным отношением на множестве событий, не полностью заданным вероятностным распределением или бинарным отношением и другими способами. Наиболее часто субъективная вероятность представляет собой вероятностную меру, полученную экспертным путем.
Субъективная вероятность в современных работах в области системного анализа не просто представляет меру уверенности на множестве событий, а увязывается с системой предпочтений лица, принимающего решения (ЛПР), и в конечном итоге с функцией полезности, отражающей его предпочтения на множестве альтернатив.
Процесс получения субъективной вероятности принято разделять на три этапа:
- подготовительный этап;
- получение оценок;
- этап анализа полученных оценок.
Первый этап. Во время этого этапа формируется объект исследования - множество событий, проводится предварительный анализ свойств этого множества (устанавливается зависимость или независимость событий, дискретность или непрерывность случайной величины, порождающей данное множество событий). На основе такого анализа выбирается один из подходящих методов получения субъективной вероятности. На этом же этапе производится подготовка эксперта или группы экспертов, ознакомление их с методом и проверка понимания поставленной задачи экспертами.
Второй этап состоит в применении метода, выбранного на первом этапе. Результатом этого этапа является набор чисел, который отражает субъективный взгляд эксперта или группы экспертов на вероятность того или иного события, однако далеко не всегда может считаться окончательно полученным распределением, поскольку может быть противоречивым.
Третий этап состоит в исследовании результатов опроса. Если вероятности, полученные от экспертов, не согласуются с аксиомами вероятности, то на это обращается внимание экспертов и производится уточнение ответов с целью их соответствия аксиомам. Для некоторых методов получения субъективной вероятности третий этап не проводится, поскольку сам метод состоит в выборе вероятного распределения, подчиняющегося аксиомам вероятности, которое в том или другом смысле наиболее близко к оценкам экспертов. Особую важность третий этап приобретает при агрегировании оценок, полученных от группы экспертов.
Рассмотрим вариант оценки рисков ИБ на основе табличных методов.
При уровневой оценке ущерб, который может быть причинен активам оператора нарушениями ИБ, предлагается отнести к одному из трех уровней:
а) 1- Незначительный
б) 2 - Существенный
в) 3 - Высокий
Возможна градация ущерба и по большему количеству уровней, но это предъявляет повышенные требования к экспертной оценке и практически не влияет на принятие решений по результатам анализа рисков.
Каждый эксперт представляет собственную оценку ущерба, а затем определяется результирующая оценка по мажоритарному принципу (наибольшему совпадению мнений экспертов).
Ущерб всегда связан с определенной угрозой. Поэтому при оценке ущерба от угроз безопасности, можно рассматривать цепочку «угроза-ущерб», устанавливающую соответствие между угрозами в беспроводных ТКС и материальным ущербом оператора.
Вероятность реализации той или иной угрозы определяется экспертно на основании описаний угрозы в беспроводных ТКС и угрозы сетевым ресурсам с учетом модели нарушителя, сопоставленной угрозе. На данном этапе управления рисками вероятность угрозы целесообразно оценивать по трехбалльной шкале, но возможны и другие способы оценки:
а) 1 - Низкая вероятность реализации угрозы
б) 2 - Средняя вероятность реализации угрозы
в) 3 - Высокая вероятность реализации угрозы
При оценке ущерба, причиняемого в результате осуществления той или иной угрозы, необходимо учитывать как непосредственный ущерб, так и долговременный, возникающий в случае неоднократного осуществления угрозы.
Чтобы сопоставить угрозы и принять решение о первоочередных мероприятиях, необходимо оценить уровень каждого из видов, рисков. При этом надо иметь в виду, что один и тот же ущерб может достигаться разными путями, т. е. исходить от нарушителей разного типа с использованием различных уязвимостей и разных путей достижения цели. Поэтому при оценке рисков каждая из угроз должна рассматриваться в связи со всеми аспектами их осуществления.
Для определения рисков необходимые оценочные параметры предлагается представлять в виде, как это сделано в табл. 1.6.
Последовательно определяется уровень ущерба и уровень вероятности реализации каждой угрозы. Затем эти показатели перемножаются, и определяется показатель риска (1.1).
(1.1)
Таблица 1.6
Оценочные параметры риска
Угроза |
Уровень ущерба |
Вероятность реализации угрозы |
Показатель риска |
Ранг угрозы |
A |
B |
C |
D |
E |
Угроза 1 |
1 |
1 |
1 |
4 |
Угроза 2 |
2 |
1 |
2 |
3 |
Угроза 3 |
3 |
2 |
6 |
1 |
… |
|
|
|
|
Угроза n |
2 |
2 |
4 |
2 |
В данном случае вероятность реализации события соответствует вероятности реализации угрозы безопасности беспроводным ТКС стандарта IEEE 802.11.
Необходимо иметь в виду, что операция умножения для уровневых показателей не обладает свойством коммутативности, т. е. произведение уровневых величин 2 на 3 не обязательно равнозначно произведению 3 на 2.
Так, например, при оценке некоторого риска вероятность угрозы может играть большую роль, в связи с тем, что часто повторяющиеся атаки данного типа могут привести к потере доверия операторов - партнеров или к санкциям контролирующих органов, тогда как ущерб от единичных атак может быть не очень значительным. Напротив, для другой угрозы при таком же ущербе от единичной атаки эффект усиления негативного последствия атак может отсутствовать.
Определив показатель риска для каждой из существующих угроз, можно ранжировать их по степени риска. Угрозе с наибольшим показателем риска присваивается ранг равный 1, угрозе со следующим по величине показателем риска - 2 и т. д. Угрозам, имеющим одинаковые показатели риска, присваивается одинаковый ранг, если не учитывается эффект превалирования вероятности осуществления какой-либо из угроз.
Рассмотрим вариант, когда вероятность реализации угрозы определяется по следующей шкале:
а) А - событие практически никогда не происходит;
б) В - событие случается редко;
в) С - вероятность события за рассматриваемый промежуток времени – около 0,5;
г) D - скорее всего, событие произойдет;
д) Е - событие почти обязательно произойдет.
Кроме того, определяется лингвистическая переменная серьезности происшествий (ущерб), например:
а) N (Negligible) - воздействием можно пренебречь.
б) M (Minor) - незначительное происшествие: последствия легкоустранимы, затраты на ликвидацию последствий невелики, воздействие на информационную технологию незначительно;
в) Mo (Moderate) - происшествие с умеренными результатами: ликвидация последствий не связана с крупными затратами, воздействие на информационную технологию невелико и не затрагивает критически важные задачи;
г) S (Serious) - происшествие с серьезными последствиями: ликвидация последствий связана со значительными затратами, воздействие на информационные технологии ощутимо, воздействует на выполнение критически важных задач;
д) С (Critical) - происшествие приводит к невозможности решения критически важных задач.
Для оценки рисков определяется переменная из трех значений:
- Низкий риск;
- Средний риск;
- Высокий риск.
Риск, связанный с определенным событием, зависит от двух факторов и может быть определен как показано в табл. 1.7.
Таблица 1.7
Определение риска в зависимости от двух факторов
|
Negligible |
Minor |
Serious |
Critical |
A |
Низкий риск |
Низкий риск |
Средний риск |
Средний риск |
B |
Низкий риск |
Низкий риск |
Средний риск |
Высокий риск |
C |
Низкий риск |
Средний риск |
Средний риск |
Высокий риск |
D |
Средний риск |
Средний риск |
Средний риск |
Высокий риск |
E |
Средний риск |
Высокий риск |
Высокий риск |
Высокий риск |
Подобный подход к оценке рисков достаточно распространен. При разработке (использовании) методик оценки рисков необходимо учитывать следующие особенности:
- значения шкал должны быть четко определены (словесное описание) и пониматься одинаково всеми участниками процедуры экспертной оценки;
- требуются обоснования выбранной таблицы. Необходимо убедиться, что разные инциденты, характеризующиеся одинаковыми сочетаниями факторов риска, имеют с точки зрения экспертов одинаковый уровень рисков.
Рассмотренная методика применяется при проведении анализа рисков базового уровня.
Далее рассмотрим методику оценки риска информационной безопасности при проведении анализа рисков, рассчитанного на более высокие требования, чем базовый уровень.
В данном случае вероятность происшествия, которая в данном подходе может быть объективной либо субъективной величиной, зависит от уровней (вероятностей) угроз и уязвимостей:
(1.2)
Показатель риска измеряется в шкале от 0 до 8 со следующими определениями уровней риска:
а) 1 - риск практически отсутствует. Теоретически возможны ситуации, при которых событие наступает, но на практике это случается редко, а потенциальный ущерб сравнительно невелик;
б) 2 - риск очень мал. События подобного рода случались достаточно редко, кроме того, негативные последствия сравнительно невелики;
в) 8 - риск очень велик. Событие, скорее всего, наступит, и последствия будут чрезвычайно тяжелыми.
Вероятность реализации угрозы будем определять по шкале следующим образом:
а) 1- Низкая вероятность реализации угрозы;
б) 2 - Средняя вероятность реализации угрозы;
в) 3 - Высокая вероятность реализации угрозы.
Шкала, по которой определяем вероятность реализации уязвимости, принимает вид:
а) H - Низкая вероятность реализации уязвимости;
б) C - Средняя вероятность реализации уязвимости;
в) B - Высокая вероятность реализации уязвимости;
Матрица принимает вид (табл. 1.8):
Таблица 1.8
Определение риска в зависимости от трех факторов
Степень серьезности происшествия (цена потери) |
Уровень угрозы |
||||||||
Низкий |
Средний |
Высокий |
|||||||
Уровни уязвимостей |
Уровни уязвимостей |
Уровни уязвимостей |
|||||||
H |
C |
B |
H |
C |
B |
H |
C |
B |
|
Незначительная Несущественная Умеренная Серьезная Критическая |
0 1 2 3 4 |
1 2 3 4 5 |
2 3 4 5 6 |
1 2 3 4 5 |
2 3 4 5 6 |
3 4 5 6 7 |
2 3 4 5 6 |
3 4 5 6 7 |
4 5 6 7 8 |
В соответствии с определением риск, характеризуется возможным ущербом, выраженном в качественном или количественном выражении, а также возможностью возникновения реализации угроз ИБ, при которых наноситься ущерб. Ущерб от реализации угроз безопасности информации понимается как негативные последствия от воздействия на информацию, носители информации, аппаратные средства с нарушением ее конфиденциальности, целостности или доступности защищаемой информации.
В соответствии с методом CRAMM определим шкалу финансовых потерь (в долларах) от реализации угроз безопасности. Т.к. оценка ущерба проводиться на основании мнений экспертов и владельца информационных ресурсов и информации, сопоставим количественную и качественную шкалу с единой количественной шкалой (рис. 1.4). Максимальный ущерб от реализации угроз ИБ определяет владелец информации. В данной работе предлагается использовать максимальный ущерб оператора связи в размере 106 рублей в год. В соответствии с [44] шкала оценки ущерба принимает вид.
Рис. 1.4. Выбор шкал оценки ущерба
Таблица 1.9
Шкала оценки ущерба от реализации угроз ИБ
Ущерб (шкала суждений) |
Количественная оценка |
Описание |
Незаметный |
0 |
Ущербом можно пренебречь |
Незначительный |
0
Продолжение
табл. 1.9 |
Ущерб легко устраним, затраты на ликвидацию последствий реализации угрозы невелики |
Средний |
0.4 |
Ликвидация последствий реализации угрозы не связана с крупными затратами и не затрагивает критические важные задачи. |
Большой |
0.6 |
Реализации угрозы затрагивает выполнение критически важных задач |
Очень большой |
0.8 |
Ликвидация последствий реализации угрозы связанна с крупными финансовыми инвестициями, затрагивает выполнение критически важных задач |
Недопустимый |
1 |
Реализация угрозы приводит к невозможности решения критически важных задач. |
Пример расчета значения оценки ущерба представлен в табл. 1.10 Рассчитаем риск информационной безопасности по формуле (1.2), где вероятность уязвимости определяется как произведение вероятности использования уязвимости и потенциала нападения нарушителя. Пример исходных данных представлен в табл. 1.10. Результаты расчета риска отображены в табл. 1.11.
В графе «характеристика» рассматриваются следующие угрозы: угроза доступу; угрозы защите приватных данных; - угрозы целостности системы; скрытые ошибки при проектировании системы связи или услуг. В графе «Уровень реализации» выделяются следующие уровни: абонентские пункты; серверы локальной сети; коммутационные комплексы (табл. 1.10).
Причем каждой из характеристик соответствует каждый уровень реализации (табл.1.10).
Следующим этапов оценки рисков информационной безопасности является ранжирование угроз по степени риска. Критерий ранжирования описан в табл. 1.13.
Таблица 1.13
Ранжирование риска
Описание |
Значение риска |
Низкий |
Значение риска меньше 1% от максимального ущерба оператору связи |
Средний |
Значение риска меньше 10% от максимального ущерба оператору связи |
Высокий |
Значение риска больше 10%, но менее 20% от максимального ущерба оператору связи |
Критический |
Значение риска более 20% от максимального ущерба оператору связи |
Допустимое значение риска определяет руководство оператора беспроводной связи – владелец информационных ресурсов, конфиденциальной информации. В данной работе допустимому значению риска ИБ соответствует уровень менее 1% от максимального значения нанесенного ущерба оператору связи.
Следующим этапом оценки рисков информационной безопасности является определение суммарного значения риска от угроз нарушения приватных данных, целостности, доступности, «скрытые ошибки при проектировании системы связи или услуг». Суммарный риск определяется по формуле 1.3.
,
(1.3)
где
- суммарное значение риска по n
независимым угрозам.
Таблица 1.14
Суммарный риск от угроз нарушение приватных данных
тип злоумышленника |
абонентские пункты
|
серверы локальной сети
|
коммутационные комплексы |
Интегральное значение риска |
Администратор, сотрудник службы безопасности ИБ
|
0,57*106 |
0.13*106 |
0.72*106 |
1,42*106 |
Любопытствующий
|
0,84*105 |
0.082*105 |
0.1*106 |
0.19*106 |
Охотник за «бесплатным каналом» сети Internet |
0.19*106 |
0.02*106 |
0.24*106 |
0.45*106 |
Профессиональные преступники
|
0.81*106 |
0.2*106 |
0.95*106 |
1.96*106 |
Конкуренты
|
0.9*106 |
0.26*106 |
1.1*106 |
2.26*106 |
Таблица 1.15
Ранжирование значений суммарного риска от угроз нарушение приватных данных
Тип Злоумышленника |
Абонентские пункты
|
Серверы локальной сети |
Коммутационные комплексы |
Интегральное значение риска |
Администратор, сотрудник службы ИБ |
Средний |
Средний |
Средний |
Высокий |
Любопытствующий |
Низкий |
Низкий |
Средний |
Средний |
Охотник за «бесплатным каналом» сети Internet |
Средний |
Низкий |
Средний |
Средний |
Профессиональные преступники |
Средний |
Средний |
Средний |
Высокий |
Конкуренты |
Средний |
Средний |
Высокий |
Критический |
Ранжирование производится по всем рискам.
На основании полученных данных приведем итоговые значения рисков в графическом виде.
Рис. 1.5. Суммарный риск от угроз нарушение приватных данных
Рис. 1.6. Суммарный риск от угроз нарушение доступности
Рис. 1.7. Суммарный риск от угроз нарушение целостности
Анализируя полученные результаты, следует отметить, что, конфигурация системы защиты информации с использованием базовой аутентификации и криптографического протокола WEP, оператор беспроводной связи подвергается высокому риску. Как видно из рисунка 1.6 наибольший ущерб достигается проведением атаки типа «отказ в обслуживании».