- •1. Оценка рисков информационной безопасности для беспроводных телекоммуникационных сетей
- •1.1. Оценка рисков и международные стандарты
- •1.1.1. Стандарт iso/iec 17799:2000(e), iso/iec tr 13335-2
- •1.1.2. Стандарт nist 800-30
- •1.1.3. Стандарт СоbiТ
- •1.1.4. Стандарт score
- •1.1.5. Метод cramm
- •1.1.6. Стандарт SysTrust
- •1.2. Методика оценки рисков информационной безопасности беспроводных телекоммуникационных систем
- •1.3. Расчет риска отказа в обслуживании абонентов базовой станции беспроводной системы связи
- •2. Управление рисками информационной безопасности для беспроводных систем связи
- •2.1. Методика управления рисками информационной безопасности
- •2.2. Основные концепции управления рисками информационной безопасности
- •2.2.1. Концепция управления рисками octave
- •2.2.2. Концепция управления рисками сramm
- •2.2.3. Концепция управления рисками mitre
- •2.3. Инструментарий для управления рисками информационной безопасности
- •3. Методы и средства снижения рисков беспроводных систем связи
- •3.1. Аутентификация
- •3.1.1. Открытая аутентификация
- •3.1.2. Аутентификация с совместно используемым ключом
- •3.1.3. Аутентификация с использованием мас-адресов
- •3.2. Шифрование данных
- •3.2.1. Шифрование с применением статических wep-ключей
- •3.2.2. Шифрование с использованием протокола целостности временных ключей (tkip)
- •3.2.3. Улучшенный алгоритм шифрования (aes)
- •3.3. Виртуальные частные сети (vpn) как механизм защиты беспроводных систем связи
- •3.3.1. Топологии vpn с точки зрения беспроводной связи
- •3.3.2. Туннельные протоколы в vpn
- •3.3.3. Альтернативные реализации vpn
- •3.3.3.1. Протокол cIPe
- •3.3.3.2. Пакет OpenVpn
- •3.3.3.3. Пакет vTun
- •3.3.3.4. Обзор протокола ipSec
- •3.4. Системы обнаружения атак (ids)
- •Вопросы для самоконтроля
- •394026 Воронеж, Московский просп., 14
2.2.2. Концепция управления рисками сramm
Аналогичный подход используется и в широко известном методе оценки рисков CRAMM, разработанном в свое время по заказу британского правительства. В CRAMM основной способ оценки рисков – это тщательно спланированные интервью, в которых используются подробнейшие опросники. CRAMM используется в тысячах организаций по всему миру благодаря наличию весьма развитого программного инструментария, содержащего базу знаний по рискам и механизмам их минимизации, средства сбора информации, формирования отчетов, а также реализующего алгоритмы для вычисления величины рисков.
В отличие от метода OCTAVE, в CRAMM используется несколько иная последовательность действий и методы определения величины рисков. Сначала определяется целесообразность оценки вообще и, если информационная система организации недостаточно критична, то к ней применятся стандартный набор механизмов контроля, описанный в международных стандартах и содержащийся в базе знаний CRAMM.
На первом этапе в методе CRAMM строится модель ресурсов информационной системы, описывающая взаимосвязи между информационными, программными и техническими ресурсами, а также оценивается ценность последних, исходя из возможного ущерба, который может понести организация
Следующая ступень – оценка рисков, включающая в себя идентификацию и осмысление степени вероятности угроз, величины уязвимостей, а также вычисление рисков для каждой тройки: ресурс – угроза – уязвимость. В CRAMM принимаются во внимание "чистые" риски, безотносительно к реализованным в системе механизмам контроля. На этапе оценки рисков предполагается, что контрмеры вообще не применяются, и набор рекомендуемых контрмер по минимизации рисков создается, исходя из этого предположения.
На заключительной стадии инструментарием CRAMM формируется список контрмер по минимизации идентифицированных рисков и производится сравнение рекомендуемых и существующих противодействий, после чего формируется собственно план обработки рисков.
2.2.3. Концепция управления рисками mitre
Организацией MITRE была предложена концепция управления рисками при построении различных систем (не только информационных). В целом эта концепция близка к рассмотренной выше. MITRE бесплатно распространяет простейший инструментарий на базе электронной таблицы, предназначенный для использования на этапе идентификации и оценки рисков, выбора возможных контрмер в соответствии с этой концепцией — "Risk Matrix".
В данной концепции риск не разделяется на составляющие части (угрозы и уязвимости), что в некоторых случаях может оказаться более удобным с точки зрения владельцев информационных ресурсов. Например, в России в настоящее время на этапе анализа рисков (если он вообще выполняется) весьма распространено построение модели нарушителя с прямой экспертной оценкой рисков. По этой причине простейшие методики и инструменты типа "Risk Matrix" наиболее востребованы в настоящее время на Российском рынке [21].
2.3. Инструментарий для управления рисками информационной безопасности
Для управления рисками ИБ можно применять программный инструментарий, однако это не является обязательным. Об этом сказано и в стандарте BS 7799-3. Полезность применения инструментария может заключаться в том, что он содержит запрограммированный алгоритм рабочего процесса оценки и управления рисками, что упрощает работу неопытному специалисту.
Использование инструментария позволяет унифицировать методологию и упростить использование результатов для переоценки рисков, даже если она выполняется другими специалистами. Есть возможность упорядочить хранение данных и работу с моделью ресурсов, профилями угроз, перечнями уязвимостей и рисками.
Помимо собственно средств оценки и управления рисками программный инструментарий может также содержать дополнительные средства для документирования, анализа расхождений с требованиями стандартов, разработки реестра ресурсов, а также другие средства, необходимые для внедрения и эксплуатации СУИБ.
Итак, выбор качественного или количественного подходов к оценке рисков определяется характером бизнеса организации и уровнем его информатизации, т.е. важностью для него информационных активов, а также уровнем зрелости предприятия.
При реализации формального подхода к управлению рисками в организации необходимо опираться, прежде всего, на здравый смысл, существующие стандарты (например, BS 7799-3) и хорошо зарекомендовавшие себя методологии (например, OCTAVE или CRAMM). Может оказаться полезным использовать для этих целей и соответствующее ПО, которое реализует соответствующие методологии и в максимальной степени отвечает требованиям стандартов.
Эффективность процесса управления рисками ИБ определяется точностью и полнотой анализа и оценки факторов риска, а также эффективностью используемых в организации механизмов принятия управленческих решений и контроля их исполнения [26].