Управление информационными рисками – Т. Ю. Зырянова, А. А. Захаров, Ю. И. Ялышев (2008)
.pdfВ соответствии с рассмотренными международными и национальными стандартами, обеспечение информационной безопасности в любой компании предполагает следующее:
1)определение целей обеспечения информационной безопасности;
2)создание эффективной СУИБ;
3)включение в СУИБ для обеспечения ее эффективности процесса УИР, содержащего полный анализ рисков;
4)следование принципу непрерывности бизнеса;
5)обеспечение баланса между эффективностью принимаемых мер безопасности и размером затрат в области информационной безопасности.
Что касается УИР, то в соответствии с методиками, отраженными
âрассмотренных стандартах, процесс управления информационными рисками любой компании предполагает следующее:
1)определение основных целей и задач защиты информационных активов компании;
2)создание эффективной системы оценки и управления информационными рисками;
3)расчет совокупности детализированных не только качественных, но и количественных оценок рисков, адекватных заявленным целям бизнеса;
4)применение специального инструментария оценки и управления рисками.
131
4.МЕТОДЫ АНАЛИЗА ИНФОРМАЦИОННЫХ РИСКОВ
4.1.Инструментальные методы анализа информационных рисков
Инструментальные средства анализа рисков позволяют автоматизировать работу специалистов в области защиты информации, осуществляющих оценку информационных рисков предприятия.
В России в настоящее время чаще всего используются разнообразные «бумажные» методики, достоинствами которых являются гибкость и адаптивность. Как правило, разработкой данных методик занимаются компании — системные и специализированные интеграторы в области защиты информации. По понятным причинам методики обычно не публикуются, поскольку относятся к ноу-хау компании. В силу закрытости данных методик судить об их качестве, объективности и возможностях достаточно сложно.
Специализированное ПО, реализующее методики анализа рисков, может относиться к категории программных продуктов (продается на рынке) либо являться собственностью ведомства или организации и не продаваться. Если ПО разрабатывается как программный продукт, оно должно быть в достаточной степени универсальным. Ведомственные варианты ПО адаптированы под особенности постановок задач анализа и управления рисками и позволяют учесть специфику информационных технологий компании.
Предлагаемое на рынке ПО ориентировано в основном на уровень информационной безопасности, несколько превышающий базовый уровень защищенности. Таким образом, инструментарий рассчи- тан в основном на потребности предприятий 3-4 степени зрелости.
Существующее ПО УИР, в соответствии с [40], условно можно разделить на 2 группы:
1)ПО базового уровня (основанное, как правило, на качественных методиках УИР);
2)ПО полного анализа рисков (реализующее как качественные, так и количественные методики УИР).
Надо учитывать, что это разделение весьма условно, поскольку инструментарий базового уровня зачастую содержит дополнительные возможности, относящиеся к полному анализу рисков.
132
Качественные методики управления рисками приняты на вооружение в технологически развитых странах многочисленной армией внутренних и внешних ИТ-аудиторов. Эти методики достаточно популярны, относительно просты и разработаны, как правило, на основе требований международного стандарта ISO/IEC 17799 (27002).
Вторую группу методик управления рисками составляют количе- ственные методики, актуальность которых обусловлена необходимостью решения различных оптимизационных задач.
Суть этих задач сводится к поиску единственного оптимального решения, из множества существующих. Например, необходимо ответить на следующие вопросы: «Как, оставаясь в рамках утвержденного годового (квартального) бюджета на информационную безопасность, достигнуть максимального уровня защищенности информационных активов предприятия?» или «Какую из альтернатив построения корпоративной защиты информации (защищенного www-сайта или корпоративной электронной почты) выбрать с учетом известных ограниче- ний бизнес-ресурсов предприятия?». Для решения этих задач и разрабатываются методы и методики количественной оценки и управления рисками на основе структурных и, реже, объектно-ориентированных методов системного анализа и проектирования. На практике такие методики управления рисками позволяют:
—создавать модели информационных активов предприятия с точки зрения безопасности;
—классифицировать и оценивать ценности активов;
—составлять списки наиболее значимых угроз и уязвимостей безопасности;
—ранжировать угрозы и уязвимости безопасности;
—обосновывать средства и меры контроля рисков;
—оценивать соотношение эффективности и стоимости различ- ных вариантов защиты;
—формализовать и автоматизировать процедуры оценивания и управления рисками.
4.1.1. Качественные методы анализа информационных рисков
COBRA
Во второй половине 1990-х гг. компания C&A Systems Security Ltd. разработала одноименные методику и соответствующий инструментарий для анализа и управления информационными рисками под названием COBRA.
133
Эта методика позволяет выполнить в автоматизированном режиме простейший вариант оценивания информационных рисков любой компании. Для этого предлагается использовать специальные электронные базы знаний и процедуры логического вывода, ориентированные на требования ISO/IEC 17799.
Существенно, что при желании перечень учитываемых требований можно дополнить различными требованиями отечественных нор- мативно-регулирующих органов, например требованиями руководящих документов (РД) ФСТЭК.
Методика COBRA представляет требования стандарта ISO/IEC 17799 в виде тематических «вопросников», на которые следует ответить в ходе оценки рисков предприятия. Далее введенные ответы автомати- чески обрабатываются и с помощью соответствующих правил логического вывода формируется итоговый отчет c текущими оценками информационных рисков компании и рекомендациями по их управлению.
Анализ рисков, выполняемый данным методом, соответствует базовому уровню безопасности, т. е. уровни рисков не определяются. Достоинством методики является простота. Необходимо ответить на несколько десятков вопросов, затем автоматически формируется отчет.
Этот программный продукт может использоваться при проведении аудита информационной безопасности или для работы специалистов служб, отвечающих за обеспечение информационной безопасности.
Простота, соответствие международному стандарту, сравнительно небольшое число вопросов позволяют легко адаптировать этот ме-
тод для работы в отечественных условиях.
RA Software Tool
Методика и одноименное инструментальное средство RA Software Tool основаны на требованиях международных стандартов ISO/IEC 17999 и ISO/IEC 13335 (часть 3 и 4), а также на требованиях некоторых руководств Британского национального института стандартов (BSI), например PD 3002 (Руководство по оценке и управлению рисками), PD 3003 (Оценка готовности компании к аудиту в соответствии с BS 7799), PD 3005 (Руководство по выбору системы защиты).
Этот инструментарий позволяет выполнять оценку рисков как в соответствии с требованиями базового уровня (относительно ISO/IEC 17799), так и в соответствии с более детальными спецификациями руководства PD 3002 Британского института стандартов.
Данная программа может быть полезна при разработке собственных методик и инструментария для анализа и управления рисками.
134
Risk Advisor
Рассмотрим возможности Risk Advisor. Это ПО позиционируется как инструментарий аналитика или менеджера в области информационной безопасности. В нем реализована методика, позволяющая задать модель информационной системы с позиции информационной безопасности, идентифицировать риски, угрозы, потери в результате инцидентов.
Основными этапами работы являются:
1)описание контекста;
2)определение рисков;
3)оценка угроз и возможного ущерба;
4)выработка управляющих воздействий;
5)разработка плана восстановления и действий в чрезвычайных ситуациях.
Рассмотрим перечисленные этапы подробнее.
На этапе описания контекста описывается модель взаимодействия предприятия с внешним миром в нескольких аспектах: стратеги- ческом, организационном, бизнес-цели, управления рисками, критериев.
Стратегический аспект описывает сильные и слабые стороны предприятий с внешних позиций, варианты развития, классы угроз и отношения с партнерами.
Организационный аспект описывает отношения внутри предприятия: стратегию, цели на организационном уровне, внутреннюю политику.
Аспект бизнес-целей описывает основные бизнес-цели компании. Аспект управления рисками описывает концепцию информаци-
онной безопасности.
Аспект критериев оценки учитывает критерии оценки, исполь-
зуемые при управлении рисками.
На этапе определения рисков задается матрица рисков на основе некоторого шаблона. Риски оцениваются по качественной шкале и разделяются на приемлемые и неприемлемые. Затем выбираются управляющие воздействия (контрмеры) с учетом зафиксированной ранее системы критериев, эффективности контрмер и их стоимости. Сто-
имость и эффективность также оцениваются в качественных шкалах. На этапе оценки угроз и возможного ущерба формируется спи-
сок угроз. Угрозы определенным образом классифицируются, затем описывается связь между рисками и угрозами. Описание также делается на качественном уровне и позволяет зафиксировать их взаимосвязи.
135
Описываются события (последствия), связанные с нарушением режима информационной безопасности. Потери оцениваются в выбранной системе критериев.
В результате построения модели можно сформировать подробный отчет (около 100 разделов), посмотреть на экране агрегированные описания в виде графа рисков.
Рассмотренная методика позволяет автоматизировать различные аспекты управления рисками компании. При этом оценки рисков даются в качественных шкалах. Подробный анализ факторов рисков не предусмотрен.
Сильной стороной рассмотренной методики является возможность описания различных связей, адекватный учет многих факторов риска
и сравнительно невысокая трудоемкость.
Digital Security Office 2006
Digital Security Office 2006 — комплексное решение для управления информационной безопасностью предприятия, позволяющее построить СУИБ в соответствии со стандартами ISO/IEC 17799 и ISO/ IEC 27001, а также самостоятельно проводить регулярный анализ рисков и управлять полученными результатами.
Digital Security Office 2006 включает в себя систему разработки и управления политикой безопасности информационной системы КОНДОР
и систему анализа и управления информационными рисками ГРИФ [39].
КОНДОР 2006
КОНДОР 2006 — система разработки и управления политикой безопасности информационной системы предприятия на основе международных стандартов ISO/IEC 17799, ISO/IEC 27001. Это современный и удобный инструмент для разработки всех основных положений политики информационной безопасности организации и управления процессом внедрения этих положений на практике.
При помощи модуля редактора баз возможно редактировать базы, включенные в комплект поставки, а также самостоятельно создавать требуемые организации конкретные базы стандартов.
КОНДОР 2006 в простой и удобной форме помогает разработать «с нуля», проанализировать существующую политику безопасности, разработать и внедрить изменения и дополнения в соответствии с международными стандартами.
Система КОНДОР 2006 состоит из баз стандартов управления информационной безопасностью (ISO/IEC 17799:2000, ISO/IEC 17799:2005, ISO/IEC 27001), представленных в виде перечня требова-
136
ний. Анализируя выполнение каждого требования, можно получить полную картину — какие в системе организации положения выполняются, а какие нет. У каждого положения стандарта задан по умолчанию вес, который характеризует степень критичности данного положения для поддержания необходимого уровня защищенности. Значения весов проставлены на основе опыта экспертов компании-разработчика. Учи- тывая, что универсальные значения весов не могут учесть все особенности различных компаний, в программе предусмотрена возможность изменения весов при работе с положениями стандарта.
После того как даны все ответы, для анализа дальнейших действий в системе КОНДОР 2006 предусмотрен модуль управления контрмерами. В нем отражаются все невыполненные в организации положения стандартов. Причем можно задать пороговое значение весов, чтобы отображались только критичные для организации положения стандарта, которые не выполнены. После задания контрмеры к невыполненному положению возможно увидеть соотношение стоимости данной контрмеры и величины, на которую изменилось значение критичности всех невыполненных требований. Таким образом, можно расставить приоритеты и заранее оценить эффективность планируемых мероприятий при разработке или работе с уже существующей политикой информационной безопасности предприятия.
КОНДОР 2006 позволяет использовать не только поставляемые с программой базы стандартов. Редактор баз требований, поставляемый вместе с системой КОНДОР 2006, дает возможность самостоятельно создавать и работать с любыми другими стандартами и базами требо-
ваний, в том числе и с корпоративными стандартами предприятия.
ÃÐÈÔ 2006
ГРИФ 2006 — инструмент для анализа защищенности ресурсов информационной системы предприятия и эффективного управления рисками.
ГРИФ 2006 позволяет провести полный анализ рисков — полу- чить полную картину всех угроз, актуальных для информационной системы организации, оценить, насколько критичны уязвимости и к каким потерям они могут привести. Используя этот продукт можно узнать не только уровень риска каждого ценного ресурса информационной системы, но и все причины риска.
Кроме анализа рисков, ГРИФ 2006 также помогает управлять рисками, то есть разрабатывать стратегию внедрения контрмер на основе анализа соотношения затраты/эффективность.
137
Модель информационных потоков, используемая в ПО ГРИФ 2006 представлена на рис. 4.1.
Ðèñ. 4.1. Модель информационных потоков в методике ГРИФ
Анализ рисков информационной безопасности осуществляется с помощью построения модели информационной системы предприятия. Рассматривая средства защиты ресурсов с ценной информацией, взаимосвязь ресурсов между собой, влияние прав доступа групп пользователей, организационные меры, модель исследует защищенность каждого вида информации.
В результате работы алгоритма программа представляет следующие данные:
1)инвентаризация;
2)значения риска для каждого ценного ресурса;
3)перечень всех уязвимостей, которые стали причиной полученного значения риска;
4)значения риска для ресурсов после задания контрмер (остаточ- ный риск);
5)эффективность контрмер;
6)рекомендации экспертов.
Для того чтобы оценить риск информации, необходимо проанализировать защищенность и архитектуру построения информационной системы.
Владельцу информационной системы требуется сначала описать архитектуру своей сети:
1) все ресурсы, на которых хранится ценная информация;
138
2)все сетевые группы, в которых находятся ресурсы системы (то есть физические связи ресурсов друг с другом);
3)отделы, к которым относятся ресурсы;
4)виды ценной информации;
5)ущерб для каждого вида ценной информации по всем видам
угроз;
6)бизнес-процессы и информация, которая в них участвует;
7)группы пользователей, имеющих доступ к ценной информации;
8)класс группы пользователей;
9)доступ группы пользователей к информации;
10)характеристики этого доступа (вид и права);
11)средства защиты информации;
12)средства защиты рабочего места группы пользователей. Исходя из введенных данных, можно построить полную модель
информационной системы компании, на основе которой будет проведен анализ защищенности каждого вида информации на ресурсе.
Для оценки рисков информационной системы организации защищенность каждого ценного ресурса определяется при помощи анализа угроз, действующих на конкретный ресурс, и уязвимостей, через которые данные угрозы могут быть реализованы. Оценивая вероятность реализации актуальных для ценного ресурса угроз и степень влияния реализации угрозы на ресурсы, анализируются информационные риски ресурсов предприятия.
С помощью введенных владельцем информационной системы данных можно построить модель угроз и уязвимостей, актуальных для информационной системы компании. На основе полученной модели будет проведен анализ вероятности реализации угроз информационной безо-
пасности на каждый ресурс и, исходя из этого, рассчитаны риски.
CRAMM
Методика CRAMM (CCTA Risk Analysis and Managment Method) была разработана агентством по компьютерам и телекоммуникациям Великобритании (Central Computer and Telecommunications Agency) по заданию Британского правительства и взята на вооружение в каче- стве государственного стандарта. Она используется, начиная с 1985 г., правительственными и коммерческими организациями Великобритании. За это время методика CRAMM приобрела популярность во всем мире. Фирма Insight Consulting Limited занимается разработкой и сопровождением одноименного программного продукта, реализующего метод CRAMM. Методика CRAMM включает в себя методы анализа
139
информационных рисков, пригодные для использования в правительственных и коммерческих учреждениях для обработки несекретной, но критичной информации. Под названием CRAMM объединяются и методика анализа рисков, и инструментальное средство. Эта методика также опирается на качественные оценки экспертов, но на их базе уже можно получить количественные показатели уровня риска.
Основными целями методики CRAMM являются:
—формализация и автоматизация процедур анализа и управления рисками;
—оптимизация расходов на средства контроля и защиты;
—комплексное планирование и управление рисками на всех стадиях жизненного цикла информационных систем;
—сокращение времени на разработку и сопровождение корпоративной системы защиты информации;
—обоснование эффективности предлагаемых мер защиты и средств контроля;
—управление изменениями и инцидентами;
—поддержка непрерывности бизнеса;
—оперативное принятие решений по вопросам управления безопасностью и др.
Управление рисками в методике СRAMM осуществляется в несколько этапов.
Анализ рисков в соответствии с методикой CRAMM состоит из нескольких этапов.
Íà первом этапе происходит идентификация ресурсов и построение модели информационной системы. Первый этап включает в себя следующие действия.
В процессе бесед с менеджерами и пользователями собирается информация об ответственных за физические и программные ресурсы;
îпользователях системы; о конфигурации системы.
Проводится идентификация ресурсов и построение модели системы с точки зрения информационной безопасности. По методике CRAMM выделяются 16 классов физических ресурсов:
—несетевые серверы (общего назначения, прочие);
—сетевые серверы (файл-серверы, серверы баз данных, общего назначения, прочие);
—несетевые рабочие станции (портативные, стационарные класса персональных компьютеров, стационарные с ограниченными возможностями, прочие);
140