При внедрении системы управления информационной безопасностью (СУИБ) в организации одной из основных точек преткновения обычно становится система управления рисками. Рассуждения об управлении рисками информационной безопасности сродни проблеме НЛО. С одной стороны никто из окружающих вроде бы этого не видел и само событие представляется маловероятным, с другой стороны существует масса свидетельств, написаны сотни книг, имеются даже соответствующие научные дисциплины и объединения ученых мужей, вовлеченных в данный исследовательский процесс и, как водится, спецслужбы обладают в этой области особым тайным знанием.

Александр Астахов, CISA, 2006

Введение

Среди специалистов по информационной безопасности в вопросах управления рисками нет единодушия. Кто-то отрицает количественные методы оценки рисков, кто-то отрицает качественные, кто-то вообще отрицает целесообразность и саму возможность оценки рисков, кто-то обвиняет руководство организации в недостаточном осознании важности вопросов безопасности или жалуется на трудности, связанные с получением объективной оценки ценности определенных активов, таких, например, как репутация организации. Другие, не видя возможности обосновать расходы на безопасность, предлагают относиться к этому как к некой гигиенической процедуре и тратить на эту процедуру столько денег, сколько не жалко, либо сколько осталось в бюджете.

Какие бы не существовали мнения по вопросу управления рисками ИБ и как бы мы не относились к этим рискам, ясно одно, что в данном вопросе кроется суть многогранной деятельности специалистов по ИБ, непосредственно связывающая ее с бизнесом, придающая ей разумный смысл и целесообразность. В данной статье излагается один из возможных подходов к управлению рисками и дается ответ на вопрос, почему различные организации относятся к рискам информационной безопасности и управляют ими по-разному.

Основные и вспомогательные активы

Говоря о рисках для бизнеса мы имеем ввиду возможность с определенной вероятностью понести определенный ущерб. Это может быть как прямой материальный ущерб, так и косвенный ущерб, выражающийся, например, в упущенной выгоде, вплоть до выхода из бизнеса, ведь, если риском не управлять, то бизнес можно потерять.

Собственно, суть вопроса заключается в том, что организация располагает и использует для достижения результатов своей деятельности (своих бизнес целей) несколько основных категорий ресурсов (далее будем использовать непосредственно связанное с бизнесом понятие актива). Актив – это все что имеет ценность для организации и генерирует ее доход (другими словами это то, что создает положительный финансовый поток, либо сберегает средства)

Различают материальные, финансовые, людские и информационные активы. Современные международные стандарты также определяют еще одну категорию активов – это процессы. Процесс - это агрегированный актив, который оперирует всеми другими активами компании для достижения бизнес целей. В качестве одного из важнейших активов также рассматриваются имидж и репутация компании. Эти ключевые активы для любой организации, являются ни чем иным как особой разновидностью информационных активов, поскольку имидж и репутация компании – это ни что иное как содержание открытой и широко распространенной информацией о ней. Информационная безопасность занимается имиджевыми вопросами постольку, поскольку проблемы с безопасностью организации, а также утечка конфиденциальной информации крайне негативно влияют на имидж.

На результаты бизнеса влияют различные внешние и внутренние факторы, относящиеся к категории риска. Влияние это выражается в отрицательном воздействии на одну или одновременно несколько групп активов организации. Например, сбой сервера влияет на доступность хранящейся на нем информации и приложений, а его ремонт отвлекает людские ресурсы, создавая их дефицит на определенном участке работ и вызывая дезорганизацию бизнес процессов, при этом временная недоступность клиентских сервисов может негативно повлиять на имидж компании.

По определению, для организации важны все виды активов. Однако у каждой организации есть основные жизненно важные активы и активы вспомогательные. Определить какие активы являются основными очень просто, т.к. это те активы, вокруг которых построен бизнес организации. Так, бизнес организации может быть основан на владении и использовании материальных активов (например, земли, недвижимости, оборудования, полезных ископаемых), бизнес также может быть построен на управлении финансовыми активами (кредитная деятельность, страхование, инвестирование), бизнес может быть основан на компетенции и авторитете конкретных специалистов (консалтинг, аудит, обучение, высокотехнологичные и наукоемкие отрасли) или бизнес может вращаться вокруг информационных активов (разработка ПО, информационных продуктов, электронная коммерция, бизнес в Интернет). Риски основных активов чреваты потерей бизнеса и невосполнимыми потерями для организации, поэтому на этих рисках в первую очередь сосредоточено внимание владельцев бизнеса и ими руководство организации занимается лично. Риски вспомогательных активов обычно приводят к восполнимому ущербу и не являются основным приоритетом в системе управления организации. Обычно управлением такими рисками занимаются специально назначаемые люди, либо эти риски передаются сторонней организации, например, аутсорсеру или страховой компании. Для организации это скорее вопрос эффективности управления, нежели выживания.

Существующие подходы к управлению рисками

Поскольку риски информационной безопасности являются основными далеко не для всех организаций, практикуются три основных подхода к управлению этими рисками, различающиеся глубиной и уровнем формализма.

Для некритичных систем, когда информационные активы являются вспомогательными, а уровень информатизации не высок, что характерно для большинства современных российских компаний, существует минимальная необходимость в оценке рисков. В таких организациях следует вести речь о некотором базовом уровне ИБ, определяемом существующими нормативами и стандартами, лучшими практиками, опытом, а также тем, как это делается в большинстве других организаций. Однако, существующие стандарты, описывая некоторый базовый набор требований и механизмов безопасности, всегда оговаривают необходимость оценки рисков и экономической целесообразности применения тех или иных механизмов контроля для того, чтобы выбрать из общего набора требования и механизмов те их них, которые применимы в конкретной организации.

Для критичных систем, в которых информационные активы не являются основными, однако уровень информатизации бизнес процессов очень высок и информационные риски могут существенно повлиять на основные бизнес процессы, оценку рисков применять необходимо, однако в данном случае целесообразно ограничиться неформальными качественными подходами к решению этой задачи, уделяя особое внимание наиболее критичным системам.

Когда же бизнес организации построен вокруг информационных активов и риски информационной безопасности являются основными, для оценки этих рисков необходимо применять формальный подход и количественные методы.

Во многих компаниях одновременно несколько видов активов могут являться жизненно важными, например, когда бизнес диверсифицирован или компания занимается созданием информационных продуктов и для нее могут быть одинаково важны и людские и информационные ресурсы. В этом случае, рациональный подход заключается в проведении высокоуровневой оценки рисков, с целью определения того, какие системы подвержены рискам в высокой степени и какие имеют критическое значение для ведения деловых операций, с последующим проведением детальной оценки рисков для выделенных систем. Для всех остальных некритичных систем целесообразно ограничиться применением базового подхода, принимая решения по управлению рисками на основании существующего опыта, экспертных заключений и лучшей практики.

Уровни зрелости

На выбор подхода к оценке рисков в организации, помимо характера ее бизнеса и уровня информатизации бизнес процессов, также оказывает влияние ее уровень зрелости. Управление рисками ИБ – это бизнес задача, инициируемая руководством организации в силу своей информированности и степени осознания проблем ИБ, смысл которой заключается в защите бизнеса от реально существующих угроз ИБ. По степени осознания прослеживаются несколько уровней зрелости организаций, которые в определенной степени соотносятся с уровнями зрелости, определяемыми в COBIT и других стандартах:

  1. На начальном уровне осознание как таковое отсутствует, в организации предпринимаются фрагментарные меры по обеспечению ИБ, инициируемые и реализуемые ИТ специалистами под свою ответственность.
  2. На втором уровне в организации определена ответственность за ИБ, делаются попытки применения интегрированных решений с централизованным управлением и внедрения отдельных процессов управления ИБ.
  3. Третий уровень характеризуется применением процессного подхода к управлению ИБ, описанного в стандартах. Система управления ИБ становится настолько значимой для организации, что рассматриваться как необходимый составной элемент системы управления организацией. Однако полноценной системы управления ИБ еще не существует, т.к. отсутствует базовый элемент этой системы – процессы управления рисками.
  4. Для организаций с наивысшей степенью осознания проблем ИБ характерно применение формализованного подхода к управлению рисками ИБ, отличающегося наличием документированных процессов планирования, реализации, мониторинга и совершенствования.

Процессная модель управления рисками

В марте этого года был принят новый британский стандарт BS 7799 Часть 3 – Системы управления информационной безопасностью - Практические правила управления рисками информационной безопасности. Ожидает, что до конца 2007 года ISO утвердит этот документ в качестве международного стандарта. BS 7799-3 определяет процессы оценки и управления рисками как составной элемент системы управления организации, используя ту же процессную модель, что и другие стандарты управления, которая включает в себя четыре группы процессов: планирование, реализация, проверка, действия (ПРПД), что отражает стандартный цикл любых процессов управления. В то время как ISO 27001 описывает общий непрерывный цикл управления безопасностью, в BS 7799-3 содержится его проекция на процессы управления рисками ИБ.

В системе управления рисками ИБ на этапе Планирования определяются политика и методология управления рисками, а также выполняется оценка рисков, включающая в себя инвентаризацию активов, составление профилей угроз и уязвимостей, оценку эффективность контрмер и потенциального ущерба, определение допустимого уровня остаточных рисков.

На этапе Реализации производится обработка рисков и внедрение механизмов контроля, предназначенных для их минимизации. Руководством организации принимается одно из четырех решений по каждому идентифицированному риску: проигнорировать, избежать, передать внешней стороне, либо минимизировать. После этого разрабатывается и внедряется план обработки рисков.

На этапе Проверки отслеживается функционирование механизмов контроля, контролируются изменения факторов риска (активов, угроз, уязвимостей), проводятся аудиты и выполняются различные контролирующие процедуры.

На этапе Действия по результатам непрерывного мониторинга и проводимых проверок, выполняются необходимые корректирующие действия, которые могут включать в себя, в частности, переоценку величины рисков, корректировку политики и методологии управления рисками, а также плана обработки рисков.

Факторы риска

Сущность любого подхода к управлению рисками заключается в анализе факторов риска и принятии адекватных решений по обработке рисков. Факторы риска – это те основные параметры, которыми мы оперируем при оценке рисков. Таких параметров всего семь:

  • Актив (Asset)
  • Ущерб (Loss)
  • Угроза (Threat)
  • Уязвимость (Vulnerability)
  • Мехнизм контроля (Сontrol)
  • Размер среднегодовых потерь (ALE)
  • Возврат инвестиций (ROI)

Способы анализа и оценки этих параметров определяются используемой в организации методологией оценки рисков. При этом общий подход и схема рассуждений примерно одинаковы, какая бы методология не использовалась. Процесс оценки рисков (assessment) включает в себя две фазы. На первой фазе, которая определяется в стандартах как анализ рисков (analysis), необходимо ответить на следующие вопросы:

  • Что является основным активом компании?
  • Какова реальная ценность данного актива?
  • Какие существуют угрозы в отношении данного актива?
  • Каковы последствия этих угроз и ущерб для бизнеса?
  • Насколько вероятны эти угрозы?
  • Насколько уязвим бизнес в отношении этих угроз?
  • Каков ожидаемый размер среднегодовых потерь?

На второй фазе, которая определяется стандартами как оценивание рисков (evaluation), необходимо ответить на вопрос: Какой уровень риска (размер среднегодовых потерь) является приемлемым для организации и, исходя из этого, какие риски превышают этот уровень.

Таким образом, по результатам оценки рисков, мы получаем описание рисков, превышающих допустимый уровень, и оценку величины этих рисков, которая определяется размером среднегодовых потерь. Далее необходимо принять решение по обработке рисков, т.е. ответить на следующие вопросы:

  • Какой вариант обработки риска выбираем?
  • Если принимается решение о минимизации риска, то какие механизмы контроля необходимо использовать?
  • Насколько эффективны эти механизмы контроля и какой возврат инвестиций они обеспечат?

На выходе данного процесса появляется план обработки рисков, определяющий способы обработки рисков, стоимость контрмер, а также сроки и ответственных за реализацию контрмер.

Принятие решения по обработке рисков

Принятие решения по обработке рисков – ключевой и наиболее ответственный момент в процессе управления рисками. Для того чтобы руководство могло принять правильное решение, сотрудник, отвечающий за управление рисками в организации, должен предоставить ему соответствующую информацию. Форма представления такой информации определяется стандартным алгоритмом делового общения, который включает в себя четыре основных пункта:

  • Сообщение о проблеме: В чем заключается угроза для бизнеса (источник, объект, способ реализации) и в чем причина ее существования?
  • Степень серьезности проблемы: Чем это грозит организации, ее руководству и акционерам?
  • Предлагаемое решение: Что предлагается сделать для исправления ситуации, во сколько это обойдется, кто это должен делать и что требуется непосредственно от руководства?
  • Альтернативные решения: Какие еще способы решения проблемы существуют (альтернативы есть всегда и у руководства должна быть возможность выбора).

Пункты 1 и 2, а также 3 и 4 могут меняться местами, в зависимости от конкретной ситуации.

Методы управления рисками

Существует достаточное количество хорошо себя зарекомендовавших и достаточно широко используемых методов оценки и управления рисками. Одним из таких методов является OCTAVE, разработанный в университете Карнеги-Мелон для внутреннего применения в организации. OCTAVE – Оценка критичных угроз, активов и уязвимостей (Operationally Critical Threat, Asset, and Vulnerability Evaluation) имеет ряд модификаций, рассчитанных на организации разного размера и области деятельности. Сущность этого метода заключается в том, что для оценки рисков используется последовательность соответствующим образом организованных внутренних семинаров (workshops). Оценка рисков осуществляется в три этапа, которым предшествует набор подготовительных мероприятий, включающих в себя согласования графика семинаров, назначения ролей, планирование, координация действий участников проектной группы.

На первом этапе, в ходе практических семинаров, осуществляется разработка профилей угроз, включающих в себя инвентаризацию и оценку ценности активов, идентификация применимых требований законодательства и нормативной базы, идентификацию угроз и оценку их вероятности, а также определение системы организационных мер по поддержанию режима ИБ.

На втором этапе производится технический анализ уязвимостей информационных систем организации в отношении угроз, чьи профили были разработаны на предыдущем этапе, который включает в себя идентификацию имеющихся уязвимостей информационных систем организации и оценку их величины.

На третьем этапе производится оценка и обработка рисков ИБ, включающая в себя определение величины и вероятности причинения ущерба в результате осуществления угроз безопасности с использованием уязвимостей, которые были идентифицированы на предыдущих этапах, определение стратегии защиты, а также выбор вариантов и принятие решений по обработке рисков. Величина риска определяется как усредненная величина годовых потерь организации в результате реализации угроз безопасности.

Аналогичный подход используется и в широко известном методе оценки рисков CRAMM, разработанном в свое время, по заказу британского правительства. В CRAMM основной способ оценки рисков – это тщательно спланированные интервью, в которых используются подробнейшие опросники. CRAMM используется в тысячах организаций по всему миру, благодаря, кроме всего прочего, и наличию весьма развитого программного инструментария, содержащего базу знаний по рискам и механизмам их минимизации, средства сбора информации, формирования отчетов, а также реализующего алгоритмы для вычисления величины рисков.

В отличие от метода OCTAVE, в CRAMM используется несколько иная последовательность действий и методы определения величины рисков. Сначала определяется целесообразность оценки рисков вообще и если информационная система организации недостаточно критична, то к ней применятся стандартный набор механизмов контроля описанный в международных стандартах и содержащихся в базе знаний CRAMM.

На первом этапе в методе CRAMM строиться модель ресурсов информационной системы, описывающая взаимосвязи между информационными, программными и техническими ресурсами, а также оценивается ценность ресурсов, исходя из возможного ущерба, который организация может понести в результате их компрометации.

На втором этапе производится оценка рисков, включающая в себя идентификацию и оценку вероятности угроз, оценку величины уязвимостей и вычисление рисков для каждой тройки: ресурс – угроза – уязвимость. В CRAMM оцениваются «чистые» риски, безотносительно к реализованным в системе механизмам контроля. На этапе оценки рисков предполагается, что контрмеры вообще не применяются и набор рекомендуемых контрмер по минимизации рисков, формируется, исходя из этого предположения.

На заключительном этапе инструментарием CRAMM формируется набор контрмер по минимизации идентифицированных рисков и производится сравнение рекомендуемых и существующих контрмер, после чего формируется план обработки рисков.

Инструментарий для управления рисками

В процессе оценки рисков мы проходим ряд последовательных этапов, периодически откатываясь на предыдущие этапы, например, переоценивая, определенный риск после выбора конкретной контрмеры для его минимизации. На каждом этапе необходимо иметь под рукой опросники, перечни угроз и уязвимостей, реестры ресурсов и рисков, документация, протоколы совещаний, стандарты и руководства. В связи с этим нужен некий запрограммированный алгоритм, база данных и интерфейс для работы с этими разнообразными данными.

Для управления рисками ИБ можно применять инструментарий, например, как в методе CRAMM, либо RA2 (показан на рисунке), однако это не является обязательным. Примерно также об этом сказано и в стандарте BS 7799-3. Полезность применения инструментария может заключаться в том, что он содержит запрограмированый алгоритм рабочего процесса оценки и управления рисками, что упрощает работу неопытному специалисту.

Использование инструментария позволяет унифицировать методологию и упростить использование результатов для переоценки рисков, даже если она выполняется другими специалистами. Благодаря использованию инструментария есть возможность упорядочить хранение данных и работу с моделью ресурсов, профилями угроз, перечнями уязвимостей и рисками.

Помимо собственно средств оценки и управления рисками программный инструментарий может также содержать дополнительные средства для документирования СУИБ, анализа расхождений с требованиями стандартов, разработки реестра ресурсов, а также другие средства, необходимые для внедрения и эксплуатации СУИБ.

Выводы

Выбор качественного или количественного подходов к оценке рисков, определяется характером бизнеса организации и уровнем его информатизации, т.е. важностью для него информационных активов, а также уровнем зрелости организации.

При реализации формального подхода к управлению рисками в организации необходимо опираться, прежде всего, на здравый смысл, существующие стандарты (например, BS 7799-3) и хорошо зарекомендовавшие себя методологии (например, OCTAVE или CRAMM). Может оказаться полезным использовать для этих целей программный инструментарий, который реализует соответствующие методологии и в максимальной степени отвечает требованиям стандартов (например, RA2).

Эффективность процесса управления рисками ИБ определяется точностью и полнотой анализа и оценки факторов риска, а также эффективностью используемых в организации механизмов принятия управленческих решений и контроля их исполнения.

Ссылки

  • Астахов А.М., «История стандарта BS 7799», http://www.globaltrust.ru/shop/osnov.php?idstat=61&idcatstat=12
  • Астахов А.М., «Как построить и сертифицировать систему управления информационной безопасностью?»,

Известно, что риск - это вероятность реализации угрозы информационной безопасности. В классическом представлении оценка рисков включает в себя оценку угроз, уязвимостей и ущерба, наносимого при их реализации. Анализ риска заключается в моделировании картины наступления этих самых неблагоприятных условий посредством учета всех возможных факторов, определяющих риск как таковой. С математической точки зрения при анализе рисков такие факторы можно считать входными параметрами.

Перечислим эти параметры:
1) активы - ключевые компоненты инфраструктуры системы, вовлеченные в бизнес-процесс и имеющие определенную ценность;
2) угрозы, реализация которых возможна посредством эксплуатации уязвимости;
3) уязвимости - слабость в средствах защиты, вызванная ошибками или несовершенством в процедурах, проекте, реализации, которая может быть использована для проникновения в систему;
4) ущерб который оценивается с учетом затрат на восстановление системы в исходное состояния после возможного инцидента ИБ.

Итак, первым этапом при проведении многофакторного анализа рисков является идентификация и классификация анализируемых входных параметров. Далее необходимо провести градацию каждого параметра по уровням значимости (например: высокий, средний, низкий). На заключительном этапе моделирования вероятного риска (предшествующем получению числовых данных уровня риска) происходит привязка выявленных угроз и уязвимостей к конкретным компонентам ИТ-инфраструктуры (такая привязка может подразумевать, к примеру, анализ риска с учетом и без учета наличия средств защиты системы, вероятности того, что система будет скомпрометирована ввиду неучтенных факторов и т.д.). Давайте рассмотрим процесс моделирования рисков пошагово. Для этого прежде всего обратим внимание на активы компании.

Инвентаризация активов компании
(SYSTEM CHARACTERIZATION)

Прежде всего, необходимо определить, что является ценным активом компании с точки зрения информационной безопасности. Стандарт ISO 17799, подробно описывающий процедуры системы управления ИБ, выделяет следующие виды активов:
. информационные ресурсы (базы и файлы данных, контракты и соглашения, системная документация, научно-исследовательская информация, документация, обучающие материалы и пр.);
. программное обеспечение;
. материальные активы (компьютерное оборудование, средства телекоммуникаций и пр.);
. сервисы (сервисы телекоммуникаций, системы обеспечения жизнедеятельности и др.);
. сотрудники компании, их квалификация и опыт;
. нематериальные ресурсы (репутация и имидж компании).

Следует определить, нарушение информационной безопасности каких активов может нанести ущерб компании. В этом случае актив будет считаться ценным, и его необходимо будет учитывать при анализе информационных рисков. Инвентаризация заключается в составлении перечня ценных активов компании. Как правило, данный процесс выполняют владельцы активов. Понятие "владелец" определяет лиц или стороны, которые имеют утвержденные руководством компании обязанности по управлению созданием, разработкой, поддержанием, использованием и защитой активов.

В процессе категорирования активов необходимо оценить критичность активов для бизнес-процессов компании или, другими словами, определить, какой ущерб понесет компания в случае нарушения информационной безопасности активов. Данный процесс вызывает наибольшую сложность, т.к. ценность активов определяется на основе экспертных оценок их владельцев. В процессе данного этапа часто проводятся обсуждения между консультантами по разработке системы управления и владельцами активов. Это помогает владельцам активов понять, каким образом следует определять ценность активов с точки зрения информационной безопасности (как правило, процесс определения критичности активов является для владельца новым и нетривиальным). Кроме этого, для владельцев активов разрабатываются различные методики оценки. В частности, такие методики могут содержать конкретные критерии (актуальные для данной компании), которые следует учитывать при оценке критичности.

Оценка критичности активов

Оценка критичности активов выполняется по трем параметрам: конфиденциальности, целостности и доступности. Т.е. следует оценить ущерб, который понесет компания при нарушении конфиденциальности, целостности или доступности активов. Оценку критичности активов можно выполнять в денежных единицах и в уровнях. Однако, учитывая тот факт, что для анализа информационных рисков необходимы значения в денежных единицах, в случае оценки критичности активов в уровнях следует определить оценку каждого уровня в деньгах.

Согласно авторитетной классификации NIST, включенной в RISK MANAGEMENT GUIDE FOR THE INFORMATION TECHNOLOGY SYSTEMS, категорированию и оценке угроз предшествует непосредственная идентификация их источников. Так, согласно вышеупомянутой классификации, можно выделить основные источники угроз, среди которых:
. угрозы природного происхождения (землетрясения, наводнения и т.п.);
. угрозы, исходящие от человека (неавторизованный доступ, сетевые атаки, ошибки пользователей и т.п.);
. угрозы техногенного происхождения (аварии различного рода, отключение электроснабжения, химическое загрязнение и т.п.).

Вышеописанная классификация может быть далее категорирована более подробно.
Так, к самостоятельным категориям источников угроз, происходящих от человека, согласно упомянутой классификации NIST относятся:
- хакеры;
- криминальные структуры;
- террористы;
- компании, занимающиеся промышленным шпионажем;
- инсайдеры.
Каждая из перечисленных угроз, в свою очередь, должна быть детализирована и оценена по шкале значимости (например: низкий, средний, высокий).

Очевидно, что анализ угроз должен рассматриваться в тесной связи с уязвимостями исследуемой нами системы. Задачей данного этапа управления рисками является составление перечня возможных уязвимостей системы и категорирование этих уязвимостей с учетом их "силы". Так, согласно общемировой практике, градацию уязвимостей можно разбить по уровням: Критический, Высокий, Средний, Низкий. Рассмотрим эти уровни более подробно:

1. Критический уровень опасности. К этому уровню опасности относятся уязвимости, которые позволяют осуществить удаленную компрометацию системы без дополнительного воздействия целевого пользователя и активно эксплуатируются в настоящее время. Данный уровень опасности подразумевает, что эксплойт находится в публичном доступе.

2. Высокая степень опасности. К этому уровню опасности относятся уязвимости, которые позволяют осуществить удаленную компрометацию системы. Как правило, для подобных уязвимостей не существует эксплойта в публичном доступе.

3. Средняя степень опасности. К этому уровню опасности относятся уязвимости, которые позволяют провести удаленный отказ в обслуживании, неавторизованный доступ к данным или выполнение произвольного кода при непосредственном взаимодействии с пользователем (например, через подключение к злонамеренному серверу уязвимым приложением).

4. Низкий уровень опасности. К этому уровню относятся все уязвимости, эксплуатируемые локально, а также уязвимости, эксплуатация которых затруднена или которые имеют минимальное воздействие (например, XSS, отказ в обслуживании клиентского приложения).

Источником составления такого перечня/списка уязвимостей должны стать:
. общедоступные регулярно публикуемые списки уязвимостей (как пример: www.securitylab.ru);
. список уязвимостей публикуемых производителем ПО (как пример: www.apache.org);
. результаты тестов на проникновение (как пример: www.site-sec.com);
. анализ отчетов сканеров уязвимостей (проводится администратором безопасности внутри компании).

В общем случае уязвимости можно классифицировать следующим образом:
. Уязвимости ОС и ПО (ошибки кода), обнаруженные производителем или независимыми экспертами (на момент написания статьи общее количество обнаруженных уязвимостей достигло отметки около ~1900 - сюда вошли уязвимости, опубликованные в "багтреках" на xakep.ru, securitylab, milw0rm.com и securityfocus.com).
. Уязвимости системы, связанные с ошибками в администрировании (неадекватные окружению настройки web-сервера или PHP, не закрытые межсетевым экраном порты с уязвимыми сервисами и т.п.).
. Уязвимости, источниками которых могут стать инциденты, не предусмотренные политикой безопасности, а также события стихийного характера. В качестве яркого примера распространенной уязвимости ОС и ПО можно привести переполнение буфера (buffer overflow). К слову будь сказано, абсолютное большинство из ныне существующих эксплойтов реализуют класс уязвимостей на переполнение буфера.

Численные методы оценки рисков

Простейшая оценка информационных рисков заключается в расчете рисков, который выполняется с учетом сведений о критичности активов, а также вероятностей реализации уязвимостей.
Классическая формула оценки рисков:
R=D*P(V), где R - информационный риск;
D - критичность актива (ущерб);
P(V) - вероятность реализации уязвимости.
Одним из примеров практической реализации вышеописанного подхода к определению уровней риска является матрица рисков, предложенная NIST.

Threat Likelihood-угроза (ее вероятность) Impact-ущерб
Low (низкий) - 10 Medium (средний) -50 High (высокий) -100
High (высокая) - 1 Low (низкий) 10x1=10 Medium (средний) 50x1=50 High (высокий) 100x1=100
Medium (средняя) - 0.5 Low (низкий) 10x0.5=5 Medium (средний) 50x0.5=25 Medium (средний) 100x0.5=50
Low (низкая) - 0.1 Low (низкий) 10x0.1=1 Low (низкий) 50x0.1=5 Low (низкий) 100x0.1=10
Уровень риска: Высокий (от 50 до 100); Средний (от 10 до 50); Низкий (от 1 до 10).

Каждый из возможных входных параметров (к примеру, уязвимость, угроза, актив и ущерб) описывается своей функцией принадлежности с учетом соответствующего коэффициента.

Оценка рисков на основе нечеткой логики

Механизмы оценки рисков на основе нечеткой логики включает в себя последовательность этапов, в каждом из которых используются результаты предыдущего этапа. Последовательность этих этапов обычно следующая:
. Ввод правил программирования в виде продукционных правил ("ЕСЛИ,… ТО"), отражающих взаимосвязь уровня входных данных и уровня риска на выходе.
. Задание функции принадлежности входных переменных (как пример - с помощью специализированных программ вроде "Fuzyy logic" - в данном примере мы использовали MatLab).
. Получение первичного результата оценок входных переменных.
. Фазификация оценок входных переменных (нахождение конкретных значений функций принадлежности).
. Агрегирование (подразумевает проверку истинности условий путем преобразований функций принадлежности через нечеткую конъюнкцию и нечеткую дизъюнкцию).
. Активизация заключений (нахождение весовых коэффициентов по каждому из правил и функций истинности).
. Аккумуляция заключений (нахождение функции принадлежности для каждой из выходных переменных).
. Дефазификация (нахождение четких значений выходных переменных).

Так, в вышеприведенном примере (таблица 1.1.) фактически был рассмотрен двухпараметрический алгоритм оценки риска с трехуровневыми шкалами входных параметров. При этом:
. для входных величин и риска были заданы трехуровневые шкалы, на которых определены нечеткие термы (соответствует "большому", "среднему" и "низкому" значениям переменных - см. рис. 1);
. значимость всех логических правил вывода одинакова (все весовые коэффициенты продукционных правил равны единице).

Рис. 1. Трапециевидные функции принадлежности трехуровневой шкалы "уязвимости"

Очевидно, что двухпараметрический алгоритм, предусматривающий ввод двух входных переменных не может обеспечить получение объективного результата анализа риска, особенно с учетом множества факторов - входных переменных, которые, к слову, отражают реальную картину оценки риска ИБ.

Четырехпараметрический алгоритм

Предположим, что с помощью продукционных правил нечеткой логики необходимо воспроизвести механизм вывода с учетом четырех входных переменных. Такими переменными в данном случае являются:
. активы;
. уязвимость;
. угроза (а точнее, ее вероятность);
. ущерб.

Каждый из перечисленных входных переменных оценивается по своей шкале. Так, предположим, что на основе предварительного анализа были получены некоторые оценки входных переменных (рис. 2.):

Рис. 2. Ввод оценок переменных и механизм вывода

На простейшем примере рассмотрим вид продукционных правил для некоторого случая с трехуровневой шкалой:

Рис. 3. Продукционные правила четырехпараметрического алгоритма

Графический интерфейс Fuzzy Logic Toolbox в данном случае позволяет просматривать графики зависимости риска от вероятности угрозы и соответственно других входных переменных.

Рис.4. Зависимость риска от вероятности угрозы

Рис. 5. Зависимость риска от ущерба

Гладкий и монотонный график зависимости "кривой вывода" свидетельствует о достаточности и непротиворечивости используемых правил вывода. Наглядное графическое представление позволяет оценить адекватность свойств механизма вывода предъявляемым требованиям. В данном случае "кривая вывода" свидетельствует о том, что механизм вывода целесообразно использовать только в области низких значений вероятности, т.е. при вероятности меньше 0,5. Чем же можно объяснить такой "завал" в значениях при вероятности больше 0,5? Вероятно, тем, что применение трехуровневой шкалы, как правило, отражается на чувствительности алгоритма в области высоких значений вероятности.

Обзор некоторых Инструментальных средств анализа рисков с учетом множества факторов

При выполнении полного анализа рисков с учетом множества факторов приходится решать ряд сложных проблем:
. Как определить ценность ресурсов?
. Как составить полный список угроз ИБ и оценить их параметры?
. Как правильно выбрать контрмеры и оценить их эффективность?
Для решения этих проблем существуют специально разработанные инструментальные средства, построенные с использованием структурных методов системного анализа и проектирования (SSADM - Structured Systems Analysis and Design), которые обеспечивают:
- построение модели ИС с точки зрения ИБ;
- методы для оценки ценности ресурсов;
- инструментарий для составления списка угроз и оценки их вероятностей;
- выбор контрмер и анализ их эффективности;
- анализ вариантов построения защиты;
- документирование (генерацию отчетов).
В настоящее время на рынке присутствует несколько программных продуктов этого класса. Наиболее популярный из них - CRAMM. Кратко рассмотрим его ниже.

Метод CRAMM

В 1985 году Центральное агентство по компьютерам и телекоммуникациям (CCTA) Великобритании начало исследования существующих методов анализа ИБ для того, чтобы рекомендовать методы, пригодные для использования в правительственных учреждениях, занятых обработкой несекретной, но критичной информации. Ни один из рассмотренных методов не подошел. Поэтому был разработан новый метод, соответствующий требованиям CCTA. Он получил название CRAMM - Метод CCTA Анализа и Контроля Рисков. Затем появилось несколько версий метода, ориентированных на требования Министерства обороны, гражданских государственных учреждений, финансовых структур, частных организаций. Одна из версий - "коммерческий профиль" - является коммерческим продуктом. В настоящее время CRAMM является, судя по числу ссылок в интернет, самым распространенным методом анализа и контроля рисков. Анализ рисков включает в себя идентификацию и вычисление уровней (мер) рисков на основе оценок, присвоенных ресурсам, угрозам и уязвимостям ресурсов. Контроль рисков состоит в идентификации и выборе контрмер, позволяющих снизить риски до приемлемого уровня. Формальный метод, основанный на этой концепции, должен позволить убедиться, что защита охватывает всю систему, и существует уверенность в том, что:

Все возможные риски идентифицированы;
. уязвимости ресурсов идентифицированы, и их уровни оценены;
. угрозы идентифицированы, и их уровни оценены;
. контрмеры эффективны;
. расходы, связанные с ИБ, оправданы.

Олег Бойцев, руководитель "Cerber Security//Анализ Безопасности Вашего Сайта"

В настоящее время используются различные методы оценки информационных рисков компаний и управления ими. Оценка информационных рисков компании может быть выполнена в соответствии со следующим планом:

1) Идентификация и количественная оценка информационных ресурсов компании, значимых для бизнеса.

2) Оценивание возможных угроз.

3) Оценивание существующих уязвимостей.

4) Оценивание эффективности средств обеспечения информационной безопасности.

Предполагается, что значимые для бизнеса уязвимые информационные ресурсы компании подвергаются риску, если по отношению к ним существуют какие-либо угрозы. Другими словами, риски характеризуют опасность, которая может угрожать компонентам корпоративной информационной системы. При этом информационные риски компании зависят от:

Показателей ценности информационных ресурсов;

Вероятности реализации угроз для ресурсов;

Эффективности существующих или планируемых средств обеспечения информационной безопасности.

Цель оценивания рисков состоит в определении характеристик рисков корпоративной информационной системы и ее ресурсов. После оценки рисков можно выбрать средства, обеспечивающие желаемый уровень информационной безопасности компании. При оценивании рисков учитываются такие факторы, как ценность ресурсов, значимость угроз и уязвимостей, эффективность имеющихся и планируемых средств защиты. Возможность реализации угрозы для некоторого ресурса компании оценивается вероятностью ее реализации в течение заданного отрезка времени. При этом вероятность того, что угроза реализуется, определяется следующими основными факторами:

Привлекательностью ресурса (учитывается при рассмотрении угрозы от умышленного воздействия со стороны человека);

Возможностью использования ресурса для получения дохода (также в случае угрозы от умышленного воздействия со стороны человека);

Техническими возможностями реализации угрозы при умышленном воздействии со стороны человека;

Степенью легкости, с которой уязвимость может быть использована.

В настоящее время управление информационными рисками представляет собой одно из наиболее актуальных и динамично развивающихся направлений стратегического и оперативного менеджмента в области защиты информации. Его основная задача - объективно идентифицировать и оценить наиболее значимые для бизнеса информационные риски компании, а также адекватность используемых средств контроля рисков для увеличения эффективности и рентабельности экономической деятельности компании. Поэтому под термином «управление информационными рисками» обычно понимается системный процесс идентификации, контроля и уменьшения информационных рисков компаний в соответствии с определенными ограничениями российской нормативно­правовой базы в области защиты информации и собственной корпоративной политики безопасности. Считается, что качественное управление рисками позволяет использовать оптимальные по эффективности и затратам средства контроля рисков и средства защиты информации, адекватные текущим целям и задачам бизнеса компании.

Не секрет, что сегодня наблюдается повсеместное усиление зависимости успешной бизнес­деятельности отечественных компаний от используемых организационных мер и технических средств контроля и уменьшения риска. Для эффективного управления информационными рисками разработаны специальные методики, например методики международных стандартов ISO 15408, ISO 17799 (BS7799), BSI; а также национальных стандартов NIST 800­30, SAC, COSO, SAS 55/78 и некоторые другие, аналогичные им. В соответствие с этими методиками управление информационными рисками любой компании предполагает следующее. Во­первых, определение основных целей и задач защиты информационных активов компании. Во­вторых, создание эффективной системы оценки и управления информационными рисками. В­третьих, расчет совокупности детализированных не только качественных, но и количественных оценок рисков, адекватных заявленным целям бизнеса. В­четвертых, применение специального инструментария оценивания и управления рисками.

Качественные методики управления рисками

Качественные методики управления рисками приняты на вооружение в технологически развитых странах многочисленной армией внутренних и внешних IT­аудиторов. Эти методики достаточно популярны и относительно просты, и разработаны, как правило, на основе требований международного стандарта ISO 17799­2002.

Стандарт ISO 17799 содержит две части.

В Части 1: Практические рекомендации по управлению информационной безо­пасностью, 2002 г., определены основные аспекты организации режима информационной безопасности в компании: Политика безопасности. Организация защиты. Классификация и управление информационными ресурсами. Управление персоналом. Физическая безопасность. Администрирование компьютерных систем и сетей. Управление доступом к системам. Разработка и сопровождение систем. Планирование бесперебойной работы организации. Проверка системы на соответствие требованиям ИБ.

Часть 2: Спецификации, 2002 г., рассматривает эти же аспекты с точки зрения сертификации режима информационной безопасности компании на соответствие требованиям стандарта. С практической точки зрения эта часть является инструментом для IT­аудитора и позволяет оперативно проводить внутренний или внешний аудит информационной безопасности любой компании.

К качественным методикам управления рисками на основе требований ISO 17999 относятся методики COBRA и RA Software Tool. Давайте кратко рассмот­рим названные методики.

Эта методика позволяет выполнить в автоматизированном режиме простейший вариант оценивания информационных рисков любой компании. Для этого предлагается использовать специальные электронные базы знаний и процедуры логического вывода, ориентированные на требования ISO 17799. Существенно, что при желании перечень учитываемых требований можно дополнить различными требованиями отечественных нормативно­регулирующих органов, например, требованиями руководящих документов (РД) Гос­техкомиссии при Президенте РФ.

Методика COBRA представляет требования стандарта ISO 17799 в виде тематических вопросников (check list’s), на которые следует ответить в ходе оценки рисков информационных активов и электронных бизнес­транзакций компании (рис. 1. - Пример тематического сборника вопросов COBRA ). Далее введенные ответы автоматически обрабатываются,и с помощью соответствующих правил логического вывода формируется итоговый отчет c текущими оценками информационных рисков компании и рекомендациями по их управлению.

RA Software Tool

Методика и одноименное инструментальное средство RA Software Tool (рис. 2. - Основные модули методики RA Software Tool ) основаны на требованиях международных стандартов ISO 17999 и ISO 13335 (части 3 и 4), а также на требованиях некоторых руководств Британского национального института стандартов (BSI), например, PD 3002 (Руководство по оценке и управлению рисками), PD 3003 (Оценка готовности компании к аудиту в соответствии с BS 7799), PD 3005 (Руководство по выбору системы защиты) и пр.

Эта методика позволяет выполнять оценку информационных рисков (модули 4 и 5) в соответствии с требованиями ISO 17799, а при желании в соответствии с более детальными спецификациями руководства PD 3002 Британского института стандартов.

Количественные методики управления рисками

Вторую группу методик управления рисками составляют количественные методики, актуальность которых обу­словлена необходимостью решения различных оптимизационных задач, которые часто возникают в реальной жизни. Суть этих задач сводится к поиску единственного оптимального решения, из множества существующих. Например, необходимо ответить на следующие вопросы: «Как, оставаясь в рамках утвержденного годового (квартального) бюджета на информационную безопасность, достигнуть максимального уровня защищенности информационных активов компании?» или «Какую из альтернатив построения корпоративной защиты информации (защищенного WWW сайта или корпоративной E­mail) выбрать с учетом известных ограничений бизнес­ресурсов компании?» Для решения этих задач и разрабатываются методы и методики количественной оценки и управления рисками на основе структурных и реже объектноориентированных методов системного анализа и проектирования (SSADM - Structured Systems Analysis and Design). На практике такие методики управления рисками позволяют: Создавать модели информационных активов компании с точки зрения безопасности; Классифицировать и оценивать ценности активов; Составлять списки наиболее значимых угроз и уязвимостей безопасности; Ранжировать угрозы и уязвимости безопасности; Обосновывать средства и меры контроля рисков; Оценивать эффективность/стоимость различных вариантов защиты; Формализовать и автоматизировать процедуры оценивания и управления рисками.

Одной из наиболее известных методик этого класса является методика CRAMM.

сначала был создан метод, а затем одноименная методика CRAMM (анализа и контроля рисков), соответствующая требованиям CCTA. Затем появилось несколько версий методики, ориентированных на требования различных государственных и коммер­ческих организаций и структур. Одна из версий «коммерческого профиля» широко распространилась на рынке средств защиты информации.

Основными целями методики CRAMM являются: Формализация и автоматизация процедур анализа и управления рисками; Оптимизация расходов на средства контроля и защиты; Комплексное планирование и управ­ление рисками на всех стадиях жизненного цикла информационных систем; Сокращение времени на разработку и сопровождение корпоративной системы защиты информации; Обоснование эффективности предлагаемых мер защиты и средств контроля; Управление изменениями и инциден­тами; Поддержка непрерывности бизнеса; Оперативное принятие решений по вопросам управления безопасностью и пр.

Управление рисками в методике СRAMM осуществляется в несколько этапов (рис. 3).

На первом этапе инициации - «Initiation» - определяются границы исследуемой информационной системы компании, состав и структура ее основных информационных активов и транзакций.

На этапе идентификации и оценки ресурсов - «Identification and Valuation of Assets» - четко идентифицируются активы и определяется их стоимость. Расчет стоимости информационных активов однозначно позволяет определить необходимость и достаточность предлагаемых средств контроля и защиты.

На этапе оценивания угроз и уязвимостей - «Threat and Vulnerability Assessment» - идентифицируются и оцениваются угрозы и уязвимости информационных активов компании.

Этап анализа рисков - «Risk Analysis» - позволяет получить качественные и количественные оценки рисков.

На этапе управления рисками - «Risk management» - предлагаются меры и средства уменьшения или уклонения от риска.

Давайте рассмотрим возможности CRAMM на следующем примере. Пусть проводится оценка информационных рисков следующей корпоративной информационной системы (рис. 4).

В этой схеме условно выделим следующие элементы системы: рабочие места, на которых операторы вводят информацию, поступающую из внешнего мира; почтовый сервер, на который информация поступает с удаленных узлов сети через Интернет; сервер обработки, на котором установлена СУБД; сервер резервного копирования; рабочие места группы оперативного реагирования; рабочее место администратора безопасности; рабочее место администратора БД.

Функционирование системы осуществляется следующим образом. Данные, введенные с рабочих мест пользователей и поступившие на почтовый сервер, направляются на сервер корпоративной обработки данных. Затем данные поступают на рабочие места группы оперативного реагирования и там принимаются соответствующие решения.

Давайте теперь проведем анализ рисков с помощью методики CRAMM и предложим некоторые средства контроля и управления рисками, адекватные целям и задачам бизнеса компании.

Определение границ исследования. Этап начинается с решения задачи определения границ исследуемой системы. Для этого собирается следующая информация: ответственные за физические и программные ресурсы; кто является пользователем и как пользователи применяют или будут использовать систему; конфигурация системы. Первичная информация собирается в процессе бесед с менеджерами проектов, менеджером пользователей или другими сотрудниками.

Идентификация ресурсов и построение модели системы с точки зрения ИБ. Проводится идентификация ресурсов: материальных, программных и ин­формационных, содержащихся внутри границ системы. Каждый ресурс необходимо отнести к одному из предопределенных классов. Классификация физических ресурсов приводится в приложении. Затем строится модель информационной системы с точки зрения ИБ. Для каждого информационного процесса, имеющего самостоятельное значение с точки зрения пользователя и называемого пользовательским сервисом (End­User­Service), строится дерево связей используемых ресурсов. В рассматриваемом примере будет единственный подобный сервис (рис. 5). Построенная модель позволяет выделить критичные элементы.

Ценность ресурсов. Методика позволяет определить ценность ресурсов. Этот шаг является обязательным в полном варианте анализа рисков. Ценность физических ресурсов в данном методе определяется ценой их восстановления в случае разрушения. Ценность данных и программного обеспечения определяется в следующих ситуациях: недоступность ресурса в течение определенного периода времени; разрушение ресурса - потеря информации, полученной со времени последнего резервного копирования или ее полное разрушение; нарушение конфиденциальности в случаях несанкционированного доступа штатных сотрудников или посторонних лиц; модификация рассматривается для случаев мелких ошибок персонала (ошибки ввода), программных ошибок, преднамеренных ошибок; ошибки, связанные с передачей информации: отказ от доставки, недоставка информации, доставка по неверному адресу. Для оценки возможного ущерба предлагается использовать следующие критерии: ущерб репутации организации; нарушение действующего законодательства; ущерб для здоровья персонала; ущерб, связанный с разглашением персональных данных отдельных лиц; финансовые потери от разглашения информации; финансовые потери, связанные с восстановлением ресурсов; потери, связанные с невозможностью выполнения обязательств; дезорганизация деятельности.

Приведенная совокупность критериев используется в коммерческом варианте метода (профиль Standard). В других версиях совокупность будет иной, например, в версии, используемой в правительственных учреждениях, добавляются параметры, отражающие такие области, как национальная безопасность и международные отношения.

Для данных и программного обеспечения выбираются применимые к данной ИС критерии, дается оценка ущерба по шкале со значениями от 1 до 10.

К примеру, если данные содержат подробности коммерческой конфиденциальной (критичной) информации, эксперт, проводящий исследование, задает вопрос: как может повлиять на организацию несанкционированный доступ посторонних лиц к этой информации?

Возможен такой ответ: провал сразу по нескольким параметрам из перечисленных выше, причем каждый аспект следовало бы рассмотреть подробнее и присвоить самую высокую из возможных оценок.

Затем разрабатываются шкалы для выбранной системы параметров. Они могут выглядеть следующим образом.

Ущерб репутации организации: 2 - негативная реакция отдельных чиновников, общественных деятелей; 4 - критика в средствах массовой информации, не имеющая широкого общественного резонанса; 6 - негативная реакция отдельных депутатов Думы, Совета Федерации; 8 - критика в средствах массовой информации, имеющая последствия в виде крупных скандалов, парламентских слушаний, широкомасштабных проверок и т. п.; 10 - негативная реакция на уровне Президента и Правительства.

Ущерб для здоровья персонала: 2 - минимальный ущерб (последствия не связаны с госпитализаций или длительным лечением); 4 - ущерб среднего размера (необходимо лечение для одного или нескольких сотрудников, но длительных отрицательных последствий нет); 6 - серьезные последствия (длительная госпитализация, инвалидность одного или нескольких сотрудников); 10 - гибель людей.

Финансовые потери, связанныес восстановлением ресурсов: 2 - менее $1000; 6 - от $1000 до $10 000; 8 - от $10 000 до $100 000; 10 - свыше $100 000.

Дезорганизация деятельностив связи с недоступностью данных: 2 - отсутствие доступа к информации до 15 минут; 4 - отсутствие доступа к информации до 1 часа; 6 - отсутствие доступа к информации до 3 часов; 8 - отсутствие доступа к информации от 12 часов; 10 - отсутствие доступа к информации более суток.

На этом этапе может быть подготовлено несколько типов отчетов (границы системы, модель, определение ценности ресурсов). Если ценности ресурсов низкие, можно использовать базовый вариант защиты. В таком случае исследователь может перейти от этой стадии сразу к стадии анализа рисков. Однако для адекватного учета потенциального воздействия какой­либо угрозы, уязвимости или комбинации угроз и уязвимостей, которые имеют высокие уровни, следует использовать сокращенную версию стадии оценки угроз и уязвимостей. Это позволяет разработать более эффективную систему защиты информации компании.

На этапе оценивания угроз и уявимостей оцениваются зависимости пользовательских сервисов от определенных групп ресурсов и существующий уровень угроз и уязвимостей.

Далее активы компании группируются с точки зрения угроз и уязвимостей.Например, в случае наличия угрозы пожара или кражи, в качестве группы ресурсов разумно рассмотреть все ресурсы, находящиеся в одном месте (серверный зал, комната средств связи и т. д.).

При этом оценка уровней угроз и уязвимостей может проводиться на основе косвенных факторов или на основе прямых оценок экспертов. В первом случае программное обеспечение CRAMM для каждой группы ресурсов и каждого из них генерирует список вопросов, допускающих однозначный ответ (рис. 8. -Оценка уровня угрозы безопасности по косвенным факторам ).

Уровень угроз оценивается, в зависимости от ответов, как: очень высокий; высокий; средний; низкий; очень низкий.

Уровень уязвимости оценивается, в зависимости от ответов, как: высокий; средний; низкий; отсутствует.

Возможно проведение коррекции результатов или использование других методов оценки. На основе этой информации рассчитываются уровни рисков в дискретной шкале с градациями от 1 до 7 (этап анализа рисков). Полученные уровни угроз, уязвимостей и рисков анализируются и согласовываются с заказчиком. Только после этого можно переходить к заключительной стадии метода.

Управление рисками. Основные шаги стадии управления рисками представлены на рис. 9.

На этом этапе CRAMM генерирует несколько вариантов мер противодействия, адекватных выявленным рискам и их уровням. Контрмеры разбиваются на группы и подгруппы по следующим категориям: Обеспечение безопасности на сетевом уровне. Обеспечение физической безопасности. Обеспечение безопасности поддерживающей инфраструктуры. Меры безопасности на уровне системного администратора.

В результате выполнения данного этапа формируется несколько видов отчетов.

Таким образом, рассмотренная методика анализа и управления рисками полностью применима и в российских условиях, несмотря на то, что показатели защищенности от НСД к информации и требования по защите информации различаются в российских РД и зарубежных стандартах. Особенно полезным представляется использование инструментальных средств типа метода CRAMM при проведении анализа рисков информационных систем с повышенными требованиями в области ИБ. Это позволяет получать обоснованные оценки существующих и допустимых уровней угроз, уязвимостей, эффективности защиты.

Методика MethodWare

Компания MethodWare разработала свою собственную методику оценки и управления рисками и выпустила ряд соответствующих инструментальных средств. К этим средствам относятся: ПО анализа и управления рисками Operational Risk Builder и Risk Advisor. Методика соответствует австралийскому стандарту Australian/New Zealand Risk Management Standard (AS/NZS 4360:1999) и стандарту ISO17799. ПО управления жизненным цик­лом информационной технологии в соответствии с CobiT Advisor 3rd Edition (Audit) и CobiT 3rd Edition Management Advisor. В руководствах CobiT существенное место уделяется анализу и управлению рисками. ПО для автоматизации построения разнообразных опросных листов Questionnaire Builder.

Давайте кратко рассмотрим возможности Risk Advisor. Это ПО позиционируется как инструментарий аналитика или менеджера в области информационной безопасности. Реализована методика, позволяющая задать модель информационной системы с позиции информационной безопасности, идентифицировать риски, угрозы, потери в результате инцидентов. Основными этапами работы являются: описание контекста, определение рисков, оценка угроз и возможного ущерба, выработка управляющих воздействий и разработка плана восстановления и действий в чрезвычайных ситуациях. Давайте рассмотрим перечисленные этапы подробнее. Описание рисков. Задается матрица рисков (рис. 10. - Идентификация и определение рисков в Risk Advisor ) на основе некоторого шаблона. Риски оцениваются по качественной шкале и разделяются на приемлемые и неприемлемые (рис. 11. - Разделение рисков на приемлемые и неприемлемые в Risk Advisor ). Затем выбираются управляющие воздействия (контрмеры) с учетом зафиксированной ранее системы критериев, эффективности контрмер и их стоимости. Стоимость и эффективность также оцениваются в качественных шкалах.

Описание угроз. В начале формируется список угроз. Угрозы определенным образом классифицируются, затем описывается связь между рисками и угрозами. Описание также делается на качественном уровне и позволяет зафиксировать их взаимосвязи.

Описание потерь. Описываются события (последствия), связанные с нарушением режима информационной безопасности. Потери оцениваются в выбранной системе критериев.

Анализ результатов. В результате построения модели можно сформировать подробный отчет (около 100 разделов), посмотреть на экране агрегированные описания в виде графа­рисков.

Рассмотренная методика позволяет автоматизировать различные аспекты управления рисками компании. При этом оценки рисков даются в качественных шкалах. Подробный анализ факторов рисков не предусмотрен. Сильной стороной рассмотренной методики является возможность описания различных связей, адекватный учет многих факторов риска и существенно меньшая трудоемкость по сравнению с CRAMM.

Заключение

Современные методики и технологии управления информационными рисками позволяют оценить существующий уровень остаточных информационных рисков в отечественных компаниях. Это особенно важно в тех случаях, когда к информационной системе компании предъявляются повышенные требования в области защиты информации и непрерывности бизнеса.Сегодня существует ряд методик анализа рисков, в том числе с использованием CASE­средств, адаптированныхк использованию в отечественных условиях. Существенно, что качественно выполненный анализ информационных рисков позволяет провести сравнительный анализ «эффективность­стоимость» различных вариантов защиты, выбрать адекватные контрмеры и средства контроля, оценить уровень остаточных рисков. Кроме того, инструментальные средства анализа рисков, основанные на современных базах знаний и процедурах логического вывода, позволяют построить структурные и объектно­ориентированные модели информационных активов компании, модели угроз и модели рисков, связанных с отдельными информационными и бизнес­транзакциями и, следовательно, выявлять такие информационные активы компании, риск нарушения защищенности которых является критическим, то есть неприемлемым. Такие инструментальные средства предоставляют возможность построить различные модели защиты информационных активов компании, сравнивать между собой по критерию «эффективность­стоимость» различные варианты комплексов мер защиты и контроля, а также вести мониторинг выполнения требований по организации режима информационной безопасности отечественной компании.

Информационные риски - это опасность возникновения убытков или ущерба в результате применения компанией информационных технологий.

Иными словами, IT-риски связаны с созданием, передачей, хранением и использованием информации с помощью электронных носителей и иных средств связи. риски делятся на две категории:

  • ? риски, вызванные утечкой информации и использованием ее конкурентами или сотрудниками в целях, которые могут повредить бизнесу;
  • ? риски технических сбоев работы каналов передачи информации, которые могут привести к убыткам.

Работа по минимизации IT-рисков заключается в предупреждении несанкционированного доступа к данным, а также аварий и сбоев оборудования.

Процесс минимизации IT-рисков рассматривается комплексно: сначала выявляются возможные проблемы, а затем определяется, какими способами их можно решить.

Сейчас используются различные методы оценки информационных рисков отечественных компаний и управления ими.

Оценка информационных рисков компании может быть выполнена в соответствии со следующим планом:

  • ? идентификация и количественная оценка информационных ресурсов компании, значимых для бизнеса;
  • ? оценивание возможных угроз;
  • ? оценивание существующих уязвимостей;
  • ? оценивание эффективности средств обеспечения информационной безопасности.

Риски характеризуют опасность, которая может угрожать компонентам корпоративной информационной системы.

Информационные риски компании зависят от:

  • ? показателей ценности информационных ресурсов;
  • ? вероятности реализации угроз для ресурсов;
  • ? эффективности существующих или планируемых средств обеспечения информационной безопасности.

Цель оценивания рисков состоит в определении характеристик рисков корпоративной информационной системы и ее ресурсов.

После оценки рисков можно выбрать средства, обеспечивающие желаемый уровень информационной безопасности компании. При оценивании рисков учитываются такие факторы, как ценность ресурсов, значимость угроз и уязвимостей, эффективность имеющихся и планируемых средств защиты.

Возможность реализации угрозы для некоторого ресурса компании оценивается вероятностью ее реализации в течение заданного отрезка времени. При этом вероятность того, что угроза реализуется, определяется следующими основными факторами:

  • ? привлекательностью ресурса (учитывается при рассмотрении угрозы от умышленного воздействия со стороны человека);
  • ? возможностью использования ресурса для получения дохода (также в случае угрозы от умышленного воздействия со стороны человека);
  • ? техническими возможностями реализации угрозы при умышленном воздействии со стороны человека;
  • ? степенью легкости, с которой уязвимость может быть использована.

В России в настоящее время чаще всего используются разнообразные "бумажные" методики, достоинствами которых являются гибкость и адаптивность. Как правило, разработкой данных методик занимаются компании - системные и специализированные интеграторы в области защиты информации.

Специализированное ПО, реализующее методики анализа рисков, может относиться к категории программных продуктов (имеется на рынке) либо являться собственностью ведомства или организации и не продаваться.

Если ПО разрабатывается как программный продукт, оно должно быть в достаточной степени универсальным. Ведомственные варианты ПО адаптированы под особенности постановок задач анализа и управления рисками и позволяют учесть специфику информационных технологий организации.

Предлагаемое на рынке ПО ориентировано в основном на уровень информационной безопасности, несколько превышающий базовый уровень защищенности. Таким образом, инструментарий рассчитан в основном на потребности организаций 3-4 степени зрелости, описанных в первой главе.

Для решения данной задачи были разработаны программные комплексы анализа и контроля информационных рисков: CRAMM, FRAP, RiskWatch, Microsoft, ГРИФ. Ниже приведены краткие описания ряда распространенных методик анализа рисков.

Распространенные методики анализа рисков:

  • ? методики, использующие оценку риска на качественном уровне (например, по шкале "высокий", "средний", "низкий"). К таким методикам, в частности, относится FRAP;
  • ? количественные методики (риск оценивается через числовое значение, например размер ожидаемых годовых потерь). К этому классу относится методика RiskWatch;
  • ? методики, использующие смешанные оценки (такой подход используется в CRAMM, методике Microsoft и т.д.).

Методика CRAMM одна из первых зарубежных работ по анализу рисков в сфере информационной безопасности, разработанная в 80-х гг.

Ее основу составляет комплексный подход к оценке рисков, сочетающий количественные и качественные методы анализа. Метод является универсальным и подходит как для крупных, так и для малых организаций, как правительственного, так и коммерческого сектора. Версии программного обеспечения CRAMM, ориентированные на разные типы организаций, отличаются друг от друга своими базами знаний (профили):

  • ? коммерческий профиль;
  • ? правительственный профиль.

При работе методики на первых этапах учитывается ценность ресурсов исследуемой системы, собираются первичные сведения о конфигурации системы. Проводится идентификация ресурсов: физических, программных и информационных, содержащихся внутри границ системы.

Результатом этого этапа является построение модели системы, с деревом связи ресурсов. Эта схема позволяет выделить критичные элементы. Ценность физических ресурсов в CRAMM определяется стоимостью их восстановления в случае разрушения.

Ценность данных и программного обеспечения определяется в следующих ситуациях:

  • ? недоступность ресурса в течение определенного периода времени;
  • ? разрушение ресурса - потеря информации, полученной со времени последнего резервного копирования, или ее полное разрушение;
  • ? нарушение конфиденциальности в случаях несанкционированного доступа штатных сотрудников или посторонних лиц;
  • ? модификация - рассматривается для случаев мелких ошибок персонала (ошибки ввода), программных ошибок, преднамеренных ошибок;
  • ? ошибки, связанные с передачей информации: отказ от доставки, недоставка информации, доставка по неверному адресу.
  • ? ущерб репутации организации;
  • ? нарушение действующего законодательства;
  • ? ущерб для здоровья персонала;
  • ? ущерб, при разглашении персональных данных отдельных лиц;
  • ? финансовые потери от разглашения информации;
  • ? финансовые потери, связанные с восстановлением ресурсов;
  • ? потери, связанные с невозможностью выполнения обязательств;
  • ? дезорганизация деятельности.

На второй стадии рассматривается все, что относится к идентификации и оценке уровней угроз для групп ресурсов и их уязвимостей. В конце стадии заказчик получает идентифицированные и оцененные уровни рисков для своей системы. На этой стадии оцениваются зависимость пользовательских сервисов от определенных групп ресурсов и существующий уровень угроз и уязвимостей, вычисляются уровни рисков и анализируются результаты.

Ресурсы группируются по типам угроз и уязвимостей. Программное обеспечение CRAMM для каждой группы ресурсов и каждого из 36 типов угроз генерирует список вопросов, допускающих однозначный ответ.

Уровень угроз оценивается, в зависимости от ответов, как очень высокий, высокий, средний, низкий и очень низкий. Уровень уязвимости оценивается, в зависимости от ответов, как высокий, средний и низкий.

На основе этой информации рассчитываются уровни рисков в дискретной шкале с градациями от 1 до 7. Полученные уровни угроз, уязвимостей и рисков анализируются и согласовываются с заказчиком.

Основной подход, для решения этой проблемы состоит в рассмотрении:

  • ? уровня угрозы;
  • ? уровня уязвимости;
  • ? размера ожидаемых финансовых потерь.

Исходя из оценок стоимости ресурсов защищаемой ИС, оценок угроз и уязвимостей, определяются "ожидаемые годовые потери".

Третья стадия исследования поиск варианта системы безопасности, наилучшим образом удовлетворяющей требованиям заказчика.

На этой стадии CRAMM генерирует несколько вариантов мер противодействия, адекватных выявленным рискам и их уровням.

Таким образом, CRAMM - пример методики расчета, при которой первоначальные оценки даются на качественном уровне, и потом производится переход к количественной оценке (в баллах).

Работа по методике CRAMM осуществляется в три этапа, каждый из которых преследует свою цель в построении модели рисков информационной системы в целом. Рассматриваются угрозы системы для конкретных ее ресурсов. Проводится анализ как программного, так и технического состояния системы на каждом шаге, построив дерево зависимостей в системе, можно увидеть ее слабые места и предупредить потерю информации в результате краха системы, как из за вирусной атаки, так и при хакерских угрозах.

Недостатки метода CRAMM:

  • ? использование метода CRAMM требует специальной подготовки и высокой квалификации аудитора;
  • ? CRAMM в гораздо большей степени подходит для аудита уже существующих ИС, находящихся на стадии эксплуатации, нежели чем для ИС, находящихся на стадии разработки;
  • ? аудит по методу CRAMM - процесс достаточно трудоемкий и может потребовать месяцев непрерывной работы аудитора;
  • ? программный инструментарий CRAMM генерирует большое количество бумажной документации, которая не всегда оказывается полезной на практике;
  • ? CRAMM не позволяет создавать собственные шаблоны отчетов или модифицировать имеющиеся;
  • ? возможность внесения дополнений в базу знаний CRAMM не доступна пользователям, что вызывает определенные трудности при адаптации этого метода к потребностям конкретной организации;
  • ? программное обеспечение CRAMM существует только на английском языке;
  • ? высокая стоимость лицензии.

Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже

Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.

Подобные документы

    Природа банковской деятельности. Понятие и причины возникновения банковских рисков. Характеристика основных банковских рисков. Основные методы минимизации банковских расходов. Анализ минимизации банковских рисков на примере АО "Народный Банк Казахстана".

    курсовая работа , добавлен 06.12.2008

    Понятие системных рисков в банковской сфере, критерии их идентификации и оценка. Основные классификационные признаки группирования банковских рисков. Влияние системных рисков на стабильность, устойчивость, надежность и равновесие банковской сферы.

    реферат , добавлен 22.02.2017

    Проблемы оценки и снижения рисков в деятельности коммерческих банков. Внедрение скоринг-модели оценки кредитоспособности клиентов банка. Увеличение ресурсов за счет создания нового депозита "Успех". Выдача кредитов под обеспечение ценными бумагами.

    дипломная работа , добавлен 21.01.2015

    Методологические основы построения системы обеспечения информационной безопасности кредитных организаций. Анализ и определение угроз защищаемым ресурсам. Метод анализа угроз информационной безопасности центра обработки данных ОАО "Волга-кредит банк".

    дипломная работа , добавлен 07.05.2014

    Функции и состав собственных и привлеченных средств кредитной организации. Изучение ресурсной базы российских коммерческих банков. Анализ собственного капитала, вкладов, долговых обязательств ЗАО "ЮниКредит Банк". Проблемы привлечения финансовых ресурсов.

    курсовая работа , добавлен 20.02.2013

    Риски в банковской деятельности. Уровень банковских рисков. Классификация рисков в банковском деле. Система оптимизации банковских рисков. Банковская система России - основные тенденции и перспективы развития.

    реферат , добавлен 28.09.2006

    Характеристика банка АО "ЮниКредит Банк". Структура и динамика активов и пассивов баланса. Факторный анализ процентных доходов и расходов от операций с ценными бумагами. Анализ платежеспособности, финансовой устойчивости банка и перспектив его развития.

    курсовая работа , добавлен 21.03.2016