Понятна, определения и управление рисками

Безопасность - примерно то же самое, что и управление риском. Без понимания угроз безопасности по отношению к информацион­ным активам организации может быть использовано либо слишком много, либо слишком мало ресурсов, или они не будут использовать­ся должным образом. Управление риском обеспечивает основу для оценки информационных активов Определяя риск, вы определяете значимость отдельных типов информации и систем, в которых эта информация хранится.

Риск - это основополагающая концепция, формирующая фунда­мент того, что мы называем «безопасностью». Риск означает вероят­ность потерь, которая требует защиты. При отсутствии риска не нуж­на и защита. Риск - это концепция, которую понимают только те, кто работает в сфере безопасности.

Определение риска на примере страхования. Человек приобре­тает страховку, потому что осознает вероятность автомобильной ка­тастрофы, после которой придется серьезно восстанавливать автомо­биль. Страхование снижает риск того, что необходимых на это средств может не оказаться в наличии. Страховая компания устанав­ливает размер страховых выплат клиенту в зависимости от стоимости ремонта автомобиля и от вероятности аварии.

При более подробном рассмотрении этого примера можно выделить две составляющих риска. Во-первых, это денежные средства, необхо­димые для ремонта. При возникновении несчастного случая страховая компания должна выплатить установленную сумму. Назовем это уяз­вимостью страховой компании. Во-вторых, это вероятность дорожно- транспортного происшествия. Назовем это угрозой, которая приводит к проявлению уязвимости (оплата стоимости ремонта).

При исследовании риска необходимо понимать уязвимость и уг­розу для организации. Совместно эти составляющие образуют основу риска, и их соотношение показано на рис. 26. Как видно из рисунка, если нет угрозы или уязвимости, то нет и риска.

Уязвимость - это потенциальный путь для выполнения атаки. Уяз­вимость существует в компьютерных системах и сетях (делая систему открытой для атак с использованием технических методов) или в адми­нистративных процедурах (делая среду открытой для атак без исполь­зования технических методов или атак социального инжиниринга).

Уязвимость характеризуется сложностью и уровнем технических навыков, необходимых для того, чтобы ею воспользоваться. Необхо­димо принимать во внимание результат, к которому это может при­вести. Например, уязвимость, которой легко воспользоваться (с по­мощью сценария атаки) и которая позволяет злоумышленнику полу­чить полный контроль над системой, является уязвимостью высокого уровня риска. Уязвимость, которая потребует от атакующего вложе­ния значительных средств в оборудование и персонал и позволит лишь получить доступ к не особо ценной информации, считается уяз­вимостью низкого уровня риска.

Уязвимость связана не только с компьютерными системами и се­тями. Безопасность зданий и помещений, вопросы персонала и безо­пасность информации при передаче также требуют проработки.

Угроза - это действие или событие, способное нарушить безопас­ность информационных систем. Рассмотрим три составляющих угрозы: цели (компонент безопасности, который подвергается атаке); агенты (люди или организации, представляющие угрозу); события (действия, составляющие угрозу).

Цели. Целями угроз или атак в большинстве случаев являются службы безопасности: службы конфиденциальности, целостности, доступности и идентифицируемости.

Для этого есть реальные основания. Конфиденциальность становит­ся целью, если мотивом является добыча информации несанкциониро­ванными лицами или организациями. В этом случае нарушитель стре­мится получить, например, секретные правительственные данные. Конфиденциальная информация коммерческой организации (сведения о заработной плате или медицинские данные) также может стать целью.

Целостность является целью, если нарушитель стремится моди­фицировать информацию. В этом случае он подделывает личные или другие сведения, например, увеличивая сумму своего банковского счета. В другом случае целью становится уменьшение баланса в жур­нале банковских операций либо изменение записей в важной базе данных, чтобы вызвать сомнения в правильности всей информации. Такой подход касается компаний, занимающихся исследованием ар­хитектуры цифровых сетей.

Доступность становится целью при выполнении атаки на отказ в обслуживании. Такие атаки направлены на информацию, приложе­ния, системы или инфраструктуру. Угрозы в этом случае носят как кратковременный, так и долгосрочный характер.

Идентифицируемость сама по себе редко является целью. Атака на идентифицируемость может быть направлена на предотвращение восстановления организации после инцидентов. Идентифицируе­мость выбирается в качестве начального этапа атаки по отношению к другим целям, таким как скрытие изменений в базе данных или взлом механизмов безопасности, существующих в организации.

Целей может быть несколько. Например, идентифицируемость служит исходной целью для предотвращения записи действий зло­умышленника, нарушившего конфиденциальность секретных данных организации.

Агенты. Агентами угроз являются люди, которые стремятся на­нести ущерб организации. Для этого они должны иметь: доступ (способность для достижения цели); знания (уровень и тип имеющейся информации о цели); мотивацию (причину для сокрушения цели).

Доступ. Агент должен иметь доступ к нужной системе, сети, обо­рудованию или информации. Этот доступ бывает прямым (например, у него есть учетная запись в системе) или косвенным (он получает доступ к оборудованию другим способом).

Прямой доступ позволяет воспользоваться существующей уязви­мостью и, следовательно, становится угрозой.

Составной частью доступа является благоприятная возможность. Такая возможность существует в любой системе или сети только по­тому, что сотрудники оставляют двери открытыми.

Знания. Агент должен обладать некоторыми знаниями о цели:

идентификатор пользователя;

пароли;

расположение файлов;

процедуры выполнения физического доступа; имена служащих; доступные номера телефонов; сетевые адреса;

процедуры обеспечения безопасности.

Чем больше агент знаком с целью, тем больше вероятность, что он знает о наличии уязвимых мест и о том, как ими воспользоваться.

Мотивация. Агенту нужна мотивация для совершения действия. Мотивация является побуждающим действием, ее можно определить как первичную цель.

Мотивацией обычно является:

привлечение внимания (желание похвастаться своими «победами»); алчность (жажда выгоды: денег, товаров, услуг или информации); злые намерения (желание причинить вред организации или от­дельному лицу).

Агенты, которых следует принимать во внимание. Угроза воз­никает в том случае, если у агента, обладающего доступом и знания­ми, появляется мотивация. Поэтому следует принимать во внимание следующих агентов:

Служащие организации. Они имеют необходимый доступ и зна­ния о системах в силу специфики своей работы. Здесь главный во­прос заключается в наличии мотивации. Не следует в каждом случае подозревать сотрудников организации, но и не учитывать их при про­ведении анализа риска тоже нельзя.

Бывшие работники. Они также имеют знания о системах. В зави­симости от процедур аннулирования доступа, существующих в орга­низации, у них может сохраниться доступ к системе. Причина уволь­нения может породить мотивацию (например, уволенный будет ис­пытывать злобу по отношению к организации).

Предполагается, что у хакеров всегда есть мотивация для причи­нения ущерба. Даже при отсутствии сведений о системе и сети они могут получить доступ через имеющееся уязвимое место.

Скорее всего, у конкурентов есть мотивация для получения кон­фиденциальной информации или для причинения вреда в зависимо­сти от условий конкуренции. Эти конкурирующие организации обла­дают некоторыми знаниями о компании, поскольку действуют в той же области. При наличии подходящей уязвимости они могут полу­чить необходимые сведения и осуществить доступ.

Террористы также имеют мотивацию для нанесения ущерба, их действия обычно нацелены на работоспособность систем. Следова­тельно, существует возможность доступа к привлекающим внимание системам или помещениям (это системы в интернете и здания, откры­тые для физического доступа). Учитывая особые намерения по отно­шению к конкретной организации, важно идентифицировать терро­ристов как возможную угрозу компании.

Преступники имеют свою мотивацию, их обычно интересуют ценные объекты (как виртуальные, так и физические). Доступ к пред­ставляющим ценность объектам (например, к портативным компью­терам) - это ключевой момент при выявлении преступников в качест­ве угрозы компании.

Общественность должна всегда рассматриваться как возможный источник угрозы. Однако за исключением того, что организация со­вершает преступление общего характера против цивилизации, л*оти- вация отсутствует. Следовательно, доступ и знания об особенностях организации сводятся к минимуму.

Компании, предоставляющие услуги, могут иметь подробные знания и доступ к системам организации. У деловых партнеров имеются сете­вые подключения, консультанты имеют людей на местах, выполняю­щих исполнительные или управленческие функции. Мотивация одной организации к нарушению безопасности другой обычно отсутствует, но из-за наличия доступа и необходимых сведений компании-поставщики услуг должны рассматриваться как возможный источник угрозы.

Клиенты также имеют доступ к системам организации и некото­рые знания о ее работе. Из-за наличия потенциального доступа они должны рассматриваться как возможный источник угрозы.

Посетители имеют доступ к организации на основании того фак­та, что они посещают организацию. Поэтому возможно получение информации или осуществление входа в систему. Следовательно, по­сетители также считаются потенциальным источником угроз.

Такие стихийные бедствия, как землетрясения, торнадо или на­воднения, всегда являются источником угроз.

При рассмотрении всех этих агентов необходимо принять рацио­нальное решение о том, какие агенты смогут получить доступ в орга­низацию. Рассмотрите возможные пути нарушения безопасности в свете заранее определенных уязвимостей.

События - это способы, с помощью которых агенты угроз могут причинить вред организации. Например, хакеры нанесут ущерб путем злонамеренного изменения информации веб-сайта организации. Следует также принять во внимание вред, который может бьпъ нанесен при по­лучении агентом доступа. Необходимо учитывать следующие события:

злоупотребление санкционированным доступом к информации, системам или сайтам;

злонамеренное изменение информации; случайное изменение информации;

несанкционированный доступ к информации, системам или сайтам; злонамеренное разрушение информации, систем или сайтов; случайное разрушение информации, систем или сайтов; злонамеренное физическое вмешательство в системы или операции; случайное физическое вмешательство в системы или операции; естественные физические события, которые мешают системам или операциям;

ввод в действие злоумышленного программного обеспечения (на­меренно или нет);

нарушение внутренних или внешних коммуникаций; несанкционированный пассивный перехват информации внутрен­них или внешних коммуникаций;

кража аппаратного или программного обеспечения.

Угроза + Уязвимость = Риск

Риск - это сочетание угрозы и уязвимости.

Угрозы без уязвимости не являются риском, так же, как и уязви­мости без угроз. Следовательно, оценка риска - это определение ве­роятности того, что непредвиденное событие произойдет. Риск каче­ственно определяется тремя уровнями:

низкий. Существует маленькая вероятность проявления угрозы. По возможности нужно предпринять действия по устранению уяз­вимого места, но их стоимость должна быть сопоставлена с малым ущербом от риска;

средний. Уязвимость является значительным уровнем риска для конфиденциальности, целостности, доступности и/или идентифици­руемости информации, систем или помещений организации. Сущест­вует реальная возможность осуществления такого события. Действия по устранению уязвимости целесообразны;

высокий. Уязвимость представляет собой реальную угрозу для конфиденциальности, целостности, доступности и/или идентифици­руемости информации, систем или помещений организации. Дейст­вия по устранению этой уязвимости должны быть предприняты неза­медлительно.

По возможности нужно учитывать вероятность успешного ис­пользования уязвимости злоумышленником.

Выявление риска для организации. Выявление риска не является проблемой. Все, что нужно, - это определить уязвимости и угрозы - и дело сделано. Возникает вопрос: как этот установленный риск соот­носится с реальным риском организации? Если ответить коротко, - не совсем точно. Определение риска в организации должно выполняться по ее заказу. На рис. 27 показаны составные части этого процесса.

Как видно из рисунка, добавлен еще один компонент для опреде­ления риска - существующие контрмеры.

Выявление уязвимых мест. При выявлении конкретных уязви­мых мест необходимо начать с определения всех точек входа органи­зации. Другими словами, необходимо выявить точки доступа к ин­формации (как в электронной, так и в физической форме) и к систе­мам, находящимся в организации. Сюда включается следующее: соединения с интернетом; точки удаленного доступа; соединения с другими организациями; физический доступ в помещения организации; точки доступа пользователей; точки доступа через беспроводную сеть.

Для каждой точки необходимо произвести оценку информации и систем, затем выявить способы доступа к ним. Необходимо убедить­ся, что в этот список включены все известные уязвимые места опера­ционных систем и прикладных программ.

Выявление реальных угроз. Определение угрозы - это всесторон­няя и, в некоторых случаях, трудная задача.

При попытках установления особенностей или целей угрозы оче­видными кандидатами будут ваши конкуренты. Однако реальная угроза может остаться незамеченной. Как правило, существующие угрозы не проявляют себя до тех пор, пока не происходит какой-нибудь инцидент.

Направленная угроза - это сочетание известного агента, который имеет известный доступ и мотивацию, и известного события, направ­ленного на известную цель. Например, существует затаивший злобу сотрудник (агент), стремящийся узнать о последних проектах, над ко­торыми работает компания (мотивация). Этот работник имеет доступ к информационным системам организации (доступ) и знает, где нахо­дится эта информация (знания). Его действия направлены на конфи­денциальность нового проекта, и он может попробовать получить нужные файлы (событие).

Как было сказано выше, выявление всех направленных угроз тре­бует много времени и представляет собой довольно сложную задачу. Альтернативой этому является определение общего уровня угрозы. Предположив, что существует общий уровень угрозы в мировом масштабе, можно сделать вывод о том, что угрозу представляет каж­дый, кто имеет потенциальный доступ к информационным системам организации. Угроза существует, потому что человек (служащий, клиент, поставщик и т. д.) может войти в систему и использовать ее в своих интересах. Вовсе не обязательно знать о направленной или конкретной угрозе, адресованной подразделению компании.

Если предположить наличие общей угрозы (кто-то имеет дос­туп, знания и мотивацию совершить злоумышленные действия), то можно исследовать уязвимые места внутри организации, через ко­торые возможно получение доступа. Каждая такая уязвимость пре­вращается в риск, так как предполагается наличие угрозы, исполь­зующей эту уязвимость.

Исследование контрмер. Уязвимость нельзя исследовать на пустом месте. Возможные пути атак нужно рассматривать в контексте сущест­вующего окружения, и следует принимать во внимание меры компен­сации, если вы уверены в том, что угроза на самом деле существует. Контрмеры включают следующее: межсетевые экраны;

антивирусное программное обеспечение; контроль доступа;

двухфакторную систему аутентификации; бейдж (идентификационную карточку); биометрию;

устройства считывания смарт-карт при входе в помещения; охрану;

контроль доступа к файлам; шифрование;

сознательных, хорошо обученных работников;

системы обнаружения вторжений;

автоматизированное получение обновлений и политики управления.

Для каждой точки доступа внутри организации должна быть оп­ределена контрмера. Например, в компании имеется соединение с ин­тернетом, что дает возможность доступа к системам организации. От такого способа доступа защищает межсетевой экран. С помощью правил, установленных на межсетевом экране, определяются внеш­ние объекты, имеющие доступ к внутренним системам. Следователь­но, снижается вероятность внешней атаки, так как межсетевой экран ограничивает полный доступ к уязвимым местам систем.

Выявление риска. Как только определены уязвимые места, угрозы и контрмеры, можно установить конкретный риск для данной органи­зации. Нужно ответить на вопрос, какие действия можно выполнить через каждую точку доступа.

Для этого возьмем вероятные угрозы для каждой точки доступа (или общую угрозу) и установим возможные цели (конфиденциаль­ность, целостность, доступность и идентифицируемость). Основыва­ясь на возможных повреждениях, оценим для каждой точки риск (низкий, средний или высокий). Следует отметить, что одна и та же уязвимость может представлять собой различные уровни риска в за­висимости от точки доступа. Например, внутренняя система имеет уязвимое место - почтовый сервер. Внешний нарушитель безопасно­сти должен войти в систему через внешний межсетевой экран, поэто­му система закрыта через эту точку доступа и нет никакого риска. Однако служащие внутри организации имеют доступ к системе, по­скольку межсетевой экран является внешним. Это значит, что слу­жащие могут воспользоваться данной уязвимостью и получить дос­туп к системе. Работники рассматриваются как маловероятный ис­точник угрозы, поэтому можно установить уровень риска - средний.

И в завершение рассмотрим физический доступ к ценностям, ко­торыми располагает организация. Предположим, мы установили, что физическая защита очень слаба, и пользователь может, не сходя с места, получить доступ к системе через локальную сеть. Управление сетью не защищает от несанкционированного входа и подключения к внутренней сети. В таком случае вероятно, что злоумышленник, же­лающий причинить вред организации, способен получить доступ к сети и незаконно войти в систему. В этом случае он может восполь­зоваться уязвимостью почтового сервера. Этот риск классифицирует­ся как риск высокого уровня. Физические контрмеры отсутствуют.

Высокий, средний и низкий уровень риска не отображает всю кар­тину целиком. Демонстрация управления рисками должна показать ущерб, который может быть причинен организации в случае исполь­зования уязвимого места.

Оценка риска. Для оценки риска следует определить ущерб, нане­сенный организации при успешном выполнении атаки. На рис. 28 по­казано итоговое уравнение для оценки риска. Издержки организации в случае реализации риска - это определяющий фактор для любого решения по управлению риском. Риск нельзя полностью устранить— им можно только управлять.

Деньги. Наиболее очевидный способ оценки риска - определение издержек организации в случае выполнения успешной атаки. Эти из­держки складываются из следующего: снижение производительности; похищенное оборудование или деньги; стоимость расследования; стоимость восстановления или замены систем; стоимость помощи экспертов; сверхурочная работа сотрудников.

Как заметно из этого неполного списка, цена успешной атаки мо­жет быть достаточно большой. Некоторые затраты останутся неиз­вестными до тех пор, пока на самом деле не произойдет инцидент, и только тогда будут оценены.

Время. Оценить потерянное время достаточно трудно. Сюда нуж­но включить то время, которого не хватило сотрудникам для выпол­нения своих повседневных задач из-за инцидента, связанного с нару­шением безопасности. В этом случае затраты времени вычисляются как почасовая оплата технического персонала. Не забудьте посчитать время на ожидание восстановления компьютерных систем.

Время также означает простой ключевых систем. Если веб-сайт ор­ганизации был взломан, то эту систему нужно перевести в автономный режим и восстановить. Этот простой тоже влияет на компанию.

Успешное выполнение атаки приводит к замедлению в выпуске продукта или предоставления услуги, что также следует учитывать при определении затрат организации. Безусловно, возможная потеря времени должна быть включена в оценку риска.

Ресурсы. Ресурсами могут быть люди, системы, линии коммуни­кации, приложения или доступ. При возникновении инцидента, свя­занного с безопасностью, для исправления ситуации потребуется оп­ределенное количество ресурсов. В этом случае можно рассчитать денежные затраты. Однако возникает сложность с подсчетом немате­риальных затрат, связанных с отсутствием персонала, способного выполнять другие служебные обязанности.

Аналогичная проблема возникает при определении издержек, свя­занных с медленным сетевым соединением. Работники дольше ожи­дают доступа в интернет и медленнее выполняют свою работу, а ка­кой-либо проект или научное исследование не выполняется вовсе.

Репутация. Потеря репутации для организации - это очень важ­ная потеря. Измерить подобную утрату затруднительно. Каковы точ­ные издержки в этом случае? Репутация может рассматриваться как эквивалент доверия, которое общественность имеет к организации. Например, репутация банка равна доверию общественности к со­хранности денег, помещенных в этот банк. Если у банка слабая репу­тация или получены доказательства, что деньги, помещенные в банк, не находятся в безопасности, то, вероятно, банк потеряет клиентов. Если новости о том, что выполнен успешный взлом банковской сис­темы будут опубликованы, то вряд ли общественность захочет вкла­дывать деньги в такой банк. Покинут ли банк существующие клиен­ты? Несомненно, в большинстве случаев именно так и произойдет.

Как измерить такой ущерб?

Репутация - это нематериальный актив, который создается и раз­вивается в течение определенного времени. Снижение репутации из­мерить не просто, но оно, несомненно, влияет на организацию.

Потерянные контракты. Потерянные контракты - это нереали­зованный потенциал. Организация планирует обслуживать новых клиентов и дополнительно реализовать свою продукцию. Как изме­рить потери, если эта возможность не реализована? Конечно, можно продемонстрировать, что не был выполнен объем запланированных продаж, но как связать это с риском для безопасности? Влияет ли реализация угроз на потерю потенциальных возможностей?

В некоторых случаях воздействие очевидно. Например, организа­ция выполняет продажу продукции через интернет. Веб-сайт органи­зации не функционирует четыре дня. Он является основным канатом продаж, поэтому ясно, что на четыре дня торговля приостановится.

А если по непредвиденным обстоятельствам производитель вы­нужден остановить производство продукции на четыре дня? Могла ли компания продать эти товары, если бы они имелись в наличии? Нет точного способа определения таких потерь.

Методика оценки риска. Конечно, при оценке риска вопросов намного больше, чем ответов. Если весь вероятный риск можно выра­зить в денежной форме, то процесс намного упростится. Однако в ре­альной ситуации это сделать невозможно. Следовательно, мы должны воспользоваться данными, которые позволят выполнить эту оценку.

Для каждого риска необходимо установить наилучший, наихуд­ший и наиболее вероятный план действий, затем определить величи­ну ущерба для каждого варианта действий (денежные средства, вре­мя, ресурсы, репутация и потерянные контракты). Планы действий

создаются на основе следующих критериев.

Наилучший случай. Нарушение защиты замечено сразу же, про­блема быстро устранена, и информация осталась внутри организации.

Общий ущерб оказался незначительным.

Наихудший случай. Нарушение защиты замечено клиентом, кото­рый и уведомил организацию. Проблема не была незамедлительно исправлена, информация об этом дошла до прессы. Общий ущерб

оказался очень большим.

Наиболее вероятный случай. Нарушение защиты замечено через

некоторое время. Какая-то информация о событии «просочилась» к

клиентам (но не вся), и организация была в состоянии контролиро­вать большую часть информации. Общий ущерб был смягчен.

Параметры наиболее вероятного случая меняются в зависимости от реального состояния безопасности, существующей в организации. Иногда наиболее вероятный случай может оказаться самым плохим вариантом.

Далее для каждого выявленного риска необходимо рассмотреть возможный результат и ответить на следующие вопросы:

Сколько денежных средств нужно затратить на ликвидацию послед­ствий успешного взлома системы безопасности? Определите время ра­боты персонала, консультантов и стоимость нового оборудования.

Сколько времени потребуется на ликвидацию последствий ус­пешного взлома системы безопасности? Как это повлияет на про­грамму выпуска новой или существующей продукции?

Какие ресурсы будут затронуты в случае взлома системы безопас­ности? Какие отделы вашей компании зависят от этих ресурсов?

Как это событие повлияет на репутацию организации?

Приведет ли это к срыву новых контрактов? Если да, то какого типа и в каких размерах?

Как только на каждый вопрос будут получены ответы, постройте таблицу, отражающую возможные последствия для каждого риска. Эта информация потребуется вам для улучшения подходов к управ­лению рисками.

Порядок действий

1. Определите все точки доступа к информации. Обратите внима­ние как на электронный, так и на физический доступ.

2. Определите возможные угрозы. Продумайте, какие уровни дос­тупа к информации имеют сотрудники вашей организации. Предпо­ложите, какие цели могут преследовать злоумышленники по отноше­нию к вашей организации, что они стараются здесь заполучить.

3. Определите уязвимые места, существующие в различных сис­темах и отдельных рабочих местах с важной информацией. Помните, что уязвимые места существуют не только в структуре систем, но и в процессах и процедурах.

4. Для всех мест хранения информации определите уровень риска (высокий, средний или низкий), который обусловлен наличием уяз­вимых мест и угроз.

5. Проверьте контрмеры вашей организации. Определите, умень­шат ли применяемые контрмеры уровень установленных рисков.

Теперь рассмотрите каждый риск и определите потенциальный ущерб (деньги, время, ресурсы, репутация и потерянные контракты).

Для крупной организации имеет смысл выполнять это задание для каждого отдела или рабочего места. Вероятно, будет обнаружено много различных угроз, и определение их точной сущности станет проблематичным. В этом случае предположите наличие общего уровня риска и переходите к уязвимым местам.

Рассматривая контрмеры, убедитесь, что они определены как для процедур, так и для технических средств.

Дата добавления: 2014-01-03; Просмотров: 1893; Нарушение авторских прав?; Мы поможем в написании вашей работы!