Базові поняття у сфері оцінки ризиків стану захищеності систем

Таким чином, всі підходи, що мають свої переваги і недоліки, продовжують еволюціонувати, і лише практика їх впровадження дозволить виявити кращий або, можливо, запропонувати інший підхід.

У стандарті ISO 17799 (BS 7799) декларуються загальні принципи, які пропонується конкретизувати стосовно досліджуваних інформаційних технологій. У другій частині основна увага приділена сертифікації інформаційної системи на відповідність стандарту, тобто формальній процедурі, що дозволяє переконатися, що декларовані принципи реалізовані. Об'єм стандарту порівняно невеликий - менше 120 сторінок в обох частинах.

Загальні відомості про міжнародні стандарти

Останнім часом в різних технологічно розвинених країнах з'явилося нове покоління стандартів інформаційної безпеки, присвячених практичним питанням організації режиму ІБ на підприємстві. Це перш за все міжнародні і національні стандарти оцінки інформаційної безпеки і управління нею - ISO 15408, ISO 17799 (BS7799), BSI; стандарти аудиту, що відображають питання інформаційної безпеки, - COBIT, SAC, COSO, SAS 55/78 і деякі інші, аналогічні їм. Відповідно до цих стандартів організація режиму ІБ в будь-якій компанії передбачає наступне.

По-перше, визначення цілей забезпечення інформаційної безпеки компанії.

По-друге, створення ефективної системи управління інформаційною безпекою.

По-третє, розрахунок сукупності деталізованих не лише якісних, але і кількісних показників для оцінки відповідності інформаційної безпеки заявленим цілям.

По-четверте, вживання інструментарію забезпечення інформаційної безпеки і оцінки її поточного стану.

По-п'яте, використання методик (із зрозумілою системою критеріїв і заходів забезпечення інформаційної безпеки) в процесі аналізу ризиків і управління ними, що дозволяють об'єктивно оцінити поточний стан справ.

Нове покоління стандартів відрізняється як від попередніх більшою формалізацією технології організації режиму ІБ і детальним комплексним обліком вимірних показників інформаційної безпеки компанії. Комплексний облік показників передбачає і комплексний підхід до організації режиму ІБ, коли перевіряється на відповідність певним правилам, контролюється і підтримується не лише програмно-технічна складова інформаційної безпеки КІС, але і організаційно-адміністративні заходи по її забезпеченню.

Наявність системи управління інформаційною безпекою (Information Security Management), і зокрема аналізу інформаційних ризиків і управління ними (Risk Management), є обов'язковою умовою організації режиму ІБ на підприємстві. Підприємства, починаючи з третього рівня зрілості, застосовують який-небудь варіант системи управління ризиками. Багато зарубіжних національних інститутів стандартів і організації, що спеціалізуються у вирішенні комплексних проблем інформаційної безпеки, запропонували схожі концепції управління інформаційними ризиками. Розглянемо концепції Британського стандарту BS 7799 (ISO 17799), Німецького стандарту BSI і стандарту США NIST.

У німецькому стандарті BSI, навпаки, обговорюється багато «окремих випадків» - різних елементів інформаційних технологій. Об'єм документа дуже великий - декілька тисяч сторінок. Такий підхід має свої переваги і недоліки. До його переваг належить урахування специфіки різних елементів. Іншою гідністю є гіпертекстова структура документа, що дозволяє оперативно вносити зміни і коректувати зв'язки між частинами стандарту. Остання версія стандарту завжди доступна в Internet. Недолік - неможливість обійняти неосяжне. Неминуче доводиться вводити розділ «Інше», в якому в загальному вигляді описуються менш поширені елементи.

Що стосується Британського стандарту, то його недолік полягає у високих вимогах до кваліфікації фахівців, що здійснюють перевірку на відповідність вимогам стандарту. Крім того, в нім не повною мірою враховується специфіка сучасних розподілених систем. Зведемо дані у табл. 1.1.

Таблиця 1.1 – Порівняння стандартів

1.2 Загальні критерії оцінки безпеки інформаційних технологій

У 1999 році Міжнародна Організація по Стандартизації (ISO) прийняла міжнародний стандарт ISO 15408 під назвою «Загальні критерії оцінки безпеки ІТ» (Common Criteria for Information Technology Security Evaluation або скорочено - Common Criteria). ISO 15408 містять узагальнене формалізоване представлення знань і досвіду, накопиченого в області забезпечення інформаційної безпеки протягом десятиліть.

У цьому стандарті ISO 15408 найбільш детально представлені критерії для оцінки механізмів безпеки програмно-технічного рівня. Загальні критерії визначають функціональні вимоги безпеки (security functional requirements) та вимоги до адекватності реалізації функцій безпеки (security assurance requirements).

При проведенні робіт з аналізу захищеності автоматизованих систем (ЗОТ) «Загальні критерії» використовуються як основні критерії, що дозволяють оцінити рівень захищеності АС (ЗОТ) з точки зору повноти реалізованих в ній функцій безпеки і надійності реалізації цих функцій. Хоча застосування «Загальних критеріїв» обмежується механізмами безпеки програмно-технічного рівня, в ньому міститься певний набір вимог до механізмів безпеки організаційного рівня і вимог з фізичного захисту, які безпосередньо пов'язані з описуваними функціями безпеки.

У ході формування такої галузі знань, як комп'ютерна безпека, розроблялися і удосконалювалися критерії оцінки безпеки. Точність, повнота і зрозумілість цих критеріїв зростала в міру того, як уточнювалися концепції, формулювалися основні принципи комп'ютерної безпеки, вводилися нові поняття та окреслювалась мета старих.

До теперішнього часу в багатьох країнах світу розроблені критерії оцінки безпеки автоматизованих систем. Ще на початку 80-х у США були розроблені критерії оцінки захищеності Комп'ютерних Систем (TCSEC або Помаранчева книга). У Європі такі критерії (ITSEC) були опубліковані в 1991 році Європейською Комісією, до складу якої входили представники Франції, Німеччини, Нідерландів і Великобританії. Потім в Канаді в 1993 році були опубліковані Канадські Критерії оцінки захищеності комп'ютерних продуктів (CTCPEC), що є подальшим розвитком і об'єднанням Європейського та Американського підходів. У тому ж році в США виходить проект Федеральних Критеріїв Оцінки Безпеки ІТ (FC), що реалізує другий підхід до об'єднання Північноамериканської та Європейської концепцій оцінки безпеки. Відсутність міжнародного стандарту в області оцінки безпеки не дозволяє фахівцям із сертифікації комп'ютерних програм однієї країни використовувати результати оцінок отримані фахівцями іншої країни. Тому наступним етапом розвитку цього науково-технічного напрямку, після прийняття відповідних національних стандартів, повинна була закономірно стати розробка міжнародного стандарту для критерію оцінки безпеки автоматизованих систем.

ISO почала розробку такого міжнародного стандарту ще в 1990 році. Потім, автори Канадського (CTCPEC), Європейського (ITSEC) і Американських (FC і TCSEC) критеріїв в 1993 році об'єднали свої зусилля і почали розробку проекту «Єдиних критеріїв». Метою проекту є усунення концептуальних і технічних відмінностей між існуючими критеріями і надання отриманих результатів ISO в якості внеску в розробку міжнародного стандарту.

В результаті міжнародного співробітництва була розроблена перша версія Єдиних критеріїв оцінки безпеки ІТ (а до теперішнього часу розроблено та передано до ISO їхня друга версія). Перша версія цього документа була опублікована в Інтернеті з метою її вивчення міжнародним співтовариством і проведення пробних оцінок. Досвід проведення пробних оцінок і отримані коментарії передбачають використовувати для розробки наступних версій "Єдиних критеріїв".

Не має сенсу порівнювати особливості нового і старого підходів до оцінки безпеки, тому що новий підхід є подальшим розвитком предметної області. В даний час можна говорити про створення єдиної мови для формулювання тверджень щодо безпеки автоматизованих систем (вимог, погроз і цілей захисту) і часткової формалізації цієї предметної області. Застосування концепцій, які містяться у цих документах, дозволить покращити ефективність оцінок і якість одержуваних результатів. Це також дозволить використовувати досвід, накопичений у цій області світовим співтовариством. «Єдині критерії» являють собою набір з п'яти окремих взаємопов'язаних частин. До них відносяться:

- введення і загальна модель;

- функціональні вимоги безпеки;

- вимоги до надійності захисних механізмів;

- попереднє визначення профілі захисту;

- процедури реєстрації профілів захисту

Стандарт містить два основних види вимог безпеки: функціональні, що висуваються до функцій безпеки і реалізує їх механізмів, і вимоги довіри, що пред'являються до технології та процесу розробки та експлуатації.

Щоб структурувати простір вимог, в стандарті використовується ієрархія клас – сімейство – компонент – елемент. «Класи» визначають найбільш загальну, предметну групу вимог, «сімейство» в межах класу розрізняються за суворістю та іншим нюансами вимог, «компонент» - мінімальний набір вимог, що фігурує як ціле та «елемент» - неподільний вимогам.

Функціональні вимоги згруповані на основі виконуваної ними ролі або обслуговуваній цілі безпеки, всього 11 функціональних класів (у трьох групах), 66 сімейств та 135 компонентів. Розподіл функціональних класів по групам представлений на рис.1.1.

Перша група визначає елементарні сервіси безпеки:

1. FAU - аудит, безпека (вимоги до сервісу, протоколювання і аудит);

2. FIA - ідентифікація та аутентифікація;

3. FRU - використання ресурсів (для забезпечення відмовостійкості).

Друга група описує похідні сервіси, реалізовані на базі елементарних:

1. FCO - зв'язок (безпека комунікацій відправник-одержувач);

2. FPR - приватність;

3. FDP - захист даних користувача;

4. FPT - захист функцій безпеки об'єкта оцінки.

Третя група класів пов'язана з інфраструктурою об'єкта оцінки:

1. FCS - криптографічний підтримка (обслуговує управління криптоключами і криптоопераціями);

2. FMT - управління безпекою;

3. FTA - доступ до об'єкта оцінки (керування сеансами роботи користувачів);

4. FTP - довірений маршрут / канал;

Рисунок 1.1 - Структурна схема функціональних класів

До елементарним сервісів безпеки відносяться наступні класи FAU, FIA і FRU. Клас FAU включає шість родин (FAU_GEN, FAU_SEL, FAU_STG, FAU_SAR, FAU_SAA і FAU_ARP), причому кожне сімейство може містити різну кількість компонентів.

Призначення FAU_GEN - генерація даних аудиту безпеки. Містить два компоненти FAU_GEN.1 (генерація даних аудиту) та FAU_GEN.2 (асоціація ідентифікатора користувача).

Що стосується вимог гарантії безпеки (довіри), то це вимоги, що пред'являються до технології та процесу розробки та експлуатації об'єкта оцінки. Вони розділені на 10 класів, 44 сімейства, 93 компоненти, які охоплюють різні етапи життєвого циклу.

Перша група містить класи вимог, що передують розробці та оцінки об'єкта:

1. APE - оцінка профілю захисту;

2. ASE - оцінка завдання з безпеки.

Друга група пов'язана з етапами життєвого циклу об'єкта атестації:

1. ADV - розробка, проектування об'єкта;

2. ALC - підтримка життєвого циклу;

3. ACM - управління конфігурацією;

4. AGD - керівництво адміністратора та користувача;

5. ATE - тестування;

6. AVA - оцінка вразливостей;

7. ADO - вимоги до постачання та експлуатації;

8. АMA - підтримка довіри-вимоги, застосовується після сертифікації об'єкта на відповідність загальним критеріям.

Вивчення існуючих критеріїв оцінки безпеки АС дозволяє зробити наступні висновки:

Для того, щоб результати даних випробувань можна було порівнювати між собою, вони повинні проводитися в рамках надійної схеми, що встановлюється відповідними стандартами в цій галузі і дозволяє контролювати якість оцінки безпеки.

В даний час в деяких країнах існують такі схеми, але вони базуються на різних критеріях оцінки. Однак, ці критерії мають між собою багато спільного, тому що використовують подібні концепції, що дозволяє здійснювати їх порівняння. «Єдині критерії» підтримують сумісність з уже існуючими критеріями. Це дозволяє використовувати наявні результати і методики оцінок.

«Єдині критерії» визначають загальний набір понять, структур даних і мов для формулювання питань і тверджень щодо безпеки АС. Це дозволяє експертам, які проводять оцінку, використовувати вже накопичений у цій області досвід.

Вимоги, що містяться в «Єдиних критеріях», можуть також використовуватися при виборі відповідних засобів забезпечення безпеки АС. Потенційні користувачі АС, спираючись на результати сертифікації, можуть визначити чи задовольняє даний програмний продукт або система їх вимогам безпеки.

Крім цього, «Єдині критерії» покращують існуючі критерії, вводячи нові концепції та уточнюючи утримання діючих.

2 ОГЛЯД МЕТОДІВ ОЦІНКИ РИЗИКІВ В ОБЛАСТІ ЗАХИСТУ ІНФОРМАЦІЇ

Аналіз інформаційних ризиків дозволяє ефективно управляти інформаційною безпекою підприємства. Для цього на початку робіт по аналізу ризиків необхідно визначити, що саме підлягає захисту на підприємстві і дії яких погроз воно схильне, а потім виробити рекомендації по практиці захисту.

Такий аналіз проводитися виходячи з безпосередніх цілей і завдань по захисту конкретного вигляду інформації конфіденційного характеру. Одне з найважливіших завдань в рамках такого захисту інформації - забезпечення її цілісності і доступності. Часто забувають, що порушення цілісності може статися не лише унаслідок навмисних дій, але і по ряду інших причин: збоїв устаткування, ведучих до втрати або спотворення інформації; фізичних дій, зокрема в результаті стихійних відважний; помилок в програмному забезпеченні (в тому числі із-за не документованих можливостей). Тому під терміном «атака» розумітимемо дії на інформаційні ресурси не лише людські, але і довкілля, в якому функціонує система обробки інформації підприємства. Розглянемо детальніше терміни, що стосуються тими аналізу оцінки ризиків.

Ризик — вірогідна подія, яка може виникнути в процесі виконання робіт над проектом і яка негативно впливає на один або декілька з ключових чинників успішного проекту (рис.2.1).

Управління ризиками — дисципліна із складу практик управління проектами, направлена на зменшення впливу ризиків на цілі і кінцевий стан проекту. Управлінням ризиками займається або сам керівник проекту (для невеликих проектів), або спеціально виділений для цих цілей співробітник (ризик-менеджер). Якщо в компанії прийнята практика централізованого управління ризиками, то в її рамках проводитися обмін інформацією і знаннями про управління ризиками ідентифіковані ризики, методах попередження і реагування і так далі між керівниками проектів, ризик - менеджерами і Проектнім офісом (у разі наявності такого підрозділу; тут і далі вважається, що проектний офіс присутній в організації, в разі його відсутності його функції можуть виконувати такі підрозділи, як Відділ управління проектами, Відділ методології і т. д.).

Система управління ризиками — комплекс засобів автоматизації, нормативної і організаційної документації, робочих процедур, штатних позицій і конкретних співробітників тих, що їх займають, призначений для управління ризиками в рамках проектної діяльності організації.

Рисунок 2.1 – Математичне представлення ризику в 3-х мірному просторі

Інформаційна система управління ризиками — програмно-інформаційний комплекс, елемент системи управління ризиками. Є програмним забезпеченням і інформаційними базами даних для підтримки процесів і процедур управління ризиками в рамках проектної діяльності в компанії.

Ризик-менеджер — спеціально виділений в проектній команді співробітник, чиїм основним обов'язком є управління ризиками проекту. Ризик-менеджер структурно входить до складу проектного офісу. Один ризик-менеджер може бути задіяний на декількох проектах. На невеликих проектах управління ризиками здійснює сам керівник проекту.

Проектний офіс — структурний підрозділ, що відповідає за розвиток і реалізацію методології проектного управління в компанії. Однією з функцій проектного офісу є централізоване управління ризиками.

Централізоване управління ризиками — набір процедур, що дозволяють успішно поширювати інформацію і знання по дисципліні управління ризиками між всіма задіяними в системі управління ризиками співробітниками. До поширюваних знань відносяться методичні інструкції і інші нормативно-довідкові матеріали по управлінню ризиками, реєстри ідентифікованих ризиків, шаблони і зразки документів по управлінню ризиками, типові плани реагування на ризики різних категорій, опис кращих практик по управлінню ризиками.
Ієрархічна структура ризиків — ієрархічно організоване представлення ідентифікованих ризиків проекту, розподілених по категоріям і під категоріям ризиків, які вказують на різні області і джерела можливих ризиків. Ієрархічна структура ризиків часто буває адаптована під конкретні типи проектів.

Базовий (Baseline) аналіз ризиків - аналіз ризиків, що проводиться відповідно до вимог базового рівня захищеності. Прикладні методи аналізу ризиків, орієнтовані на даний рівень, зазвичай не розглядають цінність ресурсів і не оцінюють ефективність контрзаходів. Методи даного класу застосовуються у випадках, коли до інформаційної системи не пред'являється підвищених вимог безпеки.

Повний (Full) аналіз ризиків - аналіз ризиків для інформаційних систем з підвищеними вимогами в області ІБ (вищі, ніж базовий рівень захищеності). Це передбачає:

– визначення цінності ресурсів;

– оцінку погроз і уразливості;

– вибір належних контрзаходів, оцінку їх ефективності.

Загроза (Threat) - сукупність умов і чинників, які можуть стати причиною порушення цілісності, доступності, конфіденційності.

Загроза ІБ (Threat) - можлива небезпека (потенційна або така, що реально існує) здійснення якого-небудь діяння (дії або бездіяльності), направленого проти об'єкту захисту (інформаційних ресурсів), що завдає збитку власникові або користувачеві і що виявляється в спотворенні і втраті інформації.

Джерело загрози - потенційні антропогенні, техногенні або стихійні носії загрози безпеці.

Наслідки (атака) - можливі наслідки реалізації загрози (можливі дії) при взаємодії джерела загрози з системою через наявні чинники (уразливості). Як видно з визначення, атака - це завжди пара «джерело-чинник», що реалізує загрозу і що призводить до збитків.

Уразливість (Vulnerability) - слабкість в системі захисту, що робить можливою реалізацію загрози.

Аналіз ризиків - процес визначення погроз, уразливості, можливого збитку, а також контрзаходів.

Оцінка ризиків (Risk Assessment) - ідентифікація ризиків, вибір параметрів для їх опису і здобуття оцінок по цих параметрах.

Ризик порушення ІБ (Security Risk) - можливість реалізації загрози.

Ціна ризику - розмір збитку, який може бути нанесений в результаті деякої події ризику.

Вірогідність ризику - вірогідність виникнення події ризику з певною ціною ризику в результаті реалізації деякої комбінації погроз.

Розмір ризику (очікуваний збиток або міра ризику) - математичне очікування (множення ціни ризику на вірогідність ризику) виникнення події ризику з певною ціною і вірогідністю ризику цієї події.

Дата добавления: 2015-07-13; Просмотров: 1261; Нарушение авторских прав?; Мы поможем в написании вашей работы!