Аналіз методики FRAP

Методика «Facilitated Risk Analysis Process (FRAP)» пропонована компанією Peltier and Associates, розроблена Томасом Пелтиером (Thomas R. Peltier).

У методиці забезпечення IБ розглядається як частина процесу управління ризиками. Управління ризиками у сфері ІБ є процесом який дозволяє компаніям знайти баланс між витратами коштів та зусиль на засоби захисту та отриманим ефектом.

Управління ризиками повинно починатися з оцінки ризиків: належним чином задокументовані результати висновків стануть основою для прийняття рішень у сфері зміцнення безпеки системи в майбутньому.

Після завершення оцінки, проводиться аналіз відношення затрат та отриманого ефекту, який дозволяє визначити ті інструменти захисту, які потрібні, для зниження ризику до прийнятного рівня.

Створення списку ЗАГРОЗА поможет використовуват Різні підході:

¾ заздалегідь підготовлені експертами списки ЗАГРОЗА, з якіх обіраються Актуальні для даної системи;

¾ аналіз статистики пригод в даній ІС відбувається оцінка частоти їх виникнення по ряду загроз;

¾ «мозковий штурм», що проводиться співробітниками компанії.

Коли список загроз закінчено, кожній з них зіставляють ймовірність виникнення. Після чого оцінюють збиток, який може бути нанесений даної загрозою. Виходячи з отриманих значень, оцінюється рівень загрози. Таким чином оцінюється рівень ризику для незахищеної ІС, що надалі дозволяє показати ефект від впровадження засобів захисту інформації (СЗІ).

Оцінку можна провести для ймовірності виникнення загрози та шкоди від неї за наступними пунктами:

1 Вірогідність:

¾ висока - дуже ймовірно, що загроза реалізується протягом наступного року;

¾ середня - можливо загроза реалізується протягом наступного року;

¾ низька - малоймовірно, що загроза реалізується протягом наступного року.

2 Шкода - міра величини втрат або шкоди, що завдається активу:

¾ високий: зупинка критично важливих бізнес-підрозділів, яка призводить до істотного збитку для бізнесу, втрати іміджу або неотримання істотного прибутку;

¾ середній: короткочасне переривання роботи критичних процесів або систем, яке призводить до обмежених фінансових втрат в одному бізнес-підрозділі;

¾ низький: перерва в роботі, що не викликає відчутних фінансових втрат.

Після ідентифікації загрози та одержанні оцінки ризику, повинні бути визначені контрзаходи, що дозволяють усунути ризик або звести його до прийнятного рівня. При цьому повинні братися до уваги законодавчі обмеження, що роблять неможливим або, навпаки, веліли у обов'язковому порядку, використання тих чи інших засобів і механізмів захисту. Якщо ризик знижений недостатньо, можливо, треба застосувати інше СЗІ. Разом з визначенням засоби захисту, треба визначити які витрати спричинить його придбання і впровадження (витрати можуть бути як прямі, так і непрямі). Крім того, необхідно оцінити, чи безпечно саме цей засіб, чи не створює воно нових вразливостей в системі.

Щоб використовувати економічно ефективні засоби захисту, потрібно проводити аналіз співвідношення витрат і одержуваного ефекту. При цьому треба оцінювати не тільки вартість придбання рішення, але і вартість підтримки його роботи. У витрати можуть включатися:

¾ вартість реалізації проекту, включаючи додаткове програмне і апаратне забезпечення;

¾ зниження ефективності виконання системою своїх основних завдань;

¾ впровадження додаткових політик і процедур для підтримки засобу;

¾ витрати на найм додаткового персоналу або перенавчання наявного.

Останній пункт в цій методиці - документування. Коли оцінка ризиків закінчена, її результати повинні бути докладно документовані в стандартизованому форматі, для подальшого використання або для проведення більш глибокого аналізу.

Методика розрахована на управлінців відділів щодо забезпечення інформаційної безпекою підприємства з економічним ухилом. Виробляється аналіз витрат і отриманого ефекту від застосування засобу захисту інформаційної системи підприємства. Методика дозволяє знизити ризик до прийнятного рівня, що дозволяє уникнути максимальних витрат на забезпечення безпеки сучасними засобами ІБ.

Характерність для цієї методики викликає «мозковий штурм» проводиться співробітниками організації, проведення аналізу статистики пригод для даних інформаційних систем.

Приймаються законодавчі обмеження, що роблять неможливим або, навпаки, веліли у обов'язковому порядку, використання тих чи інших засобів і механізмів захисту.

Кінець методики дозволяє прорахувати, з точки зору фінансування, застосування засобу для забезпечення безпеки підприємства, враховується вартість придбання рішення, але і вартість підтримки його роботи. Прикладом тут може виступити впровадження антивірусного засобу з файерволом і спам фільтром для кожного комп'ютера в мережі, тобто його закупівля, і супровід в подальший час його роботи на забезпечення безпеки підприємства в межах мережі. Відразу ж застосовується програмно-апаратний комплекс для забезпечення безпеки інформаційної системи підприємства.

Нижче наведені основні етапи оцінки ризиків. Даний список багато в чому повторює аналогічний перелік з інших методик, але під FRAP більш докладно розкриваються шляхи отримання даних про систему і її вразливості.

1) Визначення захищаються активів проводиться з використанням опитувальних листів, вивчення документації на систему, використання інструментів автоматизованого аналізу (сканування) мереж.

2) Ідентифікація загроз. При складанні списку загроз можуть використовуватися різні підходи:

- Заздалегідь підготовлені експертами переліки загроз (checklists), з яких вибираються актуальні для даної системи;

- Аналіз статистики пригод пов'язаних з ІБ даної ІС подібних їй, оцінюється їх середньорічна частота (по ряду загроз, наприклад, загрозу виникнення пожежі, подібну статистику можна отримати у відповідних державних організацій);

- «Мозковий штурм», що проводиться співробітниками компанії.

3) Коли список загроз закінчений, кожній з них співставляють ймовірність виникнення.

Після чого оцінюють збиток, який може бути нанесений даної загрозою. Виходячи з отриманих значень, оцінюється рівень загрози.

При проведенні аналізу, як правило, приймають, що на початковому етапі в системі відсутні кошти і механізми захисту. Таким чином оцінюється рівень ризику для незахищеної ІС, що надалі дозволяє показати ефект від впровадження засобів захисту інформації (СЗІ).

Оцінка проводиться для ймовірності виникнення загрози та шкоди від неї за наступними шкалами.

Імовірність (Probability):

1. Висока (High Probability) - дуже ймовірно, що загроза реалізується протягом наступного року;

2. Середня (Medium Probability) - можливо загроза реалізується протягом наступного року;

3. Низка (Low Probability) - малоймовірно, що загроза реалізується протягом наступного року.

Збиток (Impact) - міра величини втрат або шкоди, що завдається активу:

1. Високий (High Impact): зупинка критично важливих бізнес-підрозділів, яка призводить до істотного збитку для бізнесу, втрати іміджу або неотримання істотного прибутку;

2. Середній (Medium Impact): короткочасне переривання роботи критичних процесів або систем, яке призводить до обмежених фінансових втрат в одному бізнес-підрозділі;

3. Низькій (Low Impact): перерва в роботі, не викликає відчутних фінансових втрат.

Оцінка визначається відповідно до правила, що задається матрицею ризиків, зображеної на рис. 12. Отримана оцінка рівня ризику може інтерпретуватися таким чином:

• рівень A - пов'язані з ризиком дії (наприклад, впровадження СЗІ) повинні бути виконані негайно і в обов'язковому порядку;

• рівень B - пов'язані з ризиком дії повинні бути зроблені;

• рівень C - потрібно моніторинг ситуації (але безпосередніх заходів з протидії загрозі приймати, можливо, не треба);

• рівень D-ніяких дій в даний момент робити не потрібно.

4) Після того як загрози ідентифіковані і дана оцінка ризику, повинні бути визначені контрзаходи, що дозволяють усунути ризик або звести його до прийнятного рівня. При цьому повинні братися до уваги законодавчі обмеження, що роблять неможливим або навпаки розпорядчі в обов'язковому порядку, використання тих чи інших засобів і механізмів захисту. Щоб визначити очікуваний ефект, можна провести оцінку того ж ризику, але за умови впровадження пропонованого СЗІ. Якщо ризик знижений недостатньо, можливо, треба застосувати інше СЗІ. Разом з визначенням засоби захисту, треба визначити які витрати спричинить його придбання і впровадження (витрати можуть бути як прямі, так і непрямі - див. Нижче). Крім того, необхідно оцінити, чи безпечно саме цей засіб, не створює воно нових вразливостей в системі.

Щоб використовувати економічно ефективні засоби захисту, потрібно проводити аналіз співвідношення витрат і одержуваного ефекту. При цьому треба оцінювати не тільки вартість придбання рішення, але і вартість підтримки його роботи. У витрати можуть включатися:

- Вартість реалізації проекту, включаючи додаткове програмне і апаратне забезпечення;

- Зниження ефективності виконання системою своїх основних завдань;

- Впровадження додаткових політик і процедур для підтримки засобу;

- Витрати на найм додаткового персоналу або перенавчання наявного.

5) Документування. Коли оцінка ризиків закінчена, її результати повинні бути детально задокументовані в стандартизованому форматі. Отриманий звіт може бути використаний при визначенні політик, процедур, бюджету безпеки і т.д.

4.4 Аналіз методики RiskWatch

Компанія RiskWatch розробила власну методику аналізу ризиків і сімейство програмний засобів, в яких вона в тій чи іншій мірі реалізується. Сімейство RiskWatch складається з програмних продуктів:

¾ RiskWatch for Physical Security - для аналізу фізичного захисту ІВ;

¾ RiskWatch for Information Systems - для інформаційних ризиків;

¾ HIPAA-WATCH for Healthcare Industry - для оцінки відповідності вимогам стандарту HIPAA (US Healthcare Insurance Portability and Accountability Act), актуальних в основному для медичних установ, що працюють на території США;

¾ RiskWatch RW17799 for ISO 17799 - для оцінки відповідності ІС вимогам стандарту міжнародного стандарту ISO 17799.

RiskWatch використовується в якості критеріїв для оцінки та управління ризиками використовуються очікувані річні втрати (Annual Loss Expectancy, ALE) і оцінка повернення інвестицій (Return on Investment, ROI). RiskWatch орієнтована на точну кількісну оцінку співвідношення втрат від загроз безпеки і витрат на створення системи захисту. В основі продукту RiskWatch знаходиться методика аналізу ризиків, яка складається з чотирьох етапів.

Перший етап - визначення предмета дослідження. Тут описуються параметри: як тип організації, склад досліджуваної системи (у загальних рисах), базові вимоги в галузі безпеки. Для полегшення роботи аналітика, в шаблонах, відповідають типу організації («комерційна інформаційна система», «державна / військова інформаційна система» і т.д.), є списки категорій захищаються ресурсів, втрат, погроз, вразливостей і заходів захисту. І вибираються категорії втрат, присутні в організації:

¾ затримки і відмова в обслуговуванні;

¾ розкриття інформації;

¾ прямі втрати (наприклад, від знищення обладнання вогнем);

¾ життя і здоров'я (персоналу, замовників і т.д.);

¾ зміна даних;

¾ непрямі втрати (наприклад, витрати на відновлення);

¾ репутація.

Другий етап - введення даних, що описують конкретні характеристики системи. Дані можуть вводитися вручну або імпортуватися із звітів, створених інструментальними засобами дослідження уразливості комп'ютерних мереж. Докладним чином описуються ресурси, втрати і класи інцидентів. Класи інцидентів виходять шляхом зіставлення категорії втрат і категорії ресурсів.

Також задається частота виникнення кожної з виділених загроз, ступінь уразливості і цінність ресурсів. Якщо для обраного класу загроз в системі є середньорічні оцінки виникнення (LAFE і SAFE), то використовуються вони. Все це використовується надалі для розрахунку ефекту від впровадження засобів захисту.

Третій етап - кількісна оцінка ризику. На цьому етапі розраховується профіль ризиків, і вибираються заходи забезпечення безпеки. Спочатку встановлюються зв'язки між ресурсами, втратами, погрозами і уразливими, виділеними на попередніх кроках дослідження. SAFE (Standard Annual Frequency Estimate) - показує, скільки разів на рік у середньому ця загроза реалізується в цій «частини світу» (наприклад, в Північній Америці). Вводиться також поправочний коефіцієнт, який дозволяє врахувати, що в результаті реалізації загрози захищається ресурс може бути знищений не повністю, а тільки частково.

Формула (4.1) показує варіанти розрахунку показника ALE:

(4.1)

де:

¾ Asset Value - вартість розглянутого активу (даних, програм, апаратури і т.д.);

¾ Exposure Factor - коефіцієнт впливу - показує, яка частина (у відсотках) від вартості активу, піддається ризику;

¾ Frequency - частота виникнення небажаної події;

¾ ALE - це оцінка очікуваних річних втрат для одного конкретного активу від реалізації однієї загрози.

Коли всі активи і впливу ідентифіковані і зібрані разом, то з'являється можливість оцінити загальний ризик для ІС, як суму всіх приватних значень.

Можна ввести показники «очікувана річна частота події» (Annualized Rate of Occurrence - ARO) і «очікуваний одиничний збиток» (Single Loss Expectancy - SLE), який може розраховуватися як різниця первісної вартості активу та його залишкової вартості після події (хоча подібний спосіб оцінки застосувати не у всіх випадках, наприклад, він не підходить для оцінки ризиків, пов'язаних з порушенням конфіденційності інформації). Тоді, для окремо взятого поєднання загроза-ресурс застосовна формула (4.2):

(4.2)

Четвертий етап - генерація звітів. Типи звітів:

¾ короткі підсумки;

¾ повні і короткі звіти про елементи, описаних на стадіях 1 і 2;

¾ звіт від вартості захищаються ресурсів та очікуваних втратах від реалізації загроз;

¾ звіт про загрози та заходи протидії;

¾ звіт про ROI;

¾ звіт про результати аудиту безпеки.

Таким чином, розглянуте засіб дозволяє оцінити не тільки ті ризики, які зараз існують у підприємства, а й ту вигоду, яку може принести впровадження фізичних, технічних, програмних та інших засобів і механізмів захисту. Підготовлені звіти і графіки дають матеріал, достатній для прийняття рішень про зміну системи забезпечення безпеки підприємства.

Недоліки методики RiskWatch:

- Методика RiskWatch підходить, якщо потрібно провести аналіз ризиків на програмно-технічному рівні захисту, без урахування організаційних і адміністративних чинників;

- Отримані оцінки ризиків (математичне очікування втрат) далеко не вичерпує розуміння ризику з системних позицій - метод не враховує комплексний підхід до інформаційної безпеки;

- Програмне забезпечення RiskWatch існує тільки англійською мовою;

- Висока вартість ліцензії (від 15'000 дол за одне робоче місце для невеликої компанії; від 125'000 дол за корпоративну ліцензію).

Методика RiskWatch дозволяє розділити інформаційні системи на кілька профілів і вже використовувати конкретизовану систему для обліку ризиків інформаційної безпеки підприємства, що дуже зручно в сучасний час. Різні організації використовують однотипні моделі для оцінки ризиків, що не дуже дозволяє прорахувати той чи інший збиток при виникненні загрози. Методика дозволяє в живу в цифрах побачити оцінку очікуваних втрат за рік від бездіяльності з боку підприємства до загрози через спрямованого відсутність фінансування для забезпечення безпеки підприємства.

4.5 Аналіз методики Гриф

Для проведення повного аналізу інформаційних ризиків, насамперед, необхідно побудувати повну модель інформаційної системи з точки зору ІБ. Для вирішення цього завдання ГРИФ, на відміну від прередставленних на ринку західних систем аналізу ризиків, які громіздкі, складні у використанні і часто не припускають самостійного застосування ІТ-менеджерами і системними адміністраторами, відповідальними за забезпечення безпеки інформаційних систем компаній, володіє простим і інтуїтивно зрозумілим для користувача інтерфейсом. Основне завдання методики ГРИФ - дати можливість ІТ менеджеру самостійно оцінити рівень ризиків в інформаційній системі, оцінити ефективність існуючої практики щодо забезпечення безпеки компанії і мати можливість доказово (у цифрах).

На першому етапі методики ГРИФ проводиться опитування ІТ-менеджера з метою визначення повного списку інформаційних ресурсів, які мають цінність для компанії.

На другому етапі проводиться опитування ІТ-менеджера з метою введення в систему ГРИФ всіх видів інформації, що представляє цінність для компанії. Введені групи цінної інформації повинні бути розміщені користувачем на раніше зазначених на попередньому етапі об'єктах зберігання інформації (серверах, робочих станціях і т.д.). Заключна фаза - вказівка ​​збитку по кожній групі цінної інформації, розташованої на відповідних ресурсах, за всіма видами загроз.

На третьому етапі спочатку проходить визначення всіх видів користувальницьких груп (і число користувачів в кожній групі). Потім визначається, до яких груп інформації на ресурсах має доступ кожна з груп користувачів. На закінчення визначаються види (локальний і / або віддалений) і права (читання, запис, видалення) доступу користувачів до всіх ресурсів, що містять цінну інформацію.

На четвертому етапі проводиться опитування ІТ-менеджера для визначення засобів захисту інформації, якими захищена цінна інформація на ресурсах. Крім того, в систему вводиться інформація про разові витратах на придбання всіх застосовуються засобів захисту інформації та щорічні витрати на їх технічну підтримку, а також - щорічні витрати на супровід системи інформаційної безпеки компанії.

На завершальному етапі користувач повинен відповісти на список питань з політики безпеки, реалізованої в системі, що дозволяє оцінити реальний рівень захищеності системи і деталізувати оцінки ризиків. Наявність засобів інформаційного захисту, відзначених на першому етапі, саме по собі ще не робить систему захищеної в разі їх неадекватного використання та відсутності комплексної політики безпеки, що враховує всі аспекти захисту інформації, включаючи питання організації захисту, фізичної безпеки, безпеки персоналу, безперервності ведення бізнесу. До недоліків ГРИФ можна віднести:

¾ відсутність прив'язки до бізнес-процесам;

¾ немає можливості порівняння звітів на різних етапах впровадження комплексу заходів щодо забезпечення;

¾ відсутня можливість додати специфічні для даної компанії вимоги політики безпеки.

В результаті виконання всіх дій за даними етапам, на виході сформована повна модель інформаційної системи з точки зору інформаційної безпеки з урахуванням реального виконання вимог комплексної політики безпеки, що дозволяє перейти до програмного аналізу введених даних для отримання комплексної оцінки ризиків і формування підсумкового звіту. Звітом є докладний, що дає повну картину можливого збитку від інцидентів документ, готовий для подання керівництву компанії.

Існуюча методика оцінки ризику дозволяє самостійно оцінити ступінь ризику підприємства в межах однієї мережі, але не дасть повної картини, що істотно впливає на безпеку інформації в цілому.

4.6 Методика OCTAVE

OCTAVE (Operationally Critical Threat, Asset, and Vulnerability Evaluation) - методика поведінки оцінки ризиків в організації, що розробляється інститутом Software Engineering Institute (SEI) при університеті Карнегі Меллон (Carnegie Mellon University). Повний опис методики є в Інтернет на сайті www.cert.org/octave. Їй також присвячено цілий ряд наукових статей [13,14].

Особливість даної методики полягає в тому, що весь процес аналізу проводиться силами співробітників організації, без залучення зовнішніх консультантів. Для цього створюється змішана група, що включає як технічних фахівців, так і керівників різного рівня, що дозволяє всебічно оцінити наслідки для бізнесу можливих інцидентів в області безпеки і розробити контрзаходи.

OCTAVE передбачає три фази аналізу:

1. розробка профілю загроз, пов'язаних з активом;

2. ідентифікація інфраструктурних вразливостей;

3. розробка стратегії та планів безпеки.

Профіль загрози включає в себе вказівки на актив (asset), тип доступу до активу (access), джерело загрози (actor), тип порушення або мотив (motive), результат (outcome) і посилання на описи загрози в загальнодоступних каталогах. За типом джерела, погрози на OCTAVE поділяються на:

1) загрози, які виходять від людини-порушника, чинного через мережу передачі даних;

2) загрози, які виходять від людини-порушника, який використовує фізичний доступ;

3) загрози, пов'язані зі збоями в роботі системи;

4) інші.

Методика OCTAVE пропонує при описі профілю використовувати «дерева варіантів», приклад подібного дерева для погроз класу 1) наведено на рис.13. При створенні профілю загроз рекомендується уникати великої кількості технічних деталей - це завдання другого етапу дослідження. Головне завдання першої стадії - стандартизованим чином описати поєднання загрози та ресурсу.

Друга фаза дослідження системи відповідно до методики - ідентифікація інфраструктурних вразливостей. На ній визначається інфраструктура, підтримуюча існування виділеного раніше активу (наприклад, якщо це БД відділу кадрів, то нам для роботи з нею потрібен сервер, на якому база розміщена, робоча станція службовця відділу кадрів і т.д.) і те оточення, яке може дозволити отримати до неї доступ (наприклад, відповідний сегмент локальної мережі). Розглядаються компоненти наступних класів: сервери; мережеве обладнання; СЗІ; Персональні комп'ютери; домашні персональні комп'ютери «надомних» користувачів, що працюють віддалено, але мають доступ в мережу організації; мобільні комп'ютери; системи зберігання; бездротові пристрої; інше.

Група, яка проводить аналіз для кожного сегмента мережі, зазначає, які компоненти в ньому перевіряються на наявність вразливостей. Уразливості перевіряються сканерами безпеки рівня операційної системи, мережевими сканерами безпеки, спеціалізованими сканерами (для конкретних web-серверів, СУБД та ін.), За допомогою списків вразливостей (checklists), тестових скриптів.

Для кожного компонента визначається:

– Список вразливостей, які треба усунути негайно (high-severity vulnerabilities);

– Список вразливостей, які треба усунути найближчим часом (middle-severity vulnerabilities);

– Список вразливостей, щодо яких не вимагається негайних дій (low-severity vulnerabilities).

За результатами стадії готується звіт, в якому вказується, які уразливості виявлені, який вплив вони можуть зробити на виділені раніше активи, які заходи треба вжити для усунення вразливостей.

Розробка стратегії та планів безпеки - третя стадія дослідження системи. Вона починається з оцінки ризиків, яка проводиться на базі звітів по двох попередніх етапів. У OCTAVE при оцінці ризику дається тільки оцінка очікуваного збитку, без оцінки ймовірності. Шкала: високий (high), середній (middle), низький (low). Оцінюється фінансовий збиток, збиток репутації компанії, життю і здоров'ю клієнтів і співробітників, збиток, який може викликати судове переслідування в результаті того чи іншого інциденту. Описуються значення, відповідні кожної градації шкали (наприклад, для малого підприємства фінансовий збиток в $ 10000 - високий, для більш великого - середній).

Далі, розробляють плани зниження ризиків декількох типів:

– Довготривалі;

– На середню перспективу;

– Списки завдань на найближчий час.

Для визначення заходів протидії загрозам в методиці пропонуються каталоги засобів.

Хотілося б ще раз підкреслити, що на відміну від інших методик, OCTAVE не передбачає залучення для дослідження безпеки ІС сторонніх експертів, а вся документація по OCTAVE загальнодоступна і безкоштовна, що робить методику особливо привабливою для підприємств з жорстко обмеженим бюджетом, виділеним на цілі забезпечення ІБ.

4.7 Методика оцінка серйозності мережевої атаки, використовувана SANS / GIAC

Дана методика розроблена в інституті SANS (System Administration, Networking and Security Institute) і центрі аналізу комп'ютерних інцидентів GIAC (Global Incident Analysis Center). У ній пропонується оцінити «критичність» мережевої атаки (Severity), яка визначається величиною ризику, пов'язаного з її здійсненням. Опис методики наводиться за статтею [12], першоджерелом для автора статті послужив навчальний курс SANS "Intrusion Detection in Depth" матеріали якого, на даний момент, відсутні у відкритому доступі.

Величина ризику визначається ймовірністю успішного здійснення атаки і величиною можливого збитку. Величина можливого збитку визначається критичністю ресурсів (Criticality), проти яких спрямована атака. Імовірність успішного здійснення атаки (Lethality) визначається ефективністю методів і величиною уразливості системи захисту, що використовуються для її здійснення. Величина уразливості визначається ефективністю контрзаходів системного (System countermeasures) і мережевого рівня (Network countermeasures), використовуваних для протидії даному виду загроз.

Формула для визначення рівня серйозності атаки виглядає наступним чином:

SEVERITY = (CRITICALITY + LETHALITY) - (SYSTEM COUNTERMEASURES + NETWORK COUNTERMEASURES) (1)

Показник SEVERITY оцінюють за числовий шкалою від -10 до +10.

Критичність мережевого ресурсу (CRITICALITY) визначається за 5-бальною шкалою виходячи з призначення даного мережевого ресурсу і виконуваних ним функцій. На практиці зазвичай орієнтуються на таку шкалу (у прикладі вона далеко не повна):

5: МЕ, DNS сервер, маршрутизатор;

4: поштову шлюз;

2: UNIX робоча станція;

1: персональний комп'ютер.

Імовірність успішного здійснення атаки і вид збитку (LETHALITY) визначається за наступною шкалою:

5: атакуючий може отримати права суперкористувача на віддаленій системі;

4: відмова в обслуговуванні в результаті здійснення мережевої атаки;

3: отримання прав непривилегированного користувача на віддаленій системі, наприклад, шляхом перехоплення пароля, переданого по мережі у відкритому вигляді;

2: розкриття конфіденційної інформації в результаті здійснення несанкціонованого мережевого доступу, наприклад, атака "null session" на Windows системи;

1: ймовірність успішного здійснення атаки дуже мала.

Ефективність реалізованих контрзаходів системного рівня (SYSTEM COUNTERMEASURES) можна оцінити за наступною шкалою:

5: сучасна ОС, встановлені всі пакети оновлень, використовуються додаткові мережеві засоби захисту;

3: застаріла версія ОС, не встановлені деякі пакети оновлень;

1: відсутні спеціалізовані засоби захисту, відсутня політика управління паролями, паролі передаються по мережі у відкритому вигляді.

Ефективність реалізованих контрзаходів мережевого рівня (NETWORK COUNTERMEASURES) можна оцінити за наступною шкалою:

5: У системі використовується міжмережевий екран (МЕ), який реалізує принцип мінімізації привілеїв, є єдиною точкою входу в мережу

4: МЕ і наявність додаткових точок входу в мережу;

2: МЕ дозволяючи все, що явно не заборонено (дозвільна політика управління доступом).

Хоча дана методика розроблялася тільки для оцінки ризиків, пов'язаних із здійсненням мережевих атак, її можна поширити і на інші класи загроз безпеці.

4.8 Проведеніе оцінки ризиків згідно з методикою Microsoft.

Процес управління ризиками, пропонований корпорацією Майкрософт [6], розбиває етап оцінки ризиків на наступні три кроки:

1. Планування. Розробка основи для успішної оцінки ризиків.

2. Координований збір даних. Збір інформації про ризики в ході координованих обговорень ризиків.

3. Пріоритизація ризиків. Ранжування виявлених ризиків на основі несуперечливого і повторюваногопроцесу.

Для проведення оцінки потрібно зібрати дані про:

• Активах організації.

• загроза безпеці.

• вразливою.

• Поточною середовищі контролю (прім.в прийнятої авторами перекладу керівництва [6] термінології засоби і заходи захисту інформації називаються елементами контролю, відповідно, середа контролю - сукупність елементів).

• Пропоновані елементи контролю.

Активами вважається все, що представляє цінність для організації. До матеріальних активів відноситься фізична інфраструктура (наприклад, центри обробки даних, сервери і майно). До нематеріальних активів належать дані та інша цінна для організації інформація, що зберігається в цифровій формі (наприклад, банківські транзакції, розрахунки платежів, специфікації і плани розробки продуктів). У деяких організаціях може виявитися корисним визначення третього типу активів - ІТ-служб. ІТ-служба являє собою поєднання матеріальних і нематеріальних активів. Наприклад, це може бути корпоративна служба електронної пошти.

Процес управління ризиками безпеки, пропонований корпорацією Майкрософт, визначає наступні три якісних класу активів:

1. високий вплив на бізнес (ВВБ) - вплив на конфіденційність, цілісність і доступність цих активів може заподіяти організації значний або катастрофічний збиток. Наприклад, до цього класу відносяться конфіденційні ділові дані.

2. середнє вплив на бізнес (СВБ) - вплив на конфіденційність, цілісність і доступність цих активів може заподіяти організації середній збиток. Середній збиток не викликає значних або катастрофічних змін, однак порушує нормальну роботу організації до такої міри, що це вимагає проактивних елементів контролю для мінімізації впливу в даному класі активів. До цього класу можуть належати внутрішні комерційні дані, такі як перелік співробітників або дані про замовлення підприємства.

3. низький вплив на бізнес (НВБ) - активи, які не потрапляють в класи ВВБ і СВБ, відносяться до класу НВБ. До захисту подібних активів не висуваються формальні вимоги, і вона не вимагає додаткового контролю, що виходить за рамки стандартних рекомендацій щодо захисту інфраструктури. Наприклад, це можуть бути загальні відомості про структуру організації. Далі визначається перелік загроз і вразливостей і виконується оцінка рівня потенційного збитку, званого ступенем схильності активу впливу. Оцінка збитків може проводитися за різними категоріями:

• Конкурентна перевага.

• Закони та регулятивні вимоги.

• Операційна доступність.

• Репутація на ринку.

Оцінку пропонується проводити за наступною шкалою:

• Висока схильність до впливу. Значний або повний збиток для активу.

• Середня схильність до впливу. Середній або обмежений збиток.

• Низька схильність до впливу. Незначний збиток або відсутність такого.

Наступний крок - оцінка частоти виникнення загроз:

• Висока. Ймовірно виникнення одного або декількох подій в межах року.

• Середня. Вплив може виникнути в межах двох-трьох років.

• Низька. Виникнення впливу в межах трьох років малоймовірно.

Дані збираються в шаблон. Набір шаблонів (у вигляді файлів Excel) для проведення аналізу ризиків доступний разом з текстом керівництва на сайті Microsoft. Для пояснення методики нижче будуть приводитися скріншоти, які відображатимуть різні етапи заповнення шаблонів.

Для загроз вказується рівень впливу відповідно до концепції багаторівневого захисту (рівні - фізичний, мережі, хоста, додатки, даних).

Наступний крок етапу оцінки ризиків - пріоритизація ризиків, тобто створення упорядкованого за пріоритетами списку ризиків. Формування даного списку спочатку пропонується виконати на узагальненому рівні, після чого описи найбільш істотних ризиків деталізуються.

Підсумковий рівень ризику визначається виходячи з рівня впливу та оцінки частоти виникнення ризику, для якої використовується шкала:

• Висока. Ймовірно виникнення одного або декількох впливів протягом року;

• Середня. Вплив може хоча б один раз виникнути протягом двох або трьох років;

• Низька. Виникнення впливу протягом трьох років малоймовірно.

Для детального вивчення (складання «переліку на рівні деталізації») відбираються ризики, віднесені за результатами оцінки на узагальненому рівні до однієї з трьох груп:

• ризики високого рівня;

• граничні ризики: ризики середнього рівня, які необхідно знижувати;

• суперечливі ризики: ризик є новим і знань про цей ризик у організації недостатньо або різні зацікавлені особи оцінюють цей ризик по-різному.

Формування переліку ризиків на рівні деталізації є останньою завданням процесу оцінки ризиків. У цьому переліку кожному ризику в підсумку зіставляється оцінка в числовий (грошовій) формі.

Знову визначаються:

• величина впливу і схильності впливу;

• поточні елементи контролю;

• ймовірності впливу;

• рівень ризику.

Рівень схильності впливу оцінюється за п'ятибальною шкалою

Після визначення рівня схильності впливу проводиться оцінка величини впливу. Кожному рівню схильності впливу зіставляється значення у відсотках, що відображає величину збитку, заподіяного активу, і зване фактором схильності впливу. Майкрософт, рекомендує використовувати лінійну шкалу схильності впливу від 100 до 20%, яка може змінюватися відповідно до вимог організації. Крім того, кожній величині впливу зіставляється якісна оцінка: висока, середня або низька.

Наступне завдання - визначення ймовірності впливу. Результуючий рівень ймовірності визначається на підставі двох значень. Перше значення визначає ймовірність існування уразливості в поточній середовищі. Друге значення визначає ймовірність існування уразливості виходячи з ефективності поточних елементів контролю. Кожне значення змінюється в діапазоні від 1 до 5. Визначення оцінки проводиться на основі відповідей на питання з наступним переходом до результуючої оцінці. При цьому розробники керівництва вказують, що оцінка ймовірності злому має суб'єктивний характер і пропонують при проведенні оцінки уточнювати наведений перелік.

У висновку процедури оцінки ризиків, для проводиться кількісний аналіз. Щоб визначити кількісні характеристики, необхідно виконати наступні завдання.

• Зіставити кожному класу активів в організації грошову вартість.

• Визначити вартість активу для кожного ризику.

• Визначити величину очікуваного разового збитку (single loss expectancy -SLE).

• Визначити щорічну частоту виникнення (annual rate of occurrence - ARO).

• Визначити очікуваний річний збиток (annual loss expectancy - ALE).

Кількісну оцінку пропонується почати з активів, що відповідають опису класу ВВБ. Для кожного активу визначається грошова вартість з точки зору його матеріальної і нематеріальної цінності для організації. Також враховується:

– Вартість заміни.

– Витрати на обслуговування і підтримку працездатності.

– Витрати на забезпечення надмірності та доступності.

– Вплив на репутацію організації.

– Вплив на ефективність роботи організації.

– Річний дохід.

– Конкурентна перевага.

– Внутрішня ефективність експлуатації.

– Правова та регулятивна відповідальність.

Процес повторюється для кожного активу в класах СВБ і НВБ.

Кожному класу активів зіставляється одне грошове значення, яке буде представляти цінність класу активів. Наприклад, найменше серед активів даного класу. Даний підхід зменшує витрати часу на обговорення вартості конкретних активів.

Після визначення вартостей класів активів необхідно визначити і вибрати вартість кожного ризику.

Наступним завданням є визначення ступеня шкоди, яку може бути заподіяно активу. Для розрахунків пропонується використовувати раніше певний рівень схильності впливу, на основі якого визначається фактор схильності впливу (рекомендована формула перерахунку - множення значення рівня (у балах) на 20%).

Останній крок полягає в отриманні кількісної оцінки впливу шляхом множення вартості активу на фактор схильності впливу. У класичній кількісної моделі оцінки ризиків це значення називається величиною очікуваного разового збитку (SLE).

Для визначення очікуваного річного збитку (ALE) значення SLE і ARO перемножуються.

ALE = SLE × ARO

Величина ALE характеризує потенційні річні збитки від ризику. Хоча даний показник може допомогти в оцінці збитку зацікавленим особам, які мають фінансову підготовку, група управління ризиками безпеки повинна нагадати, що вплив на організацію не обмежується величиною річних витрат - виникнення ризику може спричинити за собою заподіяння шкоди в повному обсязі.

Підводячи підсумок, можна ще раз наголосити, що процес управління ризиками безпеки, пропонований корпорацією Майкрософт, використовує комбінований підхід включає оцінку ризиків на якісному рівні на початковому етапі і кількісну оцінку - на заключному.

ВИСНОВКИ ТА РЕКОМЕНДАЦІЇЦІЇ

Підводячи підсумок, перерахуємо ті переваги, які дає проведення аналізу ризиків у сфері ІБ:

1) виявлення проблем у сфері безпеки (не тільки вразливостей компонент системи, але і недоліків політик безпеки і т.д.);

2) аналіз ризиків дозволяє нетехнічних фахівцям (зокрема, керівництву організації) оцінити вигоди від впровадження засобів і механізмів захисту і взяти участь у процесі визначення необхідного рівня захищеності КС;

3) проведення оцінки ризиків додає обґрунтованість рекомендацій з безпеки;

4) ранжування ризиків за пріоритетами дозволяє виділити найбільш пріоритетні напрямки для впровадження нових СЗІ, заходів і процедур забезпечення ІБ;

5) докладно описані методики аналізу ризиків дозволяє людям, які не є експертами в даній області, скористатися акумульованими в методиці знаннями, щоб отримати заслуговують довіри результати аналізу.

У той же час, необхідно відзначити, що оцінка ризиків на якісному рівні не дозволяє однозначно порівняти витрати на забезпечення ІБ і отримується від них віддачу (у вигляді зниження сумарного ризику). Тому більш кращими представляються кількісні методики. Але вони вимагають наявності оцінок ймовірності виникнення для кожної з розглянутих загроз безпеці. Крім того, використання інтегральних показників, таких як ALE, небезпечно тим, що неправильна оцінка ймовірності загрози в відношенні дуже дорогого активу може кардинально змінити оцінювана значення сумарної вартості ризиків.

Представляється більш обґрунтованим формування не єдиною, скалярною оцінки вартості ризику, а векторної. Кожен елемент вектора оцінки відповідає узагальненій загрозу безпеці (подмножеству загроз, подібних за способом реалізації і чиниться на систему впливу).

Також пропонується проводити оцінку ризику, виходячи з аналізу моделі конфлікту інтересів власника системи і порушника її безпеки. Дана модель повинна будуватися з використанням математичного апарату, що допускає відсутність статистики щодо частоти виникнення загроз безпеці. Подібна модель описується в наступному розділі курсу.

Розглянуті методики в тій чи іншій мірі дозволяють показати приблизну оцінку інформаційного ризику для підприємства. Неможливо дати точну оцінку ризику, зважаючи на складність представлення шкоди для системи за великої кількості компонентів обчислювальної середовища і різних топологій локальних і корпоративних мереж з їх програмно-апаратним наповненням і керуванням.

Жодна з методик не пропонує оцінку ризиків в корпоративному середовищі підприємства, крім методики аналізу корпоративних ризиків від Microsoft. Сучасний бізнес диктує швидкість розвитку технологій, як з економічної, так і з технічного боку. Будь середня організація має як мінімум два віддалених офісу.

Розглянуті методики орієнтовані на ті мережі, які побудовані за доменним принципом, що мають чіткі поділу прав користувачів, групи, загальні ресурси, що в деякій мірі дозволяє застосують групову політику на весь домен, але з іншого боку, при падінні домену, мережа виявляється повністю не працездатною.

Доменна структура складна в налаштуванні, але її продуктивність того варто. Для мереж з невеликою кількістю комп'ютерів доменна організація не має сенсу.

Не всі системи обліку ризиків не пропонують виділити системи захисту по щаблях, тобто від технічного захисту до програмної, тобто самої теоретично стійкою до злому.

Більшість організацій середнього розміру, і покупка дуже дорогого засобу обліку ризиків просто не по кишені підприємству. Слід враховувати той факт, що і те, кількість інформації, яка є комерційною таємницею її не дуже велика кількість.

Необхідний ступінь конкретизації деталей залежить від рівня зрілості організації, специфіки її діяльності і ряду інших чинників. Таким чином, неможливо запропонувати якусь єдину, прийнятну для всіх вітчизняних компаній і організацій, універсальну методику, відповідну певної концепції управління ризиками. У кожному окремому випадку доводиться адаптувати загальну методику аналізу ризиків та управління ними під конкретні потреби підприємства з урахуванням специфіки його функціонування та ведення бізнесу. Розглянемо спочатку типові питання та проблеми, що виникають при розробці таких методик, можливі підходи до вирішення цих проблем, а потім обговоримо приклади адаптації та розробки відповідних корпоративних методик.

Таким чином, облік ризиків повинен бути:

- недорогих;

- профільними;

- ефективним;

- масштабованим;

- керованим;

- легко адаптованим до системи;

- враховувати всі особливості побудованої мережі.

Компанія може придбати кращі технології з безпеки, які тільки можна купити за гроші, натренувати своїх людей так, що вони стануть ховати всі свої секрети, перш ніж піти вночі додому, і найняти охоронців в кращій охоронній фірмі на ринку. Але ця компанія все ще залишається повністю вразливою.

Самі люди можуть повністю слідувати кращій практиці з безпеки, рекомендованої експертами, по-рабськи встановлювати кожен знову з'явився рекомендований програмний продукт з безпеки і ретельно стежити за зміною своєї системи і стежити за випуском патчів. Але й вони все одно повністю уразливі.

Зведемо порівняльні характеристики методів до таблиці 4.1.

ПЕРЕЛІК ПОСИЛАНЬ

1 Мартемьянов Ю.Ф., Лазарева Т.Я. Экспертные методы принятия

решений: учебное пособие / Тамбов: Изд-во Тамб. гос. техн. ун-та, 2010.

2 Петренко С. А. Управление информационными рисками. Экономически оправданная безопасность / - М.: Компания АйТи; ДМК Пресс, 2004.

3 Колпаков В.М. Теория и практика принятия управленческих решений: Учеб. пособие.- К.: МАУП, 2000.

4 Литвак И Г. - Экспертные оценки и принятие решений. М.: Патент, 1996.

5 Шаньгин В.Ф. Защита компьютерной информации. Эффективные методы средств. - М.:ДМК Пресс, 2008. - 544с.

6 Симонов С.В. Методологія аналізу ризиків в інформаційних системах // Конфідент. Захист інформації. - № 1. - 2001. - С. 72-76.

7 Общие рекомендации по обращению с рисками. Мохор В.В., Богданов. Изложение «ISO 31000:2009 Risk management – PRINCIPLES AND GUIDELINES» на русском языке. Журнал Бизнес и безопасность. №5/2011.

8 Міжнародні та національні стандарти в сфері інформаційної безпеки. Гладун А.Я. Журнал Бизнес и безопасность. №1/2012.

9 ISO 13335-3 Методы менеджмента безопасности информационных технологий

10 NIST SP 800-30:2002 Пособие по управлению рисками в системах информационных технологий

11 Сайт компанії «Інсайт консалтинг» - http://www.insight.co.uk/cramm/index.htm.

12 Сайт компанії «SecuirityVulns» - http://www.security.nnov.ru.

Дата добавления: 2015-07-13; Просмотров: 1845; Нарушение авторских прав?; Мы поможем в написании вашей работы!