АНАЛИЗ РИСКОВ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ С ИСПОЛЬЗОВАНИЕМ МЕТОДИКИ СОВІТ

Цель практической работы, изучение методики и программного инструментария для анализа и оценки рисков информационной безопасности на примере методики СО ВІТ и программного инструментария Согаз.

Для выполнения практической работы на компьютере необходимо запустить программу из папки: Исполняемые модули/2_Лнализ рисков информационной безопасности.

Описание методики СОВ1Т для анализа рисков информационной безопасности

Терминология СОВ1Т

Риски

Типы рисков — классификация рисков по источнику или их природе. Примером могут служить риски, связанные с нарушением законодательных актов, использованием той или иной технологии, нарушением бизнес-процессов.

Приемлемый уровень риска — его пороговое значение. Риски ниже приемлемого уровня или равные ему должны быть приняты руководством компании, а оставшиеся — минимизированы.

Стандарт управления рисками — схема, позволяющая определить, каким образом компания добивается снижения тех или иных рисков, какие механизмы при этом она использует, в каких случаях и как происходит принятие рисков или их снижение.

Матрица ИТ-рисков — таблица, представляющая собой картину рисков, «снимок» величин ИТ-рисков на момент проведения оценки.

Руководство рисками

Владелец процессов оценки рисков — ответственный за все процессы и мероприятия, из которых состоит управление рисками.

План работ по снижению рисков — методология управления рисками, содержащая правила разработки рекомендаций для снижения рисков, а собственно план должен включать в себя задачи по улучшению процессов оценки рисков.

Политики и процедуры — утвержденные корпоративные правила. Политики и процедуры определяют, каким образом должно осуществляться управление рисками на различных уровнях иерархии компании.

Обновление величин рисков — механизм, позволяющий на регулярной основе проводить оценку рисков и отслеживать их динамику, поскольку величины рисков постоянно находятся в движении, что может обеспечивать появление новых рисков.

Глобальный и системный уровни оценки ПТ-рисков — уровни, на которые методология оценки ИТ-рисков должна разделять свои задачи. Системный уровень — это уровень оборудования и операционной системы, базы данных, приложения, в то время как глобальный — это уровень организации процессов.

Резюме для руководителя — оповещение, которое должно быть включено в методологию управления ИТ-рисками и преследует цель донести до руководства своевременную и точную информацию для управления компанией.

Стратегия управления ИТ-рисками — методология управления рисками, предусматривающая способы управления рисками, например исключение (обход), снижение, принятие и страхование.

Идентификация

Определение компонентов риска — материальные и нематериальные активы, степень их защищенности, ценность, угрозы, потенциальный ущерб и вероятность реализации угроз.

Области рисков — бизнес-риски, нарушение законодательства, коммерческие, технологические и та область рисков, которая связана с человеческим фактором.

Обновление матрицы рисков — проведение компанией повторных оценок величин рисков на регулярной основе для принятия адекватных мер по управлению ИТ-рисками, поскольку последние обладают свойством меняться во времени по величине.

Меры оценки

Количественная оценка — величины рисков, выражающиеся в цифрах, например, в деньгах, времени простоя сервера, упущенной выгоде.

Качественная оценка — величины рисков, характеризующиеся относительно, например, риск «высокий», «средний», «низкий».

Способы управления

Независимое мнение — обращение компании к услугам третьих лиц для проверки эффективности некоторых процессов.

Возврат инвестиций — процедура, используемая руководством компании для оценки эффективности инвестиций.

Баланс способов управления — набор мер по снижению рисков, имеющий минимально возможную стоимость, которая достигается путем рационального сочетания предотвращающих, выявляющих, корректирующих и восстанавливающих способов управления.

Управление конфликтами — процесс выявления и решения возникающих время от времени конфликтов (например, сетевой экран может блокировать трафик Интернет-приложения).

Мониторинг

Мониторинг используемых способов управления — наблюдение за примененным способом управления с целью достижения его эффективности.

Процедура реагирования на инциденты — анализ происходящих событий и вынесение решений по этому поводу. Инциденты могут представлять собой негативные или позитивные события, например, действия хакера, обнаруженные одним из способов управления, могут дать столько же полезной информации для составления плана по минимизации рисков, сколько и успешное проникновение злоумышленника.

Согласование плана работ по снижению рисков — своевременное устранение обнаруженных недостатков в плане работ по минимизации рисков. Согласование необходимо, чтобы достичь уверенности в том, что план включает только правильные мероприятия.

Анализ рисков, как составляющая аудита информационной безопасности

Целью анализа рисков, связанных с эксплуатацией информационных систем (ИС), является оценка угроз (т.е. условий и факторов, которые могут стать причиной нарушения целостности системы, ее конфиденциальности, а также облегчить несанкционированный доступ к ней) и уязвимостей (слабых мест в защите, которые делают возможной реализацию угрозы), а также определение комплекса контрмер, обеспечивающего достаточный уровень защищенности ИС. При оценивании рисков учитываются многие факторы: ценность ресурсов, значимость угроз, уязвимостей, эффективность имеющихся и планируемых средств защиты и многое другое.

Процесс управления направлен на определение событий, которые могут оказать влияние на организацию, и на управление связанным с этими событиями риском. При этом обеспечивается контроль над допустимым уровнем риска при разумной гарантии достижения целей организации. Управление рисками организации представляет собой непрерывный процесс, охватывающий всю организацию, осуществляется сотрудниками на всех уровнях организации (советом директоров, менеджерами и другими сотрудниками), используется при разработке и формировании стратегии, применяется во всей организации, на каждом ее уровне и в каждом подразделении и включает анализ портфеля рисков на уровне организации.

К мерам по управлению ИТ-рисками относятся: разработка нормативных документов; обеспечение физической безопасности и безопасности ИС; разграничение доступа к ресурсам компании; контроль состояния корпоративной ИС. Во-первых, определяется объект защиты — проводится инвентаризация информационных активов, оценивается их критичность для бизнес-процессов компании. Во-вторых, решается, от чего осуществляется защита. Для этого анализируются присущие системе уязвимости, определяется степень их критичности — вероятность того, что они могут быть реализованы.

Далее внедряются контрмеры, анализируется их результативность и принимается решение — оптимизировать или оставлять работать. Необходимо отслеживать изменения, происходящие как в ИС, так и в окружающей среде, чтобы своевременно вносить соответствующие коррективы.

Применение дополнительных мер по защите, позволяющих обеспечить приемлемую для организации величину риска (например, защитить и/или ограничить доступ в Интернет), дает возможность минимизировать или предупредить возможные риски.

Возможная последовательность шагов по предупреждению и минимизации рисков:

  • 1) на этапе создания корпоративного стандарта управления рисками разрабатывается стандарт, который устанавливает процедуры по управлению рисками;
  • 2) на этапе оценки рисков выполняются процедуры выявления факторов рисков и оценки их значимости, по сути — анализ вероятности того, что произойдут определенные нежелательные события, которые отрицательно повлияют на достижение целей проекта. Оценка рисков включает их идентификацию, анализ, оценку, а также методы снижения рисков или уменьшения связанных с ними неблагоприятных последствий;
  • 3) назначается лицо, ответственное за все процессы и мероприятия по управлению рисками. В большинстве организаций это владелец активов, руководство компании;
  • 4) этап обработки рисков предполагает использование одной из следующих стратегий: избежать, передать (страхование, аутсорсинг), минимизировать, принять;
  • 5) в процессе мониторинга, идентификации и переоценки рисков для каждого из них следует определить и документировать события, которые можно отслеживать для того, чтобы понять, удалось ли избежать наступления риска, либо минимизировать последствия наступившего риска. Для каждого риска должны быть выполнены все действия, предусмотренные планом смягчения последствий риска;
  • 6) этап совершенствования методологии и оценки остаточных рисков предполагает реагирование на инциденты с последующим анализом происходящих событий.

Несмотря на повышение интереса к управлению рисками используемые в настоящее время методики относительно неэффективны, поскольку этот процесс во многих компаниях осуществляется каждым подразделением независимо. Централизованный контроль (или надзор) над их действиями зачастую отсутствует, что исключает возможность реализации единого и целостного подхода к управлению рисками во всей организации.

В настоящее время используются два варианта подхода к анализу рисков — базовый и полный. Выбор зависит от оценки собственниками ценности своих информационных ресурсов и возможных последствий нарушения режима информационной безопасности. В простейшем случае собственники информационных ресурсов могут не оценивать эти параметры. Подразумевается, что ценность ресурсов с точки зрения организации не является чрезмерно высокой. В этом случае анализ рисков производится по упрощенной схеме: рассматривается стандартный набор наиболее распространенных угроз без оценки их вероятности и обеспечивается минимальный или базовый уровень информационной безопасности.

Полный вариант анализа рисков применяется в случае повышенных требований к информационной безопасности. В отличие от базового варианта, в том или ином виде оцениваются ресурсы, характеристики рисков и уязвимостей. Как правило, проводится анализ соотношения стоимость/эффективность нескольких вариантов защиты.

Таким образом, при проведении полного анализа рисков необходимо:

  • • определить ценность ресурсов;
  • • добавить к стандартному набору список угроз, актуальных для исследуемой НС;
  • • оценить вероятность угроз;
  • • определить уязвимость ресурсов;
  • • предложить решение, обеспечивающее необходимый уровень информационной безопасности.

В ИС с повышенными требованиями к информационной безопасности при выполнении полного анализа рисков приходится решать ряд сложных проблем, заключающихся в том, как определить ценность ресурсов, как составить полный список угроз и оценить их параметры, как правильно выбрать эффективные контрмеры.

Риск характеризует опасность, которой может подвергаться система и использующая ее организация.

Степень риска зависит от ряда факторов:

  • — ценности ресурсов;
  • — вероятности реализации угроз;
  • — простоты использования уязвимости для реализации угроз;
  • — существующих или планируемых к внедрению средств обеспечения информационной безопасности, которые уменьшают число уязвимостей, вероятность возникновения угроз и возможность негативных воздействий.

Определение ценности ресурсов

Ресурсы обычно подразделяются на несколько классов.

Пример классификации ресурсов и стоимостная их оценка приведены на рис. 2.1.

Для каждого класса необходима своя методика определения ценности элементов, помогающая выбрать подходящий набор критериев. Эти критерии служат для описания потенциального ущерба,

Классификация и определение ценности ресурсов

Рис. 2.1. Классификация и определение ценности ресурсов

связанного с нарушением конфиденциальности и целостности ИС, уровня ее доступности.

Физические ресурсы оцениваются по стоимости их замены или восстановления их работоспособности. Качественные оценки стоимостных величин затем преобразуются в ранговую шкалу, которая может использоваться также и для оценок информационных ресурсов. Программные ресурсы оцениваются тем же способом, что и физические, на основе определения затрат на их приобретение или восстановление.

Кроме критериев, учитывающих финансовые потери, коммерческие организации могут применять критерии, отражающие:

  • — ущерб репутации организации;
  • — неприятности, связанные с нарушением действующего законодательства;
  • — ущерб для здоровья персонала;
  • — ущерб, связанный с разглашением персональных данных отдельных лиц;
  • — финансовые потери от разглашения информации;
  • — финансовые потери, связанные с восстановлением ресурсов;
  • — потери, связанные с невозможностью выполнения обязательств;
  • — ущерб от дезорганизации деятельности.

Очевидно, что процесс оценивания потерь по приведенным критериям часто носит субъективный характер.

Могут использоваться и другие критерии в зависимости от основной деятельности организации.

Оценка характеристик факторов риска

Ресурсы должны быть проанализированы по величине оценки воздействия возможных атак (спланированных действий внутренних или внешних злоумышленников) и различных нежелательных событий естественного происхождения. Кроме того, необходимо идентифицировать уязвимости — слабые места в системе защиты, которые делают возможной реализацию угроз.

Вероятность угрозы повышается при наличии следующих факторов:

  • — привлекательность ресурса (этот показатель учитывается при рассмотрении угрозы умышленного происхождения);
  • — возможность использования ресурса для получения дохода (показатель учитывается при рассмотрении угрозы умышленного происхождения);
  • — простота использования уязвимости при проведении атаки.

Технология анализа рисков

Существует множество методик анализа рисков. Некоторые из них основаны на достаточно простых табличных методах и не предполагают применения специализированного программного инструментария, другие, наоборот, его используют.

В табличных методах можно наглядно отразить связь факторов негативного воздействия (показателей ресурсов) и вероятностей реализации угроз с учетом показателей уязвимостей.

Подобные методы сводятся к нескольким несложным шагам. Вот пример одного из таких методов.

На первом шаге оценивается негативное воздействие (показатель ресурса) по заранее определенной шкале (скажем, от 1 до 5) для каждого ресурса, которому угрожает опасность.

На втором шаге по той же шкале оценивается вероятность реализации каждой угрозы.

На третьем шаге вычисляется показатель риска. В простейшем варианте методики это делается путем умножения. Однако необходимо помнить, что операция умножения определена для количественных шкал.

На четвертом шаге угрозы ранжируются по значениям их фактора риска.

В настоящее время на рынке существует около двух десятков программных продуктов для анализа рисков: от простейших, ориентированных на базовый уровень безопасности, до сложных и дорогостоящих, позволяющих реализовать полный вариант анализа рисков и выбрать комплекс контрмер требуемой эффективности.

Программные средства, необходимые для полного анализа рисков, строятся с использованием структурных методов системного анализа и проектирования (Structured Systems Analysis and Design, SSADM) и представляют собой инструментарий для выполнения следующих операций:

  • — построение модели ИС с позиции информационной безопасности;
  • — оценка ценности ресурсов;
  • — составление списка угроз и уязвимостей, оценка их характеристик;
  • — выбор контрмер и анализа их эффективности;
  • — анализ вариантов построения защиты;
  • — документирование (генерация отчетов).

Примерами программных продуктов этого класса являются CRAMM (разработчик — компания Logica, Великобритания), MARION (разработчик CLUSIF, Франция), Risk Watch (США).

Обязательным элементом этих продуктов является база данных, содержащая информацию по инцидентам в области информационной безопасности, позволяющая оценить риски и уязвимости, эффективность различных вариантов контрмер в определенной ситуации.

 
< Пред   СОДЕРЖАНИЕ     След >