Обзор подготовлен |
|
![CNewsAnalytics](http://pics.rbc.ru/img/cnews/2003/07/29/cna.gif) |
Количественные методики управления рисками
Вторую группу методик управления рисками составляют количественные методики, актуальность которых обусловлена необходимостью решения различных оптимизационных задач, которые часто возникают в реальной жизни.
Суть этих задач сводится к поиску единственного оптимального решения, из множества существующих. Например, необходимо ответить на следующие вопросы: «Как, оставаясь в рамках утвержденного годового (квартального) бюджета на информационную безопасность, достигнуть максимального уровня защищенности информационных активов компании?» или «Какой из альтернатив построения корпоративной защиты информации (защищенного WWW сайта или корпоративной E-mail) выбрать с учетом известных ограничений бизнес ресурсов компании?» Для решения этих задач и разрабатываются методы и методики количественной оценки и управления рисками на основе структурных и реже объектно-ориентированных методов системного анализа и проектирования (SSADM Structured Systems Analysis and Design). На практике такие методики управления рисками позволяют:
- Создавать модели информационных активов компании с точки зрения безопасности;
- Классифицировать и оценивать ценности активов;
- Составлять списки наиболее значимых угроз и уязвимостей безопасности;
- Ранжировать угрозы и уязвимости безопасности
- Обосновывать средства и меры контроля рисков;
- Оценивать эффективность-стоимость различных вариантов защиты;
- Формализовать и автоматизировать процедуры оценивания и управления рисками.
Одной из наиболее известных методик этого класса является методика CRAMM.
CRAMM
В 1985 году Центральное Агентство по Компьютерам и Телекоммуникациям (CCTA) Великобритании начало исследования существующих методов управления информационной безопасностью для выдачи рекомендаций по их использованию в правительственных организациях, обрабатывающих конфиденциальную информацию. Ни один из рассмотренных методов не подошел.
Поэтому сначала был создан метод, а затем одноименная методика CRAMM (анализа и контроля рисков), соответствующая требованиям CCTA. Затем появилось несколько версий методики, ориентированной на требования различных государственных и коммерческих организаций и структур. Одна из версий «коммерческого профиля» широко распространилась на рынке средств защиты информации.
Основными целями методики CRAMM являются:
- Формализация и автоматизация процедур анализа и управления рисками;
- Оптимизация расходов на средства контроля и защиты;
- Комплексное планирование и управление рисками на всех стадиях жизненного цикла информационных систем;
- Сокращение времени на разработку и сопровождение корпоративной системы защиты информации;
- Обоснование эффективности предлагаемых мер защиты и средств контроля;
- Управление изменениями и инцидентами;
- Поддержка непрерывности бизнеса;
- Оперативное принятие решений по вопросам управления безопасностью и пр.
Управление рисками в методике СRAMM осуществляется в несколько этапов.
Основные этапы управления рисками в CRAMM
![Основные этапы управления рисками в CRAMM](http://pics.rbc.ru/img/cnews/2004/06/22/ebus-11.gif)
На первом этапе инициации определяются границы исследуемой информационной системы компании, состав и структура ее основных информационных активов и транзакций.
На этапе идентификации и оценки ресурсов четко идентифицируются активы, и определяется их стоимость. Расчет стоимости информационных активов однозначно позволяет определить необходимость и достаточность предлагаемых средств контроля и защиты.
На этапе оценки угроз и уязвимостей идентифицируются и оцениваются угрозы и уязвимости информационных активов компании. Этап анализа рисков позволяет получить качественные и количественные оценки рисков.
На этапе управления рисками предлагаются меры и средства уменьшения или уклонения от риска. Для наглядности возможности CRAMM предлагаем рассмотреть следующий пример. Пусть проводится оценка информационных рисков следующей корпоративной информационной системы.
Схема анализируемой информационной системы
![Схема анализируемой информационной системы](http://pics.rbc.ru/img/cnews/2004/06/22/ebus-12.gif)
В этой схеме условно выделим следующие элементы системы:
- рабочие места, на которых операторы вводят информацию, поступающую из внешнего мира;
- почтовый сервер, на который информация поступает с удаленных узлов сети через Интернет;
- сервер обработки, на котором установлена СУБД;
- сервер резервного копирования;
- рабочие места группы оперативного реагирования;
- рабочее место администратора безопасности;
- рабочее место администратора БД.
Функционирование системы осуществляется следующим образом. Данные, введенные с рабочих мест пользователей и поступившие на почтовый сервер, направляются на сервер корпоративной обработки данных. Затем данные поступают на рабочие места группы оперативного реагирования и там принимаются соответствующие решения.
Теперь необходимо провести анализ рисков с помощью методики CRAMM и предложить некоторые средства контроля и управления рисками, адекватные целям и задачам бизнеса компании.
Определение границ исследования. Этап начинается с решения задачи определения границ исследуемой системы. Для этого собирается следующая информация: ответственные за физические и программные ресурсы; кто является пользователем и как пользователи используют или будут использовать систему; конфигурация системы. Первичная информация собирается в процессе бесед с менеджерами проектов, менеджером пользователей или другими сотрудниками.
Идентификация ресурсов и построение модели системы с точки зрения ИБ. Проводится идентификация ресурсов: материальных, программных и информационных, содержащихся внутри границ системы. Каждый ресурс необходимо отнести к одному из предопределенных классов. Классификация физических ресурсов приводится в приложении. Затем строится модель информационной системы с точки зрения ИБ. Для каждого информационного процесса, имеющего самостоятельное значение с точки зрения пользователя и называемого пользовательским сервисом (End-User-Service), строится дерево связей используемых ресурсов. В рассматриваемом примере будет единственный подобный сервис. Построенная модель позволяет выделить критичные элементы.
Идентификация физических ресурсов
![Идентификация физических ресурсов](http://pics.rbc.ru/img/cnews/2004/06/22/ebus-13.gif)
Ценность ресурсов. Методика позволяет определить ценность ресурсов. Этот шаг является обязательным в полном варианте анализа рисков. Ценность физических ресурсов в данном методе определяется ценой их восстановления в случае разрушения. Ценность данных и программного обеспечения определяется в следующих ситуациях:
- недоступность ресурса в течение определенного периода времени;
- разрушение ресурса потеря информации, полученной со времени последнего резервного копирования, или ее полное разрушение;
- нарушение конфиденциальности в случаях несанкционированного доступа штатных сотрудников или посторонних лиц;
- модификация рассматривается для случаев мелких ошибок персонала (ошибки ввода), программных ошибок, преднамеренных ошибок;
- ошибки, связанные с передачей информации: отказ от доставки, недоставка информации, доставка по неверному адресу.
Построение модели информационной системы с точки зрения безопасности
![Построение модели информационной системы с точки зрения безопасности](http://pics.rbc.ru/img/cnews/2004/06/22/ebus-14.gif)
Для оценки возможного ущерба предлагается использовать следующие критерии:
- ущерб репутации организации;
- нарушение действующего законодательства;
- ущерб для здоровья персонала;
- ущерб, связанный с разглашением персональных данных отдельных лиц;
- финансовые потери от разглашения информации;
- финансовые потери, связанные с восстановлением ресурсов;
- потери, связанные с невозможностью выполнения обязательств;
- дезорганизация деятельности.
Приведенная совокупность критериев используется в коммерческом варианте метода (профиль Standard). В других версиях совокупность будет иной, например, в версии, используемой в правительственных учреждениях, добавляются параметры, отражающие такие области, как национальная безопасность и международные отношения.
Для данных и программного обеспечения выбираются применимые к данной ИС критерии, дается оценка ущерба по шкале со значениями от 1 до 10.
К примеру, если данные содержат подробности коммерческой конфиденциальной (критичной) информации, эксперт, проводящий исследование, задает вопрос: как может повлиять на организацию несанкционированный доступ посторонних лиц к этой информации?
Возможен такой ответ: провал сразу по нескольким параметрам из перечисленных выше, причем каждый аспект следовало бы рассмотреть подробнее и присвоить самую высокую из возможных оценок.
Затем разрабатываются шкалы для выбранной системы параметров. Они могут выглядеть следующим образом:
Ущерб репутации организации:
2 негативная реакция отдельных чиновников, общественных деятелей.
4 критика в средствах массовой информации, не имеющая широкого общественного резонанса;
6 негативная реакция отдельных депутатов Думы, Совета Федерации;
8 критика в средствах массовой информации, имеющая последствия в виде крупных скандалов, парламентских слушаний, широкомасштабных проверок и т.п.;
10 негативная реакция на уровне Президента и Правительства.
Ущерб для здоровья персонала:
2 минимальный ущерб (последствия не связаны с госпитализаций или длительным лечением);
4 ущерб среднего размера (необходимо лечение для одного или нескольких сотрудников, но длительных отрицательных последствий нет);
6 серьезные последствия (длительная госпитализация, инвалидность одного или нескольких сотрудников);
10 гибель людей;
Финансовые потери, связанные с восстановлением ресурсов:
2 менее $1000;
6 от $1000 до $10 000;
8 от $10 000 до $100 000;
10 свыше $100 000.
Дезорганизация деятельности в связи с недоступностью данных:
2 отсутствие доступа к информации до 15 минут;
4 отсутствие доступа к информации до 1 часа;
6 отсутствие доступа к информации до 3 часов;
8 отсутствие доступа к информации от 12 часов;
10 отсутствие доступа к информации более суток.
Далее рассматриваются основные сценарии, приводящие к различным негативным последствиям, описываемым в терминах выбранных параметров (рис. 7)
Оценка ценности информационных ресурсов
![Оценка ценности информационных ресурсов](http://pics.rbc.ru/img/cnews/2004/06/22/ebus-15.gif)
На этом этапе может быть подготовлено несколько типов отчетов (границы системы, модель, определение ценности ресурсов). Если ценности ресурсов низкие, можно использовать базовый вариант защиты. В таком случае исследователь может перейти от этой стадии сразу к стадии анализа рисков. Однако для адекватного учета потенциального воздействия какой-либо угрозы, уязвимости или комбинации угроз и уязвимостей, которые имеют высокие уровни, следует использовать сокращенную версию стадии оценки угроз и уязвимостей. Это позволяет разработать более эффективную систему защиты информации компании.
На этапе оценки угроз и уязвимостей оцениваются зависимости пользовательских сервисов от определенных групп ресурсов и существующий уровень угроз и уязвимостей. Далее активы компании группируются с точки зрения угроз и уязвимостей. Например, в случае наличия угрозы пожара или кражи, в качестве группы ресурсов разумно рассмотреть все ресурсы, находящиеся в одном месте (серверный зал, комната средств связи и т.д.).
При этом оценка уровней угроз и уязвимостей может проводится на основе косвенных факторов или на основе прямых оценок экспертов. В первом случае программное обеспечение CRAMM для каждой группы ресурсов и каждого из них генерирует список вопросов, допускающих однозначный ответ.
оценка уровня угрозы безопасности по косвенным факторам
![оценка уровня угрозы безопасности по косвенным факторам](http://pics.rbc.ru/img/cnews/2004/06/22/ebus-16.gif)
Уровень угроз оценивается, в зависимости от ответов, как (рис 9):
- очень высокий;
- высокий;
- средний;
- низкий;
- очень низкий.
Уровень уязвимости оценивается, в зависимости от ответов, как:
- высокий;
- средний;
- низкий;
- отсутствует.
Оценка угроз безопасности и уязвимости ресурсов
![Оценка угроз безопасности и уязвимости ресурсов](http://pics.rbc.ru/img/cnews/2004/06/22/ebus-17.gif)
Возможно проведение коррекции результатов или использование других методов оценки. На основе этой информации рассчитываются уровни рисков в дискретной шкале с градациями от 1 до 7 (этап анализа рисков). Полученные уровни угроз, уязвимостей и рисков анализируются и согласовываются с заказчиком. Только после этого можно переходить к заключительной стадии метода.
Шаги управления рисками в CRAMM
![Шаги управления рисками в CRAMM](http://pics.rbc.ru/img/cnews/2004/06/22/ebus-18.gif)
MM генерирует несколько вариантов мер противодействия, адекватных выявленным рискам и их уровням. Контрмеры разбиваются на группы и подгруппы по следующим категориям:
- Обеспечение безопасности на сетевом уровне.
- Обеспечениен физической безопасности.
- Обеспечение безопасности поддерживающей инфраструктуры.
- Меры безопасности на уровне системного администратора.
В результате выполнения данного этапа формируются несколько видов отчетов.
Таким образом, рассмотренная методика анализа и управления рисками полностью применима и в российских условиях, несмотря на то, что показатели защищенности от НСД к информации и требования по защите информации различаются в российских РД и зарубежных стандартах. Особенно полезным представляется использование инструментальных средств типа метода CRAMM при проведении анализа рисков информационных систем с повышенными требованиями в области ИБ. Это позволяет получать обоснованные оценки существующих и допустимых уровней угроз, уязвимостей, эффективности защиты.
Сергей Петренко, Сергей Симонов / АйТи
|