Современные технологии анализа рисков в информационных системах

Содержание

Введение.

Современные технологии анализа рисков в информационных системах.

Основные подходы к анализу рисков.

Методология анализа рисков в ИС с повышенными требованиями в области ИБ.

Определение ценности ресурсов.

Оценка характеристик факторов риска.

Технология анализа рисков.

Принципы, положенные в основу методик.

Границы применимости методик.

Метод CRAMM. История создания метода.

Концепция, положенная в основу метода.

Заключение.

Список использованных источников.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Введение

 

Информационная  система, в зависимости от своего класса, должна обладать подсистемой  безопасности с конкретными формальными  свойствами. Анализ рисков, как правило, выполняется формально, с использованием произвольных методик. В развитых странах это не так. К примеру, в американском глоссарии по безопасности можно найти термин Designated Approving Authority - лицо, уполномоченное принять решение о допустимости определенного уровня рисков.

Вопросам анализа  рисков уделяется серьезное внимание: десятилетиями собирается статистика, совершенствуются методики.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Современные технологии анализа рисков в информационных системах

Целью анализа  рисков, связанных с эксплуатацией  информационных систем (ИС), является оценка угроз (т. е. условий и факторов, которые могут стать причиной нарушения целостности системы, ее конфиденциальности, а также облегчить несанкционированный доступ к ней) и уязвимостей (слабых мест в защите, которые делают возможной реализацию угрозы), а также определение комплекса контрмер, обеспечивающего достаточный уровень защищенности ИС. При оценивании рисков учитываются многие факторы: ценность ресурсов, значимость угроз, уязвимостей, эффективность имеющихся и планируемых средств защиты и многое другое.

Однако положение начинает меняться. Среди отечественных специалистов служб информационной безопасности (ИБ) зреет понимание необходимости проведения такой работы. В первую очередь это относится к банкам и крупным коммерческим структурам, т. е. к тем, которые серьезно заботятся о безопасности своих информационных ресурсов.

Основные подходы  к анализу рисков

 

В настоящее  время используются два подхода  к анализу рисков - базовый и  полный вариант. Выбор зависит от оценки собственниками ценности своих  информационных ресурсов и возможных последствий нарушения режима информационной безопасности. В простейшем случае собственники информационных ресурсов могут не оценивать эти параметры. Подразумевается, что ценность ресурсов с точки зрения организации не является чрезмерно высокой. В этом случае анализ рисков производится по упрощенной схеме: рассматривается стандартный набор наиболее распространенных угроз без оценки их вероятности и обеспечивается минимальный или базовый уровень ИБ.

Полный вариант  анализа рисков применяется в случае повышенных требований к ИБ. В отличие от базового варианта в том или ином виде оцениваются ресурсы, характеристики рисков и уязвимостей. Как правило, проводится анализ соотношения стоимость/эффективность нескольких вариантов защиты.

Таким образом, при проведении полного анализа рисков необходимо:

1. определить ценность ресурсов;
2. добавить к стандартному набору список угроз, актуальных для исследуемой информационной системы;
3. оценить вероятность угроз;
4. определить уязвимость ресурсов;
5. предложить решение, обеспечивающее необходимый уровень ИБ.

Методология анализа рисков в ИС с повышенными  требованиями в области ИБ

 

При выполнении полного анализа рисков приходится решать ряд сложных проблем: как  определить ценность ресурсов? как  составить полный список угроз ИБ и оценить их параметры? как правильно выбрать эффективные контрмеры?

Процесс анализа  рисков делится на несколько этапов:

1. идентификация информационных ресурсов;
2. выбор критериев оценки и определение потенциального негативного воздействия на ресурсы и приложения;
3. оценка угроз;
4. оценка уязвимостей;
5. оценка рисков;
6. оценка эффективности существующих и предполагаемых средств обеспечения информационной безопасности.

На основе анализа  рисков выбираются средства, обеспечивающие режим ИБ. Ресурсы, значимые для бизнеса и имеющие определенную степень уязвимости, подвергаются риску, если по отношению к ним существует какая-либо угроза. При оценке рисков учитываются потенциальное негативное воздействие от нежелательных происшествий и показатели значимости рассматриваемых уязвимостей и угроз.

Риск характеризует  опасность, которой может подвергаться система и использующая ее организация.

Степень риска  зависит от ряда факторов:

1. ценности ресурсов;
2. вероятности реализации угроз;
3. простоты использования уязвимости для реализации угроз;
4. существующих или планируемых к внедрению средств обеспечения ИБ, которые уменьшают число уязвимостей, вероятность возникновения угроз и возможность негативных воздействий.

Определение ценности ресурсов

 

Ресурсы обычно подразделяются на несколько классов - например, физические, программные ресурсы, данные. Для каждого класса необходима своя методика определения ценности элементов, помогающая выбрать подходящий набор критериев. Эти критерии служат для описания потенциального ущерба, связанного с нарушением конфиденциальности и целостности ИС, уровня ее доступности.

Физические  ресурсы оцениваются с точки  зрения стоимости их замены или восстановления работоспособности. Эти стоимостные  величины затем преобразуются в  ранговую (качественную) шкалу, которая используется также для информационных ресурсов. Программные ресурсы оцениваются тем же способом, что и физические, на основе определения затрат на их приобретение или восстановление.

Если для  информационного ресурса существуют особенные требования к конфиденциальности или целостности (например, если исходный текст имеет высокую коммерческую ценность), то оценка этого ресурса производится по той же схеме, т. е. в стоимостном выражении.

Кроме критериев, учитывающих финансовые потери, коммерческие организации могут применять критерии, отражающие:

1. ущерб репутации организации;
2. неприятности, связанные с нарушением действующего законодательства;
3. ущерб для здоровья персонала;
4. ущерб, связанный с разглашением персональных данных отдельных лиц;
5. финансовые потери от разглашения информации;
6. финансовые потери, связанные с восстановлением ресурсов;
7. потери, связанные с невозможностью выполнения обязательств;
8. ущерб от дезорганизации деятельности.

Могут использоваться и другие критерии в зависимости  от профиля организации. К примеру, в правительственных учреждениях прибегают к критериям, отражающим специфику национальной безопасности и международных отношений.

Оценка характеристик  факторов риска

 

Ресурсы должны быть проанализированы с точки зрения оценки воздействия возможных атак (спланированных действий внутренних или внешних злоумышленников) и различных нежелательных событий естественного происхождения. Такие потенциально возможные события будем называть угрозами безопасности. Кроме того, необходимо идентифицировать уязвимости - слабые места в системе защиты, которые делают возможной реализацию угроз.

Вероятность того, что угроза реализуется, определяется следующими основными факторами:

1. привлекательностью ресурса (этот показатель учитывается при рассмотрении угрозы умышленного воздействия со стороны человека);
2. возможностью использования ресурса для получения дохода (показатель учитывается при рассмотрении угрозы умышленного воздействия со стороны человека);
3. простотой использования уязвимости при проведении атаки .

Технология  анализа рисков

 

Существует  множество методик анализа рисков. Некоторые из них основаны на достаточно простых табличных методах и  не предполагают применения специализированного  ПО, другие, наоборот, его используют.

В табличных  методах можно наглядно отразить связь факторов негативного воздействия (показателей ресурсов) и вероятностей реализации угрозы с учетом показателей уязвимостей.

Подобные методы сводятся к нескольким несложным  шагам. Вот пример одного из таких методов.

На первом шаге оценивается негативное воздействие (показатель ресурса) по заранее определенной шкале (скажем, от 1 до 5) для каждого ресурса, которому угрожает опасность.

На втором - по той же шкале оценивается вероятность  реализации каждой угрозы.

На третьем  шаге вычисляется показатель риска. В простейшем варианте методики это делается путем умножения. Однако необходимо помнить, что операция умножения определена для количественных шкал. Должна быть разработана методика оценки показателей рисков применительно к конкретной организации.

На четвертом  шаге угрозы ранжируются по значениям  их фактора риска.

Применение  каких-либо инструментальных средств  не является обязательным, однако позволяет  уменьшить трудоемкость анализа  рисков и выбора контрмер. В настоящее  время на рынке есть около двух десятков программных продуктов для анализа рисков: от простейших, ориентированных на базовый уровень безопасности, до сложных и дорогостоящих, позволяющих реализовать полный вариант анализа рисков и выбрать комплекс контрмер требуемой эффективности.

Программные средства, необходимые для полного анализа  рисков, строятся с использованием структурных методов системного анализа и проектирования (SSADM, Structured Systems Analysis and Design) и представляют собой  инструментарий для выполнения следующих операций:

1. построения модели ИС с позиции ИБ;
2. оценки ценности ресурсов;
3. составления списка угроз и уязвимостей, оценки их характеристик;
4. выбора контрмер и анализа их эффективности;
5. анализа вариантов построения защиты;
6. документирования (генерация отчетов).

 

Примерами программных  продуктов этого класса являются CRAMM (разработчик - компания Logica, Великобритания), MARION (разработчик CLUSIF, Франция), RiskWatch (США).

Обязательным  элементом этих продуктов является база данных, содержащая информацию по инцидентам в области ИБ, позволяющая оценить риски и уязвимости, эффективность различных вариантов контрмер в определенной ситуации.

Принципы, положенные в основу методик. Границы применимости методик

 

Один из возможных  подходов к разработке подобных методик - накопление статистических данных о  реальных происшествиях, анализ и классификация  их причин, выявление факторов риска. На основе этой информации можно оценить  угрозы и уязвимости в других информационных системах.

Практические  сложности в реализации этого  подхода следующие.

Во-первых, должен быть собран весьма обширный материал о происшествиях в этой области.

Во-вторых, применение этого подхода оправданно далеко не всегда. Если информационная система достаточно крупная (содержит много элементов, расположена на обширной территории), имеет давнюю историю, то подобный подход скорее всего применим. Если система сравнительно невелика, использует только новейшие элементы технологии (для которых пока нет достаточной статистики), оценки рисков и уязвимостей могут оказаться недостоверными.

Альтернативой статистическому подходу является подход, основанный на анализе особенностей технологии. Впрочем, он также не универсален: темпы технологического прогресса  в области ИТ таковы, что имеющиеся оценки относятся к уже устаревшим или устаревающим технологиям, для новейших технологий таких оценок пока не существует.

Метод CRAMM. История  создания метода

 

В 1985 г. Центральное  агентство по компьютерам и телекоммуникациям (CCTA) Великобритании начало исследования существующих методов анализа ИБ для того, чтобы рекомендовать наиболее пригодные для использования в правительственных учреждениях, занятых обработкой несекретной, но критичной информации. Ни один из рассмотренных вариантов не подошел. Поэтому был разработан новый метод, соответствующий требованиям CCTA. Он получил название CRAMM - метод CCTA анализа и контроля рисков. Затем появилось несколько его версий, ориентированных на требования министерства обороны, гражданских государственных учреждений, финансовых структур, частных организаций. Одна из версий, "коммерческий профиль", является коммерческим продуктом. В настоящее время продается версия CRAMM 4.0.