IV Международная студенческая научная конференция Студенческий научный форум - 2012
АНАЛИЗ И УПРАВЛЕНИЕ РИСКАМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ С ПОМОЩЬЮ СИСТЕМЫ «ГРИФ»
КомментарииПолная версия работы доступна во вкладке "Файлы работы" в формате PDF
Многие компании понимают, что им необходимо построить систему информационной безопасности, но менеджеры обычно не знают, какой шаг должен быть первым в данном направлении. Как правило, главными препятствиями на пути обеспечения информационной безопасности становится сложность обоснования необходимых мероприятий и затрат на их выполнение. Компании нередко выделяют единый бюджет на удовлетворение всех потребностей по информационным системам (аппаратное и программное обеспечение, зарплата, консультанты и т. п.), что способствует развитию тенденции выделять основную часть средств на повышение производительности, при этом нередко вопросы безопасности остаются без внимания. Обеспечение информационной безопасности является вещью весьма и весьма дорогостоящей и далеко не все осознают, что такие денежные вложения являются выгодными.
Руководство большинства организаций не достаточно осознают важность вопросов касающихся обеспечения информационной безопасности и выделяют на решение имеющихся проблем столько денег, сколько не жалко. Такое халатное отношение ведет к все большим и большим возникновениям рискам и всевозможным угрозам информационной безопасности. Отсюда появляется огромное количество проблем с потерей, утечкой ценной информации и тратится еще больше средств и времени на то, чтобы существенно снизить потери, связанные с информационными рисками.
В сфере информационной безопасности оценка рисков играет такую же первостепенную роль, как и во всех других областях человеческой деятельности. Из-за неадекватной оценки рисков, связанных с осуществлением угроз информационной безопасности в современном высокотехнологичном обществе, государство, организации и отдельные личности несут весьма ощутимый ущерб, подсчитать который вряд ли кому-либо удастся.
Современные методики и технологии управления информационными рисками позволяют оценить существующий уровень остаточных информационных рисков. Это особенно важно в тех случаях, когда к информационной системе предъявляются повышенные требования в области защиты информации. Существенно, что качественно выполненный анализ информационных рисков позволяет провести сравнительный анализ «эффективность/стоимость» различных вариантов защиты, выбрать адекватные контрмеры и средства контроля, оценить уровень остаточных рисков.
Кроме того, инструментальные средства анализа рисков, основанные на современных базах знаний и процедурах логического вывода, позволяют построить структурные и объектно-ориентированные модели информационных активов компании, модели угроз и модели рисков, связанных с отдельными информационными и бизнестранзакциям. Следовательно, выявлять такие информационные активы компании, риск нарушения защищенности которых является критическим, то есть неприемлемым.
Такие инструментальные средства предоставляют возможность построить различные модели защиты информационных активов компании, сравнивать между собой по критерию "эффективность/стоимость" различные варианты комплексов мер защиты и контроля, а также вести мониторинг выполнения требований по организации режима информационной безопасности отечественной компании.
Существует достаточное количество хорошо себя зарекомендовавших и достаточно широко используемых методов оценки и управления рисками. Одним из таких методов является OCTAVE. OCTAVE - Оценка критичных угроз, активов и уязвимостей (Operationally Critical Threat, Asset, and Vulnerability Evaluation) имеет ряд модификаций, рассчитанных на организации разного размера и области деятельности. Сущность этого метода заключается в том, что для оценки рисков используется последовательность соответствующим образом организованных внутренних семинаров. Оценка рисков осуществляется в три этапа, которым предшествует набор подготовительных мероприятий, включающих в себя согласования графика семинаров, назначения ролей, планирование, координация действий участников проектной группы. Используемая в программе методика включает в себя три этапа.
На первом этапе, в ходе практических семинаров, осуществляется разработка профилей угроз, включающих в себя инвентаризацию и оценку ценности активов, идентификация применимых требований законодательства и нормативной базы, идентификацию угроз и оценку их вероятности, а также определение системы организационных мер по поддержанию режима информационной безопасности (ИБ).
На втором этапе производится технический анализ уязвимостей информационных систем организации в отношении угроз, чьи профили были разработаны на предыдущем этапе, который включает в себя идентификацию имеющихся уязвимостей информационных систем организации и оценку их величины.
На третьем этапе производится оценка и обработка рисков ИБ, включающая в себя определение величины и вероятности причинения ущерба в результате осуществления угроз безопасности с использованием уязвимостей, которые были идентифицированы на предыдущих этапах, определение стратегии защиты, а также выбор вариантов и принятие решений по обработке рисков. Величина риска определяется как усредненная величина годовых потерь организации в результате реализации угроз безопасности.
Аналогичный подход используется и в широко известном методе оценки рисков CRAMM, разработанном в свое время Службой Безопасности Великобритании (UK Security Service) по заказу британского правительства и взят на вооружение в качестве государственного стандарта. В CRAMM основной способ оценки рисков - это тщательно спланированные интервью, в которых используются подробнейшие опросники. CRAMM используется в тысячах организаций по всему миру, благодаря, кроме всего прочего, и наличию весьма развитого программного инструментария, содержащего базу знаний по рискам и механизмам их минимизации, средства сбора информации, формирования отчетов, а также реализующего алгоритмы для вычисления величины рисков.
В отличие от метода OCTAVE, в CRAMM используется несколько иная последовательность действий и методы определения величины рисков. Сначала определяется целесообразность оценки рисков вообще и если информационная система организации недостаточно критична, то к ней применятся стандартный набор механизмов контроля, описанный в международных стандартах и содержащихся в базе знаний CRAMM. Используемая в программе методика включает в себя 3 этапа.
На первом этапе в методе CRAMM строиться модель ресурсов информационной системы, описывающая взаимосвязи между информационными, программными и техническими ресурсами, а также оценивается ценность ресурсов, исходя из возможного ущерба, который организация может понести в результате их компрометации. Таким образом, задачей первого этапа является ответ на вопрос: «Достаточно ли для защиты системы применения средств базового уровня, реализующих традиционные функции безопасности, или необходимо проведение более детального анализа?»
Если по результатам проведения первого этапа, установлено, что уровень критичности ресурсов является очень низким и существующие риски заведомо не превысят некоторого базового уровня, то к системе предъявляются минимальный набор требований безопасности. В этом случае большая часть мероприятий второго этапа не выполняется, а осуществляется переход к третьему этапу, на котором генерируется стандартный список контрмер для обеспечения соответствия базовому набору требований безопасности.
На втором этапе производится оценка рисков, включающая в себя идентификацию и оценку вероятности угроз, оценку величины уязвимостей и вычисление рисков для каждой тройки: ресурс - угроза - уязвимость. В CRAMM оцениваются «чистые» риски, безотносительно к реализованным в системе механизмам контроля. На этапе оценки рисков предполагается, что контрмеры вообще не применяются и набор рекомендуемых контрмер по минимизации рисков, формируется, исходя из этого предположения.
На заключительном этапе инструментарием CRAMM формируется набор контрмер по минимизации идентифицированных рисков и производится сравнение рекомендуемых и существующих контрмер, после чего формируется план обработки рисков.
Далее рассмотрим метод RiskWatch. В методе RiskWatch в качестве критериев для оценки и управления рисками используются «предсказание годовых потерь» (Annual Loss Expectancy - ALE) и оценка «возврата от инвестиций» (Return on Investment - ROI). RiskWatch помогает провести анализ рисков и сделать обоснованный выбор мер и средств защиты. Используемая в программе методика включает в себя 4 этапа.
На первом этапе определяется предмет исследования. На данном этапе описываются параметры организации - тип организации, состав исследуемой системы, базовые требования в области безопасности. Описание формализуется в ряде подпунктов, которые можно выбрать для более подробного описания или пропустить. Далее каждый из выбранных пунктов описывается подробно. Для облегчения работы аналитика в шаблонах даются списки категорий защищаемых ресурсов, потерь, угроз, уязвимостей и мер защиты. Из них нужно выбрать те, что реально присутствуют в организации.
На втором этапе осуществляется ввод данных, описывающих конкретные характеристики системы. Данные могут вводиться вручную или импортироваться из отчетов, созданных инструментальными средствами исследования уязвимости компьютерных сетей. На этом этапе подробно описываются ресурсы, потери и классы инцидентов. Классы инцидентов получаются путем сопоставления категории потерь и категории ресурсов; Для выявления возможных уязвимостей используется опросник, база которого содержит более 600 вопросов. Вопросы связаны с категориями ресурсов. Допускается корректировка вопросов, исключение или добавление новых. Задается частота возникновения каждой из выделенных угроз, степень уязвимости и ценность ресурсов. Все это используется в дальнейшем для расчета эффективности внедрения средств защиты.
На третьем этапе производится оценка рисков. Сначала устанавливаются связи между ресурсами, потерями, угрозами и уязвимостями, выделенными на предыдущих этапах. Для рисков рассчитываются математические ожидания потерь за год.
На четвертом этапе производится генерация отчетов. Полные и краткие отчеты об элементах, описанных на стадиях 1 и 2. Отчет о стоимости защищаемых ресурсов и ожидаемых потерь от реализации угроз, отчет об угрозах и мерах противодействия, а также отчет о результатах аудита безопасности.
Одной из классических проблем алгоритмов анализа информационных рисков является выбор методики анализа и определения угроз безопасности информации.
Часть существующих алгоритмов, в частности американский RiskWatch, использует следующий подход: пользователь указывает полный список угроз безопасности, характерных для данной системы, а также оценку ущерба по каждому виду угроз. Данный подход является алгоритмически тупиковым путем, так как конечный элемент защиты - это информация, и ущерб определяется именно по информации. Определение ущерба по конкретным, специфичным для данной системы угрозам приводит к тому, что данный ущерб в итоге оценивается выше, чем реальный ущерб по видам информации, что неверно.
Дело в том, что на один и тот же вид информации может быть направлено сразу несколько угроз, что и приведет к тому, что суммарный ущерб, подсчитанный по угрозам, будет неадекватен реальному, подсчитанному по информации. И с учетом того, что как конечным элементом защиты, так и конечным элементом оценки ущерба является информация, алгоритм анализа рисков должен отталкиваться не от частных угроз и ущербов по ним, а от информации и от ущерба по информации, учитывая при этом и сами угрозы.
Для решения этого алгоритмического противоречия рассмотрим алгоритм «ГРИФ», в котором применяется новый метод классического непересекающегося поля угроз информации: угроз конфиденциальности, целостности и доступности. Алгоритм «ГРИФ» требует от пользователя внести ущерб по всем трем видам угроз по каждому виду ценной информации. Этот метод позволяет, во-первых, абстрагироваться на этапе моделирования системы от конкретных угроз безопасности (дело в том, что каждая конкретная угроза распадается на эти три классических непересекающихся вида угроз), во-вторых, избежать избыточного суммирования по ущербу, так как это поле непересекающихся угроз, и, в-третьих, это позволяет разбить процесс анализа защищенности информационной системы на множество элементарных ситуаций, когда алгоритм анализирует возможность реализации данных классических угроз безопасности по каждому виду информации на каждом ресурсе и не привязывается на этапе анализа к конкретным реализациям угроз.
На первом этапе метода ГРИФ проводится опрос ИТ-менеджера с целью определения полного списка информационных ресурсов, представляющих ценность для компании.
На втором этапе проводится опрос ИТ-менеджера с целью ввода в систему «ГРИФ» всех видов информации, представляющей ценность для компании. Введенные группы ценной информации должны быть размещены пользователем на ранее указанных на предыдущем этапе объектах хранения информации (серверах, рабочих станциях и т.д.). Заключительная фаза - указание ущерба по каждой группе ценной информации, расположенной на соответствующих ресурсах, по всем видам угроз.
На третьем этапе вначале проходит определение всех видов пользовательских групп (и число пользователей в каждой группе). Затем определяется, к каким группам информации на ресурсах имеет доступ каждая из групп пользователей. В заключение определяются виды (локальный и/или удаленный) и права (чтение, запись, удаление) доступа пользователей ко всем ресурсам, содержащих ценную информацию.
На четвертом этапе проводится опрос ИТ-менеджера для определения средств защиты информации, которыми защищена ценная информация на ресурсах. Кроме того, в систему вводится информация о разовых затратах на приобретение всех применяющихся средств защиты информации и ежегодные затраты на их техническую поддержку, а также - ежегодные затраты на сопровождение системы информационной безопасности компании
На завершающем этапе пользователь должен ответить на список вопросов по политике безопасности, реализованной в системе, что позволяет оценить реальный уровень защищенности системы и детализировать оценки рисков.
Система «ГРИФ» содержит модуль управления рисками, который позволяет проанализировать все причины того значения риска, который получается после обработки алгоритмом занесенных данных. Таким образом, зная причины, можно обладать всеми данными, необходимыми для реализации контрмер и, соответственно, снижения уровня риска. Благодаря расчету эффективности каждой возможной контрмеры, а также определению значения остаточного риска, можно выбрать наиболее оптимальные контрмеры, которые позволят снизить риск до необходимого уровня с наименьшими затратами.
В результате работы с системой «ГРИФ» строится подробный отчет об уровне риска каждого ценного ресурса информационной системы компании, все причины риска с подробным анализом уязвимостей и оценкой экономической эффективности всех возможных контрмер.
Фундаментальной проблемой любого алгоритма анализа рисков является определение вероятности реализации специфичной для данной системы угрозы. В случае применения подхода, аналогичного RiskWatch (условно, подхода от частных угроз), пользователю на этапе моделирования необходимо или ввести вероятность реализации конкретной угрозы или оценить ее уровень. Алгоритм ГРИФ не предусматривает введения пользователем вероятности реализации угроз. В ГРИФ моделируются доступы всех групп пользователей ко всем видам информации, и в зависимости от вида доступа и вида ресурса рассматривается конечное множество очевидных элементарных ситуаций, где начальную вероятность реализации угрозы можно определить достаточно просто и точно. Далее анализируется множество опять же элементарных факторов (идет анализ комплексной защищенности объекта), которые так или иначе влияют на защищенность, и затем делается вывод об итоговых рисках. Иными словами, в алгоритме «ГРИФ» применяется типовой алгоритмический подход, когда решение большой сложной задачи разбивается на множество небольших простых задач.
Таким образом, методику проведения анализа и управления рисков предприятия, а также инструментальные средства, поддерживающие ее, следует выбирать, учитывая следующие факторы: наличие экспертов в области оценки риска, статистики по инцидентам нарушения информационной безопасности, точной количественной оценки или достаточно оценки на качественном уровне.
На данный момент существует достаточное количество хорошо себя зарекомендовавших и достаточно широко используемых методов оценки и управления рисками. Проведя обзор программных продуктов, предназначенных для анализа и управления информационными рисками, мы остановились на системе анализа и управления информационными рисками «ГРИФ». Система «ГРИФ» в отличие от прочих представленных на рынке западных систем анализа и управления рисками, которые достаточно громоздки, сложны в использовании, имеет простой и понятный для пользователя интерфейс. Тем не менее, за внешней простотой скрыт сложнейший алгоритм анализа рисков, который учитывающий более ста параметров и впоследствии позволяет на выходе дать максимально точную оценку имеющихся в информационной системе рисков.
«ГРИФ» - это комплексная система анализа и управления рисками информационной системы компании. Данная система анализирует уровень защищенности всех ценных ресурсов компании, оценивает возможный ущерб, который понесет компания в результате реализации угроз информационной безопасности, а также позволяет эффективно управлять рисками при помощи выбора контрмер, наиболее оптимальных по соотношению цена/качество и дает полную картину защищенности информационных ресурсов в системе и позволяет выбрать оптимальную стратегию защиты информации компании.
Система «ГРИФ» предоставляет возможность проводить анализ рисков информационной системы при помощи анализа модели информационных потоков, а также, анализируя модель угроз и уязвимостей - в зависимости от того, какими исходными данными располагает пользователь, а также от того, какие данные интересуют пользователя на выходе.
Клиентское оборудование должно удовлетворять следующим требованиям:
Минимальные требования:
- оперативная память: 256Mb;
- свободное дисковое пространство (для диска, где расположены данные пользователя) - 300Мb;
- операционная система: Windows 2000 - Windows ХР.
Рекомендуемая конфигурация:
- оперативная память: 512Mb;
- виртуальная память: 1024Мb;
- свободное дисковое пространство (для диска, где расположены данные пользователя) - 1Gb.
Серверное оборудование должно удовлетворять следующим требованиям:
- оперативная память: 2Gb;
- свободное дисковое пространство (для диска, где расположены данные пользователя) - 2Gb;
- операционная система: Windows 2000 - Windows ХР.
Для работы системы не требуется дополнительное программное обеспечение.
Система «ГРИФ» содержит подробное справочное руководство (Рисунок 1), которое полностью описывает все этапы работы:
Кроме описания работы с системой, в справочных материалах (Рисунок 2) присутствует описания принципов работы алгоритма, различные рекомендации экспертов, которые помогут при занесении данных и работе с полученными результатами.
Анализ рисков информационной системы проводится при помощи анализа модели информационных потоков, а также, анализируя модель угроз и уязвимостей - в зависимости от того, какими исходными данными располагает пользователь, а также от того, какие данные интересуют пользователя на выходе.
При работе с моделью информационных потоков в систему вносится полная информация обо всех ресурсах с ценной информацией, пользователях, имеющих доступ к этим ресурсам, видах и правах доступа. Заносятся данные обо всех средствах защиты каждого ресурса, сетевые взаимосвязи ресурсов, а также характеристики политики безопасности компании. В результате получается полная модель информационной системы.
На первом этапе работы с программой пользователь вносит все объекты своей информационной системы (Рисунок 3): отделы, ресурсы (специфичными объектами данной модели являются сетевые группы, сетевые устройства, виды информации, группы пользователей, бизнес-процессы).
Далее, на втором этапе пользователю необходимо проставить связи (Рисунок 4), т.е. определить к каким отделам и сетевым группам относятся ресурсы, какая информация хранится на ресурсе, и какие группы пользователей имеют к ней доступ. Также пользователь системы указывает средства защиты ресурса и информации.
На завершающем этапе пользователь отвечает на список вопросов по политике безопасности, реализованной в системе, что позволяет оценить реальный уровень защищенности системы и детализировать оценки рисков.
Наличие средств информационной защиты, отмеченных на первом этапе, само по себе еще не делает систему защищенной в случае их неадекватного использования и отсутствия комплексной политики безопасности, учитывающей все аспекты защиты информации, включая вопросы организации защиты, физической безопасности, безопасности персонала, непрерывности ведения бизнеса.
В результате выполнения всех действий по данным этапам, на выходе сформирована полная модель информационной системы с точки зрения информационной безопасности с учетом реального выполнения требований комплексной политики безопасности, что позволяет перейти к программному анализу введенных данных для получения комплексной оценки рисков и формирования итогового отчета.
Работа с моделью анализа угроз и уязвимостей подразумевает определение уязвимостей каждого ресурса с ценной информацией, и подключение соответствующих угроз (Рисунок 5), которые могут быть реализованы через данные уязвимости. В результате получается полная картина того, какие слабые места есть в информационной системе и тот ущерб, который может быть нанесен.
На первом этапе работы с продуктом пользователь вносит объекты своей информационной системы: отделы, ресурсы (специфичными объектами для данной модели: угрозы информационной системы, уязвимости, через которые реализуются угрозы).
Система «ГРИФ» содержит обширные встроенные каталоги угроз и уязвимостей (Рисунок 6). Для достижения максимальной полноты и универсальности данных каталогов, экспертами Digital Security была разработана специальная классификация угроз, в которой реализован многолетний практический опыт в области информационной безопасности. Используя каталоги угроз и уязвимостей, пользователь может выбрать угрозы и уязвимости, относящиеся к его информационной системе. Каталоги содержат около 100 угроз и 200 уязвимостей.
Далее на втором этапе пользователю необходимо проставить связи, т.е. определить к каким отделам относятся ресурсы, какие угрозы действуют на ресурс (Рисунок 7) и через какие уязвимости они реализуются.
На завершающем этапе пользователь должен ответить на список вопросов по политике безопасности, реализованной в системе, что позволяет оценить реальный уровень защищенности системы и детализировать оценки рисков. Наличие средств информационной защиты, отмеченных на первом этапе, само по себе еще не делает систему защищенной в случае их неадекватного использования и отсутствия комплексной политики безопасности, учитывающей все аспекты защиты информации, включая вопросы организации защиты, физической безопасности, безопасности персонала, непрерывности ведения бизнеса и т.д.
В результате выполнения всех действий по данным этапам, на выходе сформирована полная модель информационной системы с точки зрения информационной безопасности с учетом реального выполнения требований комплексной политики безопасности, что позволяет перейти к программному анализу введенных данных для получения комплексной оценки рисков и формирования итогового отчета.
Алгоритм системы «ГРИФ» анализирует построенную модель и генерирует отчет (Рисунок 8), который содержит значения риска для каждого ресурса.
Отчет состоит из трех частей:
Первая часть отчета - информационные риски ресурсов:
- информационные риски ресурсов по информации и классу угроз;
- информационные риски ресурсов по классу угроз;
- информационные риски ресурсов суммарные риски по ресурсам;
- информационные риски системы по классу угроз.
Вторая часть отчета - соотношение ущерба и риска:
- ущерб по ресурсам по информации и классу угроз;
- ущерб по ресурсам суммарный ущерб по ресурсам;
- ущерб и Риск системы по классу угроз;
- ущерб и Риск системы;
- риск системы и затраты на обеспечение ИБ системы.
Третья часть отчета - общий вывод о существующих рисках информационной системы:
- максимальные значения риска и ущерба;
- недостатки существующей политики безопасности.
Конфигурации отчета может быть практически любой, таким образом, позволяя пользователю создавать как краткие отчеты для руководства, так и детальные отчеты для дальнейшей работы с результатами. Отчет представляет собой подробный, дающий полную картину возможного ущерба от инцидентов документ, готовый для представления руководству компании.
Система ГРИФ содержит модуль управления рисками (Рисунок 9), который позволяет проанализировать все причины того значения риска, который получается после обработки алгоритмом занесенных данных. Таким образом, зная причины, Вы будете обладать всеми данными, необходимыми для реализации контрмер и, соответственно, снижения уровня риска. Благодаря расчету эффективности каждой возможной контрмеры, а также определению значения остаточного риска, Вы сможете выбрать наиболее оптимальные контрмеры, которые позволят снизить риск до необходимого уровня с наименьшими затратами.
В результате работы с системой ГРИФ строится подробный отчет об уровне риска каждого ценного ресурса информационной системы компании, все причины риска с подробным анализом уязвимостей и оценкой экономической эффективности всех возможных контрмер.
Раздел «Анализ и управление информационными рисками в сфере информационной безопасности» изучается в курсе «Информационная безопасность в системе открытого образования» на 5 курсе в 9 семестре на специальности 050202 «Информатика». Нами разработана методика обучения студентов анализу и управлению рисками информационной безопасности для студентов высших учебных заведений, которая направлена на формирование представлений о существующих угрозах и рисках информационной безопасности, их классификации, методах защиты и профилактики от них. Студенты имеют возможность ознакомиться на практике с самой популярной и наиболее часто используемой крупными предприятиями и банками России системой анализа и управления рисками «ГРИФ».