Оценка рисков некорректного распределения полномочий в информационных системах

В настоящей статье рассматривается использование методов оценки и обработки рисков в соответствии с требованиями международного стандарта ISO/IEC 27005:2011 для анализа рисков, связанных с некорректным распределением полномочий в приложениях и информационных системах.

Продолжая тему с аудитом полномочий пользователей в системе SAP ERP, наметим основные подходы к оценке рисков некорректного распределения полномочий.

Оценка рисков некорректного распределения полномочий в ИС должна опираться на соответствующие положения и методики управления операционными рисками и/или рисками ИБ, принятыми в организации. 

План мероприятий по оценке рисков некорректного распределения полномочий

Соответствующий комплекс мероприятий по оценке рисков как всегда начинается с анализа бизнес-процессов организации и заканчивается формированием плана обработки рисков.

1. Анализ бизнес-процессов

• Описание бизнес-процессов с точки зрения использования в них приложений и информационных активов
• Определение ролей участников и владельцев бизнес-процессов
• Определение состава полномочий для соответствующих ролей

2. Аудит распределения полномочий

• Проверка распределения полномочий в ИС
• Сопоставление полномочий в ИС с ролями участников бизнес-процессов
• Анализ расхождений и корректировка описания ролей

3. Оценка рисков некорректного распределения полномочий

• Формирование модели угроз некорректного распределения полномочий
• Оценка вероятности реализации сценариев угроз
• Оценка последствий реализации угроз для бизнеса
• Формирование реестра рисков

4. Обработка рисков некорректного распределения полномочий

• Определение допустимого уровня остаточного риска
• Выбор мер по обработке риска
• Формирование плана обработки рисков

Далее мы опишем соответствующие риски и наметим подходы к их оценке.

Классификация рисков некорректного распределения полномочий

Данные риски, в соответствии с принятой в организации классификацией рисков, можно отнести, например, к следующим категориям:

Риски персонала – Вероятность возникновения негативных событий вследствие нарушений, допущенных сотрудниками (вследствие некомпетентности, непреднамеренных или умышленных действий). К числу таких нарушений относится использование сотрудниками своих полномочий в ИС для совершения действий, способных причинить вред организации. Чем шире полномочия сотрудника, тем больший вред он потенциально способен нанести.

Опасность могут представлять действия сотрудников в ИС, имеющих административные полномочия, либо совмещающие функциональные роли, которые должны быть разделены (например, формирование, согласование и утверждение критичных финансовых документов: договоров, платежных поручений и т.п.), либо имеющие расширенные полномочия, которые не требуются им для выполнения их роли в бизнес-процессе.

Также представляют опасность (при совершении умышленных действий) использование сотрудниками, либо подрядчиками чужих или неперсонифицированных (групповых) учетных записей в ИС, а также использование учетных записей уволенных сотрудников, которые по каким-либо причинам не были заблокированы.

Вероятность совершения сотрудниками подобных нарушений зависит от количества сотрудников, располагающих соответствующими полномочиями, их уровня компетенции, уровня лояльности, а также широты предоставляемых полномочий.

Технологические риски, включая риски ИБ – Вероятность возникновения негативных событий в результате реализации угроз информационной безопасности, включая угрозы «маскарада» (выполнение несанкционированных действий в ИС от имени другого пользователя в случае использования чужого или группового идентификатора).

Реализация такой угрозы становится возможной, если пользователь сможет подсмотреть, либо каким-либо иным образом (например, путем обмана, социальной инженерии) узнать пароль от чужой учетной записи. Тогда, имея злой умысел, он может совершить в ИС несанкционированные действия от лица другого пользователя. Опасность подобных действий и размер ущерба зависят от уровня полномочий учетной записи, к которой злоумышленнику удастся получить доступ. Вероятность подобного события зависит от степени осведомленности пользователей ИС в вопросах ИБ, наличия и строгости соблюдения правил парольной политики, а также уровня лояльности сотрудников.

Риски бизнес-процессов – Вероятность возникновения негативных событий вследствие недостатков бизнес-процессов, внутренних процедур организации.

Полномочия пользователей в ИС могут быть неправильно определены в матрице полномочий. Критичные роли могут быть не разделены в бизнес-процессах. Либо могут быть допущены нарушения в процессе присвоения, изменения или отмены полномочий, в результате чего ряд пользователей могут получить расширенные полномочия. Вероятность подобных событий и потенциальный ущерб зависят от принятых в организации процедур управления полномочиями, их строгого соблюдения и осуществления независимого контроля (верификации полномочий), а также от корректности определения ролей в бизнес-процессах.

Экспертная оценка данных операционных рисков осуществляется путем рассмотрения негативных последствий при их реализации (сила воздействия), и вероятности, что определенное событие произойдет (вероятность возникновения).

Формирование реестра рисков

Реестр рисков злоупотребления полномочиями может формируется следующим образом:

1. Идентификация уязвимостей: Нарушения (ошибки) в распределении полномочий, выявленные в ходе проведения аудита, рассматриваются в качестве уязвимостей, которые могут использоваться для реализации угроз злоупотребления полномочиями со стороны внутренних или внешних нарушителей.
2. Идентификация объекта воздействия: В качестве объекта воздействия угроз рассматриваются бизнес-процессы организации и соответствующие документы (объекты) ИС, используемые в рамках данных бизнес-процессов. Рассматриваются те объекты воздействия, которые могут быть скомпрометированы с использованием уязвимостей (избыточных полномочий), выявленных в ходе проведения аудита.
3. Идентификация угроз: В качестве угроз ИБ, использующих выявленные уязвимости в системе распределения полномочий, рассматриваются действия пользователей ИС (умышленные или непреднамеренные), использующие свои, либо чужие избыточные полномочия для несанкционированного удаления, изменения, добавления либо извлечения информации из ИС. Возможные сценарии реализации угроз анализируются совместно с владельцами соответствующих бизнес-процессов.
4. Оценка вероятности и силы воздействия риска: Базовая оценка вероятности реализации угрозы и размера возможного ущерба могут быть взяты из существующего Реестра операционных рисков или рисков ИБ организации. Соответствующие оценки могут быть скорректированы при рассмотрении конкретных сценариев реализации угрозы злоупотребления полномочиями.
5. Оценка риска: Оценка риска злоупотребления полномочиями дается для каждой тройки «угроза-уязвимость-объект» по принятой в организации качественной и/или количественной шкале, например: «Низкий, Средний, Высокий».