Учет требований времени, интенсификация научных исследований в различных сферах человеческих знаний, стремительное развитие современных информационных и компьютерных технологий существенно опережают темпы разработки рекомендательной и нормативно-правовой базы руководящих документов, действующих на территории России в области информационной безопасности. Положение усугубляется и тем обстоятельством, что требования к оценке уровня безопасности корпоративной информационной системы непрерывно изменяются и повышаются. В этой связи возникают вопросы разработки критериев оценки эффективности защиты методов и методик оценки информационных рисков предприятия.

Экспансия информационных технологий в производство и управление современных организаций предопределяют рост информационных инфраструктур организаций, что зачастую приводит к неструктурированному гетерогенному характеру компьютерных сетей и является основой неконтролируемого роста уязвимостей, а также к увеличению возможностей несанкционированного доступа к информации [1].

Практика использования отдельных решений по обеспечению информационной безопасности показывает, что не всегда учитывается фундаментальная проблема достаточность и эффективность систем защиты с точки зрения пользователя. При внедрении различных средств защиты необходимо определить баланс между возможным ущербом от несанкционированной утечки информации и размером вложений, которые потрачены для обеспечения защищенности информационных ресурсов.

Одним из наиболее важных соображений при выборе методики оценки риска является то, что полученные результаты должны быть эффективны при реализации обеспечения системы защиты информации. Использование сложной методики, требующей точных исходных данных и имеющей на выходе неоднозначные результаты, вряд ли поможет создать эффективную защиту.

Цель оценки риска состоит в том, чтобы определить риск утечки информации из корпоративной сети предприятия. Процесс оценки риска проводится в два этапа. На первом этапе определяют границы сети для анализа и детальную конфигурацию корпоративной сети, т. е. определяется модель компьютерной сети предприятия. На втором этапе проводится анализ риска. Анализ риска разбивается на идентификацию ценностей, угроз и уязвимых мест, оценку вероятностей и измерение риска. Показатели ресурсов, значимости угроз и уязвимостей, эффективности средств защиты могут быть определены как количественными методами, например, при определении стоимостных характеристик, так и качественными, например, учитывающими штатные или чрезвычайно опасные воздействия внешней среды.

В настоящее время известно множество табличных методов оценки информационных рисков компании. Эти методы оценивания рисков рекомендованы международными стандартами информационной безопасности, главным образом ISO 17799 (BS 7799). Существенно, что в этих рекомендуемых методах количественные показатели существующих или предлагаемых физических ресурсов компании оцениваются с точки зрения стоимости их замены или восстановления работоспособности ресурса. А существующие или предполагаемые программные ресурсы оцениваются так же, как и физические, т. е. с помощью определения затрат на их приобретение или восстановление.

Наибольшее распространение среди методик оценки рисков получила методика «матрицы рисков». Это достаточно простая методика анализа рисков. В процессе оценки экспертами определяются вероятность возникновения каждого риска и размер связанных с ним потерь (стоимость риска). Причем оценивание производится по шкале с тремя градациями: «высокая», «средняя», «низкая». На базе оценок для отдельных рисков выставляется оценка системе в целом (в виде клетки в такой же матрице), а сами риски ранжируются. Данная методика позволяет быстро и корректно произвести оценку. Но, к сожалению, дать интерпретацию полученных результатов не всегда возможно [2].

Кроме того, в данной области разработан механизм получения оценок рисков на основе нечеткой логики, который позволяет заменить приближенные табличные методы грубой оценки рисков современным математическим методом, адекватным рассматриваемой задаче.

Механизм оценивания рисков на основе нечеткой логики по существу является экспертной системой, в которой базу знаний составляют правила, отражающие логику взаимосвязи входных величин и риска. В простейшем случае это «табличная» логика, в общем случае более сложная логика, отражающая реальные взаимосвязи, которые могут быть формализованы с помощью продукционных правил вида «Если …, то».

Кроме того, механизм нечеткой логики требует формирования оценок ключевых параметров и представления их в виде нечетких переменных. При этом необходимо учитывать множество источников информации и качество самой информации. В общем случае это достаточно сложная задача. Однако в каждом конкретном случае могут быть найдены и формально обоснованы ее решения [1].

Можно выделить следующие подходы разработчиков программных средств анализа рисков к решению поставленной задачи:

  • получение оценок рисков только на качественном уровне;
  • вывод количественных оценок рисков на базе качественных, полученных от экспертов;
  • получение точных количественных оценок для каждого из рисков;
  • получение оценок механизмом нечеткой логики.

Ценность инструментального средства анализа рисков определяется в первую очередь той методикой, которая положена в его основу. В настоящее время определенную известность получили такие программные продукты, как Risk Watch (США), CRAMM (Великобритания), COBRA (Великобритания), «АванГард» (Россия), ТРИФ (Россия), КОНДОР+ (Россия) и ряд других. Эти программные продукты базируются на различных подходах к анализу рисков и решению различных аудиторских задач. Остановимся несколько подробнее на анализе этих продуктов.

Программное обеспечение RiskWatch является мощным средством анализа и управления рисками, более ориентированным на точную количественную оценку соотношения потерь от угроз безопасности и затрат на создание системы защиты. Надо также отметить, что в этом продукте риски в сфере информационной и физической безопасности компьютерной сети предприятия рассматриваются совместно. В семейство RiskWatch входят следующие программные продукты: для физических методов защиты, для информационных рисков, для оценки требований к стандарту ISO 17799.

В основу продукта RiskWatch положена методика анализа рисков, которая состоит из четырех этапов:

  • первый — определение предмета исследования. Здесь описываются такие параметры, как тип организации, состав исследуемой системы, базовые требования в области безопасности;
  • второй — ввод данных, характеризующих основные параметры системы. На этом этапе подробно описываются ресурсы, потери и классы инцидентов. Последние выводятся путем сопоставления категории потерь и категории ресурсов. Кроме того, задаются частота возникновения каждой из выделенных угроз, степень уязвимости и ценность ресурсов. Все это используется в дальнейшем для расчета эффекта от внедрения средств защиты;
  • третий — количественная оценка. На этом этапе рассчитывается профиль рисков, и выбираются меры обеспечения безопасности. Фактически риск оценивается с помощью математического ожидания потерь за год. Эффект от внедрения средств защиты количественно описывается с помощью показателя ROI (Return on Investment отдача от инвестиций), который показывает отдачу от сделанных инвестиций за определенный период времени;
  • четвертый — генерация отчетов.

Программное обеспечение RiskWatch имеет массу достоинств, а к недостаткам продукта можно отнести его относительно высокую стоимость.

CRAMM  — инструментальное средство, реализующее одноименную методику, которая была разработана компанией BIS Applied Systems Limited no заказу британского правительства. Метод CRAMM позволяет производить анализ рисков и решать ряд других аудиторских задач: обследование информационной системы, проведение аудита в соответствии с требованиями стандарта BS 7799, разработка политики безопасности.

Данная методика опирается на оценки качественного характера, получаемые от экспертов, но на их базе строит уже количественную оценку. Метод является универсальным и подходит и для больших, и для мелких организаций как правительственного, так и коммерческого сектора. Грамотное использование метода CRAMM позволяет получить очень хорошие результаты, наиболее важным из которых, пожалуй, является возможность экономического обеспечения организации для обеспечения информационной безопасности непрерывности бизнеса. Экономически обоснованная стратегия управления рисками позволяет в конечном итоге избегать неоправданных расходов.

CRAMM предполагает разделение всей процедуры на три последовательных этапа. Задачей первого этапа является определение достаточности для защиты системы применения средств базового уровня, реализующих традиционные функции безопасности, или необходимость проведения более детального анализа. На втором этапе производится идентификация рисков и оценивается их величина. На третьем этапе решается вопрос о выборе адекватных контрмер. Для каждого этапа определяются набор исходных данных, последовательность мероприятий, анкеты для проведения интервью, списки проверки и набор отчетных документов.

Достоинства метода CRAMM: хорошо структурированный и широко опробованный метод анализа рисков; может использоваться на всех стадиях проведения аудита безопасности информационных систем; в основе программного продукта лежит объемная база знаний по контрмерам в области информационной безопасности, гибкость и универсальность данного метода позволяют его использовать для аудита информационной системы любого уровня сложности и назначения; данный метод позволяет разрабатывать план непрерывности бизнеса. К недостаткам метода CRAMM можно отнести следующее: для его использования требуется высококвалифицированный аудитор; аудит по данному методу процесс достаточно трудоемкий и может потребовать месяцы непрерывной работы; генерирует большое количество бумажной документации, которая не всегда оказывается полезной на практике; невозможно внести дополнения в базу знаний CRAMM, что вызывает определенные трудности при адаптации этого метода к потребностям конкретной организации [3].

Система COBRA является средством анализа рисков и оценки соответствия информационной системы стандарту ISO 17799. Данная система реализует методы количественной оценки рисков, а также инструменты для консалтинга и проведения обзоров безопасности. В систему COBRA заложены принцип построения экспертных систем, обширная база знаний по угрозам и уязвимостям, большое количество вопросников, с успехом применяющихся на практике.

Программный продукт КОНДОР+ позволяет специалистам (ИТ-менеджерам, офицерам безопасности) проверить политику информационной безопасности компании на соответствие требованиям ISO 17799. КОНДОР+ включает в себя более 200 вопросов, ответив на которые специалист получает подробный отчет о состоянии существующей политики безопасности, а также модуль оценки уровня рисков соответствия требованиям ISO 17799. В отчете отражаются все положения политики безопасности, которые соответствуют и не соответствуют стандарту, а также существующий уровень риска невыполнения требований политики безопасности в соответствии со стандартом. Элементам, которые не выполняются, даются комментарии и рекомендации экспертов. По желанию специалиста, работающего с программой, могут быть выбраны генерация отчета, например, по какому-то одному или нескольким разделам стандарта ISO 17799, общий подробный отчет с комментариями, общий отчет о состоянии политики безопасности без комментариев для представления руководству. Все варианты отчетов для большеи наглядности сопровождаются диаграммами. КОНДОР+ дает возможность специалисту отслеживать вносимые на основе выданных рекомендаций изменения в политику безопасности, постепенно приводя ее в полное соответствие с требованиями стандарта. Данная система реализует метод качественной оценки рисков по уровневой шкале рисков: высокий, средний, низкий.

ГРИФ  — это программный комплекс анализа и контроля рисков информационных систем компаний. В нем разработано гибкое и, несмотря на скрытый от пользователя сложнейший алгоритм, учитывающий более 100 параметров, максимально простое в использовании программное решение, основная задача которого дать возможность ИТ-менеджеру самостоятельно (без привлечения сторонних экспертов) оценить уровень рисков в информационной системе и эффективность существующей практики по обеспечению безопасности компании. Данный комплекс делает оценку рисков по различным информационным ресурсам, подсчитывает суммарный риск по ресурсам компании, а также ведет подсчет соотношения ущерба и риска и выдает недостатки существующей политики безопасности. В основе продукта ГРИФ заложена методика анализа рисков, которая состоит из пяти этапов:

  • на первом определяется полный список информационных ресурсов, представляющих ценность в исследуемой автоматизированной системе, которые объединяются в сетевые группы;
  • на втором осуществляется ввод в систему всех видов информации, представляющей ценность для информационной системы. Введенные группы ценной информации должны быть размещены пользователем на ранее указанных на предыдущем этапе объектах хранения информации (серверах, рабочих станциях и т. д.); указывается ущерб по каждой группе ценной информации, расположенной на соответствующих ресурсах, по всем видам угроз (конфиденциальности, целостности, отказа обслуживания);
  • на третьем вначале происходит определение всех видов пользовательских групп, затем определяется, к каким группам информации на ресурсах имеет доступ каждая из групп пользователей. В заключение определяются виды (локальный и/или удаленный) и права (чтение, запись, удаление) доступа пользователей ко всем ресурсам, содержащим ценную информацию;
  • на четвертом указывается, какими средствами защиты информации защищены ценная информация на ресурсах и рабочие места групп пользователей. Вводится информация о затратах на приобретение всех применяющихся средств защиты информации и ежегодных затратах на их техническую поддержку, а также на сопровождение системы информационной безопасности;
  • на завершающем этапе необходимо ответить на список вопросов по политике безопасности, реализованной в системе, что позволяет оценить реальный уровень защищенности системы и детализировать оценки рисков. Этот этап необходим для получения достоверных оценок существующих в системе рисков.

Отчетная система программного комплекса ГРИФ состоит из трех частей: первая «Информационные риски ресурсов», вторая «Соотношение ущерба и риска», третья «Общий вывод о существующих рисках информационной системы».

Комплексная экспертная система управления информационной безопасностью «АванГард» является программным продуктом, предназначенным для решения задач управления безопасностью в больших территориально-распределенных автоматизированных информационных системах, и призвана облегчать задачи контроля за центральными структурами уровня обеспечения информационной безопасности на местах. Данный комплекс является одним из самых мощных инструментов анализа и контроля рисков отечественного производства. Основные возможности комплекса: гибкая система ввода и редактирования модели предприятия, возможность построения модели рисков, система оценки и сравнения рисков, оценка мер противодействия, построение вариантов комплексов мер защиты и оценка остаточного риска.

Таким образом, программный комплекс «Авангард» призван играть вспомогательную роль в решении задач управления информационной безопасности, а именно обеспечивать полноценный всесторонний анализ, позволяющий сформулировать обоснованный набор целей безопасности, обосновать политику безопасности, гарантировать полноту требований безопасности, контроль выполнения которых нужно осуществлять [4].

Рассмотренные методики позволяют оценить или переоценить уровень текущего состояния информационной безопасности автоматизированной системы, снизить потенциальные потери путем повышения устойчивости функционирования корпоративной сети, разработать концепцию и политику безопасности автоматизированной системы, а также предложить планы защиты от выявленных угроз и уязвимых мест. Важно заметить, что на сегодняшний день существуют многообразные и сложные по своей структуре автоматизированные системы, для которых невозможно подобрать конкретную методику оценки рисков, поэтому для получения точных удовлетворительных результатов оценки необходимо использовать комплексный подход к оценкам рисков на основе уже существующих методик.

Таким образом, методику проведения анализа рисков предприятия и инструментальные средства, поддерживающие ее, следует выбирать, учитывая следующие факторы: наличие экспертов в области оценки риска, статистики по инцидентам нарушения информационной безопасности, точной количественной оценки или достаточно оценки на качественном уровне.

Литература

Балашов П. А., Кислое Р. И., Безгузиков В. П. Оценка рисков информационной безопасности на основе нечеткой логики // Безопасность компьютерных систем. Конфидент. 2003. № 5. С. 56-59. 

Александрович Г. Я., Нестеров С. Н., Петренко С. А. Автоматизация оценки информационных рисков компании// Там же. №2. С. 78-81. 

Астахов А. М. Аудит безопасности информационных систем // Там же. С. 90-96. 

Кононов А. А. Автоматизация построения профилей защиты с использованием комплексной экспертной системы «АванГард».

Об авторах: С. А. Лопарев, А. А. Шелупанов, д-р техн. наук, проф.

Источник — daily.sec.ru

Ваша реакция?
+1
0
+1
0
+1
0
+1
0
+1
0
+1
0
+1
0
0 0 голоса
Рейтинг статьи
Подписаться
Уведомить о
guest

0 комментариев
Старые
Новые Популярные
Межтекстовые Отзывы
Посмотреть все комментарии
0
Оставьте комментарий! Напишите, что думаете по поводу статьи.x