Управление рисками: обзор употребительных подходов

Обзор подготовлен по материалам учебного курса “Основы информационной безопасности” доктора физ.-мат. наук, заведующего сектором в отделе информационной безопасности НИИ системных исследований РАН В.А. Галатенко.

Введение

Информационная безопасность (ИБ) должна достигаться экономически оправданными мерами. В данной статье представлена методика, позволяющая сопоставить возможные потери от нарушений ИБ со стоимостью защитных средств и выбрать направления, на которых целесообразно сконцентрировать основные ресурсы.

Тема “Управление рисками” рассматривается на административном уровне ИБ, поскольку только руководство организации может выделить необходимые ресурсы, инициировать и контролировать выполнение соответствующих программ.

Вообще говоря, управление рисками, равно как и выработка собственной политики безопасности, нужны только для тех организаций, информационные системы (ИС) которых и/или обрабатываемые данные можно считать нестандартными.

Типовую организацию вполне устроит типовой набор защитных мер, выбранный на основе представления о типичных рисках или вообще без всякого анализа рисков (особенно это верно, с формальной точки зрения, в свете российского законодательства в области информационной безопасности). Можно провести аналогию между индивидуальным строительством и получением квартиры в районе массовой застройки. В первом случае необходимо принять множество решений, оформить большое количество документов, во втором — достаточно определиться лишь с несколькими параметрами.

Наиболее распространенные угрозы

Знание возможных угроз, а также уязвимых мест защиты, которые эти угрозы обычно эксплуатируют, необходимо для выбора наиболее экономичных средств обеспечения безопасности.

Основные определения и критерии классификации угроз

Угроза — это потенциальная возможность определенным образом нарушить информационную безопасность. Попытка реализации угрозы называется атакой, а тот, кто предпринимает такую попытку, — злоумышленником. Потенциальные злоумышленники называются источниками угрозы.

Чаще всего угроза возникает из-за уязвимостей в защите информационных систем (таких, например, как возможность доступа посторонних лиц к критически важному оборудованию или ошибки в программном обеспечении). Промежуток времени от момента, когда появляется возможность использовать уязвимость, и до того, когда она ликвидируется, называется окном опасности, ассоциированным с данной уязвимостью. Пока существует окно опасности, возможны успешные атаки на информационную систему.

Если речь идет об ошибках в ПО, то окно опасности образуется с появлением средств использования ошибки и ликвидируется при наложении “заплат”, ее исправляющих. Для большинства уязвимостей окно опасности существует довольно долго (несколько дней, иногда — недели). За это время должны произойти следующие события:

• появляется информация о средствах использования уязвимости;
• выпускаются соответствующие “заплаты”;
• “заплаты” устанавливаются в защищаемой информационной системе.

Новые уязвимости и средства их использования появляются постоянно. Это означает, что, во-первых, почти всегда существуют окна опасности, и во-вторых, отслеживание таких окон должно производиться непрерывно, а выпуск и наложение “заплат” — как можно более оперативно.

Отметим, что некоторые угрозы нельзя назвать следствием каких-то ошибок или просчетов; они существуют в силу самой природы современных ИС. Например, угроза отключения электричества или выхода его параметров за допустимые границы происходит по причине зависимости аппаратного обеспечения информационных систем от электропитания.

Рассмотрим наиболее распространенные угрозы, которым подвержены современные информационные системы. Существует много мифов в информационных технологиях о возможных угрозах и уязвимостях (вспомним хотя бы пресловутую “Проблему-2000”). Незнание в данном случае ведет к перерасходу средств и, что еще хуже, к концентрации ресурсов там, где они не особенно нужны, за счет ослабления действительно уязвимых направлений.

Отметим, что само понятие “угроза” в разных ситуациях трактуется по-разному. Например, для подчеркнуто открытой организации может просто не существовать угроз конфиденциальности, так как вся информация считается общедоступной. И все же в большинстве случаев нелегальный доступ считается серьезной опасностью.

Рассмотрим отношение к угрозам с точки зрения типичной (по нашему мнению) организации. Их можно классифицировать по нескольким критериям:

• аспект информационной безопасности (доступность, целостность, конфиденциальность), против которого они (угрозы) направлены в первую очередь;
• компонент информационных систем, на который угрозы нацелены (данные, программы, аппаратура, поддерживающая инфраструктура);
• способ осуществления угроз (случайные/преднамеренные действия природного/техногенного характера);
• расположение источника угроз (внутри/вне рассматриваемой ИС).

В качестве основного критерия мы будем использовать первый (аспект ИБ), привлекая при необходимости остальные.

Наиболее распространенные угрозы доступности

Самыми частыми и опасными (с точки зрения размера ущерба) являются непреднамеренные ошибки штатных пользователей, операторов, системных администраторов и других лиц, обслуживающих информационные системы. Иногда такие ошибки являются непосредственными угрозами (неправильно введенные данные или ошибка в программе, вызвавшие крах системы), иногда они создают уязвимости, которыми могут воспользоваться злоумышленники (таковы обычно ошибки администрирования). По некоторым данным, до 65% потерь — следствие непреднамеренных ошибок. Пожары и наводнения можно считать пустяками по сравнению с безграмотностью и неорганизованностью.

Очевидно, самый радикальный способ борьбы с непреднамеренными ошибками — это максимальная автоматизация и строгий контроль за правильностью совершаемых действий.

Другие угрозы доступности классифицируем по компонентам ИС, на которые нацелены угрозы:

• отказ пользователей;
• внутренний отказ информационной системы;
• отказ поддерживающей инфраструктуры.

Обычно применительно к пользователям рассматриваются следующие угрозы:

• нежелание работать с информационной системой (чаще всего проявляется при необходимости осваивать новое и при расхождении между запросами пользователей и фактическими возможностями и техническими характеристиками);
• невозможность работать с системой, так как нет соответствующей подготовки (недостаток общей компьютерной грамотности и культуры, неумение интерпретировать диагностические сообщения, неумение работать с документацией и т.п.);
• невозможность работать с системой из-за отсутствия технической поддержки (неполнота документации, невозможность получения справочной информации и т.п.).

Основными источниками внутренних отказов являются:

• отступление (случайное или умышленное) от установленных правил эксплуатации;
• выход системы из штатного режима эксплуатации в силу случайных или преднамеренных действий пользователей или обслуживающего персонала (превышение расчетного числа запросов, чрезмерный объем обрабатываемой информации и т.п.);
• ошибки при (пере)конфигурировании системы;
• отказы программного и аппаратного обеспечения;
• разрушение данных;
• разрушение или повреждение аппаратуры.

По отношению к поддерживающей инфраструктуре рекомендуется рассматривать следующие угрозы:

• нарушение работы (случайное или умышленное) систем связи, электропитания, водо- и/или теплоснабжения, кондиционирования;
• разрушение или повреждение помещений;
• невозможность или нежелание выполнения обслуживающим персоналом и/или пользователями своих обязанностей (гражданские беспорядки, аварии на транспорте, террористический акт или его угроза, забастовка и т.п.).

Весьма опасны так называемые обиженные сотрудники — нынешние и бывшие. Как правило, их действиями руководит желание нанести вред организации-обидчику, например: повредить оборудование; встроить логическую “бомбу”, которая со временем разрушит программы и/или данные; удалить данные и т.д. Обиженные сотрудники, даже бывшие, знакомы с порядками в организации и способны вредить весьма эффективно. Необходимо следить за тем, чтобы при увольнении сотрудника его права доступа (логического и физического) к информационным ресурсам аннулировались.

Опасны, разумеется, стихийные бедствия и события, воспринимаемые как стихийные бедствия — пожары, наводнения, землетрясения, ураганы. По статистике, на долю огня, воды и аналогичных “злоумышленников” (среди которых самый опасный — низкое качество электропитания и его перебои) приходится 13% потерь, нанесенных информационным системам.

Примеры угроз доступности

Угрозы доступности могут выглядеть грубо — как повреждение или даже разрушение оборудования (в том числе носителей данных). Такое повреждение, как правило, происходит по естественным причинам (чаще всего из-за грозы).

К сожалению, находящиеся в массовом использовании источники бесперебойного питания не защищают от мощных кратковременных импульсов, поэтому не редки случаи выгорания оборудования.

В принципе, мощный кратковременный импульс, способный разрушить данные на магнитных носителях, можно сгенерировать и искусственным образом — с помощью так называемых высокоэнергетических радиочастотных пушек. Но, наверное, в наших условиях подобную угрозу следует признать экзотической и, следовательно, надуманной. Действительно опасны протечки водопровода и отопительной системы. Часто организации, чтобы сэкономить на арендной плате, снимают помещения в домах старой постройки, делают косметический ремонт, но не меняют ветхие трубы. Автору довелось быть свидетелем прорыва трубы отопления, в результате чего системный блок компьютера (это была рабочая станция производства Sun Microsystems) оказался заполненным кипятком. Справедливости ради стоит отметить, что когда кипяток вылили, а компьютер просушили, он возобновил нормальную работу, однако лучше такие опыты не ставить…

Летом в сильную жару, когда они больше всего нужны, норовят сломаться кондиционеры, установленные в серверных залах, набитых критически важным и дорогостоящим оборудованием. В результате весьма чувствительный ущерб наносится и репутации, и кошельку организации.

Теоретически все (или почти все) знают, что периодически необходимо производить резервное копирование данных. Однако, даже если такое копирование осуществляется на практике, резервные носители зачастую хранятся небрежно, не обеспечивая их элементарной сохранности, защиты от вредного влияния окружающей среды. И когда требуется восстановить данные, оказывается, что эти самые носители никак не желают читаться.

Перейдем теперь к угрозам доступности. Речь пойдет о программных атаках на доступность.

В качестве средства вывода системы из штатного режима эксплуатации может использоваться агрессивное использование ресурсов (полосы пропускания сетей, вычислительных возможностей процессоров или оперативной памяти). По расположению источника угрозы такое потребление подразделяется на локальное и удаленное. При просчетах в конфигурации системы локальная программа способна практически монополизировать процессор и/или физическую память, сведя скорость выполнения других программ к нулю.

Простейший пример удаленного потребления ресурсов — атака, получившая наименование “SYN-наводнение”. Ее идея состоит в попытке переполнить таблицу “полуоткрытых” TCP-соединений сервера (установление соединений начинается, но не заканчивается). Такая атака, по меньшей мере, затрудняет установление новых соединений со стороны легальных пользователей, то есть сервер выглядит как недоступный.

По отношению к атаке “Papa Smurf” уязвимы сети, воспринимающие ping-пакеты с широковещательными адресами. Ответы на такие пакеты “съедают” полосу пропускания (сеть как бы самовозбуждается).

Удаленное потребление ресурсов в последнее время проявляется в особенно опасной форме — как скоординированные распределенные атаки, когда на сервер с множества разных адресов в максимально возможном темпе направляются вполне легальные запросы на соединение и/или обслуживание. Начало “моды” на подобные атаки можно отнести к февралю 2000 года, когда жертвами оказались несколько крупнейших систем электронной коммерции (точнее, владельцы и пользователи систем). Отметим, что если имеет место архитектурный просчет, нарушающий баланс между пропускной способностью сети и производительностью сервера, то защититься от распределенных атак на доступность крайне трудно.

Для выведения систем из штатного режима эксплуатации могут использоваться программные и аппаратные ошибки. Например, известная ошибка в процессоре Pentium I дает возможность локальному пользователю путем выполнения определенной команды “завесить” компьютер, так что помогает только аппаратный RESET.

Программа “Teardrop” удаленно “завешивает” компьютеры, эксплуатируя ошибку в сборке фрагментированных IP-пакетов.

Вредоносное программное обеспечение

Одним из опаснейших видов атак является внедрение в атакуемые системы вредоносного программного обеспечения.

Мы выделим следующие грани вредоносного ПО:

• вредоносная функция;
• способ распространения;
• внешнее представление.

Часть, осуществляющую вредоносную функцию, будем называть “бомбой”. Вообще говоря, спектр вредоносных функций неограничен, поскольку “бомба”, как и любая другая программа, может характеризоваться сколь угодно сложной логикой, но обычно “бомбы” предназначаются для:

• внедрения другого вредоносного ПО;
• получения контроля над атакуемой системой;
• агрессивного потребления ресурсов;
• изменения или разрушения программ и/или данных.

По механизму распространения различают:

• вирусы — код, обладающий способностью к распространению (возможно, с изменениями) путем внедрения в другие программы;
• “черви” — код, способный самостоятельно, то есть без внедрения в другие программы, вызывать распространение своих копий по информационной системе и их выполнение (для активизации вируса требуется запуск зараженной программы).

Обычно вирусы распространяются локально, в пределах узла сети; для передачи по сети им требуется внешняя помощь, такая как пересылка зараженного файла. “Черви”, напротив, ориентированы в первую очередь на сетевые “путешествия”.

Иногда само распространение вредоносного ПО вызывает агрессивное потребление ресурсов и, следовательно, является вредоносной функцией. Например, “черви” “съедают” полосу пропускания сети и ресурсы почтовых систем. По этой причине для атак на доступность они не нуждаются во встраивании специальных “бомб”.

Вредоносный код, обладающий внешним представлением в виде функционально полезной программы, называется троянским. Например, некогда “нормальная” программа, будучи пораженной вирусом, становится троянской. Порой троянские программы изготавливают вручную и подсовывают доверчивым пользователям в какой-либо привлекательной упаковке.

Отметим, что данные нами определения и приведенная классификация вредоносного ПО отличаются от общепринятых. Например, в ГОСТ Р 51275-99 “Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения” содержится следующее определение:

“Программный вирус — исполняемый или интерпретируемый программный код, обладающий свойством несанкционированного распространения и самовоспроизведения в автоматизированных системах или телекоммуникационных сетях с целью изменить или уничтожить программное обеспечение и/или данные, хранящиеся в автоматизированных системах”.

На наш взгляд, подобное определение неудачно, поскольку в нем смешаны функциональные и транспортные аспекты.

Окно опасности для вредоносного ПО появляется с выпуском новой разновидности “бомб”, вирусов и/или “червей” и перестает существовать с обновлением базы данных антивирусных программ и наложением других необходимых “заплат”.

Вероятно, по какой-то традиции, из всего вредоносного ПО наибольшее внимание общественности приходится на долю вирусов. Однако до марта 1999 года с полным правом можно было утверждать, что несмотря на экспоненциальный рост числа известных вирусов, аналогичного роста количества инцидентов, вызванных ими, не зарегистрировано. Соблюдение несложных правил компьютерной гигиены сводит риск заражения практически к нулю. Там где работают, а не играют, число зараженных компьютеров составляет лишь доли процента.

В марте 1999 года, с появлением вируса Melissa, ситуация кардинальным образом изменилась. Melissa — это макровирус для файлов MS-Word, распространяющийся посредством электронной почты в присоединенных файлах. Когда такой (зараженный) присоединенный файл открывают, он рассылает свои копии по первым 50 адресам из адресной книги Microsoft Outlook. В результате почтовые серверы подвергаются атаке на доступность.

В данном случае отметим два момента.

• Пассивные объекты уходят в прошлое; так называемое активное содержимое становится нормой. Файлы, которые по всем признакам должны были бы относиться к данным (например, документы в форматах MS-Word или Postscript, тексты почтовых сообщений), способны содержать интерпретируемые компоненты, которые могут запускаться неявным образом, при открытии файла. Как и всякое в целом прогрессивное явление, такое “повышение активности данных” имеет свои оборотные стороны (в рассматриваемом случае — отставание в разработке механизмов безопасности и ошибки в их реализации). Еще не скоро рядовые пользователи научатся применять интерпретируемые компоненты “в мирных целях” (или хотя бы узнают об их существовании), а перед злоумышленниками открылось по существу неограниченное поле деятельности. Как ни банально это звучит, но если для стрельбы по воробьям устанавливают пушку, то пострадает стреляющий.
• Интеграция разных сервисов, наличие среди них сетевых, всеобщая связность многократно увеличивают потенциал для атак на доступность, облегчают распространение вредоносного ПО (вирус Melissa — классический тому пример). Образно говоря, многие информационные системы, если не принять защитных мер, оказываются “в одной лодке” (точнее — в одном корабле без переборок), так что достаточно одной небольшой казалось бы “пробоины”, чтобы “лодка” стала стремительно тонуть, заливаемая бурным, все усиливающимся потоком.

Как это часто бывает, Melissa дала толчок к быстрому появлению на свет целой серии вирусов, “червей” и их комбинаций: Explorer.zip (июнь 1999), Bubble Boy (ноябрь 1999), ILOVEYOU (май 2000) и т.д. и т.п. Не то чтобы от них был особенно большой ущерб, но общественный резонанс, как это свойственно вирусам, они вызвали немалый.

Активное содержимое, помимо интерпретируемых компонентов документов и других файлов данных, имеет еще одно популярное обличье — так называемые мобильные агенты. Это программы, которые загружаются на другие компьютеры и там выполняются. Наиболее известные примеры мобильных агентов — Java-аплеты, загружаемые на пользовательский компьютер и интерпретируемые Интернет-навигаторами. Оказалось, что разработать для них модель безопасности, оставляющую достаточное количество возможностей для полезных действий, не так-то просто; еще сложнее безошибочно реализовать такую модель. В августе 1999 года стали известны недочеты в реализации технологий ActiveX и Java в рамках Microsoft Internet Explorer, которые давали возможность размещать на Web-серверах вредоносные аплеты, позволяющие получать полный контроль над системой-визитером.

Для внедрения “бомб” часто используются ошибки типа “переполнения буфера”, когда программа, работая с областью памяти, выходит за допустимые границы и записывает в нужные злоумышленнику места нужное ему содержимое. Так действовал еще в 1988 году знаменитый “червь Морриса”; в июне 1999 года нашли способ использовать аналогичный метод по отношению к Microsoft Internet Information Server (IIS), чтобы получить контроль над Web-сервером. Окно опасности охватило сразу около полутора миллионов серверных систем…

Не забыты современными злоумышленниками и “старые, но недобрые” троянские программы. Например, “троянцы” Back Orifice и Netbus позволяют получить контроль над пользовательскими системами с различными вариантами MS-Windows. Актуальной и весьма опасной угрозой является внедрение руткитов (набор файлов, устанавливаемых в системе с целью изменения ее стандартной функциональности вредоносным и скрытным образом), ботов (программа, автоматически выполняющая некоторую миссию; группа компьютеров, на которой функционируют однотипные боты, называется ботсетью), потайных ходов (вредоносная программа, слушающая команды на определенных TCP-или UDP-портах) и шпионского программного обеспечения (вредоносное ПО, нацеленное на компрометацию конфиденциальных данных пользователя.

Таким образом, вредоносное ПО может быть направлено не только против доступности, но и против других основных аспектов информационной безопасности. К рассмотрению соответствующих угроз мы и переходим.

Основные угрозы целостности

На втором месте по размерам ущерба (после непреднамеренных ошибок и упущений) располагаются кражи и подлоги. По данным газеты USA Today, еще в 1992 году в результате подобных противоправных действий с использованием персональных компьютеров американским организациям был нанесен суммарный ущерб в размере 882 миллионов долларов. Можно предположить, что подлинный ущерб был гораздо больше, поскольку многие организации по понятным причинам скрывают такие инциденты. Не вызывает сомнений, что в наши дни ущерб от такого рода действий вырос многократно.

В большинстве расследованных случаев виновниками оказывались штатные сотрудники организаций, отлично знакомые с режимом работы и защитными мерами. Это еще раз подтверждает опасность внутренних угроз, хотя говорят и пишут о них значительно меньше, чем о внешних.

Целесообразно провести различие между статической и динамической целостностью. С целью нарушения статической целостности злоумышленник (являющийся, как правило, штатным сотрудником) может:

• ввести неверные данные;
• изменить данные.

Иногда изменяются содержательные данные, порой — служебная информация. Показательный случай нарушения целостности имел место в 1996 году. Служащая Oracle (личный секретарь вице-президента) возбудила судебный иск против президента корпорации, обвиняя его в незаконном увольнении после того, как она отвергла его ухаживания. В доказательство своей правоты женщина привела электронное письмо, якобы отправленное ее боссом президенту. Содержание письма для нас сейчас не важно; важно время отправки.

Дело в том, что вице-президент предъявил, в свою очередь, файл с регистрационной информацией компании сотовой связи, из которого явствовало, что он (босс) в указанное время разговаривал по мобильному телефону, находясь за рулем автомобиля вдалеке от своего рабочего места. Таким образом, в суде состоялось противостояние “файл против файла”. Очевидно, один из них был фальсифицирован или изменен, то есть была нарушена его целостность. Суд решил, что подделали электронное письмо (секретарша знала пароль своего босса, поскольку ей было поручено его регулярное изменение), и иск был отвергнут…

(Теоретически существует возможность, что оба фигурировавших на суде файла были подлинными, корректными с точки зрения их целостности, а письмо отправили пакетными средствами, однако, на наш взгляд, это было бы очень странное для вице-президента действие.)

Помимо прочих, из приведенного случая можно сделать вывод не только об угрозах нарушения целостности, но и об опасности слепо доверять компьютерную информацию. Заголовки электронного письма могут быть подделаны; письмо в целом может быть фальсифицировано лицом, знающим пароль отправителя. Отметим, что последняя угроза актуальна даже тогда, когда целостность контролируется криптографическими средствами. Здесь имеет место взаимодействие разных аспектов информационной безопасности: если нарушена конфиденциальность, может пострадать целостность.

Еще один урок: угрозой целостности является не только фальсификация или изменение данных, но и отказ от совершенных действий. Если нет средств обеспечить “неотказуемость”, то компьютерные данные не могут рассматриваться в качестве доказательства.

Потенциально уязвимы по отношению к нарушению целостности не только данные, но и программы. Внедрение рассмотренного выше вредоносного ПО — пример подобного нарушения.

Угрозами динамической целостности являются нарушение атомарности транзакций, переупорядочение, кража, дублирование или внесение дополнительных сообщений (сетевых пакетов и т.п.). Соответствующие действия в сетевой среде называются активным прослушиванием.

Основные угрозы конфиденциальности

Конфиденциальную информацию можно разделить на два класса — предметную и служебную. Служебная информация (такая, например, как пароли пользователей) не относится к определенной предметной области, в информационной системе она играет техническую роль, но ее раскрытие особенно опасно, поскольку оно чревато несанкционированным доступом ко всей информации, в том числе предметной.

Даже если информация хранится в компьютере или предназначена для компьютерного использования, угрозы ее конфиденциальности могут носить некомпьютерный и вообще нетехнический характер.

Многим людям приходится выступать в качестве пользователей не одной, а целого ряда систем (информационных сервисов). Если для доступа к таким системам используются (многоразовые) пароли или иная конфиденциальная информация, то можно быть уверенным, что она будет храниться не только в голове, но и в записной книжке или на листках бумаги, которые пользователь часто оставляет на своем рабочем столе или попросту теряет. И дело здесь не в неорганизованности людей, а в изначальной непригодности парольной схемы. Невозможно помнить много разных паролей; рекомендации по их регулярной (по возможности — частой) смене только ухудшают положение, заставляя применять несложные схемы чередования или вообще стараться свести дело к двум-трем легко запоминаемым (и столь же легко угадываемым) паролям.

Описанный класс уязвимостей можно назвать размещением конфиденциальных данных в среде, где им не обеспечена (зачастую и не может быть обеспечена) необходимая защита. Угроза же состоит в том, что кто-то не откажется взять секреты, которые сами просятся в руки. Помимо паролей в головах и записных книжках пользователей, в этот класс попадает передача конфиденциальных данных в открытом виде (в разговоре, в письме, по сети), которая делает вполне возможной реализацию угрозы перехвата данных. Для атаки могут использоваться разные технические средства (подслушивание или прослушивание разговоров, пассивное прослушивание сети и т.п.), но идея тут одна — осуществить доступ к данным в тот момент, когда они наименее защищены.

Угрозу перехвата данных следует принимать во внимание не только при начальном конфигурировании ИС, но и, что очень важно, при всех изменениях. Весьма опасной угрозой являются… выставки, на которые многие организации, недолго думая, отправляют оборудование из производственной сети, со всеми хранящимися на этих носителях данными. Остаются прежними пароли, при удаленном доступе они по-прежнему передаются в открытом виде. Это плохо даже в пределах защищенной сети организации; в объединенной же сети выставки это слишком суровое испытание честности всех участников.

Еще один пример изменения, о котором часто забывают, — хранение данных на резервных носителях. Для защиты данных на основных носителях применяются развитые системы управления доступом; копии же нередко просто лежат в шкафах, и получить доступ к ним могут многие.

Перехват данных — очень серьезная угроза, и если конфиденциальность действительно является критичной, а данные передаются по многим каналам, их защита может оказаться весьма сложной и дорогостоящей. Технические средства перехвата хорошо проработаны, доступны, просты в эксплуатации, установить их, например, на кабельную сеть может даже уборщица, так что эту угрозу нужно принимать во внимание не только по отношению к внешним, но и к внутренним коммуникациям.

Кражи оборудования являются угрозой не только для резервных носителей, но и для компьютеров, особенно портативных. Часто ноутбуки оставляют без присмотра на работе или в автомобиле, иногда просто теряют.

Опасной нетехнической угрозой конфиденциальности являются методы морально-психологического воздействия, такие, как “маскарад” — выполнение действий под видом лица, обладающего полномочиями для доступа к данным (см., например, статью Айрэ Винклера “Задание: шпионаж” в Jet Info, N19, 1996г. http://www.jetinfo.ru/1996/19/1/article1.19.1996.html).

К неприятным угрозам, от которых трудно защищаться, можно отнести злоупотребление полномочиями. На многих типах систем привилегированный пользователь (например, системный администратор) способен прочитать любой (незашифрованный) файл, получить доступ к почте любого пользователя и т.д. Другой пример — злоумышленные действия при сервисном обслуживании. Обычно сервисный инженер получает неограниченный доступ к оборудованию и имеет возможность действовать в обход программных защитных механизмов.

Таковы основные угрозы, на долю которых приходится львиная доля ущерба, наносимого субъектам информационных отношений.

Основные этапы управления рисками

Общие положения

Использование информационных систем связано с определенной совокупностью рисков. Когда риск (возможный ущерб) неприемлемо велик, необходимо принять экономически оправданные защитные меры. Периодическая (пере)оценка рисков необходима для контроля эффективности деятельности в области безопасности и для учета изменений обстановки.

С количественной точки зрения размер риска является функцией вероятности реализации определенной угрозы (использующей некоторые уязвимости), а также величины возможного ущерба.

Таким образом, суть работы по управлению рисками состоит в том, чтобы оценить их размер, выработать эффективные и экономичные меры по уменьшению этого размера и затем убедиться, что риски заключены в приемлемые рамки (и остаются таковыми). Следовательно, управление рисками включает в себя два вида деятельности, которые чередуются циклически:

• (пере)оценку (измерение) рисков;
• выбор эффективных и экономичных защитных средств (нейтрализация рисков).

По отношению к выявленным рискам возможны следующие действия:

• ликвидация риска (например, за счет устранения причины);
• уменьшение риска (например, за счет использования дополнительных защитных средств);
• принятие риска (и выработка плана действия в соответствующих условиях);
• переадресация риска (например, путем заключения страхового соглашения).

Процесс управления рисками можно подразделить на следующие этапы:

1. выбор анализируемых объектов и уровня детализации их рассмотрения;
2. выбор методики оценки рисков;
3. идентификация активов;
4. анализ угроз и их последствий, определение уязвимостей в защите;
5. оценка рисков;
6. выбор защитных мер;
7. реализация и проверка выбранных мер;
8. оценка остаточного риска.

Этапы (6) и (7) относятся к выбору защитных средств (нейтрализации рисков), остальные — к оценке рисков.

Уже перечисление этапов показывает, что управление рисками — процесс циклический. По существу, последний этап — это оператор конца цикла, предписывающий вернуться к началу. Риски нужно контролировать постоянно, периодически проводя их переоценку. Отметим, что добросовестно выполненная и тщательно документированная первая оценка может существенно упростить последующую деятельность.

Управление рисками, как и любую другую деятельность в области информационной безопасности, необходимо интегрировать в жизненный цикл ИС. Тогда эффект оказывается наибольшим, а затраты — минимальными. Можно выделить пять основных этапов жизненного цикла ИС:

• инициация;
• закупка (разработка);
• установка;
• эксплуатация;
• выведение из эксплуатации.

Кратко опишем, что может дать управление рисками на каждом из перечисленных этапов.

На этапе инициации известные риски следует учесть при выработке требований к системе вообще и средствам безопасности в частности.

На этапе закупки (разработки) выявленные риски способны помочь при выборе архитектурных решений, играющих ключевую роль в обеспечении безопасности.

На этапе установки выявленные риски следует учитывать при конфигурировании, тестировании и проверке ранее сформулированных требований, а полный цикл управления рисками должен предшествовать внедрению системы в эксплуатацию.

На этапе эксплуатации управление рисками должно сопровождать все существенные изменения в системе.

При выведении системы из эксплуатации управление рисками помогает убедиться в том, что миграция данных происходит безопасным образом.

Подготовительные этапы управления рисками

Первые три этапа процесса управления рисками можно считать подготовительными. Их суть состоит в следующем.

Выбор анализируемых объектов и уровня детализации их рассмотрения — первый шаг в оценке рисков. Для небольшой организации допустимо рассматривать всю информационную инфраструктуру; однако, если организация крупная, всеобъемлющая оценка может потребовать неприемлемых затрат времени и сил. В таком случае следует сосредоточиться на наиболее важных сервисах, заранее соглашаясь с приблизительностью итоговой оценки. Если важных сервисов все еще много, выбираются те из них, риски для которых заведомо велики или неизвестны.

По многим причинам целесообразно создать карту информационной системы организации. Для управления рисками подобная карта особенно важна, поскольку она наглядно показывает, какие сервисы выбраны для анализа, а какими было решено пренебречь. Если ИС меняется, а карта поддерживается в актуальном состоянии, то при переоценке рисков сразу станет ясно, какие новые или существенно изменившиеся сервисы нуждаются в рассмотрении.

Вообще говоря, уязвимым является каждый компонент информационной системы — от куска сетевого кабеля, который могут прогрызть мыши, до базы данных, которая может быть разрушена из-за неумелых действий администратора. Как правило, в сферу анализа невозможно включить каждый винтик и каждый байт. Приходится останавливаться на некотором уровне детализации, отдавая себе отчет в приблизительности оценки. Для новых систем предпочтителен детальный анализ; старая система, подвергшаяся небольшим модификациям, может быть проанализирована более поверхностно.

Очень важно выбрать разумную методику оценки рисков. Целью оценки является получение ответов на следующие вопросы:

• приемлемы ли существующие риски?
• какие из неприемлемых рисков в первую очередь нуждаются в уменьшении?
• какие защитные средства экономически целесообразно использовать для уменьшения неприемлемых рисков?

Следовательно, оценка рисков должна быть количественной, допускающей сопоставление с заранее выбранными границами допустимости и расходами на реализацию новых регуляторов безопасности. Управление рисками — типичная оптимизационная задача, и существует довольно много программных продуктов, способных помочь в ее решении (иногда подобные продукты просто прилагаются к книгам по информационной безопасности). Принципиальная трудность, однако, состоит в неточности исходных данных. Можно, конечно, попытаться получить для всех анализируемых величин денежное выражение, высчитать все с точностью до копейки, но большого смысла в этом нет. Практичнее пользоваться условными единицами. В простейшем и вполне допустимом случае можно пользоваться трехбалльной шкалой. Далее будет продемонстрировано, как это делается.

При идентификации активов, то есть тех ресурсов и ценностей, которые организация пытается защитить, следует, конечно, учитывать не только компоненты информационной системы, но и поддерживающую инфраструктуру, персонал, а также нематериальные ценности, такие как репутация организации. Отправной точкой здесь является представление о миссии организации, то есть о видимых основных направлениях деятельности, которые желательно (или необходимо) сохранить в любом случае. Выражаясь объектно-ориентированным языком, следует в первую очередь описать внешний интерфейс организации, рассматриваемой как абстрактный объект.

Одним из главных результатов процесса идентификации активов является получение детальной информационной структуры организации и способов ее (структуры) использования. Эти сведения целесообразно нанести на карту ИС в качестве граней соответствующих объектов.

Информационной основой любой сколько-нибудь крупной организации является сеть, поэтому в число аппаратных активов следует включить компьютеры (серверы, рабочие станции, ПК), периферийные устройства, внешние интерфейсы, кабельное хозяйство, активное сетевое оборудование (мосты, маршрутизаторы и т.п.).

К программным активам, вероятно, будут отнесены операционные системы (сетевая, серверные и клиентские), другое базовое и прикладное программное обеспечение, инструментальные средства, средства управления сетью и отдельными системами. Важно зафиксировать, где (в каких узлах сети) хранится программное обеспечение и из каких узлов используется.

Третьим видом информационных активов являются данные, которые хранятся, обрабатываются и передаются по сети. Следует классифицировать данные по типам и категориям критичности, выявить места их хранения и обработки, способы доступа к ним. Все это важно для оценки последствий нарушений информационной безопасности.

Управление рисками — процесс далеко не линейный. Практически все его этапы связаны между собой, и по завершении почти любого из них может выявиться необходимость возврата к предыдущему. Так, при идентификации активов может появиться понимание, что выбранные границы анализа следует расширить, а степень детализации — увеличить. Особенно труден первичный анализ, когда многократные возвраты к началу неизбежны.

Анализ угроз и оценка рисков

Этапы, предшествующие анализу угроз, можно считать подготовительными, поскольку, строго говоря, они впрямую не связаны с рисками. Риск появляется там, где есть угрозы.

Перечень наиболее распространенных угроз предполагается известным. К сожалению, с практической точки зрения число угроз оказывается бесконечно большим, причем далеко не все из них носят компьютерный характер. Так вполне реальной угрозой является наличие мышей и тараканов в помещениях, занимаемых организацией. Первые могут повредить кабели, вторые — вызвать короткое замыкание.

Как правило, наличие той или иной угрозы является следствием уязвимостей в защите информационной системы, которые, в свою очередь, объясняются отсутствием некоторых сервисов безопасности или недостатками в реализующих их защитных механизмах. Опасность прогрызания кабелей исходит не только от мышей, но и от недостаточной прочности защитной оболочки или ее отсутствия.

Первый шаг в анализе угроз — их идентификация. Анализируемые виды угроз следует выбрать из соображений здравого смысла (оставив вне поля зрения, например, землетрясения, однако не исключая возможности захвата организации террористами), но в пределах выбранных видов провести максимально полное рассмотрение.

Целесообразно выявлять не только сами угрозы, но и источники их возникновения, это поможет в выборе дополнительных средств защиты. Например, нелегальный вход в систему может стать следствием воспроизведения начального диалога, подбора пароля или подключения к сети неавторизованного оборудования. Очевидно, для противодействия каждому из перечисленных способов нелегального входа нужны свои механизмы безопасности.

После идентификации угрозы необходимо оценить вероятность ее осуществления. Допустимо использовать при этом трехбалльную шкалу (низкая (1), средняя (2) и высокая (3) вероятность).

Кроме вероятности осуществления, важен размер потенциального ущерба. Например, пожары бывают нечасто, но ущерб от каждого из них, как правило, велик. Тяжесть ущерба также можно оценить по трехбалльной шкале.

Оценивая тяжесть ущерба, необходимо иметь в виду не только непосредственные расходы на замену оборудования или восстановление информации, но и более отдаленные, такие как подрыв репутации, ослабление позиций на рынке и т.п. Пусть, например, в результате дефектов в управлении доступом к бухгалтерской информации сотрудники получили возможность корректировать данные о собственной заработной плате. Следствием такого состояния дел может стать не только перерасход бюджетных или корпоративных средств, но и полное разложение коллектива, грозящее развалом организации.

Уязвимости обладают свойством притягивать к себе не только злоумышленников. Не всякий устоит перед искушением немного увеличить свою зарплату, если есть уверенность, что это сойдет в рук. Поэтому, оценивая вероятность осуществления угроз, целесообразно исходить не только из среднестатистических данных, но учитывать также специфику конкретных информационных систем. Если в подвале дома, занимаемого организацией, располагается сауна, а сам дом имеет деревянные перекрытия, то вероятность пожара, к сожалению, оказывается существенно выше средней.

После того, как накоплены исходные данные и оценена степень неопределенности, можно переходить к обработке информации, то есть собственно к оценке рисков. Вполне допустимо применить такой простой метод, как умножение вероятности осуществления угрозы на предполагаемый ущерб. Если для вероятности и ущерба использовать трехбалльную шкалу, то возможных произведений будет шесть: 1, 2, 3, 4, 6 и 9. Первые два результата можно отнести к низкому риску, третий и четвертый — к среднему, два последних — к высокому, после чего появляется возможность снова привести их к трехбалльной шкале. По этой шкале и следует оценивать приемлемость рисков. Правда, граничные случаи, когда вычисленная величина совпала с приемлемой, целесообразно рассматривать более тщательно из-за приближенного характера результата.

Если какие-либо риски оказались недопустимо высокими, необходимо их нейтрализовать, реализовав дополнительные защитные меры. Как правило, для ликвидации или нейтрализации уязвимости, сделавшей реальной опасную угрозу, существует несколько механизмов безопасности, отличающихся эффективностью и стоимостью. Например, если велика вероятность нелегального входа в систему, можно приказать пользователям выбирать длинные пароли (скажем, не менее восьми символов), задействовать программу генерации паролей или закупить интегрированную систему аутентификации на основе интеллектуальных карт. Если имеется вероятность умышленного повреждения сервера баз данных, что грозит серьезными последствиями, то можно врезать замок в дверь серверной комнаты или поставить около каждого сервера по охраннику.

Выбор защитных мер и последующие этапы управления рисками

Оценивая стоимость защитных мер, приходится, разумеется, учитывать не только прямые расходы на закупку оборудования и/или программ, но и расходы на внедрение новинки и, в частности, на обучение и переподготовку персонала. Эту стоимость также можно выразить по трехбалльной шкале и затем сопоставить ее с разностью между вычисленным и приемлемым риском. Если по этому показателю новое средство оказывается экономически выгодным, его можно принять к дальнейшему рассмотрению (подходящих средств, вероятно, будет несколько). Однако, если средство окажется дорогим, его не следует сразу отбрасывать, памятуя о приближенности расчетов.

Выбирая подходящий способ защиты, целесообразно учитывать возможность экранирования одним сервисом безопасности сразу нескольких прикладных сервисов. Так поступили в Массачусетском технологическом институте, защитив несколько тысяч компьютеров сервером аутентификации Kerberos.

Важным обстоятельством является совместимость нового средства со сложившейся организационной и аппаратно-программной структурой, с традициями организации. Меры безопасности, как правило, носят недружественный характер, что может отрицательно сказаться на энтузиазме сотрудников. Порой сохранение духа открытости важнее минимизации материальных потерь. Впрочем, такого рода ориентиры должны быть расставлены в политике безопасности верхнего уровня.

Можно представить ситуацию, когда для нейтрализации риска не существует эффективных и приемлемых по цене мер. Например, компания, базирующаяся в сейсмически опасной зоне, не всегда может позволить себе строительство защищенной штаб-квартиры. В таком случае приходится поднимать планку приемлемого риска и переносить центр тяжести на смягчение последствий и выработку планов восстановления после аварий, стихийных бедствий и иных происшествий. Продолжая пример с сейсмоопасностью, можно рекомендовать регулярное тиражирование данных в другой город и овладение средствами восстановления первичной базы данных.

Как и всякую иную деятельность, реализацию и проверку новых регуляторов безопасности следует предварительно распланировать.

В плане необходимо учесть наличие финансовых средств, сроки обучения персонала. Нужно составить план тестирования (автономного и комплексного), если речь идет о программно-техническом механизме защиты.

Когда намеченные меры приняты, необходимо проверить их действенность, то есть убедиться в том, что остаточные риски стали приемлемыми. Если это на самом деле так, значит, все в порядке и можно спокойно намечать дату ближайшей переоценки. В противном случае придется проанализировать в срочном порядке ошибки, которые были допущены, и провести повторный сеанс управления рисками.

Ключевые роли в процессе управления рисками

Управление рисками — деятельность административного уровня информационной безопасности. Ключевые роли в этой деятельности принадлежат следующим должностным лицам.

Руководитель организации. Он несет общую ответственность за выполнение организацией возложенной на нее миссии. Он должен обеспечить, чтобы ресурсы, необходимые для выполнения миссии, были выделены и эффективно применялись. При принятии решений о выделении ресурсов руководитель должен опираться на результаты анализа рисков. Разработка и проведение в жизнь эффективной программы управления рисками, связанными с информационными технологиями, включающей их (рисков) оценку и нейтрализацию, требует поддержки высшего руководства организации.

Начальник управления (отдела) информатизации. Он отвечает за планирование, выделение средств и функционирование информационных систем организации, включая аспекты, относящиеся к информационной безопасности. Принимаемые им решения должны основываться на результатах эффективной программы управления рисками.

Владельцы систем и информации. Они отвечают за то, чтобы для защиты принадлежащих им информационных систем и данных применялись соответствующие регуляторы безопасности. Они ответственны и за изменения, вносимые в системы. Решения по планированию и санкционированию реализации контрмер и внесения изменений в ИС должны основываться на результатах эффективной программы управления рисками.

Руководители производственных отделов и отдела закупок. От них зависит экономическая эффективность процесса управления рисками, экономичность и эффективность расходования ресурсов.

Начальник отдела (управления) информационной безопасности. Он отвечает за все программы безопасности в организации, включая программу управления рисками. Он должен предложить и проводить в жизнь эффективную, структурированную методологию, помогающую идентифицировать, оценить и нейтрализовать риски, связанные с информационными технологиями. Он отчитывается перед высшим руководством организации за выполнение программы управления рисками.

Администраторы безопасности, системные и сетевые администраторы. Они отвечают за должную реализацию требований и регуляторов безопасности в подведомственных им информационных системах. При изменении систем и их окружения (появлении дополнительных сетевых соединений, изменении инфраструктуры, применении новых технологий и т.п.) они должны поддержать или применить процесс управления рисками, чтобы выявить и оценить новые потенциальные риски и реализовать необходимые контрмеры для поддержания информационной безопасности систем на требуемом уровне.

Специалисты по обучению персонала. Сотрудники организации являются пользователями ее информационной системы. Использование систем и данных в соответствии с политикой безопасности и правилами добропорядочного поведения критически важно для нейтрализации рисков и защиты ресурсов организации. Для минимизации рисков необходимо обеспечить информирование и обучение персонала по вопросам информационной безопасности. Следовательно, специалисты по обучению персонала должны понимать процесс управления рисками, чтобы разрабатывать соответствующие учебные материалы и проводить учебные курсы.

Детальное рассмотрение процесса оценки рисков

Процесс оценки рисков можно подразделить на девять основных этапов:

• определение характеристик информационной системы;
• идентификация уязвимостей;
• идентификация угроз;
• анализ регуляторов безопасности;
• определение вероятностей;
• анализ воздействий;
• определение рисков;
• рекомендуемые контрмеры;
• результирующая документация.

Идентификация уязвимостей и угроз, а также анализ регуляторов безопасности и воздействий могут выполняться относительно независимо и параллельно после того, как завершен первый этап и определены характеристики информационной системы.

На Рис. 1 показаны основные этапы процесса оценки рисков вместе с входной и выходной информацией для каждого из них.

Рисунок 1. Основные этапы процесса оценки рисков, их входная и выходная информация.

Опишем выделенные этапы более детально.

Определение характеристик информационной системы

Первым шагом в процессе оценки рисков является определение объекта оценки, то есть границ анализируемой информационной системы, а также ресурсов и информации, образующих ИС.

О системе необходимо собрать следующую информацию:

• архитектура ИС;
• используемое аппаратное обеспечение;
• используемое программное обеспечение;
• системные интерфейсы (внутренняя и внешняя связность);
• топология сети;
• присутствующие в системе данные и информация;
• поддерживающий персонал и пользователи;
• миссия системы (то есть процессы, выполняемые ИС);
• критичность системы и данных;
• чувствительность (то есть требуемый уровень защищенности) системы и данных.

Требуется также собрать информацию об эксплуатационном окружении системы:

• функциональные требования к ИС;
• политики безопасности, положения которых затрагивают ИС;
• меры защиты доступности, конфиденциальности и целостности хранимых данных;
• потоки данных, принадлежащих системе, входные и выходные данные;
• существующие программно-технические регуляторы безопасности (то есть встроенные или дополнительные защитные средства, поддерживающие идентификацию и аутентификацию, управление доступом, протоколирование и аудит, защиту остаточной информации, криптографические функции и т.д.);
• существующие регуляторы безопасности административного уровня (политика и программы безопасности, меры планирования безопасности, правила поведения и т.п.);
• существующие регуляторы безопасности процедурного уровня (кадровая безопасность, процедуры управления пользователями, управление разделением обязанностей пользователей, обеспечение бесперебойной работы, резервное копирование, хранение данных вне производственных площадей, восстановление после аварий, сопровождение системы);
• меры физической защиты ИС (физическая защита производственных площадей, контроль доступа в центр обработки данных и т.п.);
• защита ИС от угроз со стороны окружающей среды (средства контроля температуры, влажности, загрязнения, электропитание, водоснабжение и т.д.).

Если информационная система находится в стадии инициации или проектирования, необходимые сведения могут быть получены из проектной документации или спецификаций (требований). Если система находится в стадии разработки, необходимо определить ключевые правила и атрибуты безопасности, которые предполагается реализовать. В таком случае полезными источниками информации являются проектная документация и план обеспечения информационной безопасности.

Для информационных систем, находящихся в производственной эксплуатации, собираются сведения об их эксплуатационном окружении, включая данные о конфигурации системы, ее связности, документированных и недокументированных процедурах и сложившейся практике эксплуатации. Таким образом, описание системы может основываться на мерах безопасности, реализованных в рамках существующей инфраструктуры, или на имеющихся планах повышения уровня безопасности ИС.

Для сбора сведений об информационной системы в пределах ее эксплуатационных границ могут использоваться следующие методы.

Вопросники. Они могут касаться прежде всего административных и процедурных регуляторов безопасности, существующих или планируемых. Вопросники распространяются среди административного и технического персонала, проектирующего и/или обслуживающего систему.

Интервью. Обычно беседы проводятся у заказчика с административным и техническим персоналом и концентрируются на темах эксплуатации и управления. Кроме того, визиты к заказчику позволяют увидеть и оценить меры физической и эксплуатационной безопасности, защиту от угроз со стороны окружающей среды.

Просмотр документации. Политика безопасности, нормативные документы, техническая документация (например, руководства пользователя и администратора, требования безопасности, архитектурная и закупочная документация), предыдущие отчеты по оценке рисков, анализ воздействий на миссию организации, оценка критичности ресурсов, результаты аудита и тестирования, планы безопасности и т.п. — ценный источник информации о существующих и планируемых регуляторах безопасности, о степени критичности и чувствительности систем и данных.

Применение инструментов автоматического сканирования. Проактивные технические средства, такие как инструменты автообнаружения и анализа защищенности, позволяют эффективно собирать системную информацию, строить карту информационной системы, получать профили отдельных хостов и подсистем.

Идентификация уязвимостей

Напомним определение: уязвимость — это дефект или слабое место в системных защитных процедурах, проекте, реализации или внутренних регуляторах безопасности, которые могут проявиться (будучи случайно активизированы или умышленно проэксплуатированы) и привести к нарушению безопасности или отступлению от политики безопасности.

Анализ угроз ИС включает анализ уязвимостей информационной системы и ее окружения. Цель данного шага — получить список рассматриваемых уязвимостей.

Для достижения поставленной цели рекомендуется использовать источники информации об уязвимостях, проводить тестирование защищенности ИС, применять контрольные перечни с требованиями безопасности.

Типы рассматриваемых уязвимостей и методы их выявления зависят от специфики информационной системы и этапа жизненного цикла, на котором она находится.

На стадии проектирования ИС основное внимание уделяется требованиям безопасности, политике безопасности организации, планируемым процедурам, анализу доступных защитных средств.

На этапе реализации привлекается дополнительная, конкретная информация, например, предусмотренные проектом средства безопасности, результаты анализа проекта и т.д.

На этапе эксплуатации производится анализ имеющихся защитных средств, регуляторов безопасности, программно-технических и организационных.

Технические и организационные уязвимости могут быть выявлены посредством применения методов сбора информации о характеристиках информационной системы. Предварительно проведенный обзор источников информации об уязвимостях, таких как сайты производителей и групп реагирования, помогает подготовить вопросники и контрольные перечни, целенаправленно проводить интервью.

Тестирование является проактивным средством безопасности. Тестовый инструментарий включает:

• автоматические средства сканирования;
• средства тестирования и оценки;
• тестирование проникновением.

Идентификация угроз

К идентификации угроз можно подходить двояко, отправляясь либо от уязвимостей ИС, либо от возможных источников угроз. Уязвимости рассматривались выше, сосредоточимся теперь на источниках угроз, которые можно подразделить на природные, людские и принадлежащие окружению ИС.

К числу природных угроз принадлежат наводнения, землетрясения, ураганы, обвалы, лавины, грозы и другие стихийные бедствия.

От людей могут исходить случайные и умышленные действия. К числу первых принадлежат ошибки и упущения, к числу вторых — сетевые атаки, внедрение вредоносного программного обеспечения, несанкционированный доступ и т.п.

В роли внешних злоумышленников могут выступать хакеры, преступники, террористы и шпионы. У каждой из выделенных категорий свой уровень мотивации (нарастающий от хакеров к шпионам) и вооруженности ресурсами. Внутренними злоумышленниками могут быть как плохо подготовленные, так и обиженные или уволенные сотрудники. Внешний злоумышленник может стать внутренним, если ему удастся взломать систему и начать действовать от имени легального пользователя.

От окружения ИС могут исходить угрозы долговременного отключения электропитания, загрязнение окружающей среды, разного рода утечки и протечки и т.п. Как показывает опыт, возможны и более серьезные происшествия — обрушение зданий, взрыв газа и т.п.

С практической точки зрения угроз и их источников бесконечного много, однако, с другой стороны, весьма важна полнота их идентификации, так как неожиданные угрозы наносят особенно крупный ущерб. Например, информационной системе, расположенной в пустыне, не грозит природное наводнение, однако разрыв водопроводной трубы может привести к затоплению ИС, так что угроза затопления должна входить в число рассматриваемых.

Анализ регуляторов безопасности

Основная цель анализа регуляторов безопасности — определить, удовлетворяют ли существующие и планируемые контрмеры предъявляемым к ИС требованиям безопасности. Попутно определяются вероятности реализации идентифицированных угроз с учетом нейтрализующего действия регуляторов безопасности.

Определение вероятностей

При определении вероятности того, что потенциальная уязвимость может быть использована в конкретном окружении, необходимо рассмотреть следующие факторы:

• мотивация и вооруженность ресурсами источника угрозы;
• природа уязвимости;
• наличие и эффективность контрмер.

Вероятность можно оценить по трехбалльной шкале как низкую, умеренную или высокую.

Анализ воздействия

Предварительным условием проведения анализа воздействия является получение следующих сведений:

• миссия информационной системы организации (то есть процессы, выполняемые ИС);
• критичность систем и данных (то есть ценность и важность систем и данных для организации);
• чувствительность систем и данных.

Воздействие, как и вероятность, можно оценить по трехбалльной шкале.

Определение рисков

Для определения рисков можно, оставаясь в рамках трехбалльной шкалы, выбрать для вероятностей реализации угроз значения 0.1, 0.5 и 1.0, а для уровней воздействия — 10, 50 и 100. Тогда, если произведение вероятности на воздействие не превосходит 10, риск можно считать низким. Значения от 10 до 50 соответствуют умеренному риску, свыше 50 — высокому.

Высокий риск требует незамедлительного планирования и реализации корректирующих действий. Если по какой-либо причине планирование или реализация затягиваются, может ставиться вопрос о приостановке работы ИС или ее частей.

Умеренный риск также требует планирования и реализации корректирующих действий за разумный период времени.

При низком риске следует решить, нужны ли какие-то корректирующие действия, или можно принять риск.

Рекомендуемые контрмеры

Назначение рекомендуемых контрмер заключается в том, чтобы нейтрализовать (в достаточной степени уменьшить или устранить) идентифицированные риски. При планировании дополнительных регуляторов безопасности обязательно следует учитывать следующие факторы:

• совместимость с существующим аппаратно-программным обеспечением;
• соответствие действующему законодательству;
• соответствие практике организации, ее политике безопасности;
• воздействие на эксплуатационное окружение;
• безопасность и надежность.

Рекомендуемые контрмеры являются результатом процесса оценки рисков и, одновременно, входными данными для процесса нейтрализации рисков.

Результирующая документация

Отчет с результатами оценки рисков помогает руководству организации, владельцам информационных систем принимать обоснованные решения по изменению политики, процедур и регуляторов безопасности, по корректировке бюджета и т.п. В отличие от результатов работы аудиторов, которые заботятся, прежде всего, о выявлении недостатков, отчет об оценке рисков не должен носить обвинительного характера. Нужен систематический, аналитический подход, чтобы высшее руководство осознало имеющиеся риски и выделило на их нейтрализацию необходимые ресурсы.

Нейтрализация рисков

Нейтрализация рисков — вторая фаза процесса управления рисками — включает определение приоритетов, оценку и реализацию контрмер, уменьшающих риски и рекомендованных по результатам оценки рисков.

Поскольку полное устранение рисков невозможно и/или бессмысленно, руководство организации должно следовать принципу минимальной достаточности, реализуя только необходимые, наиболее подходящие регуляторы безопасности с целью уменьшения рисков до приемлемого уровня с минимальным негативным воздействием на бюджет, ресурсы и миссию организации.

В процессе управления рисками могут использоваться различные возможности:

• принятие риска;
• уклонение от риска (ликвидация причин и/или последствий риска, например, путем добавления регуляторов безопасности, устранения небезопасных функций ИС, приостановки работы ИС в небезопасных ситуациях и т.п.);
• ограничение (нейтрализация) риска (например, путем реализации контрмер, уменьшающих воздействие угроз);
• переадресация риска (например, путем приобретения страхового полиса).

С практической точки зрения нет смысла и возможности учитывать все риски; их следует ранжировать, выделив наиболее опасные для миссии организации или грозящие наиболее крупными потерями.

Действия по управлению рисками могут производиться на различных этапах жизненного цикла информационной системы, а именно:

• при выявлении дефекта или слабого места целесообразно применить меры, повышающие доверие безопасности ИС, чтобы устранить обнаруженные уязвимости и уменьшить вероятность появления новых;
• при выявлении уязвимости, допускающей использование, целесообразно применить эшелонированную оборону, другие принципы архитектурной безопасности или нетехнические контрмеры, чтобы затруднить или воспрепятствовать использованию уязвимости;
• в ситуациях, когда затраты атакующего меньше потенциальной выгоды от атаки, целесообразно принять меры для уменьшения мотивации источника угрозы путем увеличения стоимости или уменьшения выгоды от атаки (например, может быть применен административный регулятор безопасности, ограничивающий типы данных, подлежащих обработке информационной системой организации, после чего выгода от атаки на ИС должна существенно уменьшиться);
• в ситуациях, когда ущерб слишком велик, целесообразно применить принципы проектирования и архитектурной безопасности, а также технические и организационные контрмеры, чтобы уменьшить возможный масштаб атак и, следовательно, снизить потенциальный ущерб от них (и здесь административный регулятор безопасности, ограничивающий типы данных, подлежащих обработке информационной системой организации, может оказаться самым эффективным способом управления рисками).

Основное правило управления рисками можно сформулировать следующим образом: начните с наибольших рисков и стремитесь к их уменьшению до приемлемого уровня при минимальных затратах и с минимальным воздействием на другие возможности информационной системы организации.

Реализацию приведенного правила целесообразно оформить в виде процесса со следующими шагами:

• Шаг 1 — ранжирование действий. При выделении ресурсов высший приоритет должен отдаваться неприемлемо высоким рискам, требующим немедленных корректирующих действий. Результат шага 1 — упорядоченный по убыванию приоритетов перечень действий.
• Шаг 2 — оценка возможных способов реализации рекомендованных контрмер. Цель состоит в том, чтобы выбрать наиболее подходящие контрмеры, минимизирующие риски. Результат шага 2 — список пригодных регуляторов безопасности.
• Шаг 3 — оценка экономической эффективности, выбор наиболее практичных контрмер. Результат шага 3 — отчет об экономическом анализе, описывающий затраты и выгоды от реализации контрмер или от отсутствия таковой.
• Шаг 4 — выбор контрмер. По результатам технического и экономического анализа руководство организации выбирает оптимальный способ нейтрализации рисков. Результат шага 4 — список выбранных регуляторов безопасности.
• Шаг 5 — распределение обязанностей. Выбираются должностные лица, обладающие достаточной квалификацией для реализации выбранных контрмер. На этих сотрудников возлагаются обязанности по реализации регуляторов безопасности. Результат шага 5 — список ответственных и их обязанностей.
• Шаг 6 — разработка плана реализации контрмер. План должен содержать по крайней мере следующие сведения:
  • риски (пары уязвимость/угроза) и их уровни, полученные в результате оценки рисков;
  • рекомендованные регуляторы безопасности;
  • действия, упорядоченные по приоритетам (высший приоритет получают действия, направленные на нейтрализацию самых высоких рисков);
  • регуляторы безопасности, выбранные из числа рекомендованных;
  • ресурсы, необходимые для реализации выбранных регуляторов безопасности;
  • список ответственных за реализацию выбранных контрмер;
  • календарный план реализации контрмер;
  • требования к сопровождению. Результат шага 6 — план реализации контрмер.
• Шаг 7 — реализация выбранных контрмер. Результат шага 7 — остаточные риски.

Необходимым элементом управления рисками является оценка экономической эффективности, цель которой — продемонстрировать, что затраты на реализацию дополнительных контрмер окупаются за счет снижения рисков. При вычислении затрат на реализацию регуляторов безопасности следует учитывать:

• затраты на приобретение аппаратного и программного обеспечения;
• снижение эксплуатационной эффективности ИС, если производительность или функциональность системы падает в результате усиления мер безопасности;
• затраты на разработку и реализацию дополнительных политик и процедур;
• дополнительные затраты на персонал, вовлеченный в реализацию предложенных регуляторов безопасности;
• затраты на обучение персонала;
• затраты на сопровождение;

Возможный формат отчета об оценке рисков

Отчет об оценке рисков может иметь следующий формат.

• Краткое содержание.
• Введение.
  • Цель.
  • Область охвата оценки рисков. Описываются компоненты информационной системы, ее пользователи, расположение удаленных производственных площадок (при наличии таковых) и т.п.
  • Подход к оценке рисков. Кратко описывается выбранный подход к оценке рисков, в том числе:
  • состав группы, оценивающей риски;
  • методы сбора информации (вопросники, инструментальные средства и т.п.);
  • описание применяемой шкалы рисков.
• Характеристика системы. Описывается система, включая аппаратуру (серверы, активное сетевое оборудование и т.д.), программное обеспечение (приложения, базовое ПО, протоколы), системные интерфейсы (коммуникационные каналы), данные, пользователи. Приводится диаграмма связности, входные и выходные потоки данных.
• Перечень уязвимостей. Составляется список потенциальных уязвимостей, возможно, присутствующих в оцениваемой системе.
• Перечень источников угроз. Составляется список потенциальных источников угроз, актуальных для оцениваемой системы.
• Результаты оценки рисков. Приводится перечень выявленных рисков (пар уязвимость/угроза). Каждый элемент данного перечня должен включать:
  • номер и краткое описание (например: 1. Пользовательские пароли могут быть угаданы или подобраны);
  • обсуждение пары уязвимость/угроза;
  • набор существующих регуляторов безопасности, уменьшающих риск;
  • обсуждение вероятности реализации угрозы и ее оценка (высокая, умеренная, низкая);
  • анализ воздействия, его оценка (высокое, умеренное, низкое);
  • оценка (рейтинг) рисков (высокий, умеренный, низкий);
  • рекомендуемые регуляторы безопасности или иные способы снижения рисков.
• Выводы. Приводится сводка рисков и их уровней, рекомендации и комментарии, разъясняющие реализацию рекомендованных контрмер в процессе нейтрализации рисков.

Возможный формат плана реализации контрмер

План реализации контрмер можно оформить в виде таблицы (см. Таб. 1).

Таблица 1. Возможный формат сводной таблицы плана реализации контрмер.

Возможные трактовки и способы вычисления рисков

Риски и управление ими исследуются в нескольких предметных областях, таких как страхование, экономика, управление, медицина, исследование операций, инженерия, и рассматриваются с разных точек зрения.

В простейшем случае риск приравнивается к возможному негативному событию и определяется как “событие, представляющее материальную угрозу чьему-либо состоянию”. Иными словами, риски приравниваются к возможным нежелательным событиям (или к возможному снижению полезности). В контексте управления рисками под “чьим-либо состоянием” понимается благополучие организации. С этой точки зрения управлять рисками можно, применяя страхование и получая компенсацию, если негативное событие произойдет. Другой возможный подход — планирование бесперебойной работы, позволяющее продолжить функционирование после нежелательных событий.

В некоторых предметных областях, таких как медицина, акцент делается на вероятности негативных событий, а не на их последствиях, поскольку последние зачастую являются необратимыми, фатальными (например, смерть пациента в результате инфаркта) и заострять внимание на них нет смысла. Определяются факторы, влияющие на вероятности (наследственность, вредные привычки и т.п.), а риск трактуется как “вероятность опасного неблагоприятного исхода”. Данный подход применяется при страховании жизни, где для получения оценок вероятностей используются таблицы смертности, а “приемлемый риск” относится к людям с низкой вероятностью умереть в течение страхового периода (и, соответственно, с низкой вероятностью выплаты компенсации страховой компанией).

Финансисты считают риском вариацию распределения исходов, а мерой риска — диапазон колебаний. Риск определяется как непостоянство стоимости портфеля ценных бумаг, а управление рисками означает решение минимаксной задачи — выбор между риском и доходами. Портфель ценных бумаг пытаются комплектовать так, чтобы обеспечить наивысшие ожидаемые доходы при заданном уровне рисков и наименьший уровень рисков для заданного ожидаемого дохода.

При страховании от несчастных случаев (в частности, при страховании автомобилей) риск трактуется как ожидаемые потери и определяется как произведение возможного ущерба на его вероятность. И ожидаемый ущерб, и его вероятность могут меняться в широких пределах (от незначительного до полной утраты автомобиля, от очень небольшой для аккуратных водителей до заметной для лихачей).

При проведении анализа рисков важно различать риски экзогенные и эндогенные. Первые не поддаются управлению, они не зависят от чьих-либо действий. Примером могут служить землетрясения. Можно в какой-то степени влиять на размер ущерба, строя здания по определенным стандартам, но предотвратить землетрясение пока невозможно. Эндогенные риски зависят от действий людей. Многие риски, например, риск автомобильной аварии, являются смешанными. Водитель не может влиять на поведение других участников движения, но от его собственного поведения, его манеры езды (и от выбора автомобиля) зависит многое, в том числе ущерб от аварии, если таковая произойдет. Чтобы стимулировать поведение водителей, минимизирующее эндогенные риски, в страховой сумме предусматривают удерживаемую составляющую. Будучи ответственным за часть ущерба, водитель должен действовать с осторожностью.

Инструментальные средства управления рисками реализуются с учетом различия между экзогенными и эндогенными рисками. Например, финансисты считают неопределенность экзогенным риском и для управления рисками применяют такие методы, как диверсификация, страхование и распределение активов. Нет возможности непосредственно повлиять на вероятности событий. В медицине и инженерии часть рисков всегда являются эндогенными, поддающимися уменьшению. Пациентов информируют о том, на что они могут вилять, им рекомендуют здоровый образ жизни и специальные диеты. Работников знакомят с правилами техники безопасности, принимают меры по снижению аварийности и травматизма.

В информационных технологиях принят по сути тот же взгляд на риски, что и при страховании от несчастных случаев. Суммарный риск определяется как математическое ожидание ущерба, то есть как сумма произведений вероятностей каждого из негативных событий на величины потерь от них:

R = Сумма (по i) {P (Ui) * L (Ui)}

Несмотря на кажущуюся простоту и очевидность, приведенная формула не подчиняется обычным арифметическим законам, поэтому желательно рассматривать не только итоговую величину риска, но и ее составляющие. Причин тому несколько.

Оценка рисков действует на протяжении определенного периода. Чтобы иметь основания применять аппарат теории вероятностей, этот период должен быть достаточно большим (три-пять лет). Если вероятность события (например, пожара) мала, рассматриваемый период следует еще увеличить. Но за это время ИС существенно изменится и старые оценки потеряют смысл. Следовательно, при оценке рисков событиями с вероятностью меньше определенного порогового значения можно пренебречь, несмотря на то, что потенциальный ущерб от них может быть велик. Отметим, что это противоречит традиционной практике, когда руководители склонны уделять чрезмерное внимание рискам с большим ущербом и малой вероятностью. На самом деле, на первом плане должны быть риски с умеренным ущербом, но высокой вероятностью (например, атаки вредоносного программного обеспечения), многократно реализующиеся в течение рассматриваемого периода.

Вероятность негативного события нет возможности оценить сколько-нибудь точно. Для этого нет ни теоретических предпосылок, ни накопленного статистического базиса. Нет возможности и для обоснованной оценки влияния контрмер на вероятности; можно воздействовать на факторы, от которых вероятности зависят, но количественный эффект воздействий предсказать нельзя.

Наконец, негативные события могут не быть независимыми. Одно из них может исключать другое (например, пожар и затопление) или, напротив, вызывать каскадный эффект, как это бывает при перегрузке критически важных компонентов.

В силу приведенных здесь соображений целесообразно трактовать риски не как числовые значения, а как точки на плоскости, где координатными осями служат вероятности и потери (см. Рис. 2). Линиями уровня для функции риска служат гиперболы.

Рисунок 2. Представление рисков в виде точек на координатной плоскости.

Риск события U1 относится к числу обычно переоцениваемых руководителями; на практике, в силу низкой вероятности, большей частью подобных рисков целесообразно пренебречь.

Управлению рисками соответствует перемещение точек по плоскости. Обычно стремятся приблизиться к началу координат вдоль одной оси, не меняя значения другой координаты. Впрочем, если удастся уменьшить сразу обе координаты, это будет еще лучше.

Обоснованное управление рисками возможно только в сравнительно узких областях, когда известны возможные негативные события, когда число их относительно невелико (обозримо, в пределах нескольких десятков) и когда существуют реалистичные оценки вероятностей и потерь. В других случаях экономическая целесообразность нейтрализации рисков может оцениваться только интуитивно. Правда, нейтрализация многих рисков требуется действующим законодательством (например, обеспечение противопожарной безопасности), поэтому соответствующие контрмеры можно считать обязательными.

Одной из областей, важных с практической точки зрения и хорошо проработанных в плане управления рисками, является аутсорсинг по управлению информационной системой (в частности, контроль ее информационной безопасности). Здесь выделены восемь угроз:

1. Непредвиденно высокие затраты на переход на новую дисциплину управления ИС. “Уязвимостями” (то есть факторами, способствующими негативному событию) являются отсутствие у организации опыта аутсорсинга, неопределенность в законодательстве.
2. Затраты на переход на обслуживание другой организацией (включая попадание в заложники обслуживающей организации, возврат к исходному состоянию и переход на обслуживание новой организацией). Уязвимости: специфичность ИС, узкий выбор обслуживающих организаций, размеры и сложность ИС, взаимосвязь разных видов деятельности.
3. Дорогостоящие поправки к контракту. Уязвимости: неопределенность, технологический разрыв, сложность задачи.
4. Споры и тяжбы с обслуживающей организацией. Уязвимости: проблемы измеримости, недостаток опыта (у одной или обеих сторон) по заключению контрактов на аутсорсинг, неопределенность законодательства, недостаток культуры.
5. Снижение качества обслуживания. Уязвимости: взаимосвязь разных видов деятельности, недостаток опыта, слишком большой размер и/или финансовая нестабильность обслуживающей организации, проблемы измеримости.
6. Превышение затрат. Уязвимости: недостаток опыта по управлению контрактом на аутсорсинг, проблемы измеримости, недостаток опыта у поставщика услуг.
7. Потеря компетенции. Уязвимости: размеры и сложность ИС, близость к основной деятельности организации, взаимосвязь разных видов деятельности.
8. Скрытые затраты на обслуживание. Уязвимости: сложность разных видов деятельности, проблемы измеримости.

Рассмотрим управление идентифицированными рисками на примере страховой компании, отдавшей на аутсорсинг решение проблемы 2000 года для своих унаследованных систем. Вероятности и потери оценивались по семибалльной шкале. В Таб. 2 и на рис. Рис. 3 показаны риски до и после применения мер управления.

Таблица 2. Риски при аутсорсинге проекта Y2K до и после применения мер управления.

Рисунок 3. Риски при аутсорсинге проекта Y2K до и после применения мер управления.

Из таблицы и рисунка видно, что удалось снизить три риска с номерами (2), (5) и (6), причем в первых двух случаях уменьшались только возможные потери, а в последнем — и вероятность, и потери. Отметим, что единственным серьезным был риск номер (6), хотя руководители в первую очередь обращали внимание на риски (2) и (5), игнорируя их относительно небольшую вероятность.

Чтобы не стать заложником внешней организации (управление риском (2)), страховая компания разбила проект на этапы и заключала отдельный контракт для каждого из них. Тем самым каждый контракт имел обозримый срок, а его результаты могли реально контролироваться. Если работа внешней организации оказалась бы неудовлетворительной, отношения с ней могли быть оперативно прекращены. Со снижением качества обслуживания (риск (5)) страховая компания боролась, предусмотрев в контракте систему штрафов (в пять раз превышающих общую стоимость контракта). Для противодействия превышению затрат, страховая компания заранее оговорила гарантированную плату и методику измерения дополнительных расходов с учетом особенностей отдельных компонентов ИС. Тем самым понижалась и вероятность, и воздействие риска.

Представление рисков в виде точек на плоскости является удачным с психологической точки зрения, поскольку оно разделяет два разных аспекта риска — вероятность и воздействие, и наглядно показывает, с чем в первую очередь нужно бороться и насколько это удалось.

Можно воспользоваться еще одним представлением рисков — в виде деревьев уязвимостей, угроз и контрмер (см. Рис. 4). Здесь Vi — уязвимости, Ti,j — угрозы, эксплуатирующие уязвимости, Ci,j — контрмера, нейтрализующая угрозу i,j, Li,j — недостаток контрмер для угрозы i,j.

Рисунок 4. Представление рисков в виде дерева уязвимостей, угроз и контрмер.

Значение для Vi, Ti,j, Li,j и Ci,j целесообразно нормировать, так чтобы суммы по i Vi и Ti,j равнялись 1, а также Li,j + Ci,j = 1.

Кроме вероятностных параметров, в оценке рисков участвуют константы — критичность активов (CA) и их стоимость (CC). Общая ожидаемая сумма потерь выражается соотношением

Общий остаточный риск * CA * CC

Предположим, имеется домашний компьютер, по отношению к которому рассматриваются пять уязвимостей с вероятностями 0.2, 0.2, 0.1, 0.05 и 0.45. Первую из них могут использовать две угрозы с вероятностями 0.35 и 0.65, вторую — три (0.4, 0.2, 0.4), третью — две (0.3, 0.7), Четвертую — три (0.25, 0.25, 0.5), пятую — две (0.3, 0.7). Пусть, наконец, значения недостатков контрмер оцениваются как 0.3, 0.4, 0.4, 0.1, 0.25, 0.25, 0.15, 0.25, 0.4, 0.4, 0.2, 0.15. Тогда общий остаточный риск составит 0.239375. Если критичность компьютера оценена как 0.4, а стоимость — как 2500, то ожидаемая сумма потерь составляет 239.38.

Можно предложить и другие формализмы для управления рисками. Предположим, имеется M пар (актив, угроза). Для каждой такой пары риск вычисляется по обычной формуле

Rk = Pi * Ij

Здесь k — номер пары, Pi — вероятность реализации угрозы по отношению к “парному” активу, Ij — воздействие реализации этой угрозы на актив, Rk — величина риска.

Пусть, далее, риски считаются допустимыми, если для всех k Rk <= Ra, где Ra — порог допустимости. Избыточные риски, которые требуется нейтрализовать, можно выразить соотношениями вида:

            / Rk — Ra, если Rk > Ra

rk =

            \ 0, если Rk <= Ra

Пусть N — число положительных rk, то есть число пар (актив, угроза), риски которых нуждаются в нейтрализации. Отбросим нулевые избыточные риски и перенумеруем оставшиеся. Можно вычислить среднее значение избыточного риска rMean, воспользовавшись формулой

rMean = ((сумма по k от 1 до N) rk) / N

Значение rMean можно рассматривать не только как средний избыточный риск, но и как оценку безопасности информационной системы в целом. Эту оценку можно нормализовать, воспользовавшись формулой

rMeanNrorm = rMean / (Rmax — Ra)

где Rmax — максимальный из возможных рисков Rk, то есть произведение максимального из возможных значений Pi и Ij в выбранной шкале измерений.

Значения rMeanNrorm, близкие к 0, характеризуют уровень информационной безопасности ИС как весьма высокий. Близкие к 1 значения, напротив, характерны для слабо защищенных информационных систем. При желании отрезок [0, 1] можно разбить на интервалы, выделив тем самым нужное число уровней безопасности.

Кроме среднего арифметического, можно вычислить среднее квадратичное значение положительных избыточных рисков:

sigma = кв.корень (((сумма по k от 1 до N) (rk*rk)) / N)

Как и средний избыточный риск, среднее квадратичное значение можно нормализовать:

sigmaNorm = sigma / (Rmax — Ra)

Нормализованное среднее квадратичное значение, как и величину rMeanNrorm, можно напрямую использовать для оценки уровня информационной безопасности организации, если разбить отрезок [0, 1] на соответствующее число интервалов. Значения, близкие к 0, свидетельствуют о высоком уровне защищенности, близкие к 1 — о низком. Преимущество среднего квадратичного значения по сравнению со средним арифметическим в том, что первое более устойчиво к добавлению пар с небольшими избыточными рисками и более чувствительно к аномально высоким рискам.

Рассмотрим пример. Пусть вероятности и воздействия оцениваются по шестибалльной шкале, от 0 до 5, а приемлемым считается риск, равный 8. Тогда Ra = 8, Rmax = 25 (5*5). Пусть, далее, имеются две организации. Для первой из них рассматриваются следующие пары (актив, угроза) и ассоциированные с ними характеристики (см. Таб. 3).

Таблица 3. Таблица рисков для первой организации.

Пусть для второй организации аналогичная таблица выглядит так (см. Таб. 4).

Таблица 4. Таблица рисков для второй организации.

Средние значения рисков сведены в Таб. 4. Видно, что нормализованные средние арифметические значения избыточных рисков у двух организаций близки, в то время как нормализованное среднее квадратичное значение у первой организации заметно выше (а уровень безопасности, соответственно, ниже). Причина в аномально высоком риске внешнего физического вторжения, то есть в наличии ярко выраженного слабого звена.

Таблица 5. Средние значения избыточных рисков для рассматриваемых организаций.

Для оценки прогресса организации в области информационной безопасности важны не абсолютные значения рисков, а их уменьшение в результате выбора и реализации контрмер. При этом в качестве количественной меры риска может быть использовано время, требующееся на успешную атаку системы при заданных мотивации и квалификации злоумышленника. Увеличение этого времени свидетельствует о повышении уровня безопасности.

Рассматриваются два варианта информационной системы — первоначальный и укрепленный, то есть полученный в результате выбора и реализации контрмер. Методология оценки времени, требующегося на успешную атаку, включает следующие шаги:

• формирование анализируемой конфигурации системы;
• формирование количественной модели рисков для анализируемой конфигурации системы;
• формирование и ранжирование требований безопасности для анализируемой конфигурации системы;
• идентификация уязвимостей;
• категорирование уязвимостей каждого компонента системы по типу компрометации;
• оценка времени компрометации каждого компонента системы;
• генерация графа компрометации и путей атаки;
• нахождения путей атак с минимальным временем;
• повторение предыдущих шагов для первоначальной и укрепленной конфигурации системы;
• получение оценки снижения рисков.

На первом шаге, при формировании анализируемой конфигурации системы предлагается ограничиться двумя типами компонентов.

К первому относятся граничные устройства, то есть устройства, входящие в систему и непосредственно (без маршрутизации, экранирования, фильтрации и т.п.) доступные из внешних сетей. Во второй тип входят основные цели потенциальных злоумышленников, то есть устройства, контроль над которыми дает атакующим нужную степень контроля над всей ИС организации.

Количественная модель рисков базируется на стандартной формуле

R = P * D

где R — величина риска, P — вероятность успешной атаки, D — ущерб от нее.

Вероятность P можно представить в виде произведения следующих условных вероятностей:

P = Pi * Pa * Pb * Pc * Pd

где

• Pi — вероятность того, что данная информационная система попадет в список возможных целей злоумышленника;
• Pa — вероятность того, что система будет выбрана из списка и атакована;
• Pb — вероятность того, что будут взломаны граничные компоненты;
• Pc — вероятность того, что атака окажется успешной, то есть достигшей основных целей;
• Pd — вероятность того, что злоумышленником будет нанесен предполагаемый ущерб.

Снижение рисков путем выбора и реализации контрмер воздействует на вероятности Pb и Pc взлома граничных и целевых систем; их и требуется оценить. Предполагается, что укрепление системы не влияет ни на другие вероятности, ни на размер ущерба. Далее, можно считать, что вероятность успешной атаки обратно пропорциональна времени, которое на подобную атаку требуется (чем длительнее атака, тем больше шансов обнаружить и пресечь ее). Таким образом, в конечном счете снижение рисков определяется увеличением общего времени, требующегося на успешные атаки цепочки компонентов ИС, начинающейся граничным устройством и оканчивающейся основной целью.

Формирование и ранжирование требований безопасности для анализируемой конфигурации системы необходимо для того, чтобы определить понятие успешной атаки. Обычно требования выражаются в терминах доступности, конфиденциальности и целостности. Например, для систем управления на первом плане находятся доступность и целостность; конфиденциальность не имеет особого значения.

Идентификация уязвимостей может выполняться с помощью средств анализа защищенности и путем анализа общедоступных источников соответствующей информации. В специфических случаях требуется привлечение специальных знаний об особенностях системы и ее конфигурации.

Категорирование уязвимостей каждого компонента системы по типу компрометации необходимо для того, чтобы связать с каждым ребром графа компрометации набор уязвимостей, делающих переход по данному ребру возможным. Граф компрометации — это направленный граф, вершины которого соответствуют стадиям атаки, а ребра — переходам между стадиями; с каждым ребром связывается время, требующееся на успешное проведение очередной стадии атаки.

Каждая вершина графа компрометации относится к одному из следующих типов:

• Старт. На этой стадии злоумышленник ничего не знает об устройстве целевой системы. Это — единственная входная вершина графа.
• Начало атаки. Собрано достаточно данных, чтобы начать разработку программ использования уязвимостей или применить известные средства взлома. Для каждого граничного устройства в графе имеется один узел этого типа (точка развертывания потенциальной атаки).
• Получение привилегий обычного пользователя. Это состояние относится к конкретной машине, на которой атакующий сумел стать обычным пользователем. Для каждой машины целевой информационной системы имеется только одно состояние этого типа.
• Получение привилегий суперпользователя. Это состояние относится к конкретной машине, на которой атакующий сумел стать суперпользователем. Для каждой машины целевой информационной системы имеется только одно состояние этого типа.
• Целевой узел. Любое состояние, означающее успех атаки.

Ребра графа представляют этапы успешной компрометации и помечаются длительностью этапа, которая зависит от сложности эксплуатации имеющихся уязвимостей (с учетом квалификации злоумышленника). Естественно считать, что вероятность перехода по данному ребру обратно пропорциональна ассоциированной с ним длительности. Ребра (и уязвимости, позволяющие осуществлять соответствующие переходы между состояниями) подразделяются на следующие типы:

• Разведка (зондирование) (Р).
• Нарушение (взлом) (Н). Это ребра, выходящие из узла начала атаки.
• Проникновение (П). Это ребра, выходящие и из узлов с привилегиями обычного пользователя или суперпользователя, и входящие в узлы того же типа.
• Эскалация (Э). Эти ребра означают получение дополнительных привилегий на той же машине.
• Нанесение ущерба (У). Эти ребра входят в целевой узел.

Оценка времени компрометации каждого компонента системы (T) означает оценку времени на получение атакующим каких-либо пользовательских привилегий на данном устройстве. Компрометация моделируется случайным процессом, который подразделяется на три подпроцесса:

• Подпроцесс 1 осуществляется в ситуации, когда известна по крайней мере одна уязвимость, и атакующий располагает средствами ее использования.
• Подпроцесс 2 осуществляется в ситуации, когда имеются известные уязвимости, но атакующий не располагает средствами их использования.
• Подпроцесс 3 состоит в идентификации новых уязвимостей и средств их эксплуатации. Он может функционировать в фоновом режиме параллельно с подпроцессами двух первых типов. Злоумышленник может быть пользователем или участником подпроцессов данного типа, то есть он может ждать, когда станет известно о новых уязвимостях и средствах их эксплуатации, или разрабатывать и пробовать их.

Каждый из перечисленных подпроцессов характеризуется своим распределением вероятностей. Подпроцессы 1 и 2 являются взаимоисключающими. Подпроцесс 3 можно считать непрерывным.

Для оценки времени T можно воспользоваться следующей формулой:

T = t1 * P1 + t2 * (1 — P1) * P2 + t3 * (1 — P1) * (1 — P2)

здесь

• t1 — ожидаемое время завершения подпроцесса 1 (обычно — 1 день);
• t2 — ожидаемое время завершения подпроцесса 2, которое вычисляется по эмпирической формуле:

t2 = 5.8 * (ожидаемое число неудачных попыток взлома), причем ожидаемое число неудачных попыток взлома обратно пропорционально числу имеющихся уязвимостей и прямо пропорционально среднему числу уязвимостей, для которых средства использования могут быть найдены или созданы злоумышленником с данным уровнем квалификации;

• t3 — ожидаемое время завершения подпроцесса 3, которое можно считать прямо пропорциональным числу имеющихся уязвимостей и обратно пропорциональным среднему числу уязвимостей, для которых средства использования могут быть найдены или созданы злоумышленником с данным уровнем квалификации;
• P1 — вероятность успешного завершения подпроцесса 1;
• P2 — вероятность успешного завершения подпроцесса 2.

Генерация графа компрометации и путей атаки выполняется с использованием полученных оценок.

Нахождения путей атак с минимальным временем означает оценку максимального риска. Подобный путь всегда проходит через компонент ИС с наибольшим числом уязвимостей.

На Рис. 5 приведен пример фрагмента графа компрометации. Время указано в днях. Кратчайший путь показан сверху.

Рисунок 5. Фрагмент графа компрометации.

Повторение предыдущих шагов для первоначальной и укрепленной конфигурации системы требует генерации двух графов компрометации. Если в укрепленной системе уязвимостей меньше, а кратчайший путь успешной атаки имеет большую длину для произвольной квалификации злоумышленников, можно переходить к оценке снижения рисков.

Получение оценки снижения рисков основывается на предположении, что вероятность успешной атаки на укрепленную систему задается следующим соотношением:

Pnew = Pold * (“Старое_время” / “Новое_время”)

где

• Pold — вероятность успешной атаки на ИС в базовой (старой) конфигурации;
• “Старое_время” — ожидаемое время успешной атаки с минимальной длительностью на ИС в базовой (старой) конфигурации;
• “Новое_время” — ожидаемое время успешной атаки с минимальной длительностью на ИС в укрепленной (новой) конфигурации (естественно предполагать, что “Новое_ время” не меньше, чем “Старое_время”).

Нормализованное снижение риска определяется как

dR = 1 — (Pnew / Pold) = 1 — (“Старое_время” / “Новое_время”)

Оно стремится к 1, если “Новое_время” стремится к бесконечности. Напротив, если “Новое_время” и “Старое_время” совпадают, снижение риска оказывается нулевым.

Время успешной атаки имеет постоянную и переменную составляющие. К первой относятся длительности разведки и нанесения ущерба, ко второй — нарушение (взлом), проникновение и эскалация. Можно предположить, что укрепление системы влияет только на переменную часть. Если постоянная часть велика, существенного снижения рисков добиться не удастся, но это означает лишь то, что система и так хорошо защищена (в эшелонированной обороне имеются хорошо укрепленные рубежи — первый и последний).

Укрепление системы может достигаться путем уменьшения числа уязвимостей и увеличения длительности нахождения и/или создания средств их использования. Первый путь сам по себе не дает заметного эффекта: почти полное устранение уязвимостей увеличивает длину кратчайшего пути лишь на несколько процентов. Это понятно: для успешного взлома достаточно одной уязвимости.

На риски и уменьшающие их контрмеры можно смотреть не только со стороны защищающейся организации, но и со стороны атакующего злоумышленника. Чем сильнее регуляторы безопасности затрудняют вредоносную активность, тем более удачным можно считать их выбор. В качестве формализма, поддерживающего данный подход, целесообразно использовать графы атак, вершины которых помечены возможными контрмерами и их количественной экономической оценкой с точки зрения защищающегося и атакующего.

Однократный ущерб на ресурс будем определять по формуле

SLE = AV * EF

где AV — ценность ресурса, в которую входят все виды затрат на него (установка, сопровождение и т.п.), а EF — доля этой величины, утрачиваемая в результате вредоносного действия (относительный ущерб от однократной компрометации ресурса).

Поскольку не все угрозы равновероятны, введем годичную частоту реализации угрозы (ARO). Тогда ожидаемый годовой ущерб от данной угрозы будет вычисляться по формуле

ALE = SLE * ARO

Оценка значения ARO может производиться на основе анализа статистики нарушений информационной безопасности.

Экономический эффект от реализации контрмеры (то есть от расходов на информационную безопасность) можно оценить по формуле

ROI = ((ALE * RM) — CSI) / CSI

где RM — коэффициент уменьшения риска в результате реализации контрмеры (лежит в промежутке от 0 до 1), а CSI — стоимость этой реализации. При положительном значении ROI реализация регулятора безопасности является экономически оправданной; в противном случае в ней нет смысла. ROI — это инструмент экономической оценки эффективности действий (защищающейся) организации в области информационной безопасности. Цель состоит в максимизации значения ROI.

Экономическая эффективность действий атакующего оценивается с помощью величины ROA, вычисляемой по формуле

ROA = GI / (EBS + EAS)

где GI — ожидаемая выгода от успешной атаки, EBS — затраты на компрометацию ресурса до реализации контрмеры S, EAS — дополнительные затраты на компрометацию после реализации контрмеры S. Цель защищающейся организации состоит в минимизации значения ROA, то есть в уменьшении привлекательности ресурсов организации как объектов возможных атак.

Атаки проводятся путем использования уязвимостей. В графах атак уязвимости ассоциируются с концевыми вершинами, то есть вершинами, из которых не выходит ни одного ребра. С этими же вершинами ассоциируются контрмеры, ликвидирующие или уменьшающие уязвимости.

Графы атак называют также И-ИЛИ графами, так как для успешного проведения атаки может быть достаточно одного из нескольких условий (связка ИЛИ), либо требуется одновременное выполнение всех условий из некоторого множества (связка И). Из технических соображений (упрощения перебора различных сценариев атак) графы атак целесообразно представлять в дизъюнктивной нормальной форме, при которой связка И может относиться только к концевым вершинам. Преобразование к дизъюнктивной нормальной форме основывается на логическом тождестве

(A ИЛИ B) И C = (A И C) ИЛИ (B И C)

Рассмотрим пример компрометации конфиденциальных данных путем кражи сервера, на котором они хранятся (см. Рис. 6). Чтобы украсть сервер, нужно сначала проникнуть в серверную комнату, а затем незаметно вынести сервер. Чтобы проникнуть в серверную комнату, можно взломать дверь или раздобыть (подобрать) ключи.

Рисунок 6. Фрагмент графа атак, аннотированного контрмерами и показателями экономической эффективности.

Пусть стоимость сервера составляет 100000 условных единиц, относительный ущерб от однократной компрометации (EF) при взломе двери и применении ключей равняется, соответственно, 0.9 и 0.93 (умный злоумышленник, сумевший заполучить в свое распоряжение ключи от серверной комнаты, опаснее прямолинейного вредителя, идущего к цели в буквальном смысле напролом), а годичная частота реализации угрозы (ARO) — 0.1. Тогда SLE составит, соответственно, 90000 и 93000 у.е., а ALE — 9000 и 9300 у.е.

В качестве контрмер против проникновения в серверную комнату можно установить надежный замок, к которому трудно подобрать ключи (RM = 0.2, CSI = 300 у.е.) или поставить стальную дверь, которую трудно взломать (RM = 0.7, CSI = 1500 у.е.). Чтобы противодействовать незаметному выносу сервера, можно установить аппаратуру видеонаблюдения (RM = 0.1, CSI = 3000 у.е.) или учредить пост охраны (RM = 0.5, CSI = 12000 у.е.). Значение ROI для каждой из контрмер вычисляется по приведенной выше формуле. Например, для стальной двери оно составит:

ROI = ((ALE * RM) — CSI) / CSI = ((9000 * 0.7) — 1500) / 1500 = 3.20

Чтобы противодействовать всем возможным (идентифицированным) атакам необходимо установить регуляторы безопасности на каждом пути в графе атак от концевых вершин к целевой (точнее, как минимум одна контрмера нужна для каждой связки И), отдавая предпочтение контрмерам с максимальным значением ROI. Если один регулятор безопасности противодействует нескольким атакам, затраты на него следует поделить поровну между соответствующими вариантами атак.

При рассмотрении ситуации с точки зрения атакующего предположим, что экономическая выгода от кражи сервера (GI) составляет 30000 у.е., затраты на первый вариант атаки (взломать дверь) (EBS) — 4000 у.е., затраты на второй — 4200 у.е. Для проведения успешной атаки при применении контрмеры в виде стальной двери от злоумышленника потребуется дополнительно 2000 у.е. (EAS), на борьбу с надежным замком понадобится дополнительно 200 у.е., с аппаратурой видеонаблюдения — 1000 у.е., с постом охраны — 1500 у.е. Таким образом, показатель экономической эффективности (ROA) первого варианта атаки после установки стальной двери составит:

ROA = GI / (EBS + EAS) = 30000 / (4000 + 2000) = 5.00

Анализ экономической эффективности контрмер для ROA проводится сходным с ROI образом, только значение ROA следует не максимизировать, а минимизировать (атаки на ресурсы организации должны иметь для злоумышленника минимальную привлекательность). Если одновременная максимизация ROI и минимизация ROA невозможна, для осуществления выбора регуляторов безопасности необходимо привлечь дополнительные соображения.

Для первой атаки (взломать дверь) контрмера c1 доминирует остальные, поскольку на ней достигается максимум ROI и минимум ROA. Для второй атаки (добыть ключи) доминирующей контрмеры нет: на c4 достигается максимум ROI, на c6 — минимум ROA. Отметим, что регулятор безопасности “установить пост охраны” уменьшает риск обеих атак и минимизирует ROA для второй атаки, но у него слишком мал показатель ROI, поэтому в данном случае целесообразно предпочесть комбинацию контрмер c1 и c4: поставить стальную дверь с надежным замком.

Заключение

Большинство организаций на собственном опыте осознали актуальность и важность проблем информационной безопасности. Следующим шагом должен стать количественный подход к их решению, основанный на управлении рисками.

Первым этапом в этом процессе является сбор данных о расходах на безопасность, об имевших место нарушениях ИБ и ущербе от них. Базируясь на этих данных, организация может построить количественную модель рисков для своей информационной системы, запланировать меры по усилению защиты слабых мест, сформировать обоснованный бюджет для защитных мероприятий.

Регулярная переоценка рисков позволит поддерживать данные о безопасности ИС организации в актуальном состоянии, оперативно выявлять новые опасные риски и нейтрализовывать их экономически целесообразным образом.

Источник: Информационный бюллетень JET INFO