Основные методы проведения оценки и анализа рисков безопасности. Анализ рисков в управлении информационной безопасностью

Процесс анализа и оценки рисков является одним из ключевых этапов наиболее известных методик построения систем защиты информации, таких как Symantec Lifecycle Security и методика компании Microsoft. Кроме того, существуют специализированные методики и программные продукты для анализа и оценки рисков, такие как CRAMM, FRAP, RiskWatch, ГРИФ и др. Дадим описание наиболее известным из них, чтобы получить правильное представление об особенностях каждой из методик для последующего выбора наиболее подходящей для применения в компаниях банковской сферы.

Обзор наиболее активно используемых методик анализа и оценки рисков информационной безопасности

Symantec Lifecycle Security - это модель, описывающая такой способ организации системы информационной безопасности предприятия, который позволяет системно решать задачи, связанные с защитой информации, и предоставляет возможность адекватно оценить результат применения технических и организационных средств и мер защиты информации (Петренко, 2009). Данная методика включает в себя семь основных компонентов:

1. политики безопасности, стандарты, процедуры и метрики;

2. анализ рисков;

3. стратегический план построения системы защиты;

4. выбор и внедрение решений;

5. обучение персонала;

6. мониторинг защиты;

7. разработка методов реагирования в случае инцидентов и восстановление.

Так как в данной работе рассматривается проблема анализа и оценки рисков информационной безопасности, сосредоточим свое внимание на этом этапе жизненного цикла СИБ. Ниже представлены ключевые моменты процесса анализа рисков модели Symantec Lifecycle Security.

1. Подробное документирование компьютерной системы предприятия с акцентом на описание критически важных для деятельности предприятия приложений.

2. Определение степени зависимости нормального функционирования организации от исправности отдельных частей компьютерной сети, конкретных узлов, от безопасности хранимых и обрабатываемых данных.

3. Поиск уязвимых мест компьютерной системы предприятия.

4. Поиск угроз, которые могут быть реализованы в отношении выявленных уязвимых мест.

5. Поиск и оценка рисков, связанных с использованием компьютерной системы предприятия.

Еще одним широко известным способом построения комплексной системы защиты информации на предприятии является методика, разработанная компанией Microsoft. Она включает в себя модель управления рисками информационной безопасности компании. Весь цикл управления рисками можно разделить на четыре основных стадии.

1. Оценка рисков.

· Планирование сбора данных, обсуждение ключевых условий успешной реализации и подготовка рекомендаций.

· Сбор данных о рисках и его документирование.

· Определение значимости рисков. Описание последовательности действий по качественной и количественной оценке рисков.

2. Поддержка принятия решений.

· Определение функциональных требований.

· Выбор подходящих элементов контроля.

· Проверка предложенных элементов контроля на соответствие функциональным требованиям.

· Оценка снижения рисков.

· Оценка прямых и косвенных затрат, связанных с внедрением элементов контроля.

· Определение наиболее экономически эффективного решения по нейтрализации риска путем анализа выгод и затрат.

3. Реализация контроля. Развертывание и использование элементов контроля, снижающих риск для ИБ организации.

· Поиск целостного подхода.

· Организация многоуровневой защиты.

4. Оценка эффективности программы. Анализ эффективности процесса управления рисками, проверка выбранных элементов контроля на соответствие необходимому уровню защиты.

· Разработка системы показателей рисков.

· Оценка эффективности программы управления рисками и выявление возможностей её улучшения.

Рис.1

Остановимся подробнее на первой стадии. Следует отметить, что этапы качественной оценки рисков обычно примерно одинаковы: выявление рисков ИБ, определение вероятности возникновения каждого из них, определение стоимости активов, которые пострадают от реализации конкретного риска, а также распределение описанных рисков на группы в зависимости от ранее оговоренных критериев значительности риска, а также возможности его принятия. Так и в данной методике на начальном этапе рискам присваиваются значения в соответствии со шкалой: "высокий" (красная область), "существенный" (жёлтая область), "умеренный" (синяя область) и "незначительный" (зеленая область) (рис.2). После этого, при необходимости выявленных наиболее существенных рисков и подсчета финансовых показателей, проводится количественная оценка.


Рис.2Матрица для табличной оценки рисков.

Для проведения эффективной оценки требуется собрать самые актуальные данные об активах организации, угрозах безопасности, уязвимостях, текущей среде контроля и предлагаемых элементах контроля. Далее проводится сложный и многоступенчатый процесс анализа и оценки рисков, в результате которого владельцы бизнеса получают информацию не только о существующих рисках, вероятностях их реализации, уровнях влияния на деятельность компании, но и оценку ожидаемого годового ущерба (ALE).

Здесь также стоит упомянуть о существовании средства оценки безопасности "Microsoft Security Assessment Tool (MSAT)", который представляет собой бесплатное программное обеспечение, позволяющее "оценить уязвимости в ИТ-средах, предоставить список расставленных по приоритетам проблем и список рекомендаций по минимизации этих угроз".

Процесс анализа информационной сети на наличие в ней уязвимостей осуществляется с помощью ответов на более чем 200 вопросов, "охватывающих инфраструктуру, приложения, операции и персонал". Первая серия вопросов предназначена для определения бизнес-модели компании, на основе полученных ответов средство создает "профиль бизнес-риска (BRP)". По результатам ответа на вторую серию вопросов составляется список защитных мер, внедренных компанией с течением времени. В совокупности эти меры безопасности "образуют уровни защиты, предоставляя большую защищенность от угроз безопасности и конкретных уязвимостей". Сумма уровней, образующих "комбинированную систему глубокой защиты", называется "индексом глубокой защиты (DiDI)". После этого BRP и DiDI сравниваются между собой для измерения распределения угроз по областям анализа -- инфраструктуре, приложениям, операциям и людям.

Данная оценка предназначена для использования в организациях среднего размера, "содержащих от 50 до 1500 настольных систем". В результате её использования менеджмент компании получает общую информацию о состоянии системы защиты информации предприятия, охватывая большинство "областей потенциального риска", но описываемое средство не предусмотрено для предоставления "глубокого анализа конкретных технологий или процессов".

Методика "CCTA Risk Analysis and Management Method (CRAMM)" - одна из первых методик анализа рисков в сфере информационной безопасности. В основе метода CRAMM лежит комплексный подход, сочетающий процедуры количественной и качественной оценки рисков.

Исследование информационной безопасности системы с помощью CRAMM может проводиться двумя способами, преследующими две качественно разные цели: обеспечение базового уровня ИБ и проведение полного анализа рисков. От того, какая задача стоит перед специалистами по оценке рисков, зависит количество проводимых этапов работы. Давайте перечислим все возможности данной методики, делая акцент на обстоятельствах применения той или иной процедуры анализа.

Первая стадия является подготовительной и обязательной при постановке любой из двух возможных целей исследования информационной безопасности системы. Во время данного этапа формально определяются границы рассматриваемой информационной системы, ее основные функции, категории пользователей и персонала, принимающего участие в исследовании.

На второй стадии проводится анализ всего, что касается выявления и определения ценности ресурсов рассматриваемой системы: проводится идентификация физических, программных и информационных ресурсов, находящихся внутри границ системы, а затем производится распределение их на заранее выделенные классы. В результате заказчик имеет хорошее представление о состоянии системы и может принять решение о необходимости проведения полного анализа рисков. При условии, что обеспечения базового уровня ИБ клиенту не достаточно, строится модель информационной системы с позиции ИБ, которая позволит выделить наиболее критичные элементы.

На третьей стадии, которая проводится только в том случае, если необходимо проведение полного анализа рисков, рассматривается все, что относится к идентификации и оценке уровней угроз для групп ресурсов и их уязвимостей. На данном этапе оценивается влияние определенных групп ресурсов на работоспособность пользовательских сервисов, определяется текущий уровень угроз и уязвимостей, вычисляются уровни рисков и проводится анализ результатов. В итоге заказчик получает идентифицированные и оцененные уровни рисков ИБ для исследуемой системы.

На четвертой стадии для каждой группы ресурсов и каждого из 36 типов угроз программное обеспечение CRAMM составляет список вопросов, предполагающих однозначный ответ. Как и в случае с методикой компании Microsoft, в CRAMM проводится качественная оценка риска путем отнесения уровней угроз к той или иной категории в зависимости от полученных ответов. Всего в данной методике есть пять категорий уровней угроз: "очень высокий", "высокий", "средний", "низкий" и "очень низкий". В свою очередь, уровень уязвимости ресурса оценивается, в зависимости от ответов, как "высокий", "средний" и "низкий". На основе данной информации, а также размеров ожидаемых финансовых потерь, рассчитываются уровни рисков по шкале от 1 до 7, объединенные в матрице оценки риска (рис.3).


Рис.3

Здесь следует отметить, что метод CRAMM по праву может быть отнесен к методикам, использующим как качественный, так и количественный подходы к анализу рисков информационной безопасности, так как в процессе проведения оценки учитывается уровень ожидаемых финансовых потерь от реализации риска, а результаты предоставляются в баллах по шкале от 1 до 7. Этот факт значительно повышает рейтинг методики CRAMM в глазах специалистов в данной предметной области.

На последней стадии исследования, носящей название "Управление рисками", производится выбор адекватных элементов контроля: программное обеспечение CRAMM генерирует несколько вариантов мер противодействия, адекватных выявленным рискам и их уровням, из которых выбирается оптимальный вариант системы безопасности, удовлетворяющий требованиям заказчика.

Методика "Facilitated Risk Analysis Process (FRAP)" - это модель построения системы защиты информации, включающая в себя качественный анализ рисков. Разберем именно эту, интересующую нас, составляющую методики. Ниже приведены основные этапы оценки рисков.

1. На первом этапе, с опорой на данные опросов, техническую документацию, автоматизированный анализ сетей, составляется список находящихся в зоне риска активов.

2. Идентификация угроз. При составлении списка угроз могут использоваться различные подходы:

· Конвенциональный метод. В этом случае, эксперты составляют перечни (checklists) потенциальных угроз, из которых впоследствии выбираются наиболее актуальные для данной системы;

· Статистический. Здесь проводится анализ статистики происшествий, связанных с информационной безопасностью данной ИС и подобных ей, и оценивается их средняя частота, после чего производится оценка точек риска;

· "Мозговой штурм", проводимый сотрудниками компании. Отличие от первого метода в том, что он проводится без привлечения внешних экспертов.

3. После составления списка потенциальных угроз производится сбор статистики по каждому случаю возникновения риска: частоте той или иной ситуации, а также по уровню претерпеваемого ущерба. Опираясь на эти значения, эксперты оценивают уровень угрозы по обоим параметрам: вероятности возникновения угрозы (High Probability, Medium Probability and Low Probability) и ущерба от нее (High Impact, Medium Impact and Low Impact). Далее, в соответствии с правилом, задаваемым матрицей рисков (рис.4), определяется оценка уровня риска:

· уровень A - направленные на элиминацию угрозы меры (например, внедрение СЗИ) должны быть предприняты немедленно и в обязательном порядке;

· уровень B - необходимо предпринять меры, направленные на снижение риска;

· уровень C - необходим мониторинг ситуации;

· уровень D - никаких действий в данный момент предпринимать не требуется.

4. После того как угрозы были идентифицированы и относительные риски оценены, следует составить план действий, позволяющий устранить риск или уменьшить его до приемлемого уровня.

5. По окончании оценки рисков результаты должны быть подробно документированы и переведены в стандартизованный формат. Эти данные могут быть использованы при планировании дальнейших процедур в области обеспечения безопасности, бюджета, выделяемого на эти процедуры, и т.д.


Рис. 4

Risk Advisor - это программный продукт, разработанный компанией MethodWare, в котором реализована методика, "позволяющая задать модель информационной системы с позиции информационной безопасности, идентифицировать риски, угрозы, потери в результате инцидентов". Можно выделить пять основных этапов работы:

Описание контекста. В первую очередь необходимо создать общую схему внешних и внутренних информационных контактов организации. Эта модель строится в нескольких измерениях и задается следующими параметрами: стратегическим, организационным, бизнес-целями, управлением рисками, критериями. Картина общего контекста с точки зрения стратегии описывает сильные и слабые стороны организации в плане внешних контактов. Здесь производится классификация угроз связанных с отношениями с партнерами, оцениваются риски, сопряженные с различными вариантами развития внешних связей организации. Описание контекста в организационном измерении включает в себя картину отношений внутри организации, стратегию развития и внутреннюю политику. Схема управления рисками включает в себя концепцию информационной безопасности. Наконец, в контексте бизнес-целей и критериев оценки, описываются, как следует из названия, ключевые бизнес-цели и качественные и количественные критерии, с опорой на которые производится управление рисками.

Описание рисков. Для того чтобы облегчить и стандартизировать процесс принятия решений, связанных с управлением рисками, данные по ним необходимо стандартизировать. В разных моделях используются разные шаблоны для формализации имеющейся информации. В описываемой нами методике задается матрица рисков, в которой учитываются не только собственные параметры этих рисков, но и информация об их связях с остальными элементами общей системы. Следует отметить, что риски оцениваются здесь по качественной, а не количественной шкале и делятся всего на две категории: приемлемые и, соответственно, неприемлемые. После этой оценки производится выбор контрмер и анализ стоимости и эффективности выбранных средств защиты.

Описание угроз. Прежде всего, составляется общий список угроз. Затем они классифицируются по качественной шкале, описываются взаимосвязи между различными угрозами и связи типа "угроза - риск".

Описание потерь. На этом этапе описываются события, связанные с инцидентами информационной безопасности, после чего оцениваются риски, вызванные этими событиями.

Анализ результатов. После построения модели, формируется детальный отчет (состоящий более чем из 100 разделов). Агрегированные описания представляются потребителю в виде графа рисков.

Компания RiskWatch, также как и Microsoft, разработала собственную методику анализа и оценки рисков, которая реализуется в ряде их программных средств. "В методе RiskWatch в качестве критериев для оценки и управления рисками используются ожидаемые годовые потери (Annual Loss Expectancy, ALE) и оценка возврата инвестиций (Return on Investment, ROI). Методика RiskWatch ориентирована на точную количественную оценку соотношения потерь от угроз безопасности и затрат на создание системы защиты." Процесс анализа рисков состоит из четырех этапов.

На первом этапе, являющемся, по сути, подготовительным, определяется предмет исследования: дается описание типа организации, состава исследуемой системы, базовых требований в области информационной безопасности и т.д. Программное обеспечение RiskWatch предлагает широкий выбор всевозможных категорий защищаемых ресурсов, потерь, угроз, уязвимостей и мер защиты, из которых аналитик выбирает только те, что реально присутствуют в исследуемой системе. Кроме того, есть возможность добавления новых элементов и корректировка уже существующих описаний.

На втором этапе производится более детальное описание системы (какие ресурсы в ней присутствуют, какие типы потерь могут иметь место при реализации риска и какие классы инцидентов можно выделить "путём сопоставления категории потерь и категории ресурсов"). Есть два варианта ввода данных: вручную или путём импорта из отчетов, сгенерированных в процессе анализа компьютерной сети на наличие в ней уязвимостей. Для выявления возможных слабых мест системы используется опросник, в котором предлагается ответить более чем на 600 вопросов, связанных с категориями ресурсов. В связи с тем, что компании из разных сфер деятельности имеют свои исключительные особенности, а также учитывая быстро развивающийся рынок информационных технологий, кажется очень разумным и удобным наличие возможности корректировки вопросов и исключение/добавление новых. Далее определяется частота реализации каждой из присутствующих в системе угроз, уровень уязвимости и ценность ресурсов. На основе данной информации рассчитывается эффективность использования тех или иных элементов контроля информационной безопасности.

На третьем этапе производится количественная оценка риска. Первым делом определяется взаимосвязь между ресурсами, потерями, угрозами и уязвимостями, определенными в процессе проведения первых двух этапов работы. Далее для каждого риска рассчитывается математическое ожидание потерь за год по следующей формуле:

где p - частота возникновения угрозы в течение года,

v - стоимость ресурса, который подвергается угрозе.

Например, если выведение сервера из строя на один час обойдется компании в $100000, а вероятность совершения DDoS-атаки в течение года равна 0.01, то ожидаемые потери составят $1000. Кроме того моделируются сценарии "что если…", в которых аналогичные ситуации рассматриваются с учетом внедрения средств защиты. Путём сравнения ожидаемых потерь при условии использования элементов контроля и без них можно оценить, насколько эффективным будет внедрение тех или иных защитных мер.

На последнем этапе генерируются отчёты разных видов: "краткие итоги, полные и краткие отчеты об элементах, описанных на стадиях 1 и 2, отчет о стоимости защищаемых ресурсов и ожидаемых потерь от реализации угроз, отчет об угрозах и мерах противодействия, отчет о результатах аудита безопасности."

Таким образом, рассматриваемое средство позволяет не только оценить риски, которые на данный момент существуют у предприятия, но и выгоду, которую может принести внедрение физических, технических, программных и прочих средств и механизмов защиты. Подготовленные отчеты и графики дают материал, достаточный для принятия решений об изменении системы обеспечения безопасности предприятия. Кроме того, описываемое программное обеспечение может являться удобной основой для разработки собственного, максимально подходящего для предприятий конкретного типа (например, кредитных организаций), средства анализа и оценки рисков информационной безопасности.

ГРИФ - российское комплексное средство анализа и управления рисками информационной системы организации, разработанное компанией Digital Security. Принцип работы данного программного обеспечения основан на двух концептуально разных подходах к оценке рисков информационной безопасности, получивших названия "модель информационных потоков" и "модель угроз и уязвимостей". Рассмотрим каждый из алгоритмов по отдельности.

Модель информационных потоков характеризуется тем, что в основе алгоритма анализа и оценки рисков лежит построение модели информационной системы организации. Расчет значений рисков базируется на информации о средствах защиты ресурсов с ценной информацией, взаимосвязях ресурсов между собой, влиянии прав доступа групп пользователей и организационных мерах противодействия.

На первом этапе необходимо подготовить полное описание архитектуры исследуемой сети, включающее информацию о ценных ресурсах, их взаимосвязях, группах пользователей, средствах защиты информации и др. "Исходя из введенных данных, можно построить полную модель информационной системы компании, на основе которой будет проведен анализ защищенности каждого вида информации на ресурсе".

Перейдем к непосредственному описанию алгоритма. Оценка риска производится отдельно по каждой связи "группа пользователей - информация" по трем типам угроз: конфиденциальность, целостность и доступность (при этом для первых двух типов результат рассчитывается в процентах, а для последнего - в часах простоя). Ущерб от реализации разных видов угроз тоже задается отдельно, т.к. оценить комплексные потери не всегда возможно. Ключевыми критериями, от которых зависит вероятность реализации той или иной угрозы, являются виды (локальный и/или удаленный) и права (чтение, запись, удаление) доступа пользователей к ресурсам, наличие доступа в Интернет, количество человек в группе, использование антивирусного ПО, криптографических средств защиты (особенно значимо для дистанционного доступа) и т.д. На этом же этапе определяются средства защиты информации и рассчитываются коэффициенты "локальной защищенности информации на ресурсе, удаленной защищенности информации на ресурсе и локальной защищенности рабочего места группы пользователей". Минимальный коэффициент отражает реальный уровень защиты ресурса, т.к. указывает на наиболее уязвимое место в информационной системе. Для того чтобы получить итоговую вероятность реализации угрозы, полученный показатель необходимо умножить на базовую вероятность реализации угрозы ИБ, которая рассчитывается на основе метода экспертных оценок.

На последнем этапе значение полученной итоговой вероятности умножается на величину ущерба от реализации угрозы и рассчитывается риск угрозы информационной безопасности для связи "вид информации - группа пользователей". Алгоритм расчета величины риска по угрозе "отказ в обслуживании" имеет незначительные отличия, связанные, в основном, с единицами измерения.

Система также позволяет задавать контрмеры, эффективность внедрения которых можно оценить по формуле:

где E - эффективность внедрения контрмеры,

Риск без учета контрмеры,

Риск с учетом контрмеры.

В результате работы алгоритма заказчик получает следующую информацию.

· "Риск реализации по трем базовым угрозам для вида информации.

· Риск реализации по трем базовым угрозам для ресурса.

· Риск реализации суммарно по всем угрозам для ресурса.

· Риск реализации по трем базовым угрозам для информационной системы.

· Риск реализации по всем угрозам для информационной системы.

· Риск реализации по всем угрозам для информационной системы после задания контрмер.

· Эффективность контрмеры.

· Эффективность комплекса контрмер".

Модель анализа угроз и уязвимостей описывает ещё один подход к анализу и оценке рисков информационной безопасности. В качестве входной информации выступает перечень ресурсов, содержащих ценную информацию, описание угроз, воздействующих на каждый ресурс, и уязвимостей, через которые возможна реализация вышеупомянутых угроз. Для каждого из видов исходных данных (кроме уязвимостей) указывается степень критичности. Также вводится вероятность реализации той или иной угрозы.

Алгоритм может работать в двух режимах: рассчитывая вероятность реализации одной базовой угрозы или распределяя оценки по трём базовым типам угроз. Перечислим этапы метода в общем виде для обоих режимов.

1. Рассчитывается уровень угрозы по конкретной уязвимости на основе критичности и вероятности реализации угрозы через данную уязвимость.

2. Уровень угрозы по всем уязвимостям рассчитывается путем суммирования уровней угроз через конкретные уязвимости.

3. Рассчитывается общий уровень угроз по ресурсу.

4. Рассчитывается риск по ресурсу.

5. Рассчитывается риск по информационной системе.

Алгоритм анализа и оценки рисков ГРИФ - это образец методики, которая учитывает особенности структуры компании заказчика, используя два разных подхода к расчету величин рисков. Каждый из этих двух методов может быть более эффективен в случае с одной фирмой и менее эффективен в ситуации с другой. Таким образом, методика ГРИФ исключает возможность использования неподходящего алгоритма расчета уровня риска, гарантируя достижения оптимального результата.

На данный момент риски информационной безопасности представляют большую угрозу для нормальной деятельности многих предприятий и учреждений. В наш век информационных технологий добыть какие-либо данные практически не составляет труда. С одной стороны, это, конечно, несет много положительных моментов, но для лица и бренда многих фирм становится проблемой.

Защита информации на предприятиях становится сейчас чуть ли не первоочередной задачей. Специалисты считают, что, только вырабатывая определенную осознанную последовательность действий, можно достичь этой цели. В данном случае возможно руководствоваться лишь достоверными фактами и использовать продвинутые аналитические методы. Определенную лепту вносит развитость интуиции и опыт специалиста, ответственного за данное подразделение на предприятии.

Этот материал расскажет про управление рисками информационной безопасности хозяйствующего субъекта.

Какие существуют виды возможных угроз в информационной среде?

Видов угроз может быть множество. Анализ рисков информационной безопасности предприятия начинается с рассмотрения всех возможных потенциальных угроз. Это необходимо для того, чтобы определиться со способами проверки в случае возникновения данных непредвиденных ситуаций, а также сформировать соответствующую систему защиты. Риски информационной безопасности подразделяются на определенные категории в зависимости от различных классификационных признаков. Они бывают следующих типов:

  • физические источники;
  • нецелесообразное пользование компьютерной сетью и Всемирной паутиной;
  • утечка из закрытых источников;
  • утечка техническими путями;
  • несанкционированное вторжение;
  • атака информационных активов;
  • нарушение целостности модификации данных;
  • чрезвычайные ситуации;
  • правовые нарушения.

Что входит в понятие "физические угрозы информационной безопасности"?

Виды рисков информационной безопасности определяются в зависимости от источников их возникновения, способа реализации незаконного вторжения и цели. Наиболее простыми технически, но требующими все же профессионального исполнения, являются физические угрозы. Они представляют собой несанкционированный доступ к закрытым источникам. То есть этот процесс по факту является обыкновенной кражей. Информацию можно достать лично, своими руками, попросту вторгнувшись на территорию учреждения, в кабинеты, архивы для получения доступа к техническому оборудованию, документации и другим носителям информации.

Кража может заключаться даже не в самих данных, а в месте их хранения, то есть непосредственно самого компьютерного оборудования. Для того чтобы нарушить нормальную деятельность организации, злоумышленники могут попросту обеспечить сбой в работе носителей информации или технического оборудования.

Целью физического вторжения может также является получение доступа к системе, от которой и зависит защита информации. Злоумышленник может изменить опции сети, отвечающей за информационную безопасность с целью дальнейшего облегчения внедрения незаконных методов.

Возможность физической угрозы могут обеспечивать и члены различных группировок, имеющих доступ к закрытой информации, которая не имеет гласности. Их целью является ценная документация. Таких лиц называют инсайдерами.

На этот же объект может быть направлена деятельность внешних злоумышленников.

Как сами сотрудники предприятия могут стать причиной возникновения угроз?

Риски информационной безопасности часто возникают из-за нецелесообразного использования сотрудниками сети Интернет и внутренней компьютерной системы. Злоумышленники прекрасно играют на неопытности, невнимательности и необразованности некоторых людей в отношении информационной безопасности. Для того чтобы исключить этот вариант похищения конфиденциальных данных, руководство многих организаций проводит специальную политику среди своего коллектива. Её целью является обучение людей правилам поведения и пользования сетями. Это является достаточно распространенной практикой, так как и угрозы возникающие таким образом достаточно распространены. В программы получения навыков информационной безопасности сотрудниками предприятия входят следующие моменты:

  • преодоление неэффективного использования средств аудита;
  • уменьшение степени пользования людьми специальных средств для обработки данных;
  • снижение применения ресурсов и активов;
  • приучение к получению доступа к сетевым средствам только установленными методами;
  • выделение зон влияния и обозначение территории ответственности.

Когда каждый сотрудник понимает, что от ответственного выполнения, возложенных на него задач зависит судьба учреждения, то он пытается придерживаться всех правил. Перед людьми необходимо ставить конкретные задачи и обосновывать получаемые результаты.

Каким образом нарушаются условия конфиденциальности?

Риски и угрозы информационной безопасности во многом связаны с незаконным получением информации, которая не должна быть доступна посторонним лицам. Первым и наиболее распространенным каналом утечки являются всевозможные способы связи и общения. В то время, когда, казалось бы, личная переписка доступна лишь двум сторонам, её перехватывают заинтересованные лица. Хотя разумные люди понимают, что передавать что-либо чрезвычайно важное и секретное необходимо другими путями.

Так как сейчас много информации хранится на переносных носителях, то злоумышленники активно осваивают и перехват информации через данный вид техники. Очень популярным является прослушивание каналов связи, только теперь все усилия технических гениев направлены на взлом защитных барьеров смартфонов.

Конфиденциальная информация может быть неумышленно раскрыта сотрудниками организации. Они могут не напрямую выдать все "явки и пароли", а лишь навести злоумышленника на верный путь. Например, люди, сами того не ведая, сообщают сведения о месте хранения важной документации.

Не всегда уязвимыми являются лишь подчиненные. Выдать конфиденциальную информацию в ходе партнерских взаимоотношений могут и подрядчики.

Как нарушается информационная безопасность техническими способами воздействия?

Обеспечение информационной безопасности во многом обусловлено применением надежных технических средств защиты. Если система обеспечения работоспособна и эффективна хотя бы в самом оборудовании, то это уже половина успеха.

В основном утечка информации таким образом обеспечивается с помощью управления различными сигналами. К подобным методам относится создание специализированных источников радиоизлучения или сигналов. Последние могут быть электрическими, акустическими или вибрационными.

Достаточно часто применяются оптические приборы, которые позволяют считывать информацию с дисплеев и мониторов.

Разнообразие приспособлений обуславливает широкий круг методов внедрения и добычи информации злоумышленниками. Помимо вышеперечисленных способов существуют еще телевизионная, фотографическая и визуальная разведка.

По причине таких широких возможностей аудит информационной безопасности в первую очередь включает в себя проверку и анализ работы технических средств по защите конфиденциальных данных.

Что считается несанкционированным доступом к информации предприятия?

Управление рисками информационной безопасности невозможно без предотвращения угроз несанкционированного доступа.

Одним из наиболее ярких представителей данного способа взлома чужой системы безопасности является присвоение идентификатора пользователя. Такой метод носит название «Маскарад». Несанкционированный доступ в этом случае заключается в применении аутентификационных данных. То есть цель нарушителя - добыть пароль или любой другой идентификатор.

Злоумышленники могут оказывать воздействие изнутри самого объекта или с внешней стороны. Получать необходимые сведения они могут из таких источников, как журнал аудита или средства аудита.

Часто нарушитель пытается применить политику внедрения и использовать на первый взгляд вполне легальные методы.

Несанкционированный доступ применяется в отношении следующих источников информации:

  • веб-сайт и внешние хосты;
  • беспроводная сеть предприятия;
  • резервные копии данных.

Способов и методов несанкционированного доступа бесчисленное множество. Злоумышленники ищут просчеты и пробелы в конфигурации и архитектуре программного обеспечения. Они получают данные путем модификации ПО. Для нейтрализации и усыпления бдительности нарушители запускают вредоносные программы и логические бомбы.

Что представляют собой юридические угрозы информационной безопасности компании?

Менеджмент рисков информационной безопасности работает по различным направлениям, ведь его главная цель - это обеспечение комплексной и целостной защиты предприятия от постороннего вторжения.

Не менее важным, чем техническое направление, является юридическое. Таким образом, который, казалось бы, наоборот, должен отстаивать интересы, получается добыть очень полезные сведения.

Нарушения относительно юридической стороны могут касаться прав собственности, авторских и патентных прав. К этой категории относится и нелегальное использование программного обеспечения, в том числе импорт и экспорт. Нарушить юридические предписания можно лишь, не соблюдая условия контракта или законодательной базы в целом.

Как установить цели информационной безопасности?

Обеспечение информационной безопасности начинается собственно с установления области протекции. Необходимо четко определить, что нужно защищать и от кого. Для этого определяется портрет потенциального преступника, а также возможные способы взлома и внедрения. Для того чтобы установить цели, в первую очередь нужно переговорить с руководством. Оно подскажет приоритетные направления защиты.

С этого момента начинается аудит информационной безопасности. Он позволяет определить, в каком соотношении необходимо применять технологические приемы и методы бизнеса. Результатом данного процесса является конечный перечень мероприятий, который и закрепляет собой цели, стоящие перед подразделением по обеспечению защиты от несанкционированного вторжения. Процедура аудита направлена на выявление критических моментов и слабых мест системы, которые мешают нормальной деятельности и развитию предприятия.

После установления целей вырабатывается и механизм по их реализации. Формируются инструменты контроля и минимизации рисков.

Какую роль в анализе рисков играют активы?

Риски информационной безопасности организации непосредственно влияют на активы предприятия. Ведь цель злоумышленников заключается в получении ценной информации. Её потеря или разглашение непременно ведет к убыткам. Ущерб, причиненный несанкционированным вторжением, может оказывать прямое влияние, а может лишь косвенное. То есть неправомерные действия в отношении организации могут привести к полной потере контроля над бизнесом.

Оценивается размер ущерба согласно имеющимся в распоряжении организации активам. Подверженными являются все ресурсы, которые каким-либо образом способствуют реализации целей руководства. Под активами предприятия подразумеваются все материальные и нематериальные ценности, приносящие и помогающие приносить доход.

Активы бывают нескольких типов:

  • материальные;
  • человеческие;
  • информационные;
  • финансовые;
  • процессы;
  • бренд и авторитет.

Последний тип актива страдает от несанкционированного вторжения больше всего. Это связано с тем, что любые реальные риски информационной безопасности влияют на имидж. Проблемы с данной сферой автоматически снижают уважение и доверие к такому предприятию, так как никто не хочет, чтобы его конфиденциальная информация стала достоянием общественности. Каждая уважающая себя организация заботится о защите собственных информационных ресурсов.

На то, в каком объеме и какие активы будут страдать, влияют различные факторы. Они подразделяются на внешние и внутренние. Их комплексное воздействие, как правило, касается одновременно нескольких групп ценных ресурсов.

На активах построен весь бизнес предприятия. Они присутствуют в каком-либо объеме в деятельности любого учреждения. Просто для одних более важным являются одни группы, и менее - другие. В зависимости от того, на какой вид активов удалось повлиять злоумышленникам, зависит результат, то есть причиненный ущерб.

Оценка рисков информационной безопасности позволяет четко идентифицировать основные активы, и если задеты были именно они, то это чревато невосполнимыми потерями для предприятия. Внимание этим группам ценных ресурсов должно уделять само руководство, так как их безопасность находится в сфере интересов владельцев.

Приоритетное направление для подразделения по информационной безопасности занимают вспомогательные активы. За их защиту отвечает специальный человек. Риски относительно них не являются критическими и задевают лишь систему управления.

Каковы факторы информационной безопасности?

Расчет рисков информационной безопасности включает в себя построение специализированной модели. Она представляет собой узлы, которые соединены друг с другом функциональными связями. Узлы - это и есть те самые активы. В модели используется следующие ценные ресурсы:

  • люди;
  • стратегия;
  • технологии;
  • процессы.

Ребра, которые связывают их, являются теми самыми факторами риска. Для того чтобы определить возможные угрозы, лучше всего обратиться непосредственно к тому отделу или специалисту, который занимается работой с этими активами. Любой потенциальный фактор риска может являться предпосылкой к образованию проблемы. В модели выделены основные угрозы, которые могут возникнуть.

Относительно коллектива проблема заключается в низком образовательном уровне, нехватке кадров, отсутствии момента мотивирования.

К рискам процессов относятся изменчивость внешней среды, слабая автоматизация производства, нечеткое разделение обязанностей.

Технологии могут страдать от несовременного программного обеспечения, отсутствия контроля над пользователями. Также причиной могут быть проблемы с гетерогенным информационно-технологическим ландшафтом.

Плюсом такой модели является то, что пороговые значения рисков информационной безопасности не являются четко установленными, так как проблема рассматривается под разным углом.

Что такое аудит информационной безопасности?

Важной процедурой в сфере информационной безопасности предприятия является аудит. Он представляет собой проверку текущего состояния системы защиты от несанкционированных вторжений. В процессе аудита определяется степень соответствия установленным требованиям. Его проведение обязательно для некоторых типов учреждений, для остальных он носит рекомендательный характер. Экспертиза проводится в отношении документации бухгалтерского и налогового отделов, технических средств и финансово-хозяйственной части.

Аудит необходим для того, чтобы понять уровень защищенности, а в случае его несоответствия проведения оптимизирования до нормального. Эта процедура также позволяет оценить целесообразность финансовых вложений в информационную безопасность. В конечном итоге эксперт даст рекомендации о норме финансовых трат для получения максимальной эффективности. Аудит позволяет регулировать средства контроля.

Экспертиза в отношении информационной безопасности делится на несколько этапов:

  1. Установка целей и способов их достижения.
  2. Анализ информации, необходимой для вынесения вердикта.
  3. Обработка собранных данных.
  4. Экспертное заключение и рекомендации.

В конечном итоге специалист выдаст свое решение. Рекомендации комиссии направлены чаще всего на изменение конфигураций технических средств, а также серверов. Часто проблемному предприятию предлагают выбрать другой метод обеспечения безопасности. Возможно, для дополнительного усиления экспертами будет назначен комплекс защитных мер.

Работа после получения результатов аудита направлена на информирование коллектива о проблемах. Если это необходимо, то стоит провести дополнительный инструктаж в целях повышения образованности сотрудников относительно защиты информационных ресурсов предприятия.

Известно, что риск - это вероятность реализации угрозы информационной безопасности. В классическом представлении оценка рисков включает в себя оценку угроз, уязвимостей и ущерба, наносимого при их реализации. Анализ риска заключается в моделировании картины наступления этих самых неблагоприятных условий посредством учета всех возможных факторов, определяющих риск как таковой. С математической точки зрения при анализе рисков такие факторы можно считать входными параметрами.

Перечислим эти параметры:
1) активы - ключевые компоненты инфраструктуры системы, вовлеченные в бизнес-процесс и имеющие определенную ценность;
2) угрозы, реализация которых возможна посредством эксплуатации уязвимости;
3) уязвимости - слабость в средствах защиты, вызванная ошибками или несовершенством в процедурах, проекте, реализации, которая может быть использована для проникновения в систему;
4) ущерб который оценивается с учетом затрат на восстановление системы в исходное состояния после возможного инцидента ИБ.

Итак, первым этапом при проведении многофакторного анализа рисков является идентификация и классификация анализируемых входных параметров. Далее необходимо провести градацию каждого параметра по уровням значимости (например: высокий, средний, низкий). На заключительном этапе моделирования вероятного риска (предшествующем получению числовых данных уровня риска) происходит привязка выявленных угроз и уязвимостей к конкретным компонентам ИТ-инфраструктуры (такая привязка может подразумевать, к примеру, анализ риска с учетом и без учета наличия средств защиты системы, вероятности того, что система будет скомпрометирована ввиду неучтенных факторов и т.д.). Давайте рассмотрим процесс моделирования рисков пошагово. Для этого прежде всего обратим внимание на активы компании.

Инвентаризация активов компании
(SYSTEM CHARACTERIZATION)

Прежде всего, необходимо определить, что является ценным активом компании с точки зрения информационной безопасности. Стандарт ISO 17799, подробно описывающий процедуры системы управления ИБ, выделяет следующие виды активов:
. информационные ресурсы (базы и файлы данных, контракты и соглашения, системная документация, научно-исследовательская информация, документация, обучающие материалы и пр.);
. программное обеспечение;
. материальные активы (компьютерное оборудование, средства телекоммуникаций и пр.);
. сервисы (сервисы телекоммуникаций, системы обеспечения жизнедеятельности и др.);
. сотрудники компании, их квалификация и опыт;
. нематериальные ресурсы (репутация и имидж компании).

Следует определить, нарушение информационной безопасности каких активов может нанести ущерб компании. В этом случае актив будет считаться ценным, и его необходимо будет учитывать при анализе информационных рисков. Инвентаризация заключается в составлении перечня ценных активов компании. Как правило, данный процесс выполняют владельцы активов. Понятие "владелец" определяет лиц или стороны, которые имеют утвержденные руководством компании обязанности по управлению созданием, разработкой, поддержанием, использованием и защитой активов.

В процессе категорирования активов необходимо оценить критичность активов для бизнес-процессов компании или, другими словами, определить, какой ущерб понесет компания в случае нарушения информационной безопасности активов. Данный процесс вызывает наибольшую сложность, т.к. ценность активов определяется на основе экспертных оценок их владельцев. В процессе данного этапа часто проводятся обсуждения между консультантами по разработке системы управления и владельцами активов. Это помогает владельцам активов понять, каким образом следует определять ценность активов с точки зрения информационной безопасности (как правило, процесс определения критичности активов является для владельца новым и нетривиальным). Кроме этого, для владельцев активов разрабатываются различные методики оценки. В частности, такие методики могут содержать конкретные критерии (актуальные для данной компании), которые следует учитывать при оценке критичности.

Оценка критичности активов

Оценка критичности активов выполняется по трем параметрам: конфиденциальности, целостности и доступности. Т.е. следует оценить ущерб, который понесет компания при нарушении конфиденциальности, целостности или доступности активов. Оценку критичности активов можно выполнять в денежных единицах и в уровнях. Однако, учитывая тот факт, что для анализа информационных рисков необходимы значения в денежных единицах, в случае оценки критичности активов в уровнях следует определить оценку каждого уровня в деньгах.

Согласно авторитетной классификации NIST, включенной в RISK MANAGEMENT GUIDE FOR THE INFORMATION TECHNOLOGY SYSTEMS, категорированию и оценке угроз предшествует непосредственная идентификация их источников. Так, согласно вышеупомянутой классификации, можно выделить основные источники угроз, среди которых:
. угрозы природного происхождения (землетрясения, наводнения и т.п.);
. угрозы, исходящие от человека (неавторизованный доступ, сетевые атаки, ошибки пользователей и т.п.);
. угрозы техногенного происхождения (аварии различного рода, отключение электроснабжения, химическое загрязнение и т.п.).

Вышеописанная классификация может быть далее категорирована более подробно.
Так, к самостоятельным категориям источников угроз, происходящих от человека, согласно упомянутой классификации NIST относятся:
- хакеры;
- криминальные структуры;
- террористы;
- компании, занимающиеся промышленным шпионажем;
- инсайдеры.
Каждая из перечисленных угроз, в свою очередь, должна быть детализирована и оценена по шкале значимости (например: низкий, средний, высокий).

Очевидно, что анализ угроз должен рассматриваться в тесной связи с уязвимостями исследуемой нами системы. Задачей данного этапа управления рисками является составление перечня возможных уязвимостей системы и категорирование этих уязвимостей с учетом их "силы". Так, согласно общемировой практике, градацию уязвимостей можно разбить по уровням: Критический, Высокий, Средний, Низкий. Рассмотрим эти уровни более подробно:

1. Критический уровень опасности. К этому уровню опасности относятся уязвимости, которые позволяют осуществить удаленную компрометацию системы без дополнительного воздействия целевого пользователя и активно эксплуатируются в настоящее время. Данный уровень опасности подразумевает, что эксплойт находится в публичном доступе.

2. Высокая степень опасности. К этому уровню опасности относятся уязвимости, которые позволяют осуществить удаленную компрометацию системы. Как правило, для подобных уязвимостей не существует эксплойта в публичном доступе.

3. Средняя степень опасности. К этому уровню опасности относятся уязвимости, которые позволяют провести удаленный отказ в обслуживании, неавторизованный доступ к данным или выполнение произвольного кода при непосредственном взаимодействии с пользователем (например, через подключение к злонамеренному серверу уязвимым приложением).

4. Низкий уровень опасности. К этому уровню относятся все уязвимости, эксплуатируемые локально, а также уязвимости, эксплуатация которых затруднена или которые имеют минимальное воздействие (например, XSS, отказ в обслуживании клиентского приложения).

Источником составления такого перечня/списка уязвимостей должны стать:
. общедоступные регулярно публикуемые списки уязвимостей (как пример: www.securitylab.ru);
. список уязвимостей публикуемых производителем ПО (как пример: www.apache.org);
. результаты тестов на проникновение (как пример: www.site-sec.com);
. анализ отчетов сканеров уязвимостей (проводится администратором безопасности внутри компании).

В общем случае уязвимости можно классифицировать следующим образом:
. Уязвимости ОС и ПО (ошибки кода), обнаруженные производителем или независимыми экспертами (на момент написания статьи общее количество обнаруженных уязвимостей достигло отметки около ~1900 - сюда вошли уязвимости, опубликованные в "багтреках" на xakep.ru, securitylab, milw0rm.com и securityfocus.com).
. Уязвимости системы, связанные с ошибками в администрировании (неадекватные окружению настройки web-сервера или PHP, не закрытые межсетевым экраном порты с уязвимыми сервисами и т.п.).
. Уязвимости, источниками которых могут стать инциденты, не предусмотренные политикой безопасности, а также события стихийного характера. В качестве яркого примера распространенной уязвимости ОС и ПО можно привести переполнение буфера (buffer overflow). К слову будь сказано, абсолютное большинство из ныне существующих эксплойтов реализуют класс уязвимостей на переполнение буфера.

Численные методы оценки рисков

Простейшая оценка информационных рисков заключается в расчете рисков, который выполняется с учетом сведений о критичности активов, а также вероятностей реализации уязвимостей.
Классическая формула оценки рисков:
R=D*P(V), где R - информационный риск;
D - критичность актива (ущерб);
P(V) - вероятность реализации уязвимости.
Одним из примеров практической реализации вышеописанного подхода к определению уровней риска является матрица рисков, предложенная NIST.

Threat Likelihood-угроза (ее вероятность) Impact-ущерб
Low (низкий) - 10 Medium (средний) -50 High (высокий) -100
High (высокая) - 1 Low (низкий) 10x1=10 Medium (средний) 50x1=50 High (высокий) 100x1=100
Medium (средняя) - 0.5 Low (низкий) 10x0.5=5 Medium (средний) 50x0.5=25 Medium (средний) 100x0.5=50
Low (низкая) - 0.1 Low (низкий) 10x0.1=1 Low (низкий) 50x0.1=5 Low (низкий) 100x0.1=10
Уровень риска: Высокий (от 50 до 100); Средний (от 10 до 50); Низкий (от 1 до 10).

Каждый из возможных входных параметров (к примеру, уязвимость, угроза, актив и ущерб) описывается своей функцией принадлежности с учетом соответствующего коэффициента.

Оценка рисков на основе нечеткой логики

Механизмы оценки рисков на основе нечеткой логики включает в себя последовательность этапов, в каждом из которых используются результаты предыдущего этапа. Последовательность этих этапов обычно следующая:
. Ввод правил программирования в виде продукционных правил ("ЕСЛИ,… ТО"), отражающих взаимосвязь уровня входных данных и уровня риска на выходе.
. Задание функции принадлежности входных переменных (как пример - с помощью специализированных программ вроде "Fuzyy logic" - в данном примере мы использовали MatLab).
. Получение первичного результата оценок входных переменных.
. Фазификация оценок входных переменных (нахождение конкретных значений функций принадлежности).
. Агрегирование (подразумевает проверку истинности условий путем преобразований функций принадлежности через нечеткую конъюнкцию и нечеткую дизъюнкцию).
. Активизация заключений (нахождение весовых коэффициентов по каждому из правил и функций истинности).
. Аккумуляция заключений (нахождение функции принадлежности для каждой из выходных переменных).
. Дефазификация (нахождение четких значений выходных переменных).

Так, в вышеприведенном примере (таблица 1.1.) фактически был рассмотрен двухпараметрический алгоритм оценки риска с трехуровневыми шкалами входных параметров. При этом:
. для входных величин и риска были заданы трехуровневые шкалы, на которых определены нечеткие термы (соответствует "большому", "среднему" и "низкому" значениям переменных - см. рис. 1);
. значимость всех логических правил вывода одинакова (все весовые коэффициенты продукционных правил равны единице).

Рис. 1. Трапециевидные функции принадлежности трехуровневой шкалы "уязвимости"

Очевидно, что двухпараметрический алгоритм, предусматривающий ввод двух входных переменных не может обеспечить получение объективного результата анализа риска, особенно с учетом множества факторов - входных переменных, которые, к слову, отражают реальную картину оценки риска ИБ.

Четырехпараметрический алгоритм

Предположим, что с помощью продукционных правил нечеткой логики необходимо воспроизвести механизм вывода с учетом четырех входных переменных. Такими переменными в данном случае являются:
. активы;
. уязвимость;
. угроза (а точнее, ее вероятность);
. ущерб.

Каждый из перечисленных входных переменных оценивается по своей шкале. Так, предположим, что на основе предварительного анализа были получены некоторые оценки входных переменных (рис. 2.):

Рис. 2. Ввод оценок переменных и механизм вывода

На простейшем примере рассмотрим вид продукционных правил для некоторого случая с трехуровневой шкалой:

Рис. 3. Продукционные правила четырехпараметрического алгоритма

Графический интерфейс Fuzzy Logic Toolbox в данном случае позволяет просматривать графики зависимости риска от вероятности угрозы и соответственно других входных переменных.

Рис.4. Зависимость риска от вероятности угрозы

Рис. 5. Зависимость риска от ущерба

Гладкий и монотонный график зависимости "кривой вывода" свидетельствует о достаточности и непротиворечивости используемых правил вывода. Наглядное графическое представление позволяет оценить адекватность свойств механизма вывода предъявляемым требованиям. В данном случае "кривая вывода" свидетельствует о том, что механизм вывода целесообразно использовать только в области низких значений вероятности, т.е. при вероятности меньше 0,5. Чем же можно объяснить такой "завал" в значениях при вероятности больше 0,5? Вероятно, тем, что применение трехуровневой шкалы, как правило, отражается на чувствительности алгоритма в области высоких значений вероятности.

Обзор некоторых Инструментальных средств анализа рисков с учетом множества факторов

При выполнении полного анализа рисков с учетом множества факторов приходится решать ряд сложных проблем:
. Как определить ценность ресурсов?
. Как составить полный список угроз ИБ и оценить их параметры?
. Как правильно выбрать контрмеры и оценить их эффективность?
Для решения этих проблем существуют специально разработанные инструментальные средства, построенные с использованием структурных методов системного анализа и проектирования (SSADM - Structured Systems Analysis and Design), которые обеспечивают:
- построение модели ИС с точки зрения ИБ;
- методы для оценки ценности ресурсов;
- инструментарий для составления списка угроз и оценки их вероятностей;
- выбор контрмер и анализ их эффективности;
- анализ вариантов построения защиты;
- документирование (генерацию отчетов).
В настоящее время на рынке присутствует несколько программных продуктов этого класса. Наиболее популярный из них - CRAMM. Кратко рассмотрим его ниже.

Метод CRAMM

В 1985 году Центральное агентство по компьютерам и телекоммуникациям (CCTA) Великобритании начало исследования существующих методов анализа ИБ для того, чтобы рекомендовать методы, пригодные для использования в правительственных учреждениях, занятых обработкой несекретной, но критичной информации. Ни один из рассмотренных методов не подошел. Поэтому был разработан новый метод, соответствующий требованиям CCTA. Он получил название CRAMM - Метод CCTA Анализа и Контроля Рисков. Затем появилось несколько версий метода, ориентированных на требования Министерства обороны, гражданских государственных учреждений, финансовых структур, частных организаций. Одна из версий - "коммерческий профиль" - является коммерческим продуктом. В настоящее время CRAMM является, судя по числу ссылок в интернет, самым распространенным методом анализа и контроля рисков. Анализ рисков включает в себя идентификацию и вычисление уровней (мер) рисков на основе оценок, присвоенных ресурсам, угрозам и уязвимостям ресурсов. Контроль рисков состоит в идентификации и выборе контрмер, позволяющих снизить риски до приемлемого уровня. Формальный метод, основанный на этой концепции, должен позволить убедиться, что защита охватывает всю систему, и существует уверенность в том, что:

Все возможные риски идентифицированы;
. уязвимости ресурсов идентифицированы, и их уровни оценены;
. угрозы идентифицированы, и их уровни оценены;
. контрмеры эффективны;
. расходы, связанные с ИБ, оправданы.

Олег Бойцев, руководитель "Cerber Security//Анализ Безопасности Вашего Сайта"

Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже

Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.

Подобные документы

    Природа банковской деятельности. Понятие и причины возникновения банковских рисков. Характеристика основных банковских рисков. Основные методы минимизации банковских расходов. Анализ минимизации банковских рисков на примере АО "Народный Банк Казахстана".

    курсовая работа , добавлен 06.12.2008

    Понятие системных рисков в банковской сфере, критерии их идентификации и оценка. Основные классификационные признаки группирования банковских рисков. Влияние системных рисков на стабильность, устойчивость, надежность и равновесие банковской сферы.

    реферат , добавлен 22.02.2017

    Проблемы оценки и снижения рисков в деятельности коммерческих банков. Внедрение скоринг-модели оценки кредитоспособности клиентов банка. Увеличение ресурсов за счет создания нового депозита "Успех". Выдача кредитов под обеспечение ценными бумагами.

    дипломная работа , добавлен 21.01.2015

    Методологические основы построения системы обеспечения информационной безопасности кредитных организаций. Анализ и определение угроз защищаемым ресурсам. Метод анализа угроз информационной безопасности центра обработки данных ОАО "Волга-кредит банк".

    дипломная работа , добавлен 07.05.2014

    Функции и состав собственных и привлеченных средств кредитной организации. Изучение ресурсной базы российских коммерческих банков. Анализ собственного капитала, вкладов, долговых обязательств ЗАО "ЮниКредит Банк". Проблемы привлечения финансовых ресурсов.

    курсовая работа , добавлен 20.02.2013

    Риски в банковской деятельности. Уровень банковских рисков. Классификация рисков в банковском деле. Система оптимизации банковских рисков. Банковская система России - основные тенденции и перспективы развития.

    реферат , добавлен 28.09.2006

    Характеристика банка АО "ЮниКредит Банк". Структура и динамика активов и пассивов баланса. Факторный анализ процентных доходов и расходов от операций с ценными бумагами. Анализ платежеспособности, финансовой устойчивости банка и перспектив его развития.

    курсовая работа , добавлен 21.03.2016

Информационные риски - это опасность возникновения убытков или ущерба в результате применения компанией информационных технологий.

Иными словами, IT-риски связаны с созданием, передачей, хранением и использованием информации с помощью электронных носителей и иных средств связи. риски делятся на две категории:

  • ? риски, вызванные утечкой информации и использованием ее конкурентами или сотрудниками в целях, которые могут повредить бизнесу;
  • ? риски технических сбоев работы каналов передачи информации, которые могут привести к убыткам.

Работа по минимизации IT-рисков заключается в предупреждении несанкционированного доступа к данным, а также аварий и сбоев оборудования.

Процесс минимизации IT-рисков рассматривается комплексно: сначала выявляются возможные проблемы, а затем определяется, какими способами их можно решить.

Сейчас используются различные методы оценки информационных рисков отечественных компаний и управления ими.

Оценка информационных рисков компании может быть выполнена в соответствии со следующим планом:

  • ? идентификация и количественная оценка информационных ресурсов компании, значимых для бизнеса;
  • ? оценивание возможных угроз;
  • ? оценивание существующих уязвимостей;
  • ? оценивание эффективности средств обеспечения информационной безопасности.

Риски характеризуют опасность, которая может угрожать компонентам корпоративной информационной системы.

Информационные риски компании зависят от:

  • ? показателей ценности информационных ресурсов;
  • ? вероятности реализации угроз для ресурсов;
  • ? эффективности существующих или планируемых средств обеспечения информационной безопасности.

Цель оценивания рисков состоит в определении характеристик рисков корпоративной информационной системы и ее ресурсов.

После оценки рисков можно выбрать средства, обеспечивающие желаемый уровень информационной безопасности компании. При оценивании рисков учитываются такие факторы, как ценность ресурсов, значимость угроз и уязвимостей, эффективность имеющихся и планируемых средств защиты.

Возможность реализации угрозы для некоторого ресурса компании оценивается вероятностью ее реализации в течение заданного отрезка времени. При этом вероятность того, что угроза реализуется, определяется следующими основными факторами:

  • ? привлекательностью ресурса (учитывается при рассмотрении угрозы от умышленного воздействия со стороны человека);
  • ? возможностью использования ресурса для получения дохода (также в случае угрозы от умышленного воздействия со стороны человека);
  • ? техническими возможностями реализации угрозы при умышленном воздействии со стороны человека;
  • ? степенью легкости, с которой уязвимость может быть использована.

В России в настоящее время чаще всего используются разнообразные "бумажные" методики, достоинствами которых являются гибкость и адаптивность. Как правило, разработкой данных методик занимаются компании - системные и специализированные интеграторы в области защиты информации.

Специализированное ПО, реализующее методики анализа рисков, может относиться к категории программных продуктов (имеется на рынке) либо являться собственностью ведомства или организации и не продаваться.

Если ПО разрабатывается как программный продукт, оно должно быть в достаточной степени универсальным. Ведомственные варианты ПО адаптированы под особенности постановок задач анализа и управления рисками и позволяют учесть специфику информационных технологий организации.

Предлагаемое на рынке ПО ориентировано в основном на уровень информационной безопасности, несколько превышающий базовый уровень защищенности. Таким образом, инструментарий рассчитан в основном на потребности организаций 3-4 степени зрелости, описанных в первой главе.

Для решения данной задачи были разработаны программные комплексы анализа и контроля информационных рисков: CRAMM, FRAP, RiskWatch, Microsoft, ГРИФ. Ниже приведены краткие описания ряда распространенных методик анализа рисков.

Распространенные методики анализа рисков:

  • ? методики, использующие оценку риска на качественном уровне (например, по шкале "высокий", "средний", "низкий"). К таким методикам, в частности, относится FRAP;
  • ? количественные методики (риск оценивается через числовое значение, например размер ожидаемых годовых потерь). К этому классу относится методика RiskWatch;
  • ? методики, использующие смешанные оценки (такой подход используется в CRAMM, методике Microsoft и т.д.).

Методика CRAMM одна из первых зарубежных работ по анализу рисков в сфере информационной безопасности, разработанная в 80-х гг.

Ее основу составляет комплексный подход к оценке рисков, сочетающий количественные и качественные методы анализа. Метод является универсальным и подходит как для крупных, так и для малых организаций, как правительственного, так и коммерческого сектора. Версии программного обеспечения CRAMM, ориентированные на разные типы организаций, отличаются друг от друга своими базами знаний (профили):

  • ? коммерческий профиль;
  • ? правительственный профиль.

При работе методики на первых этапах учитывается ценность ресурсов исследуемой системы, собираются первичные сведения о конфигурации системы. Проводится идентификация ресурсов: физических, программных и информационных, содержащихся внутри границ системы.

Результатом этого этапа является построение модели системы, с деревом связи ресурсов. Эта схема позволяет выделить критичные элементы. Ценность физических ресурсов в CRAMM определяется стоимостью их восстановления в случае разрушения.

Ценность данных и программного обеспечения определяется в следующих ситуациях:

  • ? недоступность ресурса в течение определенного периода времени;
  • ? разрушение ресурса - потеря информации, полученной со времени последнего резервного копирования, или ее полное разрушение;
  • ? нарушение конфиденциальности в случаях несанкционированного доступа штатных сотрудников или посторонних лиц;
  • ? модификация - рассматривается для случаев мелких ошибок персонала (ошибки ввода), программных ошибок, преднамеренных ошибок;
  • ? ошибки, связанные с передачей информации: отказ от доставки, недоставка информации, доставка по неверному адресу.
  • ? ущерб репутации организации;
  • ? нарушение действующего законодательства;
  • ? ущерб для здоровья персонала;
  • ? ущерб, при разглашении персональных данных отдельных лиц;
  • ? финансовые потери от разглашения информации;
  • ? финансовые потери, связанные с восстановлением ресурсов;
  • ? потери, связанные с невозможностью выполнения обязательств;
  • ? дезорганизация деятельности.

На второй стадии рассматривается все, что относится к идентификации и оценке уровней угроз для групп ресурсов и их уязвимостей. В конце стадии заказчик получает идентифицированные и оцененные уровни рисков для своей системы. На этой стадии оцениваются зависимость пользовательских сервисов от определенных групп ресурсов и существующий уровень угроз и уязвимостей, вычисляются уровни рисков и анализируются результаты.

Ресурсы группируются по типам угроз и уязвимостей. Программное обеспечение CRAMM для каждой группы ресурсов и каждого из 36 типов угроз генерирует список вопросов, допускающих однозначный ответ.

Уровень угроз оценивается, в зависимости от ответов, как очень высокий, высокий, средний, низкий и очень низкий. Уровень уязвимости оценивается, в зависимости от ответов, как высокий, средний и низкий.

На основе этой информации рассчитываются уровни рисков в дискретной шкале с градациями от 1 до 7. Полученные уровни угроз, уязвимостей и рисков анализируются и согласовываются с заказчиком.

Основной подход, для решения этой проблемы состоит в рассмотрении:

  • ? уровня угрозы;
  • ? уровня уязвимости;
  • ? размера ожидаемых финансовых потерь.

Исходя из оценок стоимости ресурсов защищаемой ИС, оценок угроз и уязвимостей, определяются "ожидаемые годовые потери".

Третья стадия исследования поиск варианта системы безопасности, наилучшим образом удовлетворяющей требованиям заказчика.

На этой стадии CRAMM генерирует несколько вариантов мер противодействия, адекватных выявленным рискам и их уровням.

Таким образом, CRAMM - пример методики расчета, при которой первоначальные оценки даются на качественном уровне, и потом производится переход к количественной оценке (в баллах).

Работа по методике CRAMM осуществляется в три этапа, каждый из которых преследует свою цель в построении модели рисков информационной системы в целом. Рассматриваются угрозы системы для конкретных ее ресурсов. Проводится анализ как программного, так и технического состояния системы на каждом шаге, построив дерево зависимостей в системе, можно увидеть ее слабые места и предупредить потерю информации в результате краха системы, как из за вирусной атаки, так и при хакерских угрозах.

Недостатки метода CRAMM:

  • ? использование метода CRAMM требует специальной подготовки и высокой квалификации аудитора;
  • ? CRAMM в гораздо большей степени подходит для аудита уже существующих ИС, находящихся на стадии эксплуатации, нежели чем для ИС, находящихся на стадии разработки;
  • ? аудит по методу CRAMM - процесс достаточно трудоемкий и может потребовать месяцев непрерывной работы аудитора;
  • ? программный инструментарий CRAMM генерирует большое количество бумажной документации, которая не всегда оказывается полезной на практике;
  • ? CRAMM не позволяет создавать собственные шаблоны отчетов или модифицировать имеющиеся;
  • ? возможность внесения дополнений в базу знаний CRAMM не доступна пользователям, что вызывает определенные трудности при адаптации этого метода к потребностям конкретной организации;
  • ? программное обеспечение CRAMM существует только на английском языке;
  • ? высокая стоимость лицензии.


Рекомендуем другие статьи
Как праздновать летнее солнцестояние Эммануэль Дагер: Исцеляющее солнцестояние
Как праздновать летнее солнцестояние Эммануэль Дагер: Исцеляющее солнцестояние
Программирование микроконтроллеров AVR для начинающих Программирование контроллеров avr для начинающих
Программирование микроконтроллеров AVR для начинающих Программирование контроллеров avr для начинающих
Завис планшет - что делать?
Завис планшет - что делать?