Обзор существующих методов оценки рисков и управления  информационной безопасностью

Поликарпов А.К, аспирант ИСА РАН

 

Инструментальные средства анализа рисков позволяют автоматизировать работу специалистов в области защиты информации, осуществляющих оценку информационных рисков предприятия.

В России в настоящее время чаще всего используются разнообразные "бумажные" методики, достоинствами которых является гибкость и адаптивность. Как правило, разработкой данных методик занимаются компании — системные и специализированные интеграторы в области защиты информации. По понятным причинам методики обычно не публикуются, поскольку относятся к "Know how" компании. В силу закрытости данных методик судить об их качестве, объективности и возможностях достаточно сложно.

Специализированное ПО, реализующее методики анализа рисков, может относиться к категории программных продуктов (продается на рынке) либо являться собственностью ведомства или организации и не продаваться. Если ПО разрабатывается как программный продукт, оно должно быть в достаточной степени универсальным. Ведомственные варианты ПО адаптированы под особенности постановок задач анализа и управления рисками, и позволяют учесть специфику информационных технологий организации.

Предлагаемое на рынке ПО ориентировано в основном на уровень информационной безопасности, несколько превышающий базовый уровень защищенности. Таким образом, инструментарий рассчитан в основном на потребности организаций 3-4 степени зрелости.

В 2000 году был принят международный стандарт ISO 17799, за основу которого был взят Британский стандарт BS 7799. В результате большинство инструментальных средств (ПО анализа и управления рисками) было в последнее время модифицировано таким образом, чтобы обеспечить соответствие требованиям этого стандарта.

В обзоре ПО условно разделено на 2 группы:

Надо учитывать, что это разделение весьма условно, поскольку инструментарий базового уровня зачастую содержит дополнительные возможности, относящиеся к полному анализу рисков.

Инструментарий базового уровня

Вначале рассмотрим инструментарий, соответствующий ISO17799:

Справочные и методические материалы

Ряд Британских фирм [1] предлагает следующие продукты:

Эти продукты представляют собой справочники, посвященные практическим аспектам реализации политики безопасности в соответствии с ISO17799, вид справочника приводится на Рис.1.

Рис. 1. Справочник 'ONLINE' SECURITY POLICIES AND SUPPORT

 

Эти методические материалы детализируют требования ISO17799 и выполнены в стиле этого стандарта. Достоинством является гипертекстовая структура, удобная навигация.

Еще один продукт подобного рода — "THE ISO17799 TOOLKIT".

COBRA

ПО COBRA [1], производитель — C & A Systems Security Ltd., позволяет формализовать и ускорить процесс проверки на соответствие режима информационной безопасности требованиям Британского стандарта BS 7799 (ISO 17799) и провести анализ рисков. Имеется несколько баз знаний: общие требования BS 7799 (ISO 17799) и специализированные базы, ориентированные на различные области применения. Доступна Evaluation version этого ПО.

COBRA позволяет представить требования стандарта в виде тематических "вопросников" по отдельным аспектам деятельности организации, пример приводится на Рис.2.

Рис. 2. Анализ рисков с использованием ПО "Cobra"

 

Анализ рисков, выполняемый данным методом, соответствует базовому уровню безопасности, т.е. уровни рисков не определяются. Достоинством методики является простота. Необходимо ответить на несколько десятков вопросов, затем автоматически формируется отчет.

Этот программный продукт может использоваться при проведении аудита ИБ или для работы специалистов служб, отвечающих за обеспечение информационной безопасности.

Простота, соответствие международному стандарту, сравнительно небольшое число вопросов, позволяют легко адаптировать этот метод для работы в отечественных условиях.

RA Software Tool

Еще один метод, условно относящийся к базовому уровню — RA Software Tool [2], базируется на британском стандарте BS 7799 часть 1 и 2, методических материалах британского института стандартов (BSI) PD 3002 (Руководство по оценке и управлению рисками), PD 3003 (Оценка готовности компании к аудиту в соответствии с BS 7799) , PD 3005 (Руководство по выбору системы защиты), а также стандарт ISO 13335 часть 3 и 4 (Руководство по управлению режимом информационной безопасности, технологии управления безопасностью и выбор средств защиты). Основные модули этого метода показаны на Рис 3.

Рис. 3. Основные модули RA Software Tool

 

Этот инструментарий позволяет выполнять оценку рисков (модули 4 и 5) как в соответствии с требованиями базового уровня, так и в соответствии с более детальными спецификациями PD 3002 Британского института стандартов. Каждый из модулей разбивается, в свою очередь, на ряд шагов Рис. 4.

Рис. 4. Детальная оценка рисков в RA Software Tool, основные шаги

 

Демонстрационная версия данного метода, отличается от полной версии небольшими купюрами, и может быть полезна при разработке собственных методик и инструментария для анализа и управления рисками.

Инструментарий для обеспечения повышенного уровня безопасности

Рассмотрим несколько методов, которые можно отнести к инструментарию для нужд организаций четвертого и пятого уровней зрелости.

Как уже отмечалось, четко провести границу между методами базового и полного анализа рисков сложно, примером является рассмотренный выше RA Software Tool, имеющий ряд простейших средств, которые позволяют формально отнести его к средствам полного анализа рисков. Ниже рассматривается инструментарий с более развитыми средствами анализа и управления рисками.

ПО компании MethodWare

Компания MethodWare выпускает ряд продуктов, которые могут использоваться аналитиками в области информационной безопасности при проведении анализа рисков, управлении рисками, аудите информационной безопасности. Это:

Risk Advisor

Это ПО позиционируется как инструментарий аналитика или менеджера в области информационной безопасности. Реализована методика, позволяющая задать модель информационной системы с позиции информационной безопасности, идентифицировать риски, угрозы, потери в результате инцидентов.

Рис. 5. Основные этапы в методе Risk Advisor

 

 

Основные этапы работы:

Описание контекста

На этапе описания контекста описывается модель взаимодействия организации с внешним миром в нескольких аспектах: стратегическом, организационном, бизнес-цели, управление рисками, критерии.

Стратегический аспект описывает сильные и слабые стороны организации с внешних позиций, варианты развития, классы угроз и отношения с партнерами.

Организационный контекст описывает отношения внутри организации: стратегию, цели на организационном уровне, внутреннюю политику.

Контекст управления рисками описывает концепцию информационной безопасности.

Контекст бизнес-целей — основные бизнес-цели.

Критерии оценки — критерии оценки, используемые при управлении рисками.

Описание рисков

Задается матрица рисков (Рис. 6), в результате риски будут описаны в соответствии с определенным шаблоном и заданы связи этих рисков с другими элементами модели.

Рис. 6. Идентификация и определение рисков в Risk Advisor

 

Риски оцениваются по качественной шкале и разделяются на приемлемые и неприемлемые Рис.7 на основе простейшей модели.

Рис. 7. Разделение рисков на приемлемые и неприемлемые в Risk Advisor.

 

Затем выбираются управляющие воздействия (контрмеры) с учетом зафиксированной ранее системы критериев, эффективности контрмер и их стоимости. Стоимость и эффективность также оцениваются в качественных шкалах.

Описание угроз

В начале формируется список угроз. Угрозы определенным образом классифицируются, затем описывается связь между рисками и угрозами. Описание также делается на качественном уровне и позволяет зафиксировать их взаимосвязи.

Описание потерь

Описываются события (последствия), связанные с нарушением режима информационной безопасности. Потери оцениваются в выбранной системе критериев.

Анализ результатов

В результате построения модели можно сформировать подробный отчет (около100 разделов), посмотреть на экране агрегированные описания в виде графа рисков Рис. 8.

 

Рис. 8. Анализ результатов в Risk Advisor
 
Оценка возможностей метода Risk Advisor

Данный инструмент позволяет документировать всевозможные аспекты, связанные с управлением риском, на верхних уровнях — административном и организационном. Программно-технические аспекты описывать в данной модели не очень удобно. Оценки даются в качественных шкалах, подробного анализа факторов рисков не предусмотрено.

Сильной стороной данного метода является возможность описания разноплановых взаимосвязей, адекватного учета многих факторов риска.

RiskWatch

Компания RiskWatch [3] предлагает два продукта: один в области информационной безопасности, второй в области физической безопасности. ПО предназначено для идентификации и оценки защищаемых ресурсов, угроз, уязвимостей и мер защиты в сфере компьютерной и "физической" безопасности предприятия.

В продукте, предназначенном для управления рисками в информационных системах, учитываются требования стандартов США (можно выбирать требуемый уровень защищенности). Кроме того, выпущена версия продукта RiskWatch RW17799╝, соответствующая стандарту ISO 17799.

RiskWatch помогает провести анализ рисков и сделать обоснованный выбор мер и средств защиты. Используемая в программе методика включает в себя 4 фазы.

1.      Первая фаза — определение предмета исследования. На данном этапе описываются параметры организации — тип организации, состав исследуемой системы, базовые требования в области безопасности (Рис. 9). Описание формализуется в ряде подпунктов, которые можно выбрать для более подробного описания (Рис. 10) или пропустить.

Рис. 9. Описание информационной системы с позиции безопасности в RiskWatch

 

 

Далее каждый из выбранных пунктов описывается подробно.

Для облегчения работы аналитика в шаблонах даются списки категорий защищаемых ресурсов, потерь, угроз, уязвимостей и мер защиты. Из них нужно выбрать те, что реально присутствуют в организации.

На Рис. 10 приводится пример описания различных категорий ресурсов.

Рис. 10. Описание ресурсов информационной системы

 

Допускается модификация названий, описаний, а также добавление новых категорий. Это позволяет достаточно просто русифицировать данный метод.

2.      Вторая фаза — ввод данных, описывающих конкретные характеристики системы. Данные могут вводиться вручную или импортироваться из отчетов, созданных инструментальными средствами исследования уязвимости компьютерных сетей.

На этом этапе:

Рис. 11. Оценка параметров угроз с использованием статистических данных

 

3.      Третья фаза — оценка рисков. Сначала устанавливаются связи между ресурсами, потерями, угрозами и уязвимостями, выделенными на предыдущих этапах.

Для рисков рассчитываются математические ожидания потерь за год по формуле: m=p * v

где p — частота возникновения угрозы в течении года, v — стоимость ресурса, который подвергается угрозе.

Например, если стоимость сервера $150000, а вероятность того, что он будет уничтожен пожаром в течение года равна 0.01, то ожидаемые потери составят $1500.

Дополнительно рассматриваются сценарии "что если...", которые позволяют описать аналогичные ситуации при условии внедрения средств защиты. Сравнивая ожидаемые потери при условии внедрения защитных мер и без них можно оценить эффект от таких мероприятий.

Рис. 12. Содержание третьей стадии в RiskWatch

 

  1. Четвертая фаза — генерация отчетов (Рис.12). Типы отчетов:

Рис. 13. Фрагмент отчета

 

 

Возможности RiskWatch

В RiskWatch используется упрощенный подход, как к описанию модели информационной системы, так и оценке рисков.

Трудоемкость работ по анализу рисков с использованием этого метода сравнительно невелика. Такой метод подходит, если требуется провести анализ рисков на программно-техническом уровне защиты, без учета организационных и административных факторов. Однако надо учитывать, что полученные оценки рисков (математическое ожидание потерь) далеко не исчерпывает понимание риска с системных позиций.

Существенным достоинством RiskWatch с точки зрения отечественного потребителя является сравнительная простота, малая трудоемкость русификации и большая гибкость метода, обеспечиваемая возможностью введения новых категорий, описаний, вопросов и т.д. На основе этого метода отечественные разработчики могут создавать свои профили, учитывающие отечественные требования в области безопасности, разработать ведомственные методики анализа и управления рисками.

Рис. 14. Результирующие оценки по одной из угроз (кражи)

 

CRAMM

Метод анализа и управления рисками CRAMM, разработанный Британской правительственной организацией CCTA, в России в настоящее время используется несколькими компаниями — системными интеграторами.

Возможности версии CRAMM 3.2 были рассмотрены в [4]. Отличительными особенностями новой версии CRAMM 4.0 являются:

Эти отчеты необходимы при проведении аудита информационной безопасности в соответствии с BS 7799. Метод CRAMM в настоящее время является наиболее часто используемым ПО, если требуется провести аудит в соответствии с требованиями Британского стандарта BS 7799.

Добавлено много новых средств, повышающих гибкость метода. В частности, добавлен ряд настроек, позволяющих лучше адаптировать его к решению конкретной задачи (Рис.15).

Рис. 15. Дополнительные настройки в CRAMM 4.0: определение возможных последствий по типам угроз

 

Его достоинствами являются использование технологии оценки угроз и уязвимостей по косвенным факторам с возможностью верификации результатов, удобная система моделирования информационной системы с позиции безопасности, обширная база данных по контрмерам. Данный метод является самым "мощным" и самым трудоемким из рассмотренных в данном обзоре, он позволяет весьма детально оценить риски и различные варианты контрмер.

Недостаток с позиции отечественного потребителя — сложность русификации и большой объем выходных документов (сотни страниц). Аналитик обычно вынужден на основе полученных документов сам писать отчет для заказчика.

  1. The ISO 17799 Service & Software Directory
  2. RA Software Tool Демо-версия метода
  3.  Сайт компании RiskWatch
  4. С.В. Симонов -- Анализ рисков, управление рисками -- Jet Info, 1, 1999
Hosted by uCoz