Разработка модели оценки рисков информационной безопасности корпоративной сети
Методы оценивания информационных рисков, их характеристика и отличительные особенности, оценка преимуществ и недостатков. Разработка методики оценки рисков на примере методики Microsoft, модели оценки рисков по безопасности корпоративной информации.
Рубрика | Программирование, компьютеры и кибернетика |
Вид | дипломная работа |
Язык | русский |
Дата добавления | 02.08.2012 |
Размер файла | 207,4 K |
Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже
Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.
Размещено на http://www.allbest.ru/
Размещено на http://www.allbest.ru/
ВЫПУСКНАЯ КВАЛИФИКАЦИОННАЯ РАБОТА
РАЗРАБОТКА МОДЕЛИ ОЦЕНКИ РИСКОВ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ КОРПОРАТИВНОЙ СЕТИ
Введение
Новые информационные технологии бурными темпами внедряются во все сферы народного хозяйства любой страны. Появление локальных и глобальных сетей передачи данных предоставило пользователям компьютеров новые возможности оперативного обмена информацией. Если до недавнего времени подобные сети создавались только в специфических и узконаправленных целях (университетские сети, сети военных ведомств, спецслужб и т.д.), то развитие Интернета и аналогичных систем привело к использованию глобальных сетей передачи данных в повседневной жизни практически каждого человека. Корпоративная сеть - коммуникационная система, принадлежащая и / или управляемая единой организацией в соответствии с правилами этой организации.
Корпоративная сеть состоит из:
- серверного оборудования (серверы, сетевые хранилища, ИБП);
- коммуникационного оборудования (концентраторы, коммутаторы, маршрутизаторы);
- сетевое коммуникационное программное обеспечение для обработки информации;
- арендованный канал передачи данных по открытым сетям - Intrnet;
- устройства получения, обработки, хранения и передачи информации на основе современных средств, породили множество методов и способов несанкционированного доступа к ней, так и средств защиты этой информации. Средства защиты могут включать комплекс мер по пассивной защите и по активному противостоянию в результате НСД. Эти меры состоят из ряда аппаратных, программных, административно-режимных, правовых и физических мер по обнаружению и нейтрализации воздействия на циркулирующую информацию.
Основными требования к корпоративным сетям являются:
- надежность - надежность сети является одним из факторов, определяющих непрерывность деятельности организации;
- конвергенция - объединение нескольких, бывших ранее раздельными, услуг в рамках одной услуги. Например, Triple Play - объединение телефонии, интернета, телевидения в одном кабельном интернет-подключении.
- стабильность предоставляемой услуги - подключение нескольких операторов интернета, телефонии, на случай выхода одного из них из строя;
- производительность - рост числа узлов сети и объема обрабатываемых данных предъявляет постоянно возрастающие требования к пропускной способности используемых каналов связи и производительности устройств, образующих ИС;
- экономическая эффективность - рост масштаба и сложности корпоративных сетей заставляет заботиться об экономии средств, как на их создание, так и на эксплуатацию и модернизацию;
- информационная безопасность - хранение и обработка в сети конфиденциальной информации выводит информационную безопасность в число основных аспектов стабильности и безопасности бизнеса в целом.
Информационная безопасность предприятия - это защищенность информации, которой располагает предприятие (производит, передает или принимает) от несанкционированного доступа, разрушения, модификации, раскрытия и задержек при поступлении. Информационная безопасность включает в себя меры по защите процессов создания данных, их ввода, обработки и вывода. Целью комплексной информационной безопасности является сохранение информационной системы предприятия в целости и сохранности, защита и гарантирование полноты и точности выдаваемой ею информации, минимизация разрушений и модификация информации, если таковые случаются.
Проблемы, возникающие с безопасностью передачи информации при работе в компьютерных сетях, можно разделить на три основных типа:
– перехват информации - целостность информации сохраняется, но её конфиденциальность нарушена;
– модификация информации - исходное сообщение изменяется либо полностью подменяется другим и отсылается адресату;
– подмена авторства информации. Данная проблема может иметь серьёзные последствия. Например, кто-то может послать письмо от вашего имени (этот вид обмана принято называть спуфингом) или Web - сервер может притворяться электронным магазином, принимать заказы, номера кредитных карт, но не высылать никаких товаров [12,13].
Под информационной безопасностью мы будем понимать защищенность информации и поддерживающей инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, которые могут нанести неприемлемый ущерб субъектам информационных отношений, в том числе владельцам и пользователям информации и поддерживающей инфраструктуры. Защита информации - это комплекс мероприятий, направленных на обеспечение информационной безопасности.
Таким образом, правильный с методологической точки зрения подход к проблемам информационной безопасности начинается с выявления субъектов информационных отношений и интересов этих субъектов, связанных с использованием информационных систем (ИС). Угрозы информационной безопасности - это оборотная сторона использования информационных технологий. Из этого положения можно вывести два важных следствия:
– трактовка проблем, связанных с информационной безопасностью, для разных категорий субъектов может существенно различаться. Для иллюстрации достаточно сопоставить режимные государственные организации и учебные институты. В первом случае «пусть лучше все сломается, чем враг узнает хоть один секретный бит», во втором - «да нет у нас никаких секретов, лишь бы все работало».
– информационная безопасность не сводится только к защите от несанкционированного доступа к информации, это принципиально более обширное понятие. Субъект информационных отношений может пострадать (понести убытки и / или получить моральный ущерб) не только от несанкционированного доступа, но и от поломки системы, вызвавшей перерыв в работе. Более того, для многих открытых организаций (например, учебных) собственно защита от несанкционированного доступа к информации стоит по важности отнюдь не на первом месте.
Выборочная и бессистемная реализация мероприятий, направленных на повышение уровня IT-безопасности, не сможет обеспечить необходимого уровня защиты. Чтобы сформировать понимание приоритетности мероприятий по повышению уровня безопасности, необходимо разработать механизм управления рисками IT-безопасности, что позволит направить все усилия на защиту от наиболее опасных угроз и минимизацию затрат[25].
Проблема современных информационных систем при ведении бизнеса является обеспечение соответствующей безопасности передаваемой информации в пределах КС от подмены, изменения или утраты, как между сотрудниками, так и между средствами обработки. В случае предприятия - это как конфиденциальная, персональная и коммерческая тайна.
Актуальность и важность проблемы обеспечения информационной безопасности обусловлена следующими факторами:
- увеличение рисков информационной безопасности в связи с появлением новых и изощренных угроз для информационной безопасности;
- современные темпы и уровни развития средств информационной безопасности значительно отстают от темпов и уровней развития информационных технологий;
- быстрые темпы роста парка персональных компьютеров, применяемых в разнообразных сферах человеческой деятельности из-за увеличения обрабатываемой информации;
- резкое расширение сферы пользователей, имеющих непосредственный доступ к вычислительным ресурсам и массивам данных;
- доступность корпоративной информации через мобильные устройства (ноутбук, КПК, смартфон).
- доступность средств персональных ЭВМ, привела к распространению компьютерной грамотности в широких слоях населения. Это, в свою очередь, вызвало многочисленные попытки вмешательства в работу государственных и коммерческих систем, как со злым умыслом, так и из чисто «спортивного интереса»;
- значительное увеличение объемов информации, накапливаемой, хранимой и обрабатываемой с помощью компьютеров и других средств автоматизации. По оценкам специалистов в настоящее время около 70-90% интеллектуального капитала организации хранится в цифровом виде текстовых файлах, таблицах, базах данных;
- стремительное развитие информационных технологий, открыло новые возможности эффективной работы предприятия, однако привело и к появлению новых угроз. Современные программные продукты из-за конкуренции попадают в продажу с ошибками и недоработками. Разработчики, включая в свои изделия всевозможные функции, не успевая выполнить качественную проверку и отладку создаваемых программных систем. Ошибки и недоработки, оставшиеся в этих системах, приводят к случайным и преднамеренным нарушениям информационной безопасности[15].
Анализа рисков позволяет определить, какие мероприятия эффективны для минимизации и предотвращения рисков, а какие нет. На основе анализа эффективности можно корректировать понимание риска, его оценки и требуемых действий. Кроме того, анализ эффективности предоставит возможность увидеть минимизацию параметров уязвимости и ущерб для всех рисков, что в целом усилит режим IT-безопасности.
Например, причинами большинства случайных потерь информации являются отказы в работе программно-аппаратных средств, а большинство атак на компьютерные системы основаны на найденных ошибках и недоработках в программном обеспечении, реализованные через exploit коды;
- бурное развитие глобальной сети Интернет с ее бесплатными и палатными ресурсами, социальными сетями и проектами, практически не препятствующей нарушениям безопасности систем обработки информации во всем мире. Подобная глобализация позволяет злоумышленникам практически из любой точки земного шара, где есть Интернет, за тысячи километров, осуществлять нападение на корпоративную сеть;
- современные методы накопления, обработки и передачи информации способствовали появлению угроз, связанных с возможностью потери, искажения и раскрытия данных, адресованных или принадлежащих конечным пользователям;
- проблемы доступа удаленных офисов к головному офису предприятия, зачастую происходит через телефон или электронную почту;
- аренда предприятием части городской или части Интернет сети, для объединения отдаленных зданий, филиалов. Это в свою очередь ставит под угрозу сеть организации;
- человеческий фактор - инсайдерские угрозы и актуальная угроза сотруднику - социальная инженерия. Которая рассчитана на людей со слабой психикой или через обман, для получения нужной информации для проведения атаки на корпоративную сеть предприятия.
1. Проблемы безопасности современных корпоративных сетей
1.1 Методы оценивания информационных рисков
Информационные риски - это опасность возникновения убытков или ущерба в результате применения компанией информационных технологий. Иными словами, IT-риски связаны с созданием, передачей, хранением и использованием информации с помощью электронных носителей и иных средств связи. IT-риски можно разделить на две категории:
- риски, вызванные утечкой информации и использованием ее конкурентами или сотрудниками в целях, которые могут повредить бизнесу;
- риски технических сбоев работы каналов передачи информации, которые могут привести к убыткам.
Работа по минимизации IT-рисков заключается в предупреждении несанкционированного доступа к данным, а также аварий и сбоев оборудования. Процесс минимизации IT-рисков следует рассматривать комплексно: сначала выявляются возможные проблемы, а затем определяется, какими способами их можно решить.
В настоящее время используются различные методы оценки информационных рисков отечественных компаний и управления ими. Оценка информационных рисков компании может быть выполнена в соответствии со следующим планом:
- идентификация и количественная оценка информационных ресурсов компании, значимых для бизнеса;
- оценивание возможных угроз;
- оценивание существующих уязвимостей;
- оценивание эффективности средств обеспечения информационной безопасности.
Предполагается, что значимые для бизнеса уязвимые информационные ресурсы компании подвергаются риску, если по отношению к ним существуют какие-либо угрозы. Другими словами, риски характеризуют опасность, которая может угрожать компонентам корпоративной информационной системы. При этом информационные риски компании зависят от:
- показателей ценности информационных ресурсов;
- вероятности реализации угроз для ресурсов;
- эффективности существующих или планируемых средств обеспечения информационной безопасности.
Цель оценивания рисков состоит в определении характеристик рисков корпоративной информационной системы и ее ресурсов.
После оценки рисков можно выбрать средства, обеспечивающие желаемый уровень информационной безопасности компании. При оценивании рисков учитываются такие факторы, как ценность ресурсов, значимость угроз и уязвимостей, эффективность имеющихся и планируемых средств защиты[15].
Сами показатели ресурсов, значимости угроз и уязвимостей, эффективность средств защиты могут быть установлены как количественными методами (например, при нахождении стоимостных характеристик), так и качественными, скажем, с учетом штатных или чрезвычайно опасных нештатных воздействий внешней среды.
Возможность реализации угрозы для некоторого ресурса компании оценивается вероятностью ее реализации в течение заданного отрезка времени. При этом вероятность того, что угроза реализуется, определяется следующими основными факторами:
- привлекательностью ресурса (учитывается при рассмотрении угрозы от умышленного воздействия со стороны человека);
- возможностью использования ресурса для получения дохода (также в случае угрозы от умышленного воздействия со стороны человека);
- техническими возможностями реализации угрозы при умышленном воздействии со стороны человека;
- степенью легкости, с которой уязвимость может быть использована.
В России в настоящее время чаще всего используются разнообразные «бумажные» методики, достоинствами которых являются гибкость и адаптивность. Как правило, разработкой данных методик занимаются компании - системные и специализированные интеграторы в области защиты информации. По понятным причинам методики обычно не публикуются, поскольку относятся к этой компании. В силу закрытости данных методик судить об их качестве, объективности и возможностях достаточно сложно.
Специализированное ПО, реализующее методики анализа рисков, может относиться к категории программных продуктов (имеется на рынке) либо являться собственностью ведомства или организации и не продаваться.
Если ПО разрабатывается как программный продукт, оно должно быть в достаточной степени универсальным. Ведомственные варианты ПО адаптированы под особенности постановок задач анализа и управления рисками и позволяют учесть специфику информационных технологий организации.
Предлагаемое на рынке ПО ориентировано в основном на уровень информационной безопасности, несколько превышающий базовый уровень защищенности. Таким образом, инструментарий рассчитан в основном на потребности организаций 3-4 степени зрелости, описанных в первой главе.
Для решения данной задачи были разработаны программные комплексы анализа и контроля информационных рисков: CRAMM, FRAP, RiskWatch, Microsoft, ГРИФ. Ниже приведены краткие описания ряда распространенных методик анализа рисков. Их можно разделить на:
- методики, использующие оценку риска на качественном уровне (например, по шкале «высокий», «средний», «низкий»). К таким методикам, в частности, относится FRAP;
- количественные методики (риск оценивается через числовое значение, например размер ожидаемых годовых потерь). К этому классу относится методика RiskWatch;
- методики, использующие смешанные оценки (такой подход используется в CRAMM, методике Microsoft и т.д.) [31,32].
1.2 Анализ методики CRAMM
Методика CRAMM одна из первых зарубежных работ по анализу рисков в сфере информационной безопасности, разработанная в 80-х годах.
Ее основу составляет комплексный подход к оценке рисков, сочетающий количественные и качественные методы анализа. Метод является универсальным и подходит как для крупных, так и для малых организаций, как правительственного, так и коммерческого сектора. Версии программного обеспечения CRAMM, ориентированные на разные типы организаций, отличаются друг от друга своими базами знаний (профили):
- коммерческий профиль;
- правительственный профиль.
При работе методики на первых этапах учитывается ценность ресурсов исследуемой системы, собираются первичные сведения о конфигурации системы. Проводится идентификация ресурсов: физических, программных и информационных, содержащихся внутри границ системы.
Результатом этого этапа является построение модели системы, с деревом связи ресурсов. Эта схема позволяет выделить критичные элементы. Ценность физических ресурсов в CRAMM определяется стоимостью их восстановления в случае разрушения.
Ценность данных и программного обеспечения определяется в следующих ситуациях:
- недоступность ресурса в течение определенного периода времени;
- разрушение ресурса - потеря информации, полученной со времени последнего резервного копирования, или ее полное разрушение;
- нарушение конфиденциальности в случаях несанкционированного доступа штатных сотрудников или посторонних лиц;
- модификация - рассматривается для случаев мелких ошибок персонала (ошибки ввода), программных ошибок, преднамеренных ошибок;
- ошибки, связанные с передачей информации: отказ от доставки, недоставка информации, доставка по неверному адресу [2,46].
Методика CRAMM рекомендует использовать следующие параметры:
- ущерб репутации организации;
- нарушение действующего законодательства;
- ущерб для здоровья персонала;
- ущерб, при разглашении персональных данных отдельных лиц;
- финансовые потери от разглашения информации;
- финансовые потери, связанные с восстановлением ресурсов;
- потери, связанные с невозможностью выполнения обязательств;
- дезорганизация деятельности.
На второй стадии рассматривается все, что относится к идентификации и оценке уровней угроз для групп ресурсов и их уязвимостей. В конце стадии заказчик получает идентифицированные и оцененные уровни рисков для своей системы. На этой стадии оцениваются зависимость пользовательских сервисов от определенных групп ресурсов и существующий уровень угроз и уязвимостей, вычисляются уровни рисков и анализируются результаты.
Ресурсы группируются по типам угроз и уязвимостей. Программное обеспечение CRAMM для каждой группы ресурсов и каждого из 36 типов угроз генерирует список вопросов, допускающих однозначный ответ.
Уровень угроз оценивается, в зависимости от ответов, как очень высокий, высокий, средний, низкий и очень низкий. Уровень уязвимости оценивается, в зависимости от ответов, как высокий, средний и низкий.
На основе этой информации рассчитываются уровни рисков в дискретной шкале с градациями от 1 до 7. Полученные уровни угроз, уязвимостей и рисков анализируются и согласовываются с заказчиком.
Основной подход, для решения этой проблемы состоит в рассмотрении:
- уровня угрозы;
- уровня уязвимости;
- размера ожидаемых финансовых потерь.
Исходя из оценок стоимости ресурсов защищаемой ИС, оценок угроз и уязвимостей, определяются «ожидаемые годовые потери».
Третья стадия исследования заключается в поиске адекватных контрмер. По существу, это поиск варианта системы безопасности, наилучшим образом удовлетворяющей требованиям заказчика.
На этой стадии CRAMM генерирует несколько вариантов мер противодействия, адекватных выявленным рискам и их уровням.
Таким образом, CRAMM - пример методики расчета, при которой первоначальные оценки даются на качественном уровне, и потом производится переход к количественной оценке (в баллах).
Работа по методике CRAMM осуществляется в три этапа, каждый из которых преследует свою цель в построении модели рисков информационной системы в целом. Рассматриваются угрозы системы для конкретных ее ресурсов. Проводится анализ как программного, так и технического состояния системы на каждом шаге, построив дерево зависимостей в системе, можно увидеть ее слабые места и предупредить потерю информации в результате краха системы, как из за вирусной атаки, так и при хакерских угрозах. К недостаткам метода CRAMM можно отнести следующее:
- использование метода CRAMM требует специальной подготовки и высокой квалификации аудитора;
- CRAMM в гораздо большей степени подходит для аудита уже существующих ИС, находящихся на стадии эксплуатации, нежели чем для ИС, находящихся на стадии разработки;
- аудит по методу CRAMM - процесс достаточно трудоемкий и может потребовать месяцев непрерывной работы аудитора;
- программный инструментарий CRAMM генерирует большое количество бумажной документации, которая не всегда оказывается полезной на практике;
- CRAMM не позволяет создавать собственные шаблоны отчетов или модифицировать имеющиеся;
- возможность внесения дополнений в базу знаний CRAMM не доступна пользователям, что вызывает определенные трудности при адаптации этого метода к потребностям конкретной организации;
- программное обеспечение CRAMM существует только на английском языке;
- высокая стоимость лицензии.
1.3 Анализ методики FRAP
Методика «Facilitated Risk Analysis Process (FRAP)» предлагаемая компанией Peltier and Associates, разработана Томасом Пелтиером (Thomas R. Peltier.
В методике, обеспечение ИБ предлагается рассматривать в рамках процесса управления рисками. Управление рисками в сфере ИБ - процесс, позволяющий компаниям найти баланс между затратами средств и сил на средства защиты и получаемым эффектом.
Управление рисков должно начинается с оценки рисков: должным образом оформленные результаты оценки станут основой для принятия решений в области повышения безопасности системы в будущем.
После завершения оценки, проводится анализ соотношения затрат и получаемого эффекта, который позволяет определить те средства защиты, которые нужны, для снижения риска до приемлемого уровня.
Составление списка угроз поможет использовать разные подходы:
- заранее подготовленные экспертами перечни угроз, из которых выбираются актуальные для данной системы;
- анализ статистики происшествий в данной ИС происходит оценка частоты их возникновения; по ряду угроз;
- «мозговой штурм», проводимый сотрудниками компании [9,46].
Когда список угроз закончен, каждой из них сопоставляют вероятность возникновения. После чего оценивают ущерб, который может быть нанесен данной угрозой. Исходя из полученных значений, оценивается уровень угрозы. Таким образом оценивается уровень риска для незащищенной ИС, что в последствии позволяет показать эффект от внедрения средств защиты информации (СЗИ).
Оценка можно произвести для вероятности возникновения угрозы и ущерба от нее по следующим пунктам:
- вероятность:
- высокая - очень вероятно, что угроза реализуется в течение следующего года;
- средняя - возможно угроза реализуется в течение следующего года;
- низкая - маловероятно, что угроза реализуется в течение следующего года.
Ущерб - мера величины потерь или вреда, наносимого активу:
- высокий: остановка критически важных бизнес-подразделений, которая приводит к существенному ущербу для бизнеса, потере имиджа или неполучению существенной прибыли;
- средний: кратковременное прерывание работы критических процессов или систем, которое приводит к ограниченным финансовым потерям в одном бизнес-подразделении;
- низкий: перерыв в работе, не вызывающий ощутимых финансовых потерь.
После идентификации угрозы и получении оценки риска, должны быть определены контрмеры, позволяющие устранить риск или свести его до приемлемого уровня. При этом должны приниматься во внимание законодательные ограничения, делающие невозможным или, наоборот, предписывающие в обязательном порядке, использование тех или иных средств и механизмов защиты. Если риск снижен недостаточно, возможно, надо применить другое СЗИ. Вместе с определением средства защиты, надо определить какие затраты повлечет его приобретение и внедрение (затраты могут быть как прямые, так и косвенные). Кроме того, необходимо оценить, безопасно ли само это средство, не создает ли оно новых уязвимостей в системе [28,27].
Чтобы использовать экономически эффективные средства защиты, нужно проводить анализ соотношения затрат и получаемого эффекта. При этом надо оценивать не только стоимость приобретения решения, но и стоимость поддержания его работы. В затраты могут включаться:
- стоимость реализации проекта, включая дополнительное программное и аппаратное обеспечение;
- снижение эффективности выполнения системой своих основных задач;
- внедрение дополнительных политик и процедур для поддержания средства;
- затраты на найм дополнительного персонала или переобучение имеющегося.
Последний пункт в этой методике - документирование. Когда оценка рисков закончена, ее результаты должны быть подробно документированы в стандартизованном формате, для дальнейшего использования или для проведения более глубокого анализа[4].
Методика рассчитана на управленцев отделов по обеспечению информационной безопасностью предприятия с экономическим уклоном. Производится анализ затрат и полученного эффекта от применения средства защиты информационной системы предприятия. Методика позволяет снизить риск до приемлемого уровня, что позволяет избежать максимальных затрат на обеспечение безопасности современными средствами ИБ.
Характерность для этой методики вызывает «мозговой штурм» проводимый сотрудниками организации, проведение анализа статистики происшествий для данных информационных систем.
Принимаются законодательные ограничения, делающие невозможным или, наоборот, предписывающие в обязательном порядке, использование тех или иных средств и механизмов защиты.
Конец методики позволяет просчитать, с точки зрения финансирования, применение средства для обеспечения безопасности предприятия, учитывается стоимость приобретения решения, но и стоимость поддержания его работы. Примером здесь может выступить внедрение антивирусного средства с файерволом и спам фильтром для каждого компьютера в сети, то есть его закупка, и сопровождение в последующее время его работы на обеспечение безопасности предприятия в пределах сети. Сразу же применяется программно-аппаратный комплекс для обеспечения безопасности информационной системы предприятия.
1.4 Анализ методики RiskWatch
Компания RiskWatch разработала собственную методику анализа рисков и семейство программный средств, в которых она в той либо иной мере реализуется. Семейство RiskWatch состоит из программных продуктов:
- RiskWatch for Physical Security - для анализа физической защиты ИС;
- RiskWatch for Information Systems - для информационных рисков;
- HIPAA-WATCH for Healthcare Industry - для оценки соответствия требованиям стандарта HIPAA (US Healthcare Insurance Portability and Accountability Act), актуальных в основном для медицинских учреждений, работающих на территории США;
- RiskWatch RW17799 for ISO 17799 - для оценки соответствия ИС требованиям стандарта международного стандарта ISO 17799.
RiskWatch используется в качестве критериев для оценки и управления рисками используются ожидаемые годовые потери (Annual Loss Expectancy, ALE) и оценка возврата инвестиций (Return on Investment, ROI). RiskWatch ориентирована на точную количественную оценку соотношения потерь от угроз безопасности и затрат на создание системы защиты. В основе продукта RiskWatch находится методика анализа рисков, которая состоит из четырех этапов[8].
Первый этап - определение предмета исследования. Здесь описываются параметры: как тип организации, состав исследуемой системы (в общих чертах), базовые требования в области безопасности. Для облегчения работы аналитика, в шаблонах, соответствующих типу организации («коммерческая информационная система», «государственная / военная информационная система» и т.д.), есть списки категорий защищаемых ресурсов, потерь, угроз, уязвимостей и мер защиты. И выбираются категории потерь, присутствующие в организации:
- задержки и отказ в обслуживании;
- раскрытие информации;
- прямые потери (например, от уничтожения оборудования огнем);
- жизнь и здоровье (персонала, заказчиков и т.д.);
- изменение данных;
- косвенные потери (например, затраты на восстановление);
- репутация.
Второй этап - ввод данных, описывающих конкретные характеристики системы. Данные могут вводиться вручную или импортироваться из отчетов, созданных инструментальными средствами исследования уязвимости компьютерных сетей. Подробнейшим образом описываются ресурсы, потери и классы инцидентов. Классы инцидентов получаются путем сопоставления категории потерь и категории ресурсов.
Также задается частота возникновения каждой из выделенных угроз, степень уязвимости и ценность ресурсов. Если для выбранного класса угроз в системе есть среднегодовые оценки возникновения (LAFE и SAFE), то используются они. Все это используется в дальнейшем для расчета эффекта от внедрения средств защиты.
Третий этап - количественная оценка риска. На этом этапе рассчитывается профиль рисков, и выбираются меры обеспечения безопасности. Сначала устанавливаются связи между ресурсами, потерями, угрозами и уязвимостями, выделенными на предыдущих шагах исследования. SAFE (Standard Annual Frequency Estimate) - показывает, сколько раз в год в среднем данная угроза реализуется в этой «части мира» (например, в Северной Америке). Вводится также поправочный коэффициент, который позволяет учесть, что в результате реализации угрозы защищаемый ресурс может быть уничтожен не полностью, а только частично.
Формула (1) показывает варианты расчета показателя ALE:
(1) |
оценка риск информационный корпоративный
где:
- Asset Value - стоимость рассматриваемого актива (данных, программ, аппаратуры и т.д.);
- Exposure Factor - коэффициент воздействия - показывает, какая часть (в процентах) от стоимости актива, подвергается риску;
- Frequency - частота возникновения нежелательного события;
- ALE - это оценка ожидаемых годовых потерь для одного конкретного актива от реализации одной угрозы.
Когда все активы и воздействия идентифицированы и собраны вместе, то появляется возможность оценить общий риск для ИС, как сумму всех частных значений.
Можно ввести показатели «ожидаемая годовая частота происшествия» (Annualized Rate of Occurrence - ARO) и «ожидаемый единичный ущерб» (Single Loss Expectancy - SLE), который может рассчитываться как разница первоначальной стоимости актива и его остаточной стоимости после происшествия (хотя подобный способ оценки применим не во всех случаях, например, он не подходит для оценки рисков, связанных с нарушением конфиденциальности информации). Тогда, для отдельно взятого сочетания угроза-ресурс применима формула (2):
(2) |
Четвертый этап - генерация отчетов. Типы отчетов:
- краткие итоги;
- полные и краткие отчеты об элементах, описанных на стадиях 1 и 2;
- отчет от стоимости защищаемых ресурсов и ожидаемых потерях от реализации угроз;
- отчет об угрозах и мерах противодействия;
- отчет о ROI;
- отчет о результатах аудита безопасности.
Таким образом, рассматриваемое средство позволяет оценить не только те риски, которые сейчас существуют у предприятия, но и ту выгоду, которую может принести внедрение физических, технических, программных и прочих средств и механизмов защиты. Подготовленные отчеты и графики дают материал, достаточный для принятия решений об изменении системы обеспечения безопасности предприятия [4,8].
Недостатки методики RiskWatch:
– методика RiskWatch подходит, если требуется провести анализ рисков на программно-техническом уровне защиты, без учета организационных и административных факторов;
– полученные оценки рисков (математическое ожидание потерь) далеко не исчерпывает понимание риска с системных позиций - метод не учитывает комплексный подход к информационной безопасности;
– программное обеспечение RiskWatch существует только на английском языке;
– высокая стоимость лицензии (от 15'000 долл. за одно рабочее место для небольшой компании; от 125'000 долл. за корпоративную лицензию).
Методика RiskWatch позволяет разделить информационные системы на несколько профилей и уже использовать конкретизированную систему для учета рисков информационной безопасности предприятия, что очень удобно в современное время. Различные организации используют однотипные модели для оценки рисков, что не очень позволяет просчитать тот или иной ущерб при возникновении угрозы. Методика позволяет в живую в цифрах увидеть оценку ожидаемых потерь за год от бездействия со стороны предприятия к угрозе из-за направленного отсутствия финансирования для обеспечения безопасности предприятия.
1.5 Анализ методики Гриф
Для проведения полного анализа информационных рисков, прежде всего, необходимо построить полную модель информационной системы с точки зрения ИБ. Для решения этой задачи ГРИФ, в отличие от прередставленных на рынке западных систем анализа рисков, которые громоздки, сложны в использовании и часто не предполагают самостоятельного применения ИТ-менеджерами и системными администраторами, ответственными за обеспечение безопасности информационных систем компаний, обладает простым и интуитивно понятным для пользователя интерфейсом. Основная задача методики ГРИФ - дать возможность ИТ менеджеру самостоятельно оценить уровень рисков в информационной системе, оценить эффективность существующей практики по обеспечению безопасности компании и иметь возможность доказательно (в цифрах) [6].
На первом этапе методики ГРИФ проводится опрос ИТ-менеджера с целью определения полного списка информационных ресурсов, представляющих ценность для компании.
На втором этапе проводится опрос ИТ-менеджера с целью ввода в систему ГРИФ всех видов информации, представляющей ценность для компании. Введенные группы ценной информации должны быть размещены пользователем на ранее указанных на предыдущем этапе объектах хранения информации (серверах, рабочих станциях и т.д.). Заключительная фаза - указание ущерба по каждой группе ценной информации, расположенной на соответствующих ресурсах, по всем видам угроз.
На третьем этапе вначале проходит определение всех видов пользовательских групп (и число пользователей в каждой группе). Затем определяется, к каким группам информации на ресурсах имеет доступ каждая из групп пользователей. В заключение определяются виды (локальный и / или удаленный) и права (чтение, запись, удаление) доступа пользователей ко всем ресурсам, содержащих ценную информацию.
На четвертом этапе проводится опрос ИТ-менеджера для определения средств защиты информации, которыми защищена ценная информация на ресурсах. Кроме того, в систему вводится информация о разовых затратах на приобретение всех применяющихся средств защиты информации и ежегодные затраты на их техническую поддержку, а также - ежегодные затраты на сопровождение системы информационной безопасности компании[4].
На завершающем этапе пользователь должен ответить на список вопросов по политике безопасности, реализованной в системе, что позволяет оценить реальный уровень защищенности системы и детализировать оценки рисков. Наличие средств информационной защиты, отмеченных на первом этапе, само по себе еще не делает систему защищенной в случае их неадекватного использования и отсутствия комплексной политики безопасности, учитывающей все аспекты защиты информации, включая вопросы организации защиты, физической безопасности, безопасности персонала, непрерывности ведения бизнеса. К недостаткам ГРИФ можно отнести:
- отсутствие привязки к бизнесс-процессам;
- нет возможности сравнения отчетов на разных этапах внедрения комплекса мер по обеспечению;
- отсутствует возможность добавить специфичные для данной компании требования политики безопасности.
В результате выполнения всех действий по данным этапам, на выходе сформирована полная модель информационной системы с точки зрения информационной безопасности с учетом реального выполнения требований комплексной политики безопасности, что позволяет перейти к программному анализу введенных данных для получения комплексной оценки рисков и формирования итогового отчета. Отчет представляет собой подробный, дающий полную картину возможного ущерба от инцидентов документ, готовый для представления руководству компании.
Существующая методика оценки риска позволяет самостоятельно оценить степень риска предприятия в пределах одной сети, но не даст полной картины, что существенно влияет на безопасность информации в целом.
Рассмотренные методики в той или иной степени позволяют показать примерную оценку информационного риска для предприятия. Невозможно дать точную оценку риску, ввиду сложности представления ущерба для системы из-за большого количества компонентов вычислительной среды и различных топологий локальных и корпоративных сетей с их программно-аппаратным наполнением и управлением.
Ни одна из методик не предлагает оценку рисков в корпоративной среде предприятия, кроме методики анализа корпоративных рисков от Microsoft. Современный бизнес диктует скорость развития технологий, как с экономической, так и с технической стороны. Любая средняя организация имеет как минимум два удаленных офиса.
В России в настоящее время чаще всего используются разнообразные «бумажные» методики, достоинствами которых являются гибкость и адаптивность. Как правило, разработкой данных методик занимаются компании - системные и специализированные интеграторы в области защиты информации. По понятным причинам методики обычно не публикуются, поскольку относятся к этой компании. В силу закрытости данных методик судить об их качестве, объективности и возможностях достаточно сложно.
Рассмотренные методики ориентированы на те сети, которые построены по доменному принципу, имеющие четкие разделения прав пользователей, группы, общие ресурсы, что в некоторой степени позволяет применят групповую политику на весь домен, но с другой стороны, при падении домена, сеть оказывается полностью не работоспособной.
Доменная структура сложна в настройке, но ее производительность того стоит. Для сетей с небольшим количеством компьютеров доменная организация не имеет смысла.
Не все системы учета рисков не предлагают выделить системы защиты по ступеням, то есть от технической защите к программной, то есть самой теоретически стойкой к взлому.
Большинство организаций среднего размера, и покупка очень дорогостоящего средства учета рисков просто не по карману предприятию. Следует учитывать тот факт, что и то, количество информации, которая является коммерческой тайной ее не очень большое количество.
Необходимая степень конкретизации деталей зависит от уровня зрелости организации, специфики ее деятельности и ряда других факторов. Таким образом, невозможно предложить какую-либо единую, приемлемую для всех отечественных компаний и организаций, универсальную методику, соответствующую определенной концепции управления рисками. В каждом частном случае приходится адаптировать общую методику анализа рисков и управления ими под конкретные нужды предприятия с учетом специфики его функционирования и ведения бизнеса. Рассмотрим сначала типичные вопросы и проблемы, возникающие при разработке таких методик, возможные подходы к решению этих проблем, а затем обсудим примеры адаптации и разработки соответствующих корпоративных методик.
Таким образом, учет рисков должен быть:
– недорогостоящим;
– профильными;
– эффективным;
– масштабируемым;
– управляемым;
– легко адаптируемым к системе;
– учитывать все особенности построенной сети.
Компания может приобрести лучшие технологии по безопасности, какие только можно купить за деньги, натренировать своих людей так, что они станут прятать все свои секреты, прежде чем пойти ночью домой, и нанять охранников в лучшей охранной фирме на рынке. Но эта компания всё ещё остаётся полностью уязвимой.
Сами люди могут полностью следовать лучшей практике по безопасности, рекомендованной экспертами, по-рабски устанавливать каждый вновь появившийся рекомендованный программный продукт по безопасности и тщательно следить за конфигурацией своей системы и следить за выпуском патчей. Но и они всё равно полностью уязвимы.
2. Разработка модели оценки рисков БКИ
2.1 Методики разработки оценки рисков для корпоративной сети
Информационные риски - это опасность возникновения убытков или ущерба в результате применения компанией информационных технологий. Иными словами, IT-риски связаны с созданием, передачей, хранением и использованием информации с помощью электронных носителей и иных средств связи.
В спорах на тему оценки информационных рисков или экономического обоснования инвестиций в информационную безопасность сломано немало копий. В настоящее время идет активное накопление данных, на основании которых можно было бы с приемлемой точностью определить вероятность реализации той или иной угрозы. К сожалению, имеющиеся справочники опираются на зарубежный опыт и потому с трудом применимы к российским реалиям. К тому же определение величины стоимости информационного ресурса (будь то физический сервер или файлы и записи СУБД) тоже зачастую затруднено. К примеру, если владелец ресурса может назвать стоимость оборудования и носителей и его амортизацию, то указать точную стоимость находящихся в его ведении данных он практически никогда не в состоянии. Поэтому наиболее распространенной остается качественная оценка информационных рисков, когда при отсутствии точных данных значения параметров устанавливает проводящий анализ рисков эксперт [27,28].
Анализ рисков для каждого предприятия индивидуален. Индивидуальность обеспечивает первый параметр - размер ущерба. Ведь он связан как с самими информационными ресурсами, так и с оценкой их важности, которая уникальна у каждой организации.
Вот какие требования предъявляются к специалисту, который производит оценку рисков, например, в стандарте BS 7799:3 (Руководство по управлению рисками информационной безопасности):
- понимание бизнеса и риск-аппетита (готовности принять данный уровень риска в процессе получения прибыли);
- понимание концепции риска;
- понимание угроз и уязвимостей;
- понимание типов контрольных механизмов (контролей) информационной безопасности;
- навыки использования методик оценки рисков;
- аналитические способности;
- способность определять необходимые контактные лица;
- коммуникабельность.
Как видно из этого списка, умение оперировать угрозами и уязвимостями не занимает первое место и не является единственным навыком.
Наиболее сложным аспектом, который сильно влияет на увеличение стоимости работ по анализу рисков, оказывается необходимость понимания бизнеса. К сожалению, даже собственные подразделения ИТ и безопасности предприятия не всегда обладают достаточными знаниями. Поэтому очень важно определить, как будут выполняться работы по оценке рисков - своими силами или внешним консультантом. Несмотря на высокую стоимость услуг, часто целесообразнее отдать предпочтение второму варианту, если, конечно, руководство организации заинтересовано в реальном результате [27,30].
Как известно, система управления информационной безопасностью в целом и анализ рисков в частности - это не разовое мероприятия, а динамическая, развивающаяся система со своим жизненным циклом. Это означает, что анализ рисков необходимо проводить регулярно, через определенные периоды. Поскольку такие работы еще не очень распространены в России, в работе рассказывается о первом цикле анализа рисков, то есть о варианте, когда анализа рисков в необходимом объеме на предприятии не производилось.
2.2 Разработка методики оценки рисков на примере методики Microsoft
Особый интерес к управлению рисками вызывает система анализа рисков крупнейшего производителя программного обеспечения почти во всех сферах деятельности - Microsoft.
Процесс управления рисками, предлагаемый корпорацией Майкрософт, разбивает этап оценки рисков на три шага:
- планирование - разработка основы для успешной оценки рисков;
- координированный сбор данных - сбор информации о рисках в ходе координированных обсуждений рисков;
- приоритизация рисков - ранжирование выявленных рисков на основе непротиворечивого и повторяемого процесса.
Но с учетом неравномерной нагрузки на коммуникационную структуру предприятия в различное время, возникают неучтенные риски. По этому к трем пердыдущим пунктам можно добавить неучтенные риски, которые также оказывают существенное влияние на совокупность учтенных рисков.
Собираются данные об:
- активах организации;
- угрозах безопасности;
- уязвимостях.
Собранные активы, угрозы и уязвимости следует ранжировать по их степени оказания влияния на корпоративную систему, после этого нужно соотнести активы, угрозы и уязвимости между собой и выявить закономерности [3,4].
Оценку рисков нужно проводить в то время, когда нагрузка на информационную систему будет минимальна.
Работа по определению ценности информационных активов в разрезе всей организации одновременно наиболее значима и сложна. Именно оценка информационных активов позволит начальнику отдела ИБ выбрать основные направления деятельности по обеспечению информационной безопасности.
Ценность актива выражается величиной потерь, которые понесет организация в случае нарушения безопасности актива.
Активами считается все, что представляет ценность для организации. К материальным активам относится физическая инфраструктура. К нематериальным активам относятся данные и другая ценная для организации информация, хранящаяся в цифровой форме. В некоторых организациях может оказаться полезным определение третьего типа активов - ИТ-служб. ИТ-служба представляет собой сочетание материальных и нематериальных активов. Например, это может быть корпоративная служба электронной почты [14,30].
Для увеличения эффективности модели, анализ производится исходя из непосредственных целей и задач по защите конкретного вида информации конфиденциального характера. Одна из важнейших задач в рамках такой защиты информации - обеспечение ее целостности и доступности. Часто забывают, что нарушение целостности может произойти не только вследствие преднамеренных действий, но и по ряду других причин:
– сбоев оборудования, ведущих к потере или искажению информации;
– физических воздействий, в частности в результате стихийных бедствий;
– ошибок в программном обеспечении (в том числе из-за недокументированных возможностей).
При изучении материальных активов организации, ее электронной техники ввода, вывода и централизованной обработки информации в ее корпоративной сети, то есть провести оценку рисков внутри оценки рисков.
Процесс управления рисками безопасности, предлагаемый корпорацией Майкрософт, определяет следующие три качественных класса активов:
- высокое влияние на бизнес (ВВБ) - влияние на конфиденциальность, целостность и доступность этих активов может причинить организации значительный или катастрофический ущерб. К этому классу относятся конфиденциальные деловые данные;
- среднее влияние на бизнес (СВБ) - влияние на конфиденциальность, целостность и доступность этих активов может причинить организации средний ущерб. Средний ущерб не вызывает значительных или катастрофических изменений, однако нарушает нормальную работу организации до такой степени, что это требует проактивных элементов контроля для минимизации влияния в данном классе активов. К этому классу могут относиться внутренние коммерческие данные, такие как перечень сотрудников или данные о заказах предприятия;
- низкое влияние на бизнес (НВБ) - активы, не попадающие в классы ВВБ и СВБ, относятся к классу НВБ. К защите подобных активов не выдвигаются формальные требования, и она не требует дополнительного контроля, выходящего за рамки стандартных рекомендаций по защите инфраструктуры.
Таким образом можно показать тяжесть последствий:
- незначительный (менее $100);
- минимальный (менее $1000);
- умеренны (менее $10 000);
- серьезные (существенное негативное влияние на бизнес);
- критическое (катастрофическое воздействие, возможно прекращение функционирования системы) [3,18,19].
Но следует учесть, что это можно считать за базовые оценки ущерба и в зависимости от размера организации денежные суммы могут изменяться значительно.
Далее определяется перечень угроз и уязвимостей и выполняется оценка уровня потенциального ущерба, называемого степенью подверженности актива воздействию. Оценка ущерба может проводиться по различным категориям:
- конкурентное преимущество;
- законы и регулятивные требования;
- операционная доступность;
- репутация на рынке.
Оценку предлагается проводить по следующей шкале:
- высокая подверженность воздействию - значительный или полный ущерб для актива;
- средняя подверженность воздействию - средний или ограниченный ущерб;
- низкая подверженность воздействию - незначительный ущерб или отсутствие такового;
Следующий шаг - оценка частоты возникновения угроз:
- высокая - вероятно возникновение одного или нескольких событий в пределах года;
- средняя - влияние может возникнуть в пределах двух-трех лет;
- низкая - возникновение влияния в пределах трех лет маловероятно.
Для угроз указывается уровень воздействия в соответствии с концепцией многоуровневой защиты (уровни - физический, сети, хоста, приложения, данных).
Для выявлении рисков в корпоративной сети предприятия, риски можно разделить на пять видов:
- риск целостности (integrity risk): включает в себя все риски, связанные с подтверждением полномочий, завершенностью и точностью передачи транзакций и информации. Эти риски могут возникать при работе с пользовательским интерфейсом, обработке данных, обработке ошибок, изменениях в управлении и данных;
- риск соответствия (relevance risk): относится к своевременности и полезности информации и непосредственно влияет на принятие решения. Другими словами, не всегда можно гарантировать, что нужная информация своевременно будет передана нужному человеку (или в нужное место);
Подобные документы
Сущность и способы оценки информационной безопасности. Цели ее проведения. Методы анализа информационно-технологических рисков. Показатели и алгоритм расчета рисков по угрозе ИБ. Расчет информационных рисков на примере сервера Web торговой компании.
курсовая работа [190,1 K], добавлен 25.11.2013Разработка самообучающейся интеллектуальной информационной системы для анализа кредитоспособности заемщика и оценки кредитных рисков на основе подхода иммунокомпьютинга. Применение процедур кластеризации, классификации и формирования оценок рисков.
курсовая работа [822,3 K], добавлен 09.06.2012Теоретические основы построения корпоративной сети. Анализ источников угроз и информационных рисков. Организация защиты корпоративной информационной системы Дистанции электроснабжения на основе типовых решений. Современные технологии защиты информации.
дипломная работа [746,7 K], добавлен 09.11.2016Классификация основных рисков, их идентификация. Планирование и оценка рисков информационной системы в организации, принятие мер для устранения рисков. Определение точки безубыточности проекта. Расчет цены потерь и вероятности наступления риска.
лабораторная работа [381,2 K], добавлен 20.01.2016Сущность информации, ее классификация. Основные проблемы обеспечения и угрозы информационной безопасности предприятия. Анализ рисков и принципы информационной безопасности предприятия. Разработка комплекса мер по обеспечению информационной безопасности.
курсовая работа [28,2 K], добавлен 17.05.2016Анализ рисков информационной безопасности. Оценка существующих и планируемых средств защиты. Комплекс организационных мер обеспечения информационной безопасности и защиты информации предприятия. Контрольный пример реализации проекта и его описание.
дипломная работа [4,5 M], добавлен 19.12.2012Подбор и описание компонентов, обеспечивающих защиту информации, активов компании, для дальнейшего построения на их основании надежной и защищенной корпоративной сети на примере сети "JDSONS". Аудит и контроль изменений конфигурации информационных систем.
курсовая работа [49,6 K], добавлен 11.09.2012Понятие и содержание маркетинговой информационной системы. Основные факторы микросреды организации. Подходы к определению роли информации в оценке рисков. Решение проблем функционирования аппаратно-программной среды организации, ожидаемый эффект.
дипломная работа [295,5 K], добавлен 18.07.2014Анализ модели информационно-телекоммуникационной системы предприятия. Виды угроз информационной безопасности. Цели и задачи защиты информации на предприятии. Разработка процедур контроля системы управления защитой информации в корпоративной сети.
дипломная работа [3,6 M], добавлен 30.06.2011Модель обеспечения информационной безопасности в сфере обороны РФ. Оценка состояния систем защиты информации в правоохранительной и судебной сферах, рекомендации по их обеспечению. Анализ угроз информационной безопасности России и рисков от их реализации.
курсовая работа [57,4 K], добавлен 13.11.2009