Анализ комплексов контроля информационных рисков в предметной области

Тема: Анализ комплексов контроля информационных рисков в предметной области

Содержание

1. Введение

2. Анализ информационных рисков

3. Качественные методики управления рисками

4. Количественные методики управления рисками

5. Заключение

6. Источники

1.  Введение

В современных условиях одна из актуальных практических задач - оценка эффективности мероприятий по защите информации в информационных компьютерных системах. Исследование этой задачи даст возможность разработчикам и владельцам информационных компьютерных систем получать обоснованную оценку технико-экономической целесообразности различных мер и способов защиты информации и формировать рациональный комплекс мероприятий для обеспечения информационной безопасности, экономно расходуя выделенные на эти цели ресурсы. Сегодня не вызывает сомнений необходимость вложений в обеспечение информационной безопасности современного крупного бизнеса. Основной вопрос современного бизнеса - как оценить необходимый уровень вложений в информационную безопасность (ИБ) для обеспечения максимальной эффективности инвестиций в данную сферу. Для решения этого вопроса существует только один способ - применять системы/комплексы анализа рисков, позволяющие оценить существующие в системе риски и выбрать оптимальный по эффективности вариант защиты (по соотношению существующих в системе рисков / затрат на ИБ).

Основные термины и определения.

Угроза безопасности - это потенциально возможное происшествие, которое может оказать воздействие на информацию в системе

Уязвимость - это некая неудачная характеристика системы, которая делает возможным возникновение угрозы

Атака - это действие по использованию уязвимости; атака - это реализация угрозы

Угроза конфиденциальности - угроза раскрытия информации

Угроза целостности - угроза изменения информации

Угроза доступности - угроза нарушения работоспособности системы при доступе к информации

Ущерб - это стоимость потерь, которые понесет компания в случае реализации угроз конфиденциальности, целостности, доступности по каждому виду ценной информации. Ущерб зависит только от стоимости информации, которая обрабатывается в автоматизированной системе. Ущерб является характеристикой информационной системы и не зависит от ее защищенности.

Риск - это вероятный ущерб, который зависит от защищенности системы. По определению риск всегда измеряется в деньгах.

2. Анализ информационных рисков

Анализ информационных рисков - это процесс комплексной оценки защищенности информационной системы с переходом к количественным или качественным показателям рисков. При этом риск - это вероятный ущерб, который зависит от защищенности системы.

Итак, из определения следует, что на выходе алгоритма анализа риска можно получить либо количественную оценку рисков (риск измеряется в деньгах), либо -- качественную (уровни риска; обычно: высокий, средний, низкий).

Анализ рисков - составная часть управления информационными рисками, в процессе которого оцениваются уязвимости информационной системы к угрозам безопасности, их критичность и вероятность ущерба для компании, вырабатываются контрмеры по уменьшению рисков до приемлемого уровня и обеспечивается контроль защиты информационной системы компании. Важность этого этапа управления обусловлена тем, что, во-первых, анализ уязвимости корпоративной сети необходим при создании комплексной системы информационной безопасности (ИБ), во-вторых, ИТ-подразделениям нужно обосновывать инвестиции в ИБ.

Понятия "оценка рисков" (Risk Assessment) и "управление рисками" (Risk Management) появились сравнительно недавно и сегодня вызывают постоянный интерес специалистов в области обеспечения непрерывности бизнеса (Business Continuity) и сетевой безопасности (Network Security). Примерно с 1995 года в ряде высокотехнологичных стран мира, главным образом в США, Великобритании, Германии и Канаде, проводятся ежегодные слушания специально созданных комитетов и комиссий по вопросам управления информационными рисками. Подготовлено более десятка различных стандартов и спецификаций, детально регламентирующих процедуры управления информационными рисками, среди которых наибольшую известность приобрели международные спецификации и стандарты ISO 177992002 (BS 7799), GAO и FISCAM, SCIP, NIST, SAS 78/94 и COBIT.

В настоящее время управление информационными рисками представляет собой одно из наиболее актуальных и динамично развивающихся направлений стратегического и оперативного менеджмента в области защиты информации. Его основная задача -- объективно идентифицировать и оценить наиболее значимые для бизнеса информационные риски компании, а также адекватность используемых средств контроля рисков для увеличения эффективности и рентабельности экономической деятельности компании. Поэтому под термином "управление информационными рисками" обычно понимается системный процесс идентификации, контроля и уменьшения информационных рисков компаний в соответствии с определенными ограничениями российской нормативно-правовой базы в области защиты информации и собственной корпоративной политики безопасности. Считается, что качественное управление рисками позволяет использовать оптимальные по эффективности и затратам средства контроля рисков и средства защиты информации, адекватные текущим целям и задачам бизнеса компании.

Не секрет, что сегодня наблюдается повсеместное усиление зависимости успешной бизнесдеятельности отечественных компаний от используемых организационных мер и технических средств контроля и уменьшения риска. Для эффективного управления информационными рисками разработаны специальные методики, например методики международных стандартов ISO 15408, ISO 17799 (BS7799), BSI; а также национальных стандартов NIST 80030, SAC, COSO, SAS 55/78 и некоторые другие, аналогичные им. В соответствие с этими методиками управление информационными рисками любой компании предполагает следующее. Во-первых, определение основных целей и задач защиты информационных активов компании. Во-вторых, создание эффективной системы оценки и управления информационными рисками. В-третьих, расчет совокупности детализированных не только качественных, но и количественных оценок рисков, адекватных заявленным целям бизнеса. В-четвертых, применение специального инструментария оценивания и управления рисками. Давайте рассмотрим некоторые качественные и количественные международные методики управления информационными рисками, обращая основное внимание на возможность их адаптации и применения в отечественных условиях.

3. Качественные методики управления рисками

Качественные методики управления рисками приняты на вооружение в технологически развитых странах многочисленной армией внутренних и внешних IT-аудиторов. Эти методики достаточно популярны и относительно просты, и разработаны, как правило, на основе требований международного стандарта ISO 177992002. История развития которого началась в 1993 году, когда Министерство торговли Великобритании опубликовало пособие, посвященное практическим аспектам обеспечения информационной безопасности (ИБ). Пособие оказалось настолько удачным, что его стали использовать администраторы безопасности многих организаций. Позже доработанная версия этого пособия была принята в качестве британского стандарта BS7799 "Практические правила управления информационной безопасностью" (1995). Стандарт стали применять на добровольной основе не только в Великобритании, но и в других странах. В 1998 году вышла вторая часть стандарта, посвященная вопросам аудита информационной безопасности. В 2000 году был принят международный стандарт ISO 17799, в основу которого был положен BS7799. В сентябре 2002 года основные положения ISO 17799 были пересмотрены и дополнены с учетом развития современных информационных технологий и требований к организации режима ИБ. Сегодня это наиболее распространенный стандарт во всем мире среди организаций и предприятий, которые используют подобные стандарты на добровольной основе.

Стандарт ISO 17799 содержит две части.

В Части 1: Практические рекомендации по управлению информационной безопасностью, 2002 г., определены основные аспекты организации режима информационной безопасности в компании:

*Политика безопасности

* Организация защиты

* Классификация и управление информационными ресурсами

* Управление персоналом

* Физическая безопасность

* Администрирование компьютерных систем и сетей

* Управление доступом к системам

* Разработка и сопровождение систем

* Планирование бесперебойной работы организации

* Проверка системы на соответствие требованиям ИБ

Часть 2: Спецификации, 2002 г., рассматривает эти же аспекты с точки зрения сертификации режима информационной безопасности компании на соответствие требованиям стандарта. С практической точки зрения эта часть является инструментом для ITаудитора и позволяет оперативно проводить внутренний или внешний аудит информационной безопасности любой компании. К качественным методикам управления рисками на основе требований ISO 17999 относятся методики COBRA и RA Software Tool.

Немного о названных методиках :

COBRA

Во второй половине 90х годов компания C & A Systems Security Ltd. разработала одноименные методику и соответствующий инструментарий для анализа и управления информационными рисками под названием COBRA. Эта методика позволяет выполнить в автоматизированном режиме простейший вариант оценивания информационных рисков любой компании. Для этого предлагается использовать специальные электронные базы знаний и процедуры логического вывода, ориентированные на требования ISO 17799. Существенно, что при желании перечень учитываемых требований можно дополнить различными требованиями отечественных нормативнорегулирующих органов, например, требованиями руководящих документов (РД) Гостехкомиссии при Президенте РФ. Методика COBRA представляет требования стандарта ISO 17799 в виде тематических вопросников (check list's), на которые следует ответить в ходе оценки рисков информационных активов и электронных бизнестранзакций компании (рис.1) Далее введенные ответы автоматически обрабатываются, и с помощью соответствующих правил логического вывода формируется итоговый отчет c текущими оценками информационных рисков компании и рекомендациями по их управлению.

RA Software Tool

Методика и одноименное инструментальное средство RA Software Tool (рис.2.) основаны на требованиях международных стандартов ISO 17999 и ISO 13335 (части 3 и 4), а также на требованиях некоторых руководств Британского национального института стандартов (BSI), например, PD 3002 (Руководство по оценке и управлению рисками), PD 3003 (Оценка готовности

Рис. 1

компании к аудиту в соответствии с BS 7799), PD 3005 (Руководство по выбору системы защиты) и пр.

Эта методика позволяет выполнять оценку информационных рисков (модули 4 и 5) в соответствии с требованиями ISO 17799, а при желании в соответствии с более детальными спецификациями руководства PD 3002 Британского института стандартов.

Рис.2

4. Количественные методики управления рисками

Вторую группу методик управления рисками составляют количественные методики, актуальность которых обусловлена необходимостью решения различных оптимизационных задач, которые часто возникают в реальной жизни. Суть этих задач сводится к поиску единственного оптимального решения, из множества существующих. Например, необходимо ответить на следующие вопросы: "Как, оставаясь в рамках утвержденного годового (квартального) бюджета на информационную безопасность, достигнуть максимального уровня защищенности информационных активов компании?" или "Какую из альтернатив построения корпоративной защиты информации (защищенного WWW сайта или корпоративной е-mail) выбрать с учетом известных ограничений бизнесресурсов компании?" Для решения этих задач и разрабатываются методы и методики количественной оценки и управления рисками на основе структурных и реже объектно-ориентированных методов системного анализа и проектирования (SSADM -- Structured Systems Analysis and Design). На практике такие методики управления рисками позволяют

* Создавать модели информационных активов компании с точки зрения безопасности

* Классифицировать и оценивать ценности активов

* Составлять списки наиболее значимых угроз и уязвимостей безопасности

* Ранжировать угрозы и уязвимости безопасности

* Обосновывать средства и меры контроля рисков

* Оценивать эффективность/стоимость различных вариантов защиты

* Формализовать и автоматизировать процедуры оценивания и управления рисками.

Одной из наиболее известных методик этого класса является методика CRAMM.

CRAMM

В 1985 году Центральное агентство по компьютерам и телекоммуникациям (CCTA) Великобритании начало исследования существующих методов управления информационной безопасностью для выдачи рекомендаций по их использованию в правительственных организациях, обрабатывающих конфиденциальную информацию. Ни один из рассмотренных методов не подошел. Поэтому сначала был создан метод, а затем одноименная методика CRAMM (анализа и контроля рисков), соответствующая требованиям CCTA. Затем появилось несколько версий методики, ориентированных на требования различных государственных и коммерческих организаций и структур. Одна из версий "коммерческого профиля" широко распространилась на рынке средств защиты информации.

Основными целями методики CRAMM являются:

* Формализация и автоматизация процедур анализа и управления рисками; * Оптимизация расходов на средства контроля и защиты

* Комплексное планирование и управление рисками на всех стадиях жизненного цикла информационных систем

* Сокращение времени на разработку и сопровождение корпоративной системы защиты информации

* Обоснование эффективности предлагаемых мер защиты и средств контроля

* Управление изменениями и инцидентами

* Поддержка непрерывности бизнеса

* Оперативное принятие решений по вопросам управления безопасностью и пр.

Управление рисками в методике СRAMM осуществляется в несколько этапов (рис. 3).

Рис.3

На первом этапе инициации -- "Initiation" -- определяются границы исследуемой информационной системы компании, состав и структура ее основных информационных активов и транзакций.

На этапе идентификации и оценки ресурсов -- "Identification and Valuation of Assets" -- четко идентифицируются активы и определяется их стоимость. Расчет стоимости информационных активов однозначно позволяет определить необходимость и достаточность предлагаемых средств контроля и защиты.

На этапе оценивания угроз и уязвимостей -- "Threat and Vulnerability Assessment" -- идентифицируются и оцениваются угрозы и уязвимости информационных активов компании.

Этап анализа рисков -- "Risk Analysis" -- позволяет получить качественные и количественные оценки рисков.

На этапе управления рисками -- "Risk management" -- предлагаются меры и средства уменьшения или уклонения от риска.

Давайте рассмотрим возможности CRAMM на следующем примере. Пусть проводится оценка информационных рисков следующей корпоративной информационной системы (рис. 4).

В этой схеме условно выделим следующие элементы системы:

* рабочие места, на которых операторы вводят информацию, поступающую из внешнего мира

Рис.4

* почтовый сервер, на который информация поступает с удаленных узлов сети через Интернет

* сервер обработки, на котором установлена СУБД

* сервер резервного копирования

* рабочие места группы оперативного реагирования

* рабочее место администратора безопасности

* рабочее место администратора БД.

Функционирование системы осуществляется следующим образом. Данные, введенные с рабочих мест пользователей и поступившие на почтовый сервер, направляются на сервер корпоративной обработки данных. Затем данные поступают на рабочие места группы оперативного реагирования и там принимаются соответствующие решения.

Анализ рисков с помощью методики CRAMM и некоторые средства контроля и управления рисками, адекватные целям и задачам бизнеса компании.

Определение границ исследования. Этап начинается с решения задачи определения границ исследуемой системы. Для этого собирается следующая информация: ответственные за физические и программные ресурсы; кто является пользователем и как пользователи применяют или будут использовать систему; конфигурация системы. Первичная информация собирается в процессе бесед с менеджерами проектов, менеджером пользователей или другими сотрудниками.

Идентификация ресурсов и построение модели системы с точки зрения ИБ. Проводится идентификация ресурсов: материальных, программных и информационных, содержащихся внутри границ системы. Каждый ресурс необходимо отнести к одному из предопределенных классов. Классификация физических ресурсов приводится в приложении. Затем строится модель информационной системы с точки зрения ИБ. Для каждого информационного процесса, имеющего самостоятельное значение с точки зрения пользователя и называемого пользовательским сервисом (EndUserService), строится дерево связей используемых ресурсов. В рассматриваемом примере будет единственный подобный сервис (рис. 5). Построенная модель позволяет выделить критичные элементы.

Ценность ресурсов. Методика позволяет определить ценность ресурсов. Этот шаг является обязательным в полном варианте анализа рисков. Ценность физических ресурсов в данном методе определяется ценой их восстановления в случае разрушения.

Ценность данных и программного обеспечения определяется в следующих ситуациях:

* недоступность ресурса в течение определенного периода времени

* разрушение ресурса -- потеря информации, полученной со времени последнего резервного копирования или ее полное разрушение

* нарушение конфиденциальности в случаях несанкционированного доступа штатных сотрудников или посторонних лиц

* модификация рассматривается для случаев мелких ошибок персонала (ошибки ввода), программных ошибок, преднамеренных ошибок

* ошибки, связанные с передачей информации: отказ от доставки, недоставка информации, доставка по неверному адресу. Для оценки возможного ущерба предлагается использовать следующие критерии:

* ущерб репутации организации

* нарушение действующего законодательства

* ущерб для здоровья персонала

* ущерб, связанный с разглашением персональных данных отдельных лиц; * финансовые потери от разглашения информации

* финансовые потери, связанные с восстановлением ресурсов

* потери, связанные с невозможностью выполнения обязательств

* дезорганизация деятельности.

Приведенная совокупность критериев используется в коммерческом варианте метода (профиль Standard). В других версиях совокупность будет иной, например, в версии, используемой в правительственных учреждениях, добавляются параметры, отражающие такие области, как национальная безопасность и международные отношения.

Для данных и программного обеспечения выбираются применимые к данной ИС критерии, дается оценка ущерба по шкале со значениями от 1 до 10.

К примеру, если данные содержат подробности коммерческой конфиденциальной (критичной) информации, эксперт, проводящий исследование, задает вопрос: как может повлиять на организацию несанкционированный доступ посторонних лиц к этой информации?

Возможен такой ответ: провал сразу по нескольким параметрам из перечисленных выше, причем каждый аспект следовало бы рассмотреть подробнее и присвоить самую высокую из возможных оценок.

Затем разрабатываются шкалы для выбранной системы параметров. Они могут выглядеть следующим образом.

Ущерб репутации организации: 2 -- негативная реакция отдельных чиновников, общественных деятелей; 4 -- критика в средствах массовой информации, не имеющая широкого общественного резонанса; 6 -- негативная реакция отдельных депутатов Думы, Совета Федерации; 8 -- критика в средствах массовой информации, имеющая последствия в виде крупных скандалов, парламентских слушаний, широкомасштабных проверок и т. п.; 10 -- негативная реакция на уровне Президента и Правительства.

Ущерб для здоровья персонала: 2 -- минимальный ущерб (последствия не связаны с госпитализаций или длительным лечением); 4 -- ущерб среднего размера (необходимо лечение для одного или нескольких сотрудников, но длительных отрицательных последствий нет); 6 -- серьезные последствия (длительная госпитализация, инвалидность одного или нескольких сотрудников); 10 -- гибель людей.

Финансовые потери, связанныес восстановлением ресурсов: 2 -- менее $1000; 6 -- от $1000 до $10 000; 8 -- от $10 000 до $100 000; 10 -- свыше $100 000.

Дезорганизация деятельностив связи с недоступностью данных: 2 -- отсутствие доступа к информации до 15 минут; 4 -- отсутствие доступа к информации до 1 часа; 6 -- отсутствие доступа к информации до 3 часов; 8 -- отсутствие доступа к информации от 12 часов; 10 -- отсутствие доступа к информации более суток.

Далее рассматриваются основные сценарии, приводящие к различным негативным последствиям, описываемым в терминах выбранных параметров (рис.5).

На этом этапе может быть подготовлено несколько типов отчетов (границы системы, модель, определение ценности ресурсов). Если ценности ресурсов низкие, можно использовать базовый вариант защиты. В таком случае исследователь может перейти от этой стадии сразу к стадии анализа рисков. Однако для адекватного учета потенциального воздействия какойлибо угрозы, уязвимости или комбинации угроз и уязвимостей, которые имеют высокие уровни, следует использовать сокращенную версию стадии оценки угроз и уязвимостей. Это позволяет разработать более эффективную систему защиты информации компании.

Рис.5

На этапе оценивания угроз и уявимостей оцениваются зависимости пользовательских сервисов от определенных групп ресурсов и существующий уровень угроз и уязвимостей.

Далее активы компании группируются с точки зрения угроз и уязвимостей.Например, в случае наличия угрозы пожара или кражи, в качестве группы ресурсов разумно рассмотреть все ресурсы, находящиеся в одном месте (серверный зал, комната средств связи и т. д.).

При этом оценка уровней угроз и уязвимостей может проводиться на основе косвенных факторов или на основе прямых оценок экспертов. В первом случае программное обеспечение CRAMM для каждой группы ресурсов и каждого из них генерирует список вопросов, допускающих однозначный ответ (рис. 6).

Рис.6.

Уровень угроз оценивается, в зависимости от ответов, как: * очень высокий;

* высокий;

* средний;

* низкий;

* очень низкий.

Уровень уязвимости оценивается, в зависимости от ответов, как:

* высокий;

* средний;

* низкий;

* отсутствует.

Возможно проведение коррекции результатов или использование других методов оценки. На основе этой информации рассчитываются уровни рисков в дискретной шкале с градациями от 1 до 7 (этап анализа рисков). Полученные уровни угроз, уязвимостей и рисков анализируются и согласовываются с заказчиком. Только после этого можно переходить к заключительной стадии метода.

Управление рисками. Основные шаги стадии управления рисками представлены на рис. 7.

Рис.7

На этом этапе CRAMM генерирует несколько вариантов мер противодействия, адекватных выявленным рискам и их уровням. Контрмеры разбиваются на группы и подгруппы по следующим категориям:

* Обеспечение безопасности на сетевом уровне

* Обеспечение физической безопасности

* Обеспечение безопасности поддерживающей инфраструктуры

* Меры безопасности на уровне системного администратора.

В результате выполнения данного этапа формируется несколько видов отчетов.

Таким образом, рассмотренная методика анализа и управления рисками полностью применима и в российских условиях, несмотря на то, что показатели защищенности от НСД к информации и требования по защите информации различаются в российских РД и зарубежных стандартах. Особенно полезным представляется использование инструментальных средств типа метода CRAMM при проведении анализа рисков информационных систем с повышенными требованиями в области ИБ. Это позволяет получать обоснованные оценки существующих и допустимых уровней угроз, уязвимостей, эффективности защиты.

Методика MethodWare.

Компания MethodWare разработала свою собственную методику оценки и управления рисками и выпустила ряд соответствующих инструментальных средств.

К этим средствам относятся: * ПО анализа и управления рисками Operational Risk Builder и Risk Advisor. Методика соответствует австралийскому стандарту Australian/New Zealand Risk Management Standard (AS/NZS 4360:1999) и стандарту ISO17799. * ПО управления жизненным циклом информационной технологии в соответствии с CobiT Advisor 3rd Edition (Audit) и CobiT 3rd Edition Management Advisor. В руководствах CobiT существенное место уделяется анализу и управлению рисками. * ПО для автоматизации построения разнообразных опросных листов Questionnaire Builder.

Кратко о возможностях Risk Advisor. Это ПО позиционируется как инструментарий аналитика или менеджера в области информационной безопасности. Реализована методика, позволяющая задать модель информационной системы с позиции информационной безопасности, идентифицировать риски, угрозы, потери в результате инцидентов. Основными этапами работы являются: описание контекста, определение рисков, оценка угроз и возможного ущерба, выработка управляющих воздействий и разработка плана восстановления и действий в чрезвычайных ситуациях.

Рассмотрим перечисленные этапы подробнее. Описание контекста. На этапе описания контекста описывается модель взаимодействия организации с внешним миром в нескольких аспектах: стратегическом, организационном, бизнесцели, управление рисками, критерии. Стратегический аспект описывает сильные и слабые стороны организации с внешних позиций, варианты развития, классы угроз и отношения с партнерами. Организационный контекст описывает отношения внутри организации: стратегию, цели на организационном уровне, внутреннюю политику. Контекст управления рисками описывает концепцию информационной безопасности. Контекст бизнесцелей -- основные бизнесцели. Критерии оценки -- критерии оценки, используемые при управлении рисками.

Описание рисков.

Задается матрица рисков (рис. 8 - Идентификация и определение рисков) на основе некоторого шаблона.

Рис.8

Риски оцениваются по качественной шкале и разделяются на приемлемые и неприемлемые (рис. 9. - Разделение рисков на приемлемые и неприемлемые в Risk Advisor).

Рис.9

Затем выбираются управляющие воздействия (контрмеры) с учетом зафиксированной ранее системы критериев, эффективности контрмер и их стоимости. Стоимость и эффективность также оцениваются в качественных шкалах.

Описание угроз. В начале формируется список угроз. Угрозы определенным образом классифицируются, затем описывается связь между рисками и угрозами. Описание также делается на качественном уровне и позволяет зафиксировать их взаимосвязи.

Описание потерь. Описываются события (последствия), связанные с нарушением режима информационной безопасности. Потери оцениваются в выбранной системе критериев.

Анализ результатов. В результате построения модели можно сформировать подробный отчет (около 100 разделов), посмотреть на экране агрегированные описания в виде графа рисков.

Рассмотренная методика позволяет автоматизировать различные аспекты управления рисками компании. При этом оценки рисков даются в качественных шкалах. Подробный анализ факторов рисков не предусмотрен. Сильной стороной рассмотренной методики является возможность описания различных связей, адекватный учет многих факторов риска и существенно меньшая трудоемкость по сравнению с CRAMM.

К недостаткам этих методик и , как правило, ко всем западным разработкам , можно отнести следующее:

· Использование методик требует специальной подготовки и высокой квалификации аудитора;

· В гораздо большей степени подходит для аудита уже существующих ИС, находящихся на стадии эксплуатации, нежели чем для ИС, находящихся на стадии разработки;

· Аудит по методикам - процесс достаточно трудоемкий и может потребовать месяцев непрерывной работы аудитора;

· Программный инструментарий генерирует большое количество бумажной документации, которая не всегда оказывается полезной на практике;

· Не позволяет создавать собственные шаблоны отчетов или модифицировать имеющиеся;

· Возможность внесения дополнений в базу знаний не доступна пользователям, что вызывает определенные трудности при адаптации этого метода к потребностям конкретной организации.

· ПО существует только на английском языке

· Высокая стоимость лицензии

Для решения задач анализа и управления рисками был разработан российский продукт ГРИФ (компания Digital Security)

ГРИФ

Для проведения полного анализа информационных рисков, прежде всего, необходимо построить полную модель информационной системы с точки зрения ИБ. Для решения этой задачи ГРИФ, в отличие от представленных на рынке западных систем анализа рисков, которые громоздки, сложны в использовании и часто не предполагают самостоятельного применения ИТ-менеджерами и системными администраторами, ответственными за обеспечение безопасности информационных систем компаний, обладает простым и интуитивно понятным для пользователя интерфейсом. Однако за внешней простотой скрывается сложнейший алгоритм анализа рисков, учитывающий более ста параметров, который позволяет на выходе дать максимально точную оценку существующих в информационной системе рисков, основанную на глубоком анализе особенностей практической реализации информационной системы. Основная задача системы ГРИФ - дать возможность ИТ менеджеру самостоятельно (без привлечения сторонних экспертов) оценить уровень рисков в информационной системе, оценить эффективность существующей практики по обеспечению безопасности компании и иметь возможность доказательно (в цифрах) убедить ТОП-менеджмент компании в необходимости инвестиций в сферу информационной безопасности компании

На первом этапе метода ГРИФ проводится опрос ИТ-менеджера с целью определения полного списка информационных ресурсов, представляющих ценность для компании.

На втором этапе проводится опрос ИТ-менеджера с целью ввода в систему ГРИФ всех видов информации, представляющей ценность для компании. Введенные группы ценной информации должны быть размещены пользователем на ранее указанных на предыдущем этапе объектах хранения информации (серверах, рабочих станциях и т.д.). Заключительная фаза - указание ущерба по каждой группе ценной информации, расположенной на соответствующих ресурсах, по всем видам угроз.

Рис. 10.

На третьем этапе вначале проходит определение всех видов пользовательских групп (и число пользователей в каждой группе). Затем определяется, к каким группам информации на ресурсах имеет доступ каждая из групп пользователей. В заключение определяются виды (локальный и/или удаленный) и права (чтение, запись, удаление) доступа пользователей ко всем ресурсам, содержащих ценную информацию.

На четвертом этапе проводится опрос ИТ-менеджера для определения средств защиты информации, которыми защищена ценная информация на ресурсах. Кроме того, в систему вводится информация о разовых затратах на приобретение всех применяющихся средств защиты информации и ежегодные затраты на их техническую поддержку, а также - ежегодные затраты на сопровождение системы информационной безопасности компании.(рис. 11)

Рис.11.

На завершающем этапе пользователь должен ответить на список вопросов по политике безопасности, реализованной в системе, что позволяет оценить реальный уровень защищенности системы и детализировать оценки рисков. Наличие средств информационной защиты, отмеченных на первом этапе, само по себе еще не делает систему защищенной в случае их неадекватного использования и отсутствия комплексной политики безопасности, учитывающей все аспекты защиты информации, включая вопросы организации защиты, физической безопасности, безопасности персонала, непрерывности ведения бизнеса и т.д.

В результате выполнения всех действий по данным этапам, на выходе сформирована полная модель информационной системы с точки зрения информационной безопасности с учетом реального выполнения требований комплексной политики безопасности, что позволяет перейти к программному анализу введенных данных для получения комплексной оценки рисков и формирования итогового отчета.

Отчет по системе

Отчет представляет собой подробный, дающий полную картину возможного ущерба от инцидентов документ, готовый для представления руководству компании (рис. 12):

Рис.12

К недостаткам ГРИФ можно отнести:

· отсутствие привязки к бизнесс-процессам (запланировано в следующей версии)

· нет возможности сравнения отчетов на разных этапах внедрения комплекса мер по обеспечению защищенности (запланировано в следующей версии)

· отсутствует возможность добавить специфичные для данной компании требования политики безопасности.

Заключение

Современные методики и технологии управления информационными рисками позволяют оценить существующий уровень остаточных информационных рисков в отечественных компаниях. Это особенно важно в тех случаях, когда к информационной системе компании предъявляются повышенные требования в области защиты информации и непрерывности бизнеса.

Сегодня существует ряд методик анализа рисков, в том числе с использованием CASE-средств, адаптированных к использованию в отечественных условиях. Существенно, что качественно выполненный анализ информационных рисков позволяет провести сравнительный анализ "эффективность/стоимость" различных вариантов защиты, выбрать адекватные контрмеры и средства контроля, оценить уровень остаточных рисков. Кроме того, инструментальные средства анализа рисков, основанные на современных базах знаний и процедурах логического вывода, позволяют построить структурные и объектно-ориентированные модели информационных активов компании, модели угроз и модели рисков, связанных с отдельными информационными и бизнестранзакциями и, следовательно, выявлять такие информационные активы компании, риск нарушения защищенности которых является критическим, то есть неприемлемым.

Такие инструментальные средства предоставляют возможность построить различные модели защиты информационных активов компании, сравнивать между собой по критерию "эффективность/стоимость" различные варианты комплексов мер защиты и контроля, а также вести мониторинг выполнения требований по организации режима информационной безопасности отечественной компании.

Таким образом, методику проведения анализа рисков предприятия и инструментальные средства, поддерживающие ее, следует выбирать, учитывая следующие факторы: наличие экспертов в области оценки риска, статистики по инцидентам нарушения информационной безопасности, точной количественной оценки или достаточно оценки на качественном уровне.

Источники

1. Современные технологии анализа рисков в информационных системах (PCWEEK N37'2001), Сергей Симонов

2. http://www.bugtraq.ru/library/security/itrisk.html - информационная безопасность

3. http://www.dsec.ru/products/grif - сайт компании

4. http://www.securitylab.ru/

5. http://www.bre.ru/ - Прогноз финансовых рисков

6. http://www.bytemag.ru/ - журнал

7. http://www.citforum.ru/ - аналитическое Интернет-издание