Методи управління ризиками інформаційної безпеки CRAMM та COBIT 5 for Risk

Размещено на http://allbest.ru

¹ Інститут спеціального зв'язку та захисту інформації

² Національний університет оборони України

Сидоркін Павло Григорович 1

Горліченко Сергій Олександрович 1

Некоз Василь Сергійович 1

Шилан Микола Володимирович 2

Вступ

Постановка проблеми. У сучасних умовах агресії Російської Федерації проти України спостерігається тенденція до зростання кількості нападів на об'єкти критичної інфраструктури і стратегічні промислові об'єкти нашої держави. Це призводить до виведення з ладу систем життєзабезпечення промисловості, що вже спричинило глобальну техногенну катастрофу (знищення греблі Каховської гідроелектростанції). Водночас, ризики інформаційної безпеки (далі - ІБ) входять до категорії найбільш ймовірних ризиків, поряд із природніми катаклізмами, екстремальними погодними умовами та іншими.), Також вони містяться у переліку з шести найбільш критичних ризиків за можливою шкодою. Цей список включає ризики пов'язані із застосуванням зброї масового ураження, природними катаклізмами, погодними аномаліями та нестачею питної води. Рівень захисту об'єктів інформаційної діяльності залежить від ризиків ІБ, що зростають через збільшення кількості реалізованих нападів і з урахуванням їх руйнівного потенціалу. Управління ризиками ІБ та їх підтримка на прийнятному рівні є важливою функцією підприємства (організації, установи) (далі - установа), що реалізується за допомогою комплексних систем захисту інформації. Створення таких систем потребує вибору засобів захисту, що забезпечують зниження впливу потенційних ризиків та виявлених під час аналізу ризиків ІБ без суттєвих витрат на впровадження цих засобів та їх підтримку в робочому стані. Результатом проведеного аналізу ризиків ІБ може бути визначення потрібної та достатньої сукупності засобів захисту інформації, рекомендований перелік організаційних заходів, спрямованих на зниження ризиків ІБ та розроблена (удосконалена) архітектура системи ІБ установи. Це дає змогу створити ефективну систему захисту, яка враховує специфіку діяльності конкретної установи та спрямована на зниження саме її ризиків ІБ. За таких умов процес управління ризиками складається з двох етапів.

Першим етапом управління ризиками є прийняття рішення відносно ризиків ІБ, що мають бути ідентифіковані та оцінені з погляду шкоди для ІБ установи та ймовірності реалізації ризиків.

Другим етапом управління ризиками є ранжування ризиків щодо визначення пріоритетності під час реагування на ризики для подальшого розроблення плану реагування.

Склад і наповнення наведених етапів залежить від методів управління ризиками та їх оцінювання. Тому питання вибору оптимальних і ефективних методів для управління ризиками ІБ установи та їх оцінювання є важливим науковим завданням. Для вирішення цього завдання потрібно провести аналіз відомих методів управління ризиками.

Аналіз останніх досліджень і публікацій. В Україні розроблено і затверджено низку нормативних документів, що регулюють основні засади інформаційної безпеки, зокрема кібербезпеки стосовно необхідності оцінювання ефективності систем захисту установ та об'єктів критичної інфраструктури, проте єдиного розуміння щодо використання методів оцінювання ризиків ІБ для них не наведено [1; 2]. Водночас, у світі розроблено низку міжнародних стандартів для систем управління інформаційною безпекою, що визначають вимоги до системи управління ІБ управління ризиками, метрики і вимірювання, а також керівництво з їх впровадження. Аналіз цих стандартів проведено у декількох наукових публікаціях. Так, у статті [3] зазначені принципи системного підходу, що мають використовуватися під час оцінювання ризиків безпеки інформації. Докладно описуються лише методи аналізу Magerit та Mehari. В роботі [4] розглянуто загальні положення щодо оцінювання і управління ризиками кібер- і інформаційної безпеки, наведені критерії вибору методів оцінки і управління ризиками та проведено короткий аналіз відомих методів відповідно до критеріїв вибору.

У роботі [5] наведено переваги та недоліки програмного забезпечення для визначення і оцінювання ризиків інформаційної безпеки (CRAMM, CORAS, Risk Watch, OCTAVE, Oracle Crystal Ball) і сформовано ряд рекомендацій щодо доцільності застосування розглянутих програмних засобів. Також у статті [6] проведено аналіз процедур оцінювання інформаційних ризиків з допомогою таких видів програмного забезпечення, як CRAMM, Risk Watch, ГРИФ 2006, NIST, COBRA, OCTAVE, що розроблені та функціонують згідно міжнародних стандартів. Слід зазначити, що у роботах [3-6] методологія COBIT for Risk не розглядалась.

Метою статті є проведення детального аналізу методів управління ризиками CRAMM та COBIT 5 for Risk для їх використання стосовно мінімізації впливу ризиків на інформаційну безпеку підприємства (організації, установи).

Виклад основного матеріалу дослідження

Метод аналізу та управління ризиками CRAMM (CCTA Risk Analysis and Management Method), розроблений 1985 року у Великобританії і базується на стандартах управління інформаційної безпеки серії BS7799 (переопрацьований в ISO 27000) та описує підхід до якісного оцінювання ризиків [7]. безпека загроза інформаційний

Водночас перехід до шкали значень якісних показників відбувається за допомогою спеціальних таблиць, що визначають відповідність між якісними і кількісними показниками.

Оцінювання ризику проводиться на основі аналізу функціонування інформаційних технологій (далі - ІТ), що використовуються в установі з урахуванням цінності ІТ-активу, вразливостей, загроз і ймовірностей їх реалізації відповідно до алгоритму (рис. 1) [3].

Рисунок 1 - Алгоритм реалізації методу CRAMM

Процес управління ризиками за методом CRAMM складається з таких етапів:

Ініціювання (Initiation). Проводиться серія інтерв'ю із зацікавленими у процесі аналізу ризиків інформаційної безпеки особами, в тому числі з відповідальними за експлуатацію, адміністрування, забезпечення безпеки і використання ІТ-активів, для яких проводиться аналіз ризиків.

За підсумками надається формалізований опис області для подальшого дослідження, її меж і визначається склад залучених до аналізу ризиків осіб.

Ідентифікація й оцінювання ІТ-активів (Identification and Valuation of Assets). Визначається перелік ІТ-активів, що використовує організація у визначеній області дослідження. ІТ- активи можуть мати такий вид: дані; програмне забезпечення; фізичні носії.

Для кожного активу визначається його критичність для діяльності організації і спільно з представниками підрозділів, що використовують ІТ-актив для виконання завдань, оцінюються наслідки для діяльності організації від порушення його конфіденційності, цілісності та доступності.

Оцінювання загроз і вразливостей (Threat and Vulnerability Assessment). На доповнення до оцінювання критичності ІТ-активів, важливою є оцінювання ймовірності загроз і вразливостей ІТ-активів. Метод CRAMM містить таблиці, що описують відповідність між вразливостями ІТ-активів і загрозами, які можуть впливати на них завдяки цим вразливостям. Також маються таблиці, що описують шкоду для ІТ-активів у випадку реалізації цих загроз.

Цей етап виконується тільки для найбільш критичних ІТ- активів, для яких недостатньо впровадження базового набору заходів забезпечення ІБ. Визначення актуальних вразливостей і загроз проводиться шляхом інтерв'ювання осіб, що є відповідальними за адміністрування й експлуатацію ІТ-активів. Для решти ІТ-активів метод CRAMM містить набір потрібних базових заходів забезпечення інформаційної безпеки.

Визначення ризику (Risk Calculation) проводиться за виразом:

R = Р реаліз х S шк (1)

де Р реаліз = Р загрози? Р уразливості - ймовірність реалізації ризику;

S шк - шкода ІТ-активам за реалізації загроз.

На етапі визначення ризиків для кожного ІТ-активу визначаються вимоги до набору заходів із забезпечення його інформаційної безпеки за шкалою від «1» до «7», де значенню «1» відповідає мінімальний необхідний набір заходів із забезпечення інформаційної безпеки, а значенню «7» - максимальний.

Визначення ризику (Risk Management). На основі визначеного ризику за виразом (1) розробляється перелік заходів із забезпечення інформаційної безпеки. Для цього використовується спеціальний каталог, що містить до 4 тис. заходів. Рекомендований перелік заходів порівнюється із заходами, які вже застосовані. В підсумку ідентифікуються області, що вимагають додаткової уваги в частині застосування заходів захисту, і області з надлишковими заходами захисту. Ця інформація використовується для формування плану дій зі зміни переліку заходів захисту, що застосовуються в організації з метою приведення рівня ризиків до потрібного стану.

З погляду практичного застосування слід виділити такі переваги методу CRAMM:

· апробований метод, за яким накопичено значний досвід і професійні компетенції;

· наявність зрозумілого формалізованого опису зводить до мінімуму можливість виникнення помилок за реалізації процесів аналізу та управління ризиками;

· наявність засобів автоматизації аналізу ризиків дає змогу мінімізувати трудові витрати і час виконання заходів з аналізу та управління ризиками;

· каталоги загроз, вразливостей, наслідків, заходів забезпечення інформаційної безпеки спрощують вимоги до спеціальних знань і компетентності безпосередніх виконавців заходів з аналізу та управління ризиками.

Основними недоліками методу CRAMM є: складність і трудомісткість збору початкових даних, що потребує залучення значних ресурсів усередині організації або ззовні;

· великі витрати ресурсів і часу на реалізацію процесів аналізу та управління ризиками

· інформаційної безпеки;

· залучення великої кількості зацікавлених осіб потребує значних витрат на організацію спільної роботи, комунікацій всередині проєктної команди та узгодження підсумків;

· неможливість оцінити ризики у грошовому еквіваленті ускладнює використання підсумків оцінювання ризиків інформаційній безпеці за техніко-економічного обґрунтування інвестицій, потрібних для впровадження засобів і методів захисту інформації.

Метод CRAMM застосовується як в урядових, так і в комерційних установах, і є фактично стандартом управління ризиками інформаційної безпеки у Великобританії. Метод може бути використаний в установах, що орієнтовані на міжнародну взаємодію та відповідають міжнародним стандартам управління, які здійснюють первісне впровадження процесів управління ризиками ІБ. Водночас така установа має виділяти значні ресурси і час на впровадження методу CRAMM та використання у своїй діяльності.

Відомим методом управління ризиками є COBIT 5 for Risk (Control Objectives for Information and Related Technologies - завдання управління за інформаційними та суміжними технологіями) (далі - COBIT), що є методологію управління інформаційними технологіями. Зазначена методологія розроблена асоціацією ISACA (Information Systems Audit and Control Association) базується на найкращих практиках управління ризиками (COSO ERM, ISO 31000, ISO\IEC 27000) [8]. Методологія COBIT розглядає ризики ІБ стосовно основної діяльності установи, описує підходи до реалізації функції управління ризиками ІБ в установі до процесів якісного аналізу ризиків інформаційної безпеки і управління ними. Структура методології наведена на рис. 2.

Рисунок 2 - Структура методології COBIT 5 for Risk

Компоненти установи стосовно опису функцій та процесів управління ризиками за методологією COBIT наведені на рис 3. Компонентами функції управління ризиками є: процеси, організаційна структура, культура та поведінка, принципи політики, процедури, інформація, пропозиції та ІТ-сервіси, персонал і компетенції. До процесу управління ризиками слід віднести: процес, що містить ризик, ризикові сценарії - віднесення сценаріїв і паролів, інші документи з бібліотеки COBIT. Під час реалізації функції управління ризиками в установі методологія COBIT виділяє компоненти, що впливають як на ризики інформаційної безпеки, так і на процес управління ними, а саме: принципи політики, процедури організації; процеси; організаційна структура; корпоративна культура, етика і правила поведінки; інформація; ІТ-сервіси, ІТ-інфраструктура і додатки; персонал, його досвід і компетенції.

Основним елементом аналізу та управління ризиками ІБ згідно з COBIT є ризикові сценарії. Кожний сценарій є «описом події, яка у випадку виникнення, може призвести до невизначеного (позитивного чи негативного) впливу на досягнення цілей організації».

Рисунок 3 - Компоненти установи стосовно опису функцій та процесів управління ризиками за методологією COBIT

Методологія містить більш, ніж 100 ризикових сценаріїв, що охоплюють категорії впливу:

· створення та обслуговування портфелів ІТ-проєктів;

· управління життєвим циклом програми / проєкту;

· інвестиції в ІТ; експертиза і навички персоналу ІТ;

· операції з персоналом; інформація; архітектура;

· ІТ-інфраструктура; програмне забезпечення;

· неефективне використання ІТ;

· вибір та управління постачальниками ІТ;

· відповідність нормативним вимогам;

· геополітика; викрадання елементів інфраструктури;

· шкідливе програмне забезпечення;

· логічні напади; техногенний вплив;

· навколишнє середовище; природні явища; інновації.

Для кожного сценарію визначений ступінь його належності до конкретного типу ризиків:

· стратегічні ризики, що пов'язані з втраченими можливостями використання ІТ для розвитку та підвищення ефективності основної діяльності організації;

· проєктні ризики, що пов'язані з впливом ІТ на створення чи розвиток існуючих процесів організації;

· ризики управління ІТ і надання ІТ-сервісів, що пов'язанні із забезпеченням доступності, стабільності та надання користувачам ІТ-сервісів з потрібним рівнем якості, проблеми, що можуть призвести до втрат у основної діяльності організації.

Кожен ризиковий сценарій містить таку інформацію:

· тип джерела загрози - внутрішній або зовнішній;

· тип загрози - зловмисна дія, природне явище, помилка;

· опис події - доступ до інформації, знищення, внесення змін, розкриття інформації, крадіжка;

· типи активів (компонентів) організації, на які впливає подія

· - люди, процеси, ІТ-інфраструктура; час події.

У випадку реалізації ризикового сценарію діяльності організації заподіюється шкода. Таким чином, під час аналізу ризиків інформаційної безпеки у відповідності з методологією COBIT виявляються актуальні для організації ризикові сценарії і заходи щодо зниження ризиків, спрямованих на зменшення ймовірності реалізації цих сценаріїв. Для кожного з виявлених ризиків проводиться аналіз його відповідності ризик-апетиту установи з подальшим прийняттям одного з таких рішень: уникання ризику; прийняття ризику; передача ризику; зниження ризику.

Подальше управління ризиками ІБ здійснюється шляхом аналізу залишкового рівня ризиків і прийняття рішення про необхідність реалізації додаткових заходів зниження ризиків. Методологія містить рекомендації щодо впровадження заходів зниження ризиків стосовно кожного з типів компонентів організації (рис. 4).

Рисунок 4 - Рекомендації щодо впровадження заходів зниження ризиків

З погляду практичного застосування методології COBIT можна виділити такі переваги:

· зв'язок із загальною бібліотекою COBIT і можливість використовувати підходи та «ІТ-контролі» (заходів зі зниження ризиків) із суміжних областей, які дають змогу розглядати ризики ІБ і заходи щодо їх зниження відносно впливу ризиків на процеси установи;

· багаторазово апробований метод, за яким накопичений значний досвід і професійні компетенції, а підсумки якого визнаються міжнародними інститутами;

· наявність зрозумілого формалізованого опису методології дає змогу звести до мінімуму помилки під час реалізації процесів аналізу та управління ризиками;

· каталоги ризикових сценаріїв та «ІТ-контролів» дають змогу спростити вимоги щодо спеціальних знань і компетентності безпосередніх виконавців заходів з аналізу та управління ризиками;

· можливість використання методології під час проведення аудитів дає змогу знизити трудовитрати і потрібний час для інтерпретації підсумків зовнішніх і внутрішніх аудитів.

За таких умов методиці COBIT властиві такі недоліки та обмеження:

· складність і трудомісткість збору початкових даних потребує залучення значних ресурсів всередині установи або ззовні;

· залучення великої кількості зацікавлених осіб потребує значних витрат на організування їх спільної роботи, виділення часу на комунікації всередині проєктної команди та узгодження підсумків з усіма зацікавленими особами;

· відсутність можливості оцінювання ризиків у грошовому еквіваленті ускладнює використання підсумків оцінювання ризиків ІБ під час обґрунтування інвестицій, потрібних для впровадження засобів і методів захисту інформації [28].

Методологія COBIT використовується в установах різних форм власності та є найбільш придатною для великих технологічних підприємств із високим ступенем залежності основної діяльності від інформаційних технологій і мають потрібні ресурси і компетенції для використання цієї методології. В цьому випадку можлива ефективна інтеграція процесів управління ризиками інформаційної безпеки та процесів загального управління ІТ і досягнення синергетичного ефекту, який дасть змогу оптимізувати витрати на реалізацію процесів аналізу й управління ризиками інформаційної безпеки.

Таким чином, проведений аналіз методу CRAMM та методології COBIT 5 for Risk стосовно процесу управління ризиками інформаційної безпеки установи дав змогу визначити переваги та недоліки зазначених методів. Використання ризиково-орієнтованих підходів, реалізованих у розглянутих методах дає змогу побудувати більш ефективну систему безпеки для установ, захищати в першу чергу найбільш критичні для забезпечення функціонування об'єкти,

враховуючи актуальні загрози безпеки і технології, що застосовуються. Також слід відзначити важливість обміну інформацією про ризики, інциденти та загрози для спільної протидії новим викликам і загрозам.

Висновки й перспективи подальших досліджень

Розглянуті методи CRAMM та COBIT 5 for Risk зарекомендували себе як дієві та ефективні стосовно мінімізації впливу ризиків на інформаційну безпеку установ різних форм власності. Зазначені методи можна рекомендувати для застосування в управлінні критичною інфраструктурою з метою забезпечення їх безпеки [9], проте це вимагає належного нормативно-правового регулювання, оскільки від функціонування критичних об'єктів, значною мірою, залежить національна безпека держави. Крім того, потрібно розробляти (удосконалювати) конкретні вимоги, виконання яких дасть змогу забезпечити належний рівень захищеності. Водночас заходи забезпечення безпеки мають обиратися під конкретний об'єкт захисту з урахуванням його характеристик та особливостей функціонування.

Подальші дослідження слід спрямувати на розгляд та порівняльний аналіз інших методів і методик, де реалізовані ризиково-орієнтовані підходи (стандарти NIST SP 800-30 і ISO/IES 27005;2008).

Список бібліографічних посилань

1. Про основні засади забезпечення кібербезпеки України: Закон України від 5 жовтня 2017 року № 2163-VIII. URL: https://zakon.rada.gov.ua/laws/ show/2163-19#Text. (дата звернення: 30.08.2023).

2. Про рішення Ради нац.. безпеки і оборони Укр. «Про Стратегію нац.. безп. Укр.» від 14.09.2020: Указ През. Укр. від 14.09.2020. № 392/ 2020. URL :https://zakon.rada.gov.ua/ laws/show/ 392/2020 #Text. (дата зв.: 30.08.2023).

3. Потій О. В.,Горбенко Ю. І., Замула О. А., Ісірова К. В. Аналіз методів оцінки і управління ризиками кібер- і інформаційної безпеки Радіотехніка. 2021. Вип. 206.С. 5-23.

4. Потій О. В., Лєншин А. В. Дослідження методів оцінки ризиків безпеці інформації та розробка пропозицій з їх вдосконалення на основі системного підходу. Зб. наук. праць Харків. ХУПС. 2010. Вип. 2(24). C. 85-91.

5. Савельєва Т. В., Панаско О. М., Пригодюк О. М. Аналіз методів і засобів для реалізації ризик-орієнтованого підходу в контексті забезпеч. інформаційної безпеки підприємства. Вісник Черкаського державного технологічного університету. Сер: Технічні науки. 2018. № 1. С. 81-89.

6. Бучик С. С., Шалаєв В. О. Аналіз інструментальних методів визначення ризиків інформаційної безпеки інформаційно-телекомунікаційних систем. Наукоємні технології № 3(35). 2017. С. 215-226.

7. CRAMM user guide, Risk Analysis and Management Method, United Kingdom Central Computer and Telecommunication Agency (CCTA), UK, 2001.

8. COBIT 5: A Business Framework for the Governance and Management ofEnterprise ISACA, 2012.

9. Мельничук О. Управління критичною інфраструктурою держави: базові методи та критерії ідентифікації об'єктів. Державне управління та місцеве самоврядування. 2019. № 3(42). С. 13-27.

Abstract

Methods of management of information security risks CRAMM and COBIT 5 for Risk

Sydorkin Pavlo ¹ Horlichenko Serhii 1 Nekoz Vasyl1 Shylan Mykola 2