Методы выявления и оценки информационных рисков

Размещено на http://www.allbest.ru/

Размещено на http://www.allbest.ru/

Реферат

Методы выявления и оценки информационных рисков

Введение

Основные подходы к анализу рисков

Основой управления информационной безопасностью предприятия является анализ рисков. Фактически риск представляет собой интегральную оценку того, насколько эффективно существующие средства защиты способны противостоять информационным атакам.

Обычно выделяют две основные группы методов расчёта рисков безопасности. Первая группа позволяет установить уровень риска путём оценки степени соответствия определённому набору требований по обеспечению информационной безопасности. В качестве источников таких требований могут выступать:

• Нормативно-правовые документы предприятия, касающиеся вопросов информационной безопасности;

• Требования действующего российского законодательства - руководящие документы ФСТЭК (Гостехкомиссии), СТР-К, требования ФСБ РФ, ГОСТы и др.;

• Рекомендации международных стандартов - ISO 17799, OCTAVE, CoBIT и др.;

• Рекомендации компаний-производителей программного и аппаратного обеспечения - Microsoft, Oracle, Cisco и др.

Вторая группа методов оценки рисков информационной безопасности базируется на определении вероятности реализации атак, а также уровней их ущерба. В данном случае значение риска вычисляется отдельно для каждой атаки и в общем случае представляется как произведение вероятности проведения атаки на величину возможного ущерба от этой атаки. Значение ущерба определяется собственником информационного ресурса, а вероятность атаки вычисляется группой экспертов, проводящих процедуру аудита.

Методы первой и второй группы могут использовать количественные или качественные шкалы для определения величины риска информационной безопасности. В первом случае риск и все его параметры выражаются в числовых значениях. Так, например, при использовании количественных шкал вероятность проведения атаки может выражаться числом в интервале, а ущерб атаки может задаваться в виде денежного эквивалента материальных потерь, которые может понести организация в случае успешного проведения атаки. При использовании качественных шкал числовые значения заменяются на эквивалентные им понятийные уровни. Каждому понятийному уровню в этом случае будет соответствовать определённый интервал количественной шкалы оценки. Количество уровней может варьироваться в зависимости от применяемых методик оценки рисков.

Таким образом, при проведении полного анализа рисков необходимо:

• определить ценность ресурсов;

• добавить к стандартному набору список угроз, актуальных для исследуемой информационной системы;

• оценить вероятность угроз;

• определить уязвимость ресурсов;

• предложить решение, обеспечивающее необходимый уровень ИБ.

В процессе анализа рисков информационной безопасности могут использоваться специализированные программные комплексы, позволяющие автоматизировать процесс анализа исходных данных и расчёта значений рисков. Примерами таких комплексов являются «Гриф» и «Кондор» (компании «Digital Security»), британский CRAMM (компания Insight Consulting, подразделение Siemens), американский RiskWatch (компания RiskWatch), а также «АванГард» (Института Системного Анализа РАН).

риск информационный система ценность

Методология анализа рисков в ИС

При выполнении полного анализа рисков приходится решать ряд сложных проблем: как определить ценность ресурсов? как составить полный список угроз ИБ и оценить их параметры? как правильно выбрать эффективные контрмеры?

Процесс анализа рисков делится на несколько этапов:

• идентификация информационных ресурсов;

• выбор критериев оценки и определение потенциального негативного воздействия на ресурсы и приложения;

• оценка угроз;

• оценка уязвимостей;

• оценка рисков;

• оценка эффективности существующих и предполагаемых средств обеспечения информационной безопасности.

На основе анализа рисков выбираются средства, обеспечивающие режим ИБ. Ресурсы, значимые для бизнеса и имеющие определенную степень уязвимости, подвергаются риску, если по отношению к ним существует какая-либо угроза. При оценке рисков учитываются потенциальное негативное воздействие от нежелательных происшествий и показатели значимости рассматриваемых уязвимостей и угроз.

Риск характеризует опасность, которой может подвергаться система и использующая ее организация.

Степень риска зависит от ряда факторов:

• ценности ресурсов;

• вероятности реализации угроз;

• простоты использования уязвимости для реализации угроз;

• существующих или планируемых к внедрению средств обеспечения ИБ, которые уменьшают число уязвимостей, вероятность возникновения угроз и возможность негативных воздействий.

Определение ценности ресурсов

Ресурсы обычно подразделяются на несколько классов - например, физические, программные ресурсы, данные. Для каждого класса необходима своя методика определения ценности элементов, помогающая выбрать подходящий набор критериев. Эти критерии служат для описания потенциального ущерба, связанного с нарушением конфиденциальности и целостности ИС, уровня ее доступности.

Физические ресурсы оцениваются с точки зрения стоимости их замены или восстановления работоспособности. Эти стоимостные величины затем преобразуются в ранговую (качественную) шкалу, которая используется также для информационных ресурсов. Программные ресурсы оцениваются тем же способом, что и физические, на основе определения затрат на их приобретение или восстановление.

Если для информационного ресурса существуют особенные требования к конфиденциальности или целостности (например, если исходный текст имеет высокую коммерческую ценность), то оценка этого ресурса производится по той же схеме, т.е. в стоимостном выражении.

Кроме критериев, учитывающих финансовые потери, коммерческие организации могут применять критерии, отражающие:

• ущерб репутации организации;

• неприятности, связанные с нарушением действующего законодательства;

• ущерб для здоровья персонала;

• ущерб, связанный с разглашением персональных данных отдельных лиц;

• финансовые потери от разглашения информации;

• финансовые потери, связанные с восстановлением ресурсов;

• потери, связанные с невозможностью выполнения обязательств;

• ущерб от дезорганизации деятельности.

Могут использоваться и другие критерии в зависимости от профиля организации. К примеру, в правительственных учреждениях прибегают к критериям, отражающим специфику национальной безопасности и международных отношений.

Оценка характеристик факторов риска

Ресурсы должны быть проанализированы с точки зрения оценки воздействия возможных атак (спланированных действий внутренних или внешних злоумышленников) и различных нежелательных событий естественного происхождения. Такие потенциально возможные события будем называть угрозами безопасности. Кроме того, необходимо идентифицировать уязвимости - слабые места в системе защиты, которые делают возможной реализацию угроз.

Вероятность того, что угроза реализуется, определяется следующими основными факторами:

• привлекательностью ресурса (этот показатель учитывается при рассмотрении угрозы умышленного воздействия со стороны человека);

• возможностью использования ресурса для получения дохода (показатель учитывается при рассмотрении угрозы умышленного воздействия со стороны человека);

• простотой использования уязвимости при проведении атаки.

Технология анализа рисков

Существует множество методик анализа рисков. Некоторые из них основаны на достаточно простых табличных методах и не предполагают применения специализированного ПО, другие, наоборот, его используют.

В табличных методах можно наглядно отразить связь факторов негативного воздействия (показателей ресурсов) и вероятностей реализации угрозы с учетом показателей уязвимостей.

Подобные методы сводятся к нескольким несложным шагам. Вот пример одного из таких методов.

На первом шаге оценивается негативное воздействие (показатель ресурса) по заранее определенной шкале (скажем, от 1 до 5) для каждого ресурса, которому угрожает опасность.

На втором - по той же шкале оценивается вероятность реализации каждой угрозы.

На третьем шаге вычисляется показатель риска. В простейшем варианте методики это делается путем умножения. Однако необходимо помнить, что операция умножения определена для количественных шкал. Должна быть разработана методика оценки показателей рисков применительно к конкретной организации.

На четвертом шаге угрозы ранжируются по значениям их фактора риска.

Применение каких-либо инструментальных средств не является обязательным, однако позволяет уменьшить трудоемкость анализа рисков и выбора контрмер. В настоящее время на рынке есть около двух десятков программных продуктов для анализа рисков: от простейших, ориентированных на базовый уровень безопасности, до сложных и дорогостоящих, позволяющих реализовать полный вариант анализа рисков и выбрать комплекс контрмер требуемой эффективности.

Программные средства, необходимые для полного анализа рисков, строятся с использованием структурных методов системного анализа и проектирования (SSADM, Structured Systems Analysis and Design) и представляют собой инструментарий для выполнения следующих операций:

1. построения модели ИС с позиции ИБ;

2. оценки ценности ресурсов;

3. составления списка угроз и уязвимостей, оценки их характеристик;

4. выбора контрмер и анализа их эффективности;

5. анализа вариантов построения защиты;

6. документирования (генерация отчетов).

Примерами программных продуктов этого класса являются CRAMM (разработчик - компания Insight Consulting, подразделение Siemens, Великобритания), RiskWatch (США), «Гриф» и «Кондор» (компании «Digital Security») и другие.

Обязательным элементом этих продуктов является база данных, содержащая информацию по инцидентам в области ИБ, позволяющая оценить риски и уязвимости, эффективность различных вариантов контрмер в определенной ситуации.

Метод CRAMM