Целью анализа рисков, связанных с эксплуатацией информационных систем (ИС), является оценка угроз (т. е. условий и факторов, которые могут стать причиной нарушения целостности системы, ее конфиденциальности, а также облегчить несанкционированный доступ к ней) и уязвимостей (слабых мест в защите, которые делают возможной реализацию угрозы), а также определение комплекса контрмер, обеспечивающего достаточный уровень защищенности ИС. При оценивании рисков учитываются многие факторы: ценность ресурсов, значимость угроз, уязвимостей, эффективность имеющихся и планируемых средств защиты и многое другое.

Современные технологии анализа рисков в России используются сравнительно редко. Основная причина такого положения состоит в том, что в руководящих документах (РД Гостехкомиссии) не рассматриваются аспект рисков, их допустимый уровень и ответственность за принятие определенного уровня рисков. Информационная система, в зависимости от своего класса, должна обладать подсистемой безопасности с конкретными формальными свойствами. Анализ рисков, как правило, выполняется формально, с использованием произвольных методик. В развитых странах это не так. К примеру, в американском глоссарии по безопасности можно найти термин Designated Approving Authority - лицо, уполномоченное принять решение о допустимости определенного уровня рисков. Вопросам анализа рисков уделяется серьезное внимание: десятилетиями собирается статистика, совершенствуются методики.

Однако положение начинает меняться. Среди отечественных специалистов служб информационной безопасности (ИБ) зреет понимание необходимости проведения такой работы. В первую очередь это относится к банкам и крупным коммерческим структурам, т. е. к тем, которые серьезно заботятся о безопасности своих информационных ресурсов.

Основные подходы к анализу рисков

В настоящее время используются два подхода к анализу рисков - базовый и полный вариант. Выбор зависит от оценки собственниками ценности своих информационных ресурсов и возможных последствий нарушения режима информационной безопасности. В простейшем случае собственники информационных ресурсов могут не оценивать эти параметры. Подразумевается, что ценность ресурсов с точки зрения организации не является чрезмерно высокой. В этом случае анализ рисков производится по упрощенной схеме: рассматривается стандартный набор наиболее распространенных угроз без оценки их вероятности и обеспечивается минимальный или базовый уровень ИБ.

Полный вариант анализа рисков применяется в случае повышенных требований к ИБ. В отличие от базового варианта в том или ином виде оцениваются ресурсы, характеристики рисков и уязвимостей. Как правило, проводится анализ соотношения стоимость/эффективность нескольких вариантов защиты.

Таким образом, при проведении полного анализа рисков необходимо:

- определить ценность ресурсов;

- добавить к стандартному набору список угроз, актуальных для исследуемой информационной системы;

- оценить вероятность угроз;

- определить уязвимость ресурсов;

- предложить решение, обеспечивающее необходимый уровень ИБ.

Методология анализа рисков в ИС с повышенными требованиями в области ИБ

При выполнении полного анализа рисков приходится решать ряд сложных проблем: как определить ценность ресурсов? как составить полный список угроз ИБ и оценить их параметры? как правильно выбрать эффективные контрмеры?

Процесс анализа рисков делится на несколько этапов:

- идентификация информационных ресурсов;

- выбор критериев оценки и определение потенциального негативного воздействия на ресурсы и приложения;

- оценка угроз;

- оценка уязвимостей;

- оценка рисков;

- оценка эффективности существующих и предполагаемых средств обеспечения информационной безопасности.

Процедура анализа рисков

На основе анализа рисков выбираются средства, обеспечивающие режим ИБ. Ресурсы, значимые для бизнеса и имеющие определенную степень уязвимости, подвергаются риску, если по отношению к ним существует какая-либо угроза. При оценке рисков учитываются потенциальное негативное воздействие от нежелательных происшествий и показатели значимости рассматриваемых уязвимостей и угроз.

Риск характеризует опасность, которой может подвергаться система и использующая ее организация.

Степень риска зависит от ряда факторов:

- ценности ресурсов;

- вероятности реализации угроз;

- простоты использования уязвимости для реализации угроз;

- существующих или планируемых к внедрению средств обеспечения ИБ, которые уменьшают число уязвимостей, вероятность возникновения угроз и возможность негативных воздействий.

Определение ценности ресурсов

Ресурсы обычно подразделяются на несколько классов - например, физические, программные ресурсы, данные. Для каждого класса необходима своя методика определения ценности элементов, помогающая выбрать подходящий набор критериев. Эти критерии служат для описания потенциального ущерба, связанного с нарушением конфиденциальности и целостности ИС, уровня ее доступности.

Физические ресурсы оцениваются с точки зрения стоимости их замены или восстановления работоспособности. Эти стоимостные величины затем преобразуются в ранговую (качественную) шкалу, которая используется также для информационных ресурсов. Программные ресурсы оцениваются тем же способом, что и физические, на основе определения затрат на их приобретение или восстановление.

Если для информационного ресурса существуют особенные требования к конфиденциальности или целостности (например, если исходный текст имеет высокую коммерческую ценность), то оценка этого ресурса производится по той же схеме, т. е. в стоимостном выражении.

Кроме критериев, учитывающих финансовые потери, коммерческие организации могут применять критерии, отражающие:

- ущерб репутации организации;

- неприятности, связанные с нарушением действующего законодательства;

- ущерб для здоровья персонала;

- ущерб, связанный с разглашением персональных данных отдельных лиц;

- финансовые потери от разглашения информации;

- финансовые потери, связанные с восстановлением ресурсов;

- потери, связанные с невозможностью выполнения обязательств;

- ущерб от дезорганизации деятельности.

Могут использоваться и другие критерии в зависимости от профиля организации. К примеру, в правительственных учреждениях прибегают к критериям, отражающим специфику национальной безопасности и международных отношений.

Оценка характеристик факторов риска

Ресурсы должны быть проанализированы с точки зрения оценки воздействия возможных атак (спланированных действий внутренних или внешних злоумышленников) и различных нежелательных событий естественного происхождения. Такие потенциально возможные события будем называть угрозами безопасности. Кроме того, необходимо идентифицировать уязвимости - слабые места в системе защиты, которые делают возможной реализацию угроз.

Вероятность того, что угроза реализуется, определяется следующими основными факторами:

- привлекательностью ресурса (этот показатель учитывается при рассмотрении угрозы умышленного воздействия со стороны человека);

- возможностью использования ресурса для получения дохода (показатель учитывается при рассмотрении угрозы умышленного воздействия со стороны человека);

- простотой использования уязвимости при проведении атаки.

Технология анализа рисков

Существует множество методик анализа рисков. Некоторые из них основаны на достаточно простых табличных методах и не предполагают применения специализированного ПО, другие, наоборот, его используют.

В табличных методах можно наглядно отразить связь факторов негативного воздействия (показателей ресурсов) и вероятностей реализации угрозы с учетом показателей уязвимостей. Образец таблицы приводится ниже.

Подобные методы сводятся к нескольким несложным шагам. Вот пример одного из таких методов.

На первом шаге оценивается негативное воздействие (показатель ресурса) по заранее определенной шкале (скажем, от 1 до 5) для каждого ресурса, которому угрожает опасность (ряд b в таблице).

На втором - по той же шкале оценивается вероятность реализации каждой угрозы.

На третьем шаге вычисляется показатель риска. В простейшем варианте методики это делается путем умножения (b · c). Однако необходимо помнить, что операция умножения определена для количественных шкал. Для ранговых (качественных) параметров, каковыми являются показатель негативного воздействия и вероятность реализации угрозы, показатель риска в случае, если b = 1, c = 3, совсем не обязательно будет эквивалентен b = 3, c = 1. Соответственно должна быть разработана методика оценки показателей рисков применительно к конкретной организации.

На четвертом шаге угрозы ранжируются по значениям их фактора риска.

В рассматриваемом примере для обозначения наименьшего негативного воздействия и наименьшей вероятности реализации выбран показатель 1.

Данная процедура позволяет сравнивать и ранжировать по приоритету угрозы с различными негативными воздействиями и вероятностями реализации.

Применение каких-либо инструментальных средств не является обязательным, однако позволяет уменьшить трудоемкость анализа рисков и выбора контрмер. В настоящее время на рынке есть около двух десятков программных продуктов для анализа рисков: от простейших, ориентированных на базовый уровень безопасности, до сложных и дорогостоящих, позволяющих реализовать полный вариант анализа рисков и выбрать комплекс контрмер требуемой эффективности.

Программные средства, необходимые для полного анализа рисков, строятся с использованием структурных методов системного анализа и проектирования (SSADM, Structured Systems Analysis and Design) и представляют собой инструментарий для выполнения следующих операций:

- построения модели ИС с позиции ИБ;

- оценки ценности ресурсов;

- составления списка угроз и уязвимостей, оценки их характеристик;

- выбора контрмер и анализа их эффективности;

- анализа вариантов построения защиты;

- документирования (генерация отчетов).

Примерами программных продуктов этого класса являются CRAMM (разработчик - компания Logica, Великобритания), MARION (разработчик CLUSIF, Франция), RiskWatch (США).

Обязательным элементом этих продуктов является база данных, содержащая информацию по инцидентам в области ИБ, позволяющая оценить риски и уязвимости, эффективность различных вариантов контрмер в определенной ситуации.

Принципы, положенные в основу методик. Границы применимости методик

Один из возможных подходов к разработке подобных методик - накопление статистических данных о реальных происшествиях, анализ и классификация их причин, выявление факторов риска. На основе этой информации можно оценить угрозы и уязвимости в других информационных системах.

Практические сложности в реализации этого подхода следующие.

Во-первых, должен быть собран весьма обширный материал о происшествиях в этой области.

Во-вторых, применение этого подхода оправданно далеко не всегда. Если информационная система достаточно крупная (содержит много элементов, расположена на обширной территории), имеет давнюю историю, то подобный подход скорее всего применим. Если система сравнительно невелика, использует только новейшие элементы технологии (для которых пока нет достаточной статистики), оценки рисков и уязвимостей могут оказаться недостоверными.

Альтернативой статистическому подходу является подход, основанный на анализе особенностей технологии. Впрочем, он также не универсален: темпы технологического прогресса в области ИТ таковы, что имеющиеся оценки относятся к уже устаревшим или устаревающим технологиям, для новейших технологий таких оценок пока не существует.

Один из наиболее известных продуктов этого класса, CRAMM, рассмотрен ниже.

Метод CRAMM. история создания метода

В 1985 г. Центральное агентство по компьютерам и телекоммуникациям (CCTA) Великобритании начало исследования существующих методов анализа ИБ для того, чтобы рекомендовать наиболее пригодные для использования в правительственных учреждениях, занятых обработкой несекретной, но критичной информации. Ни один из рассмотренных вариантов не подошел. Поэтому был разработан новый метод, соответствующий требованиям CCTA. Он получил название CRAMM - метод CCTA анализа и контроля рисков. Затем появилось несколько его версий, ориентированных на требования министерства обороны, гражданских государственных учреждений, финансовых структур, частных организаций. Одна из версий, “коммерческий профиль”, является коммерческим продуктом. В настоящее время продается версия CRAMM 4.0.

Целью разработки метода являлось создание формализованной процедуры, позволяющей:

- убедиться, что требования, связанные с безопасностью, полностью проанализированы и документированы;

- избежать расходов на излишние меры безопасности, возможные при субъективной оценке рисков;

- оказывать помощь в планировании и осуществлении защиты на всех стадиях жизненного цикла информационных систем;

- обеспечить проведение работ в сжатые сроки;

- автоматизировать процесс анализа требований безопасности;

- представить обоснование для мер противодействия;

- оценивать эффективность контрмер, сравнивать различные варианты контрмер;

- генерировать отчеты.

Концепция, положенная в основу метода

Анализ рисков включает в себя идентификацию и вычисление уровней (мер) рисков на основе оценок, присвоенных ресурсам, угрозам и уязвимостям ресурсов.

Контроль рисков состоит в идентификации и выборе контрмер, позволяющих снизить риски до приемлемого уровня.

Формальный метод, основанный на этой концепции, позволяет убедиться, что защита охватывает всю систему и есть уверенность в том, что все возможные риски идентифицированы; уязвимости ресурсов и угрозы идентифицированы и их уровни оценены; контрмеры эффективны; расходы, связанные с ИБ, оправданны.

Исследование ИБ системы с помощью СRAMM проводится в три стадии.

Стадия 1: анализируется все, что касается идентификации и определения ценности ресурсов системы. По завершении этой стадии заказчик исследования будет знать, достаточно ли ему существующей традиционной практики или он нуждается в проведении полного анализа рисков.

Стадия начинается с решения задачи определения границ исследуемой системы. Для этого накапливается информация о том, кто отвечает за физические и программные ресурсы, кто входит в число пользователей системы и как они ее применяют или будут применять, а также сведения о конфигурации системы.

Первичная информация собирается в процессе бесед с менеджерами проектов, менеджером пользователей или другими сотрудниками.

Проводится идентификация ресурсов: физических, программных и информационных, содержащихся внутри границ системы. Каждый ресурс необходимо отнести к одному из предопределенных классов. Затем строится модель информационной системы с позиции ИБ. Для каждого информационного процесса, имеющего, по мнению пользователя, самостоятельное значение и называемого пользовательским сервисом (еnd-userservice), строится дерево связей используемых ресурсов. Построенная модель позволяет выделить критичные элементы.

Ценность физических ресурсов в данном методе определяется стоимостью их восстановления в случае разрушения.

Ценность данных и программного обеспечения определяется в следующих ситуациях:

- недоступность ресурса в течение определенного периода времени;

- разрушение ресурса - потеря информации, полученной со времени последнего резервного копирования, или ее полное разрушение;

- нарушение конфиденциальности в случаях несанкционированного доступа штатных сотрудников или посторонних лиц;

- модификация - рассматривается для случаев мелких ошибок персонала (ошибки ввода), программных ошибок, преднамеренных ошибок;

- ошибки, связанные с передачей информации: отказ от доставки, недоставка информации, доставка по неверному адресу.

Для оценки возможного ущерба рекомендуется использовать некоторые из следующих параметров:

- ущерб репутации организации;

- нарушение действующего законодательства;

- ущерб для здоровья персонала;

- ущерб, связанный с разглашением персональных данных отдельных лиц;

- финансовые потери от разглашения информации;

- финансовые потери, связанные с восстановлением ресурсов;

- потери, связанные с невозможностью выполнения обязательств;

- дезорганизация деятельности.

Приведенная совокупность параметров используется в коммерческом варианте метода. В других версиях совокупность будет иной. Так, в версию, используемую в правительственных учреждениях, добавляются параметры, отражающие национальную безопасность и международные отношения.

Для данных и программного обеспечения выбираются применимые к данной ИС критерии, дается оценка ущерба по шкале со значениями от 1 до 10.

К примеру, если данные содержат подробности коммерческой конфиденциальной (критичной) информации, эксперт, проводящий исследование, задает вопрос: как может повлиять на организацию несанкционированный доступ посторонних лиц к этой информации?

Возможен такой ответ: провал сразу по нескольким параметрам из перечисленных выше, причем каждый аспект следовало бы рассмотреть подробнее и присвоить ему самую высокую из возможных оценок.

Стадия 2: рассматривается все, что относится к идентификации и оценке уровней угроз для групп ресурсов и их уязвимостей. В конце стадии заказчик получает идентифицированные и оцененные уровни рисков для своей системы.

На этой стадии оцениваются зависимость пользовательских сервисов от определенных групп ресурсов и существующий уровень угроз и уязвимостей, вычисляются уровни рисков и анализируются результаты.

Ресурсы группируются по типам угроз и уязвимостей. Например, в случае существования угрозы пожара или кражи в качестве группы ресурсов разумно рассмотреть все ресурсы, находящиеся в одном месте (серверный зал, комната средств связи и т. д.).

Оценка уровней угроз и уязвимостей производится на основе исследования косвенных факторов. Программное обеспечение CRAMM для каждой группы ресурсов и каждого из 36 типов угроз генерирует список вопросов, допускающих однозначный ответ.

Уровень угроз оценивается, в зависимости от ответов, как очень высокий, высокий, средний, низкий и очень низкий.

Уровень уязвимости оценивается, в зависимости от ответов, как высокий, средний и низкий.

Возможно проведение коррекции результатов или использование других методов оценки.

На основе этой информации рассчитываются уровни рисков в дискретной шкале с градациями от 1 до 7.

Полученные уровни угроз, уязвимостей и рисков анализируются и согласовываются с заказчиком. Только после этого можно переходить к третьей стадии метода.

Стадия 3: поиск адекватных контрмер. По существу, это поиск варианта системы безопасности, наилучшим образом удовлетворяющей требованиям заказчика. По завершении стадии он будет знать, как следует модифицировать систему для принятия мер уклонения от риска, а также для выбора специальных мер противодействия, ведущих к снижению или минимизации оставшихся рисков.

На этой стадии CRAMM генерирует несколько вариантов мер противодействия, адекватных выявленным рискам и их уровням. Контрмеры можно объединить в три категории: около 300 рекомендаций общего плана; более 1000 конкретных рекомендаций; около 900 примеров того, как можно организовать защиту в данной ситуации.

На этой стадии можно провести сравнительный анализ эффективности различных вариантов защиты.

Заключение

Рассмотренная методология анализа рисков и управления ими полностью применима и в российских условиях, несмотря на то, что показатели защищенности от НСД к информации и требования по защите информации различаются в российских РД и зарубежных стандартах.

Особенно полезным представляется использование инструментальных средств типа метода CRAMM при проведении анализа рисков информационных систем с повышенными требованиями в области ИБ. Это позволяет получать обоснованные оценки рисков, уязвимостей, эффективности защиты. Существенным достоинством таких методов является возможность проведения исследования в сжатые сроки с документированием результатов.

С автором статьи можно связаться по электронной почте: security@compulink.ru.