Начало
Обучение
Методология
Литература
Аналитика
Контакты







Новости

08.11.2017. Киберармия КНДР насчитывает 6 тыс. хакеров

 >>


02.08.2017. В России хотят создать национальный фильтр интернета

К 2020 году в России появится Национальная система фильтрации интернет-трафика (НаСФИТ) >>



Архив: 2013 2014 2015 2016 2017.
В начало библиотеки

Анализ рисков и управление ими

Анализ рисков — это то, с чего должно начинаться построение любой системы информационной безопасности. Он включает в себя мероприятия по обследованию безопасности ИС, с целью определения того, какие ресурсы и от каких угроз надо защищать, а также в какой степени те или иные ресурсы нуждаются в защите. Определение набора адекватных контрмер осуществляется в ходе управления рисками. Риск определяется вероятностью причинения ущерба и величиной ущерба, наносимого ресурсам ИС, в случае осуществления угрозы безопасности.

Анализ рисков состоит в том, чтобы выявить существующие риски и оценить их величину (дать им качественную либо количественную оценку). Процесс анализа рисков можно разделить на несколько последовательных этапов:

— идентификация ключевых ресурсов ИС;

— определение важности тех или иных ресурсов для организации;

— идентификация существующих угроз безопасности и уязвимостей, делающих возможным осуществление угроз;

— вычисление рисков, связанных с осуществлением угроз безопасности.

Ресурсы ИС можно разделить на следующие категории:

— информационные ресурсы;

— программное обеспечение;

— технические средства (серверы, рабочие станции, активное сетевое оборудование и т. п.)

— людские ресурсы.

В каждой категории ресурсы делятся на классы и подклассы. Необходимо идентифицировать только те ресурсы, которые определяют функциональность ИС и существенны с точки зрения обеспечения безопасности.

Важность (или стоимость) ресурса определяется величиной ущерба, наносимого в случае нарушения конфиденциальности, целостности или доступности этого ресурса. Обычно рассматриваются следующие виды ущерба: раскрытие, изменение, удаление или недоступность данных, повреждение или разрушение аппаратуры, нарушение целостности программного обеспечения.

Ущерб может быть нанесен организации в результате локальных и удаленных атак на ресурсы ИС, стихийных бедствий, ошибок или умышленных действий персонала ИС, сбоев в работе ИС, вызванных ошибками в программном обеспечении или неисправностями аппаратуры.

Величина риска определяется на основе стоимости ресурса, вероятности осуществления угрозы и величины уязвимости по следующей формуле:

Риск = (стоимость ресурса * вероятность угрозы): величина уязвимости

Задача управления рисками заключается в выборе обоснованного набора контрмер, позволяющих снизить уровни рисков до приемлемой величины. Стоимость реализации контрмер должна быть меньше величины возможного ущерба. Разница между стоимостью реализации контрмер и величиной возможного ущерба должна быть обратно пропорциональна вероятности причинения ущерба.

Оценка рисков может даваться с использованием различных, как качественных, так и количественных шкал. Главное, чтобы существующие риски были правильно идентифицированы и проранжированы в соответствии со степенью их критичности для организации. На основе такого анализа может быть разработана система первоочередных мероприятий по уменьшению величины рисков до приемлемого уровня.

Программные продукты, предназначенные для анализа и управления рисками

В настоящее время имеется большое разнообразие как методов анализа и управления рисками, так и реализующих их программных средств. Приведем примеры некоторых наиболее распространенных.

CRAMM

Метод CRAMM (the UK Goverment Risk Analysis and Managment Method) был разработан Службой безопасности Великобритании (UK Security Service) по заданию Британского правительства и взят на вооружение в качестве государственного стандарта. Он используется начиная с 1985 г. правительственными и коммерческими организациями Великобритании. За это время CRAMM приобрел популярность во всем мире. Фирма Insight Consulting Limited занимается разработкой и сопровождением одноименного программного продукта, реализующего метод CRAMM.

2Метод CRAMM выбран нами для более детального рассмотрения не случайно. В настоящее время CRAMM — это довольно мощный и универсальный инструмент, позволяющий, помимо анализа рисков, решать также и ряд других аудиторских задач (проведение обследования ИС и выпуск сопроводительной документации на всех этапах; проведение аудита в соответствии с требованиями Британского правительства, а также стандарта BS 7799:1995 — Code of Practice for Information Security Management BS7799; разработка политики безопасности и плана обеспечения непрерывности бизнеса).

В основе метода CRAMM лежит комплексный подход к оценке рисков, сочетающий количественные и качественные методы анализа. Метод является универсальным и подходит как для больших, так и для малых организаций, как правительственного, так и коммерческого сектора. Версии программного обеспечения CRAMM, ориентированные на разные типы организаций, отличаются друг от друга своими базами знаний (profiles). Для коммерческих организаций имеется коммерческий профиль (commercial profile), для правительственных организаций — правительственный профиль (government profile). Правительственный вариант профиля также позволяет проводить аудит на соответствие требованиям американского стандарта ITSEC (“Оранжевая книга“).

Грамотное использование метода CRAMM позволяет получать очень хорошие результаты, наиболее важным из которых, пожалуй, является возможность экономического обоснования расходов организации на обеспечение информационной безопасности и непрерывности бизнеса. Экономически обоснованная стратегия управления рисками позволяет, в конечном итоге, экономить средства, избегая неоправданных расходов.

CRAMM предполагает разделение всей процедуры на три последовательных этапа. Задачей первого этапа является ответ на вопрос: “Достаточно ли для защиты системы применения средств базового уровня, реализующих традиционные функции безопасности, или необходимо проведение более детального анализа?“ На втором этапе производится идентификация рисков и оценивается их величина. На третьем этапе решается вопрос о выборе адекватных контрмер.

Грамотно применять метод CRAMM в состоянии только высококвалифицированный аудитор, прошедший обучение. Если организация не может себе позволить содержать в штате такого специалиста, тогда самым правильным решением будет приглашение аудиторской фирмы, располагающей штатом специалистов, имеющих практический опыт применения метода CRAMM.

RiskWatch

Программное обеспечение RiskWatch, разрабатываемое американской компанией RiskWatch, Inc., является мощным средством анализа и управления рисками. В семейство RiskWatch входят программные продукты для проведения различных видов аудита безопасности. Оно включает в себя следующие средства аудита и анализа рисков:

— RiskWatch for Physical Security — для физических методов защиты ИС;

— RiskWatch for Information Systems — для информационных рисков;

— HIPAA—WATCH for Healthcare Industry — для оценки соответствия требованиям стандарта HIPAA;

— RiskWatch RW17799 for ISO17799 — для оценки требованиям стандарта ISO17799.

В методе RiskWatch в качестве критериев для оценки и управления рисками используются “предсказание годовых потерь“ (annual loss expectancy — ALE) и оценка возврата от инвестиций (return on investment — ROI). Семейство программных продуктов RiskWatch имеет массу достоинств. К недостаткам данного продукта можно отнести его относительно высокую стоимость.

COBRA

Система COBRA (Consultative Objective and Bi—Functional Risk Analysis), разрабатываемая компанией Risk Associates, является средством анализа рисков и оценки соответствия ИС стандарту ISO17799. COBRA реализует методы количественной оценки рисков, а также инструменты для консалтинга и проведения обзоров безопасности. При разработке инструментария COBRA были использованы принципы построения экспертных систем, обширная база знаний по угрозам и уязвимостям, а также большое количество вопросников, с успехом применяющихся на практике. В семейство программных продуктов COBRA входят COBRA ISO17799 Security Consultant, COBRA Policy Compliance Analyst и COBRA Data Protection Consultant.

Buddy System

Программный продукт Buddy System, разрабатываемый компанией Countermeasures Corporation, позволяет осуществлять как количественный, так и качественный анализ рисков. Он содержит развитые средства генерации отчетов. Основной акцент при использовании Buddy System делается на информационные риски, связанные с нарушением физической безопасности, и управление проектами.

Стандарты, используемые при проведении аудита безопасности ИС

Результатом проведения аудита в последнее время все чаще становится сертификат, удостоверяющий соответствие обследуемой ИС требованиям признанного международного стандарта. Наличие такого сертификата позволяет организации получать конкурентные преимущества, связанные с большим доверием со стороны клиентов и партнеров.

Значение международных стандартов ISO 17799 и ISO 15408 трудно переоценить. Эти стандарты служат основой для проведения любых работ в области информационной безопасности, в том числе и аудита. ISO 17799 сосредоточен на вопросах организации и управления безопасностью, в то время как ISO 15408 определяет детальные требования, предъявляемые к программно—техническим механизмам защиты информации.

Спецификация SysTrust выбрана для рассмотрения, так как она в настоящее время достаточно широко используется аудиторскими компаниями, традиционно выполняющими финансовый аудит для своих клиентов и предлагающих услугу ИТ—аудита в качестве дополнения к финансовому аудиту.

Немецкий стандарт “BSI\IT Baseline Protection Manual“ содержит, пожалуй, наиболее содержательное руководство по обеспечению безопасности ИТ и представляет несомненную практическую ценность для всех специалистов, занимающихся вопросами информационной безопасности.

Практические стандарты и руководства по обеспечению информационной безопасности, разрабатываемые в рамках проекта SCORE, ориентированы на технических специалистов и в настоящее время являются в техническом плане наиболее совершенными.

Программа сертификации интернет—сайтов по требованиям информационной безопасности и соответствующая спецификация SANS/GIAC Site Certification, предложенная институтом SANS, заслуживает рассмотрения в связи с неизменно возрастающей актуальностью вопросов защиты ИС организаций от атак из Интернета и увеличением доли соответствующих работ при проведении аудита безопасности.

ISO 17799: Code of Practice for Information Security Management

Наиболее полно критерии для оценки механизмов безопасности организационного уровня представлены в международном стандарте ISO 17799: Code of Practice for Information Security Management (Практические правила управления информационной безопасностью), принятом в 2000 году. ISO 17799 был разработан на основе британского стандарта BS 7799.

ISO 17799 может использоваться в качестве критериев для оценки механизмов безопасности организационного уровня, включая административные, процедурные и физические меры защиты.

3Практические правила разбиты на такие разделы, как политика безопасности, организация защиты и другие. Десять средств контроля, предлагаемые в ISO 17799 (они обозначены как ключевые), считаются особенно важными. Под средствами контроля в данном контексте понимаются механизмы управления информационной безопасностью организации.

При использовании некоторых из средств контроля, например шифрования данных, могут потребоваться советы специалистов по безопасности и оценка рисков, чтобы определить, нужны ли они и каким образом их следует реализовывать. Для обеспечения более высокого уровня защиты особенно ценных ресурсов или оказания противодействия особенно серьезным угрозам безопасности в ряде случаев могут потребоваться более сильные средства контроля, которые выходят за рамки ISO 17799.

Десять ключевых средств контроля, перечисленных в стандарте, представляют собой либо обязательные требования, например требования действующего законодательства, либо считаются основными структурными элементами информационной безопасности, например обучение правилам безопасности.

Процедура аудита безопасности ИС включает в себя проверку наличия перечисленных ключевых средств контроля, оценку полноты и правильности их реализации, а также анализ их адекватности рискам, существующим в данной среде функционирования. Составной частью работ по аудиту безопасности ИС также является анализ и управление рисками.

ISO 15408: Common Criteria for Information Technology Security Evaluation

Наиболее полно критерии оценки механизмов безопасности программно—технического уровня представлены в международном стандарте ISO 15408: Common Criteria for Information Technology Security Evaluation (“Общие критерии оценки безопасности информационных технологий“), принятом в 1999 году.

Общие критерии оценки безопасности информационных технологий (далее “Общие критерии“) определяют функциональные требования безопасности (security functional requirements) и требования к адекватности реализации функций безопасности (security assurance requirements).

При проведении работ по анализу защищенности ИС “Общие критерии“ целесообразно использовать в качестве основных критериев, позволяющих оценить уровень защищенности АС с точки зрения полноты реализованных в ней функций безопасности и надежности реализации этих функций.

Хотя применимость “Общих критериев“ ограничивается механизмами безопасности программно—технического уровня, в них содержится определенный набор требований к механизмам безопасности организационного уровня и требований по физической защите, которые непосредственно связаны с описываемыми функциями безопасности.

SysTrust

По существу, аудит в области информационных технологий, хотя и не имеет никакого отношения к финансовому аудиту, часто является дополнением к нему в качестве коммерческой услуги, предлагаемой аудиторскими фирмами своим клиентам в связи с повышением зависимости бизнеса клиентов от ИТ. Идея заключается в том, что использование надежных и безопасных информационных систем до определенной степени гарантирует надежность финансовой отчетности организации. Хорошие результаты ИТ—аудита в некоторых случаях позволяют проводить финансовый аудит в сокращенном варианте, экономя время и деньги клиентов.

Отвечая потребностям бизнеса, Американский институт сертифицированных публичных бухгалтеров (AICPA) и Канадский институт общественных бухгалтеров (CICA) разработали стандарт SysTrust для проведения ИТ—аудита, который является дополнением к финансовому аудиту. SysTrust позволяет финансовым аудиторам расширить область своей деятельности путем использования простого и понятного набора требований для оценки надежности и безопасности ИС.

В стандарте SysTrust ИС оценивается в терминах ее доступности, безопасности, целостности и эксплуатационной надежности. В ходе сертификации по требованиям стандарта SysTrust аудитор оценивает соответствие ИС критериям доступности, безопасности, целостности и эксплуатационной надежности, проверяя наличие в системе необходимых механизмов контроля. Затем аудитор проверяет механизмы контроля с целью определения их работоспособности и эффективности. Если в результате проверки подтверждается соответствие ИС критериям SysTrust, аудитор выпускает отчет по аттестации. В отчете формулируются выводы относительно полноты и эффективности реализации руководством организации механизмов контроля в аттестуемой ИС.

Примером проведения аудита крупнейшей компании на соответствие требованиям стандарта SysTrust может служить сертификация аудиторской фирмой Ernst & Young системы BeeOffice, принадлежащей компании “Вымпелком“ (processcertify.ey.com/vimpelcom2/vimpelcom_opinion.html).

BSI\IT Baseline Protection Manual

Немецкий стандарт “Руководство по обеспечению безопасности ИТ базового уровня“ (IT Baseline Protection Manual) разрабатывается Агенством информационной безопасности Германии (BSI).

Этот документ является, пожалуй, самым содержательным руководством по информационной безопасности и по многим параметрам превосходит все остальные стандарты. Кроме того, этот ценнейший для аудитора источник информации имеется в свободном доступе в Интернете. В нем содержатся подробные руководства по обеспечению информационной безопасности применительно к различным аспектам функционирования ИС и различным областям ИТ.

Стандарт в настоящее время занимает три тома и содержит около 1600 страниц текста.

Практические стандарты Score и программа сертификации SANS/GIAC Site Certification

SCORE (Security Consensus Operational Readiness Evaluation) является совместным проектом института SANS и Центра безопасности Интернета (CIS). Профессионалы—практики в области информационной безопасности из различных организаций объединились в рамках проекта SCORE с целью разработки базового набора практических стандартов и руководств по обеспечению безопасности для различных операционных платформ. Требования и рекомендации, предлагаемые для включения в стандарты, широко обсуждаются и проверяются участниками проекта SCORE, и только после их одобрения всеми участниками передаются в CIS, который занимается их формализацией и оформлением, а также разрабатывает программные средства (minimum standards benchmarks) для оценки соответствия операционных платформ предложенным стандартам.

Программа сертификации “GIAC Site Certification“ определяет три уровня защищенности интернет—сайтов. На практике, в настоящее время, используются только первые два из них.

Сертификация сайта на первом уровне предполагает проверку внешних сетевых адресов организации, видимых из сети Интернет, на предмет уязвимости соответствующих машин в отношении сетевых атак. На этом уровне должна быть обеспечена защита сайта от наиболее распространенных атак. Требуется отсутствие наиболее серьезных и часто встречающихся уязвимостей защиты. Предъявляются также определенные требования к уровню квалификации специалистов, отвечающих за обеспечение безопасности сайта.

На втором уровне, в дополнение к соблюдению требований первого уровня, полагается осуществлять периодический пересмотр политики и процедур обеспечения сетевой безопасности. Также производится проверка защищенности сайта от сетевых атак путем осуществления попыток проникновения и взлома систем, подключенных к Интернету.

На третьем уровне, помимо обеспечения соответствия всем требованиям второго уровня, требуется также регулярно проводить сканирование сети изнутри с целью защиты от угроз со стороны внутренних нарушителей, а также внешних злоумышленников, пытающихся преодолеть механизмы защиты внешнего периметра сети путем использования совершенных методов, включая методы социального инжениринга.

От уровня к уровню ужесточаются требования, предъявляемые к квалификации специалистов, организационной структуре подразделений, занимающихся вопросами защиты, наличию формальных политик и процедур, а также строгости и глубине тестов, используемых для проверки механизмов защиты интернет—сайта организации.

Александр Астахов



В начало библиотеки

Начало · Обучение · Методология · Литература · Аналитика · Контакты
PageRank v