Файл: Основыинформационнойбезопасности.pdf

124
По мере того, как затраты на защиту растут, размер ожидаемых потерь падает. Если обе функции имеют вид, представленный на рис. 4.1, то можно определить минимум функции «Ожидаемые сум- марные результаты», который нам и требуется.
К сожалению, на практике точные зависимости между затратами и уровнем защищенности определить не представляется возможным, поэтому аналитический метод определения минимальных затрат в представленном виде неприменим.
Для того чтобы перейти к рассмотрению вопросов описания риска, введем еще одно определение. Ресурсом или активом будем называть именованный элемент ИС, имеющий (материальную) цен- ность и подлежащий защите.
Тогда риск может быть идентифицирован следующим набором параметров:
- угроза, с возможной реализацией которой связан данный риск;
- ресурс, в отношении которого может быть реализована угроза
(ресурс может быть информационный, аппаратный, программ- ный и т. д.);
- уязвимость, через которую может быть реализована данная угроза в отношении данного ресурса.
Важно также определить то, как мы узнаем, что нежелательное событие произошло. Поэтому в процессе описания рисков, обычно также указывают события-«триггеры», являющиеся идентификато- рами рисков, произошедших или ожидающихся в скором времени
(например, увеличение время отклика web-сервера может свидетель- ствовать о производимой на него одной из разновидностей атак на
«отказ в обслуживании»).
Исходя из сказанного выше, в процессе оценки риска надо оце- нить стоимость ущерба и частоту возникновения нежелательных со- бытий и вероятность того, что подобное событие нанесет урон ресур- су. Размер ущерба от реализации угрозы в отношении ресурса зависит от стоимости ресурса, который подвергается риску, и степени разру-

125 шительности воздействия на ресурс, выражаемой в виде коэффициен- та разрушительности. Как правило, указанный коэффициент лежит в диапазоне от 0 до 1. Таким образом, получаем оценку потери от разо- вой реализации угрозы, представимую в виде произведения:
Потери=(Стоим. Рес.)×(Коэфф. Разруш.).
(4.1)
Далее необходимо оценить частоту возникновения рассматрива- емого нежелательного события (за какой-то фиксированный период времени, например, за год) и вероятность успешной реализации угро- зы. В результате, стоимость риска может быть вычислена по формуле:
Стоим.Риска=(Частота) × (Вероятн.) × (Стоим. Рес.) ×
× (Коэфф. Разруш).
(4.2)
Примерно такая формула используется во многих методиках анализа рисков, некоторые из которых будут рассмотрены в дальней- шем. Ожидаемый ущерб сравнивается с затратами на меры и средства защиты, после чего принимается решение в отношении данного рис- ка. Он может быть:
- принят;
- снижен (например, за счет внедрения средств и механизмов за- щиты, уменьшающих вероятность реализации угрозы или коэф- фициент разрушительности);
- устранен (за счет отказа от использования подверженного угрозе ресурса);
- перенесен (например, застрахован, в результате чего в случае реализации угрозы безопасности потери будет нести страховая компания, а не владелец ИС).
4.2. УПРАВЛЕНИЕ РИСКАМИ. МОДЕЛЬ БЕЗОПАСНОСТИ
С ПОЛНЫМ ПЕРЕКРЫТИЕМ
Идеи управления рисками во многом восходят к модели без- опасности с полным перекрытием, разработанной в 1970-х годах [16].
Модель системы безопасности с полным перекрытием строится исходя из постулата, что система безопасности должна иметь, по

126 крайней мере, одно средство для обеспечения безопасности на каж- дом возможном пути воздействия нарушителя на ИС. В модели точно определяется каждая область, требующая защиты, оцениваются сред- ства обеспечения безопасности с точки зрения их эффективности и их вклад в обеспечение безопасности во всей вычислительной системе.
Считается, что несанкционированный доступ к каждому из множества защищаемых объектов (ресурсов ИС) О сопряжен с неко- торой «величиной ущерба» для владельца ИС, и этот ущерб может быть определен количественно.
С каждым объектом, требующим защиты, связывается некото- рое множество действий, к которым может прибегнуть нарушитель для получения несанкционированного доступа к объекту. Потенци- альные злоумышленные действия по отношению ко всем объектам o

O формируют множество угроз ИБ Т. Каждый элемент данного множества характеризуется вероятностью появления.
Рис. 4.2. Двудольный граф «угроза–объект»
Множество отношений «угроза–объект» образует двухдольный граф (рис. 4.2), в котором ребро (t i
,о j
) существует тогда и только то- гда, когда угроза t i
является средством получения доступа к объекту o
j
. Следует отметить, что связь между угрозами и объектами не явля- o
1 o
2 o
3 o
4 t
1 t
2 t
3 t
4 t
5
T
O

127 ется связью типа «один к одному» — угроза может распространяться на любое число объектов, а объект может быть уязвим со стороны бо- лее чем одной угрозы. Цель защиты состоит в том, чтобы «пере- крыть» каждое ребро данного графа и воздвигнуть барьер для доступа по этому пути.
Завершает модель третий набор, описывающий средства обес- печения безопасности М, которые используются для защиты инфор- мации в ИС. В идеальном случае каждое средство m k

M должно устранять некоторое ребро (t i
,o j
). В действительности m k
выполняет функцию «барьера», обеспечивая некоторую степень сопротивления попыткам проникновения. Это сопротивление — основная характери- стика, присущая всем элементам набора M. Набор М средств обеспе- чения безопасности преобразует двудольный граф в трехдольный
(рис. 4.3).
Рис. 4.3. Трехдольный граф
«угроза–средство безопасности–объект»
В защищенной системе все ребра представляются в форме (t i
,m k
) и (m k
,o j
). Любое ребро в форме (t i
,o j
) определяет незащищенный объ- ект. Следует отметить, что одно и то же средство обеспечения без- опасности может противостоять реализации более чем одной угрозы и m
1 m
2 m
3 m
4 t
1 t
2 t
3 t
4 t
5
T
M
o
1 o
2 o
3 o
4

128
(или) защищать более одного объекта. Отсутствие ребра (t i
,o j
) не га- рантирует полного обеспечения безопасности (хотя наличие такого ребра дает потенциальную возможность несанкционированного до- ступа за исключением случая, когда вероятность появления t i
равна нулю).
Далее в рассмотрение включается теоретико-множественная мо- дель защищенной системы — система обеспечения безопасности
Клементса. Она описывает систему в виде пятикортежного набора
S = {О,T,M,V,B}, где О — набор защищаемых объектов; Т — набор угроз; М — набор средств обеспечения безопасности; V — набор уяз- вимых мест — отображение ТxO на набор упорядоченных пар
V
i
= (t i
,o j
), представляющих собой пути проникновения в систему; В
— набор барьеров — отображение VxM или ТxОxМ на набор упоря- доченных троек b i
= (t i
,o j
,m k
), представляющих собой точки, в которых требуется осуществлять защиту в системе.
Таким образом, система с полным перекрытием — это система, в которой имеются средства защиты на каждый возможный путь про- никновения. Если в такой системе

(t i
,o j
)

V, то

(t i
,o j
,m k
)

В.
Далее производятся попытки количественно определить степень безопасности системы, сопоставляя каждой дуге весовой коэффици- ент.
Модель системы безопасности с полным перекрытием описыва- ет требования к составу подсистемы защиты ИС. Но в ней не рас- сматривается вопрос стоимости внедряемых средств защиты и соот- ношения затрат на защиту и получаемого эффекта. Кроме того, опре- делить полное множество «путей проникновения» в систему на прак- тике может оказаться достаточно сложно. А именно от того, как пол- но описано это множество, зависит то, насколько полученный резуль- тат будет адекватен реальному положению дел.

129
4.3. УПРАВЛЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТЬЮ.
СТАНДАРТЫ ISO/IEC 17799/27002 И 27001
Международные стандарты ISO/IEC 17799 (новая версия вышла под номером 27002) и 27001 посвящены вопросам управления ин- формационной безопасностью, и так как они взаимосвязаны, рассмат- ривать их будем в одном разделе.
В 1995 году Британским институтом стандартов (BSI) был опуб- ликован стандарт BS 7799 Part 1 «Code of Practice for Information Secu- rity Management» (название обычно переводится как «Практические правила управления информационной безопасностью»). На его основе в 2000 году был принят уже международный стандарт ISO/IEC
17799:2000 «Information technology. Code of practice for information se- curity management». Следующая дополненная версия была принята в
2005 году и обозначается ISO/IEC 17799:2005. А в 2007-м году дан- ный стандарт был переиздан под номером ISO/IEC 27002. Как следует из названия, он описывает рекомендуемые меры в области управле- ния информационной безопасностью и, в целом, не предназначался для проведения сертификации систем на его соответствие.
В 1999 году была опубликована вторая часть стандарта: BS 7799
Part 2 «Information Security Management Systems — Specification with guidance for use» (Системы управления информационной безопасно- стью — спецификации с руководством по использованию). На его ба- зе был разработан стандарт ISO/IEC 27001:2005 «Information Technol- ogy. Security techniques. Information security management systems. Re- quirements», на соответствие которому может проводиться сертифи- кация.
В России на данный момент действуют стандарты ГОСТ Р
ИСО/МЭК 17799-2005 «Информационная технология. Практические правила управления информационной безопасностью» (аутентичный перевод ISO/IEC 17799:2000) и ГОСТ Р ИСО/МЭК 27001-2006 «Ин- формационная технология. Методы и средства обеспечения безопас- ности. Системы менеджмента информационной безопасности. Требо-

130 вания» (перевод ISO/IEC 27001:2005). Несмотря на некоторые внут- ренние расхождения, связанные с разными версиями и особенностями перевода, наличие стандартов позволяет привести систему управле- ния информационной безопасностью в соответствие их требованиям и, при необходимости, сертифицировать.
4.3.1. ГОСТ Р ИСО/МЭК 17799:2005 «Информационная
технология. Практические правила управления информационной
безопасностью»
Рассмотрим теперь содержание стандарта ИСО/МЭК 17799 [17].
Во введении указывается, что «информация, поддерживающие ее процессы, информационные системы и сетевая инфраструктура явля- ются существенными активами организации. Конфиденциальность, целостность и доступность информации могут существенно способ- ствовать обеспечению конкурентоспособности, ликвидности, доход- ности, соответствия законодательству и деловой репутации организа- ции». Таким образом, можно говорить о том, что данный стандарт рассматривает вопросы информационной безопасности, в том числе, и с точки зрения экономического эффекта.
Указываются три группы факторов, которые необходимо учи- тывать при формировании требований в области информационной безопасности:
- оценка рисков организации. Посредством оценки рисков проис- ходит выявление угроз активам организации, оценка уязвимости соответствующих активов и вероятности возникновения угроз, а также оценка возможных последствий;
- юридические, законодательные, регулирующие и договорные требования, которым должны удовлетворять организация, ее торговые партнеры, подрядчики и поставщики услуг;
- специфический набор принципов, целей и требований, разрабо- танных организацией в отношении обработки информации.
После того как определены требования, идет этап выбора и внедрения мероприятий по управлению информационной безопасно-

131 стью, которые обеспечат снижение рисков до приемлемого уровня.
Выбор мероприятий по управлению информационной безопасностью должен основываться на соотношении стоимости их реализации, эф- фекта от снижения рисков и возможных убытков в случае нарушения безопасности. Также следует принимать во внимание факторы, кото- рые не могут быть представлены в денежном выражении, например, потерю репутации. Возможный перечень мероприятий приводится в стандарте, но отмечается, что он может быть дополнен или сформи- рован самостоятельно исходя из потребностей организации.
Кратко перечислим разделы стандарта и предлагаемые в них мероприятия по защите информации. Первая их группа касается по- литики безопасности. Требуется, чтобы она была разработана, утвер- ждена руководством организации, издана и доведена до сведения всех сотрудников. Она должна определять порядок работы с информаци- онными ресурсами организации, обязанности и ответственность со- трудников. Политика периодически пересматривается, чтобы соот- ветствовать текущему состоянию системы и выявленным рискам.
Следующий раздел затрагивает организационные вопросы, свя- занные с обеспечением информационной безопасности. Стандарт ре- комендует создавать управляющие советы (с участием высшего руко- водства компании) для утверждения политики безопасности, назначе- ния ответственных лиц, распределения обязанностей и координации внедрения мероприятий по управлению информационной безопасно- стью в организации. Также должен быть описан процесс получения разрешений на использование в организации средств обработки ин- формации (в т. ч. нового программного обеспечения и аппаратуры), чтобы это не привело к возникновению проблем с безопасностью.
Требуется определить и порядок взаимодействия с другими организа- циями по вопросам информационной безопасности, проведения кон- сультаций с «внешними» специалистами, независимой проверки
(аудита) информационной безопасности.

132
При предоставлении доступа к информационным системам спе- циалистам сторонних организаций необходимо особое внимание уде- лить вопросам безопасности. Должна быть проведена оценка рисков, связанных с разными типами доступа (физическим или логическим, т. е. удаленным) таких специалистов к различным ресурсам организа- ции. Необходимость предоставления доступа должна быть обоснова- на, а в договоры со сторонними лицами и организациями должны быть включены требования, касающиеся соблюдения политики без- опасности. Аналогичным образом предлагается поступать и в случае привлечения сторонних организаций к обработке информации (аут- сорсинга).
Следующий раздел стандарта посвящен вопросам классифика- ции и управления активами. Для обеспечения информационной без- опасности организации необходимо, чтобы все основные информаци- онные активы были учтены и закреплены за ответственными владель- цами. Начать предлагается с проведения инвентаризации. В качестве примера приводится следующая классификация активов:
- информационные (базы данных и файлы данных, системная до- кументация и т. д.);
- программное обеспечение (прикладное программное обеспече- ние, системное программное обеспечение, инструментальные средства разработки и утилиты);
- физические активы (компьютерное оборудование, оборудование связи, носители информации, другое техническое оборудование, мебель, помещения);
- услуги (вычислительные услуги и услуги связи, основные ком- мунальные услуги).
Далее предлагается классифицировать информацию, чтобы определить ее приоритетность, необходимость и степень ее защиты.
При этом можно оценить соответствующую информацию с учетом того, насколько она критична для организации, например, с точки зрения обеспечения ее целостности и доступности. После этого пред-

133 лагается разработать и внедрить процедуру маркировки при обработ- ке информации. Для каждого уровня классификации следует опреде- лять процедуры маркировки, для того чтобы учесть следующие типы обработки информации:
- копирование;
- хранение;
- передачу по почте, факсом и электронной почтой;
- передачу голосом, включая мобильный телефон, голосовую по- чту, автоответчики;
- уничтожение.
Раздел 6 рассматривает вопросы безопасности, связанные с пер- соналом. Стандартом определяется, чтобы обязанности по соблюде- нию требований безопасности распределялись на стадии подбора пер- сонала, включались в трудовые договоры, и проводился их монито- ринг в течение всего периода работы сотрудника. В частности, при приеме в постоянный штат рекомендуется проводить проверку под- линности представляемых претендентом документов, полноту и точ- ность резюме, представляемые им рекомендации. Рекомендуется, чтобы сотрудники подписывали соглашение о конфиденциальности, уведомляющее о том, какая информация является конфиденциальной или секретной. Должна быть определена дисциплинарная ответствен- ность сотрудников, нарушивших политику и процедуры безопасности организации. Там, где необходимо, эта ответственность должна со- храняться и в течение определенного срока после увольнения с рабо- ты.
Пользователей необходимо обучать процедурам безопасности и правильному использованию средств обработки информации, чтобы минимизировать возможные риски. Кроме того, должен быть опреде- лен порядок информирования о нарушениях информационной без- опасности, с которым необходимо ознакомить персонал. Аналогичная процедура должна задействоваться в случаях сбоев программного