ВУЗ: Не указан
Категория: Не указан
Дисциплина: Не указана
Добавлен: 08.11.2023
Просмотров: 302
Скачиваний: 4
ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.
163
Значения ожидаемых годовых потерь (англ. «Annual Loss of
Expectancy» — ALE) переводятся в CRAMM в баллы, показывающие уровень риска, согласно шкале, представленной в табл. 4.5 (в этом примере из [24] размер потерь приводится в фунтах стерлингов). В соответствии с приведенной ниже матрицей, выводится оценка риска
(табл. 4.6).
Т а б л и ц а 4 . 5
Шкала оценки уровня риска
Уровень риска
(CRAMM Measure of risk)
Ожидаемые годовые потери
(Annual Loss of Expectancy)
1
< ₤ 1 000 2
< ₤ 10 000 3
< ₤ 100 000 4
< ₤ 1 000 000 5
< ₤ 10 000 000 6
< ₤ 100 000 000 7
< ₤ 1 000 000 000
Т а б л и ц а 4 . 6
Матрица оценки риска
Третья стадия исследования заключается в поиске адекватных контрмер. По существу, это поиск варианта системы безопасности, наилучшим образом удовлетворяющей требованиям заказчика.
На этой стадии CRAMM генерирует несколько вариантов мер противодействия, адекватных выявленным рискам и их уровням.
164
Контрмеры можно объединить в три категории: около 300 рекомен- даций общего плана; более 1000 конкретных рекомендаций; около
900 примеров того, как можно организовать защиту в данной ситуа- ции.
Таким образом, CRAMM — пример методики расчета, при ко- торой первоначальные оценки даются на качественном уровне, а по- том производится переход к количественной оценке (в баллах).
1 ... 10 11 12 13 14 15 16 17 ... 24
4.5.2. Методика FRAP
Методика «Facilitated Risk Analysis Process (FRAP)» предлагае- мая компанией Peltier and Associates (сайт в Интернет http://www.peltierassociates.com/) разработана Томасом Пелтиером
(Thomas R. Peltier) и опубликована в [25] (фрагменты данной книги доступны на сайте, приведенное ниже описание построено на их ос- нове). В методике обеспечение ИБ ИС предлагается рассматривать в рамках процесса управления рисками. Управление рисками в сфере
ИБ — процесс, позволяющий компаниям найти баланс между затра- тами средств и сил на средства защиты и получаемым эффектом.
Управление рисками должно начинаться с оценки рисков: должным образом оформленные результаты оценки станут основой для принятия решений в области повышения безопасности системы.
После завершения оценки проводится анализ соотношения за- трат и получаемого эффекта (англ. «cost/benefit analysis»), который позволяет определить те средства защиты, которые нужны для сни- жения риска до приемлемого уровня.
Ниже приведены основные этапы оценки рисков. Данный спи- сок во многом повторяет аналогичный перечень из других методик, но во FRAP более подробно раскрываются пути получения данных о системе и ее уязвимостях.
1) Определение защищаемых активов производится с использо- ванием опросных листов, изучения документации на систему, исполь- зования инструментов автоматизированного анализа (сканирования) сетей.
165 2) Идентификация угроз. При составлении списка угроз могут использоваться разные подходы:
- заранее подготовленные экспертами перечни угроз (checklists), из которых выбираются актуальные для данной системы;
- анализ статистики происшествий в данной ИС и в подобных ей
— оценивается частота их возникновения; по ряду угроз, напри- мер, угрозе возникновения пожара, подобную статистику можно получить у соответствующих государственных организаций;
- «мозговой штурм», проводимый сотрудниками компании.
3) Когда список угроз закончен, каждой из них сопоставляют вероятность возникновения. После чего оценивают ущерб, который может быть нанесен данной угрозой. Исходя из полученных значе- ний, оценивается уровень угрозы.
При проведении анализа, как правило, принимают, что на начальном этапе в системе отсутствуют средства и механизмы защи- ты. Таким образом оценивается уровень риска для незащищенной ИС, что в последствии позволяет показать эффект от внедрения средств защиты информации (СЗИ).
Оценка производится для вероятности возникновения угрозы и ущерба от нее по следующим шкалам.
Вероятность (англ. «Probability»):
- «высокая» (англ. «High Probability») — очень вероятно, что угро- за реализуется в течение следующего года;
- «средняя» (англ. «Medium Probability») — возможно угроза реа- лизуется в течение следующего года;
- «низкая» (англ. «Low Probability») — маловероятно, что угроза реализуется в течение следующего года.
Ущерб (англ. «Impact») — вред (или величины потерь), наноси- мый активу:
- «высокий» (англ. «High Impact»): остановка критически важных бизнес-подразделений, которая приводит к существенному
166 ущербу для бизнеса, потере имиджа или неполучению суще- ственной прибыли;
- средний (Medium Impact): кратковременное прерывание работы критических процессов или систем, которое приводит к ограни- ченным финансовым потерям в одном бизнес-подразделении;
- низкий (Low Impact): перерыв в работе, не вызывающий ощути- мых финансовых потерь.
Оценка определяется в соответствии с правилом, задаваемым матрицей рисков, изображенной на рис. 4.9.
Low
Low
Medium
Medium
High
High
D
B
B
B
B
C
C
C
A
P
R
O
B
A
B
I
L
I
T
Y
IMPACT
A - Corrective action must be implemented
B - Corrective action should be implemented
C - Requires monitor
D - No action required at this time
Рис. 4.9. Матрица рисков FRAP
Полученная оценка уровня риска может интерпретироваться следующим образом:
- уровень A — связанные с риском действия (например, внедрение
СЗИ) должны быть выполнены немедленно и в обязательном по- рядке;
- уровень B — связанные с риском действия должны быть пред- приняты;
167
- уровень C — требуется мониторинг ситуации (но непосредствен- ных мер по противодействию угрозе принимать, возможно, не надо);
- уровень D — никаких действий в данный момент предпринимать не требуется.
4) После того как угрозы идентифицированы и дана оценка рис- ка, должны быть определены контрмеры, позволяющие устранить риск или свести его до приемлемого уровня. При этом должны при- ниматься во внимание законодательные ограничения, делающие не- возможным или, наоборот, предписывающие в обязательном порядке, использование тех или иных средств и механизмов защиты. Чтобы определить ожидаемый эффект, можно провести оценку того же рис- ка, но при условии внедрения предлагаемого СЗИ. Если риск снижен недостаточно, возможно, надо применить другое СЗИ. Вместе с опре- делением средства защиты, надо определить, какие затраты повлечет его приобретение и внедрение (затраты могут быть как прямые, так и косвенные, см. ниже). Кроме того, необходимо оценить, безопасно ли само это средство, не создает ли оно новых уязвимостей в системе.
Чтобы использовать экономически эффективные средства защи- ты, нужно проводить анализ соотношения затрат и получаемого эф- фекта. При этом надо оценивать не только стоимость приобретения решения, но и стоимость поддержания его работы. В затраты могут включаться:
- стоимость реализации проекта, включая дополнительное про- граммное и аппаратное обеспечение;
- снижение эффективности выполнения системой своих основных задач;
- внедрение дополнительных политик и процедур для поддержа- ния средства;
- затраты на найм дополнительного персонала или переобучение имеющегося.
168 5) Документирование. Когда оценка рисков закончена, ее ре- зультаты должны быть подробно документированы в стандартизо- ванном формате. Полученный отчет может быть использован при определении политик, процедур, бюджета безопасности и т. д.
4.5.3. Методика OCTAVE
OCTAVE (англ. «Operationally Critical Threat, Asset, and
Vulnerability Evaluation») — методика поведения оценки рисков в ор- ганизации, разрабатываемая институтом Software Engineering Institute
(SEI) при университете Карнеги Меллон (Carnegie Mellon University).
Полное описание методики доступно в Интернет на сайте www.cert.org/octave. Ей также посвящено много научных и научно- технических статей [26, 27].
Особенность данной методики заключается в том, что весь про- цесс анализа производится силами сотрудников организации, без привлечения внешних консультантов. Для этого создается смешанная группа, включающая как технических специалистов, так и руководи- телей разного уровня, что позволяет всесторонне оценить послед- ствия для бизнеса возможных инцидентов в области безопасности и разработать контрмеры.
OCTAVE предполагает три фазы анализа:
1. Разработка профиля угроз, связанных с активом.
2. Идентификация инфраструктурных уязвимостей.
3. Разработка стратегии и планов безопасности.
Профиль угрозы включает в себя указания на актив (англ.
«asset»), тип доступа к активу (англ. «access»), источник угрозы (англ.
«actor»), тип нарушения или мотив (англ. «motive»), результат (англ.
«outcome») и ссылки на описания угрозы в общедоступных каталогах.
По типу источника угрозы в OCTAVE делятся на:
- угрозы, исходящие от человека-нарушителя, действующего че- рез сеть передачи данных;
- угрозы, исходящие от человека-нарушителя, использующего физический доступ;
169
- угрозы, связанные со сбоями в работе системы;
- прочие.
Результатом может быть раскрытие (англ. «disclosure»), измене- ние (англ. «modification»), потеря или разрушение (англ.
«loss/destruction») информационного ресурса или разрыв подключе- ния, отказ в обслуживании (англ. «interruption»).
Методика OCTAVE предлагает при описании профиля исполь- зовать «деревья вариантов», пример подобного дерева для угроз клас- са 1 (угрозы, исходящие от человека-нарушителя, действующего че- рез сеть передачи данных) приведен на рис. 4.10. При создании про- филя угроз рекомендуется избегать обилия технических деталей — это задача второго этапа исследования. Главная задача первой стадии
— стандартизованным образом описать сочетание угрозы и ресурса.
S4-14
© 2001 Carnegie Mellon University
Human Actors - Network Access
disclosure
modification
loss/destruction
interruption
accidental
deliberate
deliberate
accidental
outside
inside
network
asset
disclosure
modification
loss/destruction
interruption
disclosure
modification
loss/destruction
interruption
disclosure
modification
loss/destruction
interruption
asset access actor motive outcome
Рис. 4.10. Дерево вариантов, использующееся при описании профиля
170
Предположим, что на предприятии имеется информационный ресурс (актив) — база данных (БД) отдела кадров (англ. «HR
Database»). Профиль, соответствующий угрозе кражи информации со- трудником, предприятия представлен в табл. 4.10.
Т а б л и ц а 4 . 1 0
Пример профиля угрозы
Ресурс (Asset)
БД отдела кадров (HR Database)
Тип доступа (Access)
Через сеть передачи данных (Network)
Источник угрозы (Actor)
Внутренний (Inside)
Тип нарушения (Motive)
Преднамеренное (Deliberate)
Уязвимость (Vulnerability)
-
Результат (Outcome)
Раскрытие данных (Disclosure)
Ссылка на каталог уязвимо- стей (Catalog reference)
-
Вторая фаза исследования системы в соответствии с методи- кой — идентификация инфраструктурных уязвимостей. В ходе этой фазы определяется инфраструктура, поддерживающая существование выделенного ранее актива (например, если это БД отдела кадров, то нам для работы с ней нужен сервер, на котором база размещена, ра- бочая станция служащего отдела кадров и т. д.), и то окружение, ко- торое может позволить получить к ней доступ (например, соответ- ствующий сегмент локальной сети). Рассматриваются компоненты следующих классов: серверы; сетевое оборудование; СЗИ; персо- нальные компьютеры; домашние персональные компьютеры «надом- ных» пользователей, работающих удаленно, но имеющих доступ в сеть организации; мобильные компьютеры; системы хранения; бес- проводные устройства; прочее.
Группа, проводящая анализ для каждого сегмента сети, отмеча- ет, какие компоненты в нем проверяются на наличие уязвимостей.
Уязвимости проверяются сканерами безопасности уровня операцион- ной системы, сетевыми сканерами безопасности, специализирован- ными сканерами (для конкретных web-серверов, СУБД и проч.), с по-
171 мощью списков уязвимостей (англ. «checklists»), тестовых скриптов.
Для каждого компонента определяется:
- список уязвимостей «высокой степени важности» (англ. «high- severity vulnerabilities»), которые надо устранить немедленно;
- список уязвимостей «средней степени важности» (англ. «middle- severity vulnerabilities»), которые надо устранить в ближайшее время;
- список уязвимостей «низкой степени важности» (low-severity vulnerabilities), в отношении которых не требуется немедленных действий.
По результатам стадии готовится отчет, в котором указывается, какие уязвимости обнаружены, какое влияние они могут оказать на выделенные ранее активы, какие меры надо предпринять для устра- нения уязвимостей.
Разработка стратегии и планов безопасности — третья стадия исследования системы. Она начинается с оценки рисков, которая про- водится на базе отчетов по двум предыдущим этапам. В OCTAVE при оценке риска дается только оценка ожидаемого ущерба, без оценки вероятности. Шкала: «высокий», «средний», «низкий». Оценивается финансовый ущерб, ущерб репутации компании, жизни и здоровью клиентов и сотрудников, ущерб, который может вызвать судебное преследование в результате того или иного инцидента. Описываются значения, соответствующие каждой градации шкалы (например, для малого предприятия финансовый ущерб в $ 10000 — высокий, для более крупного — средний).
Далее разрабатывают планы снижения рисков нескольких ти- пов:
- долговременные;
- на среднюю перспективу;
- списки задач на ближайшее время.
Для определения мер противодействия угрозам в методике предлагаются каталоги средств.