Файл: Основыинформационнойбезопасности.pdf

172
Хотелось бы еще раз подчеркнуть, что в отличие от прочих ме- тодик OCTAVE не предполагает привлечения для исследования без- опасности ИС сторонних экспертов, а вся документация по OCTAVE общедоступна и бесплатна, что делает методику особенно привлека- тельной для предприятий с жестко ограниченным бюджетом, выделя- емым на цели обеспечения ИБ.
4.5.4. Методика RiskWatch
Компания RiskWatch разработала собственную методику анали- за рисков и семейство программных средств, в которых она в той ли- бо иной мере реализуется [19, 28, 29, 30].
В семейство RiskWatch входят программные продукты для про- ведения различных видов аудита безопасности:
- RiskWatch for Physical Security — для анализа физической защи- ты ИС;
- RiskWatch for Information Systems — для информационных рис- ков;
- HIPAA-WATCH for Healthcare Industry — для оценки соответ- ствия требованиям стандарта HIPAA (от англ. «US Healthcare
Insurance Portability and Accountability Act»), актуальным в ос- новном для медицинских учреждений, работающих на террито- рии США;
- RiskWatch RW17799 for ISO 17799 — для оценки соответствия
ИС требованиям международного стандарта ISO 17799.
В методе RiskWatch в качестве критериев для оценки и управле- ния рисками используются ожидаемые годовые потери (англ. «Annual
Loss Expectancy», ALE) и оценка возврата инвестиций (англ. «Return on Investment», ROI). RiskWatch ориентирована на точную количе- ственную оценку соотношения потерь от угроз безопасности и затрат на создание системы защиты. В основе продукта RiskWatch находится методика анализа рисков, которая состоит из четырех этапов.
Первый этап — определение предмета исследования. Здесь опи- сываются такие параметры, как тип организации, состав исследуемой

173 системы (в общих чертах), базовые требования в области безопасно- сти. Для облегчения работы аналитика в шаблонах, соответствующих типу организации («коммерческая информационная система», «госу- дарственная/военная информационная система» и т. д.), есть списки категорий защищаемых ресурсов, потерь, угроз, уязвимостей и мер защиты. Из них нужно выбрать те, что реально присутствуют в орга- низации (рис. 4.11).
Рис. 4.11. Определение категорий защищаемых ресурсов
Например, категории потерь:
- задержки и отказ в обслуживании;
- раскрытие информации;
- прямые потери (например, от уничтожения оборудования огнем);
- жизнь и здоровье (персонала, заказчиков и т. д.);
- изменение данных;
- косвенные потери (например, затраты на восстановление);

174
- репутация.
Второй этап — ввод данных, описывающих конкретные харак- теристики системы. Данные могут вводиться вручную или импорти- роваться из отчетов, созданных инструментальными средствами ис- следования уязвимости компьютерных сетей. На этом этапе, в част- ности, подробно описываются ресурсы, потери и классы инцидентов.
Классы инцидентов получаются путем сопоставления категории по- терь и категории ресурсов.
Для выявления возможных уязвимостей используется вопрос- ник, база которого содержит более 600 вопросов. Вопросы связаны с категориями ресурсов.
Также задается частота возникновения каждой из выделенных угроз, степень уязвимости и ценность ресурсов. Если для выбранного класса угроз в системе есть среднегодовые оценки возникновения
(LAFE и SAFE), то используются они. Все это используется в даль- нейшем для расчета эффекта от внедрения средств защиты.
Третий этап — количественная оценка риска. На этом этапе рас- считывается профиль рисков, и выбираются меры обеспечения без- опасности. Сначала устанавливаются связи между ресурсами, поте- рями, угрозами и уязвимостями, выделенными на предыдущих шагах исследования. По сути, риск оценивается с помощью математическо- го ожидания потерь за год. Например, если стоимость сервера
$ 150000, а вероятность того, что он будет уничтожен пожаром в те- чение года, равна 0,01, то ожидаемые потери составят $ 1500.
Формула расчета (m = p×v , где m — математическое ожидание, p — вероятность возникновения угрозы, v — стоимость ресурса) пре- терпела некоторые изменения в связи с тем, что RiskWatch использует определенные американским институтом стандартов NIST оценки, называемые LAFE и SAFE. LAFE (от англ. «Local Annual Frequency
Estimate») показывает, сколько раз в год в среднем данная угроза реа- лизуется в данном месте (например, в городе). SAFE (от англ.
«Standard Annual Frequency Estimate») показывает, сколько раз в год в

175 среднем данная угроза реализуется в этой «части мира» (например, в
Северной Америке). Вводится также поправочный коэффициент, ко- торый позволяет учесть, что в результате реализации угрозы защища- емый ресурс может быть уничтожен не полностью, а только частично.
Формулы (4.3) и (4.4) показывают варианты расчета показателя
ALE
ALE=Asset Value

Exposure Factor

Frequency,
(4.3) где Asset Value — стоимость рассматриваемого актива (данных, про- грамм, аппаратуры и т. д.);
Exposure Factor — коэффициент воздействия — показывает, какая часть (в процентах) от стоимости актива подвергается риску;
Frequency — частота возникновения нежелательного события;
ALE — это оценка ожидаемых годовых потерь для одного конкретно- го актива от реализации одной угрозы.
Когда все активы и воздействия идентифицированы и собраны вместе, то появляется возможность оценить общий риск для ИС, как сумму всех частных значений.
Можно ввести показатели «ожидаемая годовая частота проис- шествия» (англ. «Annualized Rate of Occurrence» — ARO) и «ожидае- мый единичный ущерб» (англ. «Single Loss Expectancy» — SLE), ко- торый может рассчитываться как разница первоначальной стоимости актива и его остаточной стоимости после происшествия (хотя подоб- ный способ оценки применим не во всех случаях, например, он не подходит для оценки рисков, связанных с нарушением конфиденци- альности информации). Тогда для отдельно взятого сочетания угроза- ресурс применима формула (4.4):
ALE = ARO

SLE.
(4.4)
Дополнительно рассматриваются сценарии «что если:», которые позволяют описать аналогичные ситуации при условии внедрения средств защиты. Сравнивая ожидаемые потери при условии внедре- ния защитных мер и без них можно оценить эффект от таких меро- приятий.

176
RiskWatch включает в себя базы с оценками LAFE и SAFE, а также с обобщенным описанием различных типов средств защиты.
Эффект от внедрения средств защиты количественно описыва- ется с помощью показателя ROI (Return on Investment — возврат ин- вестиций), который показывает отдачу от сделанных инвестиций за определенный период времени. Рассчитывается он по формуле:




i
j
j
i
Costs
NVP
Benefits
NVP
ROI
)
(
)
(
,
(4.5)
где Costs
j
— затраты на внедрение и поддержание j-меры защиты;
Benefits
i
— оценка той пользы (т. е. ожидаемого снижения потерь), которую приносит внедрение данной меры защиты; NPV (Net Present
Value) — чистая текущая стоимость.
Рис. 4.12. Пример графика показателя ROI для различных мер защиты
Четвертый этап — генерация отчетов. Типы отчетов:
- краткие итоги;
- полные и краткие отчеты об элементах, описанных на стадиях 1 и
2;
- отчет от стоимости защищаемых ресурсов и ожидаемых потерях от реализации угроз;
- отчет об угрозах и мерах противодействия;
- отчет о ROI (фрагмент приведен на рис. 4.12);

177
- отчет о результатах аудита безопасности.
Таким образом, рассматриваемое средство позволяет оценить не только те риски, которые сейчас существуют у предприятия, но и ту выгоду, которую может принести внедрение физических, техниче- ских, программных и прочих средств и механизмов защиты. Подго- товленные отчеты и графики дают материал, достаточный для приня- тия решений об изменении системы обеспечения безопасности пред- приятия.

178 ковские транзакции, расчеты платежей, спецификации и планы разра- ботки продуктов). В некоторых организациях может оказаться полез- ным определение третьего типа активов — ИТ-служб. ИТ-служба представляет собой сочетание материальных и нематериальных акти- вов. Например, это может быть корпоративная служба электронной почты.
Процесс управления рисками безопасности, предлагаемый кор- порацией Майкрософт, определяет следующие три качественных класса активов:
- высокое влияние на бизнес (ВВБ) — влияние на конфиденциаль- ность, целостность и доступность этих активов может причинить организации значительный или катастрофический ущерб.
Например, к этому классу относятся конфиденциальные деловые данные;
- среднее влияние на бизнес (СВБ) — влияние на конфиденциаль- ность, целостность и доступность этих активов может причинить организации средний ущерб. Средний ущерб не вызывает значи- тельных или катастрофических изменений, однако нарушает нормальную работу организации до такой степени, что это тре- бует проактивных элементов контроля для минимизации влияния в данном классе активов. К этому классу могут относиться внут- ренние коммерческие данные, такие как перечень сотрудников или данные о заказах предприятия;
- низкое влияние на бизнес (НВБ) — активы, не попадающие в классы ВВБ и СВБ, относятся к классу НВБ. К защите подобных активов не выдвигаются формальные требования, и она не требу- ет дополнительного контроля, выходящего за рамки стандартных рекомендаций по защите инфраструктуры. Например, это могут быть общие сведения о структуре организации.
Далее определяется перечень угроз и уязвимостей, и выполняет- ся оценка уровня потенциального ущерба, называемого степенью

179 подверженности актива воздействию. Оценка ущерба может прово- диться по различным категориям:
- конкурентное преимущество;
- законы и регулятивные требования;
- операционная доступность;
- репутация на рынке.
Оценку предлагается проводить по следующей шкале:
- «высокая подверженность воздействию»: значительный или пол- ный ущерб для актива;
- «средняя подверженность воздействию»: средний или ограни- ченный ущерб;
- «низкая подверженность воздействию»: незначительный ущерб или отсутствие такового.
Следующий шаг — оценка частоты возникновения угроз по шкале:
- «высокая»: вероятно возникновение одного или нескольких со- бытий в пределах года.
- «средняя»: влияние (событие) может возникнуть в пределах двух- трех лет.
- «низкая»: возникновение влияния в пределах трех лет маловеро- ятно.
Рис. 4.13. Шаблон сбора данных
Данные собираются в шаблон (см. рис. 4.13). Набор шаблонов (в виде файлов Excel) для проведения анализа рисков доступен вместе с

180 текстом руководства на сайте Microsoft. Для пояснения методики ни- же будут приводиться скриншоты, отображающие разные этапы за- полнения шаблонов.
Для угроз указывается уровень воздействия в соответствии с концепцией многоуровневой защиты (уровни — физический, сети, хоста, приложения, данных).
В столбце текущие элементы контроля описывают использую- щиеся средства и меры защиты, противостоящие данной угрозе. На основе собранных данных заполняется таблица, пример которой представлен на рис. 4.14.
Рис. 4.14. Пример заполненного шаблона
Следующий шаг этапа оценки рисков — приоритизация рисков, т. е. создание упорядоченного по приоритетам списка рисков. Форми- рование данного списка сначала предлагается выполнить на обоб- щенном уровне, после чего описания наиболее существенных рисков детализируются.

181
Исходя из значения класса актива и оценки подверженности ак- тива воздействию по таблице, приведенной на рис. 4.15, определяется уровень влияния.
Рис. 4.15. Определение уровня влияния по классу актива и уровню подверженности воздействию
Итоговый уровень риска определяется исходя из уровня влияния и оценки частоты возникновения риска (рис. 4.16). Полученные оцен- ки заносятся в таблицу, пример которой приведен на рис. 4.17.
Рис. 4.16. Определение итогового уровня риска
Для детального изучения (составления «перечня на уровне дета- лизации») отбираются риски, отнесенные по результатам оценки на обобщенном уровне к одной из трех групп:
- риски высокого уровня;
- граничные риски: риски среднего уровня, которые необходимо снижать;
- противоречивые риски: риск является новым и знаний об этом риске у организации недостаточно или различные заинтересо- ванные лица оценивают этот риск по-разному.