Файл: Оценка информационных рисков.pdf

Оценка информационных рисков
В общем случае процесс управления информационными рисками включает в себя следующие этапы:
1.
Установление контекста: определение области оценки рисков ИБ, установление внешних и внутренних факторов.
2.
Оценка рисков ИБ, включающая в себя: o идентификацию риска ИБ; o анализ риска ИБ; o сравнительную оценку риска ИБ; o оценку остаточного риска (при необходимости).
3.
Обработка рисков ИБ (снижение, перенос, уклонение, принятие).
4.
Мониторинг и пересмотр рисков ИБ.
5.
Документирование и отчетность.
Методики анализа рисков можно разделить на несколько категорий:
• методики, использующие оценку риска на качественном уровне
(например, по шкале "высокий", "средний", "низкий"). К таким методикам, в частности, относится FRAP;
• количественные методики (риск оценивается через числовое значение, например размер ожидаемых годовых потерь). К этому классу относится методика RiskWatch;
• методики, использующие смешанные оценки (такой подход используется в CRAMM, методике Microsoft и т.д.).
Методика CRAMM
В основе метода CRAMM лежит комплексный подход к оценке рисков, сочетающий количественные и качественные методы анализа.
Исследование ИБ системы с помощью СRAMM проводится в три стадии.

На первой стадии анализируется все, что касается идентификации и определения ценности ресурсов системы. Она начинается с решения задачи определения границ исследуемой системы: собираются сведения о конфигурации системы и о том, кто отвечает за физические и программные ресурсы, кто входит в число пользователей системы, как они ее применяют или будут применять.
Проводится идентификация ресурсов: физических, программных и информационных, содержащихся внутри границ системы.
Каждый ресурс необходимо отнести к одному из предопределенных классов.
Затем строится модель информационной системы с позиции ИБ. Для каждого информационного процесса, имеющего, по мнению пользователя, самостоятельное значение и называемого пользовательским сервисом, строится дерево связей используемых ресурсов. Построенная модель позволяет выделить критичные элементы.
Ценность физических ресурсов в CRAMM определяется стоимостью их восстановления в случае разрушения.
Ценность данных и программного обеспечения определяется в следующих ситуациях:
• недоступность ресурса в течение определенного периода времени;
• разрушение ресурса - потеря информации, полученной со времени последнего резервного копирования, или ее полное разрушение;
• нарушение конфиденциальности в случаях несанкционированного доступа штатных сотрудников или посторонних лиц;
• модификация - рассматривается для случаев мелких ошибок персонала (ошибки ввода), программных ошибок, преднамеренных ошибок;
• ошибки, связанные с передачей информации: отказ от доставки, недоставка информации, доставка по неверному адресу.
Для оценки возможного ущерба CRAMM рекомендует использовать следующие параметры:
• ущерб репутации организации;

• нарушение действующего законодательства;
• ущерб для здоровья персонала;
• ущерб, связанный с разглашением персональных данных отдельных лиц;
• финансовые потери от разглашения информации;
• финансовые потери, связанные с восстановлением ресурсов;
• потери, связанные с невозможностью выполнения обязательств;
• дезорганизация деятельности.
Для данных и программного обеспечения выбираются применимые к данной ИС критерии, дается оценка ущерба по шкале со значениями от 1 до
10.
При низкой оценке по всем используемым критериям (3 балла и ниже) считается, что рассматриваемая система требует базового уровня защиты (для этого уровня не требуется подробной оценки угроз ИБ) и вторая стадия исследования пропускается.
На второй стадии рассматривается все, что относится к идентификации и оценке уровней угроз для групп ресурсов и их уязвимостей. В конце стадии заказчик получает идентифицированные и оцененные уровни рисков для своей системы. На этой стадии оцениваются зависимость пользовательских сервисов от определенных групп ресурсов и существующий уровень угроз и уязвимостей, вычисляются уровни рисков и анализируются результаты.
Ресурсы группируются по типам угроз и уязвимостей. Например, в случае существования угрозы пожара или кражи в качестве группы ресурсов разумно рассмотреть все ресурсы, находящиеся в одном месте (серверный зал, комната средств связи и т. д.). Оценка уровней угроз и уязвимостей производится на основе исследования косвенных факторов.
CRAMM объединяет угрозы и уязвимости в матрице риска.
Для составления матрицы риска используются:
• шкала оценки уровней угрозы;
• шкала оценки уровней уязвимости;

• шкала оценки размера ожидаемых финансовых потерь.
Шкала оценки уровней угрозы (частота возникновения).
Описание
Значение инцидент происходит в среднем, не чаще, чем каждые 10 лет очень низкий инцидент происходит в среднем один раз в 3 года низкий инцидент происходит в среднем раз в год средний инцидент происходит в среднем один раз в четыре месяца высокий инцидент происходит в среднем раз в месяц очень высокий
Шкала оценки уровня уязвимости (вероятность успешной реализации угрозы).
Описание
Значение
В случае возникновения инцидента, вероятность развития событий по наихудшему сценарию меньше 0,33 низкий
В случае возникновения инцидента, вероятность развития событий по наихудшему сценарию от 0,33 до 0,66 средний
В случае возникновения инцидента, вероятность развития событий по наихудшему сценарию выше
0,66 высокий
Исходя из оценок стоимости ресурсов защищаемой ИС, оценок угроз и уязвимостей, определяются составляется матрица оценки ожидаемый потерь.
В ней второй столбец слева содержит значения стоимости ресурса, верхняя строка заголовка таблицы - оценку частоты возникновения угрозы в течение года (уровня угрозы), нижняя строка заголовка - оценку вероятности успеха реализации угрозы (уровня уязвимости).

Матрица ожидаемых годовых потерь
Значения ожидаемых годовых потерь (англ. Annual Loss of Expectancy) переводятся в CRAMM в баллы, показывающие уровень риска, согласно шкале.
Шкала оценки уровня рисков
В соответствии с приведенной ниже матрицей, выводится оценка риска.
Матрица оценки риска
Третья стадия исследования заключается в поиске адекватных контрмер.

На этой стадии CRAMM генерирует несколько вариантов мер противодействия, адекватных выявленным рискам и их уровням. Контрмеры можно объединить в три категории: около 300 рекомендаций общего плана; более 1000 конкретных рекомендаций; около 900 примеров того, как можно организовать защиту в данной ситуации.
Таким образом, CRAMM - пример методики расчета, при которой первоначальные оценки даются на качественном уровне, и потом производится переход к количественной оценке (в баллах).
Методика FRAP
Методика "Facilitated Risk Analysis Process (FRAP)", предлагаемая компанией Peltier and Associates, разработана Томасом Пелтиером.
Основные этапы оценки рисков по методике FRAP:
1.
Определение защищаемых активов.
Производится с использованием опросных листов, изучения документации на систему, использования инструментов автоматизированного анализа (сканирования) сетей.
2.
Идентификация угроз. При составлении списка угроз могут использоваться разные подходы: o заранее подготовленные экспертами перечни угроз (checklists), из которых выбираются актуальные для данной системы; o анализ статистики происшествий в данной ИС и в подобных ей - оценивается частота их возникновения; по ряду угроз, например, угрозе возникновения пожара, подобную статистику можно получить у соответствующих государственных организаций; o
"мозговой штурм", проводимый сотрудниками компании.
3.
Определение вероятности возникновения угроз, оценка ущерба, который может быть нанесен данной угрозой, оценка уровня угрозы, исходя из полученных значений.

При проведении анализа, как правило, принимают, что на начальном этапе в системе отсутствуют средства и механизмы защиты. Таким образом оценивается уровень риска для незащищенной ИС, что в последствии позволяет показать эффект от внедрения средств защиты информации (СЗИ).
Оценка производится для вероятности возникновения угрозы и ущерба от нее по следующим шкалам.
Вероятность (Probability):
o
Высокая (High Probability) - очень вероятно, что угроза реализуется в течение следующего года; o
Средняя (Medium Probability) - возможно угроза реализуется в течение следующего года; o
Низкая (Low Probability) - маловероятно, что угроза реализуется в течение следующего года.
Ущерб (Impact) - мера величины потерь или вреда, наносимого активу: o
Высокий (High Impact): остановка критически важных бизнес- подразделений, которая приводит к существенному ущербу для бизнеса, потере имиджа или неполучению существенной прибыли; o
Средний (Medium Impact): кратковременное прерывание работы критических процессов или систем, которое приводит к ограниченным финансовым потерям в одном бизнес-подразделении; o
Низкий (Low Impact): перерыв в работе, не вызывающий ощутимых финансовых потерь.
Оценка определяется в соответствии с правилом, задаваемым матрицей рисков. Полученная оценка уровня риска может интерпретироваться следующим образом: o уровень A - связанные с риском действия (например, внедрение
СЗИ) должны быть выполнены немедленно и в обязательном порядке; o уровень B - связанные с риском действия должны быть предприняты;

o уровень
C
- требуется мониторинг ситуации
(но непосредственных мер по противодействию угрозе принимать, возможно, не надо); o уровень D -никаких действий в данный момент предпринимать не требуется.
Матрица рисков FRAP
4.
После того как угрозы идентифицированы и дана оценка риска, должны быть определены контрмеры, позволяющие устранить риск или свести его до приемлемого уровня. При этом должны приниматься во внимание законодательные ограничения, делающие невозможным или, наоборот, предписывающие в обязательном порядке, использование тех или иных средств и механизмов защиты. Чтобы определить ожидаемый эффект, можно провести оценку того же риска, но при условии внедрения предлагаемого СЗИ. Если риск снижен недостаточно, возможно, надо применить другое СЗИ. Вместе с определением средства защиты, надо определить какие затраты (прямые и косвенные) повлечет его приобретение и внедрение. Кроме того, необходимо оценить, безопасно ли само это средство, не создает ли оно новых уязвимостей в системе.

Чтобы использовать экономически эффективные средства защиты, нужно проводить анализ соотношения затрат и получаемого эффекта. При этом надо оценивать не только стоимость приобретения решения, но и стоимость поддержания его работы. В затраты могут включаться: o стоимость реализации проекта, включая дополнительное программное и аппаратное обеспечение; o снижение эффективности выполнения системой своих основных задач; o внедрение дополнительных политик и процедур для поддержания средства; o затраты на найм дополнительного персонала или переобучение имеющегося.
5.
Документирование. Когда оценка рисков закончена, ее результаты должны быть подробно документированы в стандартизованном формате.
Полученный отчет может быть использован при определении политик, процедур, бюджета безопасности и т.д.
Методика OCTAVE
OCTAVE(Operationally Critical Threat, Asset, and Vulnerability Evaluatio
n) – методика поведения оценки рисков в организации, разрабатываемая институтом Software Engineering Institute (SEI) при университете Карнеги
Меллон (Carnegie Mellon University).
Особенность данной методики заключается в том, что весь процесс анализа производится силами сотрудников организации, без привлечения внешних консультантов. Для этого создается смешанная группа, включающая как технических специалистов, так и руководителей разного уровня, что позволяет всесторонне оценить последствия для бизнеса возможных инцидентов в области безопасности и разработать контрмеры.
OCTAVE предполагает три фазы анализа:
1. разработка профиля угроз, связанных с активом;

2. идентификация инфраструктурных уязвимостей;
3. разработка стратегии и планов безопасности.
Профиль угрозы включает в себя указания на актив (asset), тип доступа к активу (access), источник угрозы (actor), тип нарушения или мотив (motive), результат (outcome) и ссылки на описания угрозы в общедоступных каталогах. По типу источника, угрозы в OCTAVE делятся на:
1. угрозы, исходящие от человека-нарушителя, действующего через сеть передачи данных;
2. угрозы, исходящие от человека-нарушителя, использующего физический доступ;
3. угрозы, связанные со сбоями в работе системы;
4. прочие.
Результат может быть раскрытие (disclosure), изменение (modification), потеря или разрушение (loss/destruction) информационного ресурса или разрыв подключения. Отказ в обслуживании (interruption).
Методика OCTAVE предлагает при описании профиля использовать "деревья вариантов". При создании профиля угроз рекомендуется избегать обилия технических деталей – это задача второго этапа исследования. Главная задача первой стадии - стандартизованным образом описать сочетание угрозы и ресурса.
Пример профиля угрозы
Ресурс (Asset)
БД отдела кадров (HR Database)
Тип доступа (Access)
Через сеть передачи данных
(Network)
Источник угрозы (Actor)
Внутренний (Inside)
Тип нарушения (Motive)
Преднамеренное (Deliberate)
Уязвимость (Vulnerability)
-
Результат (Outcome)
Раскрытие данных (Disclosure)

Ссылка на каталог уязвимостей
(Catalog reference)
-
Дерево вариантов, использующееся при описании профиля
Вторая фаза исследования системы в соответствии с методикой
- идентификация инфраструктурных уязвимостей. В ходе этой фазы определяется инфраструктура, поддерживающая существование выделенного ранее актива и то окружение, которое может позволить получить к ней доступ.
Рассматриваются компоненты следующих классов: серверы; сетевое оборудование; СЗИ; персональные компьютеры; домашние персональные компьютеры "надомных" пользователей, работающих удаленно, но имеющих доступ в сеть организации; мобильные компьютеры; системы хранения; беспроводные устройства; прочее.
Группа, проводящая анализ для каждого сегмента сети, отмечает, какие компоненты в нем проверяются на наличие уязвимостей. Уязвимости

проверяются сканерами безопасности уровня операционной системы, сетевыми сканерами безопасности, специализированными сканерами (для конкретных web-серверов, СУБД и проч.), с помощью списков уязвимостей
(checklists), тестовых скриптов.
Для каждого компонента определяется:
• список уязвимостей, которые надо устранить немедленно (high- severity vulnerabilities);
• список уязвимостей, которые надо устранить в ближайшее время
(middle-severity vulnerabilities);
• список уязвимостей, в отношении которых не требуется немедленных действий (low-severity vulnerabilities).
По результатам стадии готовится отчет, в котором указывается, какие уязвимости обнаружены, какое влияние они могут оказать на выделенные ранее активы, какие меры надо предпринять для устранения уязвимостей.
Разработка стратегии и планов безопасности - третья стадия исследования системы. Она начинается с оценки рисков, которая проводится на базе отчетов по двум предыдущим этапам. В OCTAVE при оценке риска дается только оценка ожидаемого ущерба, без оценки вероятности. Шкала: высокий
(high), средний
(middle), низкий
(low).
Оценивается финансовый ущерб, ущерб репутации компании, жизни и здоровью клиентов и сотрудников, ущерб, который может вызвать судебное преследование в результате того или иного инцидента. Описываются значения, соответствующие каждой градации шкалы.
Далее, разрабатывают планы снижения рисков нескольких типов:
• долговременные;
• на среднюю перспективу;
• списки задач на ближайшее время.
Для определения мер противодействия угрозам в методике предлагаются каталоги средств.