Файл: 1. Теоретические основы рисков информационной безопасности 1 Сущность и способы оценки информационной безопасности.rtf

¾ привлекательностью ресурса (учитывается при рассмотрении угрозы от умышленного воздействия со стороны человека);

¾ возможностью использования ресурса для получения дохода (также в случае угрозы от умышленного воздействия со стороны человека);

¾ техническими возможностями реализации угрозы при умышленном воздействии со стороны человека;

¾ степенью легкости, с которой уязвимость может быть использована. [2]

В России в настоящее время чаще всего используются разнообразные «бумажные» методики, достоинствами которых являются гибкость и адаптивность. Как правило, разработкой данных методик занимаются компании - системные и специализированные интеграторы в области защиты информации.

Специализированное ПО, реализующее методики анализа рисков, может относиться к категории программных продуктов (имеется на рынке) либо являться собственностью ведомства или организации и не продаваться.

Если ПО разрабатывается как программный продукт, оно должно быть в достаточной степени универсальным. Ведомственные варианты ПО адаптированы под особенности постановок задач анализа и управления рисками и позволяют учесть специфику информационных технологий организации.

Предлагаемое на рынке ПО ориентировано в основном на уровень информационной безопасности, несколько превышающий базовый уровень защищенности. Таким образом, инструментарий рассчитан в основном на потребности организаций 3-4 степени зрелости, описанных в первой главе.

Для решения данной задачи были разработаны программные комплексы анализа и контроля информационных рисков: CRAMM, FRAP, RiskWatch, Microsoft, ГРИФ. Ниже приведены краткие описания ряда распространенных методик анализа рисков.

Распространенные методики анализа рисков:

¾ методики, использующие оценку риска на качественном уровне (например, по шкале «высокий», «средний», «низкий»). К таким методикам, в частности, относится FRAP;

¾ количественные методики (риск оценивается через числовое значение, например размер ожидаемых годовых потерь). К этому классу относится методика RiskWatch;

¾ методики, использующие смешанные оценки (такой подход используется в CRAMM, методике Microsoft и т.д.). [4]

Методика CRAMM одна из первых зарубежных работ по анализу рисков в сфере информационной безопасности, разработанная в 80-х гг.

---

Ее основу составляет комплексный подход к оценке рисков, сочетающий количественные и качественные методы анализа. Метод является универсальным и подходит как для крупных, так и для малых организаций, как правительственного, так и коммерческого сектора. Версии программного обеспечения CRAMM, ориентированные на разные типы организаций, отличаются друг от друга своими базами знаний (профили):

¾ коммерческий профиль;

¾ правительственный профиль.

При работе методики на первых этапах учитывается ценность ресурсов исследуемой системы, собираются первичные сведения о конфигурации системы. Проводится идентификация ресурсов: физических, программных и информационных, содержащихся внутри границ системы.

Результатом этого этапа является построение модели системы, с деревом связи ресурсов. Эта схема позволяет выделить критичные элементы. Ценность физических ресурсов в CRAMM определяется стоимостью их восстановления в случае разрушения.

Ценность данных и программного обеспечения определяется в следующих ситуациях:

¾ недоступность ресурса в течение определенного периода времени;

¾ разрушение ресурса - потеря информации, полученной со времени последнего резервного копирования, или ее полное разрушение;

¾ нарушение конфиденциальности в случаях несанкционированного доступа штатных сотрудников или посторонних лиц;

¾ модификация - рассматривается для случаев мелких ошибок персонала (ошибки ввода), программных ошибок, преднамеренных ошибок;

¾ ошибки, связанные с передачей информации: отказ от доставки, недоставка информации, доставка по неверному адресу.

Методика CRAMM рекомендует использовать следующие параметры:

¾ ущерб репутации организации;

¾ нарушение действующего законодательства;

¾ ущерб для здоровья персонала;

¾ ущерб, при разглашении персональных данных отдельных лиц;

¾ финансовые потери от разглашения информации;

¾ финансовые потери, связанные с восстановлением ресурсов;

¾ потери, связанные с невозможностью выполнения обязательств;

¾ дезорганизация деятельности.

---

На второй стадии рассматривается все, что относится к идентификации и оценке уровней угроз для групп ресурсов и их уязвимостей. В конце стадии заказчик получает идентифицированные и оцененные уровни рисков для своей системы. На этой стадии оцениваются зависимость пользовательских сервисов от определенных групп ресурсов и существующий уровень угроз и уязвимостей, вычисляются уровни рисков и анализируются результаты.

Ресурсы группируются по типам угроз и уязвимостей. Программное обеспечение CRAMM для каждой группы ресурсов и каждого из 36 типов угроз генерирует список вопросов, допускающих однозначный ответ.

Уровень угроз оценивается, в зависимости от ответов, как очень высокий, высокий, средний, низкий и очень низкий. Уровень уязвимости оценивается, в зависимости от ответов, как высокий, средний и низкий.

На основе этой информации рассчитываются уровни рисков в дискретной шкале с градациями от 1 до 7. Полученные уровни угроз, уязвимостей и рисков анализируются и согласовываются с заказчиком.

Основной подход, для решения этой проблемы состоит в рассмотрении:

¾ уровня угрозы;

¾ уровня уязвимости;

¾ размера ожидаемых финансовых потерь.

Исходя из оценок стоимости ресурсов защищаемой ИС, оценок угроз и уязвимостей, определяются «ожидаемые годовые потери».

Третья стадия исследования поиск варианта системы безопасности, наилучшим образом удовлетворяющей требованиям заказчика.

На этой стадии CRAMM генерирует несколько вариантов мер противодействия, адекватных выявленным рискам и их уровням.

Таким образом, CRAMM - пример методики расчета, при которой первоначальные оценки даются на качественном уровне, и потом производится переход к количественной оценке (в баллах).

Работа по методике CRAMM осуществляется в три этапа, каждый из которых преследует свою цель в построении модели рисков информационной системы в целом. Рассматриваются угрозы системы для конкретных ее ресурсов. Проводится анализ как программного, так и технического состояния системы на каждом шаге, построив дерево зависимостей в системе, можно увидеть ее слабые места и предупредить потерю информации в результате краха системы, как из за вирусной атаки, так и при хакерских угрозах.

---

Недостатки метода CRAMM:

¾ использование метода CRAMM требует специальной подготовки и высокой квалификации аудитора;

¾ CRAMM в гораздо большей степени подходит для аудита уже существующих ИС, находящихся на стадии эксплуатации, нежели чем для ИС, находящихся на стадии разработки;

¾ аудит по методу CRAMM - процесс достаточно трудоемкий и может потребовать месяцев непрерывной работы аудитора;

¾ программный инструментарий CRAMM генерирует большое количество бумажной документации, которая не всегда оказывается полезной на практике;

¾ CRAMM не позволяет создавать собственные шаблоны отчетов или модифицировать имеющиеся;

¾ возможность внесения дополнений в базу знаний CRAMM не доступна пользователям, что вызывает определенные трудности при адаптации этого метода к потребностям конкретной организации;

¾ программное обеспечение CRAMM существует только на английском языке;

¾ высокая стоимость лицензии. [5]
.3 Показатели и алгоритм расчета рисков по угрозе информационной безопасности
На первом этапе рассчитываем уровень угрозы по уязвимости на основе критичности и вероятности реализации угрозы через данную уязвимость. Уровень угрозы показывает, насколько критичным является воздействие данной угрозы на ресурс с учетом вероятности ее реализации.

Для режима с одной базовой угрозой:
, (1)
где - уровень угрозы по уязвимости;- критичность реализации угрозы, %;(V) - вероятность реализации угрозы через данную уязвимость, %.

Для режима с тремя базовыми угрозами используются следующие формулы:

---

, (2)
где - уровень угрозы по уязвимости конфиденциальности;

- критичность реализации угрозы конфиденциальности, %;

- вероятность реализации угрозы конфиденциальности, %.
, (3)
где - уровень угрозы по уязвимости целостности;

- критичность реализации угрозы целостности, %;

- вероятность реализации угрозы целостности, %.
, (4)
где - уровень угрозы по уязвимости доступности;

- критичность реализации угрозы доступности, %;

---