Файл: Учебник для вузов В. Г. Олифер, Н. А. Олифер 2е изд. Спб. Питер 2009 669 с ил. Межсетевое экранирование учеб пособие О. Р. Лапонина М. Интернет Ун т Информ. Технологий бином. Лаб знаний 2007 343 с ил.pdf

27
прошествии некоторого времени (от 15 минут до нескольких лет) после реализации риска.
Отложенный ущерб может быть вызван, например, снижением производительности работы через определенный период времени, снижением дохода компании, ущербом ее репутации, накопительными штрафами, дополнительными расходами на восстановление окружения, приостановкой приема средств от клиентов и т. д.
Например, если в результате атаки на веб-серверы компании они перестали обслуживать клиентов, непосредственным ущербом может быть повреждение данных, затраты рабочего времени на восстановление работы серверов, обновление уязвимого программного обеспечения на них. Кроме того, компания потеряет определенный доход в следствие невозможности обслуживания клиентов в течение времени, которое потребуется ей на восстановление работы своих веб-серверов. Если восстановительные работы займут значительное время (например, неделю), компания может потерять настолько большой объем прибыли, что будет уже не в состоянии оплачивать счета и другие расходы. Это и будет являться отложенным ущербом. А если кроме всего прочего компания еще и потеряет доверие клиентов, она может полностью потерять свой бизнес
(на некоторое время или навсегда). Это является крайним случаем отложенного ущерба.
Такого рода вопросы существенно усложняют количественную оценку ущерба, но они обязательно должны быть приняты во внимание для получения достоверной оценки.
5.5. Анализ сбоев и дефектов
FMEA (Failure Modes and Effect Analysis)– это метод определения функций, выявления функциональных дефектов, оценки причин дефекта и его последствий с помощью структурированного процесса. Применение этого процесса в случае постоянных дефектов позволяет определить место, где ошибка, скорее всего, произойдет. Это очень помогает выявить уязвимые места, точно определить границы уязвимостей и последствия их эксплуатации. В свою очередь, это позволяет не только упростить применение исправлений, устраняющих уязвимости, но и обеспечить более эффективное использование ресурсов в рамках этой задачи.
Следуя определенной последовательности шагов, можно достичь наилучших результатов в анализе дефектов.
1. Начните с блок-схемы системы или контроля (объекта анализа).
2. Рассмотрите, что произойдет, если каждый блок диаграммы даст сбой.
3. Нарисуйте таблицу, и укажите в ней дефекты в паре с их последствиями и оценкой этих последствий.
4. Корректируйте проект системы и вносите соответствующие изменения в таблицу до тех пор, пока не станет ясно, что система не подвержена проблемам.
5. Получите несколько инженерных обзоров характера дефектов и анализа последствий.
В таблице 3 приведен пример проведения и документирования FMEA. Хотя большинство компаний не имеют ресурсов для столь детальной проработки каждой системы и контроля, она должна проводиться для критичных функций и систем, которые могут оказать существенное влияние на компанию. Очень важно проанализировать защитную меру или систему от микро- до макро-уровня, чтобы в полной мере понять, где могут находиться потенциальные уязвимости или дефекты и каковы последствия эксплуатации этих недостатков. Каждая компьютерная система может состоять из множества различных временных бомб на разных уровнях ее структуры. На уровне компонентов это может быть переполнение буфера или опасные компоненты ActiveX, что может позволить злоумышленнику получить контроль над системой, воспользовавшись уязвимостью. На программном уровне приложение может небезопасно проводить авторизацию или может не защищать свои криптографические ключи должным образом.
На системном уровне ядро операционной системы может иметь недостатки, что позволит

28
злоумышленнику без особого труда получить административный доступ. Различные ужасные вещи могут произойти на любом уровне, поэтому необходим столь детальный подход.
Изначально FMEA была разработана для исследования систем. Ее цель заключается в том, чтобы изучить потенциальные дефекты в продуктах и связанных с ними процессах. Этот подход оказался успешным и был адаптирован для использования при оценке приоритетов в области управления рисками и минимизации известных угроз- уязвимостей.
Однако FMEA недостаточно эффективна при выявлении сложных дефектов, в которые могут быть вовлечены несколько различных систем или подсистем. В этом случае более целесообразно использовать анализ дерева сбоев (fault tree analysis). Для анализа с помощью дерева сбоев берется основной процесс. В качестве его корня (самого верхнего элемента этого логического дерева) указывается нежелательное событие. Затем, в качестве ветвей, добавляется ряд логических выражений и событий, которые могут привести к реализации вышестоящего нежелательного события. После этого дерево сбоев помечается цифрами, соответствующими вероятности сбоев (обычно это делается с помощью специализированных компьютерных программ, которые могут рассчитывать вероятности в дереве сбоев). На рисунке 7 показано упрощенное дерево сбоев и различные логические знаки, используемые для представления того, что должно произойти, чтобы вызвать сбой.
Таблица 3 - Пример проведения и документирования FMEA
Подготовлено:
Согласовано:
Дата:
Версия:
Дефект воздействует на
Идентификац ия элемента
Функция
Характер сбоя
Причина сбоя
Последст вия
Последст вия на более высоком уровне
Последств ия системы
Метод выявления сбоя
Центральный сервер предприятия обновления антивирусных сигнатур
Передает обновления сигнатур на серверы и рабочие станции
Сбои не позволяют обеспечить адекватную и современную защиту от вредоносного кода
Отключается центральный сервер
Не обновляю тся антивирус ы на серверах и рабочих станций
Сеть заражает ся вредонос ным кодом
Центральн ый сервер может быть заражен и/или заражать другие системы
Сообщение о текущем состоянии
(работоспособ ность) отправляется на консоль и страницу сетевого администратор а
Водяные трубы
Тушение пожара в пяти зонах здания 1
Неисправности, приводят к неработоспособ ности
Вода в трубах замерзнет
Нет
В здании
1 тушение пожара не производ ится
Трубы системы пожаротуш ения ломаются
Датчики системы пожаротушени я напрямую связываются с центральной консолью пожарной системы
И т.д.

29
Рисунок 7. - Дерево сбоев и логические элементы
При создании дерева, необходимо точно указать все угрозы или сбои, которые могут произойти с системой. Ветви дерева можно разделить на категории, например, физические угрозы, сетевые угрозы, компьютерные угрозы, интернет-угрозы и угрозы сбоя. Когда все возможные категории отмечены, вы можете подрезать ветви с дерева, удаляя угрозы, неприменимые в данном случае (если система не подключена к Интернету, то связанные с Интернетом ветви можно спокойно срезать с дерева).
Некоторые из наиболее распространенных программных сбоев, которые могут быть исследованы с помощью анализа дерева сбоев, приведены ниже:
• Ложные срабатывания (тревоги или защиты)
• Недостаточная обработка ошибок
• Нарушение последовательности или порядка
• Некорректная синхронизация выдачи результатов
• Корректные, но неожиданные результаты
Итак, мы получили надлежащую поддержку руководства в рамках задачи по анализу рисков, создали группу анализа рисков из сотрудников различных подразделений компании, определили ценность каждого из активов компании, определили все возможные угрозы, которые могут повлиять на активы. Мы также приняли во внимание все возможные варианты отложенного ущерба, который может выдержать компания в отношении каждого актива и угрозы. Мы провели анализ сбоев и дефектов (или анализ дерева сбоев) для понимания причин, лежащих в основе выявленных угроз. Следующим шагом является расчет актуальных для компании рисков с использованием качественных и количественных методов.
5.6. Количественный анализ рисков
Количественный анализ рисков пытается присвоить реальные и осмысленные числа всем элементам процесса анализа рисков. Этими элементами могут быть стоимость защитных мер, ценность актива, ущерб для бизнеса, частота возникновения угрозы, эффективность защитных мер, вероятность использования уязвимости и т.д.
Количественный анализ рисков позволяет получить конкретное значение вероятности (в процентах) реализации угрозы.

30
Каждый элемент в процессе анализа вставляется в количественном виде в уравнение определения общего и остаточного риска. Нужно понимать, что количественный анализ рисков в чистом виде невозможен, так как всегда есть некоторая степень неопределенности в значении отдельных количественных величин
(особенно если угрозы сложны, а частота их возникновения невелика). Например, как узнать насколько часто уязвимостью будут пользоваться? Или как узнать точную денежную сумму потерь компании? Даже если вы проанализировали все произошедшие ранее события, максимально точно определили ценность активов, обратились за информацией в организацию, которая оценивает частоту стихийных бедствий в вашей местности, вы все равно не сможете точно сказать, что для вашего дата-центра есть 10%- ная вероятность пожара и что пожар приведет к ущербу ровно в $230,000. Будущее предсказать невозможно.
Автоматизированные методы анализа рисков
Сбор всех данных, которые необходимы для подстановки в уравнения анализа рисков и правильной интерпретации результатов, может быть крайне трудоемким, если он производится вручную. На рынке существует несколько автоматизированных средств анализа рисков, что может существенно упростить данную задачу и повысить точность результатов. Собранные данные могут использоваться повторно, что значительно сократит время проведения повторного анализа. Имеющиеся автоматизированные инструменты могут помочь также при подготовке отчетов и всевозможных графиков для руководства.
Цель этих инструментов - сократить объем ручной работы, оперативно выполнять расчеты, оценивать ожидаемые потери, оценивать эффективность и преимущества выбранных контрмер.
Шаги процесса анализа рисков.
Шаг 1: Определить ценность активов. Для каждого актива необходимо ответить на следующие вопросы для определения его ценности:

31
• Собрать информацию о вероятности каждой угрозы, опросив сотрудников каждого подразделения, проанализировав произведенные ранее записи, а также официальные источники по безопасности, которые предоставляют такую информацию.
• Рассчитать среднегодовую частоту возникновения инцидентов (ARO – Annualized
Rate of Occurrence), которая показывает сколько инцидентов может произойти за год.
Шаг 4: Определить общие годовые потери на угрозу. Для этого нужно выполнить следующее:
• Объединить потенциальные потери и вероятность.
• Рассчитать ожидаемый среднегодовой ущерб (ALE – Annualized Loss Expectancy) на угрозу, используя информацию, собранную на первых трех шагах.
• Выбрать контрмеры для противодействия каждой угрозе.
• Выполнить анализ затрат/выгод выбранных контрмер.
Шаг 5: Уменьшить, перенести, избежать или принять риск. Для каждого риска необходимо выбрать меры по его снижению, переносу, либо принять его.
• Методы снижения риска:
• Внедрить защитные меры и средства управления;
• Усовершенствовать процедуры;
• Изменить окружение;
• Внедрить методы раннего обнаружения для своевременного выявления факторов воздействия угрозы и снижения возможных последствий;
• Разработать план действий в непредвиденных ситуациях, позволяющий продолжить работу в случае воздействия определенных угроз и снизить последствия от угрозы;
• Создать препятствия для реализации угрозы;
• Провести тренинг по вопросам безопасности.
• Перенос риска– например, застраховать некоторые риски.
• Избежание риска– прекратить деятельность, вызывающую риск.
• Принятие риска – смириться с риском и не тратить деньги на защиту от него (это целесообразно, если стоимость защитных мер превышает величину возможного ущерба).
Однако при этом нужно учитывать, что реализация риска может вести к дополнительным последствиям (например, потере репутации).
Принятие риска. Если компания решает принять риск, это решение должно основываться на стоимости (стоимость контрмер превышает возможные потери) и приемлемом уровне риска (при котором компания может жить с уязвимостью или угрозой). Но компания должна также понимать, что это не полноценное решение.
Реализация риска может нести также и ущерб репутации, причем не только репутации компании, но и репутации целой отрасли.
При проведении количественного анализа рисков необходимы, реальные цифры и расчеты. Ранее уже были упомянуты показатели SLE (ущерб от единичного инцидента)и
ALE (ожидаемый среднегодовой ущерб). SLE - это потенциальная сумма (в деньгах) ущерба для компании в результате единичного факта реализации соответствующей угрозы:
Ценность актива х Фактор воздействия (EF - Exposure Factor) = SLE
EF (фактор воздействия)– это процент ущерба для актива от реализовавшейся угрозы, т.е. часть значения (ценности), которую актив потеряет в результате инцидента.
Например, ценность актива "хранилище данных" составляет $150,000. В случае пожара может быть повреждено 25% хранилища (но не более, так как установлена система пожаротушения, поблизости находится пожарная часть и т.д.). В этом случае SLE будет составлять $37,500.
Значение SLE используется при расчете ALE:
SLE х Среднегодовая частота возникновения инцидентов (ARO -Annualized Rate of
Occurrence) = ALE

32
ARO (среднегодовая частота возникновения инцидентов)– это величина, представляющая собой ожидаемую частоту реализации соответствующей угрозы в год.
Значение ARO может быть от 0,0 (никогда) до 1,0 (по крайней мере, раз в год) и выше (несколько раз в год). Например, наводнения в той местности, в которой расположено здание компании, происходят в среднем раз в 1000 лет. Значит величина
ARO составляет 0,001.
Таким образом, если SLE для хранилища данных компании при пожаре равно
$37,500, а пожары в аналогичных условия случаются примерно раз в 10 лет (ARO равно
0,1), величина ALE будет равна $3,750 ($37,500 х 0,1 = $3,750).
Значение ALE используется при оценке целесообразности внедрения тех или иных мер защиты соответствующего актива от соответствующей угрозы - годовая стоимость защитных мер, обеспечивающих необходимый уровень безопасности актива, не должна превышать значение ALE. Применение более дорогих защитных мер не будет эффективным и целесообразным.
Рассмотрим пример результатов анализа рисков (Таблица 4). Используя полученные данные компания может принять обоснованное решение о том, какие угрозы необходимо рассматривать в первую очередь, основываясь на их последствиях и вероятности реализации.
Также компания может оценить целесообразный уровень затрат на защиту от каждой угрозы.
Таблица 4 – Пример результатов анализа рисков
Актив
Угроза
SLE
ARO
ALE
Здание
Пожар
230 000 0,1 23 000
Коммерческая тайна
Хищение
40 000 0,01 400
Файловый сервер
Неисправность
11 500 0,1 1 150
Данные
Вирус
6 500 1,0 6 500
Информация о кредитной карте клиента
Хищение
300 000 3
900 000
Результаты анализа рисков
Группа анализа рисков должна иметь четко определенные цели. Следующий список показывает, что в основном можно ожидать от результатов анализа рисков:
• Ценность активов в денежном выражении;
• Полный список всех возможных и существенных угроз;
• Вероятная частота возникновения каждой угрозы;
• Потенциальные потери компании от угроз, которые она может понести в 12-ти месячный срок;
• Рекомендуемые меры безопасности, контрмеры и действия.
Хотя данный список следует по возможности детализировать, следует сделать краткое резюме для руководства, на основании которого можно быстро сделать выводы о результатах анализа.
5.7. Качественный анализ рисков
Другим методом анализа рисков является качественный метод, который не присваивает количественные или денежные значения компонентам и потерям, вместо этого он использует различные сценарии вероятности риска, уровней серьезности угроз и