Файл: Учебник для вузов В. Г. Олифер, Н. А. Олифер 2е изд. Спб. Питер 2009 669 с ил. Межсетевое экранирование учеб пособие О. Р. Лапонина М. Интернет Ун т Информ. Технологий бином. Лаб знаний 2007 343 с ил.pdf

33
обоснованности различных возможных контрмер. Для качественного анализа рисков применяются суждения, лучшие практики, интуиция и опыт. Примерами техник сбора данных для качественного анализа рисков являются: метод Delphi, мозговой штурм, работа с архивными документами, опросы целевых групп, анкетирование, чек-листы, личные встречи, интервью. Группа анализа рисков должна выбрать лучшую технику в зависимости от видов оцениваемых угроз, культуры компании, людей, вовлеченных в процесс анализа.
В группу анализа рисков должны быть включены сотрудники, которые имеют опыт и образование в той области, в которой они будут оценивать угрозы. В процессе оценки угрозы и ущерба каждый член группы высказывает свою оценку, основываясь на своем предчувствии и опыте.
Каждый член группы описывает приблизительный сценарий (не более страницы) для каждой существенной угрозы. Тот "эксперт", кто лучше всех разбирается в данном виде угроз, делает общий сценарий, описывающий процесс реализации угрозы. Затем оцениваются защитные меры, уменьшающие опасность этой угрозы, и описывается сценарий противодействия для каждой защитной меры. Возможное воздействие и возможный ущерб должны быть проранжированы по трех (высокий-средний-низкий), пяти или десятибалльной шкале. Уровни вероятности угрозы, потенциальных потерь и преимущества каждой защитной меры объединяются в отчет, который предоставляется руководству для принятия правильного решения. Преимущество данного метода анализа заключается в постоянном взаимодействии между всеми членами группы в процессах ранжирования рисков, определения сильных и слабых сторон защитных мер. Также преимуществом является подготовка окончательного отчета именно тем членом группы, который наиболее компетентен в соответствующей области.
Рассмотрим простой пример качественного анализа рисков. Группа анализа рисков написала одностраничный сценарий, описывающий угрозу получения хакером доступа к конфиденциальной информации, хранящейся на файловых серверах компании. Группа распространяет этот сценарий между пятью сотрудниками (ИТ-директор, администратор базы данных, программист, системный инженер и руководители подразделения технической поддержки), которые заполняют лист оценки, ранжируя (от 1 до 5) серьезность угрозы, уровень потенциального ущерба, эффективность каждой защитной меры. Результаты показаны в Таблице 5. Затем на основе этих результатов один из членов группы готовит отчет для руководства, в котором указывает, что из проанализированных трех вариантов защиты (межсетевой экран, система IDS и honeypot (приманка)), наиболее эффективной является защита с помощью межсетевого экрана.
Анализируя отчет по анализу рисков, руководство видит оценки серьезности угроз, вероятности их реализации, а также уровень потенциальных потерь от каждой угрозы. На основе этой информации руководство может выбрать наиболее критичные для компании риски, которые должны быть учтены в первую очередь.
Таблица 5 - Пример качественного анализа рисков
Угроза:
Доступ хакера к конфиденциа льной информации
Серьезн ость угрозы
Вероятн ость реализац ии угрозы
Потенциал ьный ущерб для компании
Эффективн ость защиты с помощью межсетево го экрана
Эффективн ость защиты с помощью
IDS
Эффективн ость защиты с помощью
Honeypot
ИТ-директор
4 2
4 4
3 2
Администрат ор БД
4 4
4 4
4 1
Программист
3 3
3 3
2 1
Системный инженер
4 4
3 3
2 1

34
Руководитель тех. поддержки
5 4
4 4
4 2
Итог:
3,6 3,4 3,8 3,8 3,0 1,4
Техника DELPHI
Техника Delphi – это метод группового принятия решений, обеспечивающий получение от каждого члена его истинного мнения, не подверженного влиянию мнения других. Каждый член группы указывает свое мнение на листке бумаги, после чего все члены группы показывают свои листки для выполнения окончательного анализа.
Результаты объединяются и распространяются между членами группы, которые пишут свои комментарии и возвращают их. Комментарии объединяются и снова распространяются до тех пор, пока не будет достигнут консенсус. Этот метод позволяет получить согласованное общее мнение по стоимости, уровню потерь, вероятности события без устного обсуждения. С использованием данной техники возможно проведение анонимных опросов.
5.8. Количественный или качественный
Каждый метод имеет свои преимущества и недостатки. Некоторые из них приведены в Таблице 6. Критерием выбора могут быть особенности группы анализа рисков, мнение руководства, имеющиеся инструменты анализа рисков, культура компании. Целью обоих методов является оценка реальных рисков компании, их классификация по уровню серьезности угроз, что позволит выбрать правильные контрмеры в рамках имеющегося бюджета.

35
Таблица 6 – Характеристики количественного и качественного методов
Атрибут
Количественный
Качественный
Требует простых расчетов
+
Требует более сложных расчетов
+
Основывается в значительной степени на предположениях
+
Предоставляет основные области и показатели риска
+
Проще автоматизировать
+
Позволяет контролировать эффективность управления рисками
+
Предоставляет заслуживающий доверия анализ стоимости/выгоды
+
Использует независимо проверяемые и объективные метрики
+
Предоставляет мнения людей, которые в совершенстве знают анализируемые процессы
+
Четко показывает потери, которые могут нарастать в течении года
+
Недостатки качественного анализа:
• Оценка и результаты в основном субъективны;
• Обычно исключает возможность оценки денежной оценки затрат/выгод;
• Сложно сопоставить цели управления рисками с субъективными оценками;
• Нет стандартов. Каждый специалист имеет свою интерпретацию процесса и результатов.
Недостатки количественного анализа:
• Расчеты более сложны. Сложно объяснить руководству как эти значения были получены;
• Процесс очень трудоемок без применения средств автоматизации;
• Больше предварительной работы, связанной с получением детальной информации об окружении;
• Нет стандартов. Каждый специалист имеет свою интерпретацию процесса и результатов.
Уровень неопределенности– это степень неуверенности в оценке. Он измеряется от
0% до 100%. При проведении анализа следует указывать уровень неопределенности, так как это способствует лучшему пониманию результатов анализа.
5.9. Защитные механизмы
Следующим шагом является идентификация доступных защитных механизмов
(контрмер) и оценка их эффективности.
Выбор защитных мер

36
Преимущества внедряемых защитных механизмов должны превышать затраты на них, только в этом случае они будут эффективными. Для проведения такой оценки используется анализ затрат/выгод. Обычно это считают следующим образом:
(ALE до ввода защитных мер) – (ALE после ввода защитных мер) –
(годовая стоимость защитных мер) = ценность защитных мер
Например, ALE угрозы выведения веб-сервера из строя хакерами составляет
$12,000 до внедрения соответствующих защитных мер, а после их внедрения ALE снижается до $3,000. При этом годовая стоимость функционирования и поддержки этих защитных мер - $650. В этом случае ценность защитных мер составляет $8,350 в год.
Стоимость контрмер – это не просто цена их покупки. Нужно учитывать следующие элементы при расчете полной стоимости контрмер:
• Стоимость продукта
• Стоимость проектирования / планирования
• Стоимость внедрения
• Необходимость внесения изменений в окружение
• Совместимость с другими контрмерами
• Эксплуатационные требования
• Тестирование
• Стоимость восстановления, замены и обновления
• Стоимость эксплуатации и поддержки
• Влияние на производительность
• Стоимость подписки
• Работа сотрудников в нерабочее время и по выходным дням для мониторинга и реакции на сообщения об инцидентах
ПРЕДУПРЕЖДЕНИЕ. Очень часто компании покупают новые продукты безопасности, не понимая, что им нужен дополнительный персонал на использование этих продуктов. Хотя инструменты автоматизируют задачи, многие компании ни разу не выполняли эти задачи перед покупкой, поэтому с помощью них они не сэкономят время, а наоборот начнут тратить его еще больше.
Например, компания А решает защитить ряд своих ресурсов с помощью IDS, стоимостью $5,500. Эта IDS должна быть протестирована в отдельном тестовом сегменте сети, чтобы ИТ-службы убедились в безопасности ее ввода в промышленную эксплуатацию. После этого ИТ-службы должны установить и настроить сенсоры и программное обеспечение для мониторинга. Затем ИТ-службы должны перенастроить коммуникационное оборудование, направив все потоки трафика через IDS, а также ограничить доступ к консоли IDS, настроить базу данных сигнатур атак. Только после этого IDS можно включить в работу.
При этом нужно учесть вероятное снижение производительности сети, возможные неудобства для пользователей, проявление "тонкостей", о которых "забыл" заранее сообщить поставщик, а также затраты времени и денег на обучение персонала, а затем затраты на реагирование на реальные и ложные срабатывания IDS. Кроме того, может возникнуть необходимость закупки средств оповещения администратора безопасности об инцидентах, выявленных IDS (например, отдельного смартфона), от которых будет зависеть время реакции на инциденты.
Таким образом, изначальная цена увеличивается: $5,500 стоит сама система IDS,
$2,500 стоит обучение персонала, $3,400 стоит тестирование системы, $2,600 - потери производительности пользователей, вызванные внедрением этой системы и еще $4,000 стоит перенастройка коммуникационного оборудования, установка IDS, выявление ошибок, установка патчей. Реальная стоимость этой защитной меры составит $18,000.
Если при этом рассчитанная величина вероятного ущерба составляет только $9,000, применение этой IDS неэффективно и приведет к перерасходу адекватного бюджета на
100%.

37
Функциональность и эффективность защитных мер
Группа анализа рисков должна оценить функциональность и эффективность защитных мер. При выборе защитных мер некоторые характеристики будут важнее, чем другие, которые должны быть тщательно проанализированы до покупки и внедрения средства обеспечения безопасности.
Таблица 7. – Характеристики, которые следует учесть при выборе средств
Характеристика
Описание
Модульная архитектура
Система может быть установлена или удалена из окружения без неблагоприятного воздействия на другие механизмы.
Обеспечивает стандартную защиту
Стандартный уровень безопасности, обеспечивается стандартными настройками всех механизмов.
Предоставляет возможность отмены функциональности
Администратор может отменить ограничения при необходимости
Минимальные привилегии по умолчанию
После установки должны применяться настройки по умолчанию, не предусматривающие какие-либо разрешения и права, кроме заданных явно.
Независимость средств защиты и защищаемых активов
Средства защиты могут быть использованы для защиты различных активов, а различные активы, в свою очередь, могут быть защищены различными средствами.
Гибкость и безопасность
Должно быть представлено как можно больше функций безопасности, однако настройки при этом должны быть гибкими и позволять выбрать нужный набор функций (а не «все», либо «ничего»).
Явное разделение
«пользователя» и
«администратора»
Пользователь должен иметь минимум разрешений на изменение настроек или отключение механизмов защиты.
Минимальное вмешательство человека
Средства защиты должны предусматривать минимальное вмешательство человека, так как любые производимые вручную настройки и изменений с высокой степенью вероятности приводят к ошибки.
Простота обновления
Программное обеспечение продолжает развиваться, поэтому важно, чтобы обновления устанавливались безболезненно.
Средства аудита
Должен существовать механизм, являющийся неотъемлемой частью средства защиты, предоставляющий минимальный и/или подробный аудит событий.
Минимальная зависимость от других компонентов
Средства защиты должны быть гибкими и не предъявлять жестких требований к окружению, в которое они устанавливаются.
Простота использования, незаметность для Средства защиты не должны снижать

38
персонала производительности работы, добавлять дополнительные шаги к простым задачам; пользователи не должны испытывать дискомфорт из-за их применения.
Исходящая информация (отчеты) должна предоставляться в простом и понятном виде
Важная информация должна быть представлена в простой для человека форме, понятной и применимой для анализа изменений и тенденций.
Должна существовать возможность сброса настроек средства защиты
Средства защиты должны позволять сбросить настройки и вернуться к оригинальной конфигурации и настройкам, что не должно оказывать влияния на защищаемые системы и активы.
Возможность тестирования
Должна существовать возможность протестировать работу средств защиты в различном окружении и в различных ситуациях.
Отсутствие компромиссов
Средства защиты не должны содержать скрытых каналов и потайных входов (back doors).
Производительность систем и пользователей
Применение средства защиты не должно оказывать существенного влияния на производительность систем и пользователей.
Качественная система оповещений
Порог срабатывания системы оповещения персонала об инцидентах безопасности должен быть настраиваемым, типы сообщений должны быть приемлемыми.
Не должно оказываться влияние на активы
Средства защиты не должны оказывать неблагоприятного воздействия на активы.
Защитные средства могут также иметь сдерживающие атрибуты, говорящие потенциальному злоумышленнику, что здесь внедрена надежная защита и ему лучше поискать другую, более легкую цель. Однако здесь также следует соблюдать определенную степень осторожности и не предоставлять потенциальному злоумышленнику излишней информации о применяемых средствах защиты и методах их работы, так как это может позволить ему обойти их. Если пользователи знают, как отключить антивирусную программу, чтобы повысить производительность своего компьютера, или как обойти прокси-сервер, чтобы получить неограниченный доступ в
Интернет, они будут делать это.
5.10. Обобщение
Для проведения анализа рисков, компания сначала решает, какие активы нуждаются в защите и в какой степени. Указывается, какие суммы денежных средств могут быть потрачены на защиту данных активов. Далее, оценивается функциональность доступных средств защиты и определяются те, которые будут наиболее эффективны для компании. После этого, компания должна оценить и сопоставить расходы на защитные меры. Эти шаги позволят руководству принять разумное и осознанное решение о выборе и покупке контрмер.
Необходимо учитывать, что только переоценивая риски на периодической основе можно обеспечить постоянную эффективность защитных мер и поддерживать уровень