 |
Анализ рисков и управление ими
|
|
|
|
Анализ рисков — это то, с чего должно начинаться построение любой системы информационной безопасности. Он включает в себя мероприятия по обследованию безопасности ИС, с целью определения того, какие ресурсы и от каких угроз надо защищать, а также в какой степени те или иные ресурсы нуждаются в защите. Определение набора адекватных контрмер осуществляется в ходе управления рисками. Риск определяется вероятностью причинения ущерба и величиной ущерба, наносимого ресурсам ИС, в случае осуществления угрозы безопасности.
Анализ рисков состоит в том, чтобы выявить существующие риски и оценить их величину (дать им качественную либо количественную оценку). Процесс анализа рисков можно разделить на несколько последовательных этапов:
— идентификация ключевых ресурсов ИС;
— определение важности тех или иных ресурсов для организации;
— идентификация существующих угроз безопасности и уязвимостей, делающих возможным осуществление угроз;
— вычисление рисков, связанных с осуществлением угроз безопасности.
Ресурсы ИС можно разделить на следующие категории:
— информационные ресурсы;
— программное обеспечение;
— технические средства (серверы, рабочие станции, активное сетевое оборудование и т. п.)
— людские ресурсы.
В каждой категории ресурсы делятся на классы и подклассы. Необходимо идентифицировать только те ресурсы, которые определяют функциональность ИС и существенны с точки зрения обеспечения безопасности.
Важность (или стоимость) ресурса определяется величиной ущерба, наносимого в случае нарушения конфиденциальности, целостности или доступности этого ресурса. Обычно рассматриваются следующие виды ущерба: раскрытие, изменение, удаление или недоступность данных, повреждение или разрушение аппаратуры, нарушение целостности программного обеспечения.
|
|
|
Ущерб может быть нанесен организации в результате локальных и удаленных атак на ресурсы ИС, стихийных бедствий, ошибок или умышленных действий персонала ИС, сбоев в работе ИС, вызванных ошибками в программном обеспечении или неисправностями аппаратуры.
Величина риска определяется на основе стоимости ресурса, вероятности осуществления угрозы и величины уязвимости по следующей формуле:
Риск = (стоимость ресурса * вероятность угрозы): величина уязвимости
Задача управления рисками заключается в выборе обоснованного набора контрмер, позволяющих снизить уровни рисков до приемлемой величины. Стоимость реализации контрмер должна быть меньше величины возможного ущерба. Разница между стоимостью реализации контрмер и величиной возможного ущерба должна быть обратно пропорциональна вероятности причинения ущерба.
Оценка рисков может даваться с использованием различных, как качественных, так и количественных шкал. Главное, чтобы существующие риски были правильно идентифицированы и проранжированы в соответствии со степенью их критичности для организации. На основе такого анализа может быть разработана система первоочередных мероприятий по уменьшению величины рисков до приемлемого уровня.
Программные продукты, предназначенные для анализа и управления рисками
В настоящее время имеется большое разнообразие как методов анализа и управления рисками, так и реализующих их программных средств. Приведем примеры некоторых наиболее распространенных.
CRAMM
Метод CRAMM (the UK Goverment Risk Analysis and Managment Method) был разработан Службой безопасности Великобритании (UK Security Service) по заданию Британского правительства и взят на вооружение в качестве государственного стандарта. Он используется начиная с 1985 г. правительственными и коммерческими организациями Великобритании. За это время CRAMM приобрел популярность во всем мире. Фирма Insight Consulting Limited занимается разработкой и сопровождением одноименного программного продукта, реализующего метод CRAMM.
|
|
|
Метод CRAMM выбран нами для более детального рассмотрения не случайно. В настоящее время CRAMM — это довольно мощный и универсальный инструмент, позволяющий, помимо анализа рисков, решать также и ряд других аудиторских задач (проведение обследования ИС и выпуск сопроводительной документации на всех этапах; проведение аудита в соответствии с требованиями Британского правительства, а также стандарта BS 7799:1995 — Code of Practice for Information Security Management BS7799; разработка политики безопасности и плана обеспечения непрерывности бизнеса).
В основе метода CRAMM лежит комплексный подход к оценке рисков, сочетающий количественные и качественные методы анализа. Метод является универсальным и подходит как для больших, так и для малых организаций, как правительственного, так и коммерческого сектора. Версии программного обеспечения CRAMM, ориентированные на разные типы организаций, отличаются друг от друга своими базами знаний (profiles). Для коммерческих организаций имеется коммерческий профиль (commercial profile), для правительственных организаций — правительственный профиль (government profile). Правительственный вариант профиля также позволяет проводить аудит на соответствие требованиям американского стандарта ITSEC (“Оранжевая книга“).
Грамотное использование метода CRAMM позволяет получать очень хорошие результаты, наиболее важным из которых, пожалуй, является возможность экономического обоснования расходов организации на обеспечение информационной безопасности и непрерывности бизнеса. Экономически обоснованная стратегия управления рисками позволяет, в конечном итоге, экономить средства, избегая неоправданных расходов.
CRAMM предполагает разделение всей процедуры на три последовательных этапа. Задачей первого этапа является ответ на вопрос: “Достаточно ли для защиты системы применения средств базового уровня, реализующих традиционные функции безопасности, или необходимо проведение более детального анализа?“ На втором этапе производится идентификация рисков и оценивается их величина. На третьем этапе решается вопрос о выборе адекватных контрмер.
|
|
|
Грамотно применять метод CRAMM в состоянии только высококвалифицированный аудитор, прошедший обучение. Если организация не может себе позволить содержать в штате такого специалиста, тогда самым правильным решением будет приглашение аудиторской фирмы, располагающей штатом специалистов, имеющих практический опыт применения метода CRAMM.
RiskWatch
Программное обеспечение RiskWatch, разрабатываемое американской компанией RiskWatch, Inc., является мощным средством анализа и управления рисками. В семейство RiskWatch входят программные продукты для проведения различных видов аудита безопасности. Оно включает в себя следующие средства аудита и анализа рисков:
— RiskWatch for Physical Security — для физических методов защиты ИС;
— RiskWatch for Information Systems — для информационных рисков;
— HIPAA—WATCH for Healthcare Industry — для оценки соответствия требованиям стандарта HIPAA;
— RiskWatch RW17799 for ISO17799 — для оценки требованиям стандарта ISO17799.
В методе RiskWatch в качестве критериев для оценки и управления рисками используются “предсказание годовых потерь“ (annual loss expectancy — ALE) и оценка возврата от инвестиций (return on investment — ROI). Семейство программных продуктов RiskWatch имеет массу достоинств. К недостаткам данного продукта можно отнести его относительно высокую стоимость.
COBRA
Система COBRA (Consultative Objective and Bi—Functional Risk Analysis), разрабатываемая компанией Risk Associates, является средством анализа рисков и оценки соответствия ИС стандарту ISO17799. COBRA реализует методы количественной оценки рисков, а также инструменты для консалтинга и проведения обзоров безопасности. При разработке инструментария COBRA были использованы принципы построения экспертных систем, обширная база знаний по угрозам и уязвимостям, а также большое количество вопросников, с успехом применяющихся на практике. В семейство программных продуктов COBRA входят COBRA ISO17799 Security Consultant, COBRA Policy Compliance Analyst и COBRA Data Protection Consultant.
Buddy System
Программный продукт Buddy System, разрабатываемый компанией Countermeasures Corporation, позволяет осуществлять как количественный, так и качественный анализ рисков. Он содержит развитые средства генерации отчетов. Основной акцент при использовании Buddy System делается на информационные риски, связанные с нарушением физической безопасности, и управление проектами.
|
|
|
