Арутюнов В.В. Основы информационной безопасности

Подождите немного. Документ загружается.

1. Структура организации. Описание существующей структуры и изме-

нений, которые предполагается внести в связи с разработкой (модерниза-

цией) АС.

2. Размещение средств СВТ и поддерживающей инфраструктуры.

3. Ресурсы информационной системы, подлежащие защите. Ре-

комендуется рассмотреть ресурсы АС следующих классов: данные, систем-

ное и прикладное ПО, СВТ. Все ресурсы представляют цен ность с точки зре-

ния организации. Для их оценки должна быть выб рана система критериев

и методология получения оценок по этим критериям.

4. Технология обработки информации и решаемые задачи. Для решае-

мых задач должны быть построены модели обработки инфор мации в тер-

минах ресурсов.

В результате должен быть составлен документ, в котором зафик-

сированы границы системы, перечислены ресурсы, подлежащие за щите,

дана система критериев для оценки их ценности.

Существуют различные подходы к оценке рисков. Выбор подхо да за-

висит от уровня требований, предъявляемых в организации к режиму ин-

формационной безопасности, характера принимаемых во внимание угроз

(спектра воздействия угроз) и эффективности потен циальных контрмер.

Минимальным требованиям к режиму ИБ соответствует базовый уро-

вень ИБ. Обычной областью использования этого уровня являют ся типо-

вые проектные решения. Существует ряд стандартов и спе цификаций, в

которых рассматривается минимальный (типовой) набор наиболее веро-

ятных угроз, таких, как вирусы, сбои оборудования, несанкционированный

доступ и т.д. Для нейтрализации этих угроз обязательно должны быть при-

няты контрмеры вне зависимости от вероятности их осуществления и уяз-

вимости ресурсов. Таким обра зом, характеристики угроз на базовом уровне

рассматривать не обя зательно.

В случаях, когда нарушения режима ИБ чреваты тяжелыми по-

следствиями, базовый уровень требований к режиму ИБ является недоста-

точным. Для того чтобы сформулировать дополнительные требования, не-

обходимо следующее:

– определить ценность ресурсов;

– к стандартному набору добавить список угроз, актуальных для иссле-

дуемой информационной системы;

– оценить вероятности угроз;

– определить уязвимости ресурсов.

Должна быть разработана стратегия управления рисками разных клас-

сов. Возможно несколько подходов:

– уменьшение риска;

– уклонение от риска;

– изменение характера риска;

– принятие риска.

Многие риски могут быть существенно уменьшены путем исполь-

зования весьма простых и дешевых контрмер. Например, грамотное управ-

ление паролями снижает риск несанкционированного доступа.

От некоторых классов рисков можно уклониться. Например, вы несение

Web-cepвepa организации за пределы локальной сети позволяет избежать

риска несанкционированного доступа в локальную сеть со стороны Web-

клиентов.

Если не удается уклониться от риска или эффективно его умень шить,

можно принять некоторые меры страховки. Примеры:

– оборудование может быть застраховано от пожара;

– могут быть заключены договоры с поставщиками СВТ о сопро-

вождении и компенсации ущерба, вызванного нештатными ситуациями.

Многие риски не могут быть уменьшены до пренебрежимо малой вели-

чины.

На практике, после принятия стандартного набора контрмер, ряд ри-

сков уменьшается, но остается все еще значимым. Необходимо знать оста-

точную величину риска.

В результате выполнения данного этапа для принимаемых во внимание

рисков должна быть предложена стратегия управления. Должен быть пред-

ложен комплекс мер, структурированных по уров ням (организационному,

программно-техническому) и отдельным аспектам безопасности. Предло-

женный комплекс мер строится в соответствии с выбранной стратегией

управления рисками. Если проводится полный вариант анализа рисков, для

каждого риска оценивается эффективность комплекса контрмер.

Целью проведения аудита является проверка соответствия выб ранных

контрмер декларированным в целях политики безопаснос ти. Вопросы ау-

дита и процедура сертификации информационной технологии на соответ-

ствие требованиям ИБ рассматриваются в [3]. В результате должен быть

создан документ «Ведомость соот ветствия», в котором содержится анализ

эффективности контрмер. Основные разделы этого документа:

– границы проводимого аудита;

– методика оценки;

– соответствие существующего режима ИБ требованиям органи зации и

используемым стандартам;

– несоответствия и их категории;

– общие замечания, выводы, рекомендации.

При наличии повышенных требований к ИБ должен быть проведен так

называемый полный вариант анализа рисков, в рамках которого, в допол-

нение к базовым, рассматриваются следующие аспекты:

– бизнес-процессы с точки зрения ИБ;

– ресурсы организации и их ценность;

– угрозы безопасности — потенциальные источники нежелатель ных со-

бытий, которые могут нанести ущерб ресурсам, и оценка их параметров;

– уязвимости – слабые места в защите, которые способствуют реализа-

ции угроз.

На основе собранных сведений должны быть получены оценки рисков

для информационной системы организации, отдельных подси стем, баз дан-

ных, отдельных элементов данных.

Прежде всего, должны быть установлены границы исследования. Сле-

дует разделить рассматриваемые ресурсы и внешние элементы, с которыми

осуществляется взаимодействие. Ресурсами могут быть средства вычисли-

тельной техники, программное обеспечение, дан ные. Примерами внешних

элементов являются сети связи, внешние сервисы и т. п.

Ресурсы должны быть проанализированы с точки зрения оценки воз-

действия возможных атак (спланированных действий внутренних или

внешних злоумышленников) и различных нежелательных собы тий есте-

ственного происхождения. Такие потенциально возможные события будем

называть угрозами безопасности.

Между ресурсами, очевидно, существуют взаимосвязи. Напри мер, вы-

ход из строя какого-либо оборудования может привести к потере данных

или выходу из строя другого критически важного элемента системы. По-

добные взаимосвязи необходимо учитывать, для чего строится модель ор-

ганизации с точки зрения ИБ.

Эта модель обычно строится следующим образом. Для выде ленных

ресурсов определяется их ценность как с точки зрения ас социированных

с ними возможных финансовых потерь, так и с точ ки зрения ущерба ре-

путации организации, дезорганизации ее деятельности, нематериального

ущерба от разглашения конфиден циальной информации и т. д. Затем опи-

сываются взаимосвязи ре сурсов, определяются угрозы безопасности и оце-

ниваются вероят ности их реализации.

На основе построенной модели можно обоснованно выбрать си стему

контрмер, снижающих риски до допустимых уровней и обла дающих наи-

большей ценовой эффективностью. Частью системы контр мер должны яв-

ляться рекомендации по проведению регулярных проверок эффективности

системы защиты.

Обеспечение повышенных требований к ИБ предполагает соот-

ветствующие мероприятия на всех этапах жизненного цикла ИТ. Плани-

рование этих мероприятий производится по завершении этапа анализа

рисков и выбора контрмер. Обязательной составной частью этих планов

является периодическая проверка соответствия суще ствующего режима

ИБ политике безопасности, сертификация АС на соответствие требованиям

определенного стандарта безопасности.

При анализе рисков решаются следующие задачи:

1. Анализ всех типов ресурсов АС (информационных ресурсов, про-

граммное обеспечение, технические средства, людские ресурсы).

2. Анализ групп задач, решаемых АС и бизнес-процессов.

3. Построение (неформальной) модели ресурсов АС, определяю щей вза-

имосвязь между информационными, программными, техни ческими и люд-

скими ресурсами, их взаимное расположение и спо собы взаимодействия.

4. Оценка критичности информационных ресурсов, а также про-

граммных и технических средств.

5. Оценка критичности ресурсов с учетом их взаимозависимости.

6. Определение наиболее вероятных угроз безопасности в отно шении

ресурсов АС и уязвимостей защиты, делающих возможным осуществление

этих угроз.

7. Оценка вероятности осуществления угроз, величины уязвимо стей

и ущерба, наносимого организации в случае успешного осуще ствления

угроз.

8. Определение величины рисков для каждой тройки: угроза - группа

ресурсов — уязвимость.

Для решения перечисленных задач могут использоваться раз личные

формальные и неформальные, количественные и качествен ные, ручные и

автоматизированные методики анализа рисков.

Оценка риска может даваться с использованием различных — как ка-

чественных, так и количественных — шкал. Главное, чтобы суще ствующие

риски были правильно идентифицированы и проранжированы в соответ-

ствии со степенью их критичности для организации. На основе такого ана-

лиза может быть разработана система первооче редных мероприятий по

уменьшению величины рисков до приемле мого уровня.

Рассмотрим существующие методики, используемые для оценки рисков.

Большинство методик позволяет получить количественную оценку риска

(на базе экспертного опроса, статистически или по не которой математиче-

ской зависимости, адекватной конкретной угрозе конкретному активу).

В числе этих методик: модель логарифмической шкалы, оценка по верх-

ним и нижним значениям ущерба, оценка на основе выявле ния слабого

звена и анализ риска на основе восьмиэтапной модели оценки рисков для

системы со стороны Интернет. Ниже рассматрива ются первые две модели

оценки рисков.

Модель логарифмической шкалы

Рассмотрим модель, используемую фирмой IBM.

В качестве показателя частоты возникновения интересующего со бытия

принята величина S, значения которой приведены ниже.

Частота проявления

угрозы

Частота проявления

угрозы

Никогда 0 Раз в год 4

Раз в 1000 лет 1 10 раз в год 5

Раз в 100 лет 2 100 раз в год 6

Раз в 10 лет 3 1000 раз в год 7

Величина ущерба V в зависимости от абсолютного значения по терь

принимает следующие значения.

Потери, долл. V Потери, долл. V

1 долл.

10 тыс. долл.

10 долл.

150 тыс. долл.

100 долл.

1 млн. долл.

1000 долл.

10 млн. долл.

Ожидаемый ущерб (R) от i-й угрозы (причины) предложено вы числять

по формуле:

= 10(S + V – 4).

Общий ущерб рассчитывается как сумма ущерба от всех угроз.

Оценка по верхним и нижним значениям

Некоторые специалисты предлагают оценивать ожидаемый ущерб по

так называемым нижним и верхним взвешенным значениям.

Такой подход предполагает, что известны вероятности появления

угроз, а также минимальное и максимальное значение ущерба при появ-

лении угрозы. Оценки ущерба получаются путем умножения ве роятности

появления угрозы на минимальное и максимальное значе ние возможного

ущерба.

Если, например, пожар в течение года может возникнуть с веро ятностью

0,5%, а ущерб от пожара может вызвать потери от 100 тыс. руб. до 100 млн.

руб., то нижней взвешенной оценкой будет 500 руб., а верхней — 500 тыс.

руб.

3.3. Стандарты в области разработки

политики безопасности и анализа рисков

В настоящее время существуют национальные и ведомственные стан-

дарты, в которых определены требования к базовому уровню безопасности

информационных технологий, предложены контрмеры, достаточные для

выполнения этих требований.

Наиболее продвинутым является британский стандарт «BS7799: Управ-

ление информационной безопасностью».

Стандарт BS7799 содержит 109 элементов управления ИБ, рас-

пределенных на 10 групп.

1. Политика в области безопасности. Целью этой группы является обе-

спечение четкого управления и поддержки политики в области ИБ со сторо-

ны руководства организации.

2. Организация системы безопасности. Элементы этой группы решают

задачу создания организационной структуры, которая будет внедряться и

обеспечивать работоспособность системы ИБ в орга низации.

3. Классификация ресурсов и управления. Целью элементов этой груп-

пы является поддержка адекватной ИБ организации путем оп ределения

персональной ответственности, а также классификации информационных

ресурсов по необходимости и приоритету защиты.

4. Безопасность и персонал. Задачей элементов этой группы яв ляется

уменьшение риска человеческих ошибок, хищений и непра вильного ис-

пользования оборудования, в том числе путем эффектив ного обучения и

внедрения механизма отслеживания инцидентов.

5. Физическая и внешняя безопасность. Эта группа элементов должна

предотвратить несанкционированный доступ (НСД), повреж дение и нару-

шение работы ИС организации.

6. Менеджмент компьютеров и сетей. Эта группа элементов дол жна обе-

спечить безопасное функционирование как отдельных ПК, так и сетей ор-

ганизации.

7. Управление доступом к системе. Целью элементов этой груп пы явля-

ется управление доступом к деловой информации, предот вращение НСД и

обнаружение несанкционированной деятельности.

8. Разработка и обслуживание системы. Элементы этой группы должны

обеспечить выполнение требований безопасности при созда нии или разви-

тии ИС организации, поддерживать безопасность при ложений и данных.

9. Обеспечение непрерывности работы. Эта группа элементов дол жна обе-

спечить подготовку плана действий в случае чрезвычайных обстоятельств

для обеспечения непрерывной и бесперебойной рабо ты организации.

10. Соответствие законодательству. Целью этой группы является обе-

спечение выполнения требований соответствующего гражданско го и уго-

ловного законодательства, включая законы об авторских правах и защите

данных.

Такая структура стандарта позволяет выбрать те средства управ ления,

которые имеют отношение к конкретной организации или сфе ре ответ-

ственности внутри организации.

Стандарт включает 10 так называемых ключевых элементов, ко торые

имеют отношение ко всем организациям в самых различных условиях.

1. Политика по ИБ.

2. Распределение ответственности за ИБ.

3. Образование и тренинг по ИБ.

4. Отчетность по инцидентам ИБ.

5. Защита от вирусов.

6. Обеспечение непрерывности работы.

7. Контроль копирования лицензируемого ПО.

8. Защита архивной документации организации.

9. Защита персональных данных.

10. Выполнение политики ИБ.

Стандарт используется в виде «меню», из которого следует выб рать те

элементы, которые применимы в конкретных условиях. Этот выбор осу-

ществляется на основе оценки рисков и тщательно обосно вывается в виде

«Декларации по применимости».

На базе данного стандарта был разработан и в 2000 г. был принят меж-

дународный стандарт ISО17799.

В США имеется похожий по подходу и степени подробности до кумент

«Руководство по политике безопасности для автоматизиро ванных инфор-

мационных систем», в котором рассмотрены:

– общие положения политики безопасности;

– поддержание безопасности на протяжении жизненного цикла;

– минимальные (базовые) требования в области ИБ.

В 1998 году вышел германский стандарт BSI\IT «Руководство по защите

информационных технологий для базового уровня». Руко водство представ-

ляет собой гипертекст объемом около 4 МБ (в фор мате HTML).

В германском стандарте можно выделить следующие блоки:

1. Методология управления ИБ (организация менеджмента в об ласти

ИБ, методология использования Руководства).

2. Компоненты информационных технологий:

– основные компоненты (организационный уровень ИБ, процедур ный

уровень, организация защиты данных, планирование действий в чрезвы-

чайных ситуациях);

– инфраструктура (здания, помещения, кабельные сети, органи зация

удаленного доступа);

– клиентские компоненты различных типов (DOS, Windows, UNIX, мо-

бильные компоненты, прочие типы);

– сети различных типов (соединения «точка-точка», сети Novell NetWare,

сети с ОС UNIX и Windows, разнородные сети);

– элементы систем передачи данных (электронная почта, моде мы, меж-

сетевые экраны и т. д.);

– телекоммуникации (факсы, автоответчики, интегрированные систе-

мы, прочие телекоммуникационные системы);

– стандартное ПО;

– базы данных.

3. Каталоги угроз безопасности и контрмер (около 600 наимено ваний в

каждом каталоге).

Каталоги структурированы следующим образом.

Угрозы по классам:

– форс-мажорные обстоятельства;

– недостатки организационных мер;

– ошибки персонала;

– технические неисправности;

– преднамеренные злоумышленные действия.

Контрмеры по классам:

– совершенствование инфраструктуры;

– административные контрмеры;

– процедурные контрмеры;

– программно-технические контрмеры;

– уменьшение уязвимости коммуникаций;

– планирование действий в чрезвычайных ситуациях.

Все компоненты рассматриваются по следующему плану: об щее описа-

ние, возможные сценарии угроз безопасности (перечисля ются применимые

к данному компоненту угрозы из каталога угроз безопасности), возможные

контрмеры (перечисляются возможные контрмеры из каталога контрмер).

Фактически сделана попытка описать с точки зрения ИБ наибо лее рас-

пространенные компоненты информационных технологий и мак симально

учесть их специфику.

При сравнении упомянутых стандартов необходимо отметить сле-

дующие моменты.

Объем британского стандарта сравнительно невелик — менее 120 стра-

ниц в обеих частях. В германском стандарте, напротив, рассмотрено много

«частных случаев» — различных элементов ин формационных технологий.

Объем документа очень велик — несколь ко тысяч страниц. Несомненно, та-

кой подход имеет свои достоин ства и недостатки.

Достоинство — учет специфики различных элементов. В частно сти, го-

раздо лучше по сравнению с британским стандартом рассмот рены особен-

ности обеспечения информационной безопасности в со временных сетях.

Другим достоинством является использование гипертекстовой структу-

ры, что позволяет оперативно вносить измене ния и корректировать связи

между частями стандарта. Последняя версия стандарта всегда доступна на

Web.

Недостаток — невозможность объять необъятное — все множе ство

элементов современных информационных технологий на одина ковом

уровне детализации. Неизбежно приходится вводить раздел «прочее», в ко-

тором в общем виде рассматриваются менее распро страненные элементы.

В свою очередь, британский стандарт предъявляет высокие тре бования

к квалификации специалистов, проверяющих соответствие требованиям

стандарта. Кроме того, в нем недостаточно учитывается специфика совре-

менных распределенных систем.

3.4. Инструментальные средства

для анализа рисков и управления рисками

Среди программных средств, используемых для целей аудита, по мето-

ду анализа рисков можно указать следующие: CRAMM, RiskWatch, COBRA,

Buddy System и др.

Метод CRAMM

Метод CRAMM (the UK Government Risk Analysis and Ma nagement Method)

был разработан Секретной службой Великобри тании (UK Security Service)

и британской правительственной орга низацией ССТА по заданию британ-

ского правительства и принят в качестве государственного стандарта. Он

используется, начиная с 1985 г., правительственными и коммерческими

организациями Великобритании, за почти 20-летнюю историю приобрел

популярность во всем мире. В России этот метод используют несколько

компаний, являющихся системными интеграторами. Сопровожде нием

программного продукта, реализующего метод CRAMM, зани мается фирма

Insight Consulting Limited. В настоящее время CRAMM — это довольно мощ-

ный и универсальный инструмент, позволяющий, помимо анализа рисков,

решать также и ряд других аудиторских задач, включая следующие:

1) проведение обследования ИС и выпуск сопроводительной до-

кументации на всех этапах его проведения;

2) проведение аудита в соответствии с требованиями британского пра-

вительства, а также стандарта BS7799:1995 (Code of Practice for information

Security Management BS 7799);

3) разработка политики безопасности и плана обеспечения непре-

рывности бизнеса.

В основе метода CRAMM лежит комплексный подход к оценке рисков,

сочетающий количественные и качественные методы анали за. Метод под-

ходит для больших и малых организаций как прави тельственного, так и

коммерческого сектора. Версии программного обеспечения CRAMM, ориен-

тированные на разные типы организаций, отличаются друг от друга свои-

ми базами знаний (proles). Для ком мерческих организаций имеется Ком-

мерческий профиль (Commercial Prole), для правительственных организа-

ций — Правительственный профиль (Government prole). Правительствен-

ный вариант профиля также позволяет проводить аудит на соответствие

требованиям аме риканского стандарта ITSEC («Оранжевая книга»).

Грамотное использование метода CRAMM позволяет получать очень

хорошие результаты, наиболее важным из которых, пожалуй, является воз-

можность экономического обоснования расходов орга низации на обеспе-

чение информационной безопасности и непрерыв ности бизнеса. Экономи-

чески обоснованная стратегия управления рисками позволяет в конечном

счете экономить средства, избегая неоправданных расходов.

Метод CRAMM предполагает разделение всей процедуры на три после-

довательных этапа.

1. Задачей первого этапа является ответ на вопрос: «Достаточно ли для

защиты системы применения средств базового уровня, реа лизующих тра-

диционные функции безопасности, или необходимо про ведение более де-

тального анализа?»

2. На втором этапе производится идентификация рисков и оцени вается

их величина.

3. На третьем этапе решается вопрос о выборе адекватных контрмер.

Методика CRAMM для каждого этапа определяет набор исход ных дан-

ных, последовательность мероприятий, анкеты для проведе ния интервью,

списки проверки и набор отчетных документов.

Если по результатам проведения первого этапа установлено, что уро-

вень критичности ресурсов является очень низким и существую щие риски

заведомо не превысят некоторого базового уровня, то к системе предъяв-

ляется минимальный набор требований безопаснос ти. В этом случае боль-

шая часть мероприятий второго этапа не вы полняется, а осуществляется

переход к третьему этапу, на котором генерируется стандартный список

контрмер для обеспечения соот ветствия базовому набору требований без-

опасности.

На втором этапе производится анализ угроз безопасности и уязвимо-

стей. Исходные данные для оценки угроз и уязвимостей ауди тор получает

от уполномоченных представителей организации в ходе соответствующих

интервью.

На третьем этапе решается задача управления рисками, состоя щая в

выборе адекватных контрмер.

Решение о внедрении в систему новых механизмов безопасности и мо-

дификации старых принимает руководство организации, учиты вая связан-

ные с этим расходы, их приемлемость и конечную выгоду для бизнеса. За-

дачей аудитора является обоснование рекомендуе мых контрмер для руко-

водства организации.

В случае принятия решения о внедрении новых контрмер и мо-

дификации старых на аудитора может быть возложена задача подго товки

плана внедрения новых контрмер и оценки эффективности их использова-

ния. Решение этих задач выходит за рамки метода CRAMM.

Процедура аудита в методе CRAMM является формализованной. На каж-

дом этапе генерируется довольно большое количество проме жуточных и

итоговых отчетов.

Так, на первом этапе создаются следующие виды отчетов:

– модель ресурсов, содержащая описание ресурсов, попадаю щих в грани

следования, и взаимосвязей между ними;

– оценка критичности ресурсов;

– результирующий отчет по первому этапу анализа рисков, в котором

суммируются результаты, полученные в ходе обследования.

На втором этапе проведения обследования создаются следую щие виды

отчетов:

– результаты оценки уровня угроз и уязвимостей;

– результаты оценки величины рисков;

– результирующий отчет по второму этапу анализа рисков.

По результатам третьего этапа обследования создаются следую щие