1. Актуальность задачи обеспечения информационной безопасности для бизнеса
Сегодня не вызывает сомнений необходимость вложений в обеспечение информационной безопасности современного крупного бизнеса. Основной вопрос современного бизнеса - как оценить необходимый уровень
вложений в ИБ для обеспечения максимальной эффективности инвестиций в данную сферу. Для решения этого вопроса существует только один способ - применять системы анализа рисков, позволяющие оценить
существующие в системе риски и выбрать оптимальный по эффективности вариант защиты (по соотношению существующих в системе рисков к затратам на ИБ).
Для подтверждения факта актуальности задачи обеспечения безопасности бизнеса, воспользуемся отчетом ФБР за 2005 год. Данные были собраны на основе опроса 530 американских компаний (средний и
крупный бизнес).
Статистика инцидентов области ИТ-секьюрити неумолима. Согласно данным ФБР в 2005 году 56 % опрошенных компаний подвергались атаке:
Потери от разного вида информационных воздействий показаны на следующем рисунке:
2. Обоснование необходимости инвестиций в информационную безопасность компании
По статистике, самым большим препятствием на пути принятия каких-либо мер по обеспечению информационной безопасности в компании являются две причины:
- ограничение бюджета;
- отсутствие поддержки со стороны руководства.
Обе причины возникают из-за непонимания руководством серьезности вопроса и сложности задачи для ИТ-менеджера обосновать, зачем необходимо вкладывать деньги в информационную безопасность. Часто
считается, что основная проблема заключается в том, что ИТ-менеджеры и руководители разговаривают на разных языках - техническом и финансовом, но ведь и самим ИТ-специалистам часто трудно оценить, на
что потратить деньги и сколько их требуется для обеспечения большей защищенности системы компании, чтобы эти расходы не оказались напрасными или чрезмерными.
Если ИТ-менеджер четко представляет, сколько компания может потерять денег в случае реализации угроз, какие места в системе наиболее уязвимы, какие меры можно предпринять для повышения уровня
защищенности и при этом не потратить лишних денег, и всё это подтверждено документально, то решение задачи убедить руководство обратить внимание и выделить средства на обеспечение информационной
безопасности становится значительно более реальным.
Для решения данной задачи были разработаны программные комплексы анализа и контроля информационных рисков: британский CRAMM (компания Insight Consulting), американский RiskWatch (компания
RiskWatch) и российский ГРИФ (компания Digital Security). Рассмотрим далее данные методы и построенные на их базе программные системы.
3. CRAMM
Метод CRAMM (CCTA Risk Analysis and Managment Method) был разработан Агентством по компьютерам и телекоммуникациям Великобритании (Central Computer and Telecommunications Agency) по заданию
Британского правительства и взят на вооружение в качестве государственного стандарта. Он используется, начиная с 1985 г ., правительственными и коммерческими организациями Великобритании. За это
время CRAMM приобрел популярность во всем мире. Фирма Insight Consulting Limited занимается разработкой и сопровождением одноименного программного продукта, реализующего метод CRAMM.
Метод CRAMM (www.cramm.com) выбран нами для более детального рассмотрения, и это не случайно. В настоящее время CRAMM - это довольно мощный и универсальный
инструмент, позволяющий, помимо анализа рисков, решать также и ряд других аудиторских задач, включая:
проведение обследования ИС и выпуск сопроводительной документации на всех этапах его проведения;
проведение аудита в соответствии с требованиями Британского правительства, а также стандарта BS 7799:1995 «Code of Practice for Information Security Management»;
разработка политики безопасности и плана обеспечения непрерывности бизнеса.
В основе метода CRAMM лежит комплексный подход к оценке рисков, сочетая количественные и качественные методы анализа. Метод является универсальным и подходит как для больших, так и для мелких
организаций, как правительственного, так и коммерческого сектора. Версии программного обеспечения CRAMM, ориентированные на разные типы организаций, отличаются друг от друга своими базами знаний
(profiles). Для коммерческих организаций имеется Коммерческий профиль (Commercial Profile), для правительственных организаций - Правительственный профиль (Government profile). Правительственный
вариант профиля, также позволяет проводить аудит на соответствие требованиям американского стандарта ITSEC («Оранжевая книга»).
Грамотное использование метода CRAMM позволяет получать очень хорошие результаты, наиболее важным из которых, пожалуй, является возможность экономического обоснования расходов организации на
обеспечение информационной безопасности и непрерывности бизнеса. Экономически обоснованная стратегия управления рисками позволяет, в конечном итоге, экономить средства, избегая неоправданных
расходов.
CRAMM предполагает разделение всей процедуры на три последовательных этапа. Задачей первого этапа является ответ на вопрос: «Достаточно ли для защиты системы применения средств базового уровня,
реализующих традиционные функции безопасности, или необходимо проведение более детального анализа?» На втором этапе производится идентификация рисков и оценивается их величина. На третьем этапе
решается вопрос о выборе адекватных контрмер.
Методика CRAMM для каждого этапа определяет набор исходных данных, последовательность мероприятий, анкеты для проведения интервью, списки проверки и набор отчетных документов.
На первой стадии исследования производится идентификация и определение ценности защищаемых ресурсов.
Оценка производится по десятибалльной шкале, причем критериев оценки может быть несколько - финансовые потери, потери репутации и т.д. В описаниях CRAMM [50] в качестве примера приводится такая
шкала оценки по критерию "Финансовые потери, связанные с восстановлением ресурсов":
- 2 балла - менее $1000;
- 6 баллов - от $1000 до $10 000;
- 8 баллов - от $10 000 до $100 000;
- 10 баллов - свыше $100 000.
При низкой оценке по всем используемым критериям (3 балла и ниже) считается, что рассматриваемая система требует базового уровня защиты (для этого уровня не требуется подробной оценки угроз ИБ) и
вторая стадия исследования пропускается.
На второй стадии идентифицируются и оцениваются угрозы в сфере информационной безопасности, производится поиск и оценка уязвимостей защищаемой системы. Уровень угроз оценивается по следующей
шкале: очень высокий, высокий, средний, низкий, очень низкий. Уровень уязвимости оценивается как высокий, средний или низкий. На основе этой информации вычисляется оценка уровня риска по семибальной
шкале.
На третьей стадии CRAMM генерирует варианты мер противодействия выявленным рискам. Продукт предлагает рекомендации следующих типов:
- рекомендации общего характера;
- конкретные рекомендации;
- примеры того, как можно организовать защиту в данной ситуации.
CRAMM имеет обширную базу, содержащую описание около 1000 примеров реализации подсистем защиты различных компьютерных систем. Данные описания можно использовать в качестве шаблонов.
Решение о внедрении в систему новых механизмов безопасности и модификация старых принимает руководство организации, учитывая связанные с этим расходы, их приемлемость и конечную выгоду для
бизнеса. Задачей аудитора является обоснование рекомендуемых контрмер для руководства организации.
В случае принятия решения о внедрении новых контрмер и модификации старых, на аудитора может быть возложена задача подготовки плана внедрения новых контрмер и оценки эффективности их
использования. Решение этих задач выходит за рамки метода CRAMM.
Концептуальная схема проведения обследования по методу CRAMM показана на рисунке.
К недостаткам метода CRAMM можно отнести следующее:
- использование метода CRAMM требует специальной подготовки и высокой квалификации аудитора;
- CRAMM в гораздо большей степени подходит для аудита уже существующих ИС, находящихся на стадии эксплуатации, нежели чем для ИС, находящихся на стадии разработки;
- аудит по методу CRAMM - процесс достаточно трудоемкий и может потребовать месяцев непрерывной работы аудитора;
- программный инструментарий CRAMM генерирует большое количество бумажной документации, которая не всегда оказывается полезной на практике;
- CRAMM не позволяет создавать собственные шаблоны отчетов или модифицировать имеющиеся;
- возможность внесения дополнений в базу знаний CRAMM не доступна пользователям, что вызывает определенные трудности при адаптации этого метода к потребностям конкретной организации;
- программное обеспечение CRAMM существует только на английском языке;
- стоимость лицензии от 2000 до 5000 долл.