2004 г.
Экономически оправданная безопасность
Сергей Петренко, Сергей Симонов, журнал "IT Manager" #15(3)/2004
Анализ и управление информационными рисками позволяет обеспечивать экономически оправданную информационную безопасность в любой отечественной компании. Для этого необходимо сначала определить, какие информационные активы компании нужно защищать, воздействию каких угроз эти активы подвержены, а затем выработать рекомендации по защите данных. Давайте посмотрим, как на практике можно оценить и управлять информационными рисками компании исходя из поставленных целей и задач.
История вопроса
Опубликованные стандарты в области защиты информации (ISO 15408, ISO 17799, ISO 9001, NIST 800-30, BSI, BS 7799, COBIT, ITIL и пр.) рассматривают вопросы анализа и управления информационными рисками (таблица 1), однако не содержат ряда важных деталей, которые обязательно надо конкретизировать при разработке практических методик управления рисками. Конкретизация этих деталей зависит от уровня зрелости организации, специфики ее деятельности и некоторых других факторов. Таким образом, невозможно предложить некую единую, приемлемую для всех отечественных компаний и организаций, универсальную методику управления рисками, позволяющую обеспечить экономически оправданную информационную безопасность предприятия. В каждом конкретном случае необходимо адаптировать общую методику управления рисками под определенные нужды предприятия, с учетом специфики его функционирования и ведения бизнеса. Давайте рассмотрим типичные вопросы и проблемы, возникающие при разработке методик управления информационными рисками в отечественных компаниях.
Таблица 1. Вопросы управления рисками в некоторых международных стандартах
Идентификация рисков
В любой методике управления рисками необходимо идентифицировать риски, как вариант – их составляющие (угрозы и уязвимости). Естественное требование к списку — его полнота. Сложность задачи составления списка и доказательство его полноты зависит от того, какие требования предъявляются к детализации списка. На базовом уровне безопасности, как правило, не предъявляется специальных требований к детализации классов и достаточно использовать какой-либо подходящий в данном случае стандартный список классов рисков. Оценка величины рисков не рассматривается, что приемлемо для отдельных методик базового уровня. Списки классов рисков содержатся в некоторых руководствах, в специализированном ПО анализа рисков. Примером является германский стандарт BSI (www.bsi.de, — в нем имеется каталог угроз применительно к различным элементам информационной технологии.
Достоинством подобных списков является их полнота: классов, как правило, немного (десятки), они достаточно широкие и заведомо покрывают все существующее множество рисков. Недостаток — сложность оценки уровня риска и эффективности контрмер для широкого класса, поскольку подобные расчеты удобнее проводить по более узким (конкретным) классам рисков. К примеру, класс рисков «неисправность маршрутизатора» разбивается на множество подклассов, включающих возможные виды неисправности (уязвимости) ПО конкретного маршрутизатора и неисправности оборудования.
Оценивание рисков
При оценивании рисков рекомендуется рассматривать следующие аспекты:
- Шкалы и критерии, по которым можно измерять риски.
- Оценка вероятностей событий.
- Технологии измерения рисков.
Шкалы и критерии, по которым измеряются риски. Для измерения какого-либо свойства необходимо выбрать шкалу. Шкалы могут быть прямыми (естественными) или косвенными (производными). В качестве примера прямых шкал назовем шкалы для измерения физических величин, скажем - литры для измерения объемов, метры для измерения длины. В ряде случаев прямых шкал не существует, приходится использовать либо прямые шкалы других свойств, связанных с интересующими нас, либо определять новые шкалы. Примером является шкала для измерения субъективного свойства «ценность информационного ресурса». Она может измеряться в производных шкалах, таких, как стоимость восстановления ресурса, время восстановления ресурса, и других. Еще один вариант – определить шкалу для получения экспертной оценки, например имеющую три значения:
- Малоценный информационный ресурс: от него не зависят критически важные задачи и он может быть восстановлен с небольшими затратами времени и денег.
- Ресурс средней ценности: от него зависит ряд важных задач, при утрате он может быть восстановлен за время, не превышающее критически допустимое, стоимость восстановления – высокая.
- Ценный ресурс: от него зависят критически важные задачи, в случае утраты время восстановления превышает критически допустимое либо стоимость чрезвычайно высока.
Для измерения рисков не существует естественной шкалы. Риски можно оценивать по объективным либо субъективным критериям. Примером объективного критерия является вероятность выхода из строя какого-либо оборудования (предположим, ПК) за определенный промежуток времени. Примером субъективного критерия — оценка владельцем информационного ресурса риска выхода из строя ПК. Для этого обычно разрабатывается качественная шкала с несколькими градациями: низкий, средний, высокий уровень. В методиках анализа рисков, как правило, используются субъективные критерии, измеряемые в качественных шкалах, поскольку:
- оценка должна отражать субъективную точку зрения владельца информационных ресурсов;
- должны быть учтены различные аспекты, не только технические, но и организационные, психологические и т. д.
Для получения субъективной оценки в рассматриваемом примере с оценкой риска выхода из строя ПК, можно использовать либо прямую экспертную оценку, либо определить функцию, отображающую объективный данные (вероятность) в субъективную шкалу рисков.
Субъективные шкалы могут быть количественными и качественными, но на практике обычно используются качественные шкалы с 3-7 градациями. С одной стороны, это просто и удобно, с другой – требует грамотного подхода к обработке данных.
Объективные и субъективные вероятности. Термин "вероятность" имеет несколько значений. Наиболее часто встречаются два толкования этого слова, которые обозначаются сочетанием "объективная вероятность" и "субъективная вероятность". Под объективной (иногда называемой физической) вероятностью понимается относительная частота появления какого-либо события в общем объеме наблюдений или отношение числа благоприятных исходов к общему их количеству. Объективная вероятность используется при анализе результатов большого числа наблюдений, имевших место в прошлом, а также как следствия из моделей, описывающих некоторые процессы.
Под субъективной вероятностью понимается мера уверенности какого-либо человека или группы людей в том, что данное событие действительно произойдет. Как мера уверенности человека в возможности наступления события, субъективная вероятность может быть формально представлена различными способами: вероятностным распределением на множестве событий, бинарным отношением на множестве событий, не полностью заданным вероятностным распределением или бинарным отношением и другими способами. Очень часто субъективная вероятность представляет собой вероятностную меру, полученную экспертным путем. В дальнейшем именно в этом смысле мы и будем понимать субъективную вероятность. В современных работах в области системного анализа субъективная вероятность не просто передает меру уверенности на множестве событий, а увязана с системой предпочтений лица, принимающего решения (ЛПР), и в конечном итоге с функцией полезности, отражающей его предпочтения на множестве альтернатив. Тесная связь между субъективной вероятностью и полезностью используется при построении некоторых методов получения субъективной вероятности.
Получение оценок субъективной вероятности. Процесс получения субъективной вероятности обычно разделяют три этапа: подготовительный этап, получение оценок, этап анализа полученных оценок.
Первый этап. Во время этого этапа формируется объект исследования — множество событий, ведется предварительный анализ свойств этого множества (устанавливается зависимость или независимость событий, дискретность или непрерывность случайной величины, порождающей данное множество событий). На основе такого анализа выбирается один из подходящих методов (обзор основных методов рассматривается в приложении 6) получения субъективной вероятности. На этом же этапе производится подготовка эксперта или группы экспертов, ознакомление их с методом и проверка понимания поставленной задачи экспертами.
Второй этап состоит в применении метода, выбранного на первом этапе. Результатом этого этапа является набор чисел, отражающий субъективный взгляд эксперта или группы экспертов на вероятность того или иного события, однако далеко не всегда может считаться окончательно полученным распределением, поскольку может быть противоречивым.
Третий этап состоит в исследовании результатов опроса. Если вероятности, полученные от экспертов, не согласуются с аксиомами вероятности, на это обращается внимание экспертов и производится уточнение ответов с целью приведения их в соответствие с выбранной системой аксиом.
Для некоторых методов получения субъективной вероятности третий этап не проводится, поскольку сам метод состоит в выборе вероятного распределения, подчиняющегося аксиомам вероятности, которое в том или другом смысле наиболее близко к оценкам экспертов. Особую важность третий этап приобретает при агрегировании оценок, полученных от группы экспертов.
Измерение рисков
Сегодня существует ряд подходов к измерению рисков. Давайте рассмотрим наиболее распространенные подходы, а именно оценку рисков по двум и по трем факторам.
Оценка рисков по двум факторам. В простейшем случае используется оценка двух факторов: вероятность происшествия и тяжесть возможных последствий. Обычно считается, что риск тем больше, чем больше вероятность происшествия и тяжесть последствий. Общая идея может быть выражена формулой:
РИСК = P происшествия * ЦЕНА ПОТЕРИ
Если переменные являются количественными величинами, то риск — это оценка математического ожидания потерь.
Если переменные являются качественными величинами, то метрическая операция умножения не определена. Таким образом, в явном виде эта формула использоваться не должна. Рассмотрим вариант использования качественных величин (наиболее часто встречающаяся ситуация).
Вначале должны быть определены шкалы.
Определяется субъективная шкала вероятностей событий, например:
A - Событие практически никогда не происходит
B - Событие случается редко
C - Вероятность события за рассматриваемый промежуток времени – около 0.5
D - Скорее всего, событие произойдет
E - Событие почти обязательно произойдет
Кроме того, определяется субъективная шкала серьезности происшествий, например:
N (Negligible) – Воздействием можно пренебречь
Mi (Minor) – Незначительное происшествие: последствия легко устранимы, затраты на ликвидацию последствий невелики, воздействие на информационную технологию –незначительно.
Mo (Moderate) – Происшествие с умеренными результатами: ликвидация последствий не связана с крупными затратами, воздействие на информационную технологию невелико и не затрагивает критически важные задачи.
S (Serious) – Происшествие с серьезными последствиями: ликвидация последствий связана со значительными затратами, воздействие на информационные технологии ощутимо, воздействует на выполнение критически важных задач.
C (Critical) – Происшествие приводит к невозможности решения критически важных задач.
Для оценки рисков определяется шкала из трех значений:
- Низкий риск
- Средний риск
- Высокий риск
Риск, связанный с определенным событием, зависит от двух факторов и может быть определен так:
Таблица 2. Определение риска в зависимости от двух факторов
|
Negligible |
Minor |
Moderate |
Serious |
Critical |
A |
Низкий риск |
Низкий риск |
Низкий риск |
Средний риск |
Средний риск |
B |
Низкий риск |
Низкий риск |
Средний риск |
Средний риск |
Высокий риск |
C |
Низкий риск |
Средний риск |
Средний риск |
Средний риск |
Высокий риск |
D |
Средний риск |
Средний риск |
Средний риск |
Средний риск |
Высокий риск |
E |
Средний риск |
Высокий риск |
Высокий риск |
Высокий риск |
Высокий риск |
Шкалы факторов риска и сама таблица могут быть определены иначе, иметь другое число градаций.
Подобный подход к оценке рисков достаточно распространен.
При разработке (использовании) методик оценивания рисков необходимо учитывать следующие особенности:
- Значения шкал должны быть четко определены (словесное описание) и пониматься одинаково всеми участниками процедуры экспертной оценки.
- Требуются обоснования выбранной таблицы. Необходимо убедиться, что разные инциденты, характеризующиеся одинаковыми сочетаниями факторов риска, имеют с точки зрения экспертов одинаковый уровень рисков.
Оценка рисков по трем факторам. В зарубежных методиках, рассчитанных на более высокие требования, чем базовый уровень, используется модель оценки риска с тремя факторами: угроза, уязвимость, цена потери. Угрозу и уязвимость определим следующим образом:
Угроза — совокупность условий и факторов, которые могут стать причиной нарушения целостности, доступности, конфиденциальности информации.
Уязвимость — слабость в системе защиты, которая делает возможным реализацию угрозы.
Вероятность происшествия, которая в данном подходе может быть объективной либо субъективной величиной, зависит от уровней (вероятностей) угроз и уязвимостей:
Р происшествия = Р угрозы * Р уязвимости
Соответственно, риск определяется следующим образом:
РИСК = P угрозы * Р уязвимости * ЦЕНА ПОТЕРИ
Данное выражение можно рассматривать как математическую формулу, если используются количественные шкалы, либо как формулировку общей идеи, если хотя бы одна из шкал – качественная. В последнем случае используются различного рода табличные методы для определения риска в зависимости от трех факторов.
Например, показатель риска измеряется в шкале от 0 до 8 со следующими определениями уровней риска:
1 — риск практически отсутствует. Теоретически возможны ситуации, при которых событие наступает, но на практике это случается редко, а потенциальный ущерб сравнительно невелик.
2 — риск очень мал. События подобного рода случались достаточно редко, кроме того, негативные последствия сравнительно невелики.
......
8 — риск очень велик. Событие скорее всего наступит, и последствия будут чрезвычайно тяжелыми.
Матрица может быть определена следующим образом:
Таблица 3. Определение риска в зависимости от трех факторов
Степень серьезности происшествия (цена потери) |
Уровень угрозы |
Низкий |
Средний |
Высокий |
Уровни уязвимостей |
Уровни уязвимостей |
Уровни уязвимостей |
Н |
С |
В |
Н |
С |
В |
Н |
С |
В |
Negligible |
0 |
1 |
2 |
1 |
2 |
3 |
2 |
3 |
4 |
Minor |
1 |
2 |
3 |
2 |
3 |
4 |
3 |
4 |
5 |
Moderate |
2 |
3 |
4 |
3 |
4 |
5 |
4 |
5 |
6 |
Serious |
3 |
4 |
5 |
4 |
5 |
6 |
5 |
6 |
7 |
Critical |
4 |
5 |
6 |
5 |
6 |
7 |
6 |
7 |
8 |
В данной таблице уровни уязвимости Н, С, В соответственно означают: низкий, средний, высокий уровень. Подобные таблицы используются как в «бумажных» вариантах методик оценки рисков, так и в различного рода инструментальных средствах – ПО анализа рисков.
В последнем случае матрица задается разработчиками ПО и, как правило, не подлежит корректировке. Это один из факторов, ограничивающих точность подобного рода инструментария.
Технология оценки угроз и уязвимостей
Обычно для оценки угроз и уязвимостей используются различные методы, в основе которых могут лежать:
- Экспертные оценки.
- Статистические данные.
- Учет факторов, влияющих на уровни угроз и уязвимостей.
Один из возможных подходов к разработке подобных методик – накопление статистических данных о реально случившихся происшествиях, анализ и классификация их причин, выявление факторов, от которых они зависят. На основе этой информации можно оценить угрозы и уязвимости в других информационных системах.
Практические сложности в реализации этого подхода следующие:
Во-первых, должен быть собран весьма обширный материал о происшествиях в этой области.
Во-вторых, применение данного подхода оправдано далеко не всегда. Если информационная система достаточно крупная (содержит много элементов, расположена на обширной территории), имеет давнюю историю, то подобный подход, скорее всего, применим. Если система сравнительно невелика, использует новейшие элементы технологии (для которых пока нет достоверной статистики), оценки угроз и уязвимостей могут оказаться недостоверными.
Наиболее распространенным в настоящее время является подход, основанный на учете различных факторов, влияющих на уровни угроз и уязвимостей. Такой подход позволяет абстрагироваться от малосущественных технических деталей, учесть не только программно-технические, но и иные аспекты.
Рассмотрим пример реализации подобного подхода, используемого в методе CRAMM 4.0 для одного из классов рисков:
«Использование чужого идентификатора сотрудниками организации ("маскарад")»
Для оценки угроз выбраны следующие косвенные факторы:
- Статистика по зарегистрированным инцидентам.
- Тенденции в статистке по подобным нарушениям.
- Наличие в системе информации, представляющей интерес для потенциальных внутренних или внешних нарушителей.
- Моральные качества персонала.
- Возможность извлечь выгоду из изменения обрабатываемой в системе информации.
- Наличие альтернативных способов доступа к информации.
- Статистика по подобным нарушениям в других информационных системах организации.
Для оценки уязвимостей выбраны следующие косвенные факторы:
- Количество рабочих мест (пользователей) в системе.
- Размер рабочих групп.
- Осведомленность руководства о действиях сотрудников (разные аспекты).
- Характер используемого на рабочих местах оборудования и ПО.
- Полномочия пользователей.
По косвенным факторам предложены вопросы и несколько фиксированных вариантов ответов, которые «стоят» определенное количество баллов. Итоговая оценка угрозы и уязвимости данного класса определяется суммированием баллов.
Оценка угрозы
Ответьте на вопросы
1. Сколько раз за последние три года сотрудники организации пытались получить несанкционированный доступ к хранящейся в информационной системе информации с использованием прав других пользователей?
Варианты ответов
a Ни разу 0
b Один или два раза 10
c В среднем раз в год 20
d В среднем чаще одного раза в год 30
e Неизвестно 10
2. Какова тенденция в статистике такого рода попыток несанкционированного проникновения в информационную систему?
Варианты ответов
a К возрастанию 10
b Остается постоянной 0
c К снижению -10
3. Хранится ли в информационной системе информация (например, личные дела), которая может представлять интерес для сотрудников организации и побуждать их к попыткам несанкционированного доступа к ней?
Варианты ответов
a Да 5
b Нет 0
4. Известны ли случаи нападения, угроз, шантажа, давления на сотрудников со стороны посторонних лиц?
Варианты ответов
a Да 10
b Нет 0
5. Существуют ли среди персонала группы лиц или отдельные лица с недостаточно высокими моральными качествами?
Варианты ответов
a Нет, все сотрудники отличаются
высокой честностью и порядочностью 0
b Существуют группы лиц и отдельные
личности с недостаточно высокими
моральными качествами, но это вряд
ли может спровоцировать их на
несанкционированное использование
системы 5
c Существуют группы лиц и отдельные
личности с настолько низкими
моральными качествами, что это
повышает вероятность
несанкционированного использования
системы сотрудниками 10
6. Хранится ли в информационной системе информация, несанкционированное изменение которой может принести прямую выгоду сотрудникам?
Варианты ответов
a Да 5
b Нет 0
7. Предусмотрена ли в информационной системе поддержка пользователей, обладающих техническими возможностями совершить подобные действия?
Варианты ответов
a Нет 0
b Да 5
8. Существуют ли другие способы просмотра информации, позволяющие злоумышленнику добраться до нее более простыми методами, чем с использованием "маскарада"?
Варианты ответов
a Да -10
b Нет 0
9. Существуют ли другие способы несанкционированного изменения информации, позволяющие злоумышленнику достичь желаемого результата более простыми методами, чем с использованием "маскарада"?
Варианты ответов
a Да -10
b Нет 0
10. Сколько раз за последние три года сотрудники пытались получить несанкционированный доступ к информации, хранящейся в других подобных системах в вашей организации?
Варианты ответов
a Ни разу 0
b Один или два раза 5
c В среднем раз в год 10
d В среднем чаще одного раза в год 15
e Неизвестно 10
Степень угрозы при количестве баллов:
До 9 Очень низкая
От 10 до 19 Низкая
От 20 до 29 Средняя
От 30 до 39 Высокая
40 и более Очень высокая
Оценка уязвимости
Ответьте на вопросы:
1. Сколько людей имеют право пользоваться информационной системой?
Варианты ответов
a От 1 до 10 0
b От 11 до 50 4
c От 51 до 200 10
d От 200 до 1000 14
e Свыше 1000 20
2. Будет ли руководство осведомлено о том, что люди, работающие под их началом, ведут себя необычным образом?
Варианты ответов
a Да 0
b Нет 10
3. Какие устройства и программы доступны пользователям?
Варианты ответов
a Только терминалы или сетевые
контроллеры, ответственные за
предоставление и маршрутизацию
информации, но не за передачу
данных -5
b Только стандартное офисные
устройства и программы и
управляемые с помощью меню
подчиненные прикладные программы 0
c Пользователи могут получить
доступ к операционной системе,
но не к компиляторам 5
d Пользователи могут получить
доступ к компиляторам 10
4. Возможны ли ситуации, когда сотрудникам, предупрежденным о предстоящем сокращении или увольнении, разрешается логический доступ к информационной системе?
Варианты ответов
a Да 10
b Нет 0
5. Каковы в среднем размеры рабочих групп сотрудников пользовательских подразделений, имеющих доступ к информационной системе?
Варианты ответов
a Менее 10 человек 0
b От 11 до 20 человек 5
c Свыше 20 человек 10
6. Станет ли факт изменения хранящихся в информационной системе данных очевидным сразу для нескольких человек (в результате чего его будет очень трудно скрыть)?
Варианты ответов
a Да 0
b Нет 10
7. Насколько велики официально предоставленные пользователям возможности по просмотру всех хранящихся в системе данных?
Варианты ответов
a Официальное право предоставлено
всем пользователям -2
b Официальное право предоставлено
только некоторым пользователям 0
8. Насколько необходимо пользователям знать всю информацию, хранящуюся в системе?
Варианты ответов
a Всем пользователям необходимо
знать всю информацию -4
b Отдельным пользователям
необходимо знать лишь
относящуюся к ним информацию 0
Степень уязвимости при количестве баллов:
До 9 Низкая
От 10 до 19 Средняя
20 и более Высокая
Возможности и ограничения данного подхода
Несомненное достоинство данного подхода — возможность учета множества косвенных факторов (и не только технических). Методика проста и дает владельцу информационных ресурсов ясное представление, каким образом получается итоговая оценка и что надо изменить, чтобы улучшить показатели.
Недостатки: косвенные факторы и их веса зависят от сферы деятельности организации, а также от ряда иных обстоятельств. Таким образом, методика всегда требует подстройки под конкретный объект. При этом доказательство полноты выбранных косвенных факторов и правильности их весовых коэффициентов (задача малоформализованная и сложная) на практике решается экспертными методами (проверка соответствия полученных по методике результатов ожидаемым для тестовых ситуаций). Подобные методики, как правило, разрабатываются для организаций определенного профиля (ведомств), апробируются и затем используются в качестве ведомственного стандарта. По такому пути пошли и разработчики CRAMM, создав около десятка версий метода для разных ведомств (министерство иностранных дел, вооруженные силы и т. д.).
Оценки рисков и уязвимостей в рассмотренном примере являются качественными величинами. Однако подобными методами могут быть получены и количественные оценки, необходимые при расчете остаточных рисков, решении оптимизационных задач. Для этого применяется ряд методов, позволяющих установить на упорядоченном множестве оценок систему расстояний. Получение объективных количественных оценок рисков должно быть актуальным для страховых агентств, занимающимся страхованием информационных рисков.
На практике, страховые агентства пользуются в большинстве случаев качественными оценками. Простые методики, без длительного и дорогостоящего обследования, позволяют отнести информационную систему к той или иной группе риска (по классификации страховой компании) на основе интервью с рядом должностных лиц. В таких методиках также фиксируются и анализируются косвенные факторы.
Выбор допустимого уровня риска
Выбор допустимого уровня риска связан с затратами на реализацию подсистемы информационной безопасности. Как минимум существует два подхода к выбору допустимого уровня рисков.
Первый подход типичен для базового уровня безопасности. Уровень остаточных рисков не принимается во внимание. Затраты на программно-технические средства защиты и организационные мероприятия, необходимые для соответствия информационной системы спецификациям базового уровня (антивирусное ПО, МЭ, системы резервного копирования, системы контроля доступа) являются обязательными, их целесообразность не обсуждается. Дополнительные затраты (если такой вопрос будет поставлен по результатам проведения аудита ИБ либо по инициативе службы безопасности) должны находиться в разумных пределах и не превышать 5-15% средств, которые тратятся на поддержание работы информационной системы.
Второй подход применяется при обеспечении повышенного уровня безопасности. Собственник информационных ресурсов должен сам выбирать допустимый уровень остаточных рисков и нести ответственность за свой выбор.
В зависимости от уровня зрелости организации, характера основной деятельности, обоснование выбора допустимого уровня риска может проводиться разными способами.
Наиболее распространенным является анализ стоимость/эффективность
различных вариантов защиты, примеры постановок задач:
- Стоимость подсистемы безопасности должна составлять не более 20% от стоимости информационной системы. Найти вариант контрмер, максимально снижающих уровень интегральных рисков.
- Уровень рисков по всем классам должен не превышать «очень низкий уровень». Найти вариант контрмер с минимальной стоимостью.
В случае постановок оптимизационных задач важно правильно выбрать комплекс контрмер (перечислить возможные варианты) и оценить его эффективность.
Выбор контрмер и оценка их эффективности
Система защиты строится комплексно, включает контрмеры разных уровней (программно-технические, административные, организационные). Для облегчения выбора комплекса контрмер в различных методиках используются таблицы, в которых классам угроз соответствуют возможные контрмеры. Ниже приводится пример классификатора контрмер, CRAMM 4:
Классы контрмер CRAMM (фрагмент)
Masquerading of User Identity by Insiders
Identification and Authentication
Logical Access Control
Accounting
Audit
Object Re-use
Security Testing
Software Integrity
Mobile Computing and Teleworking
Software Distribution
System Input/Output Controls
Network Access Controls
System Administration Controls
Application Input/Output Controls
Back-up of Data
Personnel
Security Education and Training
Security Policy
Security Infrastructure
Data Protection Legalisation
Incident Handling
Compliance Checks
Masquerading of User Identity by Contracted Service Providers
Identification and Authentication
Logical Access Control
Accounting
Audit
Object Re-use
Security Testing
Software Integrity
Mobile Computing and Teleworking
Software Distribution
System Input/Output Controls
Network Access Controls
System Administration Controls
Application Input/Output Controls
Back-up of Data
Personnel
Security Education and Training
Security Policy
Security Infrastructure
Outsourcing
Data Protection Legalisation
Incident Handling
Compliance Checks
Masquerading of User Identity by Outsiders
Identification and Authentication
Logical Access Control
Accounting
Audit
Object Re-use
Security Testing
Software Integrity
Mobile Computing and Teleworking
Software Distribution
System Input/Output Controls
Network Security Management
Network Access Controls
System Administration Controls
Application Input/Output Controls
Back-up of Data
Security Education and Training
Security Policy
Security Infrastructure
Data Protection Legalisation
Incident Handling
Compliance Checks
Подобные классификаторы позволяют автоматически выбирать и предлагать конкретные варианты контрмер, возможных для рассматриваемой информационной системы. Таким образом, владелец информационных ресурсов может выбирать из них приемлемые для себя варианты. Следующий шаг – оценка эффективности контрмер.
Задача оценки эффективности контрмер является не менее сложной, чем оценка рисков.
Причина в том, что оценка эффективности комплексной подсистемы безопасности, включающей контрмеры разных уровней (административные, организационные, программно-технические), в конкретной информационной системе – методологически чрезвычайно сложная задача. По этой причине обычно используются упрощенные, качественные оценки эффективности контрмер.
Примером является следующая таблица типичных значений эффективности контрмер, применяемых в методе анализа рисков RiskWatch.
Таблица 4. Ориентировочная эффективность мероприятий в области защиты информации по критерию ROI (Return of Investment – возврат вложений)
Разработка и внедрение политики информационной безопасности |
2 |
Мероприятия по работе с персоналом (наведение справок,
контроль за поведением и т. п.) |
3 |
Совершенствование организационной структуры |
4 |
Анализ рисков |
5 |
Управление жизненным циклом (управление рисками) |
5 |
Совершенствование должностных инструкций и условий контрактов |
5 |
Меры контроля за посетителями |
6 |
Управление имуществом компании |
7 |
Обучение персонала и контроль за соблюдением режима ИБ |
9 |
Меры контроля за работой приложений |
10 |
Указанные в таблице значения являются ориентировочными оценками эффективности вложений в различные классы мероприятий в области защиты информации.
В ряде случаев используются более сложные таблицы, в которых эффективность зависит от определенных факторов. На основе подобных таблиц делаются качественные оценки эффективности контрмер.
Заключение
Цель оценивания рисков состоит в определении характеристик рисков корпоративной информационной системы и ее ресурсов. В результате оценки рисков становится возможным выбрать средства, обеспечивающие желаемый уровень информационной безопасности компании. При оценивании рисков учитываются: ценность ресурсов, значимость угроз и уязвимостей, эффективность существующих и планируемых средств защиты. Сами показатели ресурсов, значимости угроз и уязвимостей, эффективность средств защиты могут быть определены как количественными методами (например, при определении стоимостных характеристик), так и качественными (например, учитывающими штатные или чрезвычайно опасные нештатные воздействия внешней среды). Таким образом, анализ и управление информационными рисками позволяет обеспечить экономически оправданную безопасность компании.