Обзор подготовлен	При поддержке

Затраты на ИТ-защиту: ищем золотую середину

Оценка оптимального уровня инвестиций в информационную безопасность компании представляет собой комплексную задачу, для решения которой необходимо использовать программные комплексы анализа и контроля информационных рисков.

Потенциальный ущерб

Анализ информационных рисков представляет собой комплексную оценку защищенности информационной системы, окончательным результатом которой является получение количественных или качественных показателей рисков. При этом риск — это вероятный ущерб, который зависит от защищенности системы. Таким образом, на выходе алгоритма анализа риска можно получить ту сумму, которую в среднем будет терять предприятие при заданной органицазии ИБ.

Необходимость вложений в обеспечение информационной безопасности сегодня не вызывает сомнений, однако оценка уровня инвестиций, адекватного возможным угрозам, является сложной задачей. Согласно отчету ФБР США за 2003 год, в основе которого лежит опроса 530 американских компаний (средний и крупный бизнес), до 70% из них подвергались не только потенциальным рискам, но и реальным атакам.

Подвергалась ли компания атакам?
(в % от числа опрошенных)

Источник: ФБР США, 2003 год

Максимальными по размеру экономического ущерба являются потери от кражи корпоративной информации, которые оцениваются ФБР более 70 млн. долл. На втором месте — простои, обходящиеся порядка 65-65 млн. долл. На третьем — убытки от вирусов, составляющие более 27 млн. долл.

Структура ущерба от основных уязвимостей ИБ, $ млрд.
(на основании опроса 251 америконской компании)

Источник: ФБР США, 2003 год

Современные методы анализа рисков различаются по используемому подходу; обычно условно выделяется анализ рисков базового и полного уровня. Для анализа рисков базового уровня достаточно проверить риск невыполнения требований общепринятого стандарта безопасности (обычно ISO 17799, либо комплексные системы разработки и управления политикой безопасности информационной системы) с получением на выходе качественной оценки уровня рисков (высокий, средний, низкий).

Наиболее подробно следует рассмотреть полный анализ информационных рисков. Именно эта тема вызывает наибольшее количество дискуссий, так как с анализом рисков базового уровня существенных вопросов обычно не возникает. Основное отличие полного анализа рисков от базового состоит в необходимости построения полной модели анализируемой информационной системы. Модель должна включать: виды ценной информации, объекты ее хранения; группы пользователей и виды доступа к информации; средства защиты (включая политику безопасности), виды угроз.

Модель анализа информационной системы

После моделирования необходимо перейти к этапу анализа защищенности построенной полной модели информационной системы. На этом этапе возникает целый пласт теоретических и практических проблем, с которыми сталкиваются разработчики алгоритмов анализа риска полного уровня. Прежде всего возникает вопрос, как алгоритмически (без эксперта) оценить защищенность информационной системы (заметим, что речь не идет о сканировании конкретных уязвимостей в конкретном применяемом программном обеспечении — таких систем анализа риска не существует). Следующие проблемы — алгоритмическое определение всех классов уязвимостей в системе защиты анализируемой системы и оценка ущерба от всех существующих в системе угроз безопасности. Наиболее сложная проблема: риск категория сугубо вероятностная — как оценить вероятность реализации множества угроз информационной системы?

Выбор пути

При создании алгоритма современного анализа рисков необходимо решить весь перечисленный выше спектр проблем. На сегодняшний день из существующих и реально использующихся на практике программных комплексов анализа и контроля информационных рисков можно выделить британский CRAMM (компания Insight Consulting), американский RiskWatch (компания RiskWatch) и российский ГРИФ (компания Digital Security).

CRAMM

Метод CRAMM разработан по заданию Британского правительства

В настоящее время CRAMM — это довольно мощный и универсальный инструмент, позволяющий, помимо анализа рисков, решать также и ряд других аудиторских задач, включая:

• проведение обследования ИС и выпуск сопроводительной документации на всех этапах его проведения;
• проведение аудита в соответствии с требованиями Британского правительства, а также стандарта BS 7799:1995 — Code of Practice for Information Security Management BS7799;
• разработка политики безопасности и плана обеспечения непрерывности бизнеса.

В основе метода CRAMM лежит комплексный подход к оценке рисков, сочетая количественные и качественные методы анализа. Метод является универсальным и подходит как для больших, так и для мелких организаций, как правительственного, так и коммерческого сектора. Версии программного обеспечения CRAMM, ориентированные на разные типы организаций, отличаются друг от друга своими базами знаний (profiles). Для коммерческих организаций имеется Коммерческий профиль (Commercial Profile), для правительственных организаций — Правительственный профиль (Government profile). Правительственный вариант профиля, также позволяет проводить аудит на соответствие требованиям американского стандарта ITSEC («Оранжевая книга»).

Одним из наиболее важных результатов, которые можно получить при использовании метода CRAMM, является возможность экономического обоснования расходов организации на обеспечение информационной безопасности и непрерывности бизнеса. Экономически обоснованная стратегия управления рисками позволяет, в конечном итоге, экономить средства, избегая неоправданных расходов.

CRAMM предполагает разделение всей процедуры на три последовательных этапа. Задачей первого этапа является ответ на вопрос: «Достаточно ли для защиты системы применения средств базового уровня, реализующих традиционные функции безопасности, или необходимо проведение более детального анализа?» На втором этапе производится идентификация рисков и оценивается их величина. На третьем этапе решается вопрос о выборе адекватных контрмер. Методика CRAMM для каждого этапа определяет набор исходных данных, последовательность мероприятий, анкеты для проведения интервью, списки проверки и набор отчетных документов.

К недостаткам метода CRAMM можно отнести следующее:

• использование метода CRAMM требует специальной подготовки и высокой квалификации аудитора;
• CRAMM в гораздо большей степени подходит для аудита уже существующих ИС, находящихся на стадии эксплуатации, нежели чем для ИС, находящихся на стадии разработки;
• аудит по методу CRAMM — процесс достаточно трудоемкий и может потребовать месяцев непрерывной работы аудитора;
• программный инструментарий CRAMM генерирует большое количество бумажной документации, которая не всегда оказывается полезной на практике;
• CRAMM не позволяет создавать собственные шаблоны отчетов или модифицировать имеющиеся;
• возможность внесения дополнений в базу знаний CRAMM не доступна пользователям, что вызывает определенные трудности при адаптации этого метода к потребностям конкретной организации.
• ПО CRAMM существует только на английском языке
• высокая стоимость лицензии

RiskWatch

RiskWatch помогает сделать выбор мер и средств защиты

К недостаткам RiskWatch можно отнести:

• возможность проводить анализ рисков только на программно-техническом уровне защиты, без учета организационных и административных факторов;
• получаемые оценки рисков (математическое ожидание потерь) не исчерпывают понимание риска с системных позиций — метод не учитывает комплексный подход к информационной безопасности;
• ПО RiskWatch существует только на английском языке;
• высокая стоимость лицензии (от 15 000 долл. за одно рабочее место для небольшой компании; от 125 000 долл. за корпоративную лицензию)

ГРИФ

При решении сложной задачи ГРИФ разбивает ее на множество более простых

Итоговая оценка ГРИФ основывается на комплексе параметров, которые определяются, прежде всего, защищенностью анализируемого объекта: анализируются как технологические аспекты защищенности (включая учет требований стандартов Good Practice, ISO 15408 и др., и таких важных с точки зрения реального проникновения моментов, как нахождение в одном сегменте, действия хакера через наименее защищенный объект взаимодействия и т.д.,) так и вопросы комплексной безопасности согласно ISO 17799 (организация, управление, администрирование, физ. безопасность и т.д.).

К недостаткам системы ГРИФ можно отнести:

• отсутствие возможности сравнения отчетов на разных этапах внедрения комплекса мер по обеспечению защищенности
• отсутствие возможности добавить специфичные для данной компании требования политики безопасности

Таким образом, для анализа и получения адекватных оценок защищенности информационной системы, оценки необходимых затрат на информационную безопасность, получения максимальной эффективности этих затрат, на сегодняшний день на рынке представлен ряд инструментов, позволяющих ИТ-менеджеру получать результаты самостоятельно без привлечения сторонних экспертов. Выбор специалиста в каждом конкретном случае будет зависеть от того, что требуется получить на выходе при работе с той или иной системой анализа рисков.

Илья Медведовский, к.т.н.

Мишель Мур: Руководство обязано обеспечить эффективность контрольных процедур

В интервью CNews.ru эксперты компании «Эрнст энд Янг» рассказали об аудите систем информационной безопасности, методах и средствах анализа и управления рисками. На вопросы корреспондента ответили Мишель Мур, партнер компании «Эрнст энд Янг», руководитель отдела услуг по информационным технологиям и компьютерной безопасности, и Николай Петров, CISSP, менеджер отдела услуг по информационным технологиям и компьютерной безопасности.

CNews.ru: Какие области, на ваш взгляд, требуют наибольшего внимания со стороны аудитора информационных систем в связи с ужесточившимися требованиями к финансовой отчетности компании?

Мишель Мур: Согласно принятому в 2002 году закону Сарбейнса-Оксли, требования которого распространяются на все компании, котирующиеся на фондовых рынках, независимо от того, образованы ли они в США или в других странах, отчет о системе внутреннего контроля компании должен содержать формулировку ответственности руководства за создание и обеспечение работоспособности соответствующей структуры внутреннего контроля, а также оценку эффективности проводимых процедур. Поскольку информационные технологии играют в современных компаниях лидирующую роль в процессе подготовки финансовой отчетности, необходимо уделять большое внимание аудиту информационных систем и наличию эффективных контрольных процедур. Большая часть из тех проблем, которые должны быть адресованы аудиторам в соответствии с Законом (SOX ст.302 и 404), относится к области общих компьютерных контрольных процедур. Они обусловлены недостаточно полно проработанным дизайном информационных систем или отсутствием ключевых контрольных механизмов и процедур.

CNews.ru: Каковы в этой связи ваши рекомендации руководителям компаний?

Мишель Мур: Анализируя проблему неэффективности контроля, которая означает потенциальную уязвимость компании, мы видим тревожную картину. Большинство выявленных недостатков относится к сфере информационных технологий, и в частности, общих контрольных процедур. Данный факт вызывает озабоченность, поскольку информационные технологии оказывают влияние на различные сферы бизнеса и требуют значительных усилий и финансовых затрат на создание эффективных механизмов контроля.

Руководители компаний должны своевременно планировать работу по оценке контрольных процедур в области информационных технологий с тем, чтобы заложить в бюджет соответствующие меры по исправлению обнаруженных недостатков. Таким образом, необходима четкая координация между работами, выполняемыми в области информационных технологий, и работами в области ведения бизнеса.

Полный текст интервью