Обзор подготовлен

Количественные методики управления рисками

Вторую группу методик управления рисками составляют количественные методики, актуальность которых обусловлена необходимостью решения различных оптимизационных задач, которые часто возникают в реальной жизни.

Суть этих задач сводится к поиску единственного оптимального решения, из множества существующих. Например, необходимо ответить на следующие вопросы: «Как, оставаясь в рамках утвержденного годового (квартального) бюджета на информационную безопасность, достигнуть максимального уровня защищенности информационных активов компании?» или «Какой из альтернатив построения корпоративной защиты информации (защищенного WWW сайта или корпоративной E-mail) выбрать с учетом известных ограничений бизнес ресурсов компании?» Для решения этих задач и разрабатываются методы и методики количественной оценки и управления рисками на основе структурных и реже объектно-ориентированных методов системного анализа и проектирования (SSADM — Structured Systems Analysis and Design). На практике такие методики управления рисками позволяют:

• Создавать модели информационных активов компании с точки зрения безопасности;
• Классифицировать и оценивать ценности активов;
• Составлять списки наиболее значимых угроз и уязвимостей безопасности;
• Ранжировать угрозы и уязвимости безопасности
• Обосновывать средства и меры контроля рисков;
• Оценивать эффективность-стоимость различных вариантов защиты;
• Формализовать и автоматизировать процедуры оценивания и управления рисками.

Одной из наиболее известных методик этого класса является методика CRAMM.

CRAMM

В 1985 году Центральное Агентство по Компьютерам и Телекоммуникациям (CCTA) Великобритании начало исследования существующих методов управления информационной безопасностью для выдачи рекомендаций по их использованию в правительственных организациях, обрабатывающих конфиденциальную информацию. Ни один из рассмотренных методов не подошел.

Поэтому сначала был создан метод, а затем одноименная методика CRAMM (анализа и контроля рисков), соответствующая требованиям CCTA. Затем появилось несколько версий методики, ориентированной на требования различных государственных и коммерческих организаций и структур. Одна из версий «коммерческого профиля» широко распространилась на рынке средств защиты информации.

Основными целями методики CRAMM являются:

• Формализация и автоматизация процедур анализа и управления рисками;
• Оптимизация расходов на средства контроля и защиты;
• Комплексное планирование и управление рисками на всех стадиях жизненного цикла информационных систем;
• Сокращение времени на разработку и сопровождение корпоративной системы защиты информации;
• Обоснование эффективности предлагаемых мер защиты и средств контроля;
• Управление изменениями и инцидентами;
• Поддержка непрерывности бизнеса;
• Оперативное принятие решений по вопросам управления безопасностью и пр.

Управление рисками в методике СRAMM осуществляется в несколько этапов.

Основные этапы управления рисками в CRAMM

На первом этапе инициации определяются границы исследуемой информационной системы компании, состав и структура ее основных информационных активов и транзакций.

На этапе идентификации и оценки ресурсов четко идентифицируются активы, и определяется их стоимость. Расчет стоимости информационных активов однозначно позволяет определить необходимость и достаточность предлагаемых средств контроля и защиты.

На этапе оценки угроз и уязвимостей идентифицируются и оцениваются угрозы и уязвимости информационных активов компании. Этап анализа рисков позволяет получить качественные и количественные оценки рисков.

На этапе управления рисками предлагаются меры и средства уменьшения или уклонения от риска. Для наглядности возможности CRAMM предлагаем рассмотреть следующий пример. Пусть проводится оценка информационных рисков следующей корпоративной информационной системы.

Схема анализируемой информационной системы

В этой схеме условно выделим следующие элементы системы:

• рабочие места, на которых операторы вводят информацию, поступающую из внешнего мира;
• почтовый сервер, на который информация поступает с удаленных узлов сети через Интернет;
• сервер обработки, на котором установлена СУБД;
• сервер резервного копирования;
• рабочие места группы оперативного реагирования;
• рабочее место администратора безопасности;
• рабочее место администратора БД.

Функционирование системы осуществляется следующим образом. Данные, введенные с рабочих мест пользователей и поступившие на почтовый сервер, направляются на сервер корпоративной обработки данных. Затем данные поступают на рабочие места группы оперативного реагирования и там принимаются соответствующие решения.

Теперь необходимо провести анализ рисков с помощью методики CRAMM и предложить некоторые средства контроля и управления рисками, адекватные целям и задачам бизнеса компании.

Определение границ исследования. Этап начинается с решения задачи определения границ исследуемой системы. Для этого собирается следующая информация: ответственные за физические и программные ресурсы; кто является пользователем и как пользователи используют или будут использовать систему; конфигурация системы. Первичная информация собирается в процессе бесед с менеджерами проектов, менеджером пользователей или другими сотрудниками.

Идентификация ресурсов и построение модели системы с точки зрения ИБ. Проводится идентификация ресурсов: материальных, программных и информационных, содержащихся внутри границ системы. Каждый ресурс необходимо отнести к одному из предопределенных классов. Классификация физических ресурсов приводится в приложении. Затем строится модель информационной системы с точки зрения ИБ. Для каждого информационного процесса, имеющего самостоятельное значение с точки зрения пользователя и называемого пользовательским сервисом (End-User-Service), строится дерево связей используемых ресурсов. В рассматриваемом примере будет единственный подобный сервис. Построенная модель позволяет выделить критичные элементы.

Идентификация физических ресурсов

Ценность ресурсов. Методика позволяет определить ценность ресурсов. Этот шаг является обязательным в полном варианте анализа рисков. Ценность физических ресурсов в данном методе определяется ценой их восстановления в случае разрушения. Ценность данных и программного обеспечения определяется в следующих ситуациях:

• недоступность ресурса в течение определенного периода времени;
• разрушение ресурса — потеря информации, полученной со времени последнего резервного копирования, или ее полное разрушение;
• нарушение конфиденциальности в случаях несанкционированного доступа штатных сотрудников или посторонних лиц;
• модификация рассматривается для случаев мелких ошибок персонала (ошибки ввода), программных ошибок, преднамеренных ошибок;
• ошибки, связанные с передачей информации: отказ от доставки, недоставка информации, доставка по неверному адресу.

Построение модели информационной системы с точки зрения безопасности

Для оценки возможного ущерба предлагается использовать следующие критерии:

• ущерб репутации организации;
• нарушение действующего законодательства;
• ущерб для здоровья персонала;
• ущерб, связанный с разглашением персональных данных отдельных лиц;
• финансовые потери от разглашения информации;
• финансовые потери, связанные с восстановлением ресурсов;
• потери, связанные с невозможностью выполнения обязательств;
• дезорганизация деятельности.

Приведенная совокупность критериев используется в коммерческом варианте метода (профиль Standard). В других версиях совокупность будет иной, например, в версии, используемой в правительственных учреждениях, добавляются параметры, отражающие такие области, как национальная безопасность и международные отношения.

Для данных и программного обеспечения выбираются применимые к данной ИС критерии, дается оценка ущерба по шкале со значениями от 1 до 10.

К примеру, если данные содержат подробности коммерческой конфиденциальной (критичной) информации, эксперт, проводящий исследование, задает вопрос: как может повлиять на организацию несанкционированный доступ посторонних лиц к этой информации?

Возможен такой ответ: провал сразу по нескольким параметрам из перечисленных выше, причем каждый аспект следовало бы рассмотреть подробнее и присвоить самую высокую из возможных оценок.

Затем разрабатываются шкалы для выбранной системы параметров. Они могут выглядеть следующим образом:

Ущерб репутации организации:

2 — негативная реакция отдельных чиновников, общественных деятелей.
4 — критика в средствах массовой информации, не имеющая широкого общественного резонанса;
6 — негативная реакция отдельных депутатов Думы, Совета Федерации;
8 — критика в средствах массовой информации, имеющая последствия в виде крупных скандалов, парламентских слушаний, широкомасштабных проверок и т.п.;
10 — негативная реакция на уровне Президента и Правительства.

Ущерб для здоровья персонала:

2 — минимальный ущерб (последствия не связаны с госпитализаций или длительным лечением);
4 — ущерб среднего размера (необходимо лечение для одного или нескольких сотрудников, но длительных отрицательных последствий нет);
6 — серьезные последствия (длительная госпитализация, инвалидность одного или нескольких сотрудников);
10 — гибель людей;

Финансовые потери, связанные с восстановлением ресурсов:

2 — менее $1000;
6 — от $1000 до $10 000;
8 — от $10 000 до $100 000;
10 — свыше $100 000.

Дезорганизация деятельности в связи с недоступностью данных:

2 — отсутствие доступа к информации до 15 минут;
4 — отсутствие доступа к информации до 1 часа;
6 — отсутствие доступа к информации до 3 часов;
8 — отсутствие доступа к информации от 12 часов;
10 — отсутствие доступа к информации более суток.

Далее рассматриваются основные сценарии, приводящие к различным негативным последствиям, описываемым в терминах выбранных параметров (рис. 7)

Оценка ценности информационных ресурсов

На этом этапе может быть подготовлено несколько типов отчетов (границы системы, модель, определение ценности ресурсов). Если ценности ресурсов низкие, можно использовать базовый вариант защиты. В таком случае исследователь может перейти от этой стадии сразу к стадии анализа рисков. Однако для адекватного учета потенциального воздействия какой-либо угрозы, уязвимости или комбинации угроз и уязвимостей, которые имеют высокие уровни, следует использовать сокращенную версию стадии оценки угроз и уязвимостей. Это позволяет разработать более эффективную систему защиты информации компании.

На этапе оценки угроз и уязвимостей оцениваются зависимости пользовательских сервисов от определенных групп ресурсов и существующий уровень угроз и уязвимостей. Далее активы компании группируются с точки зрения угроз и уязвимостей. Например, в случае наличия угрозы пожара или кражи, в качестве группы ресурсов разумно рассмотреть все ресурсы, находящиеся в одном месте (серверный зал, комната средств связи и т.д.).

При этом оценка уровней угроз и уязвимостей может проводится на основе косвенных факторов или на основе прямых оценок экспертов. В первом случае программное обеспечение CRAMM для каждой группы ресурсов и каждого из них генерирует список вопросов, допускающих однозначный ответ.

оценка уровня угрозы безопасности по косвенным факторам

Уровень угроз оценивается, в зависимости от ответов, как (рис 9):

• очень высокий;
• высокий;
• средний;
• низкий;
• очень низкий.

Уровень уязвимости оценивается, в зависимости от ответов, как:

• высокий;
• средний;
• низкий;
• отсутствует.

Оценка угроз безопасности и уязвимости ресурсов

Возможно проведение коррекции результатов или использование других методов оценки. На основе этой информации рассчитываются уровни рисков в дискретной шкале с градациями от 1 до 7 (этап анализа рисков). Полученные уровни угроз, уязвимостей и рисков анализируются и согласовываются с заказчиком. Только после этого можно переходить к заключительной стадии метода.

Шаги управления рисками в CRAMM

MM генерирует несколько вариантов мер противодействия, адекватных выявленным рискам и их уровням. Контрмеры разбиваются на группы и подгруппы по следующим категориям:

• Обеспечение безопасности на сетевом уровне.
• Обеспечениен физической безопасности.
• Обеспечение безопасности поддерживающей инфраструктуры.
• Меры безопасности на уровне системного администратора.

В результате выполнения данного этапа формируются несколько видов отчетов.

Таким образом, рассмотренная методика анализа и управления рисками полностью применима и в российских условиях, несмотря на то, что показатели защищенности от НСД к информации и требования по защите информации различаются в российских РД и зарубежных стандартах. Особенно полезным представляется использование инструментальных средств типа метода CRAMM при проведении анализа рисков информационных систем с повышенными требованиями в области ИБ. Это позволяет получать обоснованные оценки существующих и допустимых уровней угроз, уязвимостей, эффективности защиты.

Сергей Петренко, Сергей Симонов / АйТи