Оценка информационных рисков

Лекция 7. Оценка информационных рисков 1. 2. 3. Идентификация и оценка информационных активов. Идентификация угроз и уязвимостей. Оценка уязвимостей. Методологии оценки рисков. информационной безопасности Этапы оценки информационных рисков Анализ рисков.  Оценивание рисков.  Анализ рисков Идентификация информационных активов.  Идентификация бизнес-требований и требований законодательства, применимых к информационным активам.  Оценивание информационных активов.  Идентификация значимых угроз и уязвимостей.  Оценка вероятности реализации угроз и величины уязвимостей для информационных активов.  Оценивание рисков Определение их количественных и качественных значений;  формирование реестра рисков;  ранжирование рисков.  Идентификация активов  Примеры содержатся, например, в международном стандарте ISO/IEC 27005 Информационная технология - Методы защиты – Менеджмент рисков информационной безопасности. Приложение B. Идентификация и определение ценности активов, определение стоимости воздействия. активов первичные активы:  бизнес-процессы и действия;  информация;  активы поддержки (на которые полагаются первичные элементы области применения) всех типов:  аппаратные средства;  программное обеспечение;  сеть;  персонал;  сайт;  организационная структура.  Шкала оценок информационных активов Выбор числа уровней, которые будут использоваться. Обычно принимается любое число уровней от трёх (например, низкий, средний и высокий уровень) до 10.  Чем более значим актив в деле поддержки многочисленных бизнес-процессов, тем больше значение этого актива.  Должны быть идентифицированы также влияние активов на бизнес процессы и другие активы.  Результат оценки активов  Список активов и их значений относительно раскрытия (сохранение конфиденциальности), модификации (сохранение целостности, подлинности, невозможности отказа от авторства и наблюдаемости), отсутствия готовности и уничтожения (сохранение доступности и надёжности) и стоимости замены. Оценка воздействия на актив Воздействием считают наличие или непосредственного (эксплуатационного) эффекта или будущего эффекта, который включает финансовые и рыночные последствия.  Непосредственное (эксплуатационное) воздействие является прямым или косвенным.  Прямое и косвенное воздействие финансовое значение замены потерянного актива;  стоимость приобретения, конфигурирования и инсталляции нового актива или резервной копии  и др.  альтернативные издержки (финансовые ресурсы для замены или исправления актива, который будет использоваться в другом месте);  стоимость прерванных операций и др.  Идентификация угроз  Перечень типовых угроз содержится, например, в международном стандарте ISO/IEC 27005 Информационная технология - Методы защиты – Менеджмент рисков информационной безопасности. Приложение C. Примеры типичных угроз. Примеры типичных угроз Тип Компрометация информации Угрозы Обозначение Воровство носителей или документов D Воровство оборудования D Восстановление информации на носителях, отправленных на переработку или бракованных D Обнаружение A, D Данные из ненадёжных источников A, D Вмешательство в аппаратные средства D Вмешательство в программные средства D Обнаружение позиции D Условные обозначения категорий угроз D (преднамеренные), А (случайные), E (экологические).  D используется для всех намеренных акций, нацеленных на информационные активы;  A используется для всех человеческих действий, которые могут случайно повредить информационные активы;  E используется для всех инцидентов, которые не основаны на человеческих действиях.  Идентификация уязвимостей  Примеры уязвимостей и методы для оценки уязвимостей приведены, например, в международном стандарте ISO/IEC 27005 Информационная технология - Методы защиты – Менеджмент рисков информационной безопасности. Приложение D. Уязвимости и методы для оценки уязвимости. Примеры уязвимостей Тип Сайт организации Примеры уязвимост ей Примеры угроз Неадекватное и небрежное использование физического контроля доступа к зданию и помещениям Уничтожение оборудования или носителей информации Местоположение в области, восприимчивой к затоплению Нестабильная мощность сети Наводнение Потеря источника питания Нехватка физической защиты здания, дверей и окон Воровство оборудования Изъяны формальной процедуры для пользовательской регистрации и де-регистрации Злоупотребление правом ... ... Методы оценки уязвимостей Автоматизированное сканирование уязвимостей;  тестирование безопасности;  тестирование проникновения;  пересмотр кода.  Использование сканеров уязвимостей Часть потенциальных уязвимостей, идентифицированных сканером, возможно, не представляет реальную уязвимость в контексте системной среды. Например, некоторые из сканеров оценивают потенциальную уязвимость, не рассматривая среду и требования.  Часть уязвимостей, обнаруженных сканером, возможно, фактически невозможна.  Таким образом, этот метод может произвести ошибочные допуски.  Тестирование и оценка безопасности Включает разработку и выполнение плана испытаний.  Цель системного тестирования безопасности состоит в том, чтобы проверить эффективность механизма обеспечения безопасности и гарантировать, что менеджмент использует одобренную спецификацию безопасности для прикладного программного обеспечения и оборудования и реализует политику безопасности организации или использует отраслевые стандарты.  Тестирование проникновения Может использоваться в дополнение к тестированию безопасности, чтобы оценить способность системы противостоять намеренным попыткам обойти системную безопасность.  Цель состоит в том, чтобы проверить систему с точки зрения источника угрозы и идентифицировать потенциальные отказы в схемах.  Пересмотр кода  Является самым полным (но также и самым дорогим) методом оценки уязвимости. Особенности использования инструментальных средств Чтобы использовать специфическую уязвимость, нужно знать детали функционирования системы. Если эти данные не известны во время тестирования, то это не позволит использовать специфическую уязвимость, но может дать возможность разрушения или перезапуска тестируемого процесса или системы.  В таком случае проверенный объект нужно также считать уязвимым.  Методологии оценки рисков Табличные методы.  Метод CRAMM.  Методика анализа рисков Microsoft.  Табличные методы В табличных методах можно наглядно отразить связь факторов негативного воздействия (показателей ресурсов) и вероятностей реализации угрозы с учетом показателей уязвимостей.  Подобные методы сводятся к нескольким несложным шагам.  Пример табличного метода На первом шаге оценивается негативное воздействие (показатель актива) по заранее определенной шкале (скажем, от 1 до 5) для каждого актива, которому угрожает опасность.  На втором - по той же шкале оценивается вероятность реализации каждой угрозы.  Пример табличного метода На третьем шаге вычисляется показатель риска. В простейшем варианте методики это делается путем умножения. Однако необходимо помнить, что операция умножения определена для количественных шкал. Должна быть разработана методика оценки показателей рисков применительно к конкретной организации.  На четвертом шаге угрозы ранжируются по значениям их фактора риска.  Метод CRAMM Метод CRAMM (ССТА Risk Analysis and Managment Method) разработан Службой безопасности Великобритании по заданию правительства и взят на вооружение в качестве государственного стандарта. Он используется с 1985 года организациями во всем мире. Фирма Insight Consulting Limited занимается разработкой и сопровождением одноименного программного продукта.  ССТА - Центральное агентство по компьютерам и телекоммуникациям.  Дополнительные возможности CRAMM проведение обследования информационной системы и выпуск сопроводительной документации на всех этапах его проведения;  проведение аудита в соответствии с требованиями Британского правительства, а также стандарта BS 7799:1995 - Code of Practice for Information Security Management BS7799 (одного из источников ISO 27002);  разработка политики безопасности и плана обеспечения непрерывности бизнеса.  Этапы CRAMM CRAMM предполагает разделение всей процедуры на три последовательных этапа.  Задачей первого этапа является определение достаточности для защиты системы применения средств базового уровня, реализующих основные функции безопасности, или необходимости проведения более детального анализа.  На втором этапе производится идентификация и оценка рисков.  На третьем этапе решается вопрос о выборе адекватных контрмер.  Методика CRAMM  Для каждого этапа определяет набор исходных данных, последовательность мероприятий, анкеты для проведения интервью, списки проверки и набор отчетных документов. Первый этап  Если по результатам проведения первого этапа установлен очень низкий уровень критичности активов и существующие риски заведомо не превысят некоторого базового уровня, то к системе предъявляется минимальный набор требований безопасности. В этом случае большая часть мероприятий второго этапа не выполняется, а осуществляется переход к третьему этапу, на котором генерируется стандартный список контрмер для обеспечения соответствия базовому набору требований. Второй этап  На втором этапе производится анализ угроз безопасности и уязвимостей. Исходные данные для оценки угроз и уязвимостей аудитор получает от уполномоченных представителей организации в ходе соответствующих интервью. Для проведения интервью используются специализированные опросники. Третий этап  На третьем этапе решается задача управления рисками, состоящая в выборе адекватных контрмер. Решение о внедрении в систему новых механизмов безопасности и модификации старых принимает руководство организации, учитывая связанные с этим расходы, их приемлемость и конечную выгоду для бизнеса. Задачей аудитора является обоснование рекомендуемых контрмер для руководства организации. Методика анализа рисков Microsoft Риск определяется как возможность понести убытки из-за нарушения безопасности сети изнутри или извне.  Управление рисками предприятия в сфере информационной безопасности требует выполнения четырех этапов.  Методика анализа рисков Microsoft 1. 2. 3. 4. Распознавание (идентификация) рисков. Определение размера риска. Разработка плана управления рисками. Текущий контроль и управление рисками. Идентификация рисков При ограниченном времени рекомендуется применять методики получения сведений от экспертов, в частности метод «мозгового штурма».  Для каждого выявленного риска требуется оценить его стоимость (то есть определить ущерб в том случае, если рассматриваемое нежелательное событие произошло) и вероятность возникновения риска.  Способы оценки рисков для каждой из угроз с использованием группы нападения имитируется атака на систему группой специалистов;  методом накопления идей - создается группа сотрудников и/или консультантов, которые обсуждают возможные риски и предлагают контрмеры;  путем применения формальных оценок угроз, методов управления рисками и интеграции защитных мер.  Этапы оценки рисков определение допустимого уровня рисков (то есть того уровня рисков, который приемлем);  оценка вероятности возникновения каждого риска;  присвоение стоимости каждому риску;  расстановка приоритетов.  Оценка рисков Для каждого риска вычисляется вероятность его возникновения и размер связанных с ним потерь.  Далее используется одна из разновидностей табличной оценки рисков - строится матрица следующего вида.  Табличная оценка риска Вероят ност ь Вы сокая Средняя Низкая Ст оимост ь Вы сокая Красная Желтая Синяя Средняя Красная Желтая Синяя Низкая Синяя Зеленая Зеленая Группы рисков высокий риск (красная область). Предполагается, что без снижения таких рисков обращение к информационной системе предприятия может оказать отрицательное влияние на бизнес;  существенный риск (желтая область). Здесь требуется эффективная стратегия управления рисками, которая позволит уменьшить или полностью исключить отрицательные последствия нападения;  Группы рисков умеренный риск (синяя область). В отношении рисков, попавших в эту область, достаточно применить основные процедуры управления рисками;  незначительный риск (зеленая область). Усилия по управлению рисками в данном случае не будут играть важной роли.  Приоритеты рисков На основании уровня допуска (уровня допустимых рисков), размера потенциальных потерь и вероятности их возникновения рискам назначаются приоритеты.  Они служат для того, чтобы определить те риски, которые в первую очередь надо предотвратить (рекомендуется создать список десяти основных рисков, которым в первую очередь уделяется внимание), после чего составляется план по управлению рисками.  Планирование управления рисками идентификация триггеров для каждого риска (триггер или пусковое событие -идентификатор риска, реализованного или ожидаемого в скором времени);  подготовка плана превентивных мероприятий, планов реагирования на непредвиденные ситуации и планов по уменьшению последствий каждого риска.  планирования управления рисками исследование;  принятие (можно ли принять данный риск?);  управление (можно ли сделать что-то, чтобы уменьшить риск?);  исключение (что можно сделать, чтобы предотвратить риск или блокировать его?). Исследование применяется по отношению к каждому риску, а остальные стадии могут комбинироваться.  Пример управления рисками Исследование системы показало, что на предприятии установлено потенциально уязвимое приложение, причем полностью отказаться от работы с ним в данный момент невозможно.  Далее данное приложение удалили на всех узлах, где это было допустимо, а на остальных оставили.  В отношении этого риска были выполнены следующие этапы: исследование, исключение (частичное), принятие (частичное). 