Санкт-Петербургский государственный политехнический университет
Опубликован: 03.08.2009 | Доступ: свободный | Студентов: 5103 / 1287 | Оценка: 4.46 / 4.13 | Длительность: 11:32:00
Лекция 4:

Методики и программные продукты для оценки рисков

Методика OCTAVE

OCTAVE (Operationally Critical Threat, Asset, and Vulnerability Evaluation) - методика поведения оценки рисков в организации, разрабатываемая институтом Software Engineering Institute (SEI) при университете Карнеги Меллон (Carnegie Mellon University). Полное описание методики доступно в Интернет на сайте http://www.cert.org/octave. Ей также посвящено много научных и научно-технических статей [14, 15].

Особенность данной методики заключается в том, что весь процесс анализа производится силами сотрудников организации, без привлечения внешних консультантов. Для этого создается смешанная группа, включающая как технических специалистов, так и руководителей разного уровня, что позволяет всесторонне оценить последствия для бизнеса возможных инцидентов в области безопасности и разработать контрмеры.

OCTAVE предполагает три фазы анализа:

  1. разработка профиля угроз, связанных с активом;
  2. идентификация инфраструктурных уязвимостей;
  3. разработка стратегии и планов безопасности.

Профиль угрозы включает в себя указания на актив (asset), тип доступа к активу (access), источник угрозы (actor), тип нарушения или мотив (motive), результат (outcome) и ссылки на описания угрозы в общедоступных каталогах. По типу источника, угрозы в OCTAVE делятся на:

  1. угрозы, исходящие от человека-нарушителя, действующего через сеть передачи данных;
  2. угрозы, исходящие от человека-нарушителя, использующего физический доступ;
  3. угрозы, связанные со сбоями в работе системы;
  4. прочие.

Результат может быть раскрытие (disclosure), изменение (modification), потеря или разрушение (loss/destruction) информационного ресурса или разрыв подключения. Отказ в обслуживании (interruption).

Методика OCTAVE предлагает при описании профиля использовать "деревья вариантов", пример подобного дерева для угроз класса 1) приведен на рис. 4.5. При создании профиля угроз рекомендуется избегать обилия технических деталей - это задача второго этапа исследования. Главная задача первой стадии - стандартизованным образом описать сочетание угрозы и ресурса.

Предположим, что на предприятии имеется информационный ресурс (актив) - база данных (БД) отдела кадров (HR Database). Профиль, соответствующий угрозе кражи информации сотрудником предприятия представлен в таблице 4.3.

Таблица 4.3. Пример профиля угрозы.
Ресурс (Asset) БД отдела кадров (HR Database)
Тип доступа (Access) Через сеть передачи данных (Network)
Источник угрозы (Actor) Внутренний (Inside)
Тип нарушения (Motive) Преднамеренное (Deliberate)
Уязвимость (Vulnerability) -
Результат (Outcome) Раскрытие данных (Disclosure)
Ссылка на каталог уязвимостей (Catalog reference) -
Дерево вариантов, использующееся при описании профиля

увеличить изображение
Рис. 4.5. Дерево вариантов, использующееся при описании профиля

Вторая фаза исследования системы в соответствии с методикой - идентификация инфраструктурных уязвимостей. В ходе этой фазы определяется инфраструктура, поддерживающая существование выделенного ранее актива (например, если это БД отдела кадров, то нам для работы с ней нужен сервер, на котором база размещена, рабочая станция служащего отдела кадров и т.д.) и то окружение, которое может позволить получить к ней доступ (например, соответствующий сегмент локальной сети). Рассматриваются компоненты следующих классов: серверы; сетевое оборудование; СЗИ; персональные компьютеры; домашние персональные компьютеры "надомных" пользователей, работающих удаленно, но имеющих доступ в сеть организации; мобильные компьютеры; системы хранения; беспроводные устройства; прочее.

Группа, проводящая анализ для каждого сегмента сети, отмечает, какие компоненты в нем проверяются на наличие уязвимостей. Уязвимости проверяются сканерами безопасности уровня операционной системы, сетевыми сканерами безопасности, специализированными сканерами (для конкретных web-серверов, СУБД и проч.), с помощью списков уязвимостей (checklists), тестовых скриптов.

Для каждого компонента определяется:

  • список уязвимостей, которые надо устранить немедленно (high-severity vulnerabilities);
  • список уязвимостей, которые надо устранить в ближайшее время (middle-severity vulnerabilities);
  • список уязвимостей, в отношении которых не требуется немедленных действий (low-severity vulnerabilities).

По результатам стадии готовится отчет, в котором указывается, какие уязвимости обнаружены, какое влияние они могут оказать на выделенные ранее активы, какие меры надо предпринять для устранения уязвимостей.

Разработка стратегии и планов безопасности - третья стадия исследования системы. Она начинается с оценки рисков, которая проводится на базе отчетов по двум предыдущим этапам. В OCTAVE при оценке риска дается только оценка ожидаемого ущерба, без оценки вероятности. Шкала: высокий (high), средний (middle), низкий (low). Оценивается финансовый ущерб, ущерб репутации компании, жизни и здоровью клиентов и сотрудников, ущерб, который может вызвать судебное преследование в результате того или иного инцидента. Описываются значения, соответствующие каждой градации шкалы (например, для малого предприятия финансовый ущерб в $10000 - высокий, для более крупного - средний).

Далее, разрабатывают планы снижения рисков нескольких типов:

  • долговременные;
  • на среднюю перспективу;
  • списки задач на ближайшее время.

Для определения мер противодействия угрозам в методике предлагаются каталоги средств.

Хотелось бы еще раз подчеркнуть, что в отличие от прочих методик, OCTAVE не предполагает привлечения для исследования безопасности ИС сторонних экспертов, а вся документация по OCTAVE общедоступна и бесплатна, что делает методику особенно привлекательной для предприятий с жестко ограниченным бюджетом, выделяемым на цели обеспечения ИБ.

Роман Попов
Роман Попов

После прохождения курса Стандарты инфрмационной безопасности мне предложено получение Удостоверения о повышении квалификации от НИУ ВШЭ по программе Менеджмент информационной безопасности. Программа включает в себя ряд курсов которые я уже ранее проходил. Какой порядок действий в данном случае? Как прозводится перезачет результатов? И какие экщамены мне надо еще доздать чтобы получить удостоверение?

Татьяна Гусельникова
Татьяна Гусельникова