Основы информационной безопасности
20.7. Анализ и управление рисками при осуществлении политики ИБ
Одним из важнейших аспектов реализации политики ИБ является анализ угроз, оценка их достоверности и тяжести вероятных последствий. Риск появляется там, где есть угрозы. Суть деятельности по управлению рисками состоит в том, чтобы оценить их размер, выработать меры по уменьшению и создать механизм контроля того, что остаточные риски не выходят за приемлемые ограничения. Таким образом, управление рисками включает в себя два вида деятельности: оценку рисков и выбор эффективных и экономичных защитных и регулирующих механизмов.
Процесс управления рисками можно подразделить на следующие этапы:
- идентификация активов и ценности ресурсов, нуждающихся в защите;
- выбор анализируемых объектов и степени детальности их рассмотрения;
- анализ угроз и их последствий, определение слабостей в защите;
- классификация рисков, выбор методологии оценки рисков и проведение оценки;
- выбор, реализация и проверка защитных мер;
- оценка остаточного риска.
Политика ИБ включает разработку стратегии управления рисками разных классов. После проведения анализа угроз, их возможных последствий и идентификации риска возможно несколько подходов к управлению: уменьшение риска, уклонение от риска, изменение характера риска, принятие риска.
Многие риски могут быть существенно уменьшены путем использования весьма простых и недорогих контрмер. Например, грамотное управление паролями снижает риск несанкционированного доступа. От некоторых классов рисков можно уклониться - вынесение Web-сервера организации за пределы локальной сети позволяет избежать риска несанкционированного доступа в локальную сеть со стороны Web-клиентов. Если не удается уклониться от риска или эффективно его уменьшить, можно принять некоторые меры страховки. Примеры: оборудование может быть застраховано от пожара и стихийных бедствий, можно заключить договоры с поставщиками программно-аппаратных и телекоммуникационных средств на их техническое сопровождение и компенсацию ущерба, вызванного нештатными ситуациями из-за брака в поставленном оборудовании. Некоторые риски не могут быть уменьшены до малой величины, однако после реализации стандартного набора контрмер их можно принять, постоянно контролируя остаточную величину риска.
При идентификации активов и информационных ресурсов - тех ценностей, которые нужно защитить, - следует учитывать не только компоненты информационной системы, но и поддерживающую инфраструктуру, персонал, а также нематериальные ценности, в том числе текущий рейтинг и репутацию компании. Тем не менее одним из главных результатов процесса идентификации активов является получение детальной информационной структуры организации и способов ее использования.
Выбор анализируемых объектов и степень детальности их рассмотрения - следующий шаг в оценке рисков. Для небольшой организации допустимо рассматривать всю информационную инфраструктуру, для крупной - следует сосредоточиться на наиболее важных сервисах. Если важных сервисов много, то выбираются те из них, риски для которых заведомо велики или неизвестны. Если информационной основой организации является локальная сеть, то в число аппаратных объектов следует включить компьютеры, периферийные устройства, внешние интерфейсы, кабельное хозяйство и активное сетевое оборудование. К программным объектам следует отнести операционные системы (сетевая, серверные и клиентские), прикладное программное обеспечение, инструментальные средства, программы управления сетью и отдельными подсистемами. Важно зафиксировать, в каких узлах сети хранится программное обеспечение, где и как используется. Третьим видом информационных объектов являются данные, которые хранятся, обрабатываются и передаются по сети. Следует классифицировать данные по типам и степени конфиденциальности, выявить места их хранения и обработки, а также способы доступа к ним. Все это важно для оценки рисков и последствий нарушений информационной безопасности.
Краткий перечень наиболее распространенных угроз приводился выше (п. 20.1.2). Целесообразно выявлять не только сами угрозы, но и источники их возникновения - это поможет правильно оценить риск и выбрать соответствующие меры нейтрализации. Например, нелегальный вход в систему повышает риск подбора пароля или подключения к сети неавторизованного оборудования. Очевидно, что для противодействия каждому способу нелегального входа нужны свои механизмы безопасности. После идентификации угрозы необходимо оценить вероятность ее осуществления и размер потенциального ущерба. Оценивая тяжесть ущерба, необходимо иметь в виду не только непосредственные расходы на замену оборудования или восстановление информации, но и более отдаленные, в частности подрыв репутации компании, ослабление ее позиций на рынке и т. п.
Методология оценки рисков должна сочетать формальные метрики и реальные количественные показатели для оценки. С их помощью необходимо ответить на два вопроса: приемлемы ли существующие риски и если нет, то какие защитные средства экономически выгодно использовать. Значит, оценка должна быть количественной, допускающей сопоставление с заранее выбранными границами допустимости и расходами на реализацию новых механизмов безопасности.
Оценка рисков производится на основе накопленных исходных данных и оценки степени определенности угроз. Вполне допустимо применить такой простой метод, как умножение вероятности осуществления угрозы на величину предполагаемого ущерба. Если для вероятности осуществления угрозы и величины предполагаемого ущерба использовать трехбалльную шкалу, то возможных произведений будет шесть: 1, 2, 3, 4, 6 и 9. Первые два результата можно отнести к низкому риску, третий и четвертый - к среднему, два последних - к высокому. По этой шкале можно оценивать приемлемость рисков.
Если какие-либо риски оказались недопустимо высокими, необходимо реализовать дополнительные защитные меры. Для ликвидации или уменьшения слабости, сделавшей опасную угрозу реальной, можно применять несколько механизмов безопасности, отличающихся эффективностью и невысокой стоимостью. Например, если велика вероятность нелегального входа в систему, можно ввести длинные пароли, задействовать программу генерации паролей или закупить интегрированную систему аутентификации на основе интеллектуальных карт. Если имеется вероятность умышленного повреждения сервера баз данных, что грозит серьезными последствиями, можно ограничить физический доступ персонала в серверные помещения и усилить их охрану.
Оценка стоимости защитных мер должна учитывать не только прямые расходы на закупку оборудования и (или) программного обеспечения, но и расходы на внедрение новинки, обучение и переподготовку персонала. Эту стоимость также можно выразить по трехбалльной шкале и затем сопоставить ее с разностью между вычисленным и приемлемым риском. Если по этому показателю новое средство оказывается экономически выгодным, его можно принять к дальнейшему рассмотрению. Однако если средство окажется дорогим, его не следует сразу отбрасывать, так как часто более высокая цена соответствует большему набору функциональностей - а это может оказаться очень полезным в дальнейшем при развитии системы ИБ. В таком случае можно провести тендер среди поставщиков для выбора приемлемого варианта.
Контроль остаточных рисков в обязательном порядке включается в текущий контроль системы ИБ. Когда намеченные меры приняты, необходимо проверить их действенность - убедиться, что остаточные риски стали приемлемыми. В случае систематического повышения остаточных рисков необходимо проанализировать допущенные ошибки и немедленно принять корректирующие меры.
Управление рисками является многоступенчатым итерационным процессом. Практически все его этапы связаны между собой, и по завершении почти любого из них может выявиться необходимость возврата к предыдущему. Так, при идентификации активов может возникнуть понимание, что выбранные границы анализа следует расширить, а степень детализации - увеличить. Особенно труден первичный анализ, когда многократные возвраты к началу неизбежны. Управление рисками - типичная оптимизационная задача, принципиальная трудность, однако, состоит в трудности ее грамотной постановки на уровне высшего менеджмента и описания исходных данных.
Понятия "оценка рисков" (Risk Assessment) и "управление рисками" (Risk Management) появились сравнительно недавно, но эти дисциплины стали неотъемлемой составляющей деятельности в области обеспечения непрерывности бизнеса (Business Continuity) и информационной безопасности (Information Security). Подготовлено и активно используются более десятка различных стандартов и спецификаций, детально регламентирующих процедуры управления информационными рисками, среди которых наибольшую известность приобрели международные спецификации и стандарты ISO 15408: 1999 ("Common Criteria for Information Technology Security Evaluation"), ISO 17799:2002 ("Code of Practice for Information Security Management"), SCIP, NIST, SAS 78/94, COBIT и др.
При выполнении полного анализа рисков приходится решать ряд сложных проблем - как определить ценность ресурсов, как составить полный список угроз ИБ и оценить их параметры, как правильно выбрать контрмеры и оценить их эффективность и приемлемые расходы и т. д. Для их решения существуют специально разработанные инструментальные средства, построенные с использованием структурных методов системного анализа и проектирования (SADТ - Structure Analysis and Design Technique). На практике такие методики управления рисками позволяют:
- создавать модели информационных активов компании с точки зрения безопасности;
- классифицировать и оценивать ценности активов;
- составлять списки наиболее значимых угроз и уязвимостей безопасности;
- ранжировать угрозы и уязвимости безопасности;
- обосновывать средства и меры контроля рисков;
- оценивать эффективность/стоимость различных вариантов защиты;
- формализовать и автоматизировать процедуры оценивания и управления рисками.
Применение соответствующих программных средств позволяет уменьшить трудоемкость проведения анализа рисков и выбора контрмер. В настоящее время разработано более десятка программных продуктов для анализа и управления рисками базового уровня безопасности. Примером такого достаточно простого средства является программный пакет BSS (Baseline Security Survey, UK). Программные продукты более высокого класса: CRAMM (компания Insight Consulting Limited, UK), RiskWatch, COBRA, Buddy System. Наиболее популярный из них - CRAMM (Complex Risk Analysis and Managment Method), реализующий метод анализа и контроля рисков. Метод и продукт разработаны по заказу Центрального агентства по компьютерам и телекоммуникациям (CCTA - Central Computer and Telecommunication Agency) Великобритании. Существенным достоинством метода является возможность проведения детального исследования в сжатые сроки с полным документированием результатов.
В основе метода CRAMM лежит комплексный подход к оценке рисков, сочетающий количественные и качественные методы анализа. Метод является универсальным и подходит как для больших, так и для мелких организаций, как правительственного, так и коммерческого сектора. Версии программного обеспечения CRAMM, ориентированные на разные типы организаций, отличаются друг от друга своими базами знаний (Profiles). Для коммерческих организаций имеется Коммерческий профиль (Commercial Profile), для правительственных организаций - Правительственный (Government Profile). Правительственный вариант профиля, также позволяет проводить аудит на соответствие требованиям американского стандарта TCSEC ("Оранжевая книга"). Судя по числу ссылок в Internet, этот метод является, одним из самых распространенных методов анализа и контроля рисков. На рис. 20.7-1 для примера приведен вид панели, с помощью которой производится оценка ценности ресурсов, подлежащих защите.