УДК 004.056
И. М. Космачева, И. В. Сибикина, Л. В. Галимова
АЛГОРИТМ ОЦЕНКИ РИСКА НАРУШЕНИЯ ИНФОРМАЦИОННЫХ СЕРВИСОВ В ОРГАНИЗАЦИИ
Описан процесс оценки вероятности реализации рисков информационной безопасности как последовательность ряда этапов. Выделены основные проблемы, связанные со сбором и анализом входной информации. Проанализированы недостатки существующих программных средств по оценке уровня риска нарушения информационных сервисов. Разработан алгоритм, на основе которого решается задача по выделению факторов, связанных с вероятностью реализации угроз. При использовании данного алгоритма появится возможность прогнозировать потери и выявлять наиболее слабые места в системе защиты информации, организовывать действия аудиторов, определять оптимальный состав, последовательность, стоимость и обоснованность работ аудиторов. Алгоритм описывает особенности получения и представления информации экспертам во время анкетирования. Разработаны рекомендации по упорядочению и оптимизации процесса проведения аудита информационной безопасности. Показана необходимость анализа информации, полученной от специалистов, учёта её достоверности и возможности возникновения конфликта интересов. На основе этой информации проводится аналитическая обработка данных о системе и ранжирование угроз доступности информационных сервисов в организации.
Ключевые слова: оценка рисков, информационная безопасность, информационные сервисы.
Введение
Информационная безопасность (ИБ) является одним из важнейших аспектов общей экономической безопасности деятельности современной организации. Хотя последствия от информационных угроз, связанных, например, с утечкой данных, не являются основными проблемами для многих организаций, все же возрастающие темпы информатизации и объемы обрабатываемой информации приводят к увеличению зависимости бизнеса от доступности информационных сервисов (ИС). Последствия сбоев ИС опасны как в плане затрат, так и в плане потери производительности и нанесения ущерба репутации организации. Когда речь заходит об информационной защищенности организации, простого соответствия стандартам и нормам недостаточно. Общий недостаток методик и стандартов в области менеджмента рисков - неполные, быстро устаревающие списки угроз, уязвимостей и средств защиты, тавтология в формулировках, что приводит к двойственной интерпретации понятий и формальности процесса оценки рисков. Сам процесс оценки состояния защищенности ИС и информационных рисков является трудоемким и дорогостоящим.
Проведем аналогию между процессами оценки риска ИБ, оценки состояния защищенности информационной системы и процессами диагностирования заболевания у пациента или прогнозирования дальнейшего изменения его состояния.
Для последнего процесса необходимо тщательное обследование, опрос заинтересованных и обладающих информацией лиц, анализ полученной информации, учет достоверности входной информации и степени ее важности для принятия правильного решения. Существует риск назначения ненужных исследований (проверок) или пропуска важной информации, риск ошибок в выводах на основе неверных данных.
При опросе сотрудники могут быть заинтересованы как в сокрытии информации, так и в ее преукрашивании. Аудиторы также могут быть заинтересованы в искажении информации с целью экономической выгоды. Таким образом, необходимо учесть достоверность полученной от специалистов информации и возможность возникновения конфликта интересов участников при оценке рисков ИБ.
Диагностический процесс, к которому относится оценка состояния ИБ, следует строить с помощью систем поддержки принятия решений, как некую динамическую процедуру, которая начинается с проведения простых исследований. Затем на основании полученных данных проводится первичная оценка. Если окажется, что этих данных достаточно, то делается оконча-
тельный вывод, если же данных недостаточно, то система указывает, какое следующее исследование (проверку) нужно провести, чтобы в данной конкретной ситуации получить максимальную информацию и т. д. Такая система должна осуществлять управление сбором информации.
В идеале часть входных данных о системе должна формироваться автоматически с различных сканеров и систем мониторинга без использования человека и анализироваться в облачной среде, что позволит повысить скорость обнаружения угроз.
Программное обеспечение (ПО) в области оценки уровня риска ИБ [1-2] имеет свои недостатки:
1. Неполная совместимость с международными или национальными стандартами, узкая направленность (банковская сфера и др.).
2. Высокая стоимость импортного ПО по анализу рисков (2-10 тыс. долл. США), иногда отсутствие русскоязычного интерфейса.
3. Громоздкость отчетов и сложность их интерпретации у программ опросного типа, избыточность и дублирование вопросов в анкетах, отсутствие возможности учета в итоговых выводах степени достоверности полученных ответов в анкетировании специалистов, отсутствие функции интеграции с дополнительным ПО, собирающим входную информацию для анализа состояния защищенности.
4. Высокая стоимость услуг аудиторов ввиду сложности процесса сбора информации для анализа.
Анализ рисков ИБ изначально проводился аудиторскими фирмами в течение довольно продолжительного времени. Анализ производился на базе контрольных списков (вопросов, требований), которые необходимо было пересматривать, т. к. они устаревали или являлись избыточными (неполными) для некоторых организаций. Другие логические модели оценки риска базировались на том, что риск зависит от стоимости активов, угроз и уязвимостей.
Стандарты и технические регламенты определяют связь между характеристиками системы, задают допустимые значения показателей, а также формируют шаблоны удовлетворительного состояния системы (человеческой, технической, организационной).
Менеджмент риска ИБ обеспечивается стандартами и методиками [3-4]. При оценке рисков используются каталоги типичных угроз, уязвимостей и контрмер.
Этапы оценки рисков
Сбор статистики по вероятностям реализации угроз в классическом виде затруднен. На реализацию угроз влияет множество факторов (событий), которые также имеют свою вероятность. Их трудно оценить или отделить от вероятности срабатывания других факторов, т. к. они зависимы. Это затрудняет применение классических методов теории вероятности, поэтому сбор и обработка данных невозможна без экспертных методов.
Алгоритм работы оценки рисков ИБ состоит из следующих этапов:
1. Идентификация информационных активов, оценка их значимости. Необходимо выбрать имеющиеся активы и для каждого определить их значимость как степень тяжести потерь от нарушения сервисов безопасности.
2. Идентификация объектов среды (сети, узлов, приложений, данных, физической защиты, политики, процедуры).
3. Определение некоторых условий функционирования ИС (предпосылок, способствующих реализации угроз), идентификация источников угроз путем проведения анкетирования.
4. Определение применяемых мер защиты.
5. Обработка входных данных для определения степени вероятности реализации угроз.
6. Определение уровня риска в соответствии с результатами оценки степени тяжести потерь и оценки вероятности угрозы.
7. Выделение рисков, превышающих предельно допустимый уровень, и примение дополнительных мер для повышения ИБ.
Общие этапы алгоритма приведены на рис. 1.
Требования федерального
Правила внутреннего расп
инвентаризации сети
^шшшщщ
Сотрудники организации
Список ^потенциальных нарушителей
Список мер по улучшению состояния ИБ
Рис. 1. Диаграмма потоков данных
Рассмотрим фрагмент общего алгоритма оценки уровня риска, классификации и ранжирования угроз на примере задачи определения условий функционирования ИС, предпосылок, способствующих реализации угроз, сбора и обработки входных данных для определения степени вероятности реализации угроз.
Сбор входных данных
Для сбора входной информации о системе активно используются различные программные и технические средства: снифферы, автоматическая инвентаризация ПО, автоматизированные системы контроля физической безопасности и т. д. Затем полученные данные поступают в общую базу и анализируются с учетом заранее определенных правил и зависимостей между событиями в системе.
Но не все поступающие данные анализа и оценки риска можно получить в автоматическом режиме (данные о квалификации персонала, наличии пункта в трудовом договоре об ответственности за разглашение информаци или халатность и т.д.).
Поэтому активно используется метод анкетирования персонала и руководства. Вопросы анкеты затрагивают различные области функционирования организации. Рекомендуется анкетировать руководителей подразделений (в частности, кадровый, сетевой отдел, отдел разработки и эксплуатации автоматизированных систем, службы безопасности и т. д.). Полученные ответы влияют на итоговую оценку, поэтому для максимальной объективности и точности результатов рекомендуется применять меры дисциплинарной ответственности. Например, в случае выявления несоответствий в предоставленной информации к сотруднику применяется система штрафов. При анкетировании необходимо учитывать степень доверия к эксперту путем введения коэффициента информированности.
Анализ данных
Разработан алгоритм, на основе которого решается задача по выделению факторов, связанных с вероятностью реализации угроз.
Физической реализацией профиля угроз является база данных (БД), примерный фрагмент ER-диаграммы которой представлен на рис. 2.
Правила вида «Если есть нечто одно, то следует предполагать, что имеется нечто другое» или «Если отсутствует нечто одно, то следует предполагать, что отсутствует нечто другое» используются в логических рассуждениях экспертов по анализу и оценке рисков ИБ. Например, «Отсутствие функции голосового ввода данных или функции воспроизведения защищаемой информации акустическими средствами» исключает «Утечку речевой информации» и т. д.
Рис. 2. Профиль угроз
Данные правила могут быть описаны в виде бинарных матриц несовместности событий
А ||, где строки и столбцы матицы ассоциируются с различными фактами, утверждениями,
а значения описывают наличие или отсутствие связи между ними. Анализ этих матриц может оптимизировать процесс опроса экспертов. На рис. 3 представлена блок-схема алгоритма для оценки рисков в информационной системе. Используются обозначения - вероятность Р(Т) опасности реализации угрозы Тр ^тах - суммарный балл, набранный за ответ на 7-й вопрос анкеты ( при этом вопросы могут быть построены так, что существует несколько вариантов ответов), V шт - максимально возможное количество баллов, ассоциированное с 7 -м вопросом анкеты.
Во время анкетирования балл изменяется в пользу актуальности или неактуальности угрозы в зависимости от выбранного ответа на вопрос, его ценности, важности. Важность вопроса в дальнейшем также может пересчитываться на основе выставленных оценок самому вопросу при многократном анкетировании специалистов, участвующих в процедуре оценки рисков. Их агрегированный опыт отражается в БД готовых решений, в результатах анкетирования и вынесении оценок. Также рекомендуется накапливать информацию в БД о последовательностях и наборах представленных вопросов экспертам для ранжирования и классификации угроз.
По результатам нескольких экспертиз рекомендуется провести оценку согласованности (дисперсия, коэффициент вариации, мода), а уже затем принять решение об актуальности или ценности вопроса.
Отметим, что для задач управления рисками актуальны методы интеллектуального анализа данных [5-7]. Одни из наиболее широко используемых технологий - методы распознавания образов, классификация, кластерный анализ (^-ближайшего соседа).
Они могут дополнить представленный алгоритм для дальнейшего выявления уровня угроз и наиболее слабых мест в защите.
Рис. 3. Блок-схема алгоритма для оценки рисков в информационной системе
Заключение
Не все сотрудники, участвующие в обеспечение безопасной работы информационной системы, обладают специальными знаниями в каждой зоне деятельности. Разработка автоматизированных систем по оценке рисков очень актуальна в плане экономии времени и средств на проведение аудита безопасности, обеспечения прозрачности действий экспертов. Представлен алгоритм, на основе которого решается задача по выделению факторов, связанных с вероятностью реализации угроз. При использовании данного алгоритма появится возможность прогнозировать потери и выявлять наиболее слабые места в системе защиты информации, организовывать действия аудиторов, определять оптимальный состав, последовательность, стоимость и обоснованность работ аудиторов.
СПИСОК ЛИТЕРАТУРЫ
1. Петренко С. А. Управление информационными рисками. Экономически оправданная безопасность / С. А. Петренко, С. В. Симонов. М.: ДМК Пресс, 2004. 384 с.
2. Астахов А. М. Искусство управления информационными рисками / А. М. Астахов. М.: Изд-во ДМК Пресс, 2010. 312 с.
3. ГОСТ Р ИСО/МЭК 27005-2010. Информационные технологии. Методы защиты. Менеджмент рисков информационной безопасности // URL: http://docs.cntd.ru/document/1200084141.
4. URL: http://docs.cntd.ru/document/499099589.
5. Кудрявцева Р. Т. Управление информационными рисками с использованием технологий когнитивного моделирования: автореф. дис. ... канд. техн. наук / Р. Т. Кудрявцева. Уфа, 2008. 17 c.
6. Кустов Г. А. Управление информационными рисками организации на основе логико-вероятностного метода: автореф. дис. ... канд. тех. наук / Г. А. Кустов. Уфа, 2008. 18 c.
7. Симонов С. В. Технологии и инструментарий для управления рисками / С. В. Симонов // Jet Info. 2003. № 2 (117). С. 3-32.
Статья поступила в редакцию 03.03.2015
ИНФОРМАЦИЯ ОБ АВТОРАХ
Космачева Ирина Михайловна - Россия, 414056, Астрахань; Астраханский государственный технический университет; канд. техн. наук, доцент; доцент кафедры «Информационная безопасность»; [email protected].
Сибикина Ирина Вячеславовна - Россия, 414056, Астрахань; Астраханский государственный технический университет; канд. техн. наук; доцент кафедры «Информационная безопасность»; [email protected].
Галимова Лариса Васильевна - Россия, 414056, Астрахань; Астраханский государственный технический университет; д-р техн. наук, профессор; профессор кафедры «Холодильные машины»; [email protected].
I. M. Kosmacheva, I. V. Sibikina, L. V. Galimova
ALGORITHM OF RISK ASSESSMENT OF PERTURBATION OF INFORMATION SERVICES IN AN ORGANIZATION
Abstract. The process of assessing the information security risks is described as a sequence of the stages. A number of the issues associated with the collection and analysis of input information is identified. The shortcomings of the existing software tools for assessment of the level of information services perturbation. The paper presents an algorithm for estimating the level of information services perturbation, which allows us to solve the problem of allocation of the factors associated with the likelihood of threats. While using this algorithm, the prediction of future losses, determination of
the weak spots in the system of information protection, the ordering of the actions of the auditors and the determination of the optimal composition, consistency, cost, and feasibility, of the work of the auditors will become possible. The algorithm describes the features of the pre-reporting to the experts in the survey. The best practices for organizing and optimizing the process of auditing of information security are developed. The necessity of demonstration of the analytical information received from the specialists, taking into account in its authenticity and the risk of conflict between the interests, is shown. Based on the obtained data, the analytical data processing of the system and ranking of threats to the availability of information services within the organization is made.
Key words: risk assessment, information security, information services.
REFERENCES
1. Petrenko S. A., Simonov S. V. Upravlenie informatsionnymi riskami. Ekonomicheski opravdannaia be-zopasnost' [Control of information risks. Economically justified security]. Moscow, DMK Press Publ., 2004. 384 p.
2. Astakhov A. M. Iskusstvo upravleniia informatsionnymi riskami [Technique of control of information risks]. Moscow, Izd-vo DMK Press, 2010. 312 p.
3. GOSTR ISO/MEK 27005-2010. Informatsionnye tekhnologii. Metody zashchity. Menedzhment riskov in-formatsionnoi bezopasnosti. [Information technologies. Methods of protection. Control of risks of information security]. Available at: http://docs.cntd.ru/document/1200084141.
4. Available at: http://docs.cntd.ru/document/499099589.
5. Kudriavtseva R. T. Upravlenie informatsionnymi riskami s ispol'zovaniem tekhnologii kognitivnogo modelirovaniia. Avtoreferat dis. kand. tekhn. nauk [Control of information risks using methods of cognitive modeling. Abstract of dis. cand. tech. sci.]. Ufa, 2008. 17 p.
6. Kustov G. A. Upravlenie informatsionnymi riskami organizatsii na osnove logiko-veroiatnostnogo metoda. Avtoreferat dis. kand. tekh. nauk [Control of information risks of the organization based on the logic probabilistic method. Abstract of dis. cand. tech. sci.]. Ufa, 2008. 18 p.
7. Simonov S. V. Tekhnologii i instrumentarii dlia upravleniia riskami [Technologies and tools to control risks]. Jet Info, 2003, no. 2 (117), pp. 3-32.
The article submitted to the editors 03.03.2015
INFORMATION ABOUT THE AUTHORS
Kosmacheva Irina Mikhalovna — Russia, 414056, Astrakhan; Astrakhan State Technical University; Candidate of Technical Sciences, Assistant Professor; Assistant Professor of the Department "Information Security"; [email protected].
Sibikina Irina Vyacheslavovna — Russia, 414056, Astrakhan; Astrakhan State Technical University; Candidate of Technical Sciences; Assistant Professor of the Department "Information Security"; [email protected].
Galimova Larisa Vasilievna — Russia, 414056, Astrakhan; Astrakhan State Technical University; Doctor of Technical Sciences, Professor; Professor of the Department "Refrigerating Machines"; [email protected].