АНАЛИЗ И ОЦЕНКА УЯЗВИМОСТИ ИНФОРМАЦИИ В КРЕДИТНЫХ
ОРГАНИЗАЦИЯХ
А.С. Бондаренко, магистрант П.К. Ярыгин, магистрант М.А. Турилов, магистрант
Национальный исследовательский ядерный университет «МИФИ» (НИЯУ МИФИ) (Россия, г. Москва)
DOI: 10.24411/2500-1000-2019-11336
Аннотация. В данной статье проводится обзор существующих методик анализа уязвимости информации в организации. На основе существующих решений составляется методика для оценки рисков информационной безопасности в кредитных организациях. Согласно составленной методике описывается процесс оценки и анализа информационной безопасности банка. На основе полученных результатов приводится перечень мер по снижению рисков информационной безопасности кредитной организации.
Ключевые слова: информационная безопасность, актуальные угрозы, оценка рисков, уязвимость, защита информации.
На данный момент проблеме, связанной с анализом рисков информационной безопасности отводится большое внимание. Причины следующие. Во-первых, это непрекращающийся рост различных технологий, которыми пользуются современные компании. Во-вторых, повышается ценность информации, которая появляется и используется во время работы организации.
Среди различных видов организаций следует выделить особое место банковской сфере. Причиной этому является то, что информация, которая генерируется и обрабатывается в этой сфере, имеет особую ценность. Эта ценность достигается за счет того, что огромный пласт всех данных, которыми оперируют кредитные организации - это персональные данные клиентов. Если не обеспечить достойную защиту персональных данных возникает риск возможного доступа злоумышленников к финансовым ресурсам клиента. Помимо риска, связанного с уязвимостью денежных средств, существует банковская тайна [1]. Основная суть этого понятия состоит в том, чтобы не разглашать сведения о счетах и вкладах своих клиентов, а также сведения о банковских операциях по счетам и сделках в интересах клиентов, разглашение которых может разрушить право последних на неприкосновенность частной
жизни (ФЗ «О банках и банковской деятельности») [2].
Несмотря на важность и ценность данных, которыми оперируют кредитные организации, на данный момент не существует стандартизированной методики для анализа уязвимости информации, оценки рисков, которая была бы обязательной к использованию всеми банками РФ [3].
Существующие методики анализа и оценки рисков информационной безопасности
CCTA Risk Analysis and Management Method (CRAMM). Эту методику можно считать одной из первых на рынке анализа уязвимостей. В ее основе заложены процедуры определения как качественного анализа рисков, так и количественного. В данной методике имеется два способа проведения оценки анализа рисков. Это обеспечение базового уровня информационной безопасности и полный анализ рисков. В зависимости от того, какая задача стоит, определяется способ оценки рисков ИБ.
Facilitated Risk Analysis Process (FRAP) представляет собой методику для качественной оценки рисков. Поиск и анализ уязвимостей, согласно методике FRAP, состоит из пяти этапов.
1. На первом шаге с помощью технической документации, различного анализа
сетей определяется список активов, которые являются наиболее уязвимыми.
2. На втором шаге происходит идентификация угроз.
3. На третьем этапе, когда уже определен перечень потенциальных угроз, необходимо провести анализ для каждого риска. Под анализом имеется ввиду частота возникновения риска, а также масштаб ущерба, который понесет организация в случае реализации этого риска. Таким образом вероятность возникновения угрозы может принимать значения: High Probability, Medium Probability, Low Probability. Ущерб принимает значения: High Impact, Medium Impact, Low Impact. На основе этих параметров, задается матрица определения уровня риска [5].
Risk Advisor - ПО, представленное компанией MethodWare. Данная методика состоит из пяти этапов.
1. Описание контекста. Первым делом нужно описать общее взаимодействие, как внутреннее, так и внешнее, организации. Необходимо описать это взаимодействие с различных сторон. Основными параметрами, которые необходимо учитывать для построения модели, являются стратегические, организационные, бизнес цели.
3. Описание рисков. Для стандартизации процедуры принятия решений, которые связаны с рисками, нужно стандартизировать информацию, которая по ним имеется. Во многих моделях, которые уже были рассмотрены в работе, используется матрица рисков. В данной модели применяется схожая матрица, однако, в ней также учитывается связь каждого элемента системы с другими составляющими.
4. Описание угроз. Составляется список угроз, после чего происходит классификация согласно качественной шкале. После чего происходит сопоставление угрозы с риском ее реализации.
5. Оценка ущерба. На этом этапе происходит описание событий, которые связаны с различными возможными инцидентами в ИБ. После чего происходит оценка рисков и оценка ущерба, который вызвали эти события.
6. Анализ проделанной работы. Это завершающий этап методики, на котором
формируется детализированный отчет, составляется граф рисков [6].
RiskWatch - решение, представленное американской кампанией RiskWatch. В методике реализовано четыре этапа:
1. Подготовительный этап. На первом шаге происходит определение предмета исследования.
2. Детальное описание. На втором шаге происходит детальное описание всех составляющих системы. Под детальным описанием понимается определение ресурсов, типов угроз, потерь при реализации тех или иных рисков
3. Количественная оценка рисков. Для количественной оценки необходимо сопоставить угрозы и уязвимости с возможными потерями. Для каждого риска необходимо рассчитать математическое ожидание потерь за год.
4. Составление отчетности. Это заключительный этап, на котором происходит сбор информации, полученной на первом, втором и третьем шаге. Генерируются отчеты, в которых указаны защищаемые ресурсы, возможные угрозы, а также ожидаемые убытки, в случае реализации этих угроз [7].
ГРИФ представляет собой средство для комплексного анализа уязвимостей и выявления рисков. Данное программное обеспечение разработано компанией Digital Security. В основе данной методики лежит два различных приема, позволяющих оценивать риски ИБ: «модель угроз и уязвимостей» и «модель информационных потоков».
Как и все методики, посвященные анализу уязвимостей и оценке риска ИБ, программный комплекс ГРИФ имеет несколько этапов. На начальном этапе происходит подробное описание информационной системы. Определяются элементы системы, которые оперируют ценной информацией, а также защитные средства и группы пользователей с различными правами доступа. Собрав всю необходимую информацию, можно построить подробную архитектурную модель ИС компании. На основе этой модели уже можно проводить анализ уязвимости информации и составлять оценку рисков [8].
Анализ уязвимостей и оценка рисков информационной безопасности кредитной организации
Для определения оценки рисков информационной безопасности будут использованы такие методики, как Швк^^сИ, СЯЛММ и ГРИФ.
Комплексный анализ и оценка рисков даже небольшой части информационной системы банка - это крайне сложная и ответственная задача. В данной работе будет проведена качественная и количественная оценка риска от реализации двух угроз, связанных с получением доступа к ресурсу. При расчете будем использовать метод анализа угроз и уяз-вимостей.
Таблица 1. Главные ресурсы организации
Класс ресурса Ресурс Информация Критичность ресурса, Б
Аппаратный Рабочая станция Финансовая отчетность Эс = 10
Конфиденциальная информация о работе отдела
Ба = 2
Персональные данные клиентов
Б) = 5
Инф. о счетах
Инф. о транзакциях
Корпоративная электронная почта
Программный SAS Enterprise Guide Персональные данные клиентов Эс = 10
Эа = 3
Инф. о счетах Б) = 4
Инф. о транзакциях
Lotus Notes Корпоративная электронная почта Эс = 10
Эа = 7
Э! = 4
MyClient Персональные данные клиентов Эс = 10
Эа = 9
Финансовая отчетность Э) = 7
Далее составим перечень угроз и уязвимостей, через которые могут быть реализованы данные угрозы (табл. 2).
Первый этап - подготовительный. Определяем критерии принятия риска. Риск является допустимым, если на этапе качественной оценки риска ему будет присвоена оценка 1 или 2 по шкале от 1 до 7.
Определяем границы исследуемой системы. В связи с тем, что мы ограничены в информации обо всей ИС банка, рассмотрим в качестве исследуемой системы рабочее место сотрудника.
Второй этап - более подробное описание исследуемой системы. В силу того, что мы рассматривает исследуемую ИС с позиции рабочего места сотрудника, выделим самые значительные ресурсы и наиболее ценную информацию в них.
Таблица 2. Уязвимости ресурса «Рабочая станция»
Угроза Уязвимость Критичность реализации угрозы, ER Вероятность реализации угрозы,
Халатность сотрудника: покинул рабочее место без выхода из системы. Автоматический выход из системы происходит только через 10 минут бездействия пользователя ERc = 70% P(V)c = 4%
ERa = 10% = 1%
ERi = 50% P(V)i = 1%
Получение обслуживающим Недостатки организационных мер защиты: сотрудник хранит логин и ERc = 70% P(V)c = 2%
ERa = 10% P(V)a = 1%
персоналом логина и пароля сотрудника Результат: открыт доступ к информации пароль под клавиатурой ERi = 50% P(V)i = 1%
Недостатки организационных мер защиты: обслуживающий персонал работает в то же время, когда и основные сотрудни- ERc = 70% P(V)c = 1%
ERa = 10% P(V)a = 1%
ERi = 50% P(V)i = 1%
Третий этап - оценка рисков. Опред еля- Переводим показатели ER и P(V) из
ем уровень риска качественным методом: процентов в качественные показатели
следующим образом:
Таблица 3. Перевод показателей из количественных в качественные величины
ER P(V)
0 - 20% Очень низкий 0 - 33% Низкий
21 - 40% Низкий
34 - 66% Средний
41 - 60% Средний
61 - 80% Высокий
67 - 100% Высокий
81 - 100% Очень высокий
По матрице оценки рисков методики определенную уязвимость. Результат ка-CRAMM смотрим, какому уровню соот- чественной оценки показан в таблице 4. ветствует риск реализации угрозы через
Таблица 4. Результаты качественной оценки рисков
Угроза Уязвимость Критичность реализации угрозы, ER Вероятность реализации угрозы, P(V) Качественная оценка
Халатность сотрудника: покинул рабочее место без выхода из системы. Результат: открыт доступ к информации Автоматический выход из системы происходит только через 10 минут бездействия пользователя ЕЯС - "высокий" Р(У)с - "низкий" 6
ЕЯа - "очень низкий" Р(У)а - "низкий" 5
Е^ - "средний" Р(У)| - "низкий" 6
Получение обслуживающим персоналом логина и пароля сотрудника Результат: открыт доступ к информации Недостатки организационных мер защиты: сотрудник хранит логин и пароль под клавиатурой еяс - "высокий" Р(У)с - "низкий" 6
ЕЯа - "очень низкий" Р(У)а - "низкий" 5
- "средний" Р(У)| - "низкий" 6
Недостатки организационных мер защиты: обслуживающий персонал работает в то же время, когда и основные сотрудники - есть возможность подсмотреть логин и пароль при вводе еяс - "высокий" Р(У)с - "низкий" 6
ЕЯа - "очень низкий" Р(У)а - "низкий" 5
Е^ - "средний" Р(У)! - "низкий" 6
Таким образом, качественный анализ в ходе исследования дает понять, что ни один риск не является приемлемым. Поэтому на этом этапе необходимо провести количественную оценку. Входные данные для количественной оценки приведены в таблице 4. Для начала произведем расчет уровня угроз по каждой базовой уязвимости:
Th=— хЩ
100 100'
(1)
ТЬ 1 с = — X —= 0 . О 2 8 ,
с 100 100 '
ТЬ 1 а = — X — = 0 . О 0 1,
а 100 100 '
ТЬ 1 / = — X —= 0 . О 0 5,
1 100 100 '
ТЬ 2 , 1 с = — X — = 0 . 0 1 4,
с 100 100
ТЬ 2 , 1 а = — X — = 0 . 0 0 1,
а 100 100
ТЬ2, 1/ = — X — = 0.005,
1 100 100
ТЬ 2 , 2 с = — X — = 0.007,
с 100 100
ТЬ 2 , 2 а = — X — = 0 . 0 0 1,
а 100 100
ТЬ2,2 / = — X — = 0.00 5,
1 100 100
где ЕЯ - критичность реализации угрозы в процентах;
Р(У) - вероятность реализации угрозы в процентах;
ТЬ 1 - параметр, определяющий реализацию первой угрозы (табл. 2);
- параметр, определяющий реализацию второй угрозы по первой уязвимости (табл. 2);
- параметр, определяющий реализацию второй угрозы по второй уязвимости (табл. 2);
индексы с, а показывают, на каком из базовых уровней проводился анализ угрозы: конфиденциальность целостность или доступность.
Теперь необходимо рассчитать уровень угрозы по всем уязвимостям:
CTh = 1 — Щ=1(1 - Thk)
(2)
CTh2e = 1 - (1 - 0.014) X (1 - 0.007) = 0. 02 1,
CTh2a = 1 - (1 - 0.001) X (1 - 0.001) = 0.002,
CTh2¿ = 1 - (1 - 0. 005) х (1 - 0.005) = 0. 01,
где - угроза по одной уязвимости;
СТИ - значение уровня угрозы по всем уязвимостям.
Индексы с, а показывают, на каком из базовых уровней проводился анализ угрозы: конфиденциальность целостность или доступность. Первая угроза может быть реализована лишь через одну уязвимость, поэтому расчет проводился только для второй.
Теперь необходимо рассчитать уровень угроз для ресурса в целом для каждой из трех базовых угроз:
С Th R = 1 - П k= i ( 1 - С Thk) ,
(3)
СТЫ1е = 1 - (1 - 0.028) X (1 - 0.021) = 0.048,
СТЫ1а = 1 - (1 - 0.001) X (1 - 0.002) = 0.003 ,
СТЬ ^ = 1 - (1 - 0. 005) X (1 - 0. 01) = 0.01 5,
где СТИ - значение уровня угрозы по всем уязвимостям;
СТИЯ - значение уровня угрозы в рамках всего ресурса.
Индексы с, а показывают, на каком из базовых уровней проводился анализ угрозы: конфиденциальность целостность или доступность.
Рассчитаем риск для ресурса по каждой из базовых угроз:
R = C Th R х D ,
(4)
R „-, = ( 1-(( 1- Эх ( 1- £) х ( 1- ^ ) )х1 0 0 , (5)
Rc = 0.048 х 1 0 = 0 .48 , Ra = 0.003 х 2 = 0.006, R; = 0 .0 1 5 х 5 = 0.0 7 5,
0.484 0.0754
1--X 1--X
100 J \ 100 J
R-total — I 1 — I
1- 0.006100х100=0.56,
где Ra, Rc - риск по каждой базовой угрозе;
R to tai - итоговое значение риска по всем трем базовым угрозам.
Для оценки критичности ресурса по каждой из трех базовых угроз в методике используется ранжирование по уровням от
1 до 10. Такое решение было принято для ния был выбран такой ресурс, как рабочая того, чтобы сделать методику более гиб- станция сотрудника кредитного отдела, по кой. Для оценки финансовой составляю- которому были получены следующие зна-щей каждому из уровней необходимо со- чения общий уровень угроз по ресурсу для поставить денежный эквивалент и на по- каждого из трех базовых типов угроз: следнем шаге просто просуммировать значения по каждой из базовых угроз. Rc = 0.48;
Выводы Ra = 0.006;
В ходе данной работы был проведен Ri = 0.075;
анализ уязвимостей информации и осуществлена оценка рисков информационной где R c, a, i - риск по ресурсу для каж-безопасности кредитной организации. Рас- дого из трех базовых типов угроз. чет качественной и количественной оцен- Самый высокий показатель общего ки рисков производился по комбиниро- уровня угроз - показатель конфиденци-ванной методике, основные принципы ко- альности. Это объясняется критичностью торой были заимствованы из ГРИФ и реализации угрозы выбранного ресурса. CRAMM. В качестве объекта исследова-
Библиографический список
1. Федеральный закон от 02.12.1990 N 395-1 (ред. от 01.05.2017) "О банках и банковской деятельности" СПС КонсультантПлюс [Электронный ресурс] // Режим доступа: http://www.consultant.ru/cons/CGI/online.cgi?req=doc&base=LAW&n=37570 (Дата обращения 01.05.2019).
2. Рекомендации в области стандартизации Банка России "Обеспечение информационной безопасности организаций банковской системы российской федерации. Методика оценки рисков нарушения информационной безопасности" (РС БР ИББС -2.2 -2009) [Электронный ресурс] // Режим доступа: https://www.cbr.ru/credit/Gubzi_docs/met, свободный / /(Дата обращения 03.05.2019.
3. Полякова Т.А. Организационное и правовое обеспечение информационной безопасности: Учебник и практикум. - М.: Юрайт, 2017. - С. 54-56.
4. Мельников В. П. Информационная безопасность и защита информации /
B. П. Мельников. - М.: Издат. центр «Академия», 2008. - 336 с.
5. Варлатай С. К. Аппаратно-программные средства и методы защиты информации /
C.К. Варалтай. - Владивосток : ДВПИ, 2007. - 318 с.
6. Баранова Е.К. Методики анализа и оценки рисков информационной безопасности // Вестник Московского университета им. С.Ю. Витте. Серия 3: Образовательные ресурсы и технологии. 2015. № 1 (9). С. 73-79.
7. Баранова Е.К., Чернова М. Сравнительный анализ программного инструментария для анализа и оценки рисков информационной безопасности // Проблемы информационной безопасности. Компьютерные системы. 2014. № 4. С. 160-168.
8. Портал информационной безопасности [Электронный ресурс]. - Режим доступа: www.content-security.ru (Дата обращения 20.05.2019).
ANALYSIS AND EVALUATION OF THE VULNERABILITY OF INFORMATION IN
CREDIT INSTITUTIONS
A.S. Bondarenko, graduate student P.K. Yarygin, graduate student M.A. Turilov, graduate student
National research nuclear university "MEPhI" (NRNU MEPI) (Russia, Moscow)
Abstract. This article reviews existing methods of analyzing information vulnerability in an organization. On the basis of existing solutions, a methodology is developed for assessing information security risks in credit institutions. According to the compiled method describes the process of assessing and analyzing information security of the bank. Based on the results obtained, a list of measures to reduce the risks of information security of a credit institution is provided.
Keywords: information security, current threats, risk assessment, vulnerability, information protection.