УДК 004.056
АНАЛИЗ ПОДХОДОВ К ОЦЕНКЕ РИСКОВ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ В КОРПОРАТИВНЫХ ИНФОРМАЦИОННЫХ СЕТЯХ
Емалетдинова Л.Ю., КНИТУ-КАИ, д-р техн. наук, профессор, [email protected] Аникин И.В., КНИТУ-КАИ, канд. техн. наук, доцент, [email protected]
В работе проведен анализ основных подходов к оценке рисков информационной безопасности в корпоративных информационных сетях. Рассмотрены методы качественной и количественной оценки рисков информационной безопасности. Проанализированы их достоинства и недостатки. Постановлены актуальные задачи для количественной оценки рисков информационной безопасности. Ключевые слова: информационная безопасность, оценка рисков.
Бурное развитие вычислительной техники привело к значительному увеличению степени автоматизации бизнес-процессов современных предприятий. Повсеместное применение информационных технологий с одной стороны позволило предприятиям выйти на качественно новый уровень достижения своих бизнес-целей, с другой стороны это привело к чрезвычайной уязвимости их бизнес-процессов по отношению угрозам информационной безопасности (ИБ). Растущая сложность информационных систем только усугубляет ситуацию. Увеличение объемов информации, хранимой в электронном виде, приводит к тому, что ее потеря или разглашение наносит существенные убытки предприятию. Нарушение работоспособности информационных систем приводит к остановке бизнес-процессов, что также наносит непоправимый ущерб. В связи с этим, защита информации должна рассматриваться как неотъемлемая составляющая корпоративных информа-
55
ционных сетей (КИС) современных предприятий.
В настоящее время существует два основных подхода к обеспечению информационной безопасности КИС - обеспечение базового уровня ИБ [1], а также подход, основанный на оценке и управлении рисками ИБ [2; 3].
Основными задачами обеспечения ИБ на базовом уровне являются:
• убедиться в том, что компоненты КИС удовлетворяют всем обязательным требованиям стандартов и нормативных документов;
• убедиться в том, что компоненты КИС защищены от всех видов основных угроз.
Подход, основанный на оценке и управлении рисками ИБ, как правило, реализуется после обеспечения базового уровня безопасности КИС. Он приобретает особую значимость при построении эффективных систем защиты информации с позиции ожидаемого ущерба. При этом ставятся следующие основные задачи:
• анализ угроз, оценка возможности их возникновения и возможного ущерба;
• определение актуальных угроз, оценка рисков ИБ;
• выработка мер противодействия и управление рисками ИБ.
В последнее время применение второго подхода приобретает
все большую актуальность в связи с тем, что он позволяет реализовать эффективные механизмы определения актуальных угроз и выбор адекватных мер защиты информации в КИС. Далее в работе анализируются основные подходы к оценке рисков ИБ в КИС.
Согласно [4] под риском ИБ понимается сочетание вероятности нанесения ущерба и тяжести этого ущерба. Полностью согласующееся с этим более формальное определение дано в [5], где под риском ИБ понимается потенциальная опасность нанесения ущерба организации в результате реализации некоторой угрозы с использованием уязвимостей.
Выделяют два способа оценки рисков - двухфакторный и
56
трехфакторный. При использовании двухфакторного подхода, риск ИБ определяется согласно выражению (1) через возможность реализации угрозы T используя заданную уязвимость V и ущерб от реализации угрозы T. Данный подход используют такие стандарты, как NIST SP 800-30 [5], OCTAVE [6], Digital Security, Risk Watch [7]. При использовании трехфакторного подхода, риск ИБ определяется согласно выражению (2) через возможность использования уязвимости V, возможность реализации угрозы T используя заданную уязвимость V и ущерб от реализации угрозы T. Данный подход используют такие стандарты, как Microsoft Methodology «The Security Risk Management Guide» [8], CRAMM [9], ISRAM [10].
R(T ) = Poss(T ) • Impact(T ), (1)
R(V, T ) = Poss(V ) • Poss(T ) • Impact(T ) (2)
где Poss(v) - возможность использования уязвимости V Poss(T) - возможность реализации угрозы T через заданную уязвимость V
Impact(T) - ущерб от реализации угрозы T.
Исходя из этого, выделяют следующие основные факторы риска ИБ: возможность реализации угрозы, возможность использования уязвимости, ущерб от реализации угрозы. Для оценки уровня рисков ИБ необходимо оценить значения данных факторов риска. В случае качественной оценки рисков ИБ данные факторы оцениваются на качественных шкалах, в случае количественной оценки рисков ИБ - на непрерывных числовых интервалах.
Основные методы качественной оценки рисков ИБ
Метод NIST SP 800-30 [5] достаточно хорошо описывает общий подход к решению задачи оценки рисков ИБ и включает в
57
себя 9 основных шагов:
1. Определение характеристик системы.
2. Определение уязвимостей.
3. Определение угроз.
4. Анализ мер безопасности.
5. Определение вероятности.
6. Анализ влияния.
7. Определение риска.
8. Выработка рекомендаций.
9. Документирование результатов.
В приложениях данного документа представлены достаточно хорошо проработанная классификация угроз и их источников, уяз-вимостей, представлены контрольные вопросы.
Метод OCTAVE [6] был разработан координационным центром CERT и достаточно часто используется для внутренней оценки рисков ИБ организациями. Метод OCTAVE предполагает организацию работ по оценке рисков в несколько этапов (фаз). Каждая фаза включает в себя несколько процессов, которые в свою очередь включают в себя ряд симпозиумов. На симпозиумах происходит обсуждение важных вопросов, выработка стратегии работы.
Фаза 1 предполагает построение профиля угрозы на основе активов. Команда анализа определяет, какие активы организации являются самыми важными для организации, и определяют, что делается в настоящее время для защиты данных активов.
Фаза 2 предполагает идентификацию уязвимостей инфраструктуры. Для каждого из выбранных на фазе 1 активов определяются ключевые компоненты информационных систем. Команда анализа исследует эти ключевые компоненты на наличие уязвимо-стей (организационных, технологических, технических, программных, связанных с человеческим фактором).
Фаза 3 предполагает разработку стратегии защиты и планов по уменьшению рисков информационной безопасности. Команда
58
анализа идентифицирует все угрозы информационной безопасности, определяет возможный ущерб от реализации каждой угрозы, создает критерии оценки рисков информационной безопасности, по которым строится профиль риска для каждого критического актива. На основе этого вырабатывается стратегия защиты и планы по уменьшению рисков.
Метод OCTAVE использует каталог защитных мер и профиль угрозы, а в ходе оценки рисков строится профиль актива. Профили угроз представляют собой деревья, вид которых зависит от источника угроз.
Метод CRAMM [7] был разработан Агентством по компьютерам и телекоммуникациям Великобритании и используется в качестве государственного стандарта. В настоящее время существует несколько версий метода, ориентированных на требования Министерства обороны, гражданских государственных учреждений, финансовых структур, частных организаций. На первом этапе метода CRAMM строится модель активов информационной системы. Данная модель описывает взаимодействие между информационными, программными и техническими активами. Далее определяется ценность активов исходя из возможного ущерба, которая организация может понести в результате их компрометации. На втором этапе метода CRAMM производится трехфакторная оценка рисков ИБ. При этом производится идентификация и оценка вероятности угроз, оценка величины уязвимостей и определение рисков для каждой тройки элементов «актив -угроза-уязвимость». Оценка рисков производится без учета реализованных контрмер. На третьем этапе метода CRAMM определяется набор мер безопасности, направленных на минимизацию полученных рисков. Производится сравнение рекомендуемых и существующих контрмер. CRAMM имеет обширную базу, содержащую описание около 1000 примеров реализации подсистем защиты для различных компьютерных систем. Данные примеры можно использовать в качестве шаблонов.
59
Кроме этого, существует множество отраслевых и корпоративных стандартов оценки рисков ИБ, которые, как правило, используют качественные подходы в силу удобства их применения. К данным стандартам можно отнести:
• РС БР ИББС-2.2-2009 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации».
• СТО Газпром 4.2-3-003-2009 «Система обеспечения информационной безопасности ОАО «Газпром». Анализ и оценка рисков».
Основные методы количественной оценки рисков ИБ
Метод RiskWatch [7] является одним из мощнейших методов количественного анализа и управления рисками. В методе RiskWatch производится количественная оценка общих годовых потерь (Annual Loss Expectancy, ALE) и коэффициента возврата от инвестиций (Return on Investment, ROI) при внедрении средств защиты информации.
Метод включает в себя четыре этапа:
1. Определение предмета исследования. Здесь исследуются такие параметры, как тип организации, общий состав исследуемой системы, базовые требования в области информационной безопасности. В методе присутствуют шаблоны, соответствующие типу организации (например, «коммерческая информационная система», «государственная/военная информационная система» и т.д.), есть списки категорий защищаемых ресурсов, потерь, угроз, уязвимостей и мер защиты информации.
2. Ввод данных, описывающих конкретные характеристики системы. На данном этапе подробно описываются ресурсы, потери и классы инцидентов. Классы инцидентов формируются путем сопоставления категории потерь и категории ресурсов. Определяет-
60
ся частота возникновения каждой из выделенных угроз. RiskWatch включает в себя базы с оценками частот LAFE и SAFE. LAFE (Local Annual Frequency Estimate) - показывает, сколько раз в среднем в год исследуемая угроза реализуется в исследуемом месте (например, в городе). SAFE (Standard Annual Frequency Estimate) - показывает, сколько раз в среднем в год исследуемая угроза реализуется в исследуемой "части мира". Вводится также поправочный коэффициент, который позволяет учесть, что в результате реализации угрозы защищаемый ресурс может быть уничтожен не полностью, а только частично.
3. Третий этап - количественная оценка рисков. На данном этапе определяются количественные значения рисков и выбираются меры обеспечения безопасности. Для каждой из контрмер определяется стоимость внедрения, стоимость поддержки, время жизни и текущий процент реализации.
Риск информационной безопасности оценивается как стоимость актива, умноженная на вероятность реализации угрозы.
4. На заключительном этапе метода строятся различные виды отчетов по результатам оценки рисков.
Метод Digital Security рассматривает две основных модели оценки рисков: модель информационных потоков и модель анализа угроз и уязвимостей. В первой модели оценка рисков ИБ осуществляется с помощью построения модели информационной системы организации. Рассматриваются средства защиты ресурсов с ценной информацией, взаимосвязь ресурсов между собой, права доступа групп пользователей, организационные меры. Во второй модели защищенность каждого ценного ресурса определяется при помощи анализа угроз, действующих на конкретный ресурс, и уязвимостей, через которые данные угрозы могут быть реализованы. Оценивая вероятность реализации актуальных для ценного ресурса угроз и степень влияния реализации угрозы на ресурсы, анализируются информационные риски ресурсов организации.
61
Метод ISRAM [10] был разработан Институтом Электроники и Криптографии совместно с Турецким Технологическим институтом Гебзе. Данный метод использует опросные листы для оценки факторов риска и вычисляет уровень риска в виде произведения вероятности реализации угрозы и ее последствий. Данный уровень риска находится в диапазоне от 1 до 25 и вычисляется по следующей формуле (3).
Risk =
if ЛЛ
XTi XwiPI
m V i m
f
X T21
n
f
X wjpj
V j
n
(3)
В (3) значение i показывает номер вопроса, используемого для оценки вероятности реализации угрозы, j - номер вопроса, используемого для оценки последствий от реализации угрозы, m и n - количество экспертов, участвующих в опросе, wt и wj - веса
вопросов, pi и pj - количественные значения выбранных ответов
на вопросы с номерами i и j, T и T2 - порядковые шкалы для оценки вероятности реализации угроз и последствий.
Метод iRisk предлагает достаточно простой метод количественной оценки рисков ИБ в организациях. Данный метод может быть легко использован внутри различных моделей управления рисками.
В общем виде, оценка риска ИБ в данном методе осуществляется с помощью формулы (4)
iRisk = (Vulnerability х Threat) - Control, (4)
62
где Vulnerability - оценка уязвимости, Threat - оценка угрозы, Control - оценка мер безопасности.
Оценка уязвимости осуществляется на базе известного метода CVSS V2 «A Complete Guide to the Common Vulnerability Scoring System», используя только базовые метрики. При оценке угрозы выполняют оценку возможности реализации угрозы (likelihood) и степени её влияния (impact). Степень влияния угрозы оценивается через частные показатели ущерба. Для оценки возможности реализации угрозы используют оценки двух показателей: ARO (ожидаемое количество реализаций рассматриваемой угрозы в течение года), а также уровень знаний и необходимый уровень доступа злоумышленника в КИС. Оценка мер безопасности осуществляется с помощью определения типов и оценки эффективности используемых или планируемых мер безопасности в КИС.
Аналитические методы оценки рисков ИБ
Аналитические методы оценки и управления рисками ИБ предполагают оценку факторов риска на основе владения статистической информацией об угрозах, вероятностях их возникновения и возможных ущербах. Следует отметить, что практическое использование данных методов часто осложняется в связи с отсутствуем статистической информации по ряду угроз.
Суть аналитических методов оценки и управления рисками ИБ в информационно-телекоммуникационных системах достаточно хорошо изложены в работах [11; 12]. Примеры методов нечеткой оценки рисков ИБ представлены в [13; 14]
Сравнительный анализ подходов к оценке и управлению
рисками ИБ
Каждый из рассмотренных подходов к оценке рисков ИБ име-
63
ет свои особенности, достоинства и недостатки. В таблице проведен сравнительный анализ данных подходов по ряду критериев.
Таблица. Сравнительный анализ подходов к оценке рисками информационной безопасности
- Методология / Метод / Частная задача Моделирование объекта защиты Экспертные или статистические оценки Учет различных частных показателей Управление
NIST SP 8QQ-3Q Методология Нет Экспертные Нет Да
OCTAVE Метод Нет Экспертные Нет Нет
CRAMM Метод Да Экспертные Да Да
ГОСТ Р ИСО/МЭК Методология Нет Экспертные Возможно Да
27QQ5-2Q1Q
РС БР ИББС -2.2-2QQ9 Методология Нет Экспертные Да Да
СТО Газпром 4.2-3-QQ3-2QQ9 Методология Нет Экспертные Да Да
RiskWatch Метод Да Экспертные Статистические Да Нет
Digital Security Метод Да Экспертные Нет Да
Microsoft
Methodology «The Security Risk Man- Метод Нет Экспертные Нет Да
agement Guide»
ISRAM Метод Нет Экспертные Да Нет
FAIR Частная задача Нет Экспертные Да Нет
iRisk Метод Нет Экспертные Да Нет
Аналитические методы Метод Нет Статистические Нет Да
Нечеткие методы Метод Нет Экспертные Возможно Возможно
64
Постановка актуальных задач для количественной оценки рисков ИБ
Основными сложностями при решении задач количественной оценки и управления рисками ИБ являются:
• нечеткий и качественный характер большинства частных показателей, влияющих на возможность реализации угроз и использования уязвимостей, а также определяющих ущерб;
• неопределённость исходной информации о частных показателях.
Это актуализирует применение при решении данных задач методов теории нечетких множеств. Ниже представлены основные задачи, требующие решения для нечеткой количественной оценки рисков ИБ и управления ими.
1. Разработка формальной модели КИС, учитывающей взаимодействие активов, для решения задач количественной оценки рисков ИБ.
2. Разработка метода и алгоритмов для нечеткой количественной оценки ущерба от реализации угроз.
3. Разработка методов и алгоритмов нечетких количественных оценок возможности реализации угроз.
4. Разработка метода нечеткой количественной оценки рисков ИБ с учетом реализации множества защитных мер на основе сформированных нечетких количественных оценок факторов риска.
5. Разработка метода управления рисками ИБ, основанного на оценке эффективности реализуемых защитных мер, в условиях существующих финансовых ограничений.
Источники
1. Аникин И.В., Ляшко Д.А. Система удаленного администрирования средствами защиты информации от несанкционированного доступа // Вестник КГТУ им. А.Н. Туполева. Казань, 2012 №4. С. 213-221.
65
2. Аникин И.В. Управление внутренними рисками информационной безопасности корпоративных информационных сетей // Научно -технические ведомости Санкт -Петербургского государственного политехнического университета. Информатика. Телекоммуникации. Управление. 2009. Т. 3. № 80. С. 35-40.
3. Аникин И.В. Метод количественной оценки уровня ущерба от реализации угроз на корпоративную информационную сеть //Информационные технологии. 2010. №1. С. 2-6.
4. ГОСТ Р 51897-2002. Менеджмент риска. Термины и определения. М.: ИПК Издательство стандартов, 2002. 12 с.
5. NIST SP 800-30 Revision 1, Guide for Conducting Risk Assessments, September 2012.
6. Alberts C., Dorofee A. Managing information security risks. The OCTAVESM approach. Addison Wesley, 2002. PP. 512.
7. Петренко С.А., Симонов С.В. Управление информационными рисками. Экономически оправданная безопасность. М.: АйТи, 2004. 392 c.
8. Microsoft Methodology «The Security Risk Management Guide». http://www.microsoft.com/en-us/download/details.aspx?id=6232.
9. Куканова Н. Современные методы и средства анализа и управление рисками информационных систем компаний // CITFORUM. http://citforum.ru/products/dsec/cramm/
10. Karabacak B. and Sogukpinar I., ISRAM: information security risk analysis method. Computers & Security, 2005. 24 (2), PP. 147-159.
11. Радько Н.М., Скобелев И.О. Риск-модели информационно-телекоммуникационных систем при реализации угроз удаленного и непосредственного доступа. М. РадиоСофт, 2010. 232 с.
12. Остапенко Г.А., Карпеев Д.О., Плотников Д.Г., Батищев Р.В., Гончаров И.В., Мас-лихов П.А., Мешкова Е.А., Морозова Н.М., Рязанов С.А., Субботина Е.В., Транин В.А. Риски распределенных систем: методики и алгоритмы оценки и управления // Информация и безопасность, 2010, № 4. C. 485-530.
13. Аникин И.В. Метод оценки внутренних рисков информационной безопасности корпоративных информационных сетей // Информация и безопасность. 2014. Т. 17. № 2. С. 320-323.
14. Аникин И.В. Метод оценки рисков для уязвимостей информационных систем, основанный на нечеткой логике //Информация и безопасность. 2014. Т. 17. № 3. С. 468-471.
References
1. Anikin I.V., Lyashko D.A. Sistema udalennogo administrirovaniya sredstvami zashchity informatsii ot nesanktsionirovannogo dostupa // Vestnik KGTU im. A.N. Tupoleva. Kazan', no.4. pp. 213-221 (2012).
2. Anikin I.V. Upravlenie vnutrennimi riskami informatsionnoi bezopasnosti korporativnykh informatsionnykh setei // Nauchno-tekhnicheskie vedomosti Sankt-Peterburgskogo gosudar-stvennogo politekhnicheskogo universiteta. Informatika. Telekommunikatsii. Upravlenie, Vol 3, No. 80, pp. 35-40, (2009).
3. Anikin I. V. Metod kolichestvennoi otsenki urovnya ushcherba ot realizatsii ugroz na kor-
66
porativnuyu informatsionnuyu set'//Informatsionnye tekhnologii. 2010. No. 1. S. 2-6.
4. GOST R 51897-2002. Menedzhment riska. Terminy i opredeleniya. M.: IPK Izdatel'stvo standartov, pp. 10-12, (2002).
5. NIST SP 800-30 Revision 1, Guide for Conducting Risk Assessments, September 2012.
6. Alberts C., Dorofee A. Managing information security risks. The OCTAVESM approach. Addison Wesley, pp. 510-512, (2002).
7. Petrenko S.A., Simonov S.V. Upravlenie informatsionnymi riskami. Ekonomicheski opravdannaya bezopasnost'. M.: AiTi, pp. 385-392, (2004).
8. Microsoft Methodology «The Security Risk Management Guide». http://www.microsoft.com/en-us/download/details.aspx?id=6232.
9. Kukanova N. Sovremennye metody i sredstva analiza i upravlenie riskami infor-matsionnykh sistem kompanii, CITFORUM. http: citforum.ru/products/dsec/cramm/
10. Karabacak B. and Sogukpinar I., ISRAM: information security risk analysis method. Computers & Security, 24 (2), pp. 147-159, (2005).
11. Rad'ko N.M., Skobelev I.O. Risk-modeli informatsionno-telekommunikatsionnykh sistem pri realizatsii ugroz udalennogo i neposredstvennogo dostupa. M. RadioSoft, 232 (2010).
12. Ostapenko G.A., Karpeev D.O., Plotnikov D.G., Batishchev R.V., Goncharov I.V., Mas-likhov P.A., Meshkova E.A., Morozova N.M., Ryazanov S.A., Subbotina E.V., Tranin V.A. Riski raspredelennykh sistem: metodiki i algoritmy otsenki i upravleniya, Informatsiya i bezopasnost', no. 4, pp. 485-530, (2010).
13. Anikin I.V. Metod otsenki vnutrennikh riskov informatsionnoi bezopasnosti korpora-tivnykh informatsionnykh setei, Informatsiya i bezopasnost', Vol 17, no. 2. pp. 320-323, (2014).
14. Anikin I.V. Metod otsenki riskov dlya uyazvimostei informatsionnykh sistem, osnovannyi na nechetkoi logike, Informatsiya i bezopasnost', Vol 17, no. 3, pp. 468-471, (2014).
Information
Emaletdinova L.Yu, Anikin I. V.
RISK ASSESSMENT APPROACHES IN TELECOMMUNICATION NETWORKS
We considered approaches for risk assessment in telecommunication networks. We considered qualitative and quantitative risks assessment methods, their advantages and disadvantages. We raised actual tasks for qualitative risk assessment in telecommunication networks. Keywords: information security, risk assessment.
Дата поступления 1 7.02.2015.
67