CC BY
110Количественный анализ рисков информационной безопасности с необходимой точностью в соответствии требованиями международного стандарта ISO 27001:2013
Агринский Николай Михайлович,
старший преподаватель кафедры 402 ФГБОУ ВО «Московский авиационный институт (национальный исследовательский университет)», na@tc-engineer.ru
В данной статье подсвечены основные задачи, которые необходимо решать в рамках внедрения и автоматизации процессов анализа рисков информационной безопасности (ИБ) на предприятиях. Фактически, результаты анализа рисков являются экономическим обоснованием затрат организации на внедрение организационных и технических мероприятий по обеспечению информационной безопасности. Подход, ориентированный на результаты анализа рисков, становится основным для большинства систем управления предприятием (например, системы управления информационной безопасностью - ISO 27001; системы управления качеством - ISO 9001; системы управления непрерывностью деятельности - ISO 22301, системы управления ИТ сервисами - ISO 20001 и т. д.). Такой подход позволяет унифицировать процессы управления предприятием, включая управление процессами обеспечения информационной безопасности, но при этом возникает большое количество вопросов, на которые до сих пор не представлено адекватных ответов. Существуют исследовательские материалы по анализу рисков ИБ с применением различных математических моделей (например, теории игр), однако на практике эти работы не применяются, либо применяются в сильно ограниченных масштабах.
Ключевые слова: информационная безопасность, риск, моделирование угроз.
о
CSI
0
CSI
to
01
п
S I-О ш m х
<
m о х
X
С точки зрения требований международных стандартов по управлению информационной безопасностью, в рамках анализа рисков необходимо решить три задачи[1]:
1. Определить потенциальные последствия в случае реализации идентифицированных рисковых сценариев.
2. Определить вероятность реализации идентифицированных рисковых сценариев.
3. Рассчитать риски информационной безопасности.
В самом стандарте нет дополнительных упоминаний о том, как это нужно сделать. Есть указание, что каждая организация должна разработать для себя методику анализа рисков, обеспечивающую получение непротиворечивых, обоснованных и сопоставимых результа-тов[1]. Фактически данное требование стандарта оставляет очень большую свободу действий, перекладывая всю ответственность на руководство организации. При этом если методика, разработанная в организации, будет давать непротиворечивые, обоснованные, сопоставимые и совершенно неточные результаты, проверяющий аудитор к ней не сможет предъявить никаких пре-тензий[1,5,6]. В результате применения такого подхода мы получаем следующую цепочку:
1. Руководство организации должно принять на работу специалистов по ИБ, чья квалификация подтверждается дипломами, либо общеизвестными сертификатами [1,5].
2. Эти специалисты должны разработать методику анализа рисков и в дальнейшем по ней проводить оценки [1,5,12].
3. По результату анализа рисков, специалисты по информационной безопасности, готовят план обработки рисков информационной безопасности, который вклю-чает[1,5]:
a. Перечень рисков информационной безопасности превышающий допустимый порог (порог должен утверждаться руководством организации до начала проведения оценки рисков).
b. Организационные и технические меры по снижению рисков ниже допустимого порога.
c.Временные рамки и ответственных за внедрение.
d. Бюджетную оценку стоимости внедрения.
e. Результаты повторной оценки рисков, с учетом внедряемых организационных и технических мер, подтверждающие снижение рисков ниже допустимого порога.
4. Руководство организации должно принимать эти оценки и выделять бюджеты на внедрение организационных и технических мер с целью снижения рисков ниже критичного уровня.
Такой подход мог бы дать хороший результат в «идеальном мире», где специалисты серьезно относятся к своему уровню знаний, а руководство организации не живет сегодняшним днем и выстраивает долгосрочную стратегию, в том числе и с учетом рисков информацион-
ной безопасности. К сожалению, наш мир другой - специалисты в большей степени не обладают знаниями необходимыми для разработки методик анализа рисков с приемлемой точностью, а руководство организации обычно нацелено на получение соответствующих сертификатов и совершенно не погружено в проблематику. Сама же задача по разработке методики анализа рисков информационной безопасности с необходимым уровнем точности, остается не решенной. Общего подхода не выработано и те методы, которые используются в настоящий момент не могут предложить хоть сколько-нибудь адекватной точности.
Основные понятия.
Под защитой информации в классическом понимании подразумевается обеспечение целостности, конфиденциальности, доступности информационных акти-вов[1,7].
Под угрозой безопасности информации понимается реализация различных сценариев, состоящих из группы последовательно или параллельно возникающих событий, приводящих в конечном итоге к нарушению свойств конфиденциальности, целостности и доступности информационных активов.
Моделирование угроз — это идентификация рисковых сценариев и оценка возможности их реализации.
Под уязвимостью подразумеваются недостаток средств защиты информационной системы, который может быть использован нарушителем (как внешним, так и внутренним) для реализации угроз информационной безопасности. Уязвимости информационной системы могут быть порождены как ошибками при создании, внедрении или эксплуатации системы, так и слабостью наложенных защитных средств и примененных мер.
Идентификация рисковых сценариев
Процесс анализа рисков начинается с выделения (идентификации) активов и определения их владельцев, идентификации рисковых сценариев назначения ответственных за управление рисками[1,2] (обычно в организациях используют два подхода - владельцами рисков назначают владельцев активов, либо владельцем всех рисков является руководство). При этом определение актива настолько расплывчато, что позволяет трактовать данный термин с очень большой свободой.
Активом является нечто, имеющее ценность для организации и, следовательно, нуждающееся в защите[2].
Обычно информационные активы организации разделяют на два вида:
1. Нематериальные активы.
a. Информация.
b. Организационные процессы.
2. Материальные активы
a. Информационные системы.
b. Программное обеспечение.
c.Серверное оборудование.
d. Системы хранения данных.
e. Каналы передачи данных.
f. Персонал.
Основной ущерб возникает в случае нарушения свойств конфиденциальности, целостности и доступности (далее КЦД) для нематериальных активов. При этом достигается это нарушение за счет воздействия на материальные активы. Например, в случае повреждения СХД, необходимая для функционирования организационных процессов информация может оказаться недоступной. Таким образом в рамках процесса идентифика-
ции рисковых сценариев необходимо выделить те сценарии, которые могут привести к нарушению КЦД, воздействуя на материальные активы. Сделать это достаточно сложно по следующим причинам.
• Отношение многие ко многим между активами (одна и та же информация может храниться в разных информационных системах, которые могут работать на разных виртуальных серверах, которые могут использовать разные физические сервера и т. д.).
• Подготовка таких сценариев требует крайне высокого уровня знаний специалиста.
• Сценарии могут быть связаны с воздействием не только на информационные системы, но также на пользователей, администраторов и системы поддержки (в том числе системы электропитания, системы пожаротушения и т. д.).
• При воздействии сценариев на специализированные помещения (например, серверные или кроссовые), воздействие оказывается на все материальные активы, находящиеся в данном помещении.
• Воздействие может осуществляться как снаружи, так и внутри системы.
С учетом вышеизложенного такая работа для каждой отдельной организации приобретает крайне масштабный характер. Поэтому в большинстве случаем используются крайне простые рисковые сценарии, которые состоят из одного-двух шагов. Обычно это выглядит как пара [угроза/уязвимость], где перечень угроз и уязвимо-стей могут быть взяты из множества доступных источников [9, 10, 11]. Естественно, такие сценарии даже близко не отображают реального положения дел, поэтому при таком подходе весь дальнейший процесс теряет свой смысл и превращается в профанацию.
Реальные сценарии угроз, обычно состоят из нескольких событий, часть из которых может быть связана с уязвимостями активов или средств защиты. Для примера возьмем несколько типовых определений рискового сценария [13]:
• «угроза приведения системы в состояние «отказ в обслуживании» (140);
• «угроза программного выведения из строя средств хранения, обработки и (или) ввода/вывода/передачи информации» (143);
Очевидно, что определить возможность возникновения такого сценария без указания большого количества дополнительной информации не представляется возможным. Для примера, на рисунке (Рисунок 1. Диаграмма нарушения свойства конфиденциальности (внутренний нарушитель)).
На данном примере видно, что существует ряд событий, связанных через состояния, которые приводят к нарушению свойства конфиденциальности для различных активов. При этом возможность возникновения таких событий будет разной в зависимости от того, в какой информационной системе они хранятся, как туда предоставляется доступ, какие меры защиты (например, Data Leak Prevention (DLP) - система предотвращения утечек данных) используются и т. д. С учетом всей этой информации появляется возможность учесть вероятности наступления каждого события при условии возникновения предыдущих и таким образом попробовать оценить возможность всего сценария. При этом еще необходимо учитывать ряд дополнительных факторов - например такой рисковый сценарий должен укладываться в некий временной промежуток, чтобы не потерять свой смысл.
X X
о
го А с.
X
го m
о
2 О
м о
о см о см
<0
о ш т
X
3
<
т О X X
Рисунок 1. Диаграмма нарушения свойства конфиденциальности (внутренний нарушитель)
Оценить ущерб для таких сценариев тоже является достаточно сложной задачей особенно для свойств конфиденциальности и целостности.
• Для доступности можно считать время простоя исходя из понимания всех расходов и задавая дополнительный коэффициент на потенциальный репутацион-ный ущерб. При этом необходимо учитывать, что частота событий, приводящих к отказу вторичного актива будет различаться для разного времени простоя и потребует различных мер при реализации различных сценариев.
• Для целостности вопрос совсем не однозначный -фактически нарушение целостности может быть как случайным, так и специально спланированным. Потенциальный ущерб при планируемом мошенничестве может быть крайне высоким, однако для его расчета требуется ряд дополнительных данных и в настоящий момент никаких обще применяемых методологий для этого не придумано.
• Для конфиденциальности также непонятно, как оценивать ущерб - это может быть стоимость получения данной информации или большие репутационные потери (для которых тоже еще нет адекватных методик расчета), а иногда потеря конфиденциальности может вообще не нести ущерба (например, когда информация без связанных с ней технологий не может применяться).
В целом вопрос оценки рисковых сценариев и ущерба пока остается открытым и для информационной безопасности рабочих подходов на настоящий момент не разработано.
Определение вероятности для рисковых сценариев
Определение вероятности рисковых сценариев остается одним из самых непростых вопросов в процессе анализа рисков. Сложности связанные с оценкой вероятности перечислены ниже.
• Крайне малый объем доступной статистики по существующим инцидентам.
• Каждый инцидент происходит в своих уникальных условиях и даже при наличии статистики по инцидентам остается вопрос - на сколько она применима.
• Нет понимания как существующие меры защиты снижают вероятность инцидента (например, если у меня внедрена система защиты от утечек данных - вероятность утечек должна снижаться).
• Вообще возможность применения аппарата теории вероятностей к данному процессу вызывает большие вопросы.
В целом вопрос применения аппарата теории вероятности остается открытым. Если мы рассматриваем сценарии, связанные со случайными действиями пользователей, то этот подход имеет право на жизнь. Но если мы рассматриваем сценарии, связанные с целенаправленным взломом? Если мы исходим из того, что злоумышленник целенаправленно готовится к взлому нашей системы с целью получения конкретной выгоды -здесь уже нельзя говорить о вероятности в классическом понимании. Более того, при неограниченном запасе времени и ресурсов мы будем гарантировано взломаны. В этом случае мы должны анализировать целевую функцию злоумышленника и оценивать на сколько такой проект будет для него выгодным.
Пример отказа от вероятностного подхода при оценке рисков ИБ
Для иллюстрации возможностей применения подходов не связанный напрямую с математическим аппаратом теории вероятностей давайте рассмотрим следующий пример.
Представим, что группа злоумышленников пытается взломать нашу систему. В качестве целевой функции будем рассматривать вариант - получения максимального заработка по результату взлома. Для упрощения будем считать, что успешная реализация взлома будет автоматически приводить к получению необходимой прибыли (в реальной ситуации задача для злоумышленников будет осложняться тем, что результаты взлома скорее всего придется монетизировать, а в дальнейшем задачу усложниться еще необходимостью вывода этих результатов в наличные деньги).
При таком подходе мы можем представить возможные действия злоумышленника как граф (Рисунок 2. Пример графа описывающего действия злоумышленника), где в качестве переходов будут использоваться действия злоумышленников, обладающие определенной стоимостью. На стоимость каждого перехода будет влиять наличие необходимого оборудования, количество человек участвующих в процессе и количество затраченного времени. В целом все эти параметры можно описать некой стоимостью и исходить из того, что каждый шаг, стоить для команды злоумышленников имеет определенный денежный эквивалент.
В этом случае, при определенных допустимых упрощениях (например, у злоумышленников есть риски быть пойманными, которые также будут влиять на стоимость действий) мы получаем, различные варианты взлома с различной ценой, приводящиеся с целью получения определенного выигрыша. Здесь мы должны учесть, что внедрение организационных и технических мер информационной безопасности будет приводить к тому, что отдельные шаги для злоумышленника будут иметь более высокую стоимость. При этом у нас есть ограничения бюджета, который может быть потрачен на мероприятия по ИБ.
Заключение
В целом вышеперечисленные особенности процесса анализа рисков ИБ оставляют очень большой вопрос об их целесообразности и применимости без серьезной проработки. Основные вопросы, которые необходимо решать связанны с выделением рисковых сценариев, оценкой ущерба и вероятности реализации. В настоящий момент эти вопросы освещены крайне слабо, а процесс анализа рисков выполняется как некое формальное действие без реальной пользы.
X X
о
го А с.
X
го т
о
Рисунок 2. Пример графа описывающего действия злоумышленника
2 О
м о
о
CS
о
CS <0
Литература
1. ISO/IEC 27001:2013 Information Security Management System. Requirements.
2. ISO/IEC 27005:2011 Information technology — Security techniques — Information security risk management.
3. ISO/IEC 27005:2018 Information technology — Security techniques — Information security risk management.
4. ГОСТ Р ИСО/МЭК 27005-2010. Информационная технология. Методы и средства обеспечения безопасности. Менеджмент риска информационной безопасности.
5. ГОСТ Р ИСО/МЭК 27001-2006. Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования.
6. ISO/IEC 19011:2018. Guidelines for auditing management systems.
7. Основы риск- и бизнес-ориентированной информационной безопасности: основные понятия и парадигма (https://habr.com/ru/post/467943/)
8. Анализ международных документов по управлению рисками информационной безопасности (https://habr.com/ru/post/495236/).
9. Банк данных угроз безопасности информации ФАУ «ГНИИИ ПТЗИ ФСТЭК России»
10. NIST NVD (National Vulnerability Database)
11. MITRE CVE (Common Vulnerabilities and Exposures)
12. NIST Special Publication 800-30. Revision 1. Guide for Conducting Risk Assessments.
13. Расчет рисков информационной безопасности телекоммуникационного предприятия.
14. Использование метода межотраслевого баланса для научного обоснования стратегического развития железнодорожной системы России / Ивантер В.В., Узяков М.Н., Широв A.A., Михайлов В.В., Пехтерев Ф.С., Замковой A.A., Шестаков ПА, Попова Е.В., Лещев М.В. Ответственный за выпуск О.В.Павлова. Москва, 2015.
15. Сысоева Е.В. Инструменты повышения конкурентоспособности компаний // Инновации и инвестиции. 2018. № 10. С. 55-59.
16. Кукушкина В.В. Использование инструментов стратегического управления в России // Вестник Российского государственного торгово-экономического университета (РГТЭУ). 2006. № 4 (16). С. 144-151.
17. Безпалов В.В. Роль мониторинга и контроля в управлении экономическими рисками при проведении реструктуризации системы управления промышленного предприятия // Экономика образования. 2014. № 6 (85). С. 95-107.
18. Иванов МА, Гужина Г.Н. Особенности управления рисками в рыночных условиях // Вестник Российского государственного аграрного заочного университета. 2009. № 7 (12). С. 198.
О ш m
X
Quantitative analysis of information security risks with the necessary accuracy in accordance with the requirements of the international standard ISO 27001: 2013 Agrinsky N.M.
Moscow Aviation Institute
This article highlights the main tasks that need to be addressed as part of the implementation and automation of information security risk analysis processes in enterprises. In fact, the results of the risk analysis are the economic justification of the organization's costs for the implementation of organizational and technical measures to ensure information security. An approach based on the results of risk analysis becomes the main one for most enterprise management systems (for example, information security management systems - ISO 27001 ; quality management systems - ISO 9001 ; business continuity management systems - ISO 22301, IT services management systems - ISO 20001, etc.). This approach allows us to unify the processes of enterprise management, including the management of information security processes, but this raises a large number of questions that still have not been adequately answered. Key words: information security, risk, threat modeling. References
1. ISO / IEC 27001: 2013 Information Security Management System. Requirements
2. ISO / IEC 27005: 2011 Information technology - Security techniques - Information security risk management.
3. ISO / IEC 27005: 2018 Information technology - Security techniques - Information security risk management.
4. GOST R ISO / IEC 27005-2010. Information technology. Security
methods and tools. Information Security Risk Management.
5. GOST R ISO / IEC 27001-2006. Information technology. Security
methods and tools. Information Security Management Systems. Requirements.
6. ISO / IEC 19011: 2018. Guidelines for auditing management
systems.
7. The basics of risk and business-oriented information security:
basic concepts and paradigm
(https://habr.com/ru/post/467943/)
8. Analysis of international documents on information security risk
management (https://habr.com/en/post/495236/).
9. Databank of information security threats, FAA "GNII PTZI FSTEC
of Russia"
10. NIST NVD (National Vulnerability Database)
11. MITER CVE (Common Vulnerabilities and Exposures)
12. NIST Special Publication 800-30. Revision 1. Guide for Conducting Risk Assessments.
13. Calculation of information security risks of a telecommunication enterprise
14. Using the input-output balance method for scientific substantiation of the strategic development of the railway system of Russia / Ivanter V.V., Uzyakov M.N., Shirov A.A., Mikhailov V.V., Pekhterev F.S., Zamkova A. A., Shestakov P.A., Popova E.V., Leshchev M.V. Responsible for the release of O. V. Pavlov. Moscow, 2015.
15. Sysoeva E.V. Instruments for increasing the competitiveness of companies // Innovations and investments. 2018.No. 10.P. 55-59.
16. Kukushkina V.V. The use of strategic management tools in Russia // Bulletin of the Russian State Trade and Economic University (RGTEU). 2006. No. 4 (16). S. 144-151.
17. Bezpalov V.V. The role of monitoring and control in the management of economic risks during the restructuring of the management system of an industrial enterprise // Economics of Education. 2014. No. 6 (85). S. 95-107.
18. Ivanov M.A., Guzhina G.N. Features of risk management in market conditions // Bulletin of the Russian State Agrarian Correspondence University. 2009. No. 7 (12). S. 198.
3
<
m
о
X X
