Механизм учета относительной оценки инцидентов связанных с компрометацией персональных данных (ПДн) в модели оценки рисков их защите Текст научной статьи по специальности «Компьютерные и информационные науки»

Механизм учета относительной оценки инцидентов связанных с компрометацией Персональных данных (ПДн) в Модели Оценки Рисков их защите

Ключевые слова: оценка рисков, персональные данные, модель, информационная безопасность, тест на проникновение.

Аксенов А.Ю.,

аспирант ЦНИИС,

Aleksei.aksenov@gmail.com

Рассматривается влияние инцидентов , связанных с компрометацией персональных данных на оценку состояния системы защиты ПДн в целом. Приводится способ учета относительной оценки каждого инцидента по разглашению персональных данных в модели оценки рисков при защите персональных данных. Данный способ является расширением ранее разработанной Модели оценки рисков при защите персональных данных (МОРПДн). На основе предложенного способа, каждый инцидент связанных с утратой персональных данных учитывается в Модели оценки рисков при защите ПДн. Модель оценки рисков будет изменяться в зависимости от каждого произошедшего инцидента, что позволит моментально делать выводы о необходимости принятия новых защитных мер на предприятии для поддержания заданного уровня защищенности.

можного на предприятии к ущербу от случившегося инцидента. Подробно о способе оценки изложено в статье [2].

Для расчета оценки инцидента ИБ используется формула

Рассмотрим основные положения МОРПДн-

МОРПДн предполагает проведение оценки системы информационной безопасности с точки зрения экономической выгоды. За основу взяты принципы которые используются в общепризнанных методиках оценки, таких как ROI и ROSI. Основной параметр модели оценки рисков — это защищенность (s), которая зависит от вероятности угрозы, а также от характеристик используемой системы обеспечения информационной безопасности.

С помощью коэффициента защищенности выводится формула для определения потерь предприятия за счет воздействия не подавленных атак при наличии защиты, и Общие затраты на реализацию системы защиты. Далее строиться график обеих этих зависимостей в одних координатах и находится экономически выгодное соотношение затраченных ресурсов на обеспечение информационной безопасности (рис. 1) Подробно весь этот механизм описан в статье [1]. При использовании данной модели необходимо помнить что она не учитывает имиджевых потерь.

Далее рассмотрим один из способов оценки инцидента ИБ.В качестве оценки инцидента связанного с компрометацией персональных данных используется отношение максимального ущерба воз-

SHmdH = V • k1- k2• const

V- Объем скомпрометированных ПДн; k1 — Коэффициент получателя ПДн; k2 — вероятность компрометации; const — Коэффициент стоимости для систем в организации.

Рекомендации по оценке каждого из коэффициента приведены в статье [2]. Оценка коэффициентов в этой статье максимально формализована и не требует от аудитора каких либо специальных навыков и знаний.

Рассчитав относительную оценку можно сравнить защищенность различных компаний, от маленьких фирм до больших корпораций. Также, для обоснования бюджета на безопасности, можно получить теоретический денежный ущерб от инцидента просто умножив относительную оценку на капитализацию организации. Конечно получившиеся число не будет являться реальным ущербом, но если допустить что максимальный риск организации это потеря всего капитала, то подобная оценка станет полезным инструментом для различных руководителей организации.

Для учета относительной оценки предлагается использовать годовой ущерб нанесенный инцидентами с ПДн. То есть связать коэф-

Рис. 1. Нахождение оптимального количества затрат на безопасность и коэффициента защищенности

фициент защищенности(з) и относительную оценку суммы всех инцидентов произошедших за последний год.

тщ

Коэффициент ежедневно меняться, учитывая все инциденты произошедшие ровно за год с текущего дня.

Основным недостатком этого способа является потребность в инцидентах ИБ. Так как если ни одного инцидента не произойдет, то коэффициент защищенности станет единицей, чего в принципе быть не может. Не смотря на то что этот факт легко объяснить экономически: если за период наблюдения не было зафиксировано ни одного инцидента, то вполне возможно что и за следующий период их не будет, руководствоваться этим при построении системы ИБ нельзя. Вероятность реализации угрозы ИБ никогда не будет нулевой. информацию об этом можно найти в любой литературе по ИБ. Например в [3], [4].

Для устранения этого недостатка необходимо обеспечить достаточное количество инцидентов ИБ. Для этого можно использовать 2 способа. Либо увеличить период наблюдения, либо искусственно увеличить количество атак.

Увеличивать период наблюдения не целесообразно, так как со временем любой программный продукт меняется, меняется его база данных и ценность данных в ней. При большом периоде наблюдения все проводимые оценки будут усредняться что будет вносить большие погрешности в оценку. Также не совсем понятны пределы этого расширения. Поэтому остается искусственно увеличивать количество атак на систему.

Некоторые компании, чтобы тестировать свою систему безопасности специально объявляют конкурсы на поиск уязвимости в своих системах, и платят вознаграждение за их обнаружение. Достаточно действенный способ, однако если стоимость информации которую сможет украсть хакер сильно превысит вознаграждение, то можно никогда так и не узнать о найденной хакером уязвимости , а также о том что вся ваша БД скомпрометирована.

Поэтому самым безопасным и действенным способом для увеличения атак на систему является проведение так называемых "penetration test" (тестов на проникновение), которые производятся сотрудниками организации.

Существует несколько типов атак на проникновение. Для получения максимально объективной оценки рисков необходимо охватить их все. Если атаки определенного типа уже были зафиксирован-ны то соответствующий этой атаке тест пропускается

Рассмотрим основные типы тестов на проникновение:[5]

• Технический тест на проникновение — комплекс мероприятий по имитации действий квалифицированных внешних злоумышленников и инсайдеров, включающий в себя сбор информации о сетевой инфраструктуре корпоративной информационной системы (КИС) компании, выделение целевых точек проникновения, поиск уязвимостей на них, разработку и реализацию векторов проникновения, получение доступа к базе ИСПДн.

• Социотехнический тест на проникновение предназначен для наглядной демонстрации текущего уровня осведомлённости сотрудников компании в вопросах информационной безопасности. На данном этапе производится сбор и упорядочение публично доступной информации о сотрудниках, подготовка и проведение атак на сотрудников с использованием методов "социальной инженерии" через различные точки коммуникаций (соц. сети, эл. почта и т.д.) с целью получения Персональных данных

• Оценка защищённости веб-приложений(проводится для ИСПДн имеющим доступ через web) представляет собой комплекс

мер от анализа конфигурации веб-окружения до ручных и автоматизированных проверок веб-приложения.

• Оценка защищенности беспроводных сетей представляет собой идентификацию точек беспроводного доступа и анализ возможности проникновения через них в ИСПДн компании.

• тест ПЭМИН — обнаружение и измерение побочных электромагнитных излучений и наводок (ПЭМИН) от персональных компьютеров (ПК), оргтехники, аппаратуры связи и средств телекомму-никаций.Обычно проводится только для ИСПДН 1 класса (по классификации 152 фз).

Проводимое тестирование должно затрагивать все имеющиеся ИСПДн и все наборы ПДн в них, поэтому для начала необходимо составить список всех угроз ИБ в организации. Так как на каждом предприятии работающем в России с персональными данными, в соответствии с законом 152 ФЗ, уже должна быть разработана модель угроз, то для избежания дополнительньх трудозатрат можно воспользоваться ей, и проводить тестирование в соответствии с угрозами в модели угроз.

Практическая реализация тестов на проникновение

При проведении тестирования необходимо передерживаться следующей последовательности:

— составить список всех угроз информационной безопаности при защите Пдн. (можно использовать модель угроз которая обязана быть на предприятии обрабатывающем ПДн);

— убрать из списка все произошедшие и оценённые инциденты (в соответствии с базой инцидентов, пример которой приведен в статье [6]);

— провести недостающие тесть для оценки рисков;

— результыты тестов и последствия зарегистрированных атак собираются вместе и на их основе делаются выводы о численном значении параметра защищенностиЫ.

Для примера протестируем ИСПДн, которая имеет web — интерфейс, на возможность реализации одной из угроз.

Выбираем угрозу и списка, которая не была реализована за наблюдаемый период (год). Рассмотрим одну из самых опасных и часто реализуемых угроз — Угроза внедрения (в том числе и по сети) вредоносной программы(программно математического воздействия)

В качестве инструмента для проведения тестирования воспользуемся платформой metasploit FlameWork, так как этот инструмент обладает самой большой в мире общедоступной базой данных проверенных и качественных эксплойтов.

Эксплойт (англ. exploit, эксплуатировать) - компьютерная программа, фрагмент программного кода или последовательность команд, использующие уязвимости в программном обеспечении и применяемые для проведения атаки на вычислительную систему. Целью атаки может быть как захват контроля над системой (повышение привилегий), так и нарушение её функционирования (DoS-атака). (по материалам Wikipedia)

Сначала проведем тест на проникновение с внешней стороны периметра сети. Результаты тестирования на рис. 2.

Как видно из результатов, ни одного известного программе эксплойта применить нельзя, что говорит о высоком уровне защищенности. Теперь попробуем произвести туже атаку но с внутренней стороны сети рис. 2. Из рисунка видно , что если проводить атаку на узел изнутри сети то появляется 6 теоретических возможностей для использования эксплойтов. В данном случае все эти 6 способов известны. Открытие используемых эксплойтами портов обусловлено функционалом ИСПДн размещенной на сервере, а безопасность

год

(ÏÏJmetasploit ^ community' sO| dP Protect - ras ▼ ? Account - letia ▼ £ Administration ▼ t Community f

Overview uc Analysis Sessions ...Campaigns • Web Apps ^ Modules Tags QJ Reports Tasks

Home ras Tasks Task 1 Bfuteforce... О bplort-.

Started 2012-03-26 17 30 04 *0400

Sweep of * ! complete 0 new hosts. 0 new servces) у/ Complete Duraten less man a mm ule

[4] [2012 - 03.26-17:30:091 Workspace rea Progreaa: 1/71 (1%) Sweeping 1 [4] [2012.03.26-17:30:091 Workspace:г** Progress:2/71 (2%) Configuring And lai (•] [2012.03.2£-17:30:09] Scanning 1 hosca.

with Kxap4 prob«* :hing SNMP backgrount

[2012.03.26-17:30:24] Scanned 1 of 1 ho*t* (100% co**>lete)

[2012.03.26-17:30:33] Hmap Ccnur.d (data:C:/*etasploit/n«ap): С : / aetaaploit/natap/nmap exe -aS -Ti [2012.03.26-17: 30:40] Hmap Resulta: reporting acan data

[2012.03.2C-17:30:40] Ног карасе: taa Progreaa ; 4/71 (6%) Sweeping ЯШШЯШЩвЪ with TOP probee [2012.03.26-17:30:40] Sending 12 probe* to L hoata)

12012 OS :£-l'30 SO] Workapace:raa Progreaa : 43/71 <8B%i Sweeping WJth VxMorka ргоЫ

1 -PE -PM -PI -PA20, S3. 80.113, 443. 6060.10043 —hoi

[2012.03.26-17:31 [2012.03.26-17:31 [2012.03.26-17:31 [2012.03.26-17:31 [2012.03.26-17:31 [2012.03.26-17:31

:01] Workspace:raa Progreaa: 66/71 <91%) Normalising ayate« information

:011 Workspace:raa Progreaa:66/71 (92%) Identifying unknown service*

: 01] Workspace :raa Progresa : 67/71 194%) Мог—1 lung system information for newly identified service*

01] Morkspece.ras Progrese:66/71 (96%) Sweeping newly found servicee

01] Workspace raa Progreaa:70/71 (98%> Normalising system information for newly identified eervice*

:01] Workspace rai Progre*a:71/71 (100%) Sweep of.

lasploit Community 420 • Update 1

Рис. 2. Листинг программы тестирования защищенности ИСПДн, с "внешней" стороны

обеспечивается дополнительным мониторингом и настройкой открытых портов. Так что можно сделать вывод что и с внутренней стороны данный ресурс также надежно защищен.

Далее необходимо зарегистрировать и оценить результаты проведенного теста на проникновение.

SBcndH = V ■ к1- к2• const

Возьмем формулы из статьи (3). Так как при проведении теста на проникновение не получилось взломать систему и получить несанкционированный доступ к Персональным данным то количество (объ-

ем ПД) в данном случае равен 0. А следовательно данная атака не представляет угрозы для атакуемой системы и ее оценка также ноль. После проведения всех возможных атак на проникновение, их результаты суммируются и на их основе производится оценки рисков.

Для демонстрации работы учета результатов тестирования на оценку рисков допустим, что одна из шести возможностей эксплуатации уязвимостей не были учтены при построении системы защиты ИСПДн и представляем угрозу

Допустим, что мы не знали до сканирования о возможности вызова удаленной процедуры на 135 порту ^СЕ-1^РС). Для эксплуата-

(ujmetasploit community ШШ aO| dP Protect ras ▼ f Account leha ▼

A Overview u Analysis Sessions . Campaigns •' Web Apps Modules Tags Cm Reports — Tasks

Home ras Tasks Task 2 ¿1 Bruteforce... О t*pkxt...

Started 2012-03-26 17:3852*0400

y' Complete Ograton 1 mnute

фЯерЬу

[41 [2012.03. [41 (2012.03. [•1 [2012.03. [•) [2012.03. (•] [2012.03. 1*1 (2012.03. [41 (2012.03. [4| (2012 03. (41 (2012.03. [4] (2012.03. [4] (2012.03. [4] [2012.03. [41 (2012.03. [4] (2012.03. [4] (2012.03. [4] (2012.03. [41 (2012.03.

26-17:39:46] 1 26-17.39.46) 1 26-17:39:461 1

ce tas Progre**:66/71 (91%) Noraieliaing ayateai information

ce :raa Progzeaa: 66/71 (92%) Identlfying unknown services

for probea foc probea ying port 1433 on .

ying port 3389 on

cerra* Progreaa:67/71 (94%) Normaliaing ayate* information for newly identified aervicea

ce:rea Progress : 68/71 (96%i Sweeping newly found aervicea

ce:ras Progreaa:70/71 (98%) No malixing ayateai information for newly îdentified aervicea

Diacovered Hoat

Diacovered Port 1433 (maagi)

Diacovered Port: 139 tsato)

Diacovered Port 136 idcerpc)

red Port 1027 (dcerpc

red Port 1

red Port: 1389 («a-wbt-aerver)

ce raa Progreaa:7i/7i <100%) Sweep new aervieea)

Рис. 3. Листинг программы тестирования защищенности ИСПДн, с "внутренней" стороны

ции этой уязвимости есть много различных эксплойтов, и при достаточно высокой квалификации злоумышленника, возможно получить доступ в том числе к базе ИСПДн.

Получив доступ, теоретически, злоумышленник может скомпрометировать всю базу данных, но в подобном случае будет легко обнаружен любой IDS системой ( Intrusion Detection System). Поэтому незаметно для IDS системы возможно скомпрометировать не более 50 записей в базе ИСПДн. Оценим оба варианта.

Для начала оценим максимально возможный ущерб для данной ИСПДн, по формуле

SM<ndu = V - к1- k2 - COnSt

— обьем всей базы данных 5000 записей ПДн;

— максимальный k1= 10;

— максимальный k2=3;

— максимальный cost = 3(данные только K3).

Итого S = 5000*10*3*3=450 000.

Вариант 1. Оценка риска компрометации всей базы:

— Скомпрометированна вся база Объемом 5000 записей ПДн.

— Количество получателей ПДн(злоумышленников) - 1, причем высокой квалификации. Судя по характеру и вектору эксплуатации уязвимостей очевидно что это был инсайдер. Коэффициент лояльности в этом случае не играет никакой роли так как был направленный взлом. К1=10.

— Вероятность компрометации мала, и находится в приделах от 1-24% поэтому коэффициент k2 =1.

— В данной ИСПДн обрабатываются данные класса K3. Оценка производилась только в рамках исполнения закона 152 фз(нет более детальной оценки). Поэтому коэффициенту стоимости информации присваивается значение 3.

Итого S = 5000*10*1*3= 150 000.

Вариант2. Оценка риска компрометации части данных

— Скомпрометированно 50 записей.

— Количество получателей ПДн(злоумышленников) — 1, причем высокой квалификации. Судя по характеру и вектору эксплуатации уязвимостей очевидно что это был инсайдер. Коэффициент лояльности в этом случае не играет никакой роли так как был направленный взлом. К1=10.

— Вероятность компрометации средняя, и находится в приделах от 79-25% поэтому коэффициент k2 = 2.

— В данной ИСПДн обрабатываются данные класса КЗ. Оценка производилась только в рамках исполнения закона 152 фз(нет более детальной оценки). Поэтому коэффициенту стоимости информации присваивается значение 3.

Итого S = 50*10*2*3= 3 000.

Посчитаем относительную оценку (отношение максимальной к произошедшей):

— для случая компрометации базы = 0,33;

— для случая компрометации части базы = 0,006.

Довольно большой коэффициент при компрометации всей базы

связан с тем что оценка стоимости данных была не детализирована, и отображает максимальную оценку потерянной информации. При более детальной оценки коэффициент изменяется, и в большинстве случаев в сторону уменьшения .

Если допустить . что была возможность компрометации всей БД, то защищенность системы , в рассмотренных условиях , уменьшится на 0,33 и составит 0,67. Если же имела место компрометация только небольшой части БД, то защищенность уменьшится незначительно и составит примерно 0,994. Подобным образом можно оценить каждую из ИСПДн.

Предложенный механизм является связующим звеном между математической Моделью оценки рисков, и практическим применением метода оценки инцидентов информационной безопасности. Данный механизм позволит быстро и объективно учитывать каждый инцидент ИБ ,оперативно оценить эффективность работы системы информационной безопасности предприятия и обоснованность расходов на нее.

Литература

1. Тамм ЮА Аксенов АЮ. Метод оценки ущерба предприятия при использовании средств защиты баз данных от распределеннык во времени информационных атак. Вопросы оборонной техники, 2011, выпуск №1.

2. Аксенов АЮ. Оценка стоимости утраченных Персональны« Данных (Пдн) в зависимости от их ценности и количества.

3. АА Малюк. Информационная безопасность: концептуальные и методологические основы защиты информации. — М.: Горячая линия — Телеком, 2004 — 280 с.

4. Белкин П.Ю., Михальский О.О., Першаков А.С., Правиков Д.И., Проскурин В.Г, Фоменков ПВ., Щербаков АЮ. Защита программ и данных — М.: Радио и связь. — 188 с.

5. Информация с сайта информ. защиты, предоставляющей услуги по проведению тестов на проникновение.

6. АксеновА.Ю. Реализация Базы инцидентов ИБ.

The mechanism accounting relative evaluation of incidents associated with compromising of personal data (PDN) in the risk assessment model

Aksenov. A.Y., postgraduate CSRIC, Aleksei.aksenov@gmail.com

Abstract

The article examines the impact of incidents compromising the personal data on the assessment of the protection system PDN as a whole. An accounting method of relative evaluation of each incident to the disclosure of personal data in the risk assessment model for the protection of personal data. In fact, this method is an extension of previously developed models of risk assessment for the Protection of Personal Data (RAPDn). On the basis of the proposed method in the article, every incident related to the loss of personal data is taken into account in risk assessment models for the Protection of PDN. Model risk assessments will vary depending on each of the incident, which will immediately draw conclusions about the need for new security measures at the plant to maintain a given level of security.

Keywords: risk assessment, personal data, mode, information security, penetration test.