CC BY
778
УДК 004.056.57
И. В. Аникин, Л. Ю. Емалетдинова, А. П. Кирпичников МЕТОДЫ ОЦЕНКИ И УПРАВЛЕНИЯ РИСКАМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ В КОРПОРАТИВНЫХ ИНФОРМАЦИОННЫХ СЕТЯХ
Ключевые слова: информационная безопасность, оценка рисков.
В статье рассмотрены основные методы качественной и количественной оценки рисков информационной безопасности в корпоративных информационных сетях. Поднята актуальность применения теории нечетких множеств при оценке рисков ИБ.
Keywords: information security, risk assessment.
We considered different methods for qualitative and quantitative risk assessment in telecommunication networks. We raised a question about using fuzzy sets in information security risk assessment process.
В настоящее время выделяют два основных подхода к обеспечению информационной безопасности (ИБ) корпоративных информационных сетей (КИС) - обеспечение базового уровня ИБ [1], а также подход, основанный на оценке и управлении рисками ИБ [2,3].
На базовом уровне обеспечения ИБ ставятся задачи, связанные с проверкой соответствия компонентов КИС всем обязательным требованиям стандартов и нормативных документов, проверкой защищенности компонентов КИС от основных угроз.
При реализации подхода, основанного на оценке и управлении рисками ИБ, ставится более широкий спектр задач: оценка факторов риска ИБ (возможность реализации угрозы и возможный ущерб), оценка актуальности угроз, снижение уровня риска ИБ до приемлемого уровня.
Актуальность применения второго подхода обусловлена реализацией эффективных механизмов определения актуальных угроз и выбора адекватных мер защиты информации в КИС c позиции ожидаемого ущерба. В дальнейшем в работе рассматриваются методы, реализующие второй подход.
Под риском ИБ понимается потенциальная опасность нанесения ущерба организации в результате реализации некоторой угрозы с использованием уязвимостей [4]. Выделяют два способа оценки рисков - двухфакторный и трехфакторный. При использовании первого подхода риск ИБ определяется согласно выражению (1). При использовании второго подхода риск ИБ определяется согласно выражению (2).
R(T ) = Poss(T )• Impact(T ) (1)
R^V, T ) = Poss(V) • Poss(T ) • Impact(T ) (2)
где Poss(v) - возможность использования уязвимости V, Poss(T) - возможность реализации угрозы T через заданную уязвимость V, Impact(T) - ущерб от реализации угрозы T.
Исходя из этого, выделяют следующие основные факторы риска ИБ: возможность реализации угрозы, возможность использования уязвимости, ущерб от реализации угрозы. В случае качественной оценки рисков ИБ, данные факторы оцениваются на качественных шкалах, в случае количественной
оценки рисков ИБ - на непрерывных числовых интервалах.
Методы качественной оценки рисков ИБ
Метод NIST SP 800-30 достаточно хорошо описывает общий подход к решению задачи оценки рисков ИБ и включает в себя 9 основных шагов:
- определение характеристик системы.
- определение уязвимостей.
- определение угроз.
- анализ мер безопасности.
- определение вероятности.
- анализ влияния.
- определение риска.
- выработка рекомендаций.
- документирование результатов.
В приложениях данного документа представлена достаточно хорошо проработанная классификация угроз и их источников, уязвимостей, представлены контрольные вопросы.
Метод OCTAVE был разработан координационным центром CERT и достаточно часто используется для внутренней оценки рисков ИБ организациями. Метод OCTAVE предполагает организацию работ по оценке рисков в несколько этапов (фаз). Каждая фаза включает в себя несколько процессов, которые в свою очередь включают в себя ряд симпозиумов. На симпозиумах происходит обсуждение важных вопросов, выработка стратегии работы.
Фаза 1 предполагает построение профиля угрозы на основе активов. Команда анализа определяет, какие активы организации являются самыми важными для организации и определяют, что делается в настоящее время для защиты данных активов.
Фаза 2 предполагает идентификацию уязвимостей инфраструктуры. Для каждого из выбранных на фазе 1 активов определяются ключевые компоненты информационных систем. Команда анализа исследует эти ключевые компоненты на наличие уязвимостей (организационных, технологических, технических, программных, связанных с человеческим фактором).
Фаза 3 предполагает разработку стратегии защиты и планов по уменьшению рисков информационной безопасности. Команда анализа идентифицирует все угрозы информационной безопасности,
определяет возможный ущерб от реализации каждой угрозы, создает критерии оценки рисков информационной безопасности, по которым строится профиль риска для каждого критического актива. На основе этого вырабатывается стратегия защиты и планы по уменьшению рисков.
Метод OCTAVE использует каталог защитных мер и профиль угрозы, а в ходе оценки рисков строится профиль актива. Профили угроз представляют собой деревья, вид которых зависит от источника угроз.
Метод CRAMM был разработан Агентством по компьютерам и телекоммуникациям Великобритании и используется в качестве государственного стандарта. В настоящее время разработано несколько модификаций данного стандарта, ориентированных на различные прикладные области. На первом этапе метода CRAMM строится модель активов информационной системы. Данная модель описывает взаимодействие между различными видами активов. Затем определяется ценность активов на основании возможного ущерба. На втором этапе метода CRAMM производится трехфакторная оценка рисков ИБ. При этом производится идентификация и оценка вероятности угроз, оценка величины уязвимостей и определение рисков для элементов «актив-угроза-уязвимость». Оценка рисков производится без учета реализованных контрмер. На третьем этапе метода CRAMM определяется набор мер безопасности, направленных на минимизацию полученных рисков. Производится сравнение рекомендуемых и существующих контрмер. CRAMM обладает большой базой с примерами реализации систем защиты информации для различных автоматизированных систем. На данную базу можно опираться при составлении собственной модели автоматизированной системы.
Кроме этого, существует множество отраслевых и корпоративных стандартов оценки рисков ИБ, которые, как правило, используют качественные подходы в силу удобства их применения. К данным стандартам можно отнести:
- РС БР ИББС-2.2-2009
- СТО Газпром 4.2-3-003-2009
Методы количественной оценки рисков информационной безопасности
Метод RiskWatch является одним из мощнейших методов количественного анализа и управления рисками. В методе RiskWatch производится количественная оценка общего объема потерь в год (ALE) и коэффициента возврата от инвестиций (ROI) при внедрении средств защиты информации в автоматизированной системе.
Метод реализует оценку рисков в четыре
этапа:
1. Определение границ проводимого исследования. Здесь определяются вид организации, состав автоматизированной системы, основные требования по защите информации. В методе присутствуют различные шаблоны для различных типов организации (например, "коммерческая организация", "государственная автоматизированная система" и т.д.). В данных шаблонах присутствуют виды защищаемых
ресурсов, возможных потерь, угроз информационной безопасности, уязвимостей и мер по защите информации.
2. Подробное описание всех свойств исследуемой системы (активы, возможные потери и инциденты). Возможность реализации угроз определяется через оценку их частоты. Методика включает в себя ряд баз с оценками различных частот: LAFE (сколько раз в среднем в год реализуется исследуемая угроза в конкретном месте) и SAFE (сколько раз в среднем в год реализуется исследуемая угроза в данной "части мира"). Используются также коэффициенты, определяющие процент воздействия угрозы на актив (например, актив может быть уничтожен не полностью, а только частично).
3. Третий этап - количественная оценка рисков. На данном этапе определяются количественные значения рисков и выбираются меры обеспечения безопасности. Для каждой из контрмер определяется стоимость внедрения, стоимость поддержки, время жизни и текущий процент реализации.
Риск информационной безопасности оценивается как стоимость актива, умноженная на вероятность реализации угрозы.
4. На заключительном этапе метода строятся различные виды отчетов по результатам оценки рисков.
Метод Digital Security рассматривает две основных модели оценки рисков: модель информационных потоков и модель анализа угроз и уязвимо-стей. В первой модели оценка рисков ИБ выполняется путем построения модели исследуемой автоматизированной системы. При этом рассматриваются средства защиты, взаимодействие активов, права доступа пользователей, организационные меры защиты. Во второй модели оценка каждого актива определяется путем анализа угроз для активов и уяз-вимостей, через которые данные угрозы могут быть реализованы. Оценивается вероятность реализации актуальных угроз и степень их влияния на ресурсы, в результате этого определяются информационные риски.
Метод ISRAM был разработан Институтом Электроники и Криптографии совместно с Турецким Технологическим институтом Гебзе. Данный метод использует опросные листы для оценки факторов риска и вычисляет уровень риска в виде произведения вероятности реализации угрозы и ее последствий. Данный уровень риска находится в диапазоне от 1 до 25 и вычисляется по следующей формуле (3).
í í Z Ti Z wiP¡
Risk =
ZT
21
Z wJPJ
(3)
В (3) значение I показывает номер вопроса, используемого для оценки вероятности реализации угрозы, ] - номер вопроса, используемого для оценки последствий от реализации угрозы, т и п - количество экспертов, участвующих в опросе, wi и Wj - веса
вопросов, рI и pj - количественные значения вы-
m
n
бранных ответов на вопросы с номерами i и j, T и T2 - порядковые шкалы для оценки вероятности реализации угроз и последствий.
Метод iRisk предлагает достаточно простой метод количественной оценки рисков ИБ в организациях. Данный метод может быть легко использован внутри различных моделей управления рисками.
В общем виде, оценка риска ИБ в данном методе осуществляется с помощью формулы (4) iRisk = (Vulnerability х Threat) - Control (4)
где Vulnerability - оценка уязвимости, Threat -
оценка угрозы, Control - оценка мер безопасности.
Оценка уязвимости осуществляется на базе известного метода CVSS V2 «A Complete Guide to the Common Vulnerability Scoring System», используя только базовые метрики. При оценке угрозы выполняют оценку возможности реализации угрозы (likelihood) и степени ее влияния (impact). Степень влияния угрозы оценивается через частные показатели ущерба. Для оценки возможности реализации угрозы используют оценки двух показателей: ARO (ожидаемое количество реализаций рассматриваемой угрозы в течение года), а также уровень знаний и необходимый уровень доступа злоумышленника в КИС. Оценка мер безопасности осуществляется с помощью определения типов и оценки эффективности используемых или планируемых мер безопасности в КИС.
Аналитические методы оценки рисков информационной безопасности
Аналитические методы оценки и управления рисками ИБ предполагают оценку факторов риска на основе владения статистической информацией об угрозах, вероятностях их возникновения и возможных ущербах. Следует отметить, что практическое использование данных методов часто осложняется в связи с отсутствуем статистической информации по ряду угроз.
Суть аналитических методов оценки и управления рисками ИБ в информационно-телекоммуникационных системах достаточно хорошо изложены в работах [5,6]. Примеры методов нечеткой оценки рисков ИБ представлены в [7,8]
Преимуществом использования теории нечетких множеств в задачах оценки рисков информационной безопасности является возможность формировать экспертные оценки в условиях неполноты и качественности исходной информации. Данные методы могут найти широкое применение не только при оценке рисков информационной безопасности, но и при оценке рисков в других сферах деятельности [9].
Литература
1. Аникин И.В., Ляшко Д.А. Система удаленного администрирования средствами защиты информации от несанкционированного доступа // Вестник КГТУ им. А.Н. Туполева. -Казань, 2012 № 4. стр. 213-221
2. Аникин И.В. Управление внутренними рисками информационной безопасности корпоративных информационных сетей // Научно-технические ведомости Санкт-Петербургского государственного политехнического университета. Информатика. Телекоммуникации. Управление. 2009. Т. 3. № 80. С. 35-40.
3. Аникин И.В. Метод количественной оценки уровня ущерба от реализации угроз на корпоративную информационную сеть // Информационные технологии. 2010. № 1. С. 2-6.
4. NIST SP 800-30 Revision 1, Guide for Conducting Risk Assessments, September 2012.
5. Радько Н.М., Скобелев И.О. Риск-модели информационно-телекоммуникационных систем при реализации угроз удаленного и непосредственного доступа. - М. РадиоСофт, 2010. - 232 с.
6. Остапенко Г.А., Карпеев Д.О., Плотников Д.Г., Батищев Р.В., Гончаров И.В., Маслихов П.А., Мешкова Е.А., Морозова Н.М., Рязанов С.А., Субботина Е.В., Транин В.А. Риски распределенных систем: методики и алгоритмы оценки и управления // Информация и безопасность, 2010, № 4. - с. 485-530.
7. Аникин И.В. Метод оценки внутренних рисков информационной безопасности корпоративных информационных сетей // Информация и безопасность. 2014. Т. 17. № 2. С. 320323.
8. Аникин И.В. Метод оценки рисков для уязвимостей информационных систем, основанный на нечеткой логике // Информация и безопасность. 2014. Т. 17. № 3. С. 468-471.
9. Колесников Е.Ю., Теляков Э.Ш. Качественный и количественный этапы оценки неопределенности аварийного риска // Вестник Казанского технологического университета, 2014. Т.17, № 23. - C. 424-427.
© И. В. Аникин - канд. техн. наук, зав. каф. систем информационной безопасности КНИТУ-КАИ, anikinigor777@mail.ru; Л. Ю. Емалетдинова - док. техн. наук, профессор каф. прикладной математики и информатики КНИТУ-КАИ, email: lilia@stcline.ru; А. П. Кирпичников - док. физ.-мат. наук, зав. каф. интеллектуальных систем и управления информационными ресурсами КНИТУ, kirpichnikov@kstu.ru.
© 1 V. Anikin - PhD, Head of the Information security systems department, KNRTU-KAI, anikinigor777@mail.ru; L. Yu. Emaletdinova - Dr. Sci, professor of Applied mathematics and informatics department KNRTU-KAI, lilia@stcline.ru; A. P. Kirpichnikov- Dr. Sci, Head of the Intelligent systems and information assets management department, KNRTU, kirpichnikov@kstu.ru.
