Обеспечение информационной безопасности корпоративных информационных сетей через оценку и управление рисками Текст научной статьи по специальности «Экономика и бизнес»

УДК 004.056.57

И. В. Аникин, Л. Ю. Емалетдинова, А. П. Кирпичников

ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ КОРПОРАТИВНЫХ ИНФОРМАЦИОННЫХ СЕТЕЙ ЧЕРЕЗ ОЦЕНКУ И УПРАВЛЕНИЕ РИСКАМИ

Ключевые слова: корпоративные информационные сети, информационная безопасность.

В статье рассматривается проблема обеспечения безопасности КИС через оценку и управления рисками ИБ. Рассматриваются основные сложности и выполняется постановка задач.

Keywords: computer networks, information security.

We considered the problem of information security in computer networks through the risk assessmen and management. We considered basic differences and raised basic tasks.

Обеспечение информационной безопасности корпоративных информационных сетей (КИС) является одним из приоритетных направлений в настоящее время. Широкий спектр угроз и уязвимостей компонентов КИС заставляет предприятия уделять все более серьезное внимание данному направлению.

Под КИС понимают сеть, участниками которой может быть ограниченный круг лиц, определенный ее владельцем или соглашением участников этой сети. КИС относятся к распределенным сетям, в рамках которых осуществляется автоматизированная обработка информации с помощью корпоративных информационных систем. Основные особенности современных КИС связаны с тем, что в них:

- присутствует значительное множество угроз и уязвимостей компонентов;

- циркулирует как открытая информация, так и информация ограниченного доступа, подлежащая защите;

- реализуется множество ИТ-сервисов, поддерживающих работу пользователей КИС, а также работу самой КИС;

- наблюдается высокая степень разнородности СВТ и средств связи, а также ПО;

- территориально разнесены компоненты, между которыми реализуется интенсивный обмен информацией.

Данные особенности следует учитывать при проектировании системы защиты информации КИС.

В таблице 1 представлена характеристика уровней КИС, с различным составом находящихся на них защищаемых активов.

С точки зрения защиты КИС наиболее часто рассматриваются активы, находящихся на уровнях технического, информационного и программного обеспечения. К таким активам относятся: АРМ, сервера, телекоммуникационное оборудование, информационные активы и ИТ-сервисы КИС.

Эксплуатация любых КИС осуществляется в условиях потенциально опасных воздействий искусственного и естественного характера. Данные воздействия являются проявлениями угроз ИБ. Под угрозой ИБ понимается совокупность условий и факторов, создающих потенциальную или реально существующую опасность нарушения безопасности информации. Угрозы ИБ реализуются через определенные уязвимости - свойства КИС, предостав-

ляющие возможность реализации угроз безопасности обрабатываемой в ней информации.

Таблица 1 - Уровни КИС

Уровень Характеристика Состав активов

Техни- Совокупность всех АРМ, сервера,

ческое технических телекоммуни-

обеспече- средств КИС кационное обо-

ние рудование

Информационное Совокупность решений по объему, Базы данных, выборки из БД,

обеспече- размещению и фор- электронные

ние мам существования информации, при- документы, системные

меняемой в КИС файлы, резерв-

при ее функциони- ные копии

ровании

Про- Совокупность про- ИТ-сервисы

граммное обеспече- грамм, предназначенная для функ- КИС

ние ционирования, отладки и проверки работоспособности КИС

Органи- Пользователи и Пользователи,

зационное обеспечение эксплуатационный персонал КИС, обеспечивающий функционирование, проверку, обеспечение работоспособности эксплуатационный персонал

Матема- Совокупность ма- Математиче-

тическое тематических мето- ские методы,

обеспече- дов, моделей и ал- модели,алго-

ние горитмов ритмы

Лингвис- Совокупность

тическое обеспече- средств и правил для формализации Средства и

ние ЕЯ, используемых при обращении правила для формализации

пользователей и ЕЯ

эксплуатационного

персонала

В настоящее время обеспечение защищенности КИС осуществляется с позиций рисков информационной безопасности. Под риском ИБ понимается возможный ущерб организации в результате реализации некоторой угрозы через уязвимость. На рис. 1. представлена диаграмма возникновения риска ИБ.

Таблица 2 - Сравнительный анализ существующих подходов к оценке рисков ИБ

Рис. 1 - Диаграмма возникновения риска ИБ

Таким образом, риск возникает при наличии источника угрозы и наличии эксплуатируемой уязвимости, через которую может реализовываться данная угроза. Оценка рисков может осуществляться двухфакторым (1) или трехфактоным методом (2).

r(t ) = Poss (Т )• Impact (T ) (1)

r(v , T ) = Poss (V ) • Poss(T) • Impact (T ) (2)

где Poss (V) - возможность использования уязвимости V, Poss(T) - возможность реализации угрозы T через заданную уязвимость V, Impact(t) - ущерб от

реализации угрозы T.

Исходя из формул (1) и (2) выделяют следующие основные факторы риска ИБ: возможность реализации угрозы, возможность использования уязвимости, ущерб от реализации угрозы.

Выделяют качественные и количественные методы оценки рисков ИБ в КИС. Задачей первой группы методов является экспресс-оценка рисков, нацеленная на быстрое определение актуальных угроз. Способо решения данной задачи является введение порядковых шкал для оценки факторов риска, а также матриц для оценки уровней риска ИБ. Примерами методов первой группы являются NIST SP 80030, OCTAVE, CRAMM Задачей второй группы методов является детальный анализ процессов, происходящих в КИС и формирование экономических оценок на основе оценок риска ИБ. Способом решения данной задачи является использование непрерывных числовых интервалов для оценки факторов риска ИБ. Примерами методов второй группы являются RiskWatch, ISRAM, FAIR, iRisk.

Сравнительный анализ подходов к оценке рисков ИБ представлен в таблице 2.

На рис. 2. представлен анализ методологии оценки рисков ИБ КИС с точки зрения решаемых задач согласно документу NIST SP 800-30.

Основной задачей идентификации КИС яв-лятся ее моделирование, включающее в себя инвентаризацию и учет взаимодействия существующих активов.

^^^^ Подход Качест- Количест-

венная венная

оценка оценка

рисков ИБ рисков ИБ

Простота в исполь- Да Нет

зовании

Хорошая интерпре- Нет Да

тируемость в рам-

ках экономических

моделей

Простота примене- Нет Да

ния математическо-

го аппарата для формирования оп-

тимальной сово-

купности защитных

мероприятий

Точность форми- Да Нет

руемых оценок

Этапы оценки риска (NIST SP 800-30)

Основные задачи

Рис. 2 - Анализ методологии оценки рисков ИБ согласно NIST SP 800-30

На этапах определения угроз и уязвимостей решается задача построения модели угроз КИС. Пример классической модели угроз КИС в виде трехдольного графа Gш: А6-дд х ЙбМх Я^ представлен на рис. 3, где А6-дй - множество уязвимостей, Аш - множество угроз, - множество

активов КИС верхнего уровня вложенности с точки зрения реализации угроз.

На этапе анализа мер безопасности решается задача построения модели защиты КИС. Пример такой модели для решения задачи оценки и управления рисками ИБ предложен в [1].

Основными задачами, решаемыми на этапе оценки ущерба от реализации угроз, являются задачи определения множества частных показателей, влияющих на ущерб от реализации угроз, оценка критичности активов КИС и ущерба от реализации угроз на основе оценки частных показателей.

Уязвимости Угрозы Активы Рис. 3 - Модель угроз КИС в виде трехдольного графа ву

Основными подзадачами, решаемыми на этапе оценки возможности реализации угроз, являются определение и оценка множества частных показателей, влияющих на возможности реализации угроз и использования уязвимостей.

На последнем этапе выполняется оценка рисков ИБ согласно формулам (1) или (2).

На рис. 4. представлен анализ методологии управления рисками ИБ КИС с точки зрения решаемых задач согласно документу N181 8Р 800-30.

В настоящее время значительное внимание уделяется количественным методам оценки рисков ИБ в связи с их хорошей интерпретируемостью в рамках экономических моделей и простотой применения математического аппарата для формирования оптимальной совокупности защитных мероприятий. Однако данные методы сложны в использовании и требуют глубокого анализа всех процессов, происходящих в КИС. Зачастую отсутствует статистика по реализации ряда угроз, что затрудняет применение аналитических методов для оценки вероятности их реализации. Кроме этого количественные оценки факторов риска часто являются неточными, поскольку зависят от глубины анализа КИС и квалификации эксперта. Эксперты часто не могут сформировать точные оценки в связи с нечеткой природой оцениваемых объектов, недостаточностью и неопределенностью исходной информации.

Оценка уровня снижения риска при внедрении определенных защитных мер, основанная на модели угроз КИС

Оценка стоимости защитных мер на основе оценки частных показателей

Оценка эффективности защитных мер, основанная на уровне снижения риска и стоимости защитных мероприятий

Решение оптимизационных задач по снижению рисков ИБ в условиях существующих ограничений

Рис. 4 - Анализ методологии управления рисками ИБ согласно тЭТ ЭР 800-30

Особенностями исходных данных при количественной оценке рисков ИБ, создающих определенные сложности при их практическом использова-ниии, являются:

- качественный характер большинства частных показателей факторов риска ИБ.

- неопределенность и нечеткость исходной информации;

- противоречивость оценок факторов риска, даваемых экспертами.

Это актуализирует применение при решении данных задач методов теории нечетких множеств [3,6] и метода анализа иерархий [7,8].

Данные методы позволяют формировать оценки рисков, которые хорошо интерпретируются в рамках экономических моделей. Данные оценки можно эффективно использовать при решении оптимизационных задач при управлении рисками ИБ. С другой стороны использование нечетких методов

позволяет учесть неполноту, неточность и нечеткость знаний эксперта.

В связи с вышеизложенным, актуальной задачей для современных КИС является разработка методологии количественной оценки и управления рисками ИБ в КИС для работы в условиях неопределенности исходной информации, нечеткого и качественного характера большинства частных показателей, влияющих на возможность реализации угроз и использования уязвимостей, а также определяющих ущерб [2,4,5,9].

Решение данной задачи требует решения следующих основных подзадач:

- разработки теоретико-множественной модели корпоративной информационной сети, учитывающей различные виды активов и особенности их взаимодействия.

- разработки метода нечеткой оценки рисков информационной безопасности в условиях неопределенности, нечеткости и качественности исходных данных.

- разработки метода нечеткой оценки ущерба от реализации угроз.

- разработки методов и алгоритмов нечетких оценок возможности реализации угроз.

- разработки методов и алгоритмов нечетких оценок возможности использования уязвимо-стей.

- разработки метода оптимального управления рисками информационной безопасности, основанного на оценке эффективности реализуемых защитных мер и существующих финансовых ограничений.

- разработка программного комплекса количественной оценки и управления рисками ИБ в КИС на основе предложенных моделей, методов и алгоритмов.

Решение данных задач позволит повысить эффективность защиты КИС.

Литература

1. Аникин И.В., Оценка рисков ИБ в компьютерных сетях // Проблемы техники и технологий телекоммуникаций ПТиТТ-2014: Материалы XV Международной научно-технической конференции. - Т.2. Казань, 18-21 ноября 2014 года. - Казань: Изд-во Казан. гос. техн. ун-та, 2014. - с. 303304.

2. Аникин И.В. Управление внутренними рисками информационной безопасности корпоративных информационных сетей // Научно-технические ведомости Санкт-Петербургского государственного политехнического университета. Информатика. Телекоммуникации. Управление. 2009. Т. 3. № 80. С. 35-40.

3. Глова В.И., Аникин И.В., Шагиахметов М.Р. Система нечеткого моделирования для решения задач повышения нефтедобычи // Вестник Казанского государственного технического университета им. А.Н. Туполева. 2001. № 3. С. 59-61.

4. Аникин И.В. Метод количественной оценки уровня ущерба от реализации угроз на корпоративную информационную сеть // Информационные технологии. 2010. № 1. С. 2-6.

5. Аникин И.В. Метод оценки внутренних рисков информационной безопасности корпоративных информационных сетей // Информация и безопасность. 2014. Т. 17. № 2. С. 320323.

6. Аникин И.В. Метод оценки рисков для уязвимостей информационных систем, основанный на нечеткой логике // Информация и безопасность. 2014. Т. 17. № 3. С. 468-471.

7. Аникин И.В. Метод анализа иерархий в задачах оценки и анализа рисков информационной безопасности // Вестник Казанского государственного технического университета им. А.Н. Туполева. 2006. № 3. С. 11-18.

8. Аникин И.В., Кирпичников А.П. Применение метода анализа иерархий для решения задачи выбора антивирусных продуктов // Вестник Казанского технологического университета. 2014. Т. 17. № 12. С.187-189.

9. Аникин И.В., Емалетдинова Л.Ю., Кирпичников А.П. Методы оценки и управления рисками информационной безопасности в корпоративных информационных сетях // Вестник Казанского технологического университета. 2015. Т. 18. № 6. С. 195-197.

© И. В. Аникин - канд. техн. наук, зав. каф. систем информационной безопасности КНИТУ-КАИ, anikinigor777@mail.ru; Л. Ю. Емалетдинова - док. техн. наук, профессор каф. прикладной математики и информатики КНИТУ-КАИ, lilia@stcline.ru; А. П. Кирпичников - док. физ.-мат. наук, зав. каф. интеллектуальных систем и управления информационными ресурсами КНИТУ, kirpichnikov@kstu.ru.

© I. V. Anikin, PhD, Head of the Information security systems department, KNRTU-KAI, anikinigor777@mail.ru; L. Yu. Emaletdinova - Dr. Sci, professor of Applied mathematics and informatics department KNRTU-KAI, lilia@stcline.ru; A. P Kirpichnikov, Dr. Sci, Head of the Intelligent systems and information assets management department, KNRTU, kirpichnikov@kstu.ru.