ВЫЧИСЛИТЕЛЬНЫЕ МАШИНЫ, КОМПЛЕКСЫ И КОМПЬЮТЕРНЫЕ СЕТИ
УДК:004+681
ББК:30
Губарева О.Ю.
ОЦЕНКА РИСКОВ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ В ТЕЛЕКОММУНИКАЦИОННЫХ СЕТЯХ
Gubareva O. Y.
RISK ASSESSMENT INFORMATION SECURITY IN TELECOMMUNICATIONS
NETWORKS
Ключевые слова: информационная безопасность, ИТ-система, информационная система, телекоммуникационная компания, биллинговая система, угроза, риск.
Keywords: information security, IT system, information system, telecommunications company, billing system, threat, risk.
Аннотация: современному этапу развития общества характерен непрерывный процесс информатизации и совершенствования телекоммуникационных технологий. Благодаря чему, сфера внедрения коммуникационных и вычислительных систем постоянно расширяется, затрагивая все новые стороны жизни общества. В связи с этим важной задачей является обеспечение достаточной степени защищенности этих систем для их эффективного функционирования в условиях проявления информационных угроз, для чего, в свою очередь, необходимо наличие адекватной методологии анализа и управления информационными рисками.
Abstract: modern society is characterized by a continuous process of improvement of information and communication technologies. Thereby, the scope of the implementation of communication and computer systems is constantly growing, affecting all aspects of life in the new society. In this regard, an important task is to ensure a sufficient level of protection of these systems to function effectively under conditions of information threats, which in turn requires an adequate methodology of analysis and information risk management.
Телекоммуникационные компании (ТК) - одни из самых чувствительных к надежной и безопасной работе информационных систем (ИС) - предоставляемые ими услуги практически полностью создаются на основе ИТ-решений. От этого зависит не только их качество, а значит репутация операторов связи и лояльность клиентов, но и легитимность оказания услуг. Особую важность представляют вопросы борьбы с мошенничеством и гарантирования доходов [1].
Так как на сегодняшний день компании телекоммуникационной отрасли имеют очень высокую оснащенность средствами обеспечения информационной безопасности (ИБ), на первый план выходят решения, позволяющие оптимизировать и автоматизировать процессы ИБ, повысить управляемость, обеспечить прозрачность, легитим-
ность и катастрофоустойчивость. В связи с этим возрастает актуальность задачи сохранения стабильности работы компании. Наиболее важной составляющей решения, которой является обеспечение непрерывности функционирования бизнес-процессов.
Сложность бизнес-процессов, их постоянное изменение, а также наличие большого числа разрозненных ИС приводят к тому, что традиционные способы управления правами доступа к ИТ-системам, имеющиеся в ТК, становятся неэффективными с точки зрения безопасности и затрат ресурсов.
В ТК из-за усложнения ИТ-систем увеличивается уровень рисков ИБ, что требует адекватного усиления защитных механизмов. Кроме того, в случае слияния телекоммуникационных компаний зачастую нужно оптимально провести унификацию
используемых технологических средств. При этом очень важно как выбрать оптимальные технологии, так и достичь максимальной эффективности.
Возрастание конкуренции на рынке телекоммуникационных услуг провоцирует снижение денежной отдачи в расчете на одного абонента. Для компенсации этого многие операторы вводят дополнительные услуги. Предоставление услуг по ИБ может осуществляться на платной основе, однако, зачастую они являются add-on услугами и преследуют цели увеличения лояльности и повышения конкурентоспособности. В результате ТК за счет предоставления дополнительных высокотехнологичных услуг могут отстраниться от конкурентов, увеличить денежную отдачу от каждого абонента и получить конкурентные преимущества.
Обеспечение безопасности систем управления предприятием и биллинговых систем. Внедрение систем класса ERP создает конкурентное преимущество для ТК. Биллинговые системы вообще являются неотъемлемой частью ИТ-системы каждого оператора. Однако в результате автоматизации бизнес-процессов появляются дополнительные риски - риски ИБ. Это связано с возникновением новых и возрастанием уже существующих угроз безопасности, например, таких, как нарушение непрерывности автоматизированных бизнес-процессов из-за сбоев в ИТ или утечка конфиденциальной информации [2].
Состояние ИБ ТК оценивается различными регулирующими органами как соответствие нормативным требованиям и законодательным актам. Несоответствие установленным требованиям увеличивает риск возникновения претензий и применения в отношении них различных взысканий, штрафов и т.п. Сегодня важно уметь контролировать и оперативно управлять всеми процессами ИБ, поддерживать требуемый уровень ИБ, отслеживать выполнение заданных целевых показателей эффективности (KPI) обеспечения ИБ в режиме реального времени [3].
Требования к безопасности ТК устанавливаются путем методического определения рисков безопасности. Как только установлены требования к безопасности и
риски, а также приняты решения по обработке этих рисков, следует выбрать и внедрить допустимые средства управления для снижения рисков до приемлемого уровня.
Минимальные (базовые) требования безопасности формулируются в общем виде, без учета категории, присвоенной ИС. Они задают базовый уровень ИБ, им должны удовлетворять все ИС ТК. Результаты категорирования важны при выборе регуляторов безопасности, обеспечивающих выполнение требований, сформулированных на основе анализа рисков.
При выборе мер для повышения уровня защиты ИС учитывается одно принципиальное ограничение - стоимость реализации этих мер не должна превышать стоимости защищаемых информационных ресурсов, а также убытков компании от возможного нарушения конфиденциальности, целостности или доступности информации.
Современные методы оценки рисков имеют ряд ограничений. Вместе с тем сам рискориентированнный подход к управлению ИБ ТК представляется перспективным, в связи, с чем необходимо, во-первых, использовать имеющиеся методики в качестве источника информации для принятия решений; во-вторых, совершенствовать методы оценки рисков в направлении преодоления тех ограничений и недостатков, которыми они обладают в настоящее время.
Исходя из стандартов в области управления ИБ систем (ISO IEC 17799; ISO IEC 27001; BS 7799-3; NIST 800-30), выделяют общую для всех модель оценки рисков ИБ, где риск определяется как отображение множества угроз U на некоторое числовое множество значений меры риска R: Risk: U^R
В частном случае риск можно рассмотреть как функционал угрозы: Risk=f(U)
В общем случае не определяется, каким образом производится отображение, угроза рассматривается как абстрактный объект [4].
Но для ТК данная методика не применима, так как, по сути, этот обобщённый метод является не эффективным для анализа столь обширного числа показателей. Для крупных ТК не просто благоразумно, но и
не обходимо применять более детальный анализ рисков ИБ, который осуществляется с помощью построения модели ИС организации, с рассмотрением средств защиты ресурсов с ценной информацией, взаимосвязь ресурсов между собой, влияние прав доступа групп пользователей, организационные меры, с применением методов моделирования для исследования защищенности каждого вида информации. В ходе анализа должны быть получены следующие данные:
- инвентаризация ресурсов;
- значения риска для каждого ценного ресурса организации;
- значения риска для ресурсов после задания контрмер (остаточный риск);
- эффективность контрмер;
- рекомендации экспертов по устранению уязвимостей системы ИБ.
Результаты оценки рисков нарушения ИБ должны документально фиксироваться.
В настоящее время для анализа рисков ИБ применяют системы, которые позволяют оценить существующие в системе риски и выбрать оптимальный по своей эффективности вариант защиты. Чаще всего данный расчёт проводят из соотношения существующих в системе рисков к затратам на ИБ. Данную задачу решают программные комплексы, разработанные для анализа и контроля информационных рисков - это британский CRAMM (компания Insight Consulting), американский RiskWatch (компания RiskWatch), российский ГРИФ (компания Digital Security) и АванГард (компания Института системного анализа РАН), так же на западном рынке можно встретить SIS SI, COBRA, MINIRISK, Microsoft, Buddy System, RISAN, Facilitated Risk Analysis Process -FRAP (компании Peltier and Associates), OCTAVE (разработана Software Engineering Institute at Carnegie Mellon University) [5].
Все методики, применяемые в данных программных продуктах, условно можно разделить на следующие три вида:
- методики, использующие оценку риска на качественном уровне (например, по шкале "высокий", "средний", "низкий"). К таким методикам, в частности, относится FRAP;
- количественные методики (риск оценивается через числовое значение, на-
пример размер ожидаемых годовых потерь). К этому классу относится методика RiskWatch;
- методики, использующие смешанные оценки (такой подход используется в CRAMM, методике Microsoft и т.д.).
Как количественный, так и качественный анализ рисков ИБ является одной из наиболее сложных задач в общей системе организационной и аналитической работы. Методологии анализа рисков и программные средства, реализующие эти методологии, как правило, предполагают выполнение следующих основных шагов, необходимых для формирования комплексной оценки существующих рисков:
- сбор информации об объектах защиты;
- выявление и оценка возможных угроз и уязвимостей;
- формирование сводной оценки рисков.
Основными функциями, реализуемыми программным обеспечением такого типа, являются сбор первичных данных о действиях пользователей, их автоматизированный анализ с учетом требований политики безопасности и осуществление необходимых активных действий: информирование администраторов, временное ограничение прав пользователей и тому подобное [6].
Проведя сравнение существующих систем анализа рисков ИБ, стоит отметить, что они направлены на крупные компании в общем, но ни одна из таких систем не проводит соответствия требований ИБ с мировыми стандартами применимыми в телекоммуникационной отрасли, а так же не учитывает специфические аспекты. Стоит обратить внимание на то, что большинство систем основано только на качественном или количественном методе, что само по себе уже снижает их эффективность, а работать с такими системами, как правило, могут только высококвалифицированные аудиторы, имеющие специальную подготовку от компании производителя программного продукта. Немаловажным фактором при выборе программного продукта является его стоимость, так, к примеру, стоимость лицензии CRAMM составляет от 2000 до 5000 $ за одно рабочее место, RiskWatch от
10 000 $ за одно рабочее место, Российский аналог ГРИФ от 1000 $ за одно лицензированное рабочее место, правда он не эффективен без своего дополнения КОНДР, на которое тоже нужно приобретать лицензию.
Для ТК и не только, главное - всегда четко понимать, что система ИБ создана на основе анализа информационных рисков, проверена и обоснована. Анализ и управление информационными рисками - ключевой фактор для построения эффективной защиты ИС. При грамотной организации система ИБ может реализоваться в конкурентное преимущество, повысить инвестиционную привлекательность ТК, наладить бизнес-процессы и улучшить имидж оператора.
Стоит отметить, что любая система управления ИБ ТК имеет свою техническую и организационную составляющую. Рассмотрим основную методику работы системы ИБ, применяемую в ТК на сегодняшний день. Как правило, основным техническим звеном системы управления ИБ в ТК является - подсистема ИБ, которая является органичной частью автоматизированных ИС ТК (к примеру, биллинговых). В рамках подсистемы ИБ функционируют средства защиты от несанкционированного доступа, средства криптографической защиты, средства антивирусной защиты, средства мониторинга эффективности защиты.
В рамках организационной составляющей выполняются следующие функции управления:
- организация и оперативное решение задач по защите информации;
- подбор и руководство кадрами по защите информации;
- материально-техническое обеспечение решения задач по защите информации (приобретение установка и наладка программных и технических средств защиты информации);
- контроль состояния защищенности автоматизированных ИС ТК и планирование мероприятий по защите автоматизированных ИС и развитию подсистемы ИБ;
- проведение мероприятий по повышению защищенности ИС ТК и развитию подсистем ИБ, включая управление проектами по внедрению сложных систем и проведение комплексных мероприятий по за-
щите информации.
Наиболее специфическими, требующими для своей реализации специального инструментария, функциями являются -контроль текущего состояния защищенности автоматизированных ИС в ТК и планирование мероприятий по защите этих систем и развитию подсистем ИБ. Подробнее стоит рассмотреть задачи, которые решаются при выполнении указанных функций.
Основной задачей контроля является оценка текущей защищенности подсистем ИБ. В худшем случае такую оценку можно выполнить, основываясь лишь на статистике произошедших случаев нарушения ИБ, и принимать меры, которые позволяют "штопать" появляющиеся "дыры". Но в этом случае ТК не застрахованы от самых больших неприятностей в будущем, поскольку при таком подходе остается только надеяться на, то что в текущем отчетном периоде не произойдет чего-то такого, что будет на много хуже, чем то, что произошло в прошлом отчетном периоде. Такой подход не вписывается в рамки эффективного управления ИБ. Эффективное управление ИБ возможно только на основании системного и систематического подхода к контролю и планированию развития систем защиты информации ТК, что, в свою очередь, предполагает решение целого комплекса задач, выполняемых в несколько этапов [7].
Прежде всего, должны быть определены те объекты автоматизированных ИС ТК, безопасность которых может быть нарушена, или, используя недостатки которых, нарушитель может нанести ущерб пользователям и владельцам ТК. Это так называемый этап структурного описания всех автоматизированных ИС ТК.
Затем, для каждого из идентифицированных объектов должен быть определен перечень угроз с ним связанных, выявлены недостатки, которыми может воспользоваться нарушитель. На этом этапе целесообразно использовать для анализа разного рода нормативные требования по защите, такие как требования Гостехкомиссии, ФАПСИ, «Общие критерии оценки безопасности информационных технологий» и т.п. Это так называемый этап построения нормативной модели угроз.
После необходимо провести анализ того, насколько опасны идентифицированные угрозы для ТК в целом. Для этого необходимо построить модели событий рисков нарушения ИБ в автоматизированных ИС (заметим, что не автоматизированные компоненты ТК не рассматриваются при построении обобщенной модели рисков, хотя тоже несут в себе массу угроз и уязвимо-стей для ИБ). При построении моделей рисков ИБ ТК должны быть определены и подробно описаны события риска, их последствия и угрозы (недостатки) из модели угроз автоматизированных ИС, наличие которых обуславливает возможность реализации событий риска. При этом необходимо рассмотреть как можно большее количество вариантов событий рисков, отражающих то, как к рассматриваемому событию риска могут привести не одна, а сразу несколько угроз или недостатков в защите автоматизированных ИС ТК. По каждой модели нужно представить ущерб в денежном выражении, или, в тех случаях, когда это невозможно, кардинально ранжировать по нежелательности (опасности) событий рисков все идентифицированные риски, в общем ряду с теми, по которым даны оценки в денежном выражении. Далее, необходимо дать оценки того, насколько велика вероятность события риска, и, если есть статистические данные, указать насколько часто случаи такого рода, как событие риска, имеют место.
При этом так же в ряде ТК используется подход, основанный на кардинальном ранжировании событий рисков в зависимости от вероятности их наступления. На основании полученных экспертных данных можно оценить ожидаемый ущерб от каждого из событий исков, как математическое ожидание указанной (или рассчитанной в результате кардинального ранжирования) величины ущерба.
Построение моделей рисков позволяет оценить опасность каждой из угроз и определить приоритетность мер по защите автоматизированных ИС и развитию подсистем ИБ ТК. Наиболее важные из указанных уг-
роз будут образовывать модель значимых угроз ИС ТК. Таким образом, решаются задачи первого этапа контроля и планирования развтия защиты автоматизированных ИС ТК.
Следующим этапом является определение возможностей по защите и планирование конкретных мероприятий. По каждой из выявленных угроз может быть определен целый перечень требований, которые необходимо выполнить для того, чтобы добиться ее устранения, и перечень мероприятий, с помощью которых можно добиться выполнения этих требований. Стоимость отдельных мероприятий может быть весьма значительной. В то же время, некоторые мероприятия могут обеспечивать защиту более чем от одной угрозы. Поэтому необходимо провести анализ по критерию "эффективность-стоимость" всех возможных комплексов мероприятий и, при необходимости, решить задачу выбора наиболее эффективного комплекса, который можно выполнить в рамках выделенного объема финансирования защитных мероприятий. Все эти задачи решаются при помощи специальных программных инструментально-экспертных систем.
Стоит отметить, что рассмотренный выше метод, применяемый в ТК для ИБ, не совершенен, так как проводит анализ рисков только для автоматизированных ИС ТК и отдельных подсистем ИБ, а не показывает картину в целом. Именно поэтому для эффективной защиты ИБ ТК от угроз ИБ необходимо применение специализированных ИС, применяемых для анализа рисков, угроз и уязвимостей ИБ.
В сфере ИБ ТК оценка рисков играет такую же первостепенную роль, как и во всех других областях человеческой деятельности. Из-за неадекватной оценки рисков, связанных с осуществлением угроз ИБ в современном высокотехнологичном обществе, государство, ТК и отдельные потребители услуг несут весьма ощутимый ущерб, подсчитать который вряд ли кому-либо удастся.
БИБЛИОГРАФИЧЕСКИЙ СПИСОК
1. Решения для телекоммуникационных компаний. [Электронный ресурс] / Инфоси-стемы Джет - Режим доступа: http://www.jet.msk.su/services_and_solutions/information_
security/solutions_catalog/telecom/index.php?print=y -Загл. с экрана.
2. Гражданский кодекс Российской Федерации. Часть вторая: Федеральный закон от 26.01.1996 № 14-ФЗ (в ред. от 02.02.2006.).
3. Федеральный закон Российской Федерации «Об информации, информационных технологиях и о защите информации" от 27 июля 2006 г. № 149-ФЗ.
4. Рекомендации в области стандартизации Банка России. [Электронный ресурс] / Информационно-правовой портал BestPravo. - Режим доступа: http://www.bestpravo. ru/federalnoje/hj-akty/r7o.htm -Загл. с экрана.
5. nCircle Vulnerability Scoring System. [Электронный ресурс] / Режим доступа: http://www.ncircle.com/htmldatasheets/Vulnerability_Scoring_System/index.html
6. Пугин, В.В., Губарева, О.Ю. Обзор методик анализа рисков информационной безопасности информационной системы предприятия. T-comm Серия: Телекоммуникации и транспорт. - М., 2012, №6.
7. Черешкин, Д.С., Кононов, А.А., Бурдин, О.А. Экспертная система оценки рисков нарушения информационной безопасности для систем управления информационной безопасностью [Текст] / Д.С. Черешкин // Проблемы управления информационной безопасностью. -2002. - 192 с.