№5(23)2009
Т. Н. Васильева, А. В. Львова
Применение оценок рисков в управлении информационной безопасностью1
В настоящее время все более актуальными становятся проблемы управления информационной безопасностью в корпоративных информационных системах. В статье предложен новый метод анализа и управления рисками в области информационной безопасности, базирующийся на стоимостных оценках.
В современных условиях развития компьютерных систем и телекоммуникаций, увеличения электронного документооборота, широкого распространения систем электронных платежей проблемы защиты информации от утраты, искажения и попадания в руки противника становятся все более серьезными и находят все более глубокое понимание среди руководителей и сотрудников различных организаций, использующих в своей деятельности информационные сети и системы.
С увеличением распространения информационных систем в бизнесе последствия нарушения информационной безопасности становятся все более дорогостоящими [4]. По данным исследований Института компьютерной безопасности США (Computer Security Institute) за 2005 г. 639 организаций оценили годовые потери только от одного типа инцидентов информационной безопасности — кражи конфиденциальной информации — в 31 млн долл., при этом потери, обусловленные всеми инцидентами безопасности, составили 130 млн долл. [2].
Наибольшее количество угроз информационной безопасности связано с передачей данных через глобальную сеть Интернет, а также хранением данных в базах данных информационной системы и на персональных компьютерах пользователей [4]. Источники угроз многочисленны. Для корпоративных систем это компьютерные вирусы, программы-шпионы, спам, злонамеренные действия противников, как внешних, так и внутренних, халатность сотруд-
ников, износ оборудования, различные чрезвычайные происшествия и многое другое.
Для того чтобы в сегодняшних условиях защитить информационные ресурсы от всех этих угроз, недостаточно какого-либо разового мероприятия или даже создания системы защиты. Нужна постоянная и тщательная работа, которая бы позволяла адаптировать данную систему защиты к меняющимся условиям функционирования информационной системы. Такую работу и должна выполнять система управления информационной безопасностью.
Определение уровня безопасности
Принятие адекватных мер и проведение мероприятий по обеспечению информационной безопасности невозможно без определения текущего уровня безопасности, выявления наиболее уязвимых мест в существующей системе информационной безопасности, а также наиболее значимых угроз безопасности.
Для определения текущего уровня безопасности в развитых системах обязательно применяют различные количественные метрики и меры. Данные метрики используются на разных уровнях детализации: от наиболее низких и простых в оценке, таких как, например, количество инцидентов нарушения информационной безопасности за период времени или доля компьютеров, оснащенных сетевыми экранами и антивирусными программами, среди всех персональных машин корпоратиной сети, до наиболее сложных аг-
1 Статья подготовлена по результатам Всероссийской научно-практической конференции Московской финансово-промышленной академии «Развитие конкуренции на рынке информационных технологий» (25-26 марта 2009 г.). — Прим. ред.
68
№5(23)2009
регированных показателей, характеризующих уровень защищенности системы в целом.
Определение метрики или набора метрик, которые можно применять в качестве показателя уровня безопасности информационной системы — одна из важнейших задач управления информационной безопасностью. Когда речь заходит о бесценной информации, например, информации, составляющей государственную тайну, таким показателем может выступать надежность средств защиты. Однако для коммерческих структур применение только надежности нецелесообразно, так как в условиях ограниченности ресурсов применение лучших с точки зрения надежности средств защиты может быть экономически необоснованным: стоимость таких средств защиты может превысить ценность защищаемой информации. Решения о расходах на мероприятия по управлению информационной безопасностью должны приниматься исходя из возможного ущерба, нанесенного бизнесу в результате нарушений информационной безопасности. Поэтому подход к оценке уровня безопасности информационной системы коммерческой структуры должен быть принципиально другим, нежели для структур государственной безопасности.
В рамках такого подхода в настоящее время широко используют оценки рисков для угроз информационной безопасности. Они служат показателем полноты, комплексности и эффективности системы информационной безопасности.
Вот что говорят о процедуре оценки рисков информационной безопасности основной международный стандарт в области управления информационной безопасностью !БО/!ЕС 17799 и его отечественный аналог ГОСТ Р ИСО/МЭК 17799-2005:
«Оценка риска — это систематический анализ:
• вероятного ущерба, наносимого бизнесу в результате нарушений информационной безопасности с учетом возможных последствий от потери конфиденциальности, целостности или доступности информации и других активов;
• вероятности наступления такого нарушения с учетом существующих угроз и уязвимостей, а также внедренных мероприятий по управлению информационной безопасностью».
При этом стандарты не дают более четких и детальных указаний поданной проблеме, таких как, например, алгоритмы расчета оценок рисков, предоставляя исследователям данной области широкую свободу действий. Как бы то ни было, в области оценки рисков, нахождения оптимального уровня информационной безопасности и соответствующего ему уровня инвестиций проведено еще достаточно мало исследований. Традиционно решения по инвестициям принимаются исходя из анализа «затраты-выгода». Применение данного анализа к выбору оптимального уровня безопасности в лучшем случае дает незначительные результаты вследствие сложности оценки выгоды, извлекаемой из повышения уровня защищенности [3]. Задача выработки адекватной и полезной в применении методики оценки рисков, а следовательно, и выбора оптимального уровня инвестиций в информационную безопасность будет привлекать все больше внимания как теоретиков информационной безопасности, так и специалистов, практикующих в данной области, ведь доля вложений в информационную безопасность в общем объеме инвестиций компаний будет возрастать [3].
Существуют различные подходы к оценке рисков. Все они могут быть разделены на три основные категории: количественные, качественные, а также комбинация количественного и качественного подходов [4]. Количественные подходы различными способами оценивают ожидаемые в результате осуществления угроз безопасности потери. Качественные же подходы сосредоточены на определении способов предотвращения потерь при инцидентах безопасности, уходя в сторону от оценивания рисков различных угроз, и, таким образом, не дают полной картины состояния безопасности информационной системы.
Далее в статье будут рассматриваться только количественные подходы.
Различные количественные подходы к оценке рисков отличаются методами оценивания составляющих рисков — ожидаемого ущерба и вероятности его наступления. Наиболее распространено использование экспертных оценок в совокупности с балльными шкалами значений. При этом результаты оценки рисков
а
«о о «о
■с
I
«3
оа
69
№5(23)2009
о
55
«3
с о
ÎP .QJ
>а
0 %
g
а »
а €
8-
§
a a
1
СО «
*
«о
«о §
з §
S »
о
QJ
a £
выражаются в некоторых относительных единицах, что затрудняет их трактовку. Поэтому целесообразнее применять стоимостные оценки рисков, где результаты представляются в денежных единицах.
Часто для этого используют такую меру, как стоимость риска VaR (Value at Risk). VaR — это величина убытков, которая с вероятностью, равной уровню доверия (обычно принимается равным 99 или 95%), не будет превышена за определенный период времени. Следовательно, в оставшихся случаях (1 или 5% соответственно) убыток составит величину, большую, чем VaR. Данная мера имеет хорошо разработанную теоретическую базу. Однако на практике ее вычисление может быть очень затруднительным, так как требует оценки таких параметров, как «доходность ресурса (актива)» по каждому ресурсу и «доходность портфеля» за период времени. Данные величины весьма сложно оценить, когда речь заходит об информационной безопасности.
Авторы статьи предлагают использовать в качестве значения риска более простую в оценке и, как следствие, более эффективную в практическом применении стоимостную величину, являющуюся произведением стоимости защищаемого ресурса на вероятность реализации угрозы в его адрес. Иногда эту величину называют техническим риском. Данная величина удовлетворяет требованиям стандарта, так как содержит в себе информацию и о возможном ущербе, и о вероятности его наступления.
Помимо самого способа расчета оценки рисков также снижает эффективность анализа рисков рассмотрение типовых угроз информационной безопасности применительно к конкретной организации с ее специфичными информационными ресурсами. В связи с этим предлагается новый подход к анализу рисков, предполагающий рассмотрение только реальных угроз информационной безопасности.
Метод анализа и управления рисками на основе стоимостных оценок
В соответствии с предлагаемым методом первоначально необходимо выявить противников, которые реально действуют в окру-
жающеи среде организации и заинтересованы в нарушении конфиденциальности, целостности или доступности информационных ресурсов (или даже уже делали соответствующие попытки). На основании этого выделяются ресурсы, требующие защиты. Как правило, они изначально являются наиболее значимыми. Далее рассматриваются варианты получения доступа противников к ресурсам и способы реализации информации, из чего складываются способы реализации реальных угроз противников. Далее по каждой угрозе эксперты оценивают стоимость ресурса в денежных единицах (это можно выполнить с достаточной точностью, так как идет речь о конкретных вещах). Вероятности реализации угроз рассчитываются на основании статистики инцидентов, собранной внутри данной организации, экспертных оценок качества используемых средств защиты, а также мотивации противника (денеж-нои и психологическои). В результате оценки принимают вид реальных стоимостных показателей существующих угроз. Исходя из этого можно контролировать текущую ситуацию, быстро реагировать на изменения в действиях противников, а также планировать перераспределение затрат на информационную безопасность в пользу снижения уровня рисков.
Ниже приведены условные обозначения, а также сама формализованная процедура анализа рисков.
Условные обозначения
• t (trespasser) — конкретный противник организации, мотивированный на получение выгоды от реализации угрозы деструктивного воздействия на определенную информацию;
• i (information) — информация, интересующая противника;
• r (resource) — ресурс организации (физический, технический персонал, в том числе носители информации);
• d(i), d(r) (doing) — действие противника по отношению к информации или ресурсу;
• s(i,... i а ), s(r,... rp ) (security facility) — средство (мера) защиты (СЗ) по отношению к информации или ресурсам;
• n(s) — количество ресурсов, защищаемых СЗ;
70
№5(23)2009
• M(i,t) (method) — способ реализации угрозы (РУ) противником в отношении информации. Включает определенный способ доступа и способ использования информации (ИИ):
M(i, t)=(Ma (i,t); Mr (i, t)),
где Ma (i, t) (access) — способ доступа противника к информации; доступ осуществляется через ресурсы r с помощью действий d(r). Mr (i,t) (realization) — способ использований информации противником; ИИ производится с помощью действия d(i);
• o(M) (occurrence) — инцидент в области информационной безопасности (ИБ):
o(M) = (o(Ma); o(Mr)), где M = (Ma; Mr);
• N(M) = N(o(M)) (number) — количество инцидентов в области ИБ с использованием способа РУ, зафиксированных в статистических данных;
• N(Ma), N(Mr) — количество инцидентов в области ИБ с использованием способа доступа и способа ИИ:
N(Ma ) = Ns (Ma )+ Nf (Ma ),
N(Mr ) = Ns (Mr)+ Nf (Mr),' где Ns (Ma), Ns (Mr) (success) — количество успешных атак в области ИБ с использованием способа доступа и способа ИИ; Nf (Ma), Nf (Mr) (failure) — количество предотвращенных атак в области ИБ с использованием способа доступа и способа ИИ;
• G(M) (gain) — экспертная оценка выгоды, получаемой противником от РУ;
• V(M) (value) — оценка стоимости для противника РУ:
V (M) = V (Ma)+ V (Mr),
где V(Ma) — оценка стоимости получения доступа способом Ma;
V(Mr) — оценка стоимости использования информации способом Mr.
Для расчета оценок стоимости используются следующие экспертные оценки:
• Ve (s(i)) Ve (s(r)) — экспертная оценка стоимости «взлома» средства защиты s на ресурсе rи для информации i.
• Ve (r, d(r)) — экспертная оценка затрат противника на осуществление действия d на ресурс r, не связанных со «взломом» средств защиты.
• Ve (i, d(i)) — экспертная оценка затрат противника на осуществление действия d над информацией i после получения доступа.
• O(i,t) (opposition) — экспертная оценка возможных финансовых потерь противником t, получившим и реализующим информацию i, вследствие контрдействий владельца информации, применения им компрометирующей информации, данных службы безопасности, полученных методами агентурной и технической разведки;
• P(M) (probability) — оценка вероятности РУ способом М. Оценка вероятности РУ рассчитывается на основании статистики инцидентов, анализа мотивации противника и психологической предрасположенности противника:
□ P1 (M) — компонента вероятности, рассчитанная на основании статистики инцидентов, рассчитывается как вероятность выполнения двух совместных событий: получения доступа и использование информации;
□ P2 (M) — компонента вероятности, рассчитанная на основании анализа мотивации противника; а именно оценок выгоды от РУ, затрат на РУ, потерь от контрдействий;
□ P3 (M) — компонента вероятности, оцениваемая экспертами и показывающая психологическую предрасположенность противника на РУ;
• L(M) (loss) — оценка финансовых потерь владельца информации от РУ способом M:
L(M) = L(Ma)+ L(Mr),
где L(Ma) — оценка финансовых потерь за счет нарушения средств защиты, ресурсов в процессе получения доступа. L(Mr) — оценка финансовых потерь за счет использования информации противником.
а
«о о «о
■с
i «3
со
71
№5(23)2009
о
«3
с о
IP .QJ
>а
0 %
1
а sr а €
Si §
a a
I
СО <3
Si
«о
«о §
з §
£
sr о
QJ
a £
Для расчета оценок финансовых потерь используются следующие статистические данные:
• L(o(Ma)) (occurrence loss) — ущерб владельца от нарушения ресурсов в процессе успешного доступа в инциденте o(M);
• L(o(Mr)) — ущерб владельца от успешного ИИ в инциденте o(M) (судебные издержки, командировки, смена персонала и т.д.).
Для расчета оценок финансовых потерь организации от деструктивных действий противника используются следующие экспертные оценки:
• Le (r, d(r)) (expert) — оценка потерь от действия d на ресурс r;
• Le (i, d(i)) — экспертная оценка финансовых потерь за счет использования информации противником.
• R (risk) — риск:
□ R(M) — оценка риска РУ способом М, является произведением вероятности РУ на ущерб от РУ;
□ R(i)— оценка риска для информации i, рассчитывается как максимальный риск РУ для данной информации;
• R — нериск:
□ R(M) — оценка нериска РУ способом М, является произведением вероятности нереализации угрозы на ущерб от РУ.
□ R(i) — оценка нериска для информации i, соответствует минимальному нериску РУ для данной информации.
• C(cost) — оценка суммарной стоимости средств (мер) защиты;
• C(s) — оценка финансовых затрат на средство защиты s.
Для расчета оценок финансовых затрат используются следующие экспертные оценки:
• C, (s) (install) — экспертная оценка стоимости покупки, установки и настройки СЗ (внедрения меры защиты) на один ресурс;
• Cu (s) (use) — экспертная оценка стоимости эксплуатации СЗ в год;
• Cr (s) (removal) — экспертная оценка стоимости вывода из эксплуатации СЗ;
• I(s) (indirect gain) — экспертная оценка косвенной выгоды от внедрения СЗ;
• Profit (profitability) — оценка рентабельности системы ИБ организации. Авторами предлагается оценивать выгоду суммарными нерисками по информации, подвергающейся угрозам противников, в сумме с косвенной выгодой от внедрения средств защиты.
Процедура анализа и управления рисками
1. Выявление конкретных противников t, te{t1,...,tnt}. Их характеристика.
2. Описание структуры организации.
2.1. Описание значимых ресурсов r, r €{ ri,..., rnr};
2.2. Описание информации i,i€{ii,...,ini};
2.3. Описание действий противника над ресурсами d(r), d(r)€{di,...,dndr} и над информацией d(i), d(i)€{d1,...,dndi};
2.4. Описание используемых средств защиты s(iа,...,iр), s(r.\,..., h), s€ {si,..., sns} для информации и ресурсов.
3. Получение экспертных оценок.
3.1. Ve (r,d(r)), Ve (i, d(i)) — затраты противника на осуществление действий над ресурсами и информацией, не связанных со «взломом» СЗ:
r € {r,..., rnr}, d(r) € {di,..., dndr},
i € {ii,..., ini}, d(i) € {di,..., dndi};
3.2. Ve (s(r)), Ve (s(i)) — затраты противника на «взлом» СЗ ресурса и информации соответственно; s € {si,..., sns};
3.3. C, (s), Cu (s), Cr (s) — затраты владельца информации на СЗ, s€{si,...,sns};
3.4. I(s) — косвенная выгода от внедрения СЗ s, s € {si,..., sns};
3.5. Le (r, d(r)), Le (i, d(i)) — ущерб владельца от деструктивных действий противника по отношению к ресурсами и информации:
r € {ri,..., rnr}, d(r) € {di,..., dndr},
i € {ii,..., ini}, d(i) € {di,..., dndi}.
4. Описание способов РУ.
4.i. Выявление способов доступа. Доступ реализуется через некоторые ресурсы с помощью определенных действий:
Ma (i, t)€{Mai.....M^ }
72
№5(23)2009
ма (I, г) = (г, d(r))\r е{г1.....Гпг},
d(r)e{dl,..., dndr}.
4.2. Выявление способов использования информации.
Мг (¡, Ъе{м„1.....мапта};
Мг (¡, г) = (; d(i)), I е {¡1,..., ¡п-,}, d(i)e{dl,..., dndi}.
4.3. Определение способов реализации угроз как комбинации способов доступа и способов использования информации.
м(,, г ) =
М(, г)е{М1.....Мпт };
Ма (, ?); Мг (, f)\Ма (, f) е {Ма,.....Мапта },
М' (, г) е {Мо.....Мгптг }
4.4. Экспертная оценка параметров, характеризующих способы РУ М(,г)е{М1,...,Мпт}:
в(М), р3 (М), о(, г),
где р3(М)е[0; 1],
и по умолчанию 0(,г) = 0.
5. Фиксация значений.
5.1. Фиксируется конкретная информация ¡,, е {¡1,...,¡п}.
5.2. Фиксируется конкретный противник г,
г е{и.....и}.
5.3. Фиксируется конкретный способ РУ, а именно — М(,г) = (Ма;Мг), Ме{М1,...,Мпт}.
6. Анализ статистических данных об инцидентах в области ИБ.
6.1. Описание инцидентов в области ИБ: о(М), о(М) е {01.....Опо}, о(М) =о(Ма); о(Мг).
6.2. Указание ущерба владельца по каждому инциденту: 1(о(Ма)), 1(о(Мг)).
6.3. Подсчет количества успешных и предотвращенных атак по инцидентам: N. (Ма), N (Ма), N. (Мг), N (Мг).
Дальнейшие расчеты производятся при наличии достаточного объема статистических данных:
N. (Ма )+ Nf (Ма ) = Na > 0, N. (Мг)+ N (Мг ) = Nr >0,
по умолчанию Na = Nr = 10.
6.4. Расчет оценки компоненты вероятности РУ на основании статистики инцидентов:
Р1 (М)=Р1 (Ма ХР1 (Мг)), N. (Ма)
Р1 (Ма )
Р 1 (Мг )
N. (Ма )+ Nf (Ма )
N. (Мг) N. (Мг)+ Nf (Мг).
Р2 (М) -
в(М)~ V (М)- о(, г) ' в(М) .
73
а
«о о «о
■с
I
«3
оа
7. Анализ мотивации противника на реализацию угрозы.
7.1. Расчет стоимости РУ для противника:
V (М)^ (Ма) + V (Мг);
где V(Ма) — оценка стоимости получения доступа, вычисляется как сумма экспертных оценок осуществления деструктивных действий и «взлома» средств защиты ресурсов, входящих в данный способ доступа, а также информации, к которой осуществляется доступ:
V(Ма ) = ЕV, (Г, d(r))+ ЕЕV, (.(Г))+ V, (.());
г г .
V(Мг) — оценка стоимости использования информации, равная экспертной оценке выполнения действия над информацией после получения доступа:
V(Мг(¡,г()).
7.2. Расчет оценки компоненты вероятности РУ на основании анализа мотивации противника:
Расчет производится только при наличии значений всех компонент формулы Р2 (М). При отсутствии оценок некоторых компонент Р2 (М) считается неоцененным, что учитывается при расчете общей оценки вероятности.
8. Вычисление общей оценки вероятности РУ.
Е к V Р У(М)
Р(М) =^-, V = 1,..., 3.
Е к V
V
Коэффициенты: к1 — статистический, к2 — мотивационный, к3 — психологический.
Коэффициенты рассчитываются следующим образом:
к1 = 0, если Р1 не оценено, V = 1...3;
№5(23)2009
о
55
СЗ
с о
ÎP .QJ
>а
0 %
g
а »
а €
8-
§
a a
1
СО «
*
«о
«о §
з §
S »
о
QJ
a £
к =!одм (Ма + ) при N + < N1; к1 = 1 при + > N ки = 1, если Р" рассчитано, V = 2, 3. N — граничное значение, задается экспертом, по умолчанию N = 10.
9. Расчет оценок риска и нериска для способа РУ.
9.1. Расчет оценки ущерба от РУ для владельца информации:
Ц(М) = 1{Ма)+ 1{Мг),
где 1(Ма) — ущерб владельца от получения доступа, рассчитывается на основании статистики инцидентов (усредненные по статистике успешных инцидентов финансовые потери от получения доступа способом Ма) и на основании суммарных потерь от действий ^ на ресурсы г, через которые осуществляется доступ: к,
L(Ma )
Ns (Ma )
Е L(o(Ma ))+Е Le (r, d(r))
kl +1 r e Ma ;
• Ц(Мг) — ущерб владельца от ИИ, рассчитывается на основании статистики инцидентов (усредненные по статистике успешных инцидентов финансовые потери от ИИ способом Мг) и на основании экспертной оценки потерь за счет действия по использованию информации: к1
L(Mr )
Ns (Mr )
ЕL(o(Mr )) + Le (i, d(i))
к +1
где к1 — статистический коэффициент.
9.2. Расчет оценок риска и нериска для способа РУ:
К( М) = Ц М) -Р( М); ~ (М) = Ц(М) ■ [1 -Р(М)].
10. Выбор следующих нерассмотренных значений.
10.1. Переход к п. 5.3 и выбор следующего способа РУ М(1, В случае рассмотрения всех значений переход к п. 10.2.
10.2. Переход к п. 5.2 и выбор следующего противника I В случае рассмотрения всех значений переход к п. 11.
11. Нахождение риска и нериска для информации.
Риск для информации — максимальный риск по всем способам РУ для этой информации:
= тахЯ(М(/, г))=М тах (()),
соответствует способу РУ Мтах ((), Ме{Ми..., Мпт }.
Нериск для информации (выгода от системы защиты) — величина непонесенного ущерба для способа РУ с максимальным риском для информации:
~()=~( М тах (()).
12. Переход к п. 5.1 и выбор нерассмотренной информации ¡. В случае рассмотрения всех значений переход к п. 13.
13. Нахождение максимального и минимального риска для системы ИБ организации:
Ктах =тахЯ(/), что соответствует способу РУ Мтах; ¡
Я =ттЯ(/'), что соответствует способу РУ Мт'п; ¡ £{¡1,..., ¡п1}.
14. Вычисление оценки рентабельности системы ИБ:
k Е й(!)+Е ()-с
Profit -
C
где K — нормировочный коэффициент;
с = Е с (s)=E n(s)p(s)+Cu(s)],
s s
s e si,..., s„s, i e ii,..., in,.
Коэффициент K вводится для приведения значения суммарных нерисков в рамки максимально возможных потерь:
max L(M)
K - MJ
^L(Mmax (i))' где maxL(M) — максимально возможный ущерб
M ,i
от РУ для организации; ^L(Mmax ()) — максимальное значение для суммы нерисков
i5. Анализ результатов. i5.i. Если Profit<0, затраты на систему защиты превышают выгоду от ее функционирования. Этот факт может инициировать умень-
74
№5(23)2009
шение текущих затрат на поддержание ИБ организации. Выбирается средство защиты, соответствующее способу РУ с минимальным риском Rmin(Mmin), процесс функционирования системы обеспечения ИБ организации без этого средства или снижение затрат на него (эксплуатационных расходов). Процедура повторяется с п. 5 до получения положительной рентабельности.
15.2. Если Profit>0, можно попытаться повысить экономическую эффективность системы защиты. Для этого рассматривается способ РУ с максимальным риском Rmax (Mmax) и моделируется введение нового средства защиты на его предотвращение. Процедура повторяется с п. 4.
Если значение рентабельности при этом увеличилось, затрата на использование этого средства принимается, если уменьшилось — отклоняется. Процедура повторяется до тех пор, пока суммарный (или максимальный) риск не достигнет допустимого значения, установленного экспертом, а рентабельность при этом будет положительна. В случае использования показателя рентабельности как целевого критерия возможно проведение дальнейшего моделирования с целью повышения рентабельности при ограничении на риски.
Оценка параметров в подп. 3, 4.4 процедуры проводится экспертом (группой экспертов) в денежных единицах. Для обработки экспертных оценок используется метод групповой оценки объектов, описанный в литературе и адаптированный к специфике решаемой задачи. В качестве объектов рассматриваются способы реализации угроз. В рамках данного метода существует алгоритм вычисления коэффициентов компетентности экспертов.
Следует отметить, что при оценке финансовых потерь организации от действий противника необходимо учесть трудозатраты на устранение последствий этих действий, выраженные в стоимостном эквиваленте. Так, например, если в качестве реализации угрозы рассматривается инфицирование компьютера вирусом, финансовые потери в простейшем случае (заражение не имело критических последствий для коммерчески ценной информации) можно вычислить следующим образом: определить, сколько времени у специалиста
службы безопасности (службы информационных технологий) займет лечение вируса и восстановление поврежденной вирусом информации и оборудования, затем вычислить стоимость единицы служебного времени данного специалиста (платы, которую специалист получает за единицу времени). Определив указанные величины, легко вычислить трудозатраты специалиста на устранение последствий инфицирования в стоимостном эквиваленте как произведение данных величин.
Что касается управления рисками в области информационной безопасности, здесь необходимо отметить, что описанный метод анализа и управления рисками включает эвристический способ поиска оптимального набора средств защиты [1]. Повышение уровня экономической эффективности системы достигается последовательно путем предложения или отклонения для каждого расчета оценок по описанному методу некоторого средства или группы средств защиты.
Апробация метода анализа и управления рисками
В 2007-2008 гг. совместно с ИВЦ МЭИ (ТУ) была проведена первая апробация данного подхода в информационно-вычислительной сети МЭИ. Была рассмотрена задача оценки рисков информационной безопасности сети; в качестве реальных противников были выделены вирусы и спам. По мнению администраторов и сотрудников ИВЦ, выступавших экспертами в данном исследовании, это наиболее распространенные, сложно контролируемые объекты, которые ежедневно приводят к снижению эффективности, надежности, скорости работы. При этом в качестве основного требования к системе информационной безопасности сети выдвигалось требование максимальной доступности сервисов. Эта задача стала еще более актуальной в связи с тем, что с конца 2007 г. проводится реорганизации сетевого оборудования и информационного обеспечения, и получение оценок рисков могло бы позволить судить об эффективности изменений.
«з «о о «о
3
-а
I
«з со
75
№5(23)2009
о
55
«3
с о
ÎP .QJ
>а
0 %
g
а »
а € 8-
S
a a
1
СО «
*
«о
«о §
з §
S »
о
QJ
a
SS SS € a
С целью получения исходных данных для расчетов использовались системы мониторинга сети, такие как SOLARWINDS Orion Network Performance Monitor (многофункциональная система сбора информации по протоколу SNMP), система подготовки отчетов Mailwatch для MailScanner (антивирусного и антиспам-фильтра общеуниверситетской системы электронной почты), статистические данные обнаружения вирусов сетевого антивирусного сервера и другие. Экспертами по оценке стоимости ресурсов выступали сотрудники ИВЦ, сотрудники МЭИ и пользователи сети. Были собраны и обработаны данные по сети до и после модернизации.
Исследования показали, что после модернизации оборудования объем спама в среднем сократился на 12-14%. Также был проведен расчет показателей рисков угроз для семи вариантов конфигураций системы информационной безопасности. Он показал, что минимальные суммарные риски по всем угрозам соответствуют базовой структуре системы. Таким образом, система защиты изначально была организована правильно, и при модернизации сети эта схема практически не изменится. Кроме того, исследования показали, что надежность системы безопасности (уменьшение вероятностей и суммарных рисков) может быть повышена путем усиления антивирусной защиты и добавления дополнительных элементов для фильтрации спама, но при этом нельзя забывать об экономической эффективности денежных вложений в указанные мероприятия, а также о влиянии дополнительной защиты на производительность информационной системы. Авторы полагают необходимым изначально спроектировать изменения и просчитать для предполагаемой конфигурации оценки вероятностей, рисков, рентабельности, и после этого обоснованно принимать решения по управлению системой безопасности.
В ходе апробации подход показал свою практическую эффективность и состоятельность. Полученные результаты не противоречили действительности и не вызвали возражений у экспертов ИВЦ, с которыми проводилась работа. Также подход продемонстрировал свою гибкость и легкую адаптируемость к реальной
ситуации в области информационной безопасности — он был использован для расчета оценок рисков в случае, когда основными противниками были признаны вирусы и спам — неодушевленные сущности, к которым неприменим аппарат по вычислению психологической предрасположенности к реализации угрозы.
Разработанный авторами метод анализа и расчета рисков обладает рядом преимуществ по сравнению с существующими на данный момент методиками анализа рисков. Описанный метод универсален, он легко адаптируется к существующей ситуации в области информационной безопасности, его результаты понятны и легко интерпретируемы, их достоверность достаточно высока, так как кроме экспертных оценок для их получения используется статистика инцидентов безопасности. Тем не менее, метод имеет и свои недостатки. Один из наиболее существенных — сложность выявления реальных противников и угроз конкретной организации, особенно в условиях недолгого функционирования службы безопасности или ее отсутствия.
В дальнейших исследованиях в свете описанного подхода планируется более подробно рассмотреть такую существенную группу угроз информационной безопасности, часто необоснованно игнорируемую исследователями, как угрозы, связанные с отказами оборудования.
СПИСОК ЛИТЕРАТУРЫ
1. Бородюк В. П., Львова А. В. Повышение экономической эффективности системы информационной безопасности / Вестник МЭИ. 2007. №4.
2. Gordon L. A., LoebM. P., Lucyshyn W, Richardson R. CSI/FBI Computer Crime and Security Survey 2005. Computer Security Institute Publications, 2005.
3. JaisinghJ., Rees J. Value at Risk: A Methodology for Information Security Risk Assessment // Proceedings of The 6th INFORMS Conference on Information Systems and Technology (CIST-2001). Miami Beach. Florida. November 2001.
4. Sun L., Srivastava R. P., MockT. J. An Information Systems Security Risk Assessment Model under Dempster-Shafer Theory of Belief Functions / Journal of Management Information Systems. 2006. Vol. 22. №4.
76