Книги, научные публикации

ИНФОРМАЦИОННЫЙ БЮЛЛЕ Т Е НЬ № 2 (117)/2003 Технологии и инструментарий для управления рисками ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ Технологии и инструментарий для управления рисками Сергей Симонов

СОДЕРЖАНИЕ Введение..............................................................................................3 1. Анализ рисков: различные определения и постановки задач............................................................................3 2. Современные концепции управления рисками......................6 2.1. Управление рисками в соответствии со стандартом NIST 800 30 2.2. Концепция управления рисками MITRE 3. Реализация концепции управления рисками на практике........................................................................7 3.1 Идентификация рисков 3.2. Оценивание рисков 3.3 Выбор допустимого уровня риска 3.4 Выбор контрмер и оценка их эффективности 4. Инструментарий для анализа и управления рисками.........17 4.1 Инструментарий базового уровня 4.2 Инструментарий для обеспечения повышенного уровня безопасности Заключение....................................................................................... Приложение...................................................................................... Определения основных терминов, относящиеся к тематике анализа рисков, управления рисками Литература........................................................................................ 1. Анализ рисков:

различные определения и постановки задач Комплекс вопросов, связанных с анализом рисков, был рассмотрен в [1.2.3]. Там же приведен один из вариантов определений основных понятий (риск, угроза, уязвимость). В многочисленных публикаци Введение ях на эту тему предлагаются и другие постановки задач и определения основных понятий, некоторые На этапе анализа рисков определяется возмож из них приводятся в приложении.

ность понести убытки из за нарушения режима ин Постановка задачи обеспечения информаци формационной безопасности организации, детали онной безопасности может варьироваться в широ зируются характеристики (или составляющие) рис ких пределах. Соответственно варьируются и по ков для информационных ресурсов и технологий. становки задач анализа рисков.

Результаты анализа используются при выборе Основным фактором, определяющим отно средств защиты, оценке эффективности существу шение организации к вопросам информационной ющих и проектируемых подсистем информацион безопасности, является степень ее зрелости.

ной безопасности. В соответствии с одной из моделей организа Под управлением рисками понимается про ции с позиции их зрелости, предлагаемой Carnegie цесс идентификации и уменьшения рисков, кото Mellon University [4], выделяется 5 уровней зрелос рые могут воздействовать на информационную си ти, которым, как правило, соответствует различное стему. понимание проблем информационной безопаснос Концепции анализа рисков, управления рис ти организации. (Схема 1).

ками на всех стадиях жизненного цикла информа Проблема обеспечения режима информаци ционной технологии были предложены многими онной безопасности будет ставиться (хотя бы в не крупными организациями, занимающимися про явном виде) и решаться для организаций, находя блемами информационной безопасности. Отечест щихся на разных уровнях развития, по разному.

венные аналитики начали использовать различные На первом уровне она, как правило, руководст методики на практике. Несколькими российскими вом формально не ставится. Но это не значит, организациями были разработаны собственные ме что она не решается сотрудниками по собст тодики анализа и управления рисками, разработано венной инициативе, и возможно эффективно.

собственное ПО, которое, наряду с зарубежным, В качестве положительного примера можно имеется на отечественном рынке. привести один случай, имевший место в дейст Таким образом, различные технологии ана вительности. Сравнительно небольшая органи лиза рисков начали реально применяться в России. зация (порядка 80 компьютеров, 3 файл серве Появилась возможность обобщить этот опыт, более ра), занимающаяся рекламным бизнесом, в ре четко очертить границы применимости различных зультате пожара в арендуемом ей здании, поте методов в отечественных условиях. ряла всю вычислительную технику и данные.

В статье рассматривается следующий круг Однако уже через неделю она полностью смогла вопросов: восстановить свою работу. Некоторые сотруд Х Различные определения и постановки задач ники по своей инициативе делали копии наибо анализа рисков. лее важной информации на CD, что то храни Х Современные концепции управления рисками. лось на домашних компьютерах сотрудников, Х Реализация методик в соответствии с этими что то отправлялось по электронной почте раз концепциями. личным адресатам и было затребовано обратно.

Х Обзор специализированного ПО анализа и уп В результате большая часть наиболее ценных равления рисков. информационных ресурсов была быстро вос становлена (а техника быстро закуплена), что позволило фирме успешно продолжить работу.

При этом вопросы информационной безопас ности руководством никогда не ставились и по видимому ставиться не будут.

Сергей Симонов Характеристика организации в области Уровень зрелости организации информационной безопасности Политика в области ИБ неформализована, руководство не занимается этими вопросами Уровень 1. Анархия Обеспечением информационной Признаки:

безопасности сотрудники могут заниматься по сотрудники сами определяют, что хорошо, а что плохо своей инициативе, в соответсвии со своим затраты и качество не прогнозируются пониманием задач отсутствует контроль изменений высшее руководство плохо представляет реальной положение дел На уровне руководства существует определенное понимание задач обеспечения информационной Уровень 2. Фольклор безопасности Признаки:

Существуют стихийно сложившиеся процедуры выявлена определенная повторяемость организационных обеспечения информационной безопасности, их процессов полнота и эффективность не анализируются опыт организации представлен в виде преданий Процедуры не документированы и полностью зависят корпоративной мифологии от личностей вовлеченных в них сотрудников знания накапливаются в виде личного опыта сотрудников и Руководство не ставит задач формализации процедур пропадают при их увольнении защиты информации Уровень 3. Стандарты Руководство осознает задачи в области Признаки:

информационной безопасности корпоративная мифология записана на бумаге В организации имеется документация процессы повторяемы и не зависят от личных качеств (возможно неполная), относящаяся к политике исполнителей информационной безопасности информация о процессах для измерения эффективности не Руководство заинтересовано в исполнении собирается стандартов в области информационной наличие формализованного описания процессов не означает, что безопасности, оформлении документации в они работают соответствии с ними. Осознается задача организация начинает адаптировать свой опыт к специфике управления режимом ИБ на всех стадиях бизнеса жизненного цикла информационной технологии производится анализ знаний и умений сотрудников с целью определения необходимого уровня компетентности вырабатывается стратегия развития компетентности Имеется полный комплект документов, относящихся к обеспечению Уровень 4. Измеряемый режима информационной безопасности, оформленный в соответствии с каким либо стандартом Признаки:

Действующие инструкции соблюдаются, документы служат процессы измеряемы и стандартизированы руководством к действию соответствующих должностных лиц Регулярно проводится внутренний (и возможно внешний) аудит в области ИБ Руководство уделяет должное внимание вопросам информационной безопасности, в частности имеет адекватное представление относительно существующих уровней угроз и уязвимостей, потенциальных потерях в случае возможных инцидентов Уровень 5. Оптимизируемый Руководство заинтересовано в количественной оценке Признаки:

существующих рисков, готово нести ответственность за выбор фокус на повторяемости, измерении эффективности, определенных уровней остаточных рисков, ставит оптимизации оптимизированные задачи построения системы защиты вся информация о функционировании процессов информации фиксируется Схема 1. Соответствие уровня зрелости организации и ее потребностей в области информационной безопасности.

Наряду со случаями, когда все окончилось бла ны. Несмотря на это, организации могут быть гополучно, можно привести и много иных при вполне жизнеспособными.

меров, когда пренебрежение вопросами ин На втором уровне проблема обеспечения информа формационной безопасности имело чрезвы ционной безопасности решается неформально, чайно серьезные последствия. на основе постепенно сложившейся практики.

Тем не менее, с точки зрения руководства орга Комплекс мер (организационных и программно низации, находящейся на первом уровне зрело технических) позволяет защититься от наиболее сти, задачи обеспечения режима информаци вероятных угроз, как потенциально возможных, онной безопасности, как правило, неактуаль так и имевших место ранее. Вопрос относительно Технологии и инструментарий для управления рисками эффективности защиты не ставится. Таким обра Х Определение возможного воздействия раз зом, постепенно складывается неформальный личного рода происшествий в области безо список актуальных для организации классов рис пасности на информационную технологию.

ков, который постепенно пополняется. Х Анализ рисков.

Если серьезных инцидентов не происходило, Х Технология управление рисками на всех эта руководство организации, как правило, считает пах жизненного цикла.

вопросы информационной безопасности не Х Аудит в области информационной безопас приоритетными. ности.

В случае серьезного инцидента сложившаяся си На данном уровне зрелости организации ана стема обеспечения безопасности корректирует лиз рисков связан с другими компонентами ся, а проблема поиска других возможных брешей технологии управления режимом информаци в защите может быть осознана руководством. онной безопасности, подробнее эти вопросы Один из вариантов определения риска в этом рассматриваются в разделе Современные случае: ситуация, когда известны уязвимости, концепции управления рисками.

потенциальные нарушители и их мотивация (мо На четвертом уровне для руководства организа дель нарушителя), сценарии развития событий, ции актуальны вопросы измерения парамет связанные с выявленными уязвимостями [IATF]. ров, характеризующих режим информацион Для данного уровня зрелости организации ти ной безопасности. На этом уровне руководство пичными являются локальные (не связанные с осознанно принимает на себя ответственность другими этапами жизненного цикла техноло за выбор определенных величин остаточных гии) постановки задачи анализа рисков, когда рисков (которые остаются всегда). Риски, как считается достаточным перечислить актуаль правило, оцениваются по нескольким критери ные для данной информационной системы ям (не только стоимостным).

классы рисков и возможно описать модель на Технология управления режимом информацион рушителя, а задача анализа вариантов контр ной безопасности остается прежней, но на этапе мер, их эффективность, управление рисками, анализа рисков применяются количественные как правило, не считается актуальной. методы, позволяющие оценить параметры оста На третьем уровне в организации считается целе точных рисков, эффективность различных вари сообразным следовать в той или иной мере антов контрмер при управлении рисками.

(возможно частично) стандартам и рекоменда На пятом уровне ставятся и решаются различные циям, обеспечивающим базовый уровень ин варианты оптимизационных задач в области формационной безопасности (например, ISO обеспечения режима информационной безо 17799), вопросам документирования уделяется пасности. Примеры постановок задач:

должное внимание. Х Выбрать вариант подсистемы информацион Задача анализа рисков считается руководством ной безопасности, оптимизированной по актуальной. Анализ рисков рассматривается критерию стоимость/эффективность при как один из элементов технологии управления заданном уровне остаточных рисков.

режимом информационной безопасности на Х Выбрать вариант подсистемы информацион всех стадиях жизненного цикла. Понятие рис ной безопасности, при котором минимизи ка включает несколько аспектов: вероятность, руются остаточные риски при фиксирован угроза, уязвимость, иногда стоимость. ной стоимости подсистемы безопасности.

Один из вариантов определения риска (опреде Х Выбрать архитектуру подсистемы информа ленного класса) в этом случае: вероятность воз ционной безопасности с минимальной стои никновения инцидента в результате того, что мостью владения на протяжении жизненно имеющаяся уязвимость (определенного класса) го цикла при определенном уровне остаточ будет способствовать реализации угрозы (оп ных рисков.

ределенного класса).

Технология управления режимом информаци Распределение организаций по их подходам к онной безопасности в полном варианте вклю вопросам информационной безопасности иллюст чает следующие элементы: рируют диаграммы (Рис. 1 и 2), относящиеся к раз Х Документирование информационной систе витым зарубежным странам (заимствованы из об мы организации с позиции информацион зора компании Эрнст энд Янг).

ной безопасности. В Табл. 1 показано, какие критерии использу Х Категорирование информационных ресур ются организациями для оценки системы информа сов с позиции руководства организации. ционной безопасности (если они используются).

Сергей Симонов Такого рода дополнения, обеспечивающие возмож ность количественного анализа и оптимизации под системы информационной безопасности в различ Да ной постановке, в официальных руководствах не Нет регламентируются.

В России доля организаций, относящихся к третьему, четвертому и пятому уровням зрелости, еще меньше. Соответственно наиболее востребо Рис. 1. Контролируют ли в Вашей организации инци ванными в настоящее время являются простейшие денты в области информационной безопасности?

методики анализа рисков, являющиеся частью ме тодик управления рисками базового уровня.

Потребителями количественных методик анализа рисков в России являются в основном ком пании финансового профиля, для которых инфор Да мационные ресурсы представляют большую цен Планируется Нет ность. Их немного, но они готовы вкладывать суще ственные ресурсы в разработку собственных (при емлемых для них) количественных методик.

Рис. 2. Используете ли Вы формальные критерии для оценки системы информационной безопасности?

Корпоративные стандарты (собственная разработка).................................................. Замечания аудиторов........................................................... Стандарты лучшей мировой практики (например, BS7799/ISO17799).............................................. Число инцидентов в области безопасности.................... Финансовые потери в результате инцидентов................. Расходы на ИБ....................................................................... Эффективность в достижении поставленных целей....... 2. Современные концепции Табл. 1. Критерии оценки защищенности информаци онных систем.

управления рисками Таким образом, более половины организаций Наличие системы управления рисками (Risk относятся к первому или второму уровню зрелости Management) является обязательным компонентом и не заинтересованы в проведении анализа рисков общей системы обеспечения информационной бе в любой постановке. зопасности на всех этапах жизненного цикла. Орга Организации третьего уровня зрелости (око низации, начиная с третьего уровня зрелости, при ло 40% общего числа), использующие (или планиру меняют какой либо вариант системы управления ющие использовать) какие либо подходы к оценке рисками. Многие зарубежные национальные инсти системы информационной безопасности, применя туты стандартов, организации, специализирующие ют стандартные рекомендации и руководства клас ся в решении комплексных проблем информацион са good practice, относящиеся к базовому уровню ной безопасности предложили схожие концепции информационной безопасности. Эти организации управления информационными рисками. В [1] были используют или планируют использовать систему рассмотрены концепции Британского стандарта BS управления рисками базового уровня (или ее эле 7799 и Германского BSI. Рассмотрим концепции, менты) на всех стадиях жизненного цикла инфор опубликованные национальным институтом стан мационной технологии. дартов США (NIST) [5] и организацией MITRE [6].

Организации, относящиеся к четвертому и пятому уровням зрелости, составляющие в настоя 2.1. Управление рисками в соответст щее время не более 7% от общего числа, используют вии со стандартом NIST 800 разнообразные луглубленные методики анализа рисков, обладающие дополнительными возможнос Система управления (информационными) рисками тями по сравнению с методиками базового уровня. организации должна минимизировать возможные Технологии и инструментарий для управления рисками Фаза жизненного цикла информационной технологии Соответствие фазе управления рисками 1. Предпроектная стадия ИС Выявление основных классов рисков для данной ИС, (концепция данной ИС: определение целей и задач вытекающих из целей и задач, концепция и их документирование) обеспечения ИБ 2. Проектирование ИС Выявление рисков, специфичных для данной ИС (вытека ющих из особенностей архитектуры ИС) 3. Создание ИС: поставка элементов, До начала функционирования ИС должны быть иденти монтаж, настройка и конфигурирование фицированы и приняты во внимания все классы рисков 4. Функционирование ИС Периодическая переоценка рисков, связанная с изме нениями внешних условий и в конфигурации ИС 5. Прекращение функционирования ИС (информа Соблюдение требований информационной ционные и вычислительные ресурсы более не безопасности по отношению к выводимым используются по назначению и утилизируются) информационным ресурсам Табл. 2. Управление рисками на различных стадиях жизненного цикла информационной технологии негативные последствия, связанные с использова 3. Реализация концепции нием информационных технологий и обеспечить возможность выполнения основных бизнес целей управления рисками на предприятия.

Система управления рисками должна быть практике интегрирована в систему управления жизненным циклом информационной технологии (Табл. 2). Опубликованные документы различных организа В соответствии с [5] технология управления ций, касающиеся управления рисками, не содержат рисками должна включать следующие основные ряда важных деталей, которые обязательно надо кон стадии (рис. 3). кретизировать при разработке применимых на прак тике методик. Конкретизация этих деталей зависит от уровня зрелости организации, специфики ее дея 2.2. Концепция управления рисками тельности и некоторых других факторов. Таким об MITRE разом, невозможно предложить единую, приемле Организацией MITRE [6] была предложена концеп мую для всех, универсальную методику, соответству ция управления рисками при построении различ ющую некоторой концепции управления рисками.

ных систем (не только информационных). В целом Рассмотрим типичные вопросы, возникаю эта концепция близка к рассмотренной выше. щие при реализации концепции управления риска MITRE бесплатно распространяет простейший ин ми и возможные подходы к их решению.

струментарий на базе электронной таблицы, пред назначенный для использования на этапе иденти 3.1 Идентификация рисков фикации и оценки рисков, выбора возможных контрмер в соответствии с этой концепцией - В любой методике необходимо идентифицировать Risk Matrix [7]. риски, как вариант - их составляющие (угрозы и В данной концепции риск не разделяется на уязвимости). Естественным требованием к списку составляющие части (угрозы и уязвимости), что в является его полнота.

некоторых случаях может оказаться более удобным Сложность задачи составления списка и до с точки зрения владельцев информационных ресур казательство его полноты зависит от того, какие сов. Например, в России в настоящее время на эта требования предъявляются к детализации списка.

пе анализа рисков (если он вообще выполняется) На базовом уровне безопасности (третий весьма распространено построение модели нару уровень зрелости организации) специальных тре шителя с прямой экспертной оценкой рисков. По бований к детализации классов, как правило, не этой причине простейшие методики и инструменты предъявляется и достаточно использовать какой ли типа Risk Matrix наиболее востребованы в настоя бо подходящий в данном случае стандартный спи щее время на Российском рынке. сок классов рисков.

Примером является Германский стандарт BSI, в котором имеется каталог угроз применитель но к различным элементам информационной техно логии.

Сергей Симонов Стадии управления Исходная информация Выходные документы рисками Цели ИС и основные функции Границы системы Информационные ресурсы Функции системы Описание интерфейсов ИС и Критичные элементы ИС 1. Описание системы входящих/исходящих потоков Классификация данных с позиции Персонал, его функции ИБ Имевшие место инциденты в обла сти ИБ (история) ДАнные по инцидентам в анало Класс угроз для данной ИС 2. Идентификация угроз гичных системах (отечественный и зарубежный опыт) Документация по предыдущей 3. Идентификация оценке рисков Список потенциальных Требования в области ИБ уязвимостей уязвимостей Данные по аудиту ИБ данной ИС Документация, относящаяся к Описание системы управления 4. Анализ системы имеющейся и планируемой информационной системой системе управления управления ИС (имеющихся и планируемой) информационной технологией Модель нарушителя Цены потерь (при различных 5. Оценка параметров сценариях реализации угроз). Ранжированные по вероятности Оценка уязвимостей классы угроз угроз Существующая система управления рисками Возможные последствия 6. Анализ возможных нарушения ИБ с позиции основных Ранжированные по степени последствий нарушения целей системы опасности последствия Оценка критичности ресурсов нарушения режима ИБ режима ИБ Критичные данные Анализ возможностей реализации угроз Диапазон возможных воздействий Ранжированный список рисков при реализации угрозы 7. Определение рисков Степень адекватности существую щих и планируемых средств управ ления ИБ существующим угрозам 8. Выработка рекомен Рекомендации по управлению даций по управлению рисками рисками 9. Разработка отчетных Отчетные документы документов Рис. 3. Концепция управления рисками NIST 800 Технологии и инструментарий для управления рисками Оценка величины рисков не рассматривает быть восстановлен за время менее, чем крити ся, что приемлемо для некоторых разновидностей чески допустимое, стоимость восстановления методик базового уровня. высокая.

Списки классов рисков содержатся в некото Х Ценный ресурс: от него зависят критически рых руководствах, в специализированном ПО ана важные задачи, в случае утраты время восста лиза рисков. Классификация рисков, используемая новления превышает критически допустимое, в методе CRAMM, была рассмотрена в [1], в [8] даны либо стоимость чрезвычайно высока.

другие примеры классификаций.

Достоинством подобных списков является их Для измерения рисков не существует естест полнота: классов, как правило, немного (десятки), венной шкалы.

они достаточно широкие и заведомо покрывают всё Риски можно оценивать по объективным ли существующее множество рисков. бо субъективным критериям.

Недостаток - сложность оценки уровня рис Примером объективного критерия является ка и эффективности контрмер для широкого клас вероятность выхода из строя какого либо оборудо са, поскольку подобные расчеты удобнее проводить вания, например, ПК за определенный промежуток по более узким (конкретным) классам рисков. К времени.

примеру, класс рисков неисправность маршрути Примером субъективного критерия является затора может быть разбит на множество подклас оценка владельцем информационного ресурса рис сов, включающих возможные виды неисправности ка выхода из строя ПК. Для этого обычно разрабаты (уязвимости) ПО конкретного маршрутизатора и вается качественная шкала с несколькими градация неисправности оборудования. ми, например: низкий, средний, высокий уровени.

В методиках анализа рисков, как правило, ис пользуются субъективные критерии, измеряемые в 3.2. Оценивание рисков качественных шкалах, поскольку:

Рассмотрим следующие аспекты: Х Оценка должна отражать субъективную точку Х Шкалы и критерии, по которым можно изме зрения владельца информационных ресурсов.

рять риски. Х Должны быть учтены различные аспекты, не Х Оценку вероятностей событий. только технические, но и организационные, Х Технологии измерения рисков. психологические, и т.д.

3.2.1. Шкалы и критерии, по которым Для получения субъективной оценки в рас измеряются риски сматриваемом примере с оценкой риска выхода из Для измерения какого либо свойства необходимо строя ПК, можно использовать либо прямую экс выбрать шкалу. Шкалы могут быть прямыми (есте пертную оценку, либо определить функцию, отоб ственными) или косвенными (производными). При ражающую объективные данные (вероятность) в мерами прямых шкал являются шкалы для измере субъективную шкалу рисков.

ния физических величин, например, литры для из Субъективные шкалы могут быть количест мерения объемов, метры для измерения длины. венными и качественными, но на практике, как пра В ряде случаев прямых шкал не существует, вило, используются качественные шкалы с 3 7 гра приходится использовать либо прямые шкалы дру дациями. С одной стороны, это просто и удобно, с гих свойств, связанных с интересующими нас, либо другой - требует грамотного подхода к обработке определять новые шкалы. Примером является шка данных.

ла для измерения субъективного свойства лцен 3.2.2 Объективные и субъективные ность информационного ресурса. Она может из вероятности меряться в производных шкалах, таких как стои мость восстановления ресурса, время восстановле Термин вероятность имеет несколько различных ния ресурса и других. Другой вариант - опреде значений. Наиболее часто встречаются два толкова лить шкалу для получения экспертной оценки, ния этого слова, которые обозначаются сочетанием например, имеющую три значения: лобъективная вероятность и субъективная веро Х Малоценный информационный ресурс: от него ятность. Под объективной (иногда называемой фи не зависят критически важные задачи и он мо зической) вероятностью понимается относительная жет быть восстановлен с небольшими затрата частота появления какого либо события в общем ми времени и денег. объеме наблюдений или отношение числа благо Х Ресурс средней ценности: от него зависит ряд приятных исходов к общему их количеству. Объек важных задач, но в случае его утраты он может тивная вероятность возникает при анализе резуль Сергей Симонов татов большого числа наблюдений, имевших место этапа является набор чисел, который отражает в прошлом, а также как следствия из моделей, опи субъективный взгляд эксперта или группы экс сывающих некоторые процессы. пертов на вероятность того или иного события, Под субъективной вероятностью понимается однако далеко не всегда может считаться окон мера уверенности некоторого человека или группы чательно полученным распределением, по людей в том, что данное событие в действительнос скольку может быть противоречивым.

ти будет иметь место. Третий этап состоит в исследовании результатов Как мера уверенности человека в возможно опроса. Если вероятности, полученные от экс сти наступления события субъективная вероят пертов, не согласуются с аксиомами вероятно ность может быть формально представлена различ сти, то на это обращается внимание экспертов ными способами: вероятностным распределением и производится уточнение ответов с целью их на множестве событий, бинарным отношением на соответствия аксиомам.

множестве событий, неполностью заданным веро Для некоторых методов получения субъектив ятностным распределением или бинарным отноше ной вероятности третий этап не проводится, нием и другими способами. Наиболее часто субъек поскольку сам метод состоит в выборе вероят тивная вероятность представляет собой вероятно ного распределения, подчиняющегося аксио стную меру, полученную экспертным путем. мам вероятности, которое в том или другом Именно в этом смысле мы и будем понимать смысле наиболее близко к оценкам экспертов.

субъективную вероятность в дальнейшем. Особую важность третий этап приобретает при Субъективная вероятность в современных агрегировании оценок, полученных от группы работах в области системного анализа не просто экспертов. Более подробно технология агреги представляет меру уверенности на множестве со рования групповых оценок применительно к бытий, а увязывается с системой предпочтений ли факторам риска рассмотрена в [8].

ца, принимающего решения (ЛПР), и в конечном 3.2.4. Измерение рисков итоге с функцией полезности, отражающей его предпочтения на множестве альтернатив. Существует ряд подходов к измерению рисков. Рас Тесная связь между субъективной вероятно смотрим наиболее распространенные:

стью и полезностью используется при построении Х Оценка по двум факторам;

некоторых методов получения субъективной Х Оценка по трем факторам.

вероятности.

3.2.4.1 Оценка рисков по двум факторам 3.2.3. Получение оценок субъективной В простейшем случае используется оценка двух вероятности факторов: вероятность происшествия и тяжесть Процесс получения субъективной вероятности возможных последствий. Обычно считается, что принято разделять на три этапа: риск тем больше, чем больше вероятность происше Х Подготовительный этап. ствия и тяжесть последствий. Общая идея может Х Получение оценок. быть выражена формулой:

Х Этап анализа полученных оценок.

РИСК = Pпроисшествия ЦЕНА ПОТЕРИ * Первый этап. Во время этого этапа формируется объект исследования - множество событий, Если переменные являются количественны проводится предварительный анализ свойств ми величинами - риск это оценка математического этого множества (устанавливается зависимость ожидания потерь.

или независимость событий, дискретность или Если переменные являются качественными непрерывность случайной величины, порожда величинами, то метрическая операция умножения ющей данное множество событий). На основе не определена. Таким образом, в явном виде эта такого анализа выбирается один из подходя формула использоваться не должна. Рассмотрим ва щих методов (подробно рассматриваются в [8] ) риант использования качественных величин (наи получения субъективной вероятности. более часто встречающаяся ситуация).

На этом же этапе производится подготовка экс Вначале должны быть определены шкалы.

перта или группы экспертов, ознакомление их Определяется субъективная шкала вероятно с методом и проверка понимания поставленной стей событий, пример такой шкалы [5]:

задачи экспертами. A - Событие практически никогда не происхо Второй этап состоит в применении метода, вы дит.

бранного на первом этапе. Результатом этого B - Событие случается редко.

Технологии и инструментарий для управления рисками Negligible Minor Moderate Serious Critical A Низкий риск Низкий риск Низкий риск Средний риск Средний риск B Низкий риск Низкий риск Средний риск Средний риск Высокий риск C Низкий риск Средний риск Средний риск Средний риск Высокий риск D Средний риск Средний риск Средний риск Средний риск Высокий риск E Средний риск Высокий риск Высокий риск Высокий риск Высокий риск Табл. 3. Определение риска в зависимости от двух факторов.

C - Вероятность события за рассматриваемый всеми участниками процедуры экспертной промежуток времени - около 0.5. оценки.

D - Скорее всего событие произойдет. Х Требуются обоснования выбранной таблицы.

E - Событие почти обязательно произойдет. Необходимо убедиться, что разные инциденты, характеризующиеся одинаковыми сочетания Кроме того, определяется субъективная шка ми факторов риска, имеют с точки зрения экс ла серьезности происшествий, например, в соответ пертов одинаковый уровень рисков. Для этого ствии с [5]: существуют специальные процедуры проверки, N (Negligible) - Воздействием можно прене подробности можно посмотреть в [8].

бречь.

Mi (Minor) - Незначительное происшествие: по Подобные методики широко применяются следствия легко устранимы, затраты на ликви при проведении анализа рисков базового уровня.

дацию последствий не велики, воздействие на информационную технологию незначительно. 3.2.4.2 Оценка рисков по трем факторам.

Mo (Moderate) - Происшествие с умеренными В зарубежных методиках, рассчитанных на более результатами: ликвидация последствий не свя высокие требования, чем базовый уровень, исполь зана с крупными затратами, воздействие на ин зуется модель оценки риска с тремя факторами: уг формационную технологию не велико и не за роза, уязвимость, цена потери. Угроза и уязвимость трагивает критически важные задачи. определяются следующим образом:

S (Serious) - Происшествие с серьезными послед Угроза - совокупность условий и факторов, ко ствиями: ликвидация последствий связана со торые могут стать причиной нарушения цело значительными затратами, воздействие на ин стности, доступности, конфиденциальности формационные технологии ощутимо, воздейст информации.

вует на выполнение критически важных задач. Уязвимость - слабость в системе защиты, кото C (Critical) - Происшествие приводит к невоз рая делает возможным реализацию угрозы.

можности решения критически важных задач.

Вероятность происшествия, которая в дан Для оценки рисков определяется шкала из ном подходе может быть объективной либо субъек трех значений: тивной величиной, зависит от уровней (вероятнос Х Низкий риск. тей) угроз и уязвимостей:

Х Средний риск.

Х Высокий риск.

Рпроисшествия = Ругрозы Руязвимости * Риск, связанный с определенным событием, Соответственно риск определяется следую зависит от двух факторов и может быть определен щим образом:

так [5] - Табл. 3.

Шкалы факторов риска и сама таблица могут РИСК = Pугрозы Руязвимости ЦЕНА ПОТЕРИ * * быть определены иначе, иметь другое число града ций. Данное выражение можно рассматривать Подобный подход к оценке рисков достаточ как математическую формулу, если используются но распространен. количественные шкалы, либо как формулировку При разработке (использовании) методик общей идеи, если хотя бы одна из шкал - качест оценки рисков необходимо учитывать следующие венная. В последнем случае используются различ особенности: ного рода табличные методы для определения риска Х Значения шкал должны быть четко определены в зависимости от трех факторов.

(словесное описание) и пониматься одинаково Сергей Симонов Степень серьезности Уровень угрозы происшествия Низкий Средний Высокий (цена потери) Уровни уязвимостей Уровни уязвимостей Уровни уязвимостей НСВ НСВ НСВ Negligible 01 2 12 3 23 Minor 12 3 23 4 34 Moderate 23 4 34 5 45 Serious 34 5 45 6 56 Critical 45 6 56 7 67 Табл. 4. Определение риска в зависимости от трех факторов Например, показатель риска измеряется в Практические сложности в реализации этого шкале от 0 до 8 со следующими определениями подхода следующие:

уровней риска: Во первых, должен быть собран весьма обшир 1 риск практически отсутствует. Теоретически ный материал о происшествиях в этой области.

возможны ситуации, при которых событие на Во вторых, применение этого подхода оправдано ступает, но на практике это случается редко, а далеко не всегда. Если информационная систе потенциальный ущерб сравнительно невелик. ма достаточно крупная (содержит много эле 2 риск очень мал. События подобного рода случа ментов, расположена на обширной террито лись достаточно редко, кроме того, негативные рии), имеет давнюю историю, то подобный под последствия сравнительно невелики. ход, скорее всего, применим. Если система... сравнительно невелика, использует новейшие 8 риск очень велик. Событие скорее всего насту элементы технологии (для которых пока нет до пит, и последствия будут чрезвычайно тяжелыми. стоверной статистики), оценки угроз и уязви мостей могут оказаться недостоверными.

Матрица может быть определена следующим образом - Табл. 4. В данной таблице уровни уязви Наиболее распространенным в настоящее мости Н, С, В означают соответственно: низкий, время является подход, основанный на учете раз средний, высокий уровни. Некоторые другие вари личных факторов, влияющих на уровни угроз и уяз анты таблиц рассмотрены в [2]. вимостей. Такой подход позволяет абстрагировать Подобные таблицы используются как в бу ся от малосущественных технических деталей, мажных вариантах методик оценки рисков, так и в учесть не только программно технические, но и различного рода инструментальных средствах - иные аспекты.

ПО анализа рисков. Рассмотрим пример реализации подобного В последнем случае матрица задается разра подхода, используемого в методе CRAMM 4.0 для ботчиками ПО и, как правило, не подлежит коррек одного из классов рисков: Использование чужого тировке. Это один из факторов, ограничивающих идентификатора сотрудниками организации (лма точность подобного рода инструментария. скарад).

Для оценки угроз выбраны следующие кос 3.2.5 Технология оценки угроз и уязвимостей венные факторы:

Для оценки угроз и уязвимостей используются раз Х Статистика по зарегистрированным инциден личные методы, в основе которых могут лежать: там.

Х Экспертные оценки. Х Тенденции в статистке по подобным наруше Х Статистические данные. ниям.

Х Учет факторов, влияющих на уровни угроз и Х Наличие в системе информации, представляю уязвимостей. щей интерес для потенциальных внутренних или внешних нарушителей.

Один из возможных подходов к разработке Х Моральные качества персонала.

подобных методик - накопление статистических Х Возможность извлечь выгоду из изменения об данных о реально случившихся происшествиях, рабатываемой в системе информации.

анализ и классификация их причин, выявление Х Наличие альтернативных способов доступа к факторов, от которых они зависят. На основе этой информации.

информации можно оценить угрозы и уязвимости в Х Статистика по подобным нарушениям в других других информационных системах. информационных системах организации.

Технологии и инструментарий для управления рисками Для оценки уязвимостей выбраны следую 5. Существуют ли среди персонала группы щие косвенные факторы: лиц или отдельные лица с недостаточно высо Х Количество рабочих мест (пользователей) в си кими моральными качествами?

стеме. Варианты ответов Х Размер рабочих групп. a Нет, все сотрудники отличаются высокой Х Осведомленность руководства о действиях со честностью и порядочностью трудников (разные аспекты). b Существуют группы лиц и отдельные Х Характер используемого на рабочих местах личности с недостаточно высокими оборудования и ПО. моральными качествами, но это вряд ли Х Полномочия пользователей. может спровоцировать их на несанкционированное использование По косвенным факторам предложены вопро системы сы и несколько фиксированных вариантов ответов, c Существуют группы лиц и отдельные которые стоят определенное количество баллов. личности с настолько низкими моральными Итоговая оценка угрозы и уязвимости данного клас качествами, что это повышает вероятность са определяется путем суммирования баллов. несанкционированного использования системы сотрудниками Оценка угрозы 6. Хранится ли в информационной системе Ответьте на вопросы информация, несанкционированное измене 1. Сколько раз за последние 3 года сотрудни ние которой может принести прямую выгоду ки организации пытались получить несанкци сотрудникам?

онированный доступ к хранящейся в инфор Варианты ответов мационной системе информации с использова a Да нием прав других пользователей? b Нет Варианты ответов a Ни разу 0 7. Предусмотрена ли в информационной сис b Один или два раза 10 теме поддержка пользователей, обладающих c В среднем раз в год 20 техническими возможностями совершить по d В среднем чаще одного раза в год 30 добные действия?

e Неизвестно 10 Варианты ответов a Нет 2. Какова тенденция в статистике такого рода b Да попыток несанкционированного проникнове ния в информационную систему? 8. Существуют ли другие способы просмотра Варианты ответов информации, позволяющие злоумышленнику a К возрастанию 10 добраться до нее более простыми методами, b Оставаться постоянной 0 чем с использованием маскарада?

c К снижению 10 Варианты ответов a Да 3. Хранится ли в информационной системе b Нет информация (например, личные дела), которая может представлять интерес для сотрудников 9. Существуют ли другие способы несанкцио организации и побуждать их к попыткам не нированного изменения информации, позво санкционированного доступа к ней? ляющие злоумышленнику достичь желаемого Варианты ответов результата более простыми методами, чем с a Да 5 использованием маскарада?

b Нет 0 Варианты ответов a Да 4. Известны ли случаи нападения, угроз, шан b Нет тажа, давления на сотрудников со стороны по сторонних лиц? 10.Сколько раз за последние 3 года сотрудни Варианты ответов ки пытались получить несанкционированный a Да 10 доступ к информации, хранящейся в других b Нет 0 подобных системах в вашей организации?

Сергей Симонов Варианты ответов a Да a Ни разу 0 b Нет b Один или два раза c В среднем раз в год 10 5. Каковы в среднем размеры рабочих групп d В среднем чаще одного раза в год 15 сотрудников пользовательских подразделе e Неизвестно 10 ний, имеющих доступ к информационной сис теме?

Степень угрозы при количестве баллов: Варианты ответов До 9 Очень низкая a Менее 10 человек От 10 до 19 Низкая b От 11 до 20 человек От 20 до 29 Средняя c Свыше 20 человек От 30 до 39 Высокая 40 и более Очень высокая 6. Станет ли факт изменения хранящихся в информационной системе данных очевидным сразу для нескольких человек (в результате Оценка уязвимости чего его будет очень трудно скрыть)?

Ответьте на вопросы:

Варианты ответов 1. Сколько людей имеют право пользоваться a Да информационной системой? b Нет Варианты ответов a От 1 до 10 0 7. Насколько велики официально предостав b От 11 до 50 4 ленные пользователям возможности по про c От 51 до 200 10 смотру всех хранящихся в системе данных?

d От 200 до 1000 14 Варианты ответов e Свыше 1000 20 a Официальное право предоставлено всем пользователям 2. Будет ли руководство осведомлено о том, b Официальное право предоставлено что люди, работающие под их началом, ведут только некоторым пользователям себя необычным образом?

Варианты ответов 8. Насколько необходимо пользователям знать a Да 0 всю информацию, хранящуюся в системе?

b Нет 10 Варианты ответов a Всем пользователям необходимо 3. Какие устройства и программы доступны знать всю информацию пользователям? b Отдельным пользователям необходимо Варианты ответов знать лишь относящуюся к ним a Только терминалы или сетевые информацию контроллеры, ответственные за предоставление и маршрутизацию Степень уязвимости при количестве баллов:

информации, но не за передачу данных 5 До 9 Низкая b Только стандартные офисные От 10 до 19 Средняя устройства и программы и управляемые 20 и более Высокая с помощью меню подчиненные прикладные программы 0 Возможности данного подхода и границы его c Пользователи могут получить доступ к применимости.

операционной системе, но не к Несомненным достоинством данного подхода явля компиляторам 5 ется возможность учета множества косвенных фак d Пользователи могут получить доступ к торов (не только технических). Методика проста и компиляторам 10 дает владельцу информационных ресурсов ясное представление, каким образом получается итоговая 4. Возможны ли ситуации, когда сотрудникам, оценка и что надо изменить, чтобы улучшить оценки.

предупрежденным о предстоящем сокраще Недостатки: Косвенные факторы зависят от нии или увольнении, разрешается логический сферы деятельности организации, а также от ряда доступ к информационной системе? иных обстоятельств. Таким образом, методика всегда Варианты ответов требует подстройки под конкретный объект. При Технологии и инструментарий для управления рисками этом доказательство полноты выбранных косвенных находиться в разумных пределах и не превышать факторов и правильности их весовых коэффициен 15% средств, которые тратятся на поддержание ра тов (задача малоформализованная и сложная) на боты информационной системы.

практике решается экспертными методами (провер Второй подход применяется при обеспече ка соответствия полученных по методике результа нии повышенного уровня безопасности. Собствен тов ожидаемым для тестовых ситуаций). ник информационных ресурсов должен сам выби Подобные методики, как правило, разрабаты рать допустимый уровень остаточных рисков и не ваются для организаций определенного профиля сти ответственность за свой выбор.

(ведомств), апробируются и затем используются в В зависимости от уровня зрелости организа качестве ведомственного стандарта. По такому пути ции, характера основной деятельности обоснова пошли и разработчики CRAMM, создав около десят ние выбора допустимого уровня риска может про ка версий метода для разных ведомств (министерст водиться разными способами.

во иностранных дел, вооруженные силы и т.д.). Наиболее распространенным является ана Оценки рисков и уязвимостей в рассмотрен лиз стоимость/эффективность различных вариан ном примере являются качественными величина тов защиты, примеры постановок задач:

ми. Однако подобными методами могут быть полу Х Стоимость подсистемы безопасности должна чены и количественные оценки, необходимые при составлять не более 20% от стоимости инфор расчете остаточных рисков, решении оптимизаци мационной системы. Найти вариант контрмер, онных задач. Для этого применяется ряд методов, максимально снижающих уровень интеграль позволяющих установить на упорядоченном мно ный рисков.

жестве оценок систему расстояний, обзор приво Х Уровень рисков по всем классам не должен дится в [8]. превышать лочень низкий уровень. Найти ва Получение объективных количественных риант контрмер с минимальной стоимостью.

оценок рисков должно быть актуально для страхо вых агентств, занимающихся страхованием инфор В случае постановок оптимизационных задач мационных рисков. важно правильно выбрать комплекс контрмер (пе На практике страховые агентства пользуются речислить возможные варианты) и оценить его эф в большинстве случаев качественными оценками. фективность.

Простые методики без длительного и дорогостоя щего обследования позволяют отнести информаци 3.4 Выбор контрмер и оценка их онную систему к той или иной группе риска (по эффективности классификации страховой компании) на основе ин тервью с рядом должностных лиц. В таких методи Система защиты строится комплексно, включает ках также фиксируются и анализируются косвен контрмеры разных уровней (административные, ные факторы. организационные, программно технические).

Для облегчения выбора комплекса контрмер в различных методиках используются таблицы, в 3.3 Выбор допустимого уровня риска которых классам угроз ставятся в соответствие воз Выбор допустимого уровня риска связан с затрата можные контрмеры. Ниже приводится пример ми на реализацию подсистемы информационной классификатора контрмер CRAMM 4:

безопасности. Существует два подхода к выбору до Классы контрмеры, соответствующие клас пустимого уровня рисков.

сам угроз в методе CRAMM 4 (фрагмент) Первый подход типичен для базового уровня безопасности. Уровень остаточных рисков не при Masquerading of User Identity by Insiders нимается во внимание. Затраты на программно тех Identification and Authentication нические средства защиты и организационные ме Logical Access Control роприятия, необходимые для соответствия инфор Accounting мационной системы спецификациям базового Audit уровня (антивирусное ПО, МЭ, криптографическая Object Re use защита, системы резервного копирования, системы Security Testing контроля доступа) являются обязательными, Software Integrity целесообразность их использования не обсуждает Mobile Computing and Teleworking ся. Дополнительные затраты (если такой вопрос бу Software Distribution дет поставлен по результатам проведения аудита ИБ System Input/Output Controls либо по инициативе службы безопасности) должны Network Access Controls Сергей Симонов System Administration Controls Security Testing Application Input/Output Controls Software Integrity Back up of Data Mobile Computing and Teleworking Personnel Software Distribution Security Education and Training System Input/Output Controls Security Policy Network Security Management Security Infrastructure Network Access Controls Data Protection Legalisation System Administration Controls Incident Handling Application Input/Output Controls Compliance Checks Back up of Data Security Education and Training Masquerading of User Identity by Contracted Security Policy Service Providers Security Infrastructure Identification and Authentication Data Protection Legalisation Logical Access Control Incident Handling Accounting Compliance Checks Audit Object Re use Подобные классификаторы позволяют авто Security Testing матически выбирать и предлагать конкретные вари Software Integrity анты контрмер, возможных для рассматриваемой Mobile Computing and Teleworking информационной системы. Владелец информаци Software Distribution онных ресурсов может отбирать из них приемле System Input/Output Controls мые. Следующий шаг - оценка эффективности Network Access Controls контрмер.

System Administration Controls Задача оценки эффективности контрмер яв Application Input/Output Controls ляется не менее сложной, чем оценка рисков.

Back up of Data Причина в том, что оценка эффективности Personnel комплексной подсистемы безопасности, включаю Security Education and Training щей контрмеры разных уровней (административ Security Policy ные, организационные, программно технические) в Security Infrastructure конкретной информационной системе - методоло Outsourcing гически чрезвычайно сложная задача. По этой при Data Protection Legalisation чине обычно используются упрощенные, качест Incident Handling венные оценки эффективности контрмер.

Compliance Checks Примером является таблица типичных значе ний эффективности контрмер, используемых в ме Masquerading of User Identity by Outsiders тоде анализа рисков RiskWatch, рассматриваемом в Identification and Authentication следующем разделе.

Logical Access Control Указанные в Табл. 5 значения являются ори Accounting ентировочными оценками эффективности вложе Audit ний в различные классы мероприятий в области за Object Re use щиты информации.

Разработка и внедрение политики информационной безопасности...................................................................................... Мероприятия по работе с персоналом (наведение справок, контроль за поведением, и т.п).......................................... Совершенствование организационной структуры...................................................................................................................... Анализ рисков...................................................................................................................................................................................... Управление жизненным циклом (управление рисками)............................................................................................................. Совершенствование должностных инструкций и условий контрактов..................................................................................... Меры контроля за посетителями...................................................................................................................................................... Управление имуществом компании................................................................................................................................................. Обучение персонала и контроль за соблюдением режима ИБ............................................................................................... Меры контроля за работой приложений...................................................................................................................................... Табл. 5. Ориентировочная эффективность мероприятий в области защиты информации по критерию ROI (Return of Investment - возврат вложений) Технологии и инструментарий для управления рисками В ряде случаев используются более сложные Рассмотрим современное состояние этого рынка и таблицы, в которых эффективность зависит от ряда основные тенденции его развития.

факторов (аналогично примеру оценки угроз и уяз В 2000 году был принят международный стан вимостей в 3.2.5). дарт ISO 17799, за основу которого был взят Британ На основе подобных таблиц делаются качест ский стандарт BS 7799, рассмотрений в [1,2]. В резуль венные оценки эффективности контрмер. тате большинство инструментальных средств (ПО анализа и управления рисками) было в последнее вре мя модифицировано таким образом, чтобы обеспе чить соответствие требованиям этого стандарта.

В обзоре ПО условно разделено на 2 группы:

Х ПО базового уровня;

Х ПО полного анализа рисков.

Надо учитывать, что это разделение весьма условно, поскольку инструментарий базового уров ня зачастую содержит дополнительные возможнос 4. Инструментарий для ана ти, относящиеся к полному анализу рисков.

лиза и управления рисками 4.1 Инструментарий базового уровня Инструментальные средства анализа рисков позво Вначале рассмотрим инструментарий, соответству ляют автоматизировать работу специалистов в об ющий ISO17799:

ласти защиты информации, осуществляющих оцен Х Справочные и методические материалы.

ку информационных рисков предприятия. Х ПО анализа рисков и аудита Cobra.

В России в настоящее время чаще всего ис Х ПО анализа рисков и аудита Software Tool.

пользуются разнообразные бумажные методики, 4.1.1 Справочные и методические материалы достоинствами которых является гибкость и адап тивность. Как правило, разработкой данных мето Ряд Британских фирм [9] предлагает следующие дик занимаются компании - системные и специа продукты:

лизированные интеграторы в области защиты ин Х Information Security Police формации. По понятным причинам методики обыч Х SOS - INTERACTIVE 'ONLINE' SECURITY но не публикуются, поскольку относятся к Know POLICIES AND SUPPORT how компании. В силу закрытости данных методик Х Security Professionals Guide судить об их качестве, объективности и возможнос тях достаточно сложно. Эти продукты представляют собой справоч Специализированное ПО, реализующее ме ники, посвященные практическим аспектам реали тодики анализа рисков, может относиться к катего зации политики безопасности в соответствии с рии программных продуктов (продается на рынке) ISO17799, вид справочника приводится на рис. 4.1.

либо являться собственностью ведомства или орга Демонстрационные версии (Evaluation version) низации и не продаваться. Если ПО разрабатывает можно загрузить с сайта [11].

ся как программный продукт, оно должно быть в до Эти методические материалы детализируют статочной степени универсальным. Ведомственные требования ISO17799 и выполнены в стиле этого варианты ПО адаптированы под особенности по стандарта. Достоинством является гипертекстовая становок задач анализа и управления рисками, и структура, удобная навигация.

позволяют учесть специфику информационных Еще один продукт подобного рода - THE технологий организации. ISO17799 TOOLKIT - текст стандарта ISO17799 с Предлагаемое на рынке ПО ориентировано в комплектом методических материалов и презента основном на уровень информационной безопаснос цией [11].

ти, несколько превышающий базовый уровень за 4.1.2 COBRA щищенности. Таким образом, инструментарий рас считан в основном на потребности организаций 3 4 ПО COBRA [9], производитель - C & A Systems степени зрелости. Security Ltd., позволяет формализовать и ускорить ПО анализа рисков, присутствующее на рын процесс проверки на соответствие режима инфор ке по состоянию на 1998 год было рассмотрено в [1]. мационной безопасности требованиям Британско го стандарта BS 7799 (ISO 17799) и провести анализ Сергей Симонов Рис 4.1. Справочник 'ONLINE' SECURITY POLICIES AND SUPPORT Рис 4.2. Анализ рисков с использованием ПО "Cobra" Технологии и инструментарий для управления рисками Рис 4.3. Основные модули RA Software Tool Рис 4.4. Детальная оценка рисков в RA Software Tool, основные шаги Сергей Симонов рисков. Имеется несколько баз знаний: общие тре по выбору системы защиты), а также стандарт ISO бования BS 7799 (ISO 17799) и специализированные 13335 часть 3 и 4 (Руководство по управлению режи базы, ориентированные на различные области при мом информационной безопасности, технологии уп менения. Доступна Evaluation version этого ПО. равления безопасностью и выбор средств защиты).

COBRA позволяет представить требования Основные модули этого метода показаны на рис 4.3.

стандарта в виде тематических вопросников по Этот инструментарий позволяет выполнять отдельным аспектам деятельности организации, оценку рисков (модули 4 и 5) как в соответствии с пример приводится на рис 4.2. требованиями базового уровня, так и в соответствии Анализ рисков, выполняемый данным мето с более детальными спецификациями PD 3002 Бри дом, соответствует базовому уровню безопасности, танского института стандартов. Каждый из модулей т.е. уровни рисков не определяются. Достоинством разбивается, в свою очередь, на ряд шагов (рис 4.4).

методики является простота. Необходимо ответить Демонстрационная версия данного метода, на несколько десятков вопросов, затем автоматиче доступная на сайте [13], отличается от полной вер ски формируется отчет. сии небольшими купюрами, и может быть полезна Этот программный продукт может использо при разработке собственных методик и инструмен ваться при проведении аудита ИБ или для работы тария для анализа и управления рисками.

специалистов служб, отвечающих за обеспечение информационной безопасности.

4.2 Инструментарий для обеспечения Простота, соответствие международному повышенного уровня безопасности стандарту, сравнительно небольшое число вопро сов, позволяют легко адаптировать этот метод для Рассмотрим несколько методов, которые можно от работы в отечественных условиях. нести к инструментарию для нужд организаций четвертого и пятого уровней зрелости.

4.1.3 RA Software Tool Как уже отмечалось, четко провести границу Еще один метод, условно относящийся к базовому между методами базового и полного анализа рисков уровню - RA Software Tool [13], базируется на бри сложно, примером является рассмотренный выше танском стандарте BS 7799 часть 1 и 2, методических RA Software Tool, имеющий ряд простейших материалах британского института стандартов (BSI) средств, которые позволяют формально отнести его PD 3002 (Руководство по оценке и управлению рис к средствам полного анализа рисков. Ниже рассма ками), PD 3003 (Оценка готовности компании к ауди тривается инструментарий с более развитыми сред ту в соответствии с BS 7799), PD 3005 (Руководство ствами анализа и управления рисками.

Рис 4.5. Основные этапы в методе Risk Advisor Технологии и инструментарий для управления рисками Рис. 4.7. Разделение рисков на приемлемые и неприем Рис. 4.6. Идентификация и определение рисков в Risk лемые в Risk Advisor.

Advisor 4.2.1 ПО компании MethodWare Х Потери Компания MethodWare [10] выпускает ряд продук Х Управляющие воздействия тов, которые могут использоваться аналитиками в Х Контрмеры и план действий области информационной безопасности при прове дении анализа рисков, управлении рисками, аудите Описание контекста информационной безопасности. Это: На этапе описания контекста описывается модель Х ПО анализа и управления рисками Operational взаимодействия организации с внешним миром в не Risk Builder и Risk Advisor. Методология соот скольких аспектах: стратегическом, организацион ветствует австралийскому стандарту ном, бизнес цели, управление рисками, критерии.

Australian/New Zealand Risk Management Стратегический аспект описывает сильные и сла Standard (AS/NZS 4360:1999). Имеется и версия, бые стороны организации с внешних позиций, соответствующая ISO17799. варианты развития, классы угроз и отношения Х ПО управления жизненным циклом информа с партнерами.

ционной технологии: CobiT Advisor 3rd Edition Организационный контекст описывает отноше (Audit) и CobiT 3rd Edition Management Advisor. ния внутри организации: стратегию, цели на ор В руководствах CobiT существенное место уде ганизационном уровне, внутреннюю политику.

ляется анализу и управлению рисками. Контекст управления рисками описывает концеп Х ПО для автоматизации построения разнообраз цию информационной безопасности.

ных опросных листов Questionnaire Builder Контекст бизнес целей - основные бизнес цели.

Критерии оценки - критерии оценки, использу Демо версии этого ПО можно загрузить с емые при управлении рисками.

сайта компании MethodWare [10].

Описание рисков Risk Advisor Задается матрица рисков (рис 4.6), в результате ри Это ПО позиционируется как инструментарий ана ски будут описаны в соответствии с определенным литика или менеджера в области информационной шаблоном и заданы связи этих рисков с другими безопасности. Реализована методика, позволяющая элементами модели.

задать модель информационной системы с позиции Риски оцениваются по качественной шкале и информационной безопасности, идентифицировать разделяются на приемлемые и неприемлемые (рис.

риски, угрозы, потери в результате инцидентов. 4.7) на основе простейшей модели.

Основные этапы работы: Затем выбираются управляющие воздейст Х Описание контекста вия (контрмеры) с учетом зафиксированной ранее Х Риски системы критериев, эффективности контрмер и их Х Угрозы Сергей Симонов Рис. 4.8. Анализ результатов в Risk Advisor 4.2.2 АванГард стоимости. Стоимость и эффективность также оце ниваются в качественных шкалах. В настоящее время на российском рынке продается отечественное ПО АванГард, разработка института Описание угроз системного анализа РАН, подробное описание в [15].

В начале формируется список угроз. Угрозы опре АванГард позиционируется как экспертная деленным образом классифицируются, затем опи система управления информационной безопаснос сывается связь между рисками и угрозами. Описа тью. Предлагаются две версии метода: АванГард ние также делается на качественном уровне и поз Анализ - для проведения анализа рисков, Аван воляет зафиксировать их взаимосвязи. Гард Контроль - управление рисками. Структура и функции комплекса приводятся на рис. 4.9.

Описание потерь Данный программный комплекс обладает Описываются события (последствия), связанные с на развитыми средствами для построения моделей ин рушением режима информационной безопасности. формационных систем с позиции информационной Потери оцениваются в выбранной системе критериев. безопасности. В нем, в отличие от описанного выше Risk Advisor, можно строить модели разных уров Анализ результатов ней (административного, организационного, про В результате построения модели можно сформиро граммно технического, физического) и разной сте вать подробный отчет (около100 разделов), посмот пени абстракции.

реть на экране агрегированные описания в виде Авторы метода постарались не вносить графа рисков (рис. 4.8). внутрь конкретные методики расчета составляю щих элементов рисков. Риск (в терминах авторов Оценка возможностей метода Risk Advisor размер риска) определяется как произведение Данный инструмент позволяет документировать ущерба (в терминах авторов цена риска) на вероят всевозможные аспекты, связанные с управлением ность риска. Исходные данные - ущерб и вероят риском, на верхних уровнях - административном ность должны быть введены в модель. Существует и организационном. Программно технические ас справочная база данных, помогающая ЛПР в выбо пекты описывать в данной модели не очень удобно. ре этих значений, но процедура намеренно не фор Оценки даются в качественных шкалах, подробного мализована. Такой подход имеет свои достоинства и анализа факторов рисков не предусмотрено. недостатки. Недостатком является то, что методоло Сильной стороной данного метода является гически сложный этап - выбор значений, которые возможность описания разноплановых взаимосвя к тому же должны быть измерены в количествен зей, адекватного учета многих факторов риска. ных шкалах, полностью перекладывается на анали тика (пользователя). Какой либо верификации зна чений не предполагается.

Технологии и инструментарий для управления рисками Комплексная экспертная система Базы данных и знаний по угрозам наруше управления информационной ния ИБ, по моделям событий рисков нару безопасностью АванГард шения ИБ, мерам, мероприятиям, требо ваниям и средствам защиты Средства построения моделей угроз, мо Программный комплекс Программный комплекс делей защиты, моделей событий рисков АванГард Анализ АванГард Контроль Средства оценки и анализа рисков Идентификация критических Построение профилей защиты составляющих критических составляющих Построение моделей угроз Контроль и анализ выполнения Средства анализа эффективности мер и мер и требований по мероприятий по защите Построение моделей защиты обеспечению ИБ Построение моделей событий Оценка и анализ рисков невыполнения требований по Средства анализа по критерию Оценка и анализ рисков защите лэффективность стоимость вариантов нарушений ИБ комплексов мероприятий по защите Оценка эффективности мер и мероприятий по защите Оценка по критерию Средства контроля и анализа выполнения лэффективность стоимость мер и требований по обеспечению вариантов комплексов информационной безопасности мероприятий по защите Рис. 4.9. Структура и функции АванГард Другая особенность - базы данных заполня мализуется в ряде подпунктов, которые можно ются информацией под конкретный заказ. Универ выбрать для более подробного описания (рис.

сальной версии, рассчитанной на среднего потре 4.11) или пропустить.

бителя не поставляется. Далее каждый из выбранных пунктов описыва Таким образом, АванГард подходит для по ется подробно.

строения ведомственных методик анализа и управ Для облегчения работы аналитика в шаблонах ления рисками, но вряд ли его можно рассматривать даются списки категорий защищаемых ресур как универсальный инструментарий аналитика. сов, потерь, угроз, уязвимостей и мер защиты.

Из них нужно выбрать те, что реально присут 4.2.3 RiskWatch ствуют в организации.

Компания RiskWatch [12] предлагает два продукта: На рис. 4.11 приводится пример описания раз один в области информационной безопасности, личных категорий ресурсов.

второй в области физической безопасности. ПО Допускается модификация названий, описа предназначено для идентификации и оценки защи ний, а также добавление новых категорий. Это щаемых ресурсов, угроз, уязвимостей и мер защи позволяет достаточно просто русифицировать ты в сфере компьютерной и физической безопас данный метод.

ности предприятия. 2) Вторая фаза - ввод данных, описывающих кон В продукте, предназначенном для управле кретные характеристики системы. Данные могут ния рисками в информационных системах, учиты вводиться вручную или импортироваться из отче ваются требования стандартов США (можно выби тов, созданных инструментальными средствами рать требуемый уровень защищенности). Кроме то исследования уязвимости компьютерных сетей.

го, выпущена версия продукта RiskWatch На этом этапе:

RW17799о, соответствующая стандарту ISO 17799. Х Подробно описываются ресурсы, потери и RiskWatch помогает провести анализ рисков классы инцидентов. Классы инцидентов по и сделать обоснованный выбор мер и средств защи лучаются путем сопоставления категории ты. Используемая в программе методика включает в потерь и категории ресурсов;

себя 4 фазы. Х Для выявления возможных уязвимостей ис 1) Первая фаза - определение предмета исследо пользуется опросник, база которого содер вания. На данном этапе описываются парамет жит более 600 вопросов. Вопросы связаны с ры организации - тип организации, состав ис категориями ресурсов. Допускается коррек следуемой системы, базовые требования в об тировка вопросов, исключение или добавле ласти безопасности (рис. 4.10). Описание фор ние новых.

Сергей Симонов Рис. 4.10. Описание информационной системы с позиции безопасности в RiskWatch Рис. 4.11. Описание ресурсов информационной системы Технологии и инструментарий для управления рисками Рис 4.12. Оценка параметров угроз с использованием статистических данных Рис. 4.13. Содержание третьей стадии в RiskWatch Сергей Симонов Theft - Company Property - AFE: 2. The various incident>

Incident>

3) Третья фаза - оценка рисков. Сначала уста навливаются связи между ресурсами, потеря ми, угрозами и уязвимостями, выделенными на предыдущих этапах.

Для рисков рассчитываются математические ожидания потерь за год по формуле:

m=p * v Theft Company Property ALE's где p - частота возникновения угрозы в тече нии года, v - стоимость ресурса, который под вергается угрозе.

Например, если стоимость сервера $150000, а вероятность того, что он будет уничтожен по жаром в течение года равна 0.01, то ожидаемые потери составят $1500.

Дополнительно рассматриваются сценарии что еслиЕ, которые позволяют описать анало Theft Company Property ALE's гичные ситуации при условии внедрения средств защиты. Сравнивая ожидаемые потери при условии внедрения защитных мер и без них можно оценить эффект от таких мероприятий.

4) Четвертая фаза - генерация отчетов (Табл. 6).

Типы отчетов:

Х Краткие итоги.

Х Полные и краткие отчеты об элементах, опи санных на стадиях 1 и 2.

Х Отчет о стоимости защищаемых ресурсов и ожидаемых потерь от реализации угроз.

Х Отчет об угрозах и мерах противодействия.

Х Отчет о результатах аудита безопасности.

Theft Company Property SLE's Возможности RiskWatch Рис. 4.14 Результирующие оценки по одной из угроз В RiskWatch используется упрощенный подход, как (кражи) к описанию модели информационной системы, так и оценке рисков. анализ рисков на программно техническом уровне Трудоемкость работ по анализу рисков с ис защиты, без учета организационных и администра пользованием этого метода сравнительно невелика. тивных факторов. Однако надо учитывать, что полу Такой метод подходит, если требуется провести ченные оценки рисков (математическое ожидание Технологии и инструментарий для управления рисками потерь) далеко не исчерпывает понимание риска с Х Система управления информационной безо системных позиций. пасностью.

Существенным достоинством RiskWatch с Х План обеспечения бесперебойной работы.

точки зрения отечественного потребителя является Х Ведомость соответствия.

сравнительная простота, малая трудоемкость руси фикации и большая гибкость метода, обеспечивае Эти отчеты необходимы при проведении ау мая возможностью введения новых категорий, опи дита информационной безопасности в соответст саний, вопросов и т.д. На основе этого метода отече вии с BS 7799. Метод CRAMM в настоящее время яв ственные разработчики могут создавать свои про ляется наиболее часто используемым ПО, если тре фили, учитывающие отечественные требования в буется провести аудит в соответствии с требования области безопасности, разработать ведомственные ми Британского стандарта BS 7799.

методики анализа и управления рисками. Добавлено много новых средств, повышаю щих гибкость метода. В частности, добавлен ряд на 4.2.4 CRAMM строек, позволяющих лучше адаптировать его к ре Метод анализа и управления рисками CRAMM, раз шению конкретной задачи (рис. 4.15).

работанный Британской правительственной орга Его достоинствами являются использование низацией CCTA, в России в настоящее время ис технологии оценки угроз и уязвимостей по косвен пользуется несколькими компаниями - системны ным факторам с возможностью верификации ре ми интеграторами. зультатов, удобная система моделирования инфор Возможности версии CRAMM 3.2 были рас мационной системы с позиции безопасности, об смотрены в [1]. Отличительными особенностями ширная база данных по контрмерам. Данный метод новой версии CRAMM 4.0 являются: является самым мощным и самым трудоемким из Х Соответствие стандарту BS 7799 (ISO 17799). рассмотренных в данном обзоре, он позволяет весь Х Увеличено количество возможных отчетов, до ма детально оценить риски и различные варианты бавлены возможности управления их содержа контрмер.

нием. Недостаток с позиции отечественного потре Х Добавлены новые классы информационных ре бителя - сложность русификации и большой объ сурсов. ем выходных документов (сотни страниц). Анали Х Существенно расширена база данных по тик обычно вынужден на основе полученных доку контрмерам. ментов сам писать отчет для заказчика.

В области обеспечения соответствия стандар ту BS 7799, наиболее важным нововведением явля ется возможность генерации отчетов:

Х Политика информационной безопасности.

Рис 4.15. Дополнительные настройки в CRAMM 4.0: определение возможных последствий по типам угроз Сергей Симонов Заключение Базовый (Baseline) анализ рисков [1] - анализ рисков, проводимый в соответствии с требова В организациях, достигнувших определенной степе ниями базового уровня защищенности. При ни зрелости, проведение анализа рисков и управле кладные методы анализа рисков, ориентиро ние рисками на всех стадиях жизненного цикла ин ванные на данный уровень, обычно не рассмат формационной технологии являются обязательными ривают ценность ресурсов и не оценивают эф элементами в системе мероприятий по обеспечению фективность контрмер. Методы данного класса режима информационной безопасности. Требова применяются в случаях, когда к информацион ния к проведению этих этапов, предъявляемые раз ной системе не предъявляется повышенных ными организациями, различаются и находятся в требований в области информационной безо широких пределах. Соответственно используются пасности.

различные технологии анализа рисков.

Разработка методик анализа рисков связана с Полный (Full) анализ рисков [1] - анализ рисков рядом методологических сложностей. Наибольшую для информационных систем, предъявляющих сложность представляют: повышенные требования в области ИБ (более Х Разработка корректных процедур измерения высокие, чем базовый уровень защищенности).

рисков. Это предполагает:

Х Построение модели информационной техноло гии с системных позиций, учитывающей разно Х определение ценности ресурсов;

плановые факторы, относящиеся к организаци онному, процедурному, программно техничес Х оценку угроз и уязвимостей;

кому уровням, а также их взаимосвязи.

Х выбор адекватных контрмер, оценку их эф В настоящее время на рынке имеется ПО, реа фективности.

лизующее различные методики анализа рисков. Это ПО можно использовать в качестве инструментария Угроза (Threat) [1] - совокупность условий и фак аналитика. Однако одного лучшего универсально торов, которые могут стать причиной наруше го метода не существует, в каждом случае требуется ния целостности, доступности, конфиденци выбирать подходящее ПО и настраивать его в соот альности.

ветствии со спецификой объекта исследования. По этой причине бумажные методики весьма распро Угроза ИБ [Threat] [14] - возможная опасность странены. (потенциальная или реально существующая) В России технологии анализа рисков и управ совершения какого либо деяния (действия или ления рисками начали применяться на практике. бездействия), направленного против объекта Многие фирмы, специализирующиеся в вопросах защиты (информационных ресурсов), нанося информационной безопасности, предлагают услуги щего ущерб собственнику, владельцу или поль в этой области. Однако объективно оценить качество зователю, проявляющегося в опасности иска используемых методик, качество проведенных ис жения и/или потери информации.

следований сложно, поскольку отечественных стан дартов (типа BS 7799) в этой области не существует. Источник угрозы [14] - это потенциальные ант ропогенные, техногенные или стихийные носи тели угрозы безопасности.

Приложение Последствия (атака) [14] - это возможные по следствия реализации угрозы (возможные дей Определения основных терминов, от ствия) при взаимодействии источника угрозы через имеющиеся факторы (уязвимости).

носящиеся к тематике анализа рис Как видно из определения, атака - это всегда ков, управления рисками пара листочник - фактор, реализующая угро Ниже приводятся определения основных терминов зу и приводящая к ущербу.

по тематике анализа рисков, используемые различ ными авторами и организациями. Уязвимость (Vulnerability) [1] - слабость в систе Терминология и определения в публикациях ме защиты, которая делает возможной реализа на русском языке. цию угрозы.

Технологии и инструментарий для управления рисками Уязвимость (фактор) [Vulnerability] [14] Прису щие объекту причины, приводящие к наруше Оценка риска (risk assessment) нию безопасности информации и обусловлен Х Процесс идентификации информационных ре ные недостатками процесса функционирова сурсов системы и угроз этим ресурсам, воз ния объекта, свойствами архитектуры АС, про можных потерь (то есть потенциал потери) ос токолами обмена и интерфейсами, применяе нованный на оценке частоты возникновения мыми ПО и аппаратной платформой, событий и размере ущерба. Рекомендуется пе условиями эксплуатации. ред введением новых информационных ресур сов выбрать контрмеры, позволяющие мини Анализ рисков[1] - процесс определения угроз, мизировать возможные потери. [RFC2828].

уязвимостей, возможного ущерба, а также Х (C) Составление списка рисков, ранжирован контрмер. ных по цене и критичности. Список позволяет определить, где контрмеры должны приме Терминология и определения на английском ниться в первую очередь. Обычно невозможно языке. Определения взяты из глоссария [16] и дают предложить контрмеры, снижающие все ас ся в переводе. пекты рисков до нуля, и некоторые остаточные риски останутся даже после того, как все до Риск (risk) ступные (по цене) контрмеры были примене Х Ожидаемые потери или возможный результат ны. [FP031, R2196] [RFC2828].

реализации угрозы при наличии уязвимости и Х Изучение уязвимостей, угроз, вероятности, определенных обстоятельств или событий, возможных потерь и теоретической эффектив приводящих к реализации угрозы. [FCv1], ности контрмер. Чтобы определить ожидаемые [AJP]. потери и установить степень их приемлемости, Х Возможность того, что определенная угроза ре процесс оценки угроз и уязвимости описывает ализуется вследствие наличия определенной ся в общедоступной методике, ставшей стан уязвимости системы. [AJP]. дартом де факто. [NSAINT].

Х Вероятность потерь вследствие того, что опре Х Процесс, в который входят: идентификация ри деленная угроза при наличии определенной ска, анализ риска, оценка риска. [ISO/IEC уязвимости реализуется и приведет к негатив PDTR 13335 1 (11/2001)].

ным последствиям. [RFC2828]. Х Оценка угроз, воздействия на уязвимости ин Х Возможность потери из за одной или более уг формационных ресурсов и информационных роз для информационных ресурсов (не путать с процессов а также вероятности их возникнове финансовым или деловым риском) [RFC2828]. ния ISO/IEC 17799: 2000] [SC27].

Х Ситуация, в которой существует уязвимость и потенциальный нарушитель имеет возмож Идентификация риска - процесс идентифика ность и желание воспользоваться ею. [IATF]. ции рисков, при котором рассматриваются Х Возможность того, что специфическая уязви бизнес цели, угрозы и уязвимость, как основа мость будет использована. [AFSEC]. для дальнейшего анализа. [ISO/IEC PDTR Х Потенциал, который данная угроза имеет 13335 1 (11/2001)] [SC27].

вследствие наличия уязвимости информацион ных ресурсов. В результате реализации этого Управление рисками (risk management) потенциала организации может быть причинен Х Процесс идентификации, управления, устране вред. [ISO/IEC PDTR 13335 1 (11/2001)] [SC27]. ния или уменьшения вероятности событий, ко Х Вероятность того, что специфическая угроза торые могут негативно воздействовать на сис реализуется вследствие наличия специфичес темные ресурсы системы. [RFC2828].

кой уязвимости системы. [NCSC/TG004]. Х Процесс, включающий идентификацию, управ ление и устранение или уменьшение вероятнос Анализ риска (risk analysis) ти событий, которые могут затрагивать инфор Х Процесс идентификации рисков, определение мационные ресурсы системы. [ISO/IEC PDTR их величины и выделение областей, требую 13335 1 (11/2001)].

щих защиты. Анализ риска - часть управления Х Процесс идентификации, управления и умень рисками. [AJP] [NCSC/TG004]. шения рисков безопасности, которые могут воз Х Систематический процесс оценки величины действовать на информационную систему при рисков. [ISO/IEC PDTR 13335 1 (11/2001)] условии приемлемой стоимости комплекса.

[SC27]. [ISO/IEC 17799: 2000] [SC27].

Сергей Симонов Х Процесс идентификации, управления, устране риться. Если потенциальная выгода от осуществ ния или уменьшения вероятности событий, ко ления атаки невелика, тогда может быть терпи торые могут негативно воздействовать на сис ма даже уязвимость, которую можно легко ис темные ресурсы системы. Этот процесс включа пользовать. Но если некоторый тип атаки хоро ет анализ риска, анализ стоимость/эффектив шо известен и потенциально легко осуществим ность, выбор, построение и испытание подсис для большого числа пользователей, тогда, веро темы безопасности и исследование всех ятно, найдется желающий осуществить нападе аспектов безопасности. [AJP] [NCSC/TG004]. ние. [RFC2828].

Х Процесс идентификации, управления, устране Х Слабость защиты в объекте потенциальной ата ния или уменьшения потенциального воздейст ки (например, из за недоработок на стадиях ана вия возможных происшествий. Цель процедуры лиза, проектирования, построения системы или управления риском состоит в том, чтобы умень эксплуатации). [ITSEC].

шить риски до уровней, одобренных DAA Х Уязвимость - существование слабости, ошибок (Designated Approving Authority - лицо, уполно проектирования или построения системы, кото моченное выбрать уровни рисков). [NSAINT] рые могут вести к неожиданному, нежелатель [AFSEC]. ному событию, компрометирующему систему информационной безопасности, сети, приложе Учет рисков (risk treatment) процесс планирования ния или протоколы. [RFC2504].

системы управления рисками, основанный на Х Слабость в информационной системе или ком оценке рисков. [ISO/IEC PDTR 13335 1 понентах (например, процедуры обеспечения (11/2001)] [SC27]. безопасности на системном уровне, проектные решения на аппаратном уровне, система управ Уязвимость (vulnerability) ления), которые могут быть использованы, что Х Слабость в защите, которая может быть объек бы реализовать угрозу, связанную с информа том воздействия (например, из за неверно про ционными ресурсами. [FCv1].

веденного анализа, планирования или реализа Х Слабость в процедурах обеспечения безопасно ции системы защиты). сти, системном проекте, реализации, системе Х Слабость в информационной системе или ее управления и т.д, которая может случайно или компонентах (например, системные процедуры преднамеренно привести к нарушению полити защиты, аппаратная реализация или внутренние ки информационной безопасности. Условие или средства управления), которые могут способст слабость в процедурах обеспечения информа вовать реализации негативных событий, связан ционной безопасности, системе управления тех ных с информацией. ническими средствами, физической защите, ко Х Слабость в процедурах защиты, проектирова торые способствуют реализации угрозы. [SRV нии информационной системы, реализации сис BOOKS].

темы, внутренней системе управления и так да Х Слабость в процедурах обеспечения безопасно лее, которая может способствовать нарушению сти, системном проекте, реализации, системе политики информационной безопасности. управления и т.д., которая может способство [AJP]. вать нарушению политики безопасности.

Х Недостатки или бреши на этапе проектирования [NCSC/TG004].

информационной системы, реализации или уп Х Слабость ресурса или группы ресурсов инфор равления, которые могли стать причиной нару мационной системы, которая может способст шения политики информационной безопаснос вовать реализации угрозы. [SC27] [ISO/IEC ти. [RFC2828]. PDTR 13335 1 (11/2001)].

Х (C) Большинство систем имеют уязвимости в Х Аппаратные средства, программное обеспече программном обеспечении, но из этого не следу ние и потоки данных составляют систему обра ет, что информационные системы нельзя ис ботки информации. Слабости в автоматизиро пользовать по причине их возможных брешей. ванных системах обеспечения информацион Не каждая угроза в случае ее реализации или ной безопасности на программно техническом атака приведет к успеху. Успех зависит от степе уровне, системе административного управле ни уязвимости, потенциала угрозы (атаки) и эф ния, размещении оборудования и т.д, которые фективности используемых контрмер. Если для могут приводить к реализации угроз несанкци реализации угрозы необходимо наличие уязви онированного доступа к информации или при мости, которая практически не возникает, тогда вести к нарушениям в критически важном про с существованием уязвимости можно прими Технологии и инструментарий для управления рисками цессе обработки информации. [AFSEC] крытия, модификации данных или отказа в об [NSAINT]. служивании (DoS). [AJP].

Х (I) потенциал для нарушения режима безопас Анализ уязвимости (vulnerability analysis) ности, который существует, когда складывают Х Систематически проводимая экспертиза ин ся обстоятельства, производятся определенные формационной системы, позволяющая опреде действия или происходят события, которые мо лить адекватность мер защиты, идентифициро гут нарушать режим безопасности и причинять вать погрешности в построении защиты, со вред.

брать исходные данные, чтобы оценить эффек Х (C) возможная опасность, которая может иметь тивность предложенных мер защиты и под место в случае использования уязвимости. Уг тверждать адекватность таких мер после их роза может быть либо 'умышленной' (т.е. заду реализации. [NSAINT] [AFSEC]. мана и спланирована, например, хакером или Х Систематически проводимая экспертиза ин преступной организацией) или 'случайной' (на формационной системы, позволяющая опреде пример, результат сбоев компьютера или воз лить адекватность мер защиты, идентифициро можности 'стихийного бедствия' типа земле вать погрешности в построении защиты, со трясения, пожара, торнадо).

брать исходные данные, чтобы оценить эффек Х В некоторых контекстах, типа следующего, тивность предложенных мер защиты. [SRV термин Угроза используется узко и относит BOOKS. [AJP] [NCSC/TG004]. ся только к умышленным угрозам:

Х (N) В американских (U.S.) правительствен Объект оценки (Target of Evaluation (TOE)) ных документах: способность враждебного Х Отдельные элементы информационной систе юридического лица обнаруживать, эксплуа мы, результаты ее работы или вся система в це тировать или выводить из строя дружествен лом, включая администратора, пользователь ные информационные системы и намерение скую документацию и руководства, которая яв данного юридического лица (демонстрируе ляется объектом оценки. [CC2] [CC21] [IATF] мое или предполагаемое) заняться такой дея [ISO/IEC 15408 1: 1999] [SC27]. тельностью. [RFC2828].

Х Отдельные элементы информационной систе Х Потенциальная причина нежелательного инци мы, результаты ее работы или вся система в це дента, который может кончаться причинением лом, которая рассматривается на предмет оцен ущерба информационной системе или органи ки защищенности. [AJP] [CC1] [ITSEC]. зации. [SC27]. [ISO/IEC PDTR 13335 (11/2001)].

Оценка уязвимости (vulnerability assessment) Х Действие или случай, который мог бы нанести Х Аспект оценки эффективности защиты объек ущерб системе защиты. [ITSEC].

та оценки (TOE), а именно: могла ли определен Х Любое обстоятельство или случай, потенциаль ная уязвимость в объекте оценки на практике но способные причинить вред системе в форме компрометировать (поставить под угрозу) его разрушения, раскрытия, модификации данных защиту. [ITSEC]. или отказа в обслуживании (DoS).

Х Измерение уязвимости, которая включает вос [NCSC/TG004] [SRVBOOKS].

приимчивость исследуемой системы к опреде Х Потенциал для реализации уязвимости. [SRV ленному виду атаки и возможность агента угро BOOKS].

зы осуществить нападение. [AJP] [SRVBOOKS] Х Объект или события, которые потенциально [NCSC/TG004]. могут навредить системе. [SRVBOOKS].

Угроза (threat) Х Способности, намерения, и методы нападения Х Действие или событие, которое может нанести противников, имеющих возможность восполь ущерб безопасности. зоваться совокупностью обстоятельств, позво Х Последовательность обстоятельств и событий, ляющих использовать имеющийся потенциал которые позволяют человеку или другому аген для причинения вреда информации или инфор ту воспользоваться уязвимостью информаци мационной системе. [IATF].

онной системы и причинять ущерб информа Х Средства, при помощи которых агент угрозы ционным ресурсам. [AJP] [FCv1]. намеривается причинить ущерб информацион Х Любое обстоятельство или события, которые ной системе, отдельным информационным ре потенциально могут причинить вред информа сурсам или операциям. [AFSEC] [NSAINT].

ционной системе в форме разрушения, рас Х Потенциально возможное нарушение защиты.

[AFSEC] [NSAINT].

Х Потенциал реализации уязвимости, имеющий Литература последствием компрометацию защиты систе мы или сетей. Даже если уязвимость не извест [1] С. Симонов. Анализ рисков, управление рис на, это представляет угрозу в соответствии с ками. - Jet Info, 1, этим определением. [RFC2504]. [2] С.В. Симонов. Методология анализа рисков в информационных системах Конфидент, № Действие угрозы (threat action) 1, Х Нападение на системную защиту. [RFC2828]. [3] С.В. Симонов. Анализ рисков в информацион Х Правильно построенная архитектура подсисте ных системах. Практические аспекты.

мы информационной безопасности должна Конфидент, № 2, быть рассчитана на следующие виды воздейст [4] Обзор модели приводится на вий: Х Нападения. [5] Risk Management Guide for Information Х Случайные события. Technology Systems, NIST, Special Publication ХРазличные виды возможных воздействий угро 800 зы определяются как подклассы 'множества [6] Anne Marie Willhite Systems Engineering at последствий угрозы'. [RFC2828]. MITRE Risk Management MP96B0000120, R September Агент угрозы (threat agent) Х Метод, использующий уязвимость в системе, sk/sys_eng_mitre.html операциях (технологическом процессе) или от [7] Risk Matrix дельных средствах (элементах системы). [AJP] [NCSC/TG004] [SRVBOOKS]. sk/risk_matrix.html Х Методы и средства, основанные на использова [8] Петренко С.А., Симонов С.В. Анализ и управ нии уязвимостей в информационной системе, ление информационными рисками. АйТи операциях или средстве;

пожар, природные ка 2003 (в печати) таклизмы и т.д. [AFSEC] [NSAINT]. [9] The ISO 17799 Service & Software Directory Анализ угрозы (threat analysis) [10] Сайт компании MethodWare Х Оценка вероятности событий и анализ возмож ных последствий разрушительных действий к [11] security policies.com системе. [RFC2828]. [12] Сайт компании RiskWatch Х Экспертиза всех действий и событий, которые

могли бы неблагоприятно воздействовать на [13] RA Software Tool Демо версия метода:

   Книги, научные публикации