4.3.4. Безопасность информационных систем и методы ее оценки
К оглавлению1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 1617 18 19 20 23 24 25 26 27 28 29 30 31 32 33
34 35 36
Основным господствующем на данный момент подходом к
управлению рисками при использовании информационных систем
является тот, при котором системы рассматриваются, как объекты,
требующие защиты от угроз, то есть все разрабатываемые в рамках
этого подхода методы оценки и управления в качестве своей главной
цели ставят обеспечение безопасности, как самих систем, так и
хранящейся в ней информации.
Информация, хранящаяся в БИС, затрагивает интересы большого
количества людей и организаций, поскольку эта информация
представляет собой реальные деньги (остатки на счетах). На основании
этой информации могут производиться платежи, начислять проценты и
выдавать кредиты. Любое манипулирование этой информацией может
привести к серьезным убыткам.
Проблемы безопасности усложняются в связи с развитием и
распространением компьютерных сетей. Распределенные системы и
системы удаленного доступа выдвинули на первый план вопрос защиты
обрабатываемой и передаваемой информации.
Можно выделить несколько особенностей современных БИС,
которые отрицательно влияют на информационную безопасность:
• реализация на принципах открытой архитектуры, в которой
самыми уязвимыми местами являются связи между элементами
(АРМами, подсистемами БИС). Модель информационного
взаимодействия ISO предусматривает наличие систем безопасности
только на соответствующих уровнях, но не в рамках интерфейсов между
нами;
• реализация без учета возможного использования в корпоративной
сети (взаимодействия удаленных объектов БИС через коммутируемые
линии), что приводит к большим дополнительным затратам;
• неэффективность парольной защиты вне зависимости от
используемых средств криптозащиты и алгоритмов аутентификации;
• возможность реализации средствами СУБД бизнес - логики, что
создает канал опосредованного воздействия на Базу Данных. Проблема
усугубляется тем, что эти процедуры зачастую хранятся не в виде
бинарных кодов, которые можно было бы охватить средствами контроля
целостности, а вместе с данными, и специальные механизмы их
выделения отсутствуют;
• БИС является прикладной программой и работает под
управлением ОС со всеми их особенностями и недостатками.
Целью любых мероприятий по обеспечению безопасности БИС
является защита владельцев и законных пользователей от нанесения им
материального и морального ущерба в результате случайных или
преднамеренных воздействий на систему.
Под безопасностью БИС понимается ее защищенность от
случайного или преднамеренного вмешательства в нормальный процесс
ее функционирования, а также от попыток хищения, модифицирования
или разрушения ее компонентов, то есть способность
противодействовать различным возмущающим воздействиям.
Различают внешнюю и внутреннюю безопасность БИС. Внешняя
безопасность включает как защиту от случайных внешних воздействий,
так и защиту от несанкционированного доступа к информации и любых
несанкционированных действий. Внутренняя безопасность связана с
регламентацией деятельности пользователей и обслуживающего
персонала, с организацией доступа к ресурсам системы и информации.
К основным угрозам безопасности информации можно отнести:
• раскрытие конфиденциальной информации - осуществляет через
несанкционированный доступ к базам данных, прослушивание каналов,
другими способами;
• изменение информации или внесение несанкционированных
изменений в базы данных, в результате чего пользователь должен либо
отказаться от информации, либо предпринять дополнительные усилия
по ее восстановлению;
• несанкционированное использование информации - является
средством раскрытия и модификации информации, и, вместе с тем,
может нанести финансовый ущерб при ее использовании;
• ошибочные использование информации - является следствием
ошибок, имеющихся в программном обеспечении БИС;
• несанкционированный обмен информацией - может привести к
получению пользователем сведений, доступ к которым ему закрыт;
• отказ от информации - состоит в непризнании отправителем или
получателем фактов получения или посылки информации, что может
нанести одной из сторон значительный ущерб;
• отказ в обслуживании - представляет собой задержку в
предоставлении информации, что может привести к ошибочным
действиям пользователя.
Дополнительные трудности в обеспечении безопасности вызывают
использование локальных или глобальных вычислительных сетей.
Трудности могут быть связаны:
• с обеспечением сохранности информации, как в памяти ЭВМ, так
и на отдельных носителях;
• с обеспечением достоверности информации при ее передаче по
каналам связи;
• с обеспечением идентификации информации при ее передаче по
каналам связи.
Кроме того, сами меры по защите информации приводят к:
• увеличению трудности работы с защищенной системой;
• увеличению стоимости защищенной системы;
• дополнительной нагрузкой на системные ресурсы;
• необходимости привлечения дополнительного персонала,
отвечающего за системы защиты.
Кроме этого защищенность объекта не должна мешать его
полезному использованию, поскольку сам по себе банк не является
закрытой системой, а существует благодаря связям с клиентами,
банками-корреспондентами, биржами, то есть внешним миром. Таким
образом, при проектировании систем защиты банк должен искать
оптимальное сочетание защищенности и открытости своей
информационной системы.
Некоторое время назад были согласованы и приняты критерии
оценки безопасности информационных технологий (Information
Technology Security Evaluation Criteria, ITSEC), которые рассматривают
следующие составляющие информационной безопасности:
• конфиденциальность - защита от несанкционированного
получения информации;
• целостность - защита от несанкционированного изменения
информации;
• доступность - защита от несанкционированного закрытия доступа
к информации.
ITSEC выделяет следующие функции, обеспечивающие
защищенность информации:
• идентификация и аутентификация - проверка подлинности
пользователей, регистрация новых и удаление старых пользователей,
проверки аутентификационной информации, контроля целостности и
ограничения числа повторных попыток аутентификации;
• управление доступом - ограничение доступа к базам данных и
распределение прав доступа пользователям;
• аудит - проверка корректности совершаемых пользователям
действий, протоколирование всех действий пользователей в системе;
• повторное использование объектов - действие пользователей не
должны приводить к необратимым последствиям в базе данных;
• точность информации - подразумевает однозначное соответствие
между различными частями данных одной системы обеспечиваемое
точностью связей и неизменности данных при передаче между
процессами;
• надежность обслуживания - гарантия того, что пользователи в
срок получат ту информацию, которую они запрашивают, и что время
доступа к требуемым ресурсам не будет превышать допустимое для
выполнения данной процедуры;
• обмен данными - обеспечивает безопасный обмен информацией с
внешней средой через коммуникационные каналы и предъявляет свои
требования по наличию функций безопасности, таких как
аутентификация, управление доступом, конфиденциальность,
целостность, невозвратность совершенных действий.
Сходные критерии оценки безопасности информации позже были
сформулированы Гостехкомиссиией при Президенте РФ в наборе
«Руководящих документов по защите информации», которые
основываются на «Концепциях защиты средств вычислительной
техники и автоматизированных систем от несанкционированного
доступа к информации». В этом документе определяются основные
принципы и методы защиты информации, способы возможного
покушения на нее, классификация нарушителей, а также классификация
средств вычислительной техники (устанавливается 7 классов от 1 до 7
по возрастанию) и автоматизированных систем (9 классов от 1 до 9 по
возрастанию) по уровню защищенности от несанкционированного
доступа. В данном документе четко разделяется защита средств
вычислительной техники и защита информационных систем, как два
основных аспекта обеспечения информационной безопасности.
В качестве главного средства защиты от несанкционированного
доступа рассматривается система разграничения доступа,
обеспечивающая следующие функции:
• разграничение доступа к данным;
• разграничение доступа к устройствам печати;
• изоляция процессов, то есть доступ пользователя только к своим
процессам;
• управление потоками данных с целью предотвращения
несанкционированной записи на внешней носитель или передаче
информации;
• реализация правил обмена между пользователями в
вычислительной сети.
Для поддержки системы разделения доступа предлагается
следующий перечень, по своему содержанию пересекающийся с
перечнем ITSEC:
• идентификация и аутентификация пользователей, и привязка
пользователя к своему исполняемому процессу;
• регистрация действий пользователя и его процесса;
• возможность включения и удаления пользователей, изменение
списка подсистем и изменений полномочий пользователя;
• реакцию на попытки несанкционированного доступа, такие как
сигнализация, блокировка, восстановление после несанкционированного
доступа;
• тестирование;
• очистка оперативной памяти и рабочих областей носителей после
работы с защищенными данными;
• учет отчетов, выходных форм и твердых копий;
• контроль целостности программной и информационной части.
Обеспечение информационной безопасности исключительно
организационными методами приводит к большим затратам на
построение системы защиты. Для снижения стоимости и повышения
эффективности защиты в современных условиях применяются
дополнительные меры, называемые логическими. Основу этих мер
составляют криптографические средства защиты информации. Под
криптографическими средствами понимают реализацию
криптографических алгоритмов и правил их использования
(протоколов).
На практике используются три основных разновидности
криптографических механизмов. Эти механизмы обеспечивают
аутентификацию, сертификацию и шифрование.
Аутентификация дает возможность убедиться, что сообщение
получено от пользователя зарегистрированного в системе.
Сертификация дает возможность удостоверится в том, что
сообщение не было модифицировано с момента отправки (функция
контроля целостности).
Шифрование или кодирование позволяет преобразовать данные с
помощью секретного механизма, к которому нельзя подобрать ключ за
приемлемое время и призвано решить сразу несколько задач:
• сжатие информации с целью сокращения времени передачи по
каналам связи;
• защита информации от ошибок и искажений;
• защита информации от несанкционированного доступа.
Под кодированием обычно принято понимать процесс
преобразования информации из одного представления в другое. Процесс
обратного преобразования в этом случае называют декодированием.
Исторически задачу кодирования информации решали с помощью
коммерческих кодов.
С развитием вычислительной техники принципы построения кодов
для защиты информации претерпели существенные изменения. Теперь
при кодировании информации уже не ограничиваются одним заранее
выбранным постоянным кодом, а меняют его от сеанса к сеансу, от
сообщения к сообщению.
Такие коды строятся по методу случайного выбора: конкретный код
выбирается случайным образом из множества однотипных кодов, а
получателю информации сообщается каким кодом он должен
воспользоваться для декодирования полученной информации. Обычно
параметр, описывающий конкретный код, стараются сделать
максимально простым - это просто некая строка символов или целое
число. Этот параметр обычно называют ключом, или номером кода,
лишь зная который можно легко декодировать закодированное
сообщение. При этом степень надежности защиты информации будет
определяться главным образом надежность хранения пользователем
своего персонального ключа, с помощью которого он выбирает
конкретный код из множества возможных.
Несмотря на то что, шифрование призвано решать множество задач,
ее основной задачей остается скрывать содержимое сообщения с
конфиденциальной информацией.
Желательно чтобы методы шифрования обладали как минимум
двумя свойствами:
• получатель сможет выполнить обратное преобразование и
расшифровать сообщений;
• при получении несанкционированного доступа к сообщению, по
нему нельзя будет восстановить исходное сообщения без таких затрат
времени и средств, которые сделают эту работу нецелесообразной.
На практике обычно используют два алгоритма шифрования:
рассеивание и перемешивание.
Рассеивание заключается в распространении влияния одного
символа открытого текста на множество символов шифрованного
текста: это позволяет скрыть статистические свойства открытого текста
Развитием этого принципа является распространение влияния одного
символа ключа на много символов шифрограммы, что позволяет
исключить восстановление ключа по частям.
Перемешивание заключается в использовании таких шифрующих
преобразований, которые исключаются восстановление взаимосвязи
статистических свойств открытого и закодированного текста.
Распространенный способ достижения хорошего рассеивания состоит в
использовании составного шифра, который может быть реализован в
виде некоторой последовательности простых шифров, каждый из
которых вносит небольшой вклад в значительное суммарное
рассеивание и перемешивание. В качестве простых шифров чаще всего
используют простые подстановки и перестановки.
Одним из лучших примеров криптоалгоритма, разработанного в
соответствии с принципами рассеивания и перемешивания, может
служить принятый в 1977 году Национальным бюро стандартов США
стандарт шифрования данных DES. Несмотря на интенсивное и
тщательное исследование алгоритма, пока не найдено уязвимых мест, но
основе которых можно было бы предложить метод криптоанализа,
существенно лучший, чем полный перебор ключей. В июле 1991 года
введен в действие подобный отечественный криптоалгоритм ГОСТ
28147-89.
Существуют также алгоритмы с симметричными (секретными) и
асимметричными (открытыми) ключами. Первые в основном
используются для шифрования и сертификации, вторые - для
распределения криптографических ключей и формирования проверки
электронной цифровой подписи (ЭЦП). Механизмы ЭЦП обеспечивают
сертификацию и аутентификацию.
Несмотря на то, что средства криптозащиты обеспечивают
защищенность информации эффективность их использования в БИС
оценивается не однозначно. Криптография традиционно ориентируется
на обеспечение стойкости информации в течение многих лет при ее
перехвате и расшифровке, в то время как в большинстве случаев
ценность перехваченной банковской информации сохраняется в лучшем
случае несколько дней. Это означает, что банк, применяя традиционные
криптографические средства, неэффективно расходует финансовые
средства и вычислительные ресурсы.
В области криптографии до сих пор не существует теоретических
работ, позволяющих соотносить затраты при применении криптозащиты
со стоимостью защищаемой информации. Кроме того, в банковских
системах важнейшим условием является наличие договорных
отношений с финансовой ответственностью всех сторон, а на
сегодняшний день технологий защиты, разрешенных к применению в
России и предполагающих наличие полной финансовой
ответственности, не имеется.
Целью анализа рисков, связанных с эксплуатацией информа-
ционных систем (ИС), является оценка угроз (т. е. условий и факторов,
которые могут стать причиной нарушения целостности системы, ее кон-
фиденциальности, а также облегчить несанкционированный доступ к
ней) и уязвимостей (слабых мест в защите, которые делают возможной
реализацию угрозы), а также определение комплекса контрмер,
обеспечивающего достаточный уровень защищенности ИС. При
оценивании рисков учитываются многие факторы: ценность ресурсов,
значимость угроз, уязвимостей, эффективность имеющихся и
планируемых средств защиты и многое другое.
В настоящее время используются два подхода к анализу рисков —
базовый и полный вариант. Выбор зависит от оценки собственниками
ценности своих информационных ресурсов и возможных последствий
нарушения режима информационной безопасности. В простейшем
случае собственники информационных ресурсов могут не оценивать эти
параметры. Подразумевается, что ценность ресурсов с точки зрения
организации не является чрезмерно высокой. В этом случае анализ
рисков производится по упрощенной схеме: рассматривается
стандартный набор наиболее распространенных угроз без оценки их
вероятности и обеспечивается минимальный или базовый уровень ИБ.
Полный вариант анализа рисков применяется в случае повышенных
требований к ИБ. В отличие от базового варианта в том или ином виде
оцениваются ресурсы, характеристики рисков и уязвимостей. Как
правило, проводится анализ соотношения стоимость/эффективность
нескольких вариантов защиты.
При проведении полного анализа рисков необходимо:
• определить ценность ресурсов;
• составить список угроз и оценить их вероятность;
• определить уязвимость ресурсов;
• разработать ряд мероприятий, направленных на снижение уровня
риска.
Таким образом, на первом этапе анализа необходимо определить
ценность ресурсов.
Ресурсы обычно подразделяются на несколько классов — например,
физические, программные ресурсы, данные. Для каждого класса
необходима своя методика определения ценности элементов, по-
могающая выбрать подходящий набор критериев. Эти критерии служат
для описания потенциального ущерба, связанного с нарушением
конфиденциальности и целостности ИС, уровня ее доступности.
Физические ресурсы оцениваются с точки зрения стоимости их
замены или восстановления работоспособности. Эти стоимостные
величины затем преобразуются в ранговую (качественную) шкалу,
которая используется также для информационных ресурсов.
Программные ресурсы оцениваются тем же способом, что и физические,
на основе определения затрат на их приобретение или восстановление.
Если для информационного ресурса существуют особенные
требования к конфиденциальности или целостности (например, если
исходный текст имеет высокую коммерческую ценность), то оценка
этого ресурса производится по той же схеме, т.е. в стоимостном
выражении.
Кроме критериев, учитывающих финансовые потери, коммерческие
организации могут применять критерии, отражающие:
• ущерб репутации организации;
• неприятности, связанные с нарушением действующего
законодательства;
• ущерб для здоровья персонала;
• ущерб, связанный с разглашением персональных данных
отдельных лиц;
• финансовые потери от разглашения информации;
• финансовые потери, связанные с восстановлением ресурсов;
• потери, связанные с невозможностью выполнения обязательств;
• ущерб от дезорганизации деятельности.
Могут использоваться и другие критерии в зависимости от профиля
организации. К примеру, в правительственных учреждениях прибегают
к критериям, отражающим специфику национальной безопасности и
международных отношений.
Оценка информации в стоимостном выражении крайне
затруднительна, поэтому зачастую для этой цели используются
методики с использованием экспертных оценок.
К подобным методикам, связанным с анализом информационного
риска можно отнести метод, предназначенный для оценки возможных
потерь от несанкционированного доступа и разрушения банковской
информация на основе аддитивной модели.
В основу методики положен принцип: «затраты на защиту не
должны превышать возможные потери». Для определения затрат обычно
строятся вспомогательные структуры, определяющие ценность
информации. Одной из таких структур является аддитивная модель.
В рамках этой модели информация представляется в виде конечного
множества элементов, и, следовательно, можно оценить суммарную
стоимость в денежных единицах исходя из оценки компонент. Оценка
строится на основе экспертных оценок. Однако существует проблема
объективности количественной оценки компонент, что связано с их
неоднородностью. Поэтому в защищаемую информацию вносят
иерархически относительную шкалу (линейный порядок, который
позволяет сравнивать отдельные компоненты по ценности относительно
друг друга). Единая шкала означает равенство цены всех компонент,
имеющих одну и ту же порядковую оценку.
Пусть O1, O2, O3 – объекты. По четырехбальной шкале объекты
оценены как λ1 = 2, λ2 = 1, λ3 = 4, λ4 = 3 – вектор относительных
ценностей объектов. Если известна цена хотя бы одного объекта,
например C1, то можно вычислить оценку одного балла: c1 = C1/λ1.
Цена каждого следующего объекта Ci = λi*c1. Сумма S = C1 + C2 + C3
дает стоимость всей информации.
После определения ценности ресурсов необходимо составить
список угроз и оценить их вероятность.
Существует 2 основных способа составления этого списка.
Первый подход использует данные статистического анализа. Он
основан на накопление статистических данных о реальных про-
исшествиях, анализ и классификация их причин, выявление факторов
риска. Однако для его использования должен быть собран весьма
обширный материал о происшествиях в этой области. Кроме того,
применение этого подхода не всегда оправданно. Если информационная
система достаточно крупная (содержит большое число элементов, расположена на обширной территории), и используется на протяжении
длительного отрезка времени, то подобный подход скорее всего
применим. Если система сравнительно невелика, использует только
новейшие технологии (для которых пока нет достаточной статистики),
оценки рисков и уязвимостей могут оказаться недостоверными.
Второй подход основан на анализе особенностей используемых
технологий. Однако его применение также затруднено, если организация
использует новейшие технологии и самые последние разработки.
Оценка возможных потерь строится на основе полученных
стоимостных компонент исходя из прогноза возможных угроз этим
компонентам. Возможности угроз оцениваются вероятностями
соответствующих событий, а потери подсчитываются как сумма
математических ожиданий потерь для компонент по распределению
возможных угроз.
Пусть O1,…,On – объекты, ценности которых C1,…,Cn.
Предположим, что ущерб одному объекту не снижает цены других, и
пусть вероятность нанесения ущерба объекты Oi равна pi, функция
потерь для объекта Oi:
Wi =
0 - в противном случае
Сi - если объекту нанесен ущерб
(1)
Оценка потерь от реализации угроз объекту i равна:
Ei = pi*Wi (2)
Исходя из сделанных предположений потери (средний риск) в
системе равны:
E = Σ=
n
i
pi Wi
1
* (3)
На следующем этапе необходимо определить уязвимость ресурсов.
Для этого можно использовать категории защиты - свойство объекта,
теряемое при доступе субъекта, содержащего деструктивное
преобразование.
Обозначим множество объектов как O, множество категорий
защиты – K. При этом будем рассматривать следующие категории
защиты: секретность (с), целостность (ц), доступность (д), актуальность
(а).
Далее составляется классификация объектов. Количество операций
по проставлению оценочных баллов (λ) составляет b = n*k, где n –
мощность множества рассматриваемых объектов O, k – мощность
множества категорий защиты K. Следует обратить особое внимание, что
правильная оценка объекта зависит от квалификации и
профессионализма эксперта. Пример классификации по
четырехбалльной шкале приведен в таблице 5.
Согласно перечню защищаемых объектов, каждому объекту
соответствует оценочный балл, и, если задать цену одного балла, можно
получить стоимость всей защищаемой информации. Теперь, для оценки
риска остается оценить вероятность возможных потерь для каждого
объекта. Идея такой оценки заключается в следующем.
Пусть Oi – произвольный защищаемый объект с множеством
категорий защиты K = {K1, … , Kn}, а D = {D1, … , Dn} – множество
возможных угроз. Нарушение безопасности объекта происходит, когда
действие хотя бы одной из угроз Dj приводит к потере категории
защиты Kk. Так, к примеру, ошибочное удаление документов, приводит
к нарушению целостности данных с вероятностью Pц, нарушению
доступности данных с вероятностью Pд и к нарушению актуальности
данных с вероятностью Pа. При воздействии данной угрозы не нарушена
секретность, то есть Pс = 0. В общем случае вероятность нанесения
ущерба объекту Oi для данной категории защиты Kk от воздействия
угроз Dj рассчитывается по формуле суммы вероятностей:
Pk = Σ=
s
j
pj
1
- Π=
s
j
pj
1
(4)
Где pj последовательно принимает значения Pс, Pц, Pд, Pа.
4.3.4.1. Характеристика категории защиты
Таблица 5.
Классификация категорий защиты
Характеристика категории защиты λ
Целостность
Несанкционированное редактирование
Потеря устойчивости к ошибкам
Несанкционированное уничтожение
Несанкционированное уничтожение без возможности
восстановления
1
2
3
4
Доступность
Время получения ответа на запрос:
_ до 5 минут;
_ до 1 часа;
_ до 24 часов
_ более 24 часов
4
3
2
1
Секретность
Несекретно
Для служебного пользования
1
2
Секретно
Совершенно секретно
3
4
Актуальность
Требуется обновление информации:
_ до 1 мин;
_ до 1 часа;
_ ежесуточное;
_ более суток
4
3
2
1
Однако для управления риском помимо вероятности Pi нужна и
оценка риска возможных потерь в денежных единицах Ei. Для
определения вероятности нанесения ущерба объекту Oi для всех
категорий защиты используется следующий метод.
Пусть риск возможных потерь для данной категории защиты
составляет Eik = Pk*Wik.
Определим Ei = max (Eik), то есть риск возможных потерь
информации в объекте Oi равен максимальному риску возможных
потерь из множества рисков по каждой категории защиты.
Таким образом, для того чтобы рассчитать риск возможных потерь
информации в объекте Oi, необходимо получить значения Pс, Pц, Pд, Pа
для каждого источника угрозы. Для решения этой задачи составляется
список источников угроз с указанием доли ущерба в процентах от
каждого вида угрозы. Данные организуются в базе данных, состоящей из
четырех таблиц:
• список защищаемых объектов;
• классифицируемые атрибуты объектов;
• список источников угроз;
• вероятности успешно реализованных угроз.
Таким образом, мы получаем риск возможных потерь, выраженный
в денежной форме. Для снижения риска необходимо варьировать
значениями вероятностей успешно реализованных угроз: уменьшая их,
можно снизить величину риска возможных потерь. К методам снижения
значения вероятностей относят:
• организационные защитные мероприятия, такие как создание
положения по информационной безопасности, регламентирующее
порядок доступа к ценной информации и порядок работы с
документами, составление списка обязанностей пользователя и перечня
объектов, доступных данному пользователю, создание плана выхода из
кризисной ситуации и т.д.;
• технические защитные мероприятия, такие как резервирование
информации, создание реестра используемого программного
обеспечения, использование механизмом шифрации и электронной
подписи, разграничение доступа, как на уровне БИС, так и на уровне
операционных систем.
Если предположить, что после применения защитных мероприятий
процент реализованных угроз уменьшается, то можно сделать вывод,
что величина риска возможных потерь прямо пропорциональна
среднему изменению вероятностей реализованных угроз.
При рассмотрении подобных методик невозможно пройти мимо
западных наработок в этой области.
В 1985 г. Центральное агентство по компьютерам и
телекоммуникациям (CCTA) Великобритании начало исследования
существующих методов анализа информационной безопасности (ИБ)
для того, чтобы рекомендовать наиболее пригодные для использования в
правительственных учреждениях, занятых обработкой несекретной, но
критичной информации. Ни один из рассмотренных вариантов не
подошел. Поэтому был разработан новый метод, получивший название
CRAMM — метод ССТА анализа и контроля рисков. Затем появилось
несколько его версий, ориентированных на требования Министерства
обороны, гражданских государственных учреждений, финансовых
структур, частных организаций. Одна из версий, «коммерческий
профиль», является коммерческим продуктом. В настоящее время
продается версия CRAMM 4.0.
Целью разработки метода являлось создание формализованной
процедуры, позволяющей:
• убедиться, что требования, связанные с безопасностью, полностью
проанализированы и документированы;
• избежать расходов на излишние меры безопасности, возможные
при субъективной оценке рисков;
• оказывать помощь в планировании и осуществлении защиты на
всех стадиях жизненного цикла информационных систем;
• обеспечить проведение работ в сжатые сроки;
• автоматизировать процесс анализа требований безопасности;
• представить обоснование для мер противодействия;
• оценивать эффективность контрмер, сравнивать различные
варианты контрмер;
• генерировать отчеты.
Анализ рисков включает в себя идентификацию и вычисление
уровней (мер) рисков на основе оценок, присвоенных ресурсам, угрозам
и уязвимостям ресурсов.
Контроль рисков состоит в идентификации и выборе контрмер,
позволяющих снизить риски до приемлемого уровня.
Формальный метод, основанный на этой концепции, позволяет
убедиться, что защита охватывает всю систему и есть уверенность в том,
что все возможные риски идентифицированы; уязвимости ресурсов и
угрозы идентифицированы и их уровни оценены; контрмеры
эффективны; расходы, связанные с ИБ, оправданны.
Исследование ИБ системы с помощью CRAMM проводится в три
стадии.
Стадия 1: анализируется все, что касается идентификации и
определения ценности ресурсов системы. По завершении этой стадии
заказчик исследования будет знать, достаточно ли ему существующей
традиционной практики или он нуждается в проведении полного
анализа рисков.
Стадия начинается с решения задачи определения границ
исследуемой системы. Для этого накапливается информация о том, кто
отвечает за физические и программные ресурсы, кто входит в число
пользователей системы и как они ее применяют или будут применять, а
также сведения о конфигурации системы.
Первичная информация собирается в процессе бесед с менеджерами
проектов, менеджером пользователей или другими сотрудниками.
Проводится идентификация ресурсов: физических, программных и
информационных, содержащихся внутри границ системы. Каждый
ресурс необходимо отнести к одному из предопределенных классов.
Затем строится модель информационной системы с позиции ИБ. Для
каждого информационного процесса, имеющего, по мнению
пользователя, самостоятельное значение и называемого
пользовательским сервисом (end-userser-vice), строится дерево связей
используемых ресурсов. Построенная модель позволяет выделить
критичные элементы.
Ценность физических ресурсов в данном методе определяется
стоимостью их восстановления в случае разрушения.
Ценность данных и программного обеспечения определяется в
следующих ситуациях:
• недоступность ресурса в течение определенного периода времени;
• разрушение ресурса — потеря информации, полученной со
времени последнего резервного копирования, или ее полное
разрушение;
• нарушение конфиденциальности в случаях несанкционированного
доступа штатных сотрудников или посторонних лиц;
• модификация — рассматривается для случаев мелких ошибок
персонала (ошибки ввода), программных ошибок, преднамеренных
ошибок;
• ошибки, связанные с передачей информации: отказ от доставки,
недоставка информации, доставка по неверному адресу.
Для оценки возможного ущерба рекомендуется использовать
некоторые из следующих параметров:
• ущерб репутации организации;
• нарушение действующего законодательства;
• ущерб для здоровья персонала;
• ущерб, связанный с разглашением персональных данных
отдельных лиц;
• финансовые потери от разглашения информации;
• финансовые потери, связанные с восстановлением ресурсов;
• потери, связанные с невозможностью выполнения обязательств;
• дезорганизация деятельности.
Приведенная совокупность параметров используется в
коммерческом варианте метода. В других версиях совокупность будет
иной. Так, в версию, используемую в правительственных учреждениях,
добавляются параметры, отражающие национальную безопасность и
международные отношения.
Для данных и программного обеспечения выбираются применимые
к данной системе критерии, дается оценка ущерба по шкале со
значениями от 1 до 10.
Стадия 2: рассматривается все, что относится к идентификации и
оценке уровней угроз для групп ресурсов и их уязвимостей. В конце
стадии заказчик получает идентифицированные и оцененные уровни
рисков для своей системы.
На этой стадии оцениваются зависимость пользовательских
сервисов от определенных групп ресурсов и существующий уровень
угроз и уязвимостей, вычисляются уровни рисков и анализируются
результаты.
Ресурсы группируются по типам угроз и уязвимостей. Например, в
случае существования угрозы пожара или кражи в качестве группы
ресурсов разумно рассмотреть все ресурсы, находящиеся в одном месте
(серверный зал, комната средств связи и т. д.).
Оценка уровней угроз и уязвимостей производится на основе
исследования косвенных факторов. Программное обеспечение CRAMM
для каждой группы ресурсов и каждого из 36 типов угроз генерирует
список вопросов, допускающих однозначный ответ.
Уровень угроз оценивается, в зависимости от ответов, как очень
высокий, высокий, средний, низкий и очень низкий.
Уровень уязвимости оценивается, в зависимости от ответов, как
высокий, средний и низкий.
Возможно проведение коррекции результатов или использование
других методов оценки.
На основе этой информации рассчитываются уровни рисков в
дискретной шкале с градациями от 1 до 7.
Полученные уровни угроз, уязвимостей и рисков анализируются и
согласовываются с заказчиком. Только после этого можно переходить к
третьей стадии метода.
Стадия 3: поиск адекватных контрмер. По существу, это поиск
варианта системы безопасности, наилучшим образом удовлетворяющей
требованиям заказчика. По завершении стадии он будет знать, как
следует модифицировать систему для принятия мер уклонения от риска,
а также для выбора специальных мер противодействия. ведущих к
снижению или минимизации оставшихся рисков.
На этой стадии CRAMM генерирует несколько вариантов мер
противодействия, адекватных выявленным рискам и их уровням.
Контрмеры можно объединить в три категории: около 300 рекомендаций
общего плана; более 1000 конкретных рекомендаций; около 900
примеров того, как можно организовать защиту в данной ситуации.
На этой стадии можно провести сравнительный анализ
эффективности различных вариантов зашиты.
Основным господствующем на данный момент подходом к
управлению рисками при использовании информационных систем
является тот, при котором системы рассматриваются, как объекты,
требующие защиты от угроз, то есть все разрабатываемые в рамках
этого подхода методы оценки и управления в качестве своей главной
цели ставят обеспечение безопасности, как самих систем, так и
хранящейся в ней информации.
Информация, хранящаяся в БИС, затрагивает интересы большого
количества людей и организаций, поскольку эта информация
представляет собой реальные деньги (остатки на счетах). На основании
этой информации могут производиться платежи, начислять проценты и
выдавать кредиты. Любое манипулирование этой информацией может
привести к серьезным убыткам.
Проблемы безопасности усложняются в связи с развитием и
распространением компьютерных сетей. Распределенные системы и
системы удаленного доступа выдвинули на первый план вопрос защиты
обрабатываемой и передаваемой информации.
Можно выделить несколько особенностей современных БИС,
которые отрицательно влияют на информационную безопасность:
• реализация на принципах открытой архитектуры, в которой
самыми уязвимыми местами являются связи между элементами
(АРМами, подсистемами БИС). Модель информационного
взаимодействия ISO предусматривает наличие систем безопасности
только на соответствующих уровнях, но не в рамках интерфейсов между
нами;
• реализация без учета возможного использования в корпоративной
сети (взаимодействия удаленных объектов БИС через коммутируемые
линии), что приводит к большим дополнительным затратам;
• неэффективность парольной защиты вне зависимости от
используемых средств криптозащиты и алгоритмов аутентификации;
• возможность реализации средствами СУБД бизнес - логики, что
создает канал опосредованного воздействия на Базу Данных. Проблема
усугубляется тем, что эти процедуры зачастую хранятся не в виде
бинарных кодов, которые можно было бы охватить средствами контроля
целостности, а вместе с данными, и специальные механизмы их
выделения отсутствуют;
• БИС является прикладной программой и работает под
управлением ОС со всеми их особенностями и недостатками.
Целью любых мероприятий по обеспечению безопасности БИС
является защита владельцев и законных пользователей от нанесения им
материального и морального ущерба в результате случайных или
преднамеренных воздействий на систему.
Под безопасностью БИС понимается ее защищенность от
случайного или преднамеренного вмешательства в нормальный процесс
ее функционирования, а также от попыток хищения, модифицирования
или разрушения ее компонентов, то есть способность
противодействовать различным возмущающим воздействиям.
Различают внешнюю и внутреннюю безопасность БИС. Внешняя
безопасность включает как защиту от случайных внешних воздействий,
так и защиту от несанкционированного доступа к информации и любых
несанкционированных действий. Внутренняя безопасность связана с
регламентацией деятельности пользователей и обслуживающего
персонала, с организацией доступа к ресурсам системы и информации.
К основным угрозам безопасности информации можно отнести:
• раскрытие конфиденциальной информации - осуществляет через
несанкционированный доступ к базам данных, прослушивание каналов,
другими способами;
• изменение информации или внесение несанкционированных
изменений в базы данных, в результате чего пользователь должен либо
отказаться от информации, либо предпринять дополнительные усилия
по ее восстановлению;
• несанкционированное использование информации - является
средством раскрытия и модификации информации, и, вместе с тем,
может нанести финансовый ущерб при ее использовании;
• ошибочные использование информации - является следствием
ошибок, имеющихся в программном обеспечении БИС;
• несанкционированный обмен информацией - может привести к
получению пользователем сведений, доступ к которым ему закрыт;
• отказ от информации - состоит в непризнании отправителем или
получателем фактов получения или посылки информации, что может
нанести одной из сторон значительный ущерб;
• отказ в обслуживании - представляет собой задержку в
предоставлении информации, что может привести к ошибочным
действиям пользователя.
Дополнительные трудности в обеспечении безопасности вызывают
использование локальных или глобальных вычислительных сетей.
Трудности могут быть связаны:
• с обеспечением сохранности информации, как в памяти ЭВМ, так
и на отдельных носителях;
• с обеспечением достоверности информации при ее передаче по
каналам связи;
• с обеспечением идентификации информации при ее передаче по
каналам связи.
Кроме того, сами меры по защите информации приводят к:
• увеличению трудности работы с защищенной системой;
• увеличению стоимости защищенной системы;
• дополнительной нагрузкой на системные ресурсы;
• необходимости привлечения дополнительного персонала,
отвечающего за системы защиты.
Кроме этого защищенность объекта не должна мешать его
полезному использованию, поскольку сам по себе банк не является
закрытой системой, а существует благодаря связям с клиентами,
банками-корреспондентами, биржами, то есть внешним миром. Таким
образом, при проектировании систем защиты банк должен искать
оптимальное сочетание защищенности и открытости своей
информационной системы.
Некоторое время назад были согласованы и приняты критерии
оценки безопасности информационных технологий (Information
Technology Security Evaluation Criteria, ITSEC), которые рассматривают
следующие составляющие информационной безопасности:
• конфиденциальность - защита от несанкционированного
получения информации;
• целостность - защита от несанкционированного изменения
информации;
• доступность - защита от несанкционированного закрытия доступа
к информации.
ITSEC выделяет следующие функции, обеспечивающие
защищенность информации:
• идентификация и аутентификация - проверка подлинности
пользователей, регистрация новых и удаление старых пользователей,
проверки аутентификационной информации, контроля целостности и
ограничения числа повторных попыток аутентификации;
• управление доступом - ограничение доступа к базам данных и
распределение прав доступа пользователям;
• аудит - проверка корректности совершаемых пользователям
действий, протоколирование всех действий пользователей в системе;
• повторное использование объектов - действие пользователей не
должны приводить к необратимым последствиям в базе данных;
• точность информации - подразумевает однозначное соответствие
между различными частями данных одной системы обеспечиваемое
точностью связей и неизменности данных при передаче между
процессами;
• надежность обслуживания - гарантия того, что пользователи в
срок получат ту информацию, которую они запрашивают, и что время
доступа к требуемым ресурсам не будет превышать допустимое для
выполнения данной процедуры;
• обмен данными - обеспечивает безопасный обмен информацией с
внешней средой через коммуникационные каналы и предъявляет свои
требования по наличию функций безопасности, таких как
аутентификация, управление доступом, конфиденциальность,
целостность, невозвратность совершенных действий.
Сходные критерии оценки безопасности информации позже были
сформулированы Гостехкомиссиией при Президенте РФ в наборе
«Руководящих документов по защите информации», которые
основываются на «Концепциях защиты средств вычислительной
техники и автоматизированных систем от несанкционированного
доступа к информации». В этом документе определяются основные
принципы и методы защиты информации, способы возможного
покушения на нее, классификация нарушителей, а также классификация
средств вычислительной техники (устанавливается 7 классов от 1 до 7
по возрастанию) и автоматизированных систем (9 классов от 1 до 9 по
возрастанию) по уровню защищенности от несанкционированного
доступа. В данном документе четко разделяется защита средств
вычислительной техники и защита информационных систем, как два
основных аспекта обеспечения информационной безопасности.
В качестве главного средства защиты от несанкционированного
доступа рассматривается система разграничения доступа,
обеспечивающая следующие функции:
• разграничение доступа к данным;
• разграничение доступа к устройствам печати;
• изоляция процессов, то есть доступ пользователя только к своим
процессам;
• управление потоками данных с целью предотвращения
несанкционированной записи на внешней носитель или передаче
информации;
• реализация правил обмена между пользователями в
вычислительной сети.
Для поддержки системы разделения доступа предлагается
следующий перечень, по своему содержанию пересекающийся с
перечнем ITSEC:
• идентификация и аутентификация пользователей, и привязка
пользователя к своему исполняемому процессу;
• регистрация действий пользователя и его процесса;
• возможность включения и удаления пользователей, изменение
списка подсистем и изменений полномочий пользователя;
• реакцию на попытки несанкционированного доступа, такие как
сигнализация, блокировка, восстановление после несанкционированного
доступа;
• тестирование;
• очистка оперативной памяти и рабочих областей носителей после
работы с защищенными данными;
• учет отчетов, выходных форм и твердых копий;
• контроль целостности программной и информационной части.
Обеспечение информационной безопасности исключительно
организационными методами приводит к большим затратам на
построение системы защиты. Для снижения стоимости и повышения
эффективности защиты в современных условиях применяются
дополнительные меры, называемые логическими. Основу этих мер
составляют криптографические средства защиты информации. Под
криптографическими средствами понимают реализацию
криптографических алгоритмов и правил их использования
(протоколов).
На практике используются три основных разновидности
криптографических механизмов. Эти механизмы обеспечивают
аутентификацию, сертификацию и шифрование.
Аутентификация дает возможность убедиться, что сообщение
получено от пользователя зарегистрированного в системе.
Сертификация дает возможность удостоверится в том, что
сообщение не было модифицировано с момента отправки (функция
контроля целостности).
Шифрование или кодирование позволяет преобразовать данные с
помощью секретного механизма, к которому нельзя подобрать ключ за
приемлемое время и призвано решить сразу несколько задач:
• сжатие информации с целью сокращения времени передачи по
каналам связи;
• защита информации от ошибок и искажений;
• защита информации от несанкционированного доступа.
Под кодированием обычно принято понимать процесс
преобразования информации из одного представления в другое. Процесс
обратного преобразования в этом случае называют декодированием.
Исторически задачу кодирования информации решали с помощью
коммерческих кодов.
С развитием вычислительной техники принципы построения кодов
для защиты информации претерпели существенные изменения. Теперь
при кодировании информации уже не ограничиваются одним заранее
выбранным постоянным кодом, а меняют его от сеанса к сеансу, от
сообщения к сообщению.
Такие коды строятся по методу случайного выбора: конкретный код
выбирается случайным образом из множества однотипных кодов, а
получателю информации сообщается каким кодом он должен
воспользоваться для декодирования полученной информации. Обычно
параметр, описывающий конкретный код, стараются сделать
максимально простым - это просто некая строка символов или целое
число. Этот параметр обычно называют ключом, или номером кода,
лишь зная который можно легко декодировать закодированное
сообщение. При этом степень надежности защиты информации будет
определяться главным образом надежность хранения пользователем
своего персонального ключа, с помощью которого он выбирает
конкретный код из множества возможных.
Несмотря на то что, шифрование призвано решать множество задач,
ее основной задачей остается скрывать содержимое сообщения с
конфиденциальной информацией.
Желательно чтобы методы шифрования обладали как минимум
двумя свойствами:
• получатель сможет выполнить обратное преобразование и
расшифровать сообщений;
• при получении несанкционированного доступа к сообщению, по
нему нельзя будет восстановить исходное сообщения без таких затрат
времени и средств, которые сделают эту работу нецелесообразной.
На практике обычно используют два алгоритма шифрования:
рассеивание и перемешивание.
Рассеивание заключается в распространении влияния одного
символа открытого текста на множество символов шифрованного
текста: это позволяет скрыть статистические свойства открытого текста
Развитием этого принципа является распространение влияния одного
символа ключа на много символов шифрограммы, что позволяет
исключить восстановление ключа по частям.
Перемешивание заключается в использовании таких шифрующих
преобразований, которые исключаются восстановление взаимосвязи
статистических свойств открытого и закодированного текста.
Распространенный способ достижения хорошего рассеивания состоит в
использовании составного шифра, который может быть реализован в
виде некоторой последовательности простых шифров, каждый из
которых вносит небольшой вклад в значительное суммарное
рассеивание и перемешивание. В качестве простых шифров чаще всего
используют простые подстановки и перестановки.
Одним из лучших примеров криптоалгоритма, разработанного в
соответствии с принципами рассеивания и перемешивания, может
служить принятый в 1977 году Национальным бюро стандартов США
стандарт шифрования данных DES. Несмотря на интенсивное и
тщательное исследование алгоритма, пока не найдено уязвимых мест, но
основе которых можно было бы предложить метод криптоанализа,
существенно лучший, чем полный перебор ключей. В июле 1991 года
введен в действие подобный отечественный криптоалгоритм ГОСТ
28147-89.
Существуют также алгоритмы с симметричными (секретными) и
асимметричными (открытыми) ключами. Первые в основном
используются для шифрования и сертификации, вторые - для
распределения криптографических ключей и формирования проверки
электронной цифровой подписи (ЭЦП). Механизмы ЭЦП обеспечивают
сертификацию и аутентификацию.
Несмотря на то, что средства криптозащиты обеспечивают
защищенность информации эффективность их использования в БИС
оценивается не однозначно. Криптография традиционно ориентируется
на обеспечение стойкости информации в течение многих лет при ее
перехвате и расшифровке, в то время как в большинстве случаев
ценность перехваченной банковской информации сохраняется в лучшем
случае несколько дней. Это означает, что банк, применяя традиционные
криптографические средства, неэффективно расходует финансовые
средства и вычислительные ресурсы.
В области криптографии до сих пор не существует теоретических
работ, позволяющих соотносить затраты при применении криптозащиты
со стоимостью защищаемой информации. Кроме того, в банковских
системах важнейшим условием является наличие договорных
отношений с финансовой ответственностью всех сторон, а на
сегодняшний день технологий защиты, разрешенных к применению в
России и предполагающих наличие полной финансовой
ответственности, не имеется.
Целью анализа рисков, связанных с эксплуатацией информа-
ционных систем (ИС), является оценка угроз (т. е. условий и факторов,
которые могут стать причиной нарушения целостности системы, ее кон-
фиденциальности, а также облегчить несанкционированный доступ к
ней) и уязвимостей (слабых мест в защите, которые делают возможной
реализацию угрозы), а также определение комплекса контрмер,
обеспечивающего достаточный уровень защищенности ИС. При
оценивании рисков учитываются многие факторы: ценность ресурсов,
значимость угроз, уязвимостей, эффективность имеющихся и
планируемых средств защиты и многое другое.
В настоящее время используются два подхода к анализу рисков —
базовый и полный вариант. Выбор зависит от оценки собственниками
ценности своих информационных ресурсов и возможных последствий
нарушения режима информационной безопасности. В простейшем
случае собственники информационных ресурсов могут не оценивать эти
параметры. Подразумевается, что ценность ресурсов с точки зрения
организации не является чрезмерно высокой. В этом случае анализ
рисков производится по упрощенной схеме: рассматривается
стандартный набор наиболее распространенных угроз без оценки их
вероятности и обеспечивается минимальный или базовый уровень ИБ.
Полный вариант анализа рисков применяется в случае повышенных
требований к ИБ. В отличие от базового варианта в том или ином виде
оцениваются ресурсы, характеристики рисков и уязвимостей. Как
правило, проводится анализ соотношения стоимость/эффективность
нескольких вариантов защиты.
При проведении полного анализа рисков необходимо:
• определить ценность ресурсов;
• составить список угроз и оценить их вероятность;
• определить уязвимость ресурсов;
• разработать ряд мероприятий, направленных на снижение уровня
риска.
Таким образом, на первом этапе анализа необходимо определить
ценность ресурсов.
Ресурсы обычно подразделяются на несколько классов — например,
физические, программные ресурсы, данные. Для каждого класса
необходима своя методика определения ценности элементов, по-
могающая выбрать подходящий набор критериев. Эти критерии служат
для описания потенциального ущерба, связанного с нарушением
конфиденциальности и целостности ИС, уровня ее доступности.
Физические ресурсы оцениваются с точки зрения стоимости их
замены или восстановления работоспособности. Эти стоимостные
величины затем преобразуются в ранговую (качественную) шкалу,
которая используется также для информационных ресурсов.
Программные ресурсы оцениваются тем же способом, что и физические,
на основе определения затрат на их приобретение или восстановление.
Если для информационного ресурса существуют особенные
требования к конфиденциальности или целостности (например, если
исходный текст имеет высокую коммерческую ценность), то оценка
этого ресурса производится по той же схеме, т.е. в стоимостном
выражении.
Кроме критериев, учитывающих финансовые потери, коммерческие
организации могут применять критерии, отражающие:
• ущерб репутации организации;
• неприятности, связанные с нарушением действующего
законодательства;
• ущерб для здоровья персонала;
• ущерб, связанный с разглашением персональных данных
отдельных лиц;
• финансовые потери от разглашения информации;
• финансовые потери, связанные с восстановлением ресурсов;
• потери, связанные с невозможностью выполнения обязательств;
• ущерб от дезорганизации деятельности.
Могут использоваться и другие критерии в зависимости от профиля
организации. К примеру, в правительственных учреждениях прибегают
к критериям, отражающим специфику национальной безопасности и
международных отношений.
Оценка информации в стоимостном выражении крайне
затруднительна, поэтому зачастую для этой цели используются
методики с использованием экспертных оценок.
К подобным методикам, связанным с анализом информационного
риска можно отнести метод, предназначенный для оценки возможных
потерь от несанкционированного доступа и разрушения банковской
информация на основе аддитивной модели.
В основу методики положен принцип: «затраты на защиту не
должны превышать возможные потери». Для определения затрат обычно
строятся вспомогательные структуры, определяющие ценность
информации. Одной из таких структур является аддитивная модель.
В рамках этой модели информация представляется в виде конечного
множества элементов, и, следовательно, можно оценить суммарную
стоимость в денежных единицах исходя из оценки компонент. Оценка
строится на основе экспертных оценок. Однако существует проблема
объективности количественной оценки компонент, что связано с их
неоднородностью. Поэтому в защищаемую информацию вносят
иерархически относительную шкалу (линейный порядок, который
позволяет сравнивать отдельные компоненты по ценности относительно
друг друга). Единая шкала означает равенство цены всех компонент,
имеющих одну и ту же порядковую оценку.
Пусть O1, O2, O3 – объекты. По четырехбальной шкале объекты
оценены как λ1 = 2, λ2 = 1, λ3 = 4, λ4 = 3 – вектор относительных
ценностей объектов. Если известна цена хотя бы одного объекта,
например C1, то можно вычислить оценку одного балла: c1 = C1/λ1.
Цена каждого следующего объекта Ci = λi*c1. Сумма S = C1 + C2 + C3
дает стоимость всей информации.
После определения ценности ресурсов необходимо составить
список угроз и оценить их вероятность.
Существует 2 основных способа составления этого списка.
Первый подход использует данные статистического анализа. Он
основан на накопление статистических данных о реальных про-
исшествиях, анализ и классификация их причин, выявление факторов
риска. Однако для его использования должен быть собран весьма
обширный материал о происшествиях в этой области. Кроме того,
применение этого подхода не всегда оправданно. Если информационная
система достаточно крупная (содержит большое число элементов, расположена на обширной территории), и используется на протяжении
длительного отрезка времени, то подобный подход скорее всего
применим. Если система сравнительно невелика, использует только
новейшие технологии (для которых пока нет достаточной статистики),
оценки рисков и уязвимостей могут оказаться недостоверными.
Второй подход основан на анализе особенностей используемых
технологий. Однако его применение также затруднено, если организация
использует новейшие технологии и самые последние разработки.
Оценка возможных потерь строится на основе полученных
стоимостных компонент исходя из прогноза возможных угроз этим
компонентам. Возможности угроз оцениваются вероятностями
соответствующих событий, а потери подсчитываются как сумма
математических ожиданий потерь для компонент по распределению
возможных угроз.
Пусть O1,…,On – объекты, ценности которых C1,…,Cn.
Предположим, что ущерб одному объекту не снижает цены других, и
пусть вероятность нанесения ущерба объекты Oi равна pi, функция
потерь для объекта Oi:
Wi =
0 - в противном случае
Сi - если объекту нанесен ущерб
(1)
Оценка потерь от реализации угроз объекту i равна:
Ei = pi*Wi (2)
Исходя из сделанных предположений потери (средний риск) в
системе равны:
E = Σ=
n
i
pi Wi
1
* (3)
На следующем этапе необходимо определить уязвимость ресурсов.
Для этого можно использовать категории защиты - свойство объекта,
теряемое при доступе субъекта, содержащего деструктивное
преобразование.
Обозначим множество объектов как O, множество категорий
защиты – K. При этом будем рассматривать следующие категории
защиты: секретность (с), целостность (ц), доступность (д), актуальность
(а).
Далее составляется классификация объектов. Количество операций
по проставлению оценочных баллов (λ) составляет b = n*k, где n –
мощность множества рассматриваемых объектов O, k – мощность
множества категорий защиты K. Следует обратить особое внимание, что
правильная оценка объекта зависит от квалификации и
профессионализма эксперта. Пример классификации по
четырехбалльной шкале приведен в таблице 5.
Согласно перечню защищаемых объектов, каждому объекту
соответствует оценочный балл, и, если задать цену одного балла, можно
получить стоимость всей защищаемой информации. Теперь, для оценки
риска остается оценить вероятность возможных потерь для каждого
объекта. Идея такой оценки заключается в следующем.
Пусть Oi – произвольный защищаемый объект с множеством
категорий защиты K = {K1, … , Kn}, а D = {D1, … , Dn} – множество
возможных угроз. Нарушение безопасности объекта происходит, когда
действие хотя бы одной из угроз Dj приводит к потере категории
защиты Kk. Так, к примеру, ошибочное удаление документов, приводит
к нарушению целостности данных с вероятностью Pц, нарушению
доступности данных с вероятностью Pд и к нарушению актуальности
данных с вероятностью Pа. При воздействии данной угрозы не нарушена
секретность, то есть Pс = 0. В общем случае вероятность нанесения
ущерба объекту Oi для данной категории защиты Kk от воздействия
угроз Dj рассчитывается по формуле суммы вероятностей:
Pk = Σ=
s
j
pj
1
- Π=
s
j
pj
1
(4)
Где pj последовательно принимает значения Pс, Pц, Pд, Pа.
4.3.4.1. Характеристика категории защиты
Таблица 5.
Классификация категорий защиты
Характеристика категории защиты λ
Целостность
Несанкционированное редактирование
Потеря устойчивости к ошибкам
Несанкционированное уничтожение
Несанкционированное уничтожение без возможности
восстановления
1
2
3
4
Доступность
Время получения ответа на запрос:
_ до 5 минут;
_ до 1 часа;
_ до 24 часов
_ более 24 часов
4
3
2
1
Секретность
Несекретно
Для служебного пользования
1
2
Секретно
Совершенно секретно
3
4
Актуальность
Требуется обновление информации:
_ до 1 мин;
_ до 1 часа;
_ ежесуточное;
_ более суток
4
3
2
1
Однако для управления риском помимо вероятности Pi нужна и
оценка риска возможных потерь в денежных единицах Ei. Для
определения вероятности нанесения ущерба объекту Oi для всех
категорий защиты используется следующий метод.
Пусть риск возможных потерь для данной категории защиты
составляет Eik = Pk*Wik.
Определим Ei = max (Eik), то есть риск возможных потерь
информации в объекте Oi равен максимальному риску возможных
потерь из множества рисков по каждой категории защиты.
Таким образом, для того чтобы рассчитать риск возможных потерь
информации в объекте Oi, необходимо получить значения Pс, Pц, Pд, Pа
для каждого источника угрозы. Для решения этой задачи составляется
список источников угроз с указанием доли ущерба в процентах от
каждого вида угрозы. Данные организуются в базе данных, состоящей из
четырех таблиц:
• список защищаемых объектов;
• классифицируемые атрибуты объектов;
• список источников угроз;
• вероятности успешно реализованных угроз.
Таким образом, мы получаем риск возможных потерь, выраженный
в денежной форме. Для снижения риска необходимо варьировать
значениями вероятностей успешно реализованных угроз: уменьшая их,
можно снизить величину риска возможных потерь. К методам снижения
значения вероятностей относят:
• организационные защитные мероприятия, такие как создание
положения по информационной безопасности, регламентирующее
порядок доступа к ценной информации и порядок работы с
документами, составление списка обязанностей пользователя и перечня
объектов, доступных данному пользователю, создание плана выхода из
кризисной ситуации и т.д.;
• технические защитные мероприятия, такие как резервирование
информации, создание реестра используемого программного
обеспечения, использование механизмом шифрации и электронной
подписи, разграничение доступа, как на уровне БИС, так и на уровне
операционных систем.
Если предположить, что после применения защитных мероприятий
процент реализованных угроз уменьшается, то можно сделать вывод,
что величина риска возможных потерь прямо пропорциональна
среднему изменению вероятностей реализованных угроз.
При рассмотрении подобных методик невозможно пройти мимо
западных наработок в этой области.
В 1985 г. Центральное агентство по компьютерам и
телекоммуникациям (CCTA) Великобритании начало исследования
существующих методов анализа информационной безопасности (ИБ)
для того, чтобы рекомендовать наиболее пригодные для использования в
правительственных учреждениях, занятых обработкой несекретной, но
критичной информации. Ни один из рассмотренных вариантов не
подошел. Поэтому был разработан новый метод, получивший название
CRAMM — метод ССТА анализа и контроля рисков. Затем появилось
несколько его версий, ориентированных на требования Министерства
обороны, гражданских государственных учреждений, финансовых
структур, частных организаций. Одна из версий, «коммерческий
профиль», является коммерческим продуктом. В настоящее время
продается версия CRAMM 4.0.
Целью разработки метода являлось создание формализованной
процедуры, позволяющей:
• убедиться, что требования, связанные с безопасностью, полностью
проанализированы и документированы;
• избежать расходов на излишние меры безопасности, возможные
при субъективной оценке рисков;
• оказывать помощь в планировании и осуществлении защиты на
всех стадиях жизненного цикла информационных систем;
• обеспечить проведение работ в сжатые сроки;
• автоматизировать процесс анализа требований безопасности;
• представить обоснование для мер противодействия;
• оценивать эффективность контрмер, сравнивать различные
варианты контрмер;
• генерировать отчеты.
Анализ рисков включает в себя идентификацию и вычисление
уровней (мер) рисков на основе оценок, присвоенных ресурсам, угрозам
и уязвимостям ресурсов.
Контроль рисков состоит в идентификации и выборе контрмер,
позволяющих снизить риски до приемлемого уровня.
Формальный метод, основанный на этой концепции, позволяет
убедиться, что защита охватывает всю систему и есть уверенность в том,
что все возможные риски идентифицированы; уязвимости ресурсов и
угрозы идентифицированы и их уровни оценены; контрмеры
эффективны; расходы, связанные с ИБ, оправданны.
Исследование ИБ системы с помощью CRAMM проводится в три
стадии.
Стадия 1: анализируется все, что касается идентификации и
определения ценности ресурсов системы. По завершении этой стадии
заказчик исследования будет знать, достаточно ли ему существующей
традиционной практики или он нуждается в проведении полного
анализа рисков.
Стадия начинается с решения задачи определения границ
исследуемой системы. Для этого накапливается информация о том, кто
отвечает за физические и программные ресурсы, кто входит в число
пользователей системы и как они ее применяют или будут применять, а
также сведения о конфигурации системы.
Первичная информация собирается в процессе бесед с менеджерами
проектов, менеджером пользователей или другими сотрудниками.
Проводится идентификация ресурсов: физических, программных и
информационных, содержащихся внутри границ системы. Каждый
ресурс необходимо отнести к одному из предопределенных классов.
Затем строится модель информационной системы с позиции ИБ. Для
каждого информационного процесса, имеющего, по мнению
пользователя, самостоятельное значение и называемого
пользовательским сервисом (end-userser-vice), строится дерево связей
используемых ресурсов. Построенная модель позволяет выделить
критичные элементы.
Ценность физических ресурсов в данном методе определяется
стоимостью их восстановления в случае разрушения.
Ценность данных и программного обеспечения определяется в
следующих ситуациях:
• недоступность ресурса в течение определенного периода времени;
• разрушение ресурса — потеря информации, полученной со
времени последнего резервного копирования, или ее полное
разрушение;
• нарушение конфиденциальности в случаях несанкционированного
доступа штатных сотрудников или посторонних лиц;
• модификация — рассматривается для случаев мелких ошибок
персонала (ошибки ввода), программных ошибок, преднамеренных
ошибок;
• ошибки, связанные с передачей информации: отказ от доставки,
недоставка информации, доставка по неверному адресу.
Для оценки возможного ущерба рекомендуется использовать
некоторые из следующих параметров:
• ущерб репутации организации;
• нарушение действующего законодательства;
• ущерб для здоровья персонала;
• ущерб, связанный с разглашением персональных данных
отдельных лиц;
• финансовые потери от разглашения информации;
• финансовые потери, связанные с восстановлением ресурсов;
• потери, связанные с невозможностью выполнения обязательств;
• дезорганизация деятельности.
Приведенная совокупность параметров используется в
коммерческом варианте метода. В других версиях совокупность будет
иной. Так, в версию, используемую в правительственных учреждениях,
добавляются параметры, отражающие национальную безопасность и
международные отношения.
Для данных и программного обеспечения выбираются применимые
к данной системе критерии, дается оценка ущерба по шкале со
значениями от 1 до 10.
Стадия 2: рассматривается все, что относится к идентификации и
оценке уровней угроз для групп ресурсов и их уязвимостей. В конце
стадии заказчик получает идентифицированные и оцененные уровни
рисков для своей системы.
На этой стадии оцениваются зависимость пользовательских
сервисов от определенных групп ресурсов и существующий уровень
угроз и уязвимостей, вычисляются уровни рисков и анализируются
результаты.
Ресурсы группируются по типам угроз и уязвимостей. Например, в
случае существования угрозы пожара или кражи в качестве группы
ресурсов разумно рассмотреть все ресурсы, находящиеся в одном месте
(серверный зал, комната средств связи и т. д.).
Оценка уровней угроз и уязвимостей производится на основе
исследования косвенных факторов. Программное обеспечение CRAMM
для каждой группы ресурсов и каждого из 36 типов угроз генерирует
список вопросов, допускающих однозначный ответ.
Уровень угроз оценивается, в зависимости от ответов, как очень
высокий, высокий, средний, низкий и очень низкий.
Уровень уязвимости оценивается, в зависимости от ответов, как
высокий, средний и низкий.
Возможно проведение коррекции результатов или использование
других методов оценки.
На основе этой информации рассчитываются уровни рисков в
дискретной шкале с градациями от 1 до 7.
Полученные уровни угроз, уязвимостей и рисков анализируются и
согласовываются с заказчиком. Только после этого можно переходить к
третьей стадии метода.
Стадия 3: поиск адекватных контрмер. По существу, это поиск
варианта системы безопасности, наилучшим образом удовлетворяющей
требованиям заказчика. По завершении стадии он будет знать, как
следует модифицировать систему для принятия мер уклонения от риска,
а также для выбора специальных мер противодействия. ведущих к
снижению или минимизации оставшихся рисков.
На этой стадии CRAMM генерирует несколько вариантов мер
противодействия, адекватных выявленным рискам и их уровням.
Контрмеры можно объединить в три категории: около 300 рекомендаций
общего плана; более 1000 конкретных рекомендаций; около 900
примеров того, как можно организовать защиту в данной ситуации.
На этой стадии можно провести сравнительный анализ
эффективности различных вариантов зашиты.