Формализация методов анализа рисков информационной безопасности

Размещено на http://www.allbest.ru/

Формализация методов анализа рисков информационной безопасности

М.Ю. Рытов, Е.В. Лексиков

Рассмотрены вопросы анализа рисков информационной безопасности и алгоритм инструментального их анализа.

Ключевые слова: информационная безопасность, риски информационной безопасности, анализ рисков, алгоритм инструментального анализа.

При проведении высокоуровневого анализа, в котором рассматривается несколько десятков основных групп рисков, автоматизация процесса анализа рисков позволяет значительно экономить трудозатраты. Основная доля трудоёмкости при оценке и обработке рисков приходится не на их анализ, а на сбор информации, анализ защищенности информационных систем, проведение интервью и совещаний, обсуждение и согласование конечных и промежуточных результатов. Положительный эффект от автоматизированного, т. е. выполняемого по определённым и постоянным правилам и алгоритмам с использованием программного обеспечения, анализа рисков значительно выше при детализированной оценке, предполагающей рассмотрение нескольких сотен или даже тысяч рисков, так как в этом случае аналитическая работа существенно усложняется. В процессе оценки рисков специалисту необходимо пройти ряд последовательных этапов. Но в результате переоценки определенного риска (после выбора способа его минимизации) приходится периодически возвращаться к уже пройденному этапу[1-3].

В общем виде процесс анализа рисков информационной безопасности (ИБ) сводится к следующей последовательности:

1.Описание исследуемой информационной системы (ИС).

2.Идентификация и оценка угроз.

3.Идентификация и оценка уязвимостей.

4.Идентификация существующих и планируемых мер защиты информации.

5.Расчет и оценка рисков ИБ.

6.Выработка предложений по снижению рисков.

7.Рассмотрим ключевые аспекты процесса анализа рисков ИБ.

Описание исследуемой ИС. На первом этапе описываются все активы, имеющие ценность для организации и, следовательно, нуждающиеся в защите. Информацию об активах получают от их владельцев и пользователей.

В современных стандартах нет единого подхода к классификации активов. Выделяют следующие основные виды активов: информация, бизнес-процессы, оборудование, программное обеспечение, персонал, зоны (помещения и территории).

В процессе описания активы оценивают с точки зрения их ценности, причем оценка дается для каждой категории ИБ. В обязательном порядке рассматривают три основные категории ИБ: конфиденциальность, целостность и доступность. Так как различные активы могут быть по-разному оценены, необходимо привести эти оценки к общей основе. Для этого используют критерии оценки возможных последствий потенциальных происшествий. В качестве таких критериев можно рассматривать нарушение законодательства, финансовые потери, нарушение бизнесдеятельности, нарушение конфиденциальности, угроза личной безопасности и т. д. При этом для каждого уровня критерия определяют величину ценности актива.

В таком случае величина ценности актива может быть определена как наибольшее значение величин ценностей актива, полученных при сопоставлении их с уровнями критериев.

Также при оценке актива надо учитывать, что чем более значимые и многочисленные активы поддерживаются рассматриваемым активом, тем больше ценность этого актива. При этом необходимо учитывать степени (величины) зависимостей этих активов. Таким образом, необходимо определить зависимость одних активов от других, после чего оценить ценность актива с учетом его зависимостей. информация безопасность риск актив

Идентификация и оценка угроз и уязвимостей. Информацию для идентификации угроз и уязвимостей получают от владельцев и пользователей активов, руководства организации, специалистов и экспертов в области ИБ, а также из стандартов в области ИБ.

Для оценки угроз и уязвимостей применяются различные методы, в основе которых могут лежать [4]:

1) экспертные оценки;

2) статистические данные;

3) учет факторов, влияющих на уровни угроз и уязвимостей.

Экспертные оценки могут быть получены от владельцев и пользователей активов, руководства организации, специалистов и экспертов в области ИБ.

Накопление статистических данных о происшествиях, анализ их причин позволяют оценить угрозы и уязвимости в других ИС.

Наиболее объективный метод получения оценок основывается на учёте факторов, влияющих на уровни угроз и уязвимостей. Данный метод заключается в том, что экспертам выдаются опросные листы, содержащие вопросы, связанные с оцениваемой величиной, и ответы с заранее определенными значениями. Сумма значений выбранных ответов определяет оцениваемую величину. Основным недостатком этого метода является его трудоемкость, поэтому если значения оцениваются по шкале с малым количеством значений, данный метод использовать нецелесообразно.

Идентификация существующих и планируемых мер защиты информации. На данном этапе определяют существующие и планируемые меры защиты информации. При этом проводят переоценку значений угроз и уязвимостей.

Для определения тех или иных мер защиты можно использовать специальные каталоги, в которых содержится информация о применении мер защиты для определенных групп угроз и уязвимостей.

Расчет и оценка рисков ИБ. Расчет риска ИБ заключается в определении его уровня, выраженного в количественной или качественной величине, а оценка риска - в сравнении этого уровня с максимально допустимым (приемлемым) уровнем, а также с уровнями других рисков.

В простейшем случае расчет риска проводят по двум факторам: вероятности происшествия и тяжести возможных последствий.

Математически это можно выразить следующим образом:

Р_иб = Р_{происшествия} • V_потери , (1)

где Р_{происшествия} - вероятность происшествия; V_потери - тяжесть возможных последствий.

Таким образом, в данном случае риск есть математическое ожидание потерь.

Для детального расчета рисков учитывают три фактора: угрозу, уязвимость, величину потери. Математически это выражается следующим образом:

Р_иб = Р_угрозы • Р_{уязвимости} • V_потери, (2)

где Р_{уязвимости} - вероятность уязвимости.

Выражения (1) и (2) используют в случае количественных оценок риска.

Выработка предложений по снижению рисков. На основе результатов расчета и оценки рисков информационной безопасности на данном этапе определяются меры организационного характера, подбираются технические и программно-аппаратные средства защиты информации, предназначенные для снижения рассматриваемых рисков.

На основе ключевых аспектов методики анализа рисков ИБ можно сформулировать следующие требования к алгоритму их анализа:

1) работа с различными классификациями активов;

2) описание модели ис в виде взаимосвязанных активов;

3) работа с различными каталогами угроз, уязвимостей и контрмер;

4) использование различной размерности качественных шкал для оценки активов, угроз и уязвимостей;

5) анализ риска для различных категорий иб;

6) оценка ценности актива с учетом критериев оценки.

Структурно-функциональная схема алгоритма, соответствующего приведенным требованиям, представлена на рисунке.

Ключевым входным параметром алгоритма является профиль анализа рисков ИБ (далее профиль). Он представляет собой совокупность справочной информации, с помощью которой проводится анализ рисков ИБ. Профиль включает в себя следующую справочную информацию:

1) виды активов {A₁ ,…, A_n};

2) виды угроз, их источники { Y₁ ,…, Y_n} + { I₁ ,…, I_m};

3) виды уязвимостей {YI₁ ,…, YI_n};

4) контрмеры {KM₁ ,…, KM_n};

5) критерии оценки ценности актива {K₁ ,…, K_n} и их привязка к шкале оценки ценности актива;

6) категории ИБ {KIB₁ ,…, KIB_n};

7) допустимые взаимосвязи компонентов;

8) размерность качественных величин и их интерпретация.

Использование профиля позволяет унифицировать анализ рисков для разных исследуемых информационных систем, обеспечить воспроизводимость результатов, уменьшить количество ошибок на этапе ввода исходных данных.

Описание активов

Вход: профиль.

На данном этапе вводят информацию об активах, имеющих ценность, и их зависимостях, которую получают от их владельцев и пользователей. Информация вводится в рамках выбранного профиля.

Выход: модель информационной системы, описанная в рамках профиля, которая содержит перечень активов и описание их зависимостей.

Определение ценностей активов

Вход: профиль, модель информационной системы.

Для определения собственной ценности актива, а также для согласования количественных и качественных оценок его оценивают по одному или нескольким критериям (K_i), описанным в профиле. Математически это можно выразить следующим образом:

C₀ = max {C₁(K₁), C₂(K₂), ... , C_i(K_i)},

где C₀ - собственная ценность актива; C₁, C₂, C_i - величина ценности актива, выраженная через соответствующий критерий K₁, K₂, K_i.

Так как качественные значения (в случае их применения) нельзя использовать в математических выражениях, с каждым качественным уровнем сопоставляется числовое значение в виде натурального числа.

Для определения ценности актива в зависимости от других активов используется следующее выражение:

,

где С - ценность актива; round - функция округления до целого значения; С_Зi - величина ценности i-го зависимого актива; D_i - величина зависимости i-го зависимого актива; Dmax - максимальное значение зависимости; Cmax - максимальное значение ценности актива.

Выход: значения ценностей активов по шкале, определенной в профиле.

Описание и оценка угроз активов

Вход: профиль, модель информационной системы, экспертные оценки, статистические данные.

Актуальные угрозы описывают и оценивают в рамках выбранного профиля. Для оценки вероятности угрозы используется качественная шкала, определенная в профиле. Кроме этого в профиле определяется, на какие категории ИБ оказывает влияние угроза.

Выход: cписок актуальных угроз, описанных и оцененных в рамках профиля, и оценки их вероятностей.

Описание и оценка уязвимостей активов

Вход: профиль, модель информационной системы, перечень актуальных угроз, экспертные оценки.

На данном этапе в рамках выбранного профиля определяются уязвимости активов, через которые могут быть реализованы угрозы. Т. е. для каждой угрозы могут быть определены несколько уязвимостей.

Выход: перечень уязвимостей актива для каждой угрозы, описанных и оцененных в рамках профиля, и оценка их простоты эксплуатации.

Описание существующих контрмер

Вход: профиль, модель информационной системы, список актуальных угроз и уязвимостей, через которые они реализуются.

На данном этапе определяются и описываются существующие и планируемые контрмеры. Каждая контрмера указывается в противовес угрозе или уязвимости (соответственно при двухфакторном или трехфакторном анализе). При этом задается новая оценка вероятности реализации угрозы или оценка простоты эксплуатации уязвимости.

Выход: перечень контрмер, описанных в рамках профиля, оценки угроз и уязвимостей с учетом контрмер.

Расчет рисков

Вход: профиль, модель информационной системы, перечень угроз и уязвимостей, их оценки с учетом контрмер.

Расчёт информационных рисков проводится в несколько этапов:

1) определение уровня угрозы по уязвимости;

2) определение уровня угрозы по всем уязвимостям;

3) определение общего уровня угроз по ресурсу;

4) определение риска по каждому ресурсу ИС.

Выход: рассчитанные значения рисков в рамках выбранного профиля.

Оценка рисков

Вход: профиль, рассчитанные значения рисков.

На данном этапе значения рисков ранжируются и интерпретируются в соответствии с правилами, заданными в профиле, а также сравниваются с допустимым уровнем риска.

Рис. Структурно-функциональная схема алгоритма анализа рисков ИБ

Выход: ранжированный перечень рисков с назначенными приоритетами и сравнением с допустимым уровнем риска.

Таким образом, в результате реализации алгоритма инструментального анализа рисков ИБ возможно получить ранжированный перечень рисков для дальнейшего принятия решения по управлению ими.

СПИСОК ЛИТЕРАТУРЫ

1. Аверченков, В. И. Аудит информационной безопасности/ В.И. Аверченков, - М.: Флинта, 2011. - 269 с.

2. Астахов, А. М. Искусство управления информационными рисками / А.М. Астахов. - М.: ДМК Пресс, 2010. - 312 с.

3. Петренко, С. А. Управление информационными рисками. Экономически оправданная безопасность / С. А. Петренко, С. В. Симонов. - М.: АйТи; ДМК Пресс, 2004. - 384 с.

4. ГОСТ Р ИСО/МЭК 27005-2010. Информационная технология. Методы и средства обеспечения безопасности. Менеджмент риска информационной безопасности.

5. РС БР ИББС-2.2-2009. Методика оценки рисков нарушения информационной безопасности.

Размещено на Allbest.ru