Сценарии рисков информационной безопасности

Процесс анализа рисков информационной безопасности.Сущность любого подхода к управлению рисками заключается в анализе факторов риска и принятии адекватных решений по обработке рисков. Факторы риска — это те основные параметры, которыми оперируют при оценке рисков

Актив (Asset).

Ущерб (Loss).

Угроза (Threat).

Уязвимость (Vulnerability).

Механизм контроля (Control).

(ALE).

Возврат инвестиций (ROI)

Способы анализа и оценки этих параметров определяются используемой в организации методологией оценки рисков.

Процедура анализа рисков информационной безопасности в целом заключается в 3-х этапах:

Подготовка к проведению анализа рисков информационной безопасности.

Анализ сценариев возможных инцидентов информационной безопасности.

Определение степени риска информационной безопасности и подбор рекомендаций по управлению рисками информационной безопасности.

На первом этапе эксперт собирает сведения об информационной системе. Основные шаги первого этапа анализа информационных рисков представлены на рис.1.

На втором этапе специалист составляет сценарии вероятных конфликтов информационной безопасности, также анализирует их. Основные шаги второго этапа анализа рисков информационной безопасности представлены на рис.2.

Количественные методы анализа рисков информационной безопасности.

При использовании методов количественного анализа риска вычисляются числовые значения величин отдельных рисков и риска объекта в целом, выявляется возможный ущерб и дается стоимостная оценка от проявления риска. Результатом должна стать система мероприятий по снижению рисков и расчет их стоимостного эквивалента.

Количественный анализ возможно формализовать, с целью чего же применяется инструментарий теории вероятностей, математической статистики, теории исследования операций.

Рис.1. Подготовка к проведению анализа рисков информационной безопасности

Рис.2. Анализ сценариев возможных инцидентов информационной безопасности

Табличный метод анализа рисков.

Одним из наиболее распространенных количественных методов анализа рисков является табличный метод. Этот метод опирается на таблицу, определяющую схему связей между угрозами, уязвимостями и ресурсами. Количественные показатели информационных ресурсов, как правило, оцениваются с помощью опроса сотрудников компании — владельцев информации, которые могут определить ценность информации, её характеристики и степень критичности отталкиваясь от фактического положения дел. Согласно итогам выборочного опроса выполняется оценивание показателей и степени критичности информационных ресурсов для наихудшего варианта развития событий, рассматриваются потенциальные воздействия на деятельность компании при возможном несанкционированном ознакомлении с конфиденциальной информацией, нарушении её целостности и доступности. В случаях, когда количественные оценки по ряду причин затруднены, допускается использование качественных оценок. Количественные и качественные показатели оцениваются при помощи фиксированных балльных шкал. К примеру, для количественных характеристик возможна шкала от 1 до 10, для качественных характеристик возможна шкала «высокий — низкий». Довольно зачастую процедура получения количественных, а также качественных характеристик дополняются методиками оценки иных критичных характеристик, предусматривающих, к примеру, требования по соблюдению законодательства, коммерческие и общественные отношения и т.д.

Анализ иерархий.

Использование иного способа — анализа иерархий — объединяет изучение практически любых трудных концепций к последовательности попарных сопоставлений элементов данных концепций. Иерархические структуры, которые применяются в сфере информационной безопасности, имеют все шансы иметь отношение к разным классам иерархий, к примеру, физические иерархии (временные, пространственные, должностные и т.д.), специализированные иерархии (программные, аппаратно-технические, прав доступа и т.д.), исследовательские (структур данных, критериев, объектов и т.д.).

Модель обязана содержать в себе и разрешать измерять все без исключения важные количественные и качественные факторы. Однако метод работает лишь в том случае, когда практически все эти факторы измерены объективно и результаты задач принятия решений однозначны и отвечают мнению специалиста. По другому можно ожидать возникновения систематических и случайных погрешностей в оценках.

Метод анализа рисков информационной безопасности на основе экспертных оценок.

Этот метод предполагает собою совокупность логических и математико-статических методов и процедур по обрабатыванию итогов выборочного опроса группы специалистов в сфере информационной безопасности, при этом итоги выборочного опроса считаются основным источником информации. В основе метода находится концепция декомпозиции непростой и слабо поддающейся формализации задачи на последовательность наиболее простых подзадач, соответствующих конкретному числу элементарных экспертиз. Оценка характеристик входит в число более известных элементарных экспертиз. Как правило, под оценкой нечисловой информации подразумевается присвоение нечисловым характеристикам количественных или качественных значений по выбранной шкале измерений.

В общем случае оценка состоит в назначении вероятностей совершения событий, реализации угрозы, дат событий или весов. Установление весовых коэффициентов рисков применяется с целью их упорядочения также установления первоочередных действий по защите. Потом с целью установления уровня безопасности системы на основании ранее определённых характеристик применяется линейный способ взвешивания и подсчетов.

Метод анализа рисков информационной безопасности на основе оценки ожидаемых потерь и возврата от инвестиций. Данный метод был предложен Национальным Бюро Стандартов США в федеральном стандарте FIPS 65 “GuidelineforAutomaticDataProcessingRiskAnalysis”.

В соответствии с ним, оценка ожидаемого вероятного ущерба от единичной реализации определённой угрозы (SingleLossExposure, SLE) рассчитывается по формуле

SLE = AVXEF, (1)

где AV — стоимость ресурса (AssetValue); величина в фиксированном диапазоне, характеризующая ценность ресурса;

EF — мера уязвимости ресурса к угрозе; величина в фиксированном диапазоне, характеризующая степень уязвимости ресурса к данной угрозе.

Оценка годовых ожидаемых потерь (ALE, AnnualLossExpectancy) рассчитывается по формуле

ALE = SLEXARO, (2)

ARO – оценка вероятности реализации угрозы (AnnualRateofOccurrence); величина в фиксированном диапазоне, характеризующая насколько вероятна реализация данной угрозы в течение определённого периода времени.

Оценка возврата от инвестиций в информационную безопасность (ROSI, ReturnonSecurityInvestment) рассчитывается по формуле

ROSI = ALE — CCC, (3)

CCC — инвестиции в СЗИ, защищающие от данной угрозы. В случае, если величина ROSI является положительной (или, по крайней мере, неотрицательной), можно говорить о том, что инвестиции в СЗИ оправданы.

Недостатки количественных методов анализа рисков информационной безопасности. Количественные методы анализа рисков информационной безопасности обладают серьёзными недостатками.

Существуют составляющие риска, которые никак не учитываются в количественных методах анализа рисков:

♦ убыток в результате простоя бизнес-процесса;

♦ затраты на создание информации;

♦ приобретение активов;

♦ восстановительная стоимость;

♦ будущая стоимость;

♦ оплата сверхурочного труда работников;

♦ судебные издержки и некоторые другие составляющие.

Можно допустить существование математического метода, представляющего эти составляющие в виде некоторых численных показателей. Однако для этого необходимо проанализировать большое количество разнородных параметров состояния бизнеса в этом случае получить вряд ли возможно, поскольку за время, необходимое для его получения, обстановка внутри и вне бизнеса может значительно измениться. Исчерпывающее и актуальное количественное представление состояния бизнеса в данном случае приобрести маловероятно допустимо, так как за период, нужное с целью его получения, атмосфера изнутри также за пределами бизнеса способна существенно поменяться. В том числе и в случае подобного отображения оно способно демонстрировать собою большой объём информации, требующий большого количества времени с целью обработки и осознания.

Помимо этого, есть элементы риска никак не поддающиеся подсчету:

♦ репутация компании или организации;

♦ престиж и ценность торговой марки;

♦ нанесённый моральный ущерб;

♦ влияние риска на сотрудников;

♦влияние риска на акционеров или владельцев бизнеса;

♦ влияние риска на потребителей;

♦ влияние риска в поставщиков и партнёров;

♦ воздействие риска на агентства кредитных рейтингов и другие финансовые структуры.

В частности, если реализация угрозы скажется на моральное положение работников, последствия имеют все шансы проявиться в утрате производительности, ухаживании высококвалифицированных сотрудников и сдерживании притока новых сотрудников, производственным конфликтам.

Реализация угрозы может вызвать потерю доверия и отток потребителей, которые будут обеспокоены плохой репутацией бизнеса и неспособностью бизнеса защитить персональные данные потребителей.

Агентства кредитных рейтингов могут снизить показатели кредитоспособности пострадавшего от угрозы бизнеса, а поставщики товаров — сократить объёмы, то что в дальнейшем помешает пострадавшему бизнесу заинтересовать новейшие капиталовложения также возобновить собственное состояние на рынке.

Очевидно, недополучение прибыли от удара по престижу и снижения репутации может быть в определенных случаях значительно превзойти расходы в формирование системы информационной безопасности.

Анализ рисков информационной безопасности, основанный на аудите информационной безопасности. Количественный анализ рисков информационной безопасности способен быть соединен с аудитом на соответствие политики информационной безопасности рекомендациям, отражающим более эффективную практику управления информационной безопасностью. Данные советы рассказаны в специально созданных международных и национальных стандартах:

♦ISO/IECFDIS 17799:2005 и основанный на нём ГОСТ Р ИСО/МЭК 177992005;

♦ стандарты Банка России СТО БР ИББС-1.0-2008, СТО БР ИББС-1.1-2007 и СТО БР ИББС-1.2-2009;

♦ (PCIDSS);

♦ прочие национальные и правительственные стандарты.

Стандарты управления информационной безопасностью включают только рекомендации (либо условия) согласно использованию конкретных мер защиты, в большей степени технических. Стандарты предусмотрены в первую очередь в целом с целью формальной сертификации информационной системы и системы управления информационной безопасностью. Использование стандартов с целью анализа рисков информационной безопасности базируется в последующем дозволении: можно утверждать, то что риски информационной безопасности отсутствуют, в случае если информационная система сертифицирована на соответствие требованиям стандарта.

При этом требования стандартов никак не принимают во внимание целого ряда элементов информационного риска, упомянутых в предыдущем подразделе. Более того, формальное соответствие требованиям стандарта также удачное освоение сертификации совсем никак не обозначает присутствия действующей и эффективной системы управления информационной безопасностью.

Доказательством этому может быть утечка данных в платёжной системе HeartlandPaymentSystems, Inc., выявленная в январе 2009 г. также повлёкшая за собой компрометацию миллионов транзакций согласно банковским картам. В результате утечки преступникам стали известны номера банковских карт, даты завершения действия карт и имена владельцев карт. Данной информации достаточно для создания поддельных банковских карт и совершения нелегитимных транзакций от имени легитимных владельцев карт.

Компания Неarland миновала сертификацию на соотношение требованиям стандарта безопасности данных промышленности платёжных систем РCIDSS. Cертификация была выполнена компанией Trustwave, грамотным оценщиком безопасности, надёжность которого никак не побуждает сомнений. Предпосылки утечки данных в Неartland никак не разглашаются, однако подчёркивается, то что они никак не объединены с невыполнением требований стандарта PCIDSS.

С учётом данного факта инцидент с Неartland формирует серьезный факт, ставящий под сомнение результативность формальной сертификации в соотношение требованиям стандартов управления информационной безопасностью.

Качественный анализ рисков информационной безопасности.Альтернативой рассмотренным методам является качественный метод анализа рисков информационной безопасности — это процесс оценивания рисков, основанный на сценариях инцидентов информационной безопасности и определении влияния инцидента на активы

При проведении качественного анализа рисков эксперт составляет краткое описание сценариев возможных инцидентов информационной безопасности, которые затем разрабатываются и исследуются для поиска областей деятельности и активов компании, которые имеют все шансы являться затронутыми инцидентом, также с целью установления рамок ущерба, нанесённого абсолютно всем допустимым областям деятельности и активам. Вместо численной интерпретации понятия риска, свойственной количественным методам анализа рисков, выполняется классификация рисков информационной безопасности в соответствии с затрагиваемыми областями деятельности и активами.

Основываясь на сведениях о внешней среде бизнеса, эксперт в области информационной безопасности определяет возможные инциденты информационной безопасности в виде сценариев. Открывая план и меняя переменные сценария, оказывающие большое влияние на события, специалист определяет сферы деятельности и активы бизнеса, вероятно упомянутые инцидентом и устанавливает влияние на данную сферу либо актив в виде категории естественного языка: «воздействие выше среднего», «ушерб неприемлем», «низкий ущерб» и т.п.

Основное достоинство этих категорий заключается в том, что они не требуют дополнительной интерпретации и интуитивно понятны как специалисту в области информационной безопасности, как и неспециалистам, причастных в построении системы безопасности (акционерам, совету директоров т.п.). Специалист интуитивно из сценария рисковой ситуации и собственного профессионального навыка, осознает, какая категория естественного языка лучшим способом представляет тот или иной параметр сценария рисковой ситуации.

Помимо этого, специалист способен формировать наиболее непростые категории с поддержкой конкретных синтаксических правил, к примеру, «не очень высокая возможность возникновения угрозы», «степень риска ближе к высокой, чем к средней», «данная рекомендация по риску скорее уместна, чем нет». Сложные группы или включают определенный оттенок, видоизменение смысла исходной категории, или считаются объединением либо пересечением двух и более исходных категорий. Сложные категории используются во этих вариантах, если тот или иной параметр сценария рисковой ситуации невозможно конкретно отнести к одной из исходных категорий.

Без использования сложных категорий анализ риска сводится к выявлению линейной зависимости оценок риска и уместности рекомендаций по риску от показателей ценности ресурса, величины ущерба,возможности угроз и уязвимостей. Категории, описывающие степень риска и уместности рекомендаций согласно риску, в данном случае формируются простой суммой баллов, приобретенных за конкретные значения характеристик рисковых обстановок, а шкала, состоящая из категорий естественного языка, при этом ничем никак не отличается от шкалы, имеющей от трёх до пяти численных значений.

В настоящее время не существует метода анализа рисков информационной безопасности, позволяющего производить оценку степень риска также целесообразность рекомендации согласно этому риску с поддержкой категорий естественного языка и оттенков категорий, который мог бы лечь в базу системы поддержки принятия решений при управлении рисками информационной безопасности. Такого рода метод может быть основан на нечёткой логике и нечётных множествах, в частности, на основе нечётких предикатов также нечёткого логичного заключения, позволяющего систематизировать риски и извлекать оптимальные рекомендации по рискам с поддержкой категорий естественного языка, а также с учётом оттенков категорий.

Было проведено исследование возможных нечётких импликаций, обладающих свойством настройки оттенка заключения в зависимости от изменения оттенка посылки и пригодных для решения задач классификации рисков и выработки наилучших рекомендаций по рискам, а также исследование их возможностей. Анализ результатов экспериментов показал следующее.

Наиболее удобные для интерпретации заключения получены с помощью импликаций GainesandRescher, Godel, Goguen (при всех композициях), а также с помощью почти всех импликаций при композициях Max-Bounded и Max-Drastic. Заключения, отображающие всевозможные изменения посылок, можно приобрести при помощи импликации Goguen при композициях Мах-Мin и Мах-Prod. Bсе импликации предоставляют заключение «неизвестно», в случае если оказываются не в состоянии установить верный вывод (иными словами, если наблюдение считается отрицанием или дополнением посылки нечёткого правила). Импликация Goguen обладает качеством настройки оттенка заключения в зависимости от изменения оттенка посылки. Для решения задач классификации рисков и выработки наилучших рекомендаций по рискам подобрана нечёткая импликация Goguen.

Список использованных источников

https://cyberleninka.ru/article/n/analiz-riskov-informatsionnoy-bezopasnosti

https://cyberleninka.ru/article/n/klassifikatsiya-riskov-informatsionnoy-bezopasnosti

https://knowledge.allbest.ru/bank/3c0b65635b2ac69a5d53b88521206c26_0.html

http://masters.donntu.org/2009/fvti/khimka/library/article7.pdf

Статья посвящена процессу управления рисками информационной безопасности. Описываются основные компоненты безопасности, их взаимодействие, а также возможные сценарии реализации инцидента информационной безопасности. Рассматриваются этапы процесса управления рисками и их особенности.

Ключевые слова: процесс управления рисками информационной безопасности, компоненты безопасности, оценка риска, обработка риска, определение уровня риска.

Деятельность любых организаций связана с риском. Это означает, что невозможно точно определить какие нежелательные события обязательно произойдут в будущем, а какие нет. Так как информация является важным активом, то вопросы обеспечения информационной безопасности выходят на первый план. Организации может быть нанесен ущерб, включающий в себя непредвиденные расходы и возможную потерю клиентов, в случае реализации инцидента информационной безопасности. Для критически важных объектов последствия могут быть куда более серьезными. Таким образом, для обеспечения безопасности организации от информационных угроз необходимо управлять рисками информационной безопасности [1].

Компоненты безопасности

Для того, чтобы управлять рисками информационной безопасности, необходимо понять концепцию взаимодействия основных компонентов безопасности данного процесса (Рис.1) [2].

Рис. 1. Модель угроз-рисков

Исходя из данной модели, можно сделать следующие выводы:

– Угрозы используют уязвимости

– Без контрмер наличие уязвимостей может представлять недопустимый риск

– Для минимизации риска необходимы контрмеры

Компонентом, в отношении которого осуществляется внедрение комплекса мер по обеспечению информационной безопасности, выступает имущественный объект или актив. Данный компонент представляет ценность для организации и должен быть защищен. Активами могут быть:

– Материальные активы (вычислительные средства, средства связи)

– Информация (документы, базы данных)

– Программное обеспечение

– Услуги

– Люди

– Нематериальные ресурсы (репутация)

Успешность обеспечения информационной безопасности зависит от полноты идентификации активов. Можно разработать и внедрить эффективную программу безопасности, но упустить какой-либо актив из виду, в результате чего фактическая защищенность организации от угроз информационной безопасности будет отличаться от установленной. Степень детализации данного этапа осуществляется исходя из целей безопасности.

Следующим рассматриваемым компонентом безопасности является угроза. Данный компонент наносит ущерб организации, используя уязвимости его активов. Существует большое количество различных классификаций угроз, однако, важно понимать, что они могут быть не только целенаправленными, но и случайными. Основные особенности, характеризующие угрозу: источник, частота возникновения, вредоносное воздействие.

Уязвимость представляет собой «слабость» актива, которой может воспользоваться угроза. Данный компонент сам по себе не причиняет ущерб, равно как и угроза без уязвимости не опасна для организации. Однако, необходимо осуществлять мониторинг уязвимостей, чтобы своевременно выявить те, которые смогут использовать новые угрозы в случае функциональных изменений внутри защищаемого объекта.

Как компонент безопасности, риск — это способность угрозы использовать уязвимость актива для нанесения ущерба организации. Риск характеризуется комбинацией вероятности наступления инцидента информационной безопасности и последствиями от такого инцидента. Важно понимать, что риск никогда не устраняется полностью. Принятие остаточного риска является частью заключения о соответствии уровня безопасности потребностям организации.

Последним рассматриваемым компонентом безопасности являются контрмеры, то есть действия, способные обеспечить безопасность от реализации угрозы. Выбор необходимых контрмер определяет эффективность мероприятий по обеспечению информационной безопасности.

Взаимосвязь компонентов безопасности показывает, как активы могут подвергаться воздействию угроз (Рис.2). Данные взаимосвязи представляют собой пять наиболее распространенных сценариев [3]:

1. Существует уязвимость актива, но не известны угрозы, которые могут ее использовать.
2. Защитная мера может быть эффективна для снижения рисков, связанных с угрозой, способной использовать уязвимость актива.
3. Защитная мера может быть эффективна для снижения рисков, связанных с угрозой, использующей группу уязвимостей актива.
4. Риск считают приемлемым, и никакие меры не реализуются даже в присутствии угрозы и при наличии уязвимости актива.
5. Группа защитных мер может быть эффективна в снижении рисков, связанных с группой угроз, использующих уязвимость актива.

Рис. 2. Модель безопасности

Процесс управления рисками информационной безопасности

Процесс управления рисками информационной безопасности может быть применен как ко всей организации, так и к любой ее части (подразделению или информационной системе). Данный процесс должен быть непрерывным, так как со временем защищенность объекта ослабевает вследствие изменения функциональных возможностей компонентов и появления новых угроз. Поэтому на всех этапах процесса управление рисками необходимо осуществлять документирование полученных результатов. В целом, под управлением рисками понимается процесс, включающий контекст, оценку, обработку и мониторинг рисков (Рис.3) [4].

Рис. 3. Процесс управления рисками

Результативность управления рисками зависит от эффективности обмена информацией и консультаций с причастными сторонами, то есть с теми, кто заинтересован в обеспечении информационной безопасности защищаемого объекта. Важность данного этапа заключается в том, что причастные стороны принимают участие в процессе управления рисками, а, значит, существует понимание причин необходимости определенных действий. Информационный обмен происходит на всех этапах процесса управления рисками и может быть полезен при:

 Определении области применения

 Анализе требований причастных сторон

 Сборе информации о рисках информационной безопасности

 Разработке плана обработки рисков

Установление области применения (контекст управления рисками) впервые осуществляется тогда, когда проводится высокоуровневая оценка рисков. Контекст определят основные параметры управления, область применения и критерии. В первую очередь, описываются внешние и внутренние условия, в которых функционирует организация (Рис.4).

Рис. 4. Внешняя и внутренняя среда организации

Следующим шагом является установление целей управления рисками. На этом этапе распределяются обязанности, определяется объем рассматриваемого проекта, а также необходимые действия. Кроме того, выбирается подходящий метод оценки рисков, исходя из особенностей функционирования организации и глубины проводимого анализа. На основании полученной информации определяются критерии оценки и приемлемости риска.

Оценка риска — процесс, объединяющий идентификацию, анализ и сравнительную оценку риска. В целом, оценка риска обеспечивает понимание причин и последствий инцидентов информационной безопасности, а также вероятности их возникновения. Способ реализации данного этапа зависит от выбранного метода оценки рисков.

Идентификация риска представляет собой процесс определения элементов риска, составления их перечня и описания каждого из элементов риска. В первую очередь, осуществляется идентификация активов и их владельцев. Владелец может и не обладать правами собственности на актив, но он несет ответственность за его безопасность. Как правило, владелец лучше других сможет определить реальную ценность актива для организации. Определение ценности осуществляется на основе разработанной шкалы, которая может иметь разное количество значений. Распространенным вариантом является шкала с пятью значениями, которые могут быть как количественными, так и качественными. Поскольку цель данной работы заключается в описании общих принципов управления рисками информационной безопасности, а не оценки рисков конкретного объекта, то в качестве примера рассмотрен типовой вариант с качественными значениями (таблица 1).

Таблица 1

Шкала ценности активов

В качестве критериев определения ценности активов, как правило, выступают требования законодательства и причастных сторон, установленных в контексте управления рисками. Для каждого из свойств актива, таких как конфиденциальность, целостность и доступность, должно быть определено отдельное значение ценности, так как они являются независимыми. На основании полученных результатов составляется таблица ценности активов (таблица 2). Определяется общее значение ценности актива, которое будет учитываться в дальнейшем анализе при оценке тяжести последствий. Зачастую общее значение определяется экспертным путем, минуя определение ценности для каждого из свойств. Однако, такой подход менее точен.

Таблица 2

Таблица ценности активов

Следующим шагом является идентификация существующих средств управления. Формируется понимание того, что уже есть в организации и насколько это эффективно. Затем осуществляется идентификация угроз и уязвимостей. Результаты оформляются в виде двух документов: перечня угроз и перечня уязвимостей. Последним элементом данного этапа является идентификация последствий, которая заключается в составлении перечня сценариев инцидентов информационной безопасности с их последствиями для организации. Зачастую, при проведении высокоуровневой оценки рисков по результатам совещания с причастными сторонами формируется данный перечень сценариев, на основании которого осуществляется детальная оценка рисков.

Анализ риска — процесс изучения характера риска и определение уровня риска. Данный этап включает в себя оценку тяжести последствий и соответствующих им вероятностей. В свою очередь, значение вероятности включает в себя как вероятность реализации угрозы, так и вероятность того, что угроза использует уязвимость актива для нанесения ущерба. Данное выражение может быть представлено следующей формулой:

P = P_T* P_V,

где P — вероятность наступления инцидента, P_T — вероятность реализации угрозы, а P_V — вероятность использования уязвимости.

Исходя из этого, уровень риска будет определяться следующей формулой:

R = P_T* P_V * L,

где R — уровень риска, а L — тяжесть последствий.

Методы, используемые при анализе риска, могут быть количественными, качественными, смешанными. В зависимости от потребностей организации и доступности достоверных данных определяется степень детализации анализа. На практике качественная оценка часто используется первой для получения общих сведений об уровне риска. Позднее может возникнуть необходимость в осуществлении более углубленного анализа, в результате чего будет применяться количественная оценка риска. При оценке тяжести последствий учитываются данные таблицы ценности активов, а также результаты оценки ущерба. В первую очередь, на основании определенной в контексте управления рисками шкалы последствий, строится таблица оценки ущерба. Для примера рассмотрим шкалу последствий, основанную на пяти качественных значениях (таблица 3).

Таблица 3

Шкала последствий

На основании данной шкалы и выбранных критериев осуществляется построение таблицы оценки ущерба. Наиболее очевидным критерием являются финансовые потери, которые понесет организация в случае успешной реализации инцидента информационной безопасности. Однако, важно понимать, что данный критерий отражает лишь часть «общей картины» последствий. Например, для критически важных объектов помимо финансовых потерь, необходимо учитывать также последствия для окружающей среды. В связи с этим, на данном этапе в таблицу оценки ущерба включаются все необходимые критерии, чтобы всеобъемлюще охватить основные виды последствий для организации, учитывая ее деятельность. В качестве примера рассмотрим наиболее распространённые критерии: финансовые потери и потеря репутации организации. Для включения их в таблицу оценки ущерба необходимо обратиться к шкале критериев оценки ущерба, установленной на этапе контекста управления рисками (таблица 4). Значения данной шкалы в приведенном примере условны и зависят от особенностей организации.

Таблица 4

Шкала критериев оценки ущерба

Опираясь на шкалу критериев оценки ущерба, осуществляется построение таблицы оценки ущерба (таблица 5). Для каждого актива определяются значения последствий относительно определенных критериев. Результатом является значение рейтинга последствий, который будет учитываться в таблице тяжести последствий.

Таблица 5

Таблица оценки ущерба

С целью определения тяжести последствий для организации от реализации инцидентов информационной безопасности, строится таблица, объединяющая значения ценности активов и последствий (таблица 6). В приведенном примере полученное значение тяжести последствий лежит в диапазоне от 1 до 5. Данное значение учитывается в определении уровня риска. Зачастую, значение тяжести последствий близко к значению ценности актива и определяется экспертами. Безусловно, такой метод прост в реализации, однако, более субъективен. Он будет уместен в случае проведения высокоуровневой оценки риска. Между тем, при детальном анализе важно понимать, что существует большая разница между определением ценности актива и оценкой ущерба. Так, в частности, в случае внедрения дополнительных контрмер повышается защищенность объекта, в результате чего ущерб от реализации той же угрозы будет значительно меньше, при этом ценность актива для организации не меняется.

Таблица 6

Таблица тяжести последствий

Значение вероятности наступления инцидента включает в себя два параметра: вероятность угрозы и уровень уязвимости, которые определяются относительно установленных в контексте шкал. Шкала вероятности угроз, состоящая из трех условных значений, представлена в таблице 7. Определение вероятности угроз является довольно субъективным процессом, так как на практике существует проблема недостатка статистических данных для точной оценки. Поэтому на данном этапе важно понять, как часто гипотетически может реализовываться угроза. Очевидно, что данная оценка вероятности условна, однако, определить, что угроза может реализоваться раз в год, но никак не раз в 10–15 лет, вполне возможно.

Таблица 7

Шкала вероятности угроз

Вторым параметром для определения вероятности наступления инцидента является уровень уязвимости. Как правило, данный параметр имеет три качественных значения (таблица 8). При подсчете вероятности наступления инцидента важно учитывать аспект простоты использования уязвимости, а не только вероятность реализации угрозы, поскольку сама по себе угроза не нанесет ущерб организации без уязвимости. Очевидно, что угроза может реализовываться довольно часто. Однако, при наличии эффективных контрмер, успешность реализации инцидента информационной безопасности будет сводится к нулю. В связи с этим, для более точной оценки необходимо учитывать простоту использования уязвимости.

Таблица 8

Шкала уязвимостей

Для определения вероятности наступления инцидента информационной безопасности необходимо выбрать подходящее значение, учитывая вероятность реализации угрозы и простоту использования уязвимости (таблица 9).

Таблица 9

Таблица вероятности наступления инцидента

Для определения уровня риска осуществляется агрегирование значений вероятности наступления инцидента и тяжести последствий (таблица 10). Приведенный метод оценки риска является наиболее распространенным в связи с его простотой. В зависимости от целей проводимого анализа могут выбираться другие, более уместные для организации методы. Однако, для общего понимания структуры и процесса управления рисками описанный метод является наиболее подходящим.

Таблица 10

Таблица уровня риска

В данном примере величина рисков определяется по шкале от 1 до 9:

 Величина риска в диапазоне от 1 до 3 соответствует низкому уровню риска, который может быть принят без дальнейшей обработки.

 Величина риска в диапазоне от 4 до 6 соответствует среднему уровню риска, который требует обработки.

 Величина риска в диапазоне от 7 до 9 соответствует высокому уровню риска, который должен быть обработан в первую очередь.

Сравнительная оценка рисков представляет собой процесс сопоставления уровня риска с критериями риска, установленными в области применения процесса управления рисками, для определения его значимости. Принимаемые решения на данном этапе включают в себя, как правило, вопросы необходимости обработки риска и расстановки приоритетов обработки риска.

На основе результатов оценки риска осуществляется обработка риска [5]. Данный этап представляет собой процесс модификации риска посредством выбора соответствующего варианта его обработки. В первую очередь, рассматриваются результаты оценки рисков и выполняется более детальная оценка в случае, если это необходимо. Данное решение принимается в точке принятия решений № 1. Затем выбирается соответствующий вариант обработки риска и оценивается остаточный риск. Если организация в соответствии с установленными критериями готова принять потери и выгоды от достигнутого уровня риска, то осуществляется сохранение риска и дальнейший его мониторинг. В противном случае, описанные процессы оценки и обработки риска повторяются до тех пор, пока не будет достигнут приемлемый для организации уровень риска. Этот этап является точкой принятия решения № 2 (Рис.5). Существует четыре основных варианта обработки риска: снижение риска, сохранение риска, избегание риска, перенос риска.

Рис. 5. Этап обработки риска

Снижение риска представляет собой вариант выбора определенных средств управления. В отношении конкретной угрозы может быть выбрано несколько контрмер. Сохранением риска является решение принять риск, не предпринимая дальнейших действий. Избегание риска представляет собой прекращение определенной деятельности, вызывающей конкретный риск. Данный способ является самым эффективным средством обеспечения безопасности, однако, в случае, если данная деятельность крайне важна для организации, и она не может от нее отказаться, этот вариант не рассматривается. Перенос риска представляет собой передачу определенной деятельности на аутсорсинг, в результате чего риски от этой деятельности будет нести другая организация. Важно подробно осветить вопрос ответственности за разглашение третьей стороной информации, полученной в ходе принятия на себя обязанности по аутсорсингу. Кроме того, еще одним видом переноса риска является страхование. Страховые компании принимают на себя риски и получают за это страховую премию. Компенсация убытков осуществляется в том случае, если происходит инцидент, входящий в рамки страхового покрытия.

Мониторинг и анализ риска являются составной частью процесса управления рисками. Данный этап необходим для поддержания защищенности объекта на должном уровне. В связи с функциональными изменениями внутри организации, а также внешними изменениями, касающимися политической, экономической обстановки в стране, со временем появляются новые угрозы и уязвимости. Необходимо осуществлять непрерывный мониторинг и учитывать соответствующие изменения.

Вывод

Любая организация осуществляет свою деятельность ради достижения конкретных целей. Но для того, чтобы достичь намеченных результатов, необходимо, в том числе, обеспечить безопасность организации. Учитывая интеграцию информационных технологий в деятельность современных компаний, вопросы обеспечения информационной безопасности выходят на первый план. В данной работе подробно рассмотрен процесс управления рисками информационной безопасности. Внедрение данного процесса в деятельность организации позволит поддерживать защиту от информационных угроз на должном уровне.

Литература:

1. Астахов А. М. Искусство управления информационными рисками. — М.:

2. ДМК Пресс, 2010. — 314 с.

3. ГОСТ Р 56498–2015 Сети коммуникационные промышленные. Защищенность (кибербезопасность) сети и системы. Часть 3. Защищенность (кибербезопасность) промышленного процесса измерения и управления.

4. ГОСТ Р ИСО/МЭК 13335–1-2006 Информационная технология. Методы и средства обеспечения безопасности. Часть 1. Концепция и модели менеджмента безопасности информационных и телекоммуникационных технологий.

5. ГОСТ Р ИСО/МЭК 31010–2011 Менеджмент риска. Методы оценки риска.

6. ГОСТ Р ИСО/МЭК 27005–2010 Информационная технология. Методы и средства обеспечения безопасности. Менеджмент риска информационной безопасности.

1. Разработка сценария действий по нарушению информационной безопасности

Исходя
из анализа возможных атак на корпоративную
сеть при оценке угроз, представляется
целесообразным иметь в распоряжении
исследователя модель нарушителя, модель
каналов утечки информации и НСД, методики
определения вероятности информационного
контакта, перечень возможностей
информационных инфекций, способы
применения и тактико-технические
возможности средств ведения разведки,
ну, и, наконец, методику оценки
информационной безопасности.

Оценивая
вероятность осуществления угроз,
целесообразно исходить не только из
среднестатистических данных, но и исходя
из специфики конкретных информационных
систем.

1. Выбор анализируемых объектов и степени детальности их рассмотрения

Анализируемые
виды угроз следует выбрать из соображений
здравого смысла,
но в пределах выбранных видов провести
максимально полное рассмотрение.

Целесообразно
выявлять не только сами угрозы, но и
источники
их возникновения
— это поможет в выборе дополнительных
средств защиты. После идентификации
угрозы необходимо оценить
вероятность ее осуществления.

Оценивая
вероятность осуществления угроз,
целесообразно исходить не только из
среднестатистических данных, но и исходя
из специфики
конкретных информационных систем.

На
этом этапе большую помощь может оказать
разработанная инфологическая структура
объекта.

Для
небольшой организации рассматривается
вся информационная структура с позиций
выявления потенциально уязвимых мест.
Однако, если организации крупная,
всеобъемлющая оценка может потребовать
неприемлемых затрат времени и сил. В
таком случае следует сосредоточиться
на наиболее важных сервисах, заранее
соглашаясь с приближенностью итоговой
оценки.

Уязвимым
является каждый компонент информационной
системы. Но в сферу анализа невозможно
включить каждый байт. Приходится
останавливаться на некотором уровне
детализации, отдавая себе отчет в
приближенности оценки. Для новых систем
предпочтителен детальный анализ. Старая
система, подвергшаяся небольшим
модификациям, может быть проанализирована
только с точки зрения оценки влияния
новых элементов на безопасность всей
системы.

Для
определения объектов защиты удобно
рассматривать АС как четырехуровневую
систему:

1. Внешний
   уровень
   определяет взаимодействие подсистемы
   АСУ с другими подсистемами. Функционально
   этот уровень характеризуется, с одной
   стороны, информационными (главным
   образом, сетевыми) сервисами,
   предоставляемыми данной подсистемой,
   с другой стороны — аналогичными сервисами,
   запрашиваемыми другими подсистемами.
   На этом уровне должны отсекаться как
   попытки внешнего несанкционированного
   доступа к ресурсам подсистемы, так и
   попытки личного состава, обслуживающего
   СВТ сегментов ВС АСУ, несанкционированно
   переслать информацию в каналы связи.

2. Сетевой
   уровень
   связан с доступом к информационным
   ресурсам внутри локальных сетей
   подсистем. Безопасность информации на
   этом уровне обеспечивается средствами
   проверки подлинности пользователей и
   разграничением доступа к ресурсам
   локальной сети (идентификация,
   аутентификация и авторизация).

3. Системный
   уровень
   связан с управлением доступом к ресурсам
   ОС. На этом уровне происходит
   непосредственное взаимодействие с
   операторами АРМов, задается либо
   изменяется конфигурация сегментов ВС
   АСУ. Защите системных ресурсов должно
   уделяться особое внимание, поскольку
   НСД к ним может сделать бессмысленными
   прочие меры безопасности.

4. Уровень
   приложений связан
   с использованием прикладных ресурсов
   ВС. Поскольку именно приложения на
   содержательном уровне работают с
   данными, для них нужны собственные
   механизмы обеспечения информационной
   безопасности. Средства защиты, встроенные
   в ОС, занимают особое место.

Связь
уровней безопасности ВС и уровней модели
OSI показана в таблице.

На каждом уровне
определяются уязвимые элементы.

Введение. 

Угроза безопасности информации – совокупность условий и факторов, создающих потенциальную или реально существующую опасность нарушения безопасности информации (нарушению конфиденциальности, целостности, доступности, неотказуемости, подотчетности, аутентичности и достоверности информации и (или) средств ее обработки) и (или) к нарушению, прекращению функционирования систем и сетей. Для реализации угроз, т.е. проведения атак нарушитель разрабатывает сценарий и как правило не один с целью получения несанкционированного доступа к информационным ресурсам. Задача специалистов по защите информации защитить информационные ресурсы.

Основная часть. 

В соответствии с рекомендациями регулятора, по решению владельца информации или оператора разрабатывается модель угроз безопасности информации, которая должна обеспечивать следующие этапы моделирование угроз [1]:

• определение объектов воздействия;
• определение негативных последствий;
• определение источников угроз безопасности информации (модель нарушителя);
• определение способа реализации угроз;
• определения сценариев реализации угрозы (тактики, техники и процедуры, применяемые нарушителем).

Автор приходит к выводу, что существующий процесс определения угроз безопасности информации не охватывает, все объекты защиты и сегменты в логических и физических границах информационной системы, в которых возможно присутствие уязвимостей.

При разработке модели угроз безопасности в качестве исходных данных для определения возможных актуальных нарушителей используются:

• описания векторов компьютерных атак, содержащихся в базах данных CAPEC, ATT&CK, OWASP, STIX, WASC. Два продукта компании MITRE: CVE (Common Vulnerabilities and Exposures – база данных общих известных уязвимостей информационной безопасности) и матрицы ATT&CK (Adversarial Tactics, Techniques, and Common Knowledge – «тактики, техники и общеизвестные факты о нарушителях») – основанные на многолетних реальных наблюдениях база знаний компании MITRE [2], далее матрица – ATT;
• общий перечень угроз безопасности информации, содержащийся в банке данных угроз и моделей угроз безопасности информации Федеральная служба по техническому и экспортному контролю (ФСТЭК) России (bdu.fstec.ru) [1], далее матрица – ФСТЭК;
• отраслевые (ведомственные, корпоративные) модели угроз безопасности информации;
• нормативные правовые акты Российской Федерации, в соответствии с которыми создается и функционирует система или сеть, содержащие описание назначения, задач (функций) систем и сетей, состав обрабатываемой информации и ее правовой режим.

Несколько ключевых понятий, используемых далее. Фреймворк ATT&CK – это структурированная база знаний и модель поведения нарушителей, которая отражает не только разные этапы проведения атак, но методы их проведения. Тактика нарушителя информационной безопасности – локальная цель или задача нарушителя на определенном этапе его операции по нанесению ущерба за счет воздействия на целостность, доступность и конфиденциальность информации. Техники нарушителя – программные, аппаратные технологии, инструментарий, код, эксплоиты, используемые при атаках нарушителем для достижения им поставленной цели. Процедура – методика применения техник нарушителем. Техники и процедуры – способы реализации тактики. Сценарий реализации угроз нарушителем – совокупность всех доступных ему тактик, техник и процедур для воздействия на информационные ресурсы.

Специалисты по защите информации для создания активной защиты от атак нарушителей в качестве исходных данных используют: требования регуляторов, политики информационной безопасности предприятий, а также MITRE Shield – активная база знаний о защите информации и ее развитие до MITRE Engage [2], которая акцентирует внимание на стратегическом планировании операций в областях отрицания, обмана и взаимодействия с нарушителем, далее матрица – En.

Сценарии действий нарушителя и основные риски от их реализации должны быть глубоко исследованы специалистами по защите информации с целью принятия адекватных мер по защите информации. Для исследования сценариев угроз нарушителя автором предлагается разработать математическую модель сценария используя нечеткие когнитивные карты (НКК), которые позволяют формализовать численно неизмеримые факторы, использовать неполную, нечеткую и даже противоречивую информацию [3].

Чтобы построить математическую модель (ММ) на базе НКК, объект исследования (матрица – ATT, матрица – ФСТЭК и матрица – En) представить в виде знакового ориентированного графа. Ключевые факторы исследования техники — процедуры (в НКК- концепты) – это вершины графа. Дуги графа отображают причинные, следственные связи между вершинами.

ММ = {Cn , Eij, Snij , KWij},    (1)

где {Сn} — множество концептов (понятий), в данной статье – техник-процедур; {Eij} — множество причинно-следственных связей между техниками-процедурами; {Snij} — множество знаков связей; {KWij} – множество кортежей, состоящее из: {WAij} – множество весов связей, характеризующих атакующие воздействия нарушителя, вероятность реализации атаки с использованием i — техники; {WYAij} – множество весов связей, характеризующие ущерб от атаки нарушителя с использованием i-техники; {WPij} – множество весов связей, характеризующие вероятность отражения атаки i — средством защиты информации. Веса в этих множествах описываются нечеткой лингвистической переменной (очень сильно, сильно, средне, слабо и т. д.). Они определяются экспертами в соответствии с системой нечеткой логики [4], приведенной на рисунке 1.

Рис. 1. Система нечеткой логики

1. Фаззификация – соотнесение физической величины на входе с лингвистическими переменными и получением значений функций принадлежности (х).
2. Инференция – вычисление функций принадлежности для выходной величины по заданным логическим правилам.
3. Дефаззификация – получение физических значений выходной величины из лингвистических переменных.

Пример. Фаззификация.

μ (х)

                   (2)

Пример. Инференция.

Обработка данных в системах нечеткой логики осуществляется с помощью причинно-следственных пар «ЕСЛИ»-«ТО». Например, ЕСЛИ a=b, ТО y=x. При этом должны соблюдаться два условия:

• существует хотя бы одно правило для каждой лингвестической выходной переменной;
• для любого терма выходной переменной имеется хотя бы одно правило, в котором этот термин используется в качестве целевой части правил. В противном случае имеет место база нечетких правил.

В процессе дефаззификации вычисляется численное значение выходной величины из лингвистических переменных. Методов дефаззафикации много, в математической модели сценариев реализации угрозы информационной безопасности на данном этапе реализован метод средневзвешенного значения.

Значение выходной величины вычисляется как средневзвешенное значение произведения функций принадлежности на горизонтальные координаты пиков этих функций. Применим только для симметричных функций принадлежности.

.    (3)

Пример. Дефаззификация.

Множество техник — процедур {С_n} разделяется на подмножества:

{С_n} = {C_l^Т1, C₂^Т2 , …, C_s^Тr},     (4)

где {C_l^Т1}  Т1, {C₂^Т2}  Т2, …, {C_s^Тr}  Тr. T1, T2, …, Tr – тактики нарушителя.

В матрице – ФСТЭК представлено 10 тактик и суммарно 21 техника [1]. Например: первая тактика, Т1 нарушителя – сбор информации, в ней нарушитель для проведения разведывательных действий может использовать три техники. Первая техника – сбор информации из публичных источников. Вторая – направленное сканирование при помощи специализированного программного обеспечения. Третья – сбор информации о пользователях, которые допущены и работают с информацией.

В матрице – ATT больше тактик и техник. Она разделена несколько сводных матриц, ориентированных на разные предметные области, см. [2].

Может существовать несколько путей от техники C_i к технике C _j. Для некоторого

C_i  C_k1  ….  C_kn  C_j, — путь считается косвенным эффектом.

Используя Т – норму [3] для всех {WA_ikj}, составляющих кортежа {KW_ij} косвенный эффект определяется как минимум:

T (C_i  C_k1  ….  C_kn  C_j) = мин{ WA_ik1, WA_k1k2, …, WA_knj},    (5)

При существовании нескольких различных косвенных путей общий эффект рассчитывается с использованием S-нормы [3]

S (C_i  C_j) = макс {T₁, T₂, …, T_K},    (6)

где Тn – косвенный эффект между C_i и C_j, К – количество косвенных эффектов.

Автором разработан алгоритм математической модели. Математическая модель реализована на языке программирования Python с использованием фундаментального пакета для научных вычислений numpy, набора инструментов нечеткой логики skffuzzy и драйверов работы с СУБД SQL Server 2008.

Заключение. На фрагменте нечеткой когнитивной карты графа техника – процедура рисунок 2 приведен сценарий, который нарушитель может реализовать для воздействия на целостность, доступность и конфиденциальность информационного ресурса. В данном графе определяется цепочка с максимальным значением риска информационной безопасности, приведена на рисунке 3.

Рис. 2. Фрагмент нечеткой когнитивной карты графа сценария нарушителя

Рис. 3. Цепочка с максимальным значением риска

Выводы. Сценарий позволяет установить причинно-следственную связь, что атака может быть порождена концептом – ошибка при эксплуатации и воздействует на концепт-представление и получает доступ к концепту-таблица расходов и нарушает его целостность. Таким образом, причинной для нанесения организации ущерба может быть недостаточная профессиональная подготовка специалиста. Необходимо устранить ошибку и повысить профессиональные компетенции специалиста по защите информации.

Актуальность исследования

Разбор рисков информационной безопасности позволяет открыть критические факторы, оказывающие отрицательное влияние на бизнес-процессы предприятия, и принимать меры для их устранения или минимизация негативного воздействия. Особо важно знать на какой стадии развития находится информационная система организации, она обязана отвечать установленному комплексу требований к обеспечению информационной безопасности. Определение требования к обеспечению защиты, по определёнными областям системы. Так же возможно использования имеющихся систем обеспечивающие должную информационную безопасности на должном уровне и отвечающая запросам организации.

Цель исследования

Цель проведения оценки риска состоит в том, чтобы определить риск утечки информации из корпоративной сети предприятия. Процесс оценки риска проводится в два этапа. На первом этапе определяют границы сети для анализа и детальному конфигурированию уровни опасности угрозы. На втором этапе проводится анализ риска. Анализ риска разделяется на идентификацию ценностей угроз и уязвимых мест, проведение оценки вероятности и измерения риска. Значения ресурсов, значимости уязвимостей и угроз, эффективности средств защиты определяются как количественными методами, к примеру, при определении стоимости характеристик, так и качественными учитывающие штатные или внешние воздействие среды.

Задача исследования

Комплексная система, обеспечивающая защиту ИС на предприятии, должна иметь в виду таковые цели как предупреждение кражи, утечки, потери, модифицирования. Фальсификации информации, отведение противоправных поступков по искоренению, видоизменению, искривлению, имитированию, снятию с блокировки информации, а также предупреждению прочих противопоказанных вторжений в информационные ресурсы и информационные системы.
Проведение анализа рисков для каждой организации индивидуален. Индивидуальность, один из основных параметров, которые оценивает размер ущерба. Ведь индивидуальность связана с информационными ресурсами и с оценкой важности, которая уникальна у каждого предприятия.
В процесс проведения анализа рисков входит определение того что необходимо защищать в первую очередь и какими методами, с учётом рассмотрения всех возможных рисков, сортировать их в зависимости от потенциального размера ущерба. Данный процесс состоит из множества экономических решений. [1, c.46]

Ниже будут представлены требования к специалисту, который производит оценку рисков на основе британского стандарта BS 7799:3 «Руководство по управлению рисками ИБ» и ISO/IEC 27005:2008 «Информационная технология»:
— Знание бизнеса и готовность принятия данный уровень риска в процессе.
— Знание концепции риска
— Способность проведения аналитический действий
— Понимание уязвимостей и угроз
— Коммуникабельность
— Знание типов контрольных механизмов ИБ
— Способность находить необходимые контактные лица

Из предложенного этого списка, умение оперировать уязвимостями и угрозами не занимает первое место и не является основным навыком.
Проведение анализа рисков в сфере ИБ может быть количественным и качественным. Количественный анализ более точнее, что позволяет получить точные значения рисков, но проведение такого анализа занимает большее количество времени, что не оправдано. Уровень качественного анализа отличается в разных методам оценка, но всё сводится к тому, чтобы выявить самые серьёзные угрозы. [2, c.35]

Самым трудными аспектом, который влияет на увеличение стоимости работ по анализу рисков, оказывается необходимость знание бизнеса. К сожалению, подразделения ИТ и безопасности, находящихся внутри организации, не всегда обладают достаточными знаниями. Очень важно определить, как будут выполняться работы по оценке рисков силами сотрудников организации или специалистами.

В задачи сотрудников отдела ИБ входят обязанности оповещения руководящих лиц организации о имеющихся и потенциальных угрозах. Отчёты должны сопровождаться аналитическими выкладками, показателями, фактами. Это самый эффективный метод довести информацию до глав предприятия.
Анализ рисков состоит в том, чтобы определить имеющиеся риски и оценить из величины.
Процесс анализа предусматривает решение следующих задач:
1. Определение основных ресурсов ИС.
2. Определение Важности различных ресурсов для организации
3. Идентификация имеющихся угроз и уязвимостей безопасности, возможные осуществления угроз.
4. Расчёт рисков, связанных с реализацией угроз безопасности.

Средства ИС выделяются на следующие категории:
• Ресурсы ИС
• Программное обеспечение
• Техническое обеспечение (сетевое оборудование, сервера, дата центр, рабочие компьютеры и.т.п)
• Человеко-ресурсы

В выше перечисленных категориях ресурсы так же делятся на классы и подклассы.
Необходимость, а также стоимость ресурса определяется на основе величины ущерба, наносимого в случае нарушения конфиденциальности, целостности или доступности ресурса. К примеру, обычно рассматриваются следующие разновидности ущерба:
• Информация была раскрыта, удалена, модифицирована или стала недоступной для использования
• Оборудование была подвергнута к разрушению или техническому повреждению
• Нарушение работоспособности программного обеспечения
Так же ущерб может быть нанесён в результате целенаправленных хакерских атак или следующих видов угроз безопасности ИС:
• ситуации стихийного бедствия (наводнение или затопление оборудование, землетрясение и.т.п)
• Удалённые или локальные атаки на ресурсы ИС
• Умышленные действия или совершение ошибок в процессе работы персонала организации.
• Сбои работы в системе, вызванные неправильной работы программного обеспечения или неисправности оборудования
Величина риска определяется на основе стоимости ресурса, вероятность угрозы и величина уязвимости определяется по формуле:
Стоимость ресурса * Вероятность угрозы = Величина уязвимости

Основная цель управления рисками состоит в выборе обоснованного комплекса мер, позволяющих снизить уровень рисков нанесения угрозы до минимального уровня. Затраты на реализацию должна не должна превышать величину возможного ущерба. Отличию между величиной возможного ущерба и реализации контрмер должна быть противоположной вероятности причинения ущерба. [3, c.195]

Метод на основании анализа информационных рисков организации наиболее значимые для обеспечения безопасности ИС, это значит, что эффективно управлять ИБ организации позволяет только после проведения анализа риска. Для начала проведения работ по анализу риска нужно определить, что именно следует защитить на предприятии, какие области ИС подвержены высокому риску несанкционированной атаке. Анализ риска проводится, основываясь на непосредственные цели и задачи по защите определённого вида конфиденциальной информации. Самая из важнейших задач в рамках обеспечения защиты информации является обеспечение её доступности и целостности. Но не стоит забывать, что нарушение целостности может произойти и от непреднамеренных действий пользователей системы, но и по ряду других причин:
• Технический сбой, ведущий к потере или искажению информации
• Физическое воздействие (наводнение, землетрясение и других стихийных бедствий)
• Ошибки программных продуктов
При проведении анализа риска разрабатываются:
• Общий план или стратегия проведений операций против нарушителей.
• Предположительные способы проводимых атак комплексную систему защиты и обработки информации
• План осуществления противоправных действий против хакерских атак
• Технические характеристики каналов связи утечки информации.
• Тип нарушения
• Способы оценки ИБ
Для того что бы разработать надёжную комплексную систему защиты информации предприятия необходимо:
• Определить все возможные угрозы защиты, которые могут привести несанкционированной атаке
• Дать оценку последствий проявлений угроз
• Разработать необходимые методы и средства защиты учитывая нормативные требования нормативных документов.
• Экономическая целесообразность, бесконфликтность, совместимость с используемым ПО.
• Оценка эффективности выбранного метода и средств защиты
Анализ риска проводится строго следующей методике, по сценарию которая изображена на рисунке 1.

На данном изображении представлены 6 этапов проведения анализа рисков. При выполнении первого и второго этапа определяются сведения, в которые разрабатываются для организации коммерческую тайну и которые следует защищать.
На третьем этап анализа риска производится построение каналов доступа, воздействия или каналов утечки на ресурсы ИС. Каждый канал связи имеются уязвимости и требуют применения средств недопущения несанкционированного доступа к информации.
Четвертый этап — это разработка методов защиты всех уязвимых точек доступа, любая имеющаяся уязвимость может неблагоприятно сказаться на защищённость системы.
Пятый этап – на основе всех известных и имеющихся данных, методов, средств, определяются вероятности осуществлении угроз на все имеющиеся уязвимых точек атак.
Заключительным шестым этапом проводится оценка нанесённого ущерба предприятия в ходе реализации атак, который с оценками уязвимости позволяет получить сгруппированный список угроз ИС. Конечным выводом выполненной работы отображаются в виде, приятного для восприятия и выработки решений. Но при этом каждый ресурс ИС может быть подвержен негативному воздействия нежелательных атак.
На основе имеющихся фактов выясняется, что проблемы в IT-безопасности предприятия бывают не только технические, но и управленческие. Большую часть рисков можно сократить управленческими решениями, рассматривая риски в качестве операционных, а другие риски можно минимизировать программным обеспечением или техническими средствами. Мало известно, но что, как и когда необходимо реализовать все запланированные мероприятия точно в срок.
В большинстве организациях КСЗИ разрабатываются по принципу «заблокировать доступ», что сказывается на неудобстве в работе пользователей, наиболее важное это может послужить причиной медлительного развития организации, так как корпоративные знания не доступны или имеют ограничения. Большое количество запретительных мероприятий порождает способы обмена информацией в обход защищённых каналов, что сводит все усилия по защите информации к нулю, тем самым бизнес процессы компании перестраиваются в обход всех запретительных мер.
Дальнейшее проведения цикла анализа рисков даёт возможность определить необходимые эффективные мероприятия для минимизации и предотвращении рисков, а какие нет. На основе проведённого анализа эффективности корректируется понимание риска, оценка и необходимых действий. Анализ эффективности предоставит возможность увидеть минимизированные параметры уязвимости и общий ущерб всех рисков, что усилит режим безопасности IT организации. Проведение оценки эффективности КСЗИ является системным процессом получения объективной оценки данных о текущем состоянии системы. На данном этапе мониторинг проводится заранее установленных мероприятий, направленных на уменьшение совокупности убытка или частоты появления рисков. Эффективность мероприятий по защите необходимо оценивать на этапе разработки, для получения оптимальных показателей работы комплексной системы в целом. [4, c.98]
Эффективность механизма защиты оценивается на этапе разработки и в процессе эксплуатации системы защиты. При оценке механизма защиты, в зависимости от применяемых способов и показателей получения, выделяют три подхода:
-официальный
-экспериментальный
-классический
Классический подход к оценке эффективности подразумевает использование критериев эффективности, получаемых из показателей эффективности. Показатели эффективности получают путём моделирования и рассчитываются по характеристикам действующей автоматизированной системы. Данный подход используется при создании или модификации КСЗИ. В силу ряда причин, возможности классических методов оценивания эффективности весьма ограничены. Большое количество вероятных неопределённых исходных данных, сложность формализации процессов, отсутствие общепринятых методов вычисления показателей эффективности и определение критериев оптимальности образуют значительную трудность для использования стандартных методов оценки эффективности.
Особую значимость имеет подход к эффективности, который условно может считаться официальным. Стратегия безопасности ИТ проводится государством и должна основываться на нормативные акты.
Под понятием экспериментального подхода проведения анализа понимается организация процесса определения эффективности КСЗИ методом преодоления защитных элементов системы разработчиками системы, выступающие в роли злоумышленников. Подобные исследования проводится дальнейшим способом. Для проведения такого исследования в качестве злоумышленника выбирается один или более специалистов в сфере ИТ-безопасности с высшей степени квалификации. Прорабатывается стратегия проведения эксперимента, определяются этапы и материально-техническое обеспечение по обнаружению уязвимых звеньев в системе защиты. При этом имитируются действия схожие со злоумышленником: от неопытного злоумышленника, не имеющего официального доступа к автоматизированной системы, до высококвалифицированного сотрудника отдела ИТ-безопасности.
Идеальные значения оценки эффективности защиты имеет выбор базы с целью сравнения или определения степени эффективности, принимаемые за нормативный. Так же можно выбрать несколько подходов, которые могут дифференцированно использоваться к определённым случаям. Один из случаем приводится к сравнению с показателями, определяющими эффективность эталонного образца защиты системы.
Эталонный образец может быть спроектирован и разработан с применением известных методов и средств проектирования систем защиты, опираясь на современные методы и технологии других организаций.
Но также могут возникнуть определённые трудности использования указанных подходов, которые необходимо обеспечивать сопоставимо со сравниваемыми вариантами. По этой причине вместо них используется экспертная оценка комплексного уровня анализируемой и разрабатываемой системы, а также отдельных субъектов и принимаемых проектных решений, или комплексная оценка системы обеспечения защиты, основывающаяся на применении количественно-качественного подхода, позволяющий оценивать механизм защиты по большей совокупности обстоятельств. Так же экспертная оценка является составным элементом комплексной оценки эффективности механизма защиты системы, использующая все подходы к отдельным субъектам подсистемы, так и всей системы в целом. [5, c.60]
Эффективности системы защиты информации оценивается при помощи показателей эффективности, иногда именуемый термином – показатель качества.
Значения качества характеризуют степень совершенства какого-либо товара. Оборудования, машины. В отношении совокупности использование человеко-машинных систем желательнее использовать термин показатель эффективности функционирования, представляющий из себя уровень соответствия системы защиту необходимым требованьям.
Термин показателя эффективности можно охарактеризовать двумя научными методами:
• Эксперимент (испытание)
• Математическое моделирование (именуемым как вычислительными экспериментом).
По отношению к механизмам защиты информации показатели значимости (восходящие: снизу-вверх) разделяются на:
• Системные
• Надсисистемные (ценностные)
• Технические
• Информационные (датчики)
Технически, применительно к защите от утечки, это выглядит примерно таким образом: сигнал/шум – риск обнаружения – источника информации – вероятность обнаружения – источника информации – вероятность его вскрытия – ущерб утечки информации, при этом все показатели между собой связаны.
Для проведения оценки эффективности комплексной системы защиты информации или сравнения системы по их показателям эффективности, необходимо указать предпочтения. Данное правило или соотношение основывается на использовании показателей эффективности. Для получения характеристики эффективности с использование K-показателей используют ряд методов. При синтезе системы может возникнуть проблема при решении ряд задач с показателями.
Подход к проведению оценки эффективности комплексной системы защиты информации
Определение эффективности комплексных систем защиты информации относится к задачам оценки множеств характеристик, данную сложную системы невозможно в полной мере и достаточно правильно охарактеризовать с помощью единичного показателя. Поэтому использование при оценке эффективности комплексной системы защиты множество показателей будет характеризовать эффективность более подробно. К этим недостаткам относятся те оценки имеющие следующие характеристики методик:
1) Конечный результат данных будут изображены в виде шкалы оценок предполагаемых угроз и последствий. Данная методика отображает приблизительные значения показателей, основывающиеся на анализе статистики нарушений на экспертных оценках. Что бы определить значения необходим большой набрать большой объём статического материала, то есть оценка не может быть применена для оценки эффективности и выбора методов защиты информации.
2) Ri10(Si*V-4), S показатель частоты проявления угрозы выбирается из интервала от 0 до 7, значение равное 0 случай когда угроза не возникает, значение 7 когда угроза возникает раз в год, V – показатель объёма ущерба который назначается от значения S и принимает от 1 до 1 миллиона долл. В связи с тем, что оценка очень приближена с действительной, необходимо сконденсировать значительный объём статистического материала, значение не может быть использовано для оценки эффективности и выбранных мер, методов защиты информации.

Параметр Wi обозначает субъективный коэффициент необходимости j характеристики защиты информации, n – количественное значение характеристик, Gi – обозначенная экспертным путём значения каждой характеристики. Для получения приблизительной оценки эффективности необходимо использовать выражение, которое может быть использовано при отсутствии необходимых исходных данных для наиболее точной оценки.
С использованием счётного количества показателей WiGi(Wi), i1, n, значение n – это количество показателей, с помощью которого оценка эффективности будет проводится полная оценка с учётом правильности выбора характеристик и количества выбранных показателей.
Проводя оценку эффективности, в которой показатель эффективности выражается в неточных значениях защиты ИС, в виде условных обозначений, именуемых как:
• Абсолютная незащищённая или защищённая
• Защищённая
• Недостаточная или достаточная защищённость
• Защищённость
С определением таких обозначений формируется необходимая и достаточная картина защищённости от несанкционированного доступа как в качественной, так и в количественной оценке, что является положительным свойством, имеющим превосходство над всеми известными методиками.
При таком подходе, принадлежность уровня безопасности будут определятся в [0,1] значений, и показатели надёжность будут функцией принадлежности μA(xi), где xi – элемент множества, X – требование безопасности, а A – множество значений, определение выполнения требований безопасности выполняется по следующей формуле:

Пара является «функцией принадлежности / элемента», то возможно произвести оценку эффективности, по точно определённым характеристикам ИБ следующим образом:
Допустим массив X= {1,2,3,4,5} в котором заданы набор требований защиты системы, то неточное множество оценки безопасности системы, имеющие определённые характеристики будут:
А = (0,2/1) + (0,4/2) + (0,6/3) + (0,8/4) + (1/5)
Это необходимо определить следующим образом, что система, имеющая в совокупности набор выполненных требований:
• 1 – абсолютной незащищённой
• 2 – недостаточно защищённая
• 3 – защищённая с имеющимся набором выполненных требований
• 4 – достаточно защищённая система
• 5 – абсолютная защищённая система
Причем «5» набор является «абсолютной защищённой» системой к ней причисляются и другие. Другие различные состояния безопасности выделяют в виде подмножеств неопределённого подмножества А. Риск взлома оцениваемой системы, может соответствовать конкретному числу неопределённого множества, конкретно:
X= {1, 2, 3, 4, 5}; А = (0,2/1) + (0,4/2) + (0,6/3) + (0,8/4) + (1/5);
Card A = |A|=3, т.е вероятность взлома будет 3k, значение k – значение соответствия.
Каждый из выше перечисленных терминов имеют определённые значения в диапазоне от 0 до T, где T – максимальное количество требований в комплексной системе защиты информации, набор требований может быть в диапазоне от 0 до 20, набор «1» будет множеством выполненных требований.
Несомненно, что при данном подходе при оценке эффективности АС защиты от несанкционированного доступа необходимы данные о требованиях защищённости и данные о выполнении требований защиты. Выше описанная технология даёт возможность её использования при проведении оценки эффективности системы защиты с использованием нейросетевых программных обеспечений.
С использованием данных технологий совместно с программно-аппаратным комплексом системы защиты информации можно достичь:
• Мониторинг состояния АС ИБ;
• Прогнозирование возможных или осуществляемых атак, путём имитации угроз;
• Предотвращение или затруднение (создание помех, преград) реализации угроз;
Комплекс системы защиты может так же обладать возможностью перевода режима ИБ к наиболее высокому уровню эффективности.
Вывод.
Предложенная методика разработки политики информационной безопасности современного предприятия позволяет полностью проанализировать и документально оформить требования, связанные с обеспечением информационной безопасности, избежать расходы на дополнительные меры безопасности, возможные при субъективной оценке рисков, оказать помощь в планировании и реализации защиты на всех стадиях жизненного цикла информационных систем, представить обоснование для выбора мер противодействия, оценить эффективность контрмер, сравнить различные варианты контрмер.

Библиографический список

1. Баранова Е.К., Мальцева Л.Н. Анализ рисков информационной безопасности для малого и среднего бизнеса // Директор по безопасности. — 2015. — № 9. — С. 58—63.
2. Баранова Е.К. Методики анализа и оценки рисков информационной безопасности // Вестник Московского университета им. С.Ю. Витте. Серия 3: Образовательные ресурсы и технологии. – 2015. – № 1(9). – С. 73-79.
3. Баранова Е.К., Бабаш Л. В. Информационная безопасность и защита информации: Учеб, пособие. — 3-е изд., перераб. и доп. — М.: РИОР: ИНФРА-М, 2016. — 322 с. — (Высшее образование). — http://www.dx.doi.org/10.12737/1 1380
4. Сабанов А.Г. Многоуровневый анализ угроз безопасности процессов аутентификации //Вопросы защиты информации. – 2014. – № 1(104).
5. Баранова Е.К., Забродоцкий А.С. Процедура применения методологии анализа рисков OCTAVE в соответствии со стандартами серии ИСО/МЭК 27000-27005 // Вестник Московского университета им. С.Ю. Витте. Серия 3: Образовательные ресурсы и технологии. – 2015. – № 3(11). – С. 73-77.

Количество просмотров публикации: Please wait

Все статьи автора «WireMan»