Рисунок 4. BSS — инструмент для проведения базового анализа рисков.
Применение каких-либо инструментальных средств не является обязательным, однако оно позволяет уменьшить трудоемкость проведения анализа рисков и выбора контрмер. В настоящее время на рынке есть около десятка программных продуктов для анализа и управления рисками базового уровня безопасности. Демо-версии некоторых продуктов доступны по Интернет.
Примером является BSS (Baseline Security Survey), Рис. 4 . Демо-версия (без библиотеки контрмер) на момент написания статьи была доступна по адресу: ftp://ftp.rmcs.CRANFIELD.AC.UK/pub/department/ess/bss .
При выполнении полного анализа рисков приходится решать ряд сложных проблем:
Для решения этих проблем существуют специально разработанные инструментальные средства, построенные с использованием структурных методов системного анализа и проектирования (SSADM — Structured Systems Analysis and Design), которые обеспечивают:
В настоящее время на рынке присутствует несколько программных продуктов этого класса. Наиболее популярный из них, CRAMM [19] [20] , рассмотрен ниже.
В 1985 году Центральное Агентство по Компьютерам и Телекоммуникациям (CCTA) Великобритании начало исследования существующих методов анализа ИБ для того, чтобы рекомендовать методы, пригодные для использования в правительственных учреждениях, занятых обработкой несекретной, но критичной информации. Ни один из рассмотренных методов не подошел. Поэтому был разработан новый метод, соответствующий требованиям CCTA. Он получил название CRAMM — Метод CCTA Анализа и Контроля Рисков. Затем появилось несколько версий метода, ориентированных на требования министерства обороны, гражданских государственных учреждений, финансовых структур, частных организаций. Одна из версий, "коммерческий профиль", является коммерческим продуктом.
Целью разработки метода являлось создание формализованной процедуры, позволяющей:
В настоящее время CRAMM является, судя по числу ссылок в Интернет, самым распространенным методом анализа и контроля рисков.
Анализ рисков включает в себя идентификацию и вычисление уровней (мер) рисков на основе оценок, присвоенных ресурсам, угрозам и уязвимостям ресурсов.
Контроль рисков состоит в идентификации и выборе контрмер, позволяющих снизить риски до приемлемого уровня.
Формальный метод, основанный на этой концепции, должен позволить убедиться, что защита охватывает всю систему и существует уверенность в том, что:
Исследование ИБ системы с помощью СRAMM проводится в три стадии.
Стадия 1: анализируется все, что касается идентификации и определения ценности ресурсов системы. В конце стадии 1 заказчик исследования будет знать, достаточно ли ему существующей традиционной практики или он нуждается в проведении полного анализа безопасности.
Стадия 2: рассматривается все, что относится к идентификации и оценке уровней угроз для групп ресурсов и их уязвимостей. В конце стадии 2 заказчик получает идентифицированные и оцененные уровни рисков для своей системы.
Стадия 3: поиск адекватных контрмер. По существу это поиск варианта системы безопасности, наилучшим образом удовлетворяющей требованиям заказчика. В конце стадии 3 он будет знать, как следует модифицировать систему в терминах мер уклонения от риска, а также выбора и проработки специальных мер противодействия, ведущих к снижению или минимизации оставшихся рисков.
Каждая стадия объявляется законченной после детального обсуждения и согласования результатов с заказчиком.
Для иллюстрации использования метода рассмотрим Рис. 5 — информационную систему поддержки принятия решений аварийно-спасательной службы. Система состоит из следующих элементов:
Функционирование системы осуществляется следующим образом. Информация, введенная с рабочих мест и поступившая на почтовый сервер, направляется на сервер обработки. Затем она поступает на рабочие места группы оперативного реагирования, которая принимает решения.
Требуется провести анализ рисков системы и предложить контрмеры для обеспечения должного уровня ИБ.
Основные шаги:
Стадия 1 начинается с решения задачи определения границ исследуемой системы. Для этого собирается следующая информация:
Первичная информация собирается в процессе бесед с менеджерами проектов, менеджером пользователей или другими сотрудниками.
Проводится идентификация ресурсов: физических (для рассмотренного примера — Рис. 6 , программных и информационных, содержащихся внутри границ системы. Каждый ресурс необходимо отнести к одному из предопределенных классов. В версии 3 метода используется 15 классов физических ресурсов, 5 классов программных ресурсов и один класс для данных. Классификация физических ресурсов дана в Прил. IV .
Затем строится модель информационной системы с точки зрения ИБ. Для каждого информационного процесса, имеющего самостоятельное значение с точки зрения пользователя и называемого пользовательским сервисом (End-User-Service), строится дерево связей используемых ресурсов. В рассматриваемом примере будет единственный подобный сервис, см. Рис. 7 . Построенная модель позволяет выделить критичные элементы.
Метод позволяет определить ценность ресурсов. Этот шаг является обязательным в полном варианте анализа рисков.
Ценность физических ресурсов в данном методе определяется ценой их восстановления в случае разрушения.
Ценность данных и программного обеспечения определяется в следующих ситуациях:
Для оценки возможного ущерба рекомендуется использовать некоторые из следующих критериев:
Приведенная совокупность критериев используется в коммерческом варианте метода. В других версиях совокупность будет иной. Так, в версии, используемой в правительственных учреждениях, добавляются параметры, отражающие такие области, как национальная безопасность и международные отношения.
Для данных и программного обеспечения выбираются применимые параметры, дается оценка ущерба по дискретной шкале со значениями от 1 до 10.
К примеру, если данные содержат подробности коммерческой конфиденциальной (критичной) инфрмации, эксперт, проводящий исследование, задает вопрос: как может повлиять на организацию несанкционированный доступ посторонних лиц к этой информации? Возможен такой ответ: провал сразу по нескольким параметрам из перечисленных выше, причем каждый аспект следовало бы рассмотреть подробнее и присвоить самую высокую из возможных оценок.
Затем разрабатываются шкалы для выбранной системы критериев. Они могут выглядеть следующим образом:
Ущерб репутации организации:
2 — негативная реакция отдельных чиновников, общественных деятелей.
4 — критика в средствах массовой информации, не имеющая широкого общественного резонанса;
6 — негативная реакция отдельных депутатов Думы, Совета Федерации;
8 — критика в средствах массовой информации, имеющая последствия в виде крупных скандалов, парламентских слушаний, широкомасштабных проверок и т.п.;
10 — негативная реакция на уровне Президента и Правительства.
Ущерб для здоровья персонала:
2 — минимальный ущерб (последствия не связаны с госпитализаций или длительным лечением);
4 — ущерб среднего размера (необходимо лечение для одного или нескольких сотрудников, но длительных отрицательных последствий нет);
6 — серьезные последствия (длительная госпитализация, инвалидность одного или нескольких сотрудников);
10 — гибель людей;
Финансовые потери, связанные с восстановлением ресурсов:
2 — менее $1000;
6 — от $1000 до $10 000;
8 — от $10 000 до $100 000;
10 — свыше $100 000.
Дезорганизация деятельности в связи с недоступностью данных:
2 — отсутствие доступа к информации до 15 минут;
4 — отсутствие доступа к информации до 1 часа;
6 — отсутствие доступа к информации до 3 часов;
8 — отсутствие доступа к информации от 12 часов;
10 — отсутствие доступа к информации более суток.
Далее рассматриваются основные сценарии, приводящие к различным негативным последствиям, описываемым в терминах выбранных параметров, см. Рис. 8 .
На стадии 1 может быть подготовлено несколько типов отчетов (границы системы, модель, определение ценности ресурсов).
Если ценности ресурсов низкие, можно использовать базовый вариант защиты. В таком случае исследователь может перейти от стадии 1 сразу к стадии 3. Однако для адекватного учета потенциального воздействия какой-либо угрозы, уязвимости или комбинации угроз и уязвимостей, которые имеют высокие уровни, следует использовать сокращенную версию стадии 2. Это позволит разработать более эффективную схему защиты.
На стадии 2:
Производится группировка ресурсов с точки зрения угроз и уязвимостей. Например, в случае существования угрозы пожара или кражи в качестве группы ресурсов разумно рассмотреть все ресурсы, находящиеся в одном месте (серверный зал, комната средств связи и т.д.).
Оценка уровней угроз и уязвимостей производится на основе исследования косвенных факторов. Программное обеспечение CRAMM для каждой группы ресурсов и каждого из 36 типов угроз ( Прил. V ) генерирует список вопросов, допускающих однозначный ответ (см. Рис. 9 ).
Уровень угроз оценивается, в зависимости от ответов, как (см. Рис. 10 ):
Уровень уязвимости оценивается, в зависимости от ответов, как:
Возможно проведение коррекции результатов или использование других методов оценки.
На основе этой информации рассчитываются уровни рисков в дискретной шкале с градациями от 1 до 7.
Полученные уровни угроз, уязвимостей и рисков анализируются и согласовываются с заказчиком. Только после этого можно переходить к третьей стадии метода.
На этой стадии CRAMM генерирует несколько вариантов мер противодействия, адекватных выявленным рискам и их уровням. Контрмеры разбиты на 61 группу, см. Прил. VI . Условно их можно объединить в 3 категории:
На этой стадии возможно провести сравнительный анализ эффективности различных вариантов защиты.
|
|
|
| Обеспечение повышенных требований к ИБ | Содержание | Заключение |
| Copyright ╘ 1993-2000, Jet Infosystems |
