2.3.5 Уязвимость информации, анализ и управление рисками при организации информационной безопасности.

Уязвимость безопасности - событие, возникающее под воздействием ряда факторов, при котором используемые средства обеспечения безопасности не могут оказать адекватного противодействия дестабилизирующим факторам.

В процессе развития теории и практики обеспечения безопасности сформировались три методологических подхода к оценке уязвимости безопасности: эмпирический, теоретический и теоретико-эмпирический.

Сущность эмпирического подхода заключается в том, что на основе длительного сбора и систематизации данных о реальных угрозах и размерах причиненного ущерба, эмпирическим путем устанавливается зависимость между потенциально-возможными ущербом и частотой вызвавшей его угрозы.

Одним из примеров такого подхода может быть эмпирическая зависимость ожидаемых потерь от угрозы:

Суммарная стоимость потерь при этом: Значения и выбираются из таблиц угроз и полученного от них ущерба.

Ясно, что такая модель весьма условна, попытки сделать модель более корректной, связаны со сложной аналитикой аппарата теории вероятностей и теории принятия решений.

Одним из возможных подходов к построению динамических моделей потенциальных угроз может быть использование распределения Пуассона. Но для такой цели необходимо собрать достаточное количество фактических данных о проявлениях угроз и их последствиях. По нашей стране общих данных, касающихся нарождающейся предпринимательской деятельности практически нет, тогда как за рубежом решению такой задачи уделяется большое внимание.

Другим возможным методом оценки угроз является аппарат теории игр, так как ожидаемое нарушение безопасности может быть представлено в терминах некоторой функции и если предоложить что - ценность для атакующих, a -суммарные затраты на обеспечение безопасности, то чистый выигрыш атакующих:

А потери:

Оптимальные стратегии обеих сторон:

Но здесь сложно определить экономический ущерб и тяжело даже приближённо построить функции .

В ряде случаев можно воспользоваться обобщающей моделью защиты - системой с полным перекрытием. Краеугольным камнем построения такой модели является предположение, что в механизме обеспечения безопасности содержится хотя бы одно средство для перекрытия любой возможности угрозы. Составляется полный перечень потенциально возможных угроз безопасности, т.е. возможных вариантов атак. Составляющие множества объединяются в двудольный граф с соблюдением условия: ребро существует только тогда, когда угроза является реальной для объекта . Для каждого ребра в графе определяется количественная мера рассматриваемой угрозы для атакуемого объекта, далее формируется множество средств защиты безопасности и определяется количественная мера возможности противодействия каждого средства защиты средства защиты каждой из угроз, если возможности защиты превышают уровень атаки, соответствующее ребро графа исключается.

Если такое, что устраняются все рёбра графа, то системы безопасности относится к системам с полным перекрытием.

Теоретико-эмпирические подходы к оценке уязвимости безопасности основаны на использовании аналитических моделей, позволяющих определить показатели уязвимости путём проведения вычислений по заранее установленным (вычисленным) значениям.

Использование аналитических моделей для определения показателей уязвимости сопряжено со значительными трудностями. Чаще всего используются статистические модели с представлением реальных процессов моделируемых объектов в виде совокупности взаимосвязанных вероятностных автоматов, каждый из которых имитирует работу соответствующего процесса, а направленность взаимодействия автоматов соответствует функционированию объекта. На базе вероятностно-автоматного моделирования можно построить унифицированную модель, позволяющую определить значение любого показателя уязвимости или любой их совокупности.

Для реализации концепции управления безопасности необходимо иметь средства и методы прогнозирования значения показателей уязвимости безопасности.

Прогнозирование показателей уязвимостей безопасности заключается в предсказании ожидаемых их значений на заданный период упреждения, необходимость такого прогнозирования возникает в процессах управления, планирования и оперативно-диспетчерского регулирования обеспечения безопасность.

А так как изменение значения показателей уязвимости при функционировании объектов происходит случайно, то задачи прогнозирования сводятся к задачам предсказания случайных процессов. В теории случайных процессов для тех целей подходят экстраполяции случайных функций, построение автокорреляционных функций, эволюционное моделирование и другие.

Прогнозирование случайных процессов является слабоструктурированной задачей: методы прогнозирования, приемлемые по сложности и трудоемкости, могут не обеспечить требуемую точность прогноза. Поэтому при использовании упрощенных методик прогнозирования предусматриваются процедуры корректировки алгоритмов с целью их непрерывного совершенствования.

Практически все модели строятся в предположении независимости случайных событий (атак),а для обеспечения их работы необходимы большие объемы исходных, получение которых сопряжено с большими трудностями.

При оценке уязвимости безопасности считается, что:

• моделями должны пользоваться квалифицированные специалисты, которые в каждой конкретной ситуация могли бы отобрать наиболее адекватно модель;

• модели преимущественно должны использоваться для оценки поведения показателей уязвимости в возможных диапазонах их изменений;

• для оценки адекватности моделей, исходных данных и рекомендаций нужно привлекать высококвалифицированных экспертов.

АНАЛИЗ И УПРАВЛЕНИЕ РИСКАМИ.

Вопросы анализа и управление рисками при обеспечении безопасности исследуются в разных странах достаточно давно, Общим является то, что при обеспечении безопасности исследуются два аспекта: формальный и практический. При формальном подходе рассматриваются и учитываются критерии, которым должны соответствовать защищаемые объекты и технологии. При практическом аспекте исследуют и реализуют конкретные комплексы мер безопасности применительно к рассматриваемым объектам и технологиям. Попытки стандартизации критериев, которым должна соответствовать защищенные объекты и технологии, насчитывают более 20 лет. Они, в основном, связываются с этапами анализа рисков, на которых определяются угрозы безопасности, и оценкой уязвимости элементов объектов и технологий с последующим уточнением требований к риску безопасности. Основными идеями поиска критериев является то, что правила обеспечения безопасности на всех этапах жизненного цикла безопасности должны носить комплексный характер и основываться на проверенных практикой приемах и методах. Система безопасности должна гарантировать некоторый минимальный уровень безопасности, обязательный для любого объекта и любой технологии. К настоящему времени выработана установка на обеспечение так называемого «базового уровня» безопасности, предполагающего упрощенный подход к анализу рисков, рассматривающего набор наиболее распространенных угроз безопасности без оценки их вероятностей. Здесь для нейтрализации угроз предлагается применять типовой набор контрмер. При этом вопросы эффективности защиты не должны рассматриваться. Подход рекомендуется в случае невысокой стоимости защищаемых объектов и технологий. Для более сложных случаев, где базового уровня может оказаться недостаточным, предлагается расширенная установка с изучением параметров, характеризующих уровень безопасности защищаемых объектов и технологий, получением количественных оценок угроз безопасности, уязвимостей, ценностей объектных и технологических ресурсов. В отличие от базового варианта предлагается в том или ином виде производить оценку ценностей ресурсов, характеристик рисков и уязвимостей. Анализ, как правило, предлагается осуществлять для нескольких вариантов зашиты. На рис. 1 представлено схематическое определение требований к режиму безопасности на основе существующих представлений.

Вне зависимости от вида организации, размеров и типов защищаемых объектов и технологий, работы по обеспечению режима безопасности в том или ином виде в соответствии с общими критериями должны включать следующие этапы.

Наиболее важными и сложными этапами при обеспечении режима безопасности считаются задачи оценки рисков, обоснования требований к методикам оценки рисков и управления рисками.

Пока нет согласованного научно-обоснованного подхода или общественного метода решения этих задач.

В условиях отсутствия согласия среди специалистов по анализу риска, понятной и приемлемой для пользователей может считаться то средство, которое оказывается адекватным задаче.

Под термином «управление риском» понимается процесс определения риска, применение мер и средств защиты для сокращения риска и определения после этого, приемлем ли остаточный риск.

В процессе определения риска проводится:

• оценка возможных потерь, связанных с использованием различных технологий и объектов защиты;

• анализ потенциальных угроз и уязвимых мест объектов технологий, которые влияют на оценки возможных потерь;

• выбор оптимальных по цене мер и средств защиты, которые сокращают риск до приемлемого уровня.

Управление риском преследует две цели:

• измерение риска (оценка риска) и выбор соответствующих мер и средств защиты, сокращающих риск до приемлемого уровня (уменьшение риска);

• стратегии управления рисками разных классов сводятся к уменьшению риска, отклонению от риска, изменению характера риска и принятию риска.

Многие риски удается существенно уменьшить путем использования весьма простых и дешевых контрмер. От некоторых классов рисков можно уклониться. При невозможности уклонения от риска или его эффективного уменьшения возможны некоторые виды перестраховки. Но многие риски не могут быть уменьшены до пренебрежительно малых величин. Поэтому необходимо знать остаточную величину риска.

На основе учета принимаемых во внимание рисков создается стратегия и методология управления.

Если методологии сложны при использовании, требуют очень точных исходных данных, или результаты окажутся слишком сложными для того, чтобы сделать вывод, каким является реальный риск, то эти методы не будут полезны и не смогут способствовать созданию эффективной защиты.

Если же методологии не позволят добиться приемлемой точности лри определении значений таких переменных как потери, вероятности и стоимости, полученные результаты могут оказаться слишком простыми и не будут отражать истинного риска объектов и используемых технологий.

Вообще-то говоря, устроил бы такой подход к оценке риска, который бы обеспечивал применение методики понятной, легко используемой и приводящий к результатам, которые могут эффективно обеспечивать безопасность,

На сегодня известно много методов вычисления риска. Они зависят от значений потерь и вероятностей. Способы интерпретации значений риска в них недостаточно прозрачны и не всегда понятны пользователям.

В этих условиях наиболее приемлемым может быть широко распространенный подход, состоящий в разработке базовых наборов средств и мер защиты, необходимых для заранее определенных «стандартных» (типовых) уровней риска. Подход позволяет определить уровень риска для определенных ценностей используемых объектов и технологий, следовать рекомендациям в отношении полученного уровня риска и внедрять методы защиты, которые принято считать адекватными.

Подход полезен из-за реализации согласованной защиты для конкретных типов ценностей.

Выгода подхода не только в обеспечении методологией анализа риска, но также информацией, позволяющей понимать политику безопасности, основанную на базовых наборах средств и мер защиты.

В рамках этого подхода исследуются проблемы, решаемые при оценке безопасности;

Ценности - что должно быть защищено.

Угроза - от чего надо защищать ценности и какова вероятность реализации угроз.

Воздействия - каковы будут непосредственные разрушения (последствия реализации угроз).

Последствия - какие будут долгосрочные результаты угрозы (например: ущерб репутации, бизнесу и т.п).

Меры защиты - какие эффективные меры требуются для защиты ценностей.

Риск - после реализации мер защиты, приемлем ли риск?

Процесс оценки риска здесь проводится в два шага. На первом определяют границы анализа, требуемую детализацию описания объекта, технологии при оценке и методологию, которой следует придерживаться. На втором шаге проводится анализ риска. Анализ риска может быть разбит на идентификацию ценностей, угроз и уязвимых мест, оценку вероятностей и измерение риска.

Так как существуют взаимосвязи выделенных показателей, то целесообразно построение некоторой информационной модели безопасности, исследуя которую можно обоснованно выбрать систему контрмер, снижающих риски до допустимых уровней и обладающих наибольшей ценовой эффективностью. Частью контрмер должны быть рекомендации по проведению регулярных проверок эффективности системы защиты.

Основная цель построения таких моделей в нахождении эффективных методов защиты, чтобы сделать остаточный риск приемлемым.

Минимизация риска может состоять из:

• Определения областей, где риск является недопустимо большим;

• Выбора наиболее эффективных средств защиты;

• Оценивания мер защиты и определения, приемлемый ли остаточный риск.

Процесс управления и оценки риска сводиться тогда к:

• Определению степени детализации, границ анализ и методологии;

• Идентификации и оценке ценностей;

• Идентификации угроз и определению вероятностей;

• Измерению риска;

• Уменьшению риска;

• Выбору соответствующих средств защиты;

• Внедрению и испытанию средств защиты;

• Проверке остаточного риска.

Определение степени детализации, границ анализ и методологии.

Определяется направление, в котором будут прилагаться усилия при управлении риском. Выделяется, что из объекта, технологий (границы) и с какой детальностью (степенью детализации) будет рассматриваться в процессе управление рисками. Факторами, которые определяют положения границы при анализе могут быть границами владения объекта/технологии или управления ими. Также выбирается степень детализации описания объекта/технологии при управлении риском. Степень детализации представляется сложной логической моделью всего объекта/технологии или его части, отражающей в рамках заданной границы глубину процесса управления риском.

Идентификация и оценка ценностей.

В ходе оценки ценностей выявляются и назначаются стоимости объекта. Определение и оценка стоимости позволяет первоначально разделить области не те, которые могут быть опущены, и на те, которые должны рассматриваться как высокоприоритетные.

Для идентификации и оценки ценностей могут использоваться различные методы. Обычно в методологии риска, выбранной для анализа, содержатся и рекомендации по выявлению и оценке ценностей. В общем случае ценности могут быть оценены на основании воздействий и последствий для объекта/технологии. Оценка может включать не только стоимость замены ценностей, но и последствия для раскрытия, искажения, разрушения или прочие ценности.

В методологиях оценки риска рекомендуется вид представления стоимости ценностей. Чисто количественные методологии могут использовать долларовые или рублевые стоимости. В других методологиях рекомендуется оценку ценностей выражать качественными терминами. По ним стоимость ценностей может быть представлена в терминах потенциальных потерь, которые могут быть основаны на стоимости восстановления* потерях при непосредственном воздействии и последствий, ранжированных на высокие, средние и низкие потери. Назначение чисел этим уровням (З-высокие, 2-средние, 1-низкие) может помочь при измерении риска.

Идентификация угроз и определение вероятностей

Результатом процесса должно быть указание враждебных действий, которое могло бы повредить объекту, вероятности того» что эти действия могут произойти, и уязвимых мест объекта, которые могут использоваться для реализации враждебных действий.

Чтобы достичь результата надо выявлять угрозы и уязвимые места и определять вероятности того, что эти угрозы могут реализоваться.

Концептуальный анализ может указать на абстрактные угрозы и уязвимые места; более длительный анализ может связать угрозу с конкретной компонентой.

Новые угрозы и уязвимые места должны учитываться, когда они обнаруживаются. Любая ценность объекта/технологии, которая определена как достаточно важная, должна быть исследована, чтобы можно было выявить те угрозы, которые могут потенциально повредить ей. При более детальной оценке особое внимание уделяется уточнению путей, с помощью которых эти угрозы могли бы происходить.

Вероятность появления угрозы может быть нормализована как значение, изменяющееся от 1 до 3 (1- низкая вероятность, 2- умеренная и 3- высокая).

Существующие средства и меры защиты объекта/технологии анализируются на предмет обеспечения или в рассматриваемое время адекватной защиты. Если средство защиты не обеспечивает адекватной защиты, это может рассматриваться как уязвимое место. После того, как определенные угрозы и связанные с ними уязвимые места идентифицированы, с каждой парой угроза - уязвимое место связывается вероятность реализации угрозы. Измерение вероятности задается методологией оценки риска, значения вероятности для базовых технологий безопасности может выбираться и из справочника данных.

Измерение риска. Мера риска представляется как описание видов неблагоприятных действий, воздействию которых может подвергаться объект/технология и вероятность того, что эти действия смогут произойти. Результат должен показать степень риска, связанного с определенными ценностями.

Качественные подходы часто связаны с измерением риска в качественных терминах, заданных с помощью шкалы или ранжирования.

Одномерные подходы изучают только ограниченные компоненты, многомерные - дополнительные компоненты (такие как надежность, безопасность или производительность и т. п.).

Риск , связанный с угрозой рассматривается, как функция относительной вероятности того, что угроза может произойти и ожидаемых потерь, которые будут понесены при реализации угрозы :

При стоимости потерь в интервале от 1 до 3 и таких же вероятностей появления угроз, риск рассчитывается в интервале от 1 до 9 (значения риска 1 или 2- низкие, 3 или 4- умеренные, 6 или 9- высокие).

Уменьшение риска. Задача процесса сводится к выбору соответствующих мер и средств защиты.

Приемлемость риска с критериями приемлемости направляется на осознание приемлемости текущего уровня риска.

Взаимосвязь между приемлемостью риска и выбором средств защиты итеративна. При использовании отношений <угроза - уязвимое место - риск>, подобранных в предыдущих процессах, выбирают те механизмы, которые смогли бы потенциально сократить или устранить риск угрозы.

При определении меры риска важно связывать ее со стоимостью средств защиты, определяемой через сумму покупки и реализации каждого из механизмов.

Стоимость может быть нормализована по использованному выше принципу: 1- будет соответствовать механизму с низкой ценой, 2- с умеренной стоимостью и 3 - механизму с высокой стоимостью. После назначения меры (стоимости) для средства защиты ее можно сравнивать с другими мерами.

Для вычисления отношения <риск/стоимость> используют меру риска и финансовую меру, связанную с каждым отношение <угроза/механизм> рассчитывают отношение риска к стоимости.

Отношение меньше 1 указывает на то, что стоимость механизма больше, чем риск, связанный с угрозой.

Для принятия решения в такой ситуации необходимо проанализировать меры: потери и вероятностей при оценке риска.

Внедрение и тестирование средств защиты.

Цель процесса в гарантировании правильной реализации объекта/технологии.

На этом этапе важно убедиться, что средство защиты не только обеспечивает заданную безопасность, но и не вступает в конфликт с некоторыми другими средствами защиты или функциональными возможностями.

В результате испытаний должна быть получена гарантия в том, что средство нормально функционирует и не мешает нормальному функционированию существующих средств.

Одобрение остаточного риска. После реализации средств защиты, их проверок и приемки, повторно рассматривается приемлемость риска. Риск, связанный с отношениями < угроза/уязвимое место>, необходимо уменьшить до приемлемого уровня или устранить вообще.

Если это сделать трудно или нельзя, следует пересмотреть решения, принятые на предыдущих шагах и найти надлежащие меры защиты.

Использование инструментальных средств при анализе рисков.

Для уменьшения трудоемкости проведения анализа рисков и выбора контрмер прибегают к применению, каких - либо инструментальных средств и специализированных программных продуктов.

В настоящее время на рынке есть около десятка программных продуктов для анализа и управления рисками базового уровня безопасности.

Широко используются и инструментальные методы. Одним из наиболее распространенных методов анализа и контроля рисков для информационных технологий является метод, в основу анализа рисков которого положена идентификация и вычисление уровней (мер) рисков, на основе оценок, присвоенных ресурсам, угрозам и уязвимости ресурсов.

Контроль рисков состоит в идентификации и выборе контрмер, позволяющих снизить риски до приемлемого уровня.

Формальный метод, основанный на этой концепции, позволяет убедиться, что защита охватывает в его систему и существует уверенность в том, что:

• все возможные риски идентифицированы;

• уязвимости ресурсов идентифицированы и их уровни оценены;

• угрозы идентифицированы и их уровни оценены;

• контрмеры эффективны;

• расходы, связанные с безопасностью оправданы.

Исследование безопасности в этом методе проводится в три этапа:

1. Стадия 1; анализируется все, что касается идентификации и определения ценности ресурсов объектов/технологий. В конце стадии 1 заказчик исследования будет знать, достаточно ли ему существующей традиционной практики или он нуждается в продлении полного анализа безопасности.

2. Стадия 2: рассматривается все-, что относится к идентификации и оценке уровней угроз для групп ресурсов и их уязвимостей, В конце стадии 2 заказчик получает идентифицированные и оцененные уровни рисков для своих объекта / технологии.

3. Стадия 3: поиск адекватных контрмер. По существу это поиск варианта системы безопасности, наилучшим образом удовлетворяющей требованиям заказчика. В конце стадии 3 он будет знать, как следует модифицировать систему безопасности в терминах мер уклонения от риска, а также выбора и проработки, специальных мер противодействия, ведущих к снижению или минимизации оставшихся рисков.

Казкдая стадия считается законченной после детального обсуждения и согласования результатов с заказчиком.

Метод содержит в приложении перечень наиболее вероятных угроз и классов контрмер. Меры противодействия адекватные выявленным рискам и их уровням разбиты на 61 группу, условно объединенные в три категории:

• около 300 рекомендаций общего плана;

• около 1000 конкретных рекомендаций;

• около 900 примеров того, как можно организовать защиту в данной ситуации.

Уровень угроз расценивается как очень высокий, высокий, средний, низкий и очень низкий.

Уровень уязвимости оценивается как высокий, средний, низкий.

Ценность физических ресурсов в методе определяется ценной их восстановления в случае разрушения.

Оценки возможного ущерба осуществляются на основе ряда критериев, в том числе таких как:

• ущерб репутации организации;

• нарушение действующего законодательства;

• ущерб для здоровья персонала;

• ущерб, связанный с разглашением персональных данных отдельных лиц;

• финансовые потери от разглашения информации;

Из перечня критериев эксперты отбирают наиболее существенные, затем для выбранных критериев разрабатываются шкалы оценок.

По выставленным значениям оценивается существующий уровень угроз и уязвимостей, вычисляются уровни рисков и подбираются контрмеры.

Метод позволяет сравнивать эффективность различных вариантов защиты.