Проведение анализа риска

Использование АС (автоматизированная система) связано с определенной совокупностью рисков, под которыми понимается стоимостное выражение событий (обычно, вероятностных), ведущих к потерям. Если риск неприемлем, то необходимо предпринять защитные меры, не превышающие по стоимости возможный ущерб.

Анализ риска главным образом необходим для следующего:

1) Выявление уязвимостей АС и ее систем защиты;

2) Определение необходимых и достаточных затрат на обеспечение безопасности информации;

3) Выбор конкретных мер, методов, средств и систем защиты;

4) Повышение информированности и компетентности персонала АС

В целом, периодический анализ риска необходим для планирования компромисса между степенью безопасности АС и ее качественными характеристиками, т.к. стоимость, производительность, функциональность, удобство работы, маштабируемость, совместимость и т.д.

Основные этапы анализа риска

Работа по анализу риска состоит в том, чтобы оценить величину рисков, выработать методы по их уменьшению, а затем убедиться, что риски заключены в приемлемые рамки. Алгоритм анализа риска представлен на рисунке 2.

В ыбор анализируемых объектов и степени детализации

В ыбор методологии оценки рисков

И дентификация объектов

А нализ угроз и уязвимостей защиты

О ценка рисков

В ыбор защитных мер

Р еализация и проверка выбранных мер

О ценка остаточного риска

Рисунок 2

Предварительные этапы анализа риска

На начальном этапе методом экспертной оценки решаются общие вопросы проведения анализа рисков. Первым делом выбираются компоненты АС и степени детальности их рассмотрения.

Более тщательному анализу подвергаются новые и модифицированные компоненты АС, а так же компоненты, где имели место новые инциденты и нарушения безопасности. Далее выбираются методологии оценки рисков, как процесса получения количественной или качественной оценки ущерба, который может произойти в случае реализации угроз безопасности АС. Методология носит частный характер, присущий организации и АС. На практике, с учетом допустимой приближенной оценки рисков, часто используют простые, наглядные методы, основанные на элементах теории вероятности и математической статистики.

Идентификация активов

Основу процесса анализа риска составляет определение, что надо защищать, от кого и как. Для этого выделяют активы (компоненты АС), нуждающиеся в защите. Некоторые активы (например, технические и программные средства) идентифицируются очевидным образом. Про некоторые активы (люди, расходные материалы) часто забывают. При идентификации активов могут быть затронуты и нематериальные ценности, например, репутация компании, моральный климат в коллективе и т.д.

В таблице представим основные категории активов АС предприятия.

Категории активов	Компоненты информационной системы
Аппаратное обеспечение	Компьютеры, периферийные устройства, коммуникационные линии, сетевое оборудование и их составные части
Программное обеспечение	Исходные, объектные и загрузочные модули ОС, вспомогательных систем, инструментарных средств разработки, прикладных программных пакетов
Информационное обеспечение	Вводимые, обрабатываемые, хранимые, передаваемые и резервные данные
Персонал	Обслуживающий персонал и пользователи
Документация	Конструкторская, техническая, пользовательская и иная документация
Расходные материалы	Бумага, картриджи и т.д.

Планом результата идентификации активов является получение детальной информационной структуры организации и способов использования информации. Дальнейшие этапы анализа риска основываются именно на данной, зафиксированной на данный момент времени, информации.

Анализ угроз

После идентификации активов АС следует рассмотреть все возможные угрозы, оценить риски и ранжировать их по степени возможного ущерба. Под угрозой обычно понимают любое событие (действие), которое потенциально может нанести ущерб АС путем нарушения конфиденциальности, целостности или доступности информации.

В таблице приведем примеры общих угроз, способных привести к нарушению целостности, конфиденциальности и доступности информации.

Реализация угроз	Объекты воздействия
	Информационное обеспечение	Программное обеспечение	Техническое обеспечение	Персонал
Нелегальное ознакомление (чтение)	НСД, копирование, размножение, хищение, перехват, дешифрование	НСД, внедрение вирусов и закладок, использование дефектов, ошибки	НСД, внедрение закладок, нарушение режимов работы, хищение носителей, отказы, ошибки	Некомпетентность, халатность, разглашение, подкуп и вербовка
Несанкционированное уничтожение или модификация	НСД, искажение, удаление, модификация	НСД, искажение, удаление, модификация	НСД, внедрение закладок, нарушение режимов работы, отказы, ошибки	Некомпетентность, халатность, подкуп и вербовка
Отказ в обслуживании	НСД, искажение, удаление, адресация	НСД, искажение, удаление, внедрение вирусов и закладок, отмена, использование дефектов, ошибки	НСД, внедрение закладок, нарушение режимов работы, выход из строя отказы, ошибки, разрушение, перезагрузка	Некомпетентность, халатность, болезнь, нарушение режимов работы

После идентификации угрозы необходимо оценить риск проявления угрозы. Кроме вероятности осуществления угрозы важен размер ожидаемых потерь: (произведение вероятностной оценки риска проявления угрозы на ущерб при реализации угроз).

Приведем примеры простых способов оценки вероятности проявления угроз и возможных потерь:

1) Экспертная оценка событий. Методы экспертных оценок применяются при оценки трудно предсказуемых угроз, например, стихийных бедствий и являются самыми неточными.

2) Методика определения приемлемости уровня риска по трехбалльной шкале. Согласно методике, оцениваемым рискам и ущербам ставятся оценки по трехбалльной шкале {1 2 3}. Полученные два множества оценок рисков и ущерба перемножаются. Множество значений будет следующим {1 2 3 4 6 9}. Предполагается, что первые два значения характеризуют низкий уровень риска, третий и четвертый – средний, два последних – высокий.

3) Методика определения приемлемости уровня риска с учетом видимости угроз и их последствий. Здесь вводится понятие видимости угрозы для внешнего мира – меры информации о системе, доступной злоумышленнику. Согласно указанной методике, оцениваемым риском, видимости, физическим ущербом и моральным ущербом ставятся оценки по трехбалльной шкале {1 2 3}. Значение рисков умножаются на значения для видимости, а значение для физического ущерба умножаются на значения для морального ущерба. Затем, полученные два числа складываются.

Стержнем плана являются рекомендации по реализации системы обеспечения безопасности информации. Здесь целесообразно отметить следующие сведения:

1. Рекомендации по выбору общих средств и способов защиты. Выбираемые средства образуют первостепенную линию обороны.

2. Определение стратегии защит. Важнейшим способом защиты активов является использование нескольких различных стратегий (принцип эшелонированность обороны). Если одна линия обороны прорвана, вступает следующая стратегия.

3. Физическая защита.

4. Выявление неавторизированной деятельности. Для этого могут использоваться следующие способы и средства:

- анализ сообщений пользователей;

- отслеживание пользователем системы с помощью несложных пакетных файлов и программ;

- мониторинг системы администратором;

- ведение и анализ регистрационного журнала системы.

5. В разделе могут быть освещены действия в случае подозрений неавторизированной деятельности.

6. Правила безопасности работы персонала. Обычно правила делятся в соответствии с категориями персонала, а именно:

- правила безопасной работы, различные действия, процедуры докладов пользователей;

- правила администрирования конфигурационного управления процедуры сохранения-восстановления и процедуры докладов администраторов.

7. Ресурсы для предупреждения нарушений безопасности. В данном разделе описываются программные, аппаратные и процедурные ресурсы, реализующие политику безопасности. Интегрированная система безопасности корпоративной сети обычно включает следующие средства:

- системы и средства аутентификации;

- средства обеспечения целостности информации;

- средства обеспечения конфиденциальности (шифрование);

- средства аутентификации источника данных (ЭЦП);

- сетевые соединения, МСЭ и средства ограничения сетевого доступа.

В плане могут быть выделены типы процедур безопасности АС предприятия. Перечислим наиболее типичные процедуры ЗИ:

1) Проверка системной безопасности. Элементом таких проверок является ревизия политики безопасности и защитных механизмов. Примерами могут быть плановые учения и отдельные поверки некоторых процедур.

2) Процедуры управления счетами. Это необходимо для предотвращения несанкционированного доступа к системам. Должны быть процедуры управления счетами и администраторов и пользователей. Администраторы отвечают за заведение, удаление из счетов и осуществляют общий контроль. Пользователь может контролировать, пользуется кто его счетом или нет.

3) Процедура управления паролями (процедуры выбора и смены пароля).

4) Процедура конфигурационного управления.

После рекомендации по реализации защиты в плане могут быть конкретизированы ответственность и обязанность персонала. Заканчивается план определением общих вопросов жизненного цикла системы защиты: внедрение, эксплуатация, сопровождение и снятие с эксплуатации. Здесь могут быть определены сроки и периодичность проверки системы защиты в соответствии с порядком пересмотра политики безопасности и анализа риска.