1.4.1. Анализ метода оценки эффективности функционирования защиты от угроз социальной инженерии
На основе литературного источника[29] проанализирован еще один метод оценки эффективности, который в дальнейшем будет использоваться.
Метод оценки эффективности функционирования основан на расчете риска и его уровне. Основными элементами являются: ресурс, критичность реализации угрозы, вероятность реализации угрозы, критичность ресурса, уровень угрозы по уязвимости, уровень угрозы по ресурсу, риск по ресурсу, риск по всем ресурсам, максимальный риск, уровень риска.
;
Ri= ThRi* Di;
SR=
,
где R-риск
по ресурсу.
1.4.2. Анализ метода оценки экономической эффективности защиты от угроз социальной инженерии
Показатели экономической эффективности:
стоимость защищаемой информации Sи
стоимость защищаемого объекта информации Soи
стоимость СЗИ Sсзи
суммарный риск информации Rи
суммарный риск объекта информатизации Rои
вероятность возникновения угроз безопасности Рв
вероятность устранения угроз безопасности Ру
Взаимозависимости этих показателей носят вероятностный характер. В связи с этим, понятия точности и достоверности для количественной оценки этих зависимостей не всегда применимы, и их рассчитывают, используя теорию нечетких множеств. Основные показатели экономической эффективности СЗИ являются:
коэффициент защищенности
экономическая эффективность
Экономически эффективной является СЗИ, для которой выполняются следующие условия:
где
– общее снижение рисков для ИС.
Т.к. многие показатели ИС являются не количественными, а качественными, единственным способом проверки степени защищенности ИС является экспертиза. Для проведения экспертизы создают аналитическую группу, т.е. экспертная комиссия.
При оценке эффективности защиты от угроз можно использовать показатели ЭЭ.
Методология расчета показателей экономической эффективности
При работе любого предприятия существуют определенное количество угроз безопасности (i=1,…,n) которые характеризуются вероятностями возникновения Рbi и ущербом, наносимым каждой угрозой Ui. Задачей СЗИ – устранение каждой i-той угрозы. Полный ущерб, наносимый незащищенной СЗИ, можно представить в виде:
U=
Риск для незащищенной системы информации представляет собой произведение вероятностей возникновения угроз и ущерба в слу-чае их реализации:
Риск же для защищенной системы информации зависит еще и от
вероятности устранения i-й угрозы Pyi:
Экономическая эффективность применения защиты от угроз социальной инженерии через риски рассчитывается по формуле:
ЭФсзи=
,
где Rнз-Rз=ΔR – устраненный риск.
1.5. Анализ программных комплексов по оценке эффективности защиты от угроз.
Сегодня не вызывает сомнений необходимость вложений в обеспечение информационной безопасности современного крупного бизнеса. Основной вопрос современного бизнеса - как оценить необходимый уровень вложений в ИБ для обеспечения максимальной эффективности инвестиций в данную сферу. Для решения этого вопроса существует только один способ - применять системы анализа рисков, позволяющие оценить существующие в системе риски и выбрать оптимальный по эффективности вариант защиты (по соотношению существующих в системе рисков к затратам на ИБ).
Для построения или оценки эффективности СЗИ были рассмотрены программные комплексы анализа и контроля информационных рисков: британский CRAMM (компания Insight Consulting), американский RiskWatch (компания RiskWatch) и российский ГРИФ (компания Digital Security). CRAMM
Метод CRAMM (CCTA Risk Analysis and Managment Method) был разработан Агентством по компьютерам и телекоммуникациям Великобритании (Central Computer and Telecommunications Agency) по заданию Британского правительства и взят на вооружение в качестве государственного стандарта[30]. Он используется, начиная с 1985 г ., правительственными и коммерческими организациями Великобритании. За это время CRAMM приобрел популярность во всем мире. Фирма Insight Consulting Limited занимается разработкой и сопровождением одноименного программного продукта, реализующего метод CRAMM.
CRAMM - это довольно мощный и универсальный инструмент, позволяющий, помимо анализа рисков, решать также и ряд других аудиторских задач, включая:
-проведение обследования ИС и выпуск сопроводительной документации на всех этапах его проведения;
-проведение аудита в соответствии с требованиями Британского правительства, а также стандарта BS 7799:1995 «Code of Practice for Information Security Management»;
-разработка политики безопасности и плана обеспечения непрерывности бизнеса.
Недостатки метода CRAMM можно отнести следующее:
использование метода CRAMM требует специальной подготовки и высокой квалификации аудитора;
CRAMM в гораздо большей степени подходит для аудита уже существующих ИС, находящихся на стадии эксплуатации, нежели чем для ИС, находящихся на стадии разработки;
аудит по методу CRAMM - процесс достаточно трудоемкий и может потребовать месяцев непрерывной работы аудитора;
программный инструментарий CRAMM генерирует большое количество бумажной документации, которая не всегда оказывается полезной на практике;
CRAMM не позволяет создавать собственные шаблоны отчетов или модифицировать имеющиеся;
возможность внесения дополнений в базу знаний CRAMM не доступна пользователям, что вызывает определенные трудности при адаптации этого метода к потребностям конкретной организации;
программное обеспечение CRAMM существует только на английском языке;
стоимость лицензии от 2000 до 5000 долл.
RiskWatch
Программное обеспечение RiskWatch (www.riskwatch.com) является мощным средством анализа и управления рисками[32]. В семейство RiskWatch входят программные продукты для проведения различных видов аудита безопасности. Оно включает в себя следующие средства аудита и анализа рисков:
-RiskWatch for Physical Security - для физических методов защиты ИС;
-RiskWatch for Information Systems - для информационных рисков;
-HIPAA-WATCH for Healthcare Industry - для оценки соответствия требованиям стандарта HIPAA (US Healthcare Insurance Portability and Accountability Act);
-RiskWatch RW17799 for ISO 17799 - для оценки требованиям стандарта ISO 17799.
В методе RiskWatch в качестве критериев для оценки и управления рисками используются предсказание годовых потерь (Annual Loss Expectancy, ALE) и оценка возврата от инвестиций (Return on Investment, ROI).
Семейство программных продуктов RiskWatch имеет массу достоинств. RiskWatch помогает провести анализ рисков и сделать обоснованный выбор мер и средств защиты. Используемая в программе методика включает в себя 4 фазы.
В отличие от CRAMM, программа RiskWatch более ориентирована на точную количественную оценку соотношения потерь от угроз безопасности и затрат на создание системы защиты. Надо также отметить, что в этом продукте риски в сфере информационной и физической безопасности компьютерной сети предприятия рассматриваются совместно.
Недостатки RiskWatch:
Такой метод подходит, если требуется провести анализ рисков на программно-техническом уровне защиты, без учета организационных и административных факторов.
Полученные оценки рисков (математическое ожидание потерь) далеко не исчерпывает понимание риска с системных позиций - метод не учитывает комплексный подход к информационной безопасности.
Программное обеспечение RiskWatch существует только на английском языке.
Высокая стоимость лицензии (от 10 000 долл. за одно рабочее место для небольшой компании).
Гриф
ГРИФ - комплексная система анализа и управления рисками информационной системы компании. ГРИФ 2006 из состава Digital Security Office дает полную картину защищенности информационных ресурсов в системе и позволяет выбрать оптимальную стратегию защиты информации компании.
Система ГРИФ:
Анализирует уровень защищенности всех ценных ресурсов компании
Оценивает возможный ущерб, который понесет компания в результате реализации угроз информационной безопасности
Позволяет эффективно управлять рисками при помощи выбора контрмер, наиболее оптимальных по соотношению цена/качество
Таблица 4 - Сравнительный анализ инструментальных средств анализа рисков[34]
Продукт Критерии сравнения |
CRAMM, Central Computer and Telecommunications Agency ( UK ) |
RiskWatch , компания RiskWatch (USA) |
ГРИФ 2006 Digital Security Office, Компания ( Россия ) |
Поддержка |
Обеспечивается |
Обеспечивается |
Обеспечивается |
Легкость в работе конечного пользователя |
Использование метода CRAMM требует специальной подготовки и высокой квалификации аудитора. |
Использование метода RiskWatch требует специальной подготовки и высокой квалификации аудитора. |
Интерфейс программы ориентирован на ИТ-менеджеров и руководителей Не требует специальных знаний в области информационной безопасности. |
Цена |
Стоимость лицензии от 2000 до 5000 долл. за одно рабочее место. |
Стоимость лицензии от 10 000 долл. за одно рабочее место. |
Стоимость лицензии от 1000 долл. за одно рабочее место. |
Системные требования |
Операционная система:
Свободное дисковое пространство - 50 MB . Минимальные требования: Оперативная память - 64 MB ; Процессор - 800 Mhz . Рекомендуемые требования: Оперативная память - 128 MB ; Процессор - 1000 Mhz . |
Процессор - Intel Pentium или совместимый; Оперативная память - 256 MB RAM ; Свободное дисковое пространство - 30 MB для инсталляции; Операционная система - Windows 2000/XP. |
Минимальные системные требования: 1. Оперативная память: 256 Mb. 2. Свободное дисковое пространство (для диска, где расположены данные пользователя): 300 Мb. 3. Операционная система: Windows 2000, Windows XP. Рекомендуемые системные требования: 1. Оперативная память: 512 Mb. 2. Свободное дисковое пространство (для диска, где расположены данные пользователя): 1 Gb. 3. Операционная система: Windows 2000, Windows XP. |
Функционал |
Входные данные:
Варианты отчетов:
|
Входные данные: Тип информационной системы; Базовые требования в области безопасности; Ресурсы; Потери; Угрозы; Уязвимости; Меры защиты; Ценность ресурсов; Частота возникновения угроз; Выбор контрмер. Варианты отчета: Краткие итоги; Отчет о стоимости защищаемых ресурсов и ожидаемых потерях от реализации угроз; Отчет об угрозах и мерах противодействия; Отчет о ROI Отчет о результатах аудита безопасности. |
Входные данные: Ресурсы; Сетевое оборудование; Виды информации; Группы пользователей; Средства защиты; Угрозы; Уязвимости; Выбор контрмер. Состав отчета:
|
Количественный или качественный метод |
Качественная оценка |
Количественная оценка |
Качественная и количественная оценки |
Наличие сетевого решения |
Отсутствует |
Отсутствует |
Корпоративная версия |
Вывод
В данной главе проанализированы угрозы социальной инженерии, список которых приведен ниже :
угроза фишинга;
угроза претекстинга;
угроза «кви про кво»;
угроза «троянского коня»;
угроза «дорожного яблока»;
угроза обратной социальной инженерии;
Выделены классификации атак с использованием этих угроз
По средствам применения:
атака с использованием телефона;
атака с использованием электронной почты;
атака с использованием Voip-приложений(skype);
атака с использованием обыкновенной почты;
атака при личной встрече;
По степени доступа объекта к информационной системе
Администратор – высокая;
Начальник – средняя;
Пользователь – низкая;
Знакомые администратора - отсутствие доступа;
По уровню социльного отношения к объекту
Официальный;
Товарищеский;
Дружный;
Проанализированы механизмы защиты от угроз в СИ, которые подразделяются на:
- организационные механизмы защиты, такие как обучение персонала
- программные механизмы защиты, такие как антивирусные программы, встроенные фильтры безопасности в браузерах и т.д.
Рассмотрены программные средства CRAMM, RiskWatch, Гриф.