4-1 Електрона комерція / Тимошенко А.А. Защита информации в специализированных информационно-телекоммуникационных системах

71

Таблица 2.10. Классификация атак с использованием навязывания ложного маршрута

72

2.3.5.11 Перехват сообщений

Перехват сообщений – способ несанкционированного получения информации путем доступа к ней в транзитных узлах ИТС. Перехват сообщений - пассивное воздействие, вызываемое

неадекватностью реализуемой политики безопасности реальной ИТС или ошибками на этапе проектирования/ реализации системы, по способу воздействия - с непосредственным воздействием на объект атаки, с использованием стандартного или специально разработанного программного обеспечения, по состоянию объекта атаки – с воздействием на объект атаки, находящийся в состоянии передачи.

В таблице 2.11 приведена классификация атак с использованием перехвата сообщений по следующим классификационным признакам: цель воздействия на информацию; компонент ИТС, уязвимости которого используются для атаки; уровень стека протоколов, на котором осуществляется атака.

73

Таблица 2.11. Классификация атак с использованием перехвата сообщений

2.4 Этапы и методы управления рисками, связанными с реализацией угроз информации в ИТС

Создание СЗИ должно начинаться с анализа объекта защиты и возможных угроз. Прежде всего, должны быть определены подлежащие защите ресурсы ИТС (активы). На основании анализа угроз, существующих в системе уязвимостей, эффективности уже реализованных мер защиты для всех подлежащих защите ресурсов ИТС должны быть оценены риски. Риск представляет собой функцию вероятности реализации определенной угрозы, вида и величины нанесенного ущерба. Величина риска может быть выражена в денежном измерении либо в виде формальной оценки (высокий, низкий и т.п.). На основании проведенной работы должны быть выработаны меры защиты, претворение которых в жизнь позволило бы снизить уровень остаточного риска до приемлемого уровня. Итогом данного этапа работ должна стать сформулированная или скорректированная политика безопасности.

В процессе проведения анализа риска должна быть сформирована основа для определения необходимых мер защиты. В частности, следует четко определить, что именно (какие информационные активы) нуждается в защите. Далее необходимо составить список возможных способов реализации угроз, оценить вероятность реализации (осуществления) каждой угрозы и

74

потенциальный ущерб, наносимый владельцам обрабатываемых в ИТС информационных активов в том случае, если угроза осуществится (включающий также затраты на защиту от нее).

Результаты анализа рисков важны для последующего этапа – выбора мер противодействия (мер защиты). Предпринимаемые меры защиты должны быть адекватны вероятности осуществления и ущербу от угрозы, то есть обеспечивать оптимальную защиту от нее.

Для определения соответствующих мер защиты в ИТС должен использоваться системный подход. Решение, как обеспечить защиту, где реализовать защиту в ИТС, какими должны быть типы и мощность мер и средств защиты, т.е. определение соответствующего уровня защиты, требуемого для конкретной ИТС осуществляется посредством управления риском. Управление риском представляет собой процесс:

-оценки возможных потерь, связанных с зависимостью технологии работы организации от использования средств ИТС;

-анализа потенциальных угроз и уязвимых мест ИТС, которые влияют на оценки возможных потерь;

-выбора оптимальных по цене мер и средств защиты, которые сокращают риск до приемлемого уровня.

Имеется большое количество методологий управления риском, которые могут быть использованы.

2.4.1 Элементы управления риском

Управление риском преследует две цели: измерение риска (оценка риска) и выбор соответствующих мер и средств защиты, сокращающих риск до приемлемого уровня (уменьшение риска). Проблемы, которые должны быть решены при оценке защищенности ИТС, включают:

1.Инф. активы (ценности) - Что должно быть защищено?

2.Угрозы - От чего необходимо защищать активы и какова вероятность того, что угроза реализуется?

3.Результаты воздействия угроз - Каковы будут непосредственные результаты реализации угрозы (например, раскрытие информации, модификация данных)?

4.Последствия - Каковы будут долгосрочные результаты реализации угрозы (например, ущерб репутации организации, потеря бизнеса)?

5.Меры защиты - Какие эффективные меры защиты (услуги безопасности и механизмы защиты) требуются для защиты ценностей?

6.Риск – Будет ли приемлем остаточный риск после реализации мер защиты?

75

Цель оценки риска состоит в том, чтобы определить риск для конкретной ИТС. Процесс оценки риска проводится в два шага. На первом шаге определяют границы ИТС для анализа, требуемую степень детализации описания ИТС при оценке и методологию, которая будет использоваться. На втором шаге проводится анализ риска. Анализ риска может быть разбит на идентификацию активов (ценностей), угроз и уязвимых мест, оценку вероятностей, и измерение риска. Цель минимизации риска состоит в том, чтобы применить эффективные меры защиты таким образом, чтобы остаточный риск в ИТС стал приемлем. Минимизация риска состоит из трех частей: определения тех областей, где риск является недопустимо большим; выбора наиболее эффективных средств защиты; оценивания мер защиты и определения , приемлем ли остаточный риск в ИТС. Могут быть выбраны различные методологии управления риском. Методология, изложенная ниже, состоит из семи стадий:

Оценка риска

1.Определение степени детализации, границ анализа и методологии.

2.Идентификация и оценка активов (ценностей).

3.Идентификация угроз и определение вероятностей их реализации.

4.Измерение риска.

Уменьшение риска (построение СЗИ)

5.Выбор соответствующих средств защиты.

6.Внедрение и испытания средств защиты.

7.Проверка остаточного риска.

2.4.2 Оценка риска

Этап 1 - Определение степени детализации, границ и методологии

На этом этапе определяется направление, в котором будут прилагаться усилия при управлении риском. Определяется, что из ИТС (граница) и с какой детальностью (степень детализации) должно рассматриваться в процессе управления риском. Граница будет определять те части ИТС, которые будут рассматриваться. Граница может включать ИТС в целом или части ИТС, такие, как каналы передачи данных, серверы, приложения, и т.д.. Факторами, которые будут определять положение границы при анализе, могут быть границы владения ИТС или управления ею.

При управлении риском должна также быть определена степень детализации описания ИТС. Степень детализации можно представлять себе как сложность созданной логической модели всей ИТС или ее части, отражающую, в рамках заданной границы, глубину процесса управления риском. Степень детализации может отличаться для разных областей ИТС (в пределах заданной границы) и, как следствие, в ходе процесса управления риском будут использоваться их описания

76

различной детальности. Например, некоторые области могут рассматриваться в общем, или менее детально, в то время как другие области могут быть рассмотрены глубоко и очень детально. Для небольших ИТС граница может располагаться таким образом, что будет анализироваться вся ИТС, и в таком случае нужно определить согласованную степень детализации для всех частей ИТС. Для больших ИТС может быть принято решение учитывать при анализе только те области, которыми управляет организация, и определить степень детализации таким образом, чтобы учесть все области внутри границы. Однако в любом случае может потребоваться детальное описание процесса передачи данных, соединений с внешними сетями, и ряда приложений. Методология

управления риском для ИТС может быть определена до определения границы и степени детализации. Если методология уже была определена, то может оказаться полезным

перепроверить выбранную методологию с точки зрения соответствия заданной границе и степени детализации. Если же методология не выбрана, то граница и степень детализации могут оказаться полезными в отборе методологии, которая позволяет получить наиболее эффективные результаты.

Этап 2 - Идентификация и оценка активов (ценностей)

В ходе оценки активов выявляются и назначаются стоимости ценностям ИТС. Все части ИТС имеют стоимость, хотя некоторые более ценны, чем другие. Этот шаг дает первый признак тех областей, на которые нужно обратить особое внимание. Для ИТС, в которых обрабатывается большое количество информации, которая не может быть разумно проанализирована, может быть сделан начальный отбор активов. Определение и оценка активов позволяет первоначально разделить области на те, которые могут быть опущены при дальнейшем рассмотрении и на те, которые должны рассматриваться как высокоприоритетные. Для идентификации и оценки активов могут использоваться различные методы.

Активы могут быть оценены на основании воздействий и последствий для организации. Оценка может включать не только стоимость восстановления активов, но также последствия для организации, которые наступят в случае раскрытия, искажения, разрушения или порчи ценности. Методология оценки риска должна определить, в каком виде представляются стоимости активов. Так как стоимость актива должна быть основана не только на стоимости восстановления, оценивание актива по большей части - субъективный процесс.

Данная методика предполагает оценку количественных показателей ценности информационных ресурсов на основании опросов сотрудников компании (владельцев информации), то есть тех, кто может определить ценность информации, определить ее характеристики и степень критичности, исходя из фактического положения дел. На основе

результатов опроса производится оценивание показателей и степени критичности информационных ресурсов для наихудшего варианта развития событий. Рассматривается

77

потенциальное воздействие на бизнес-процесс при возможном несанкционированном ознакомлении с информацией, изменении информации, отказе от выполнения обработки информации, недоступности на различные сроки и разрушения.

Процесс получения количественных показателей дополняется методиками оценивания информационных ресурсов с учетом факторов:

-безопасность персонала;

-разглашение частной информации;

-требования по соблюдению законодательных и нормативных положений;

-ограничения, вытекающие из законодательства;

-коммерческие и экономические интересы;

-финансовые потери и нарушения в производственной деятельности;

-общественные отношения;

-коммерческая политика и коммерческие операции;

-потеря репутации организации.

Разрабатывается система показателей в балльных шкалах (пример; четырехбалльная (от 1 до 4), приведенная ниже). Таким образом, количественные показатели используются там, где это допустимо и оправдано, а качественные показателей; там, где количественные оценки затруднены, например, при угрозе человеческой жизни.

Важно отметить, что, если оценка актива выполняется с учетом конечной цели процесса, то есть определения активов в терминах иерархии важности или критичности, более важным становится относительное сопоставление ценностей, чем назначение им "правильной" стоимости. Стоимость активов может быть представлена в терминах потенциальных потерь. Эти потери могут быть основаны на стоимости восстановления, потерях при непосредственном воздействии и последствий. Одна из самых простых методик оценки потерь для активов состоит в использовании качественного ранжирования на высокие, средние и низкие потери. Назначение чисел этим уровням (4= очень высокие, 3 = высокие, 2 = средние, и 1 = низкие) может помочь в процессе измерения риска.

Одним из косвенных результатов процесса идентификации и оценки активов является то, что создается детальная конфигурация ИТС и функциональная схема ее использования. Эта конфигурация должна описывать подключенные аппаратные средства, главные используемые приложения, важную информацию, обрабатываемую в ИТС, а также то, как эта информация передается через компоненты ИТС. Степень знания конфигурации ИТС зависит от использовавшихся границ и степени детализации. Так, например, могут быть определены:

78

-конфигурация аппаратных средств - включающая серверы, автоматизированные рабочие места, ПК, периферийные устройства, соединения с распределенными сетями, схему кабельной системы, соединения с мостами или шлюзами и т.д.;

-конфигурация программного обеспечения - включающая операционные системы серверов и рабочих станций, главное прикладное программное обеспечение, инструментальное программное обеспечение, средства управления ИТС и программное обеспечение, находящееся в процессе разработки. Она должна также включать местоположение программного обеспечения в ИТС и указание мест, откуда к нему обычно осуществляется доступ;

-конфигурация данных - включающая разделение данных на ряд типов (которое привязано к специфике задач, решаемых с помощью ИТС), обрабатываемых в ИТС, а также типы (категории) пользователей, получающих доступ к данным. Важно указать, откуда к данным обращаются, и где они хранятся и обрабатываются. Должно также быть уделено внимание критичности данных.

После того, как закончено описание конфигурации ИТС, определение и оценка активов,

должно быть получено вполне адекватное представление о том, из чего состоит ИТС и какие области ИТС должны защищаться.

Этап 3 - Идентификация угроз и определение вероятностей их реализации

Результатом этого этапа должно быть явное указание возможных потенциальных опасностей (угроз) обрабатываемой в ИТС информации (активам), вероятности того, что эти опасности могут быть реализованы и уязвимых мест ИТС, которые могут использоваться для реализации этих угроз.

Список угроз, которые будут рассматриваться, зависит от установленных границ анализа риска и степени детализации описания ИТС. Концептуальный анализ может указать на абстрактные угрозы и уязвимые места; более детальный анализ может связать угрозу с конкретной компонентой. Более чем вероятно, что абстрактность угроз, выявленных в результате концептуального анализа, в конечном счете приведет к тому, что и рекомендации относительно средств защиты тоже будут абстрактными. Это приемлемо, если проводится общая оценка риска. Более детальная оценка риска даст рекомендации относительно средств защиты, которые должны уменьшить конкретный риск, такой как раскрытие данных о сотрудниках.

Любой информационный актив ИТС, который был определена как достаточно важный (то есть, не был отфильтрован в процессе отбора) должен быть исследован, чтобы выявить те угрозы, которые могут потенциально повредить ему. Для более детальной оценки особое внимание должно быть уделено детализации путей, с помощью которых эти угрозы могли бы быть

79

реализованы. Эти специфические особенности обеспечивают большее количество информации при определении уязвимых мест ИТС и, соответственно, при выборе средств защиты.

После того, как угрозы и связанные с ними уязвимые места идентифицированы, с каждой парой угроза/уязвимое место должна быть связана вероятность того, что угроза будет реализована при условии, что используется данное уязвимое место. Выбранная методология оценки риска, должна обеспечить возможность измерения такой вероятности. Как и оценка стоимости активов, назначение меры вероятности может также быть субъективным процессом.

Для того, чтобы конкретизировать определение вероятности реализации угрозы, рассматривается определенный отрезок времени, в течение которого предполагается защищать информационный ресурс.

В некоторых случаях вообще невозможно численно оценить появление той или иной угрозы, однако для большинства случаев такая оценка все же возможна.

Приведем некоторые методы оценки вероятностей проявления угроз.

1.Эмпирическая оценка количества проявлений угрозы за некоторый период времени. Как правило, этот метод применяется для оценки вероятности стихийных бедствий. Невозможно предсказать возникновение, например, пожара в определенном здании, поэтому в таких случаях целесообразно накапливать массив данных об исследуемом событии, безотносительно к тому, направлено ли оно против конкретной ИТС.

2.Оценка частоты проявления угрозы с использованием различных методов экспертной оценки. В этом случае предполагается, что вероятность реализации угрозы определяется, например, следующими факторами:

- привлекательностью актива (этот показатель используется при рассмотрении угрозы от умышленного воздействия со стороны человека);

- возможностью использования актива для получения дохода (этот показатель используется при рассмотрении угрозы от умышленного воздействия со стороны человека);

- технические возможности реализации угрозы, используемые при умышленном воздействии со стороны человека;

- степенью легкости, с которой может быть использована та или иная уязвимость. Результаты суждений экспертов обрабатываются с использованием различных методик.

3.Непосредственная регистрация событий. Обычно этот метод применяется для оценки вероятности часто проявляющихся событий (попытки входа в систему, доступ к определенному объекту и т.д.). Достоинство метода- возможность применения результатов, полученных для ИТС определенного типа и архитектуры, для других аналогичных ИТС. Например, можно использовать публикуемые статистические данные о попытках реализации угроз информации в Интернет.

4.Комбинированные методы, в которых указанные выше методы используются в совокупности.

80

Например, результатом применения методов 2 (технические возможности реализации угрозы) и 3 (статистика попыток реализации угроз в Интернет) является вывод о том, что вероятность реализации угроз в сетях со стеком протоколов TCP/IP определяется уровнем стека протоколов, на котором реализуется угроза (канальный- самая низкая, прикладной- самая высокая).

Как и величина возможных потерь, вероятность реализации угрозы может быть нормализована как значение, которое меняется от 1 до 4. 1 будет указывать низкую вероятность, 2 будет указывать умеренную вероятность, 3 будет указывать высокую вероятность и 4 – очень высокую вероятность.

Этап 4 - Измерение риска

Риск, связанный с угрозой, может рассматриваться как функция относительной вероятности, что угроза может быть реализована, и ожидаемых потерь, которые будут понесены при реализации угрозы. В этом случае риск рассчитывается следующим образом:

Риск = вероятность реализации угрозы (через определенное уязвимое место) *

понесенная потеря

Если величина потерь и вероятности реализации угроз определены как числа в интервале от 1 до 4, риск может быть рассчитан, как число в интервале от 1 до 16; значения риска от 1 до 3 будут считаться низким риском, от 4 до 8 - умеренным риском, от 9 до 16 - высоким риском.

В матрице или таблице можно наглядно отразить связь факторов негативного воздействия на активы (потери или ущерб для ресурсов) и вероятностей реализации угрозы (с учетом используемых для их реализации уязвимостей).

Таблица 2.12. Ранжирование показателей рисков