- •Условные сокращения
- •Введение
- •1. Менеджмент риска информационной безопасности
- •1.1. Основные термины и определения
- •1.2. Система менеджмента информационной безопасности
- •1.3. Менеджмент риска информационной безопасности
- •Конец первой и последующих итераций
- •1.3.1. Установление контекста
- •1.3.2. Оценка риска нарушения информационной безопасности
- •1.3.2.1. Анализ риска
- •1.3.2.1.1. Идентификация риска
- •1. Определение (идентификация) активов
- •Реестр информационных ресурсов Компании
- •2. Определение угроз
- •Определение существующих мер и средств контроля и управления
- •Выявление уязвимостей
- •5. Определение последствий
- •1.3.2.1.2. Установление значения риска (количественная оценка риска)
- •1.3.2.2. Оценивание риска
- •1.3.3. Обработка риска
- •1) Снижение риска
- •2) Сохранение риска
- •Предотвращение риска
- •Перенос риска
- •1.3.4. Принятие риска
- •1.3.5. Коммуникация риска
- •1.3.6. Мониторинг и переоценка риска
- •1.4. Стандарты в области управления информационными рисками
- •1.5. Инструментальные средства для управления рисками
- •1.5.9. Гриф 2006
- •1.5.10. АванГард
- •1.6. Контрольные вопросы
- •2. Математические основы принятия решений при управлении рисками
- •2.1. Основные понятия и обобщенная классификация задач принятия решений
- •2.2. Формальное описание моделей принятия решений
- •2.3. Методы экспертных оценок
- •2.3.1. Методологические основы и предпосылки применения методов экспертных оценок
- •2.3.2. Основные типы шкал
- •2.3.3. Методы проведение экспертизы
- •2.3.4. Качественные экспертные оценки
- •2.3.5. Этапы работ по организации экспертной оценки
- •2.3.6. Отбор экспертов и их характеристика
- •2.3.7. Методы опроса экспертов
- •2.3.8. Методы обработки экспертной информации, оценка компетентности и согласованности мнений экспертов
- •2.4. Детерминированные модели и методы принятия решений
- •2.4.1. Постановка многокритериальных задач принятия решений
- •2.4.2. Характеристики приоритета критериев. Нормализация критериев
- •2.4.3. Принципы оптимальности в задачах принятия решений
- •2.4.4. Постановка задач оптимизации на основе комбинирования принципов оптимальности
- •2.4.5. Теория полезности. Аксиоматические методы многокритериальной оценки
- •2.4.6. Метод аналитической иерархии
- •2.4.7. Методы порогов несравнимости электра
- •2.5. Статистические модели и методы принятия решений в условиях неопределенности
- •2.5.1. Статистическая модель однокритериального принятия решений в условиях неопределенности
- •2.5.2. Построение критериев оценки и выбора решений для первой ситуации априорной информированности лпр
- •2.5.2.1. Критерий Байеса-Лапласа
- •2.5.2.2. Критерий минимума среднего квадратического отклонения функции полезности или функции потерь
- •2.5.2.3. Критерий максимизации вероятности распределения функции полезности
- •2.5.2.4. Модальный критерий
- •2.5.2.5. Критерий минимума энтропии математического ожидания функции полезности
- •2.5.2.6. Критерий Гермейера
- •2.5.2.7. Комбинированный критерий. Объединение критериев Байеса-Лапласа и среднего квадратического отклонения функции полезности (потерь)
- •2.5.3. Построение критериев оценки и выбора решений для второй ситуации априорной информированности лпр
- •2.5.3.1. Максиминный критерий Вальда
- •2.5.3.2. Критерии минимаксного риска Сэвиджа
- •2.5.4. Построение критериев оценки и выбора решений для третьей ситуации априорной информированности лпр
- •2.5.4.1. Критерий Гурвица
- •2.5.4.2. Критерий Ходжеса-Лемана
- •2.5.5. Пример оценки отдельных характеристик качества информационной системы в условиях неопределенности
- •2.5.6. Статистическая модель многокритериального принятия решений на основе принципов оптимальности в условиях неопределенности
- •2.5. Методы оптимизации
- •2.7. Контрольные вопросы
- •Заключение
- •Приложение Справочные данные
- •Библиографический список
- •Оглавление
- •394026 Воронеж, Московский просп., 14
2. Определение угроз
Активы являются объектом для многих видов угроз. Угрозы могут быть природного или человеческого происхождения, они могут быть случайными или умышленными. Угрозы могут проистекать как из самой организации, так и из источника вне ее пределов. Должны быть идентифицированы и случайные и умышленные источники угроз и оценена вероятность их возникновения.
Формально угрозу можно описать, используя понятия профиля и жизненного цикла угрозы.
Профиль угрозы определяется следующими статичными атрибутами:
название угрозы (в соответствии с принятой классификацией);
общее описание угрозы;
источник угрозы, описываемый моделью нарушителя;
вид угрозы – указывает на принадлежность к тому или иному известному виду угроз согласно их классификации;
способ реализации – указывает на принадлежность к тому или иному известному способу реализации данного вида угрозы согласно их классификации;
объект защиты (виды активов, на которые направлена угроза);
последствия (результат) осуществления угрозы;
уязвимости (предпосылки возникновения угрозы, такие как наличие определенных изъянов защиты, нарушения технологического процесса проектирования и разработки ПО и т. п.).
Этапы реализации большинства угроз безопасности (жизненный цикл угроз), включают в себя следующие процессы:
зарождение;
развитие;
проникновение в АС;
проникновение в критичную информацию;
инициализация;
результат действия;
регенерация.
В качестве примера рассмотрим профиль угроз безопасности, связанных с получением внутренними злоумышленниками несанкционированного доступа (НСД) к информационным активам организации. Профиль угрозы:
название угрозы – НСД к информации;
общее описание угрозы – пользователь может получить доступ к ресурсам АС или выполнить операции, на которые ему не было предоставлено соответствующих прав;
источник угрозы – можно выделить следующие категории потенциальных нарушителей:
операторы, обладающие самым низким уровнем возможностей, предоставляемых им штатными средствами АС, – запуск задач (программ) из фиксированного набора, реализующих заранее предусмотренные функции по обработке информации;
прикладные программисты, которым предоставляется возможность создания и запуска собственных программ с новыми функциями по обработке информации;
администраторы АС и системные программисты, которым предоставляется возможность управления функционированием АС, то есть воздействия на базовое программное обеспечение системы, а также состав и конфигурацию ее оборудования;
разработчики АС и лица, обладающие всем объемом возможностей по проектированию, реализации и ремонту технических средств АС, вплоть до включения в ее состав собственных технических средств по обработке информации;
вид угрозы – использование штатных средств для осуществления НСД к информации АС;
способ реализации – подбор или воровство пароля, использование слабостей защиты;
объект защиты – база данных;
последствия – утечка конфиденциальной информации из базы данных;
уязвимости – ошибка в настройке правил разграничения доступа к базе данных, нарушение сотрудниками правил парольной политики, уязвимости программного обеспечения базы данных или операционной системы.
Жизненный цикл угрозы:
зарождение – возникновение предпосылок для НСД;
развитие – выявление возможностей и способов НСД к информационным ресурсам АС;
проникновение в АС – НСД к ресурсам АС при помощи штатных средств;
проникновение в критичную информацию – путем обхода средств разграничения доступа;
инициализация – копирование конфиденциальной информации;
результат действия – в соответствии с целями НСД;
регенерация – при повторном НСД.
Существуют различные способы классификации угроз безопасности: по объекту воздействия, по источнику угрозы, способам ее осуществления, возможным последствиям и видам ущерба. Одновременно могут использоваться несколько критериев классификации, например, угрозы, классифицированные по объекту воздействия, дополнительно, внутри каждого класса, могут классифицироваться по видам ущерба и источникам угрозы.
По виду активов, на которые они направлены (объектам воздействия), угрозы делятся на:
угрозы, направленные против информационных активов;
угрозы, направленные против программного обеспечения;
угрозы, направленные против технических средств;
угрозы кадровым ресурсам;
угрозы помещениям организации.
По источнику угрозы можно разделить, например, на следующие классы:
угрозы со стороны различных классов внешних нарушителей;
угрозы со стороны различных классов внутренних нарушителей;
угрозы со стороны партнеров и подрядчиков;
антропогенные катастрофы (терроризм, взрывы, массовые беспорядки);
техногенные аварии (сбои технических средств);
природные катаклизмы (землетрясение, наводнение, ураганы и т.п.);
несчастные случаи (пожар, обрушение здания и т.п.).
По типу нарушения угрозы можно разделить на следующие классы:
угрозы нарушения конфиденциальности информации;
угрозы нарушения целостности информации;
угрозы нарушения доступности информации;
угрозы отказа от совершенных действий с информацией (угрозы неотказуемости);
угрозы, связанные с невозможностью установления авторства электронных документов (угрозы аутентичности);
угрозы нарушения требований законодательства.
Далее более подробно рассмотрим некоторые основные классы угроз опасности.
Угрозы, реализуемые при помощи программных средств
Угрозы информационной безопасности, реализуемые с использованием программных средств – наиболее много-численный класс угроз в отношении конфиденциальности, целостности и доступности информационных активов, связанный с получением внутренними или внешними нарушителями несанкционированного логического доступа к информации, а также блокированием или разрушением этой информации с использованием. Возможностей, предоставляемых общесистемным и прикладным программным обеспечением. К этому классу угроз относится, например, следующее:
использование ошибок проектирования, кодирования, либо конфигурации для получения НСД;
использование закладок в ПО, оставленных для отладки, либо умышленно внедренных;
сбои в работе средств защиты информации;
маскарад, перехват паролей или взлом паролей пользователей;
нецелевое использование ПО;
анализ сетевого трафика с целью перехвата информации;
замена, вставка, удаление или изменение данных пользователей в информационном потоке;
ошибки пользователей и технического персонала;
внедрение вредоносного ПО;
утечка конфиденциальной информации но электронным каналам связи (электронная почта, системы мгновенных сообщений и т.п.) либо на внешние устройства и носители информации;
и т.п.
Большинство рассматриваемых в этом классе угроз реализуется путем осуществления локальных или удаленных атак на информационные активы системы внутренними и внешними нарушителями. Результатом успешного осуществления этих угроз становится получение НСД к информации электронного архива, управляющей информации, хранящимся на рабочих местах администраторов, конфигурационной информации активного сетевого оборудования, а также к данным, передаваемым по каналам связи.
Угрозы утечки информации по техническим каналам
Утечка информации по техническим каналам связи — это специфический класс угроз, требующий для своей реализации специальных навыков и оборудования для проведения технической разведки. Такие методы пускаются в ход, когда перехватываемая информации имеет очень большую ценность, что характерно для деятельности разведслужб.
К данному классу угроз относится следующее:
побочные электромагнитные излучения;
наводки сигнала на провода и линии связи, заземления, электропитания;
радиоизлучения, модулированные информативным сигналом, паразитные излучения;
радиоизлучения, обусловленные воздействием на технические средства высокочастотных сигналов, создаваемых при помощи разведывательной аппаратуры;
аппаратные закладки;
акустическое излучение речевого сигнала;
виброакустические излучения речевого сигнала;
просмотр информации с экранов дисплеев при помощи оптических средств;
телевизионная и фотографическая разведка.
Угрозы в отношении программных средств
Программное обеспечение выступает в трех ипостасях. Во-первых, оно является средством обработки информации, которое может использоваться для нарушения безопасности информационных активов. Во-вторых, исходные тексты и исполняемые файлы программ сами по себе являются информационными активами, подверженными тем же угрозам безопасности, что и любые другие активы. В-третьих, программное обеспечение выступает в качестве объекта интеллектуальной собственности, нуждающегося в юридической защите.
В отношении программных средств могут реализовываться следующие виды угроз:
порча ПО и резервных копий;
внесение несанкционированных изменений в исходные тесты ПО;
использование нелицензионного ПО;
нарушение лицензионных соглашений;
нарушение конфиденциальности программных кодов.
Угрозы техническим средствам
К данному классу относятся угрозы доступности, целостности и, в некоторых случаях, конфиденциальности информации, хранимой, обрабатываемой и передаваемой по каналам связи, связанные с повреждениями и отказами технических средств системы и повреждением линий связи.
В этом классе целесообразно рассмотреть следующие основные виды угроз:
умышленное или неумышленное физическое повреждение технических средств внутренними нарушителями;
физическое повреждение сетевого и каналообразующего оборудования внутренними нарушителями;
физическое повреждение линий связи внешними или внутренними нарушителями;
перебои в системе электропитания;
отказы технических средств;
установка непроверенных технических средств или замена вышедших из строя аппаратных компонентов на неидентичные компоненты;
хищение носителей конфиденциальной информации внутренними нарушителями вследствие отсутствия контроля за их использованием и хранением.
Источниками угроз в отношении технических средств могут служить:
внутренние нарушители, имеющие доступ к системному оборудованию
внешние нарушители, имеющие доступ к линиям связи.
Подробный перечень примерных типичных угроз безопасности, рассматриваемых при оценке информационных рисков, приведен в приложении С ГОСТ Р ИСО/МЭК 27005-2010 [18].
После идентификации источника угрозы (кто и что вызывает угрозу) и объекта угрозы (т.е. какие элементы системы могут быть затронуты угрозой) необходимо оценить вероятность угроз. При этом следует принимать в расчет:
частоту угрозы (насколько часто она может происходить в соответствии с опытом, применимой статистикой и т.д.);
для умышленных источников угрозы: мотивацию возможных нарушителей, их возможности, доступные им ресурсы, восприятие привлекательности и уязвимости активов информационной системы;
для случайных источников угрозы: географические факторы, такие как близость к химическим или нефтяным заводам, возможность экстремальных погодных условий и факторы, которые могут влиять на человеческие ошибки и неправильное функционирование оборудования.
Для каждого информационного актива или группы активов определяется список угроз в отношении конфиденциальности, целостности и доступности.
По завершении оценки угроз составляется список идентифицированных угроз, затрагиваемых ими активов или групп активов и меры вероятности того, что угроза произойдет, например, по шкале, такой как высокая, средняя или низкая (табл. 1.10).
Н – низкая вероятность. Маловероятно, что эта угроза осуществится, не существует инцидентов, статистики, мотивов и т.п., которые указывали бы на то, что это может произойти. Ожидаемая частота реализации угрозы не превышает 1 раз в 5-10 лет.
С – средняя вероятность. Возможно, эта угроза осуществится (в прошлом происходили инциденты), или существует статистика или другая информация, указывающая на то, что такие или подобные угрозы иногда осуществлялись прежде, или существуют признаки того, что у атакующего могут быть определенные причины для реализации таких действий. Ожидаемая частота реализации угрозы – примерно один раз в год.
В – высокая вероятность. Эта угроза, скорее всего, осуществится. Существуют инциденты, статистика или другая информация, указывающая на то, что угроза, скорее всего, осуществится, или могут существовать серьезные причины или мотивы для атакующего, чтобы осуществить такие действия. Ожидаемая частота реализации угрозы – еженедельно или чаще.
Таблица 1.10
Оценка вероятности угроз
№ |
Группа угроз |
Уровень |
Примечание |
|
Угрозы утечки конфиденциальной информации |
|
|
1. |
Утечка конфиденциальной информации из сети по каналам связи (e-mail, web, chat/IM и т.п.) Нецелевое использование компьютерного оборудования и сети Интернет сотрудниками организации |
С |
Квалификация сотрудников достаточно низкая и большинство каналов пере-крыто, что сни-жает вероятность данной угрозы |
2. |
Утечка конфиденциальной информации на мобильных устройствах, носителях инфор-мации, ноутбуках и т. п. Нецелевое использование компьютерного оборудования и сети Интернет сотрудниками организации |
С |
Угроза достаточно легко осуществима. однако ноутбуки и КПК не используются |
3. |
Прослушивание внешних каналов связи злоумышленниками |
Н |
Угроза не соответствует ценности информации |