Учебники 80358

ФГБОУ ВПО «Воронежский государственный технический университет»

А.Г. Остапенко О.Н. Чопоров

МАТЕМАТИЧЕСКИЕ ОСНОВЫ УПРАВЛЕНИЯ РИСКАМИ НАРУШЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

Утверждено Редакционно-издательским советом университета в качестве учебного пособия

Воронеж 2014

УСЛОВНЫЕ СОКРАЩЕНИЯ

ALE (Annual Loss Expectancy) – ожидаемый сред-

негодовой ущерб

LAFE (Local Annual Frequency Estimate) – локальная оценочная частота угрозы

NIST (National Institute of Standards and Technology) –

Национальный институт Стандартов и технологий (США)

ROI (Return On Investment) – показатель возврата инвестиций

SAFE (Standard Annual Frequency Estimate) – стандартная оценочная частота угрозы

АС – автоматизированная система ИБ – информационная безопасность МРИБ – менеджмент риска ИБ

СМИБ – система менеджмента информационной безопасности

ИС – информационная система

ИСО (ISO) – Международная организация по стандартизации

ИТ – информационные технологии КЭС – комплексная экспертная система ЛВС – локальная вычислительная сеть

МЭК (IEC) - Международная электротехническая комиссия (International Electrotechnical Commission)

НСД – несанкционированный доступ ОС – операционная система ПК – персональный компьютер ПО – программное обеспечение ФЗ – федеральный закон

ФСБ – Федеральная служба безопасности России ФСТЭК – Федеральная служба по техническому и

экспортному контролю России ЦОД – центр обработки данных

3

ВВЕДЕНИЕ

Требования по управлению рисками нарушения информационной безопасности содержатся во многих международных и отечественных регламентирующих документах и обоснованы существующей практикой развития информационных технологий. Поэтому изучение проблем управления рисками и методов их решения является актуальным и востребованным в современном информационном обществе [6].

Настоящее пособие состоит из двух частей (глав).

В первой главе рассматриваются основные понятия и методы управления рисками нарушения информационной безопасности. При этом основу составляют положения современных стандартов семейства ГОСТ Р ИСО/МЭК 27000 – 27033 «Информационная технология. Методы и средства обеспечения безопасности. …». Рассматривается система менеджмента информационной безопасности и как основная ее составляющая – менеджмент риска информационной безопасности, включая основные этапы: установление контекста, оценку, обработку, принятие и коммуникацию риска, а также мониторинг и переоценку риска нарушения информационной безопасности. По ходу рассмотрения методики управления рисками даются подробные комментарии, приводятся варианты шкал для оценки активов, угроз, уязвимостей и рисков, а также варианты отчетных документов, включая реестр активов, реестр рисков, план обработки рисков. Рассматриваются современные стандарты в области управления информационными рисками. Анализируются существующие инструментальные средства для управления рисками, как зарубежные, так и отечественные.

Во второй главе рассматриваются математические основы принятия решений при управлении рисками нарушения информационной безопасности. Представлены основные понятия и обобщенная классификация задач принятия решений. Детально рассмотрены вопросы, связанные с

4

экспертными оценками, включая этапы работ по организации экспертизы, методы опроса экспертов, методы и алгоритмы обработки экспертной информации, оценку компетентности экспертов, оценку согласованности мнений экспертов. Рассмотрены методы многокритериального принятия решений при определенности; описаны принципы оптимальности, аксиоматические методы многокритериальной оценки альтернатив, метод аналитической иерархии, метод порогов несравнимости. Описаны статистические модели и методы принятия решений при неопределенности, обусловленной как случайными воздействиями внешней среды, так и действиями злоумышленника. Приведены критерии выбора решений Байеса-Лапласа, Гермейера, Бернулли-Лапласа, максиминный (Вальда), минимаксного риска Севиджа, Гурвица, ХоджесаЛемана и другие.

Рассмотрены задачи и методы многокритериальной оптимизации.

Данное учебное пособие предназначено для студентов дневной формы обучения, обучающихся по специальностям 090301 «Компьютерная безопасность», 090302 «Информационная безопасность телекоммуникационных систем», 090303 «Информационная безопасность автоматизированных систем», но может быть также полезно аспирантам и специалистам, занимающимся проблемами информационной безопасности.

5

1. МЕНЕДЖМЕНТ РИСКА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

1.1.Основные термины и определения

Внастоящее время имеется большое количество учебнометодической и научной литературы, посвященной вопросам информационной безопасности, риск-анализа, управления рисками, в том числе, информационными [3, 4, 6, 9, 23, 26-28, 39-41, 43, 46, 48-61, 63-67, 72, 75-77]. В них приводятся термины и определения, которые, могут отличаться друг от друга, в зависимости от первоисточника – нормативноправовые документы (федеральные законы, указы Президента РФ, постановления Правительства РФ, межведомственные и ведомственные руководящие документы и стандарты) [11-22, 24, 45, 47, 70], словари [69], личная формулировка автора.

Для однозначности трактовки будем использовать терминологию, обозначенную в российских государственных стандартах, посвященных вопросам информационной безопасности и менеджменту рисков, при этом, приоритет отдадим ГОСТ Р ИСО/МЭК 27000-2012 «Информационная технология «Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Общий обзор и терминология» [13], который был введен в действие

01.12.2013 г.

Далее приводятся основные термины и определения, прописанные в вышеуказанном стандарте и имеющие непосредственное отношение в управлению информационными рисками.

Актив (asset): что-либо, что имеет ценность для организации.

Примечание. Имеются различные типы активов:

информация;

программное обеспечение;

материальные активы, например, компьютер;

услуги;

люди и их квалификация, навыки и опыт;

6

нематериальные активы, такие как репутация и имидж.

Информационный актив (information asset): знания или данные, которые имеют значение для организации.

Контроль доступа (access control): обеспечение того,

чтобы доступ к активам был санкционирован и ограничен в соответствии с требованиями коммерческой тайны и безопасности.

Атака (attack): попытка уничтожения, открытия доступа, внесения изменения, вывода из строя, кражи, получения несанкционированного доступа или несанкционированного использования актива.

Воздействие (impact): неблагоприятное изменение уровня достигнутых бизнес-целей.

Риск (risk): сочетание вероятности события и его последствий.

Событие (event): Возникновение специфического набора обстоятельств.

Событие в системе информационной безопасности

(information security event): выявленный случай системы,

услуги или состояния сети, указывающий на возможное нарушение информационной безопасности, политики,

нарушение или отказ средств управления или прежде неизвестная ситуация, которая может иметь значение для безопасности.

Инцидент информационной безопасности (information security incident): одно или серия нежелательных или неожиданных событий в системе информационной безопасности, которые имеют большой шанс подвергнуть риску деловые операции и поставить под угрозу

информационную безопасность.

Менеджмент инцидента информационной безопасности (information security incident management):

процессы обнаружения, информирования, оценки, реагирования, рассмотрения и изучения инцидентов

информационной безопасности.

7

Система менеджмента информационной безопасности (СМИБ) (information security management system (ISMS): часть общей системы менеджмента, основанная на подходе бизнес-рисков, по созданию, внедрению, функционированию, мониторингу, анализу, поддержке и улучшению информационной безопасности.

Угроза (threat): возможная причина нежелательного инцидента, который может закончиться ущербом для системы или организации.

Уязвимость (vulnerability): слабость актива или

средства управления, которой может воспользоваться угроза.

Риск информационной безопасности (information security risk): потенциальная возможность того, что угроза будет использовать уязвимость актива или группы активов, причиняя таким образом ущерб организации.

Средства управления (control): средства управления риском, включая политики, процедуры, рекомендации,

практики или организационные структуры, которые могут носить административный, технический, управленческий или юридический характер.

Примечание. Термин «средство управления» также используется как синоним термина «мера безопасности» или «контрмера».

Политика (policy): общее намерение и направление, официально выраженное руководством.

Процедура (procedure): установленный способ действия или процесса.

Рекомендация (guideline): рекомендация, поясняющая действия и способы их выполнения, необходимые для достижения установленных целей.

Цель управления (control objective): формулировка,

описывающая, что должно быть достигнуто в результате применения средств управления.

Анализ риска (risk analysis): систематическое использование информации для выявления источников и оценки риска.

8

Примечание. Анализ риска обеспечивает базу для

оценивания риска, обработки риска и принятия риска. Оценивание риска (risk evaluation): процесс сравнения

оценочной величины риска с установленным критерием риска с целью определения уровня значимости риска.

Количественная оценка риска (risk estimation):

процесс присвоения значений вероятности и последствий

риска.

Критерии риска (risk criteria): правила, по которым оценивают значимость риска.

Обработка риска (risk treatment): процесс выбора и осуществления мер по модификации риска.

Принятие риска (risk acceptance): решение принять

риск.

Оценка риска (risk assessment): общий процесс анализа риска и оценивания риска.

Коммуникация риска (risk communication): обмен информацией о риске или совместное использование этой информации между лицом, принимающим решение, и другими причастными сторонами.

Менеджмент риска (risk management):

Скоординированные действия по руководству и управлению организацией в отношении риска.

Примечание. Обычно менеджмент риска включает в себя оценку риска, обработку риска, принятие риска,

коммуникацию риска, мониторинг и обзор риска. Эффективность (effectiveness): степень реализации

запланированной деятельности и достижения запланированных результатов.

Результативность (efficiency): связь между достигнутым результатом и использованными ресурсами.

9

1.2. Система менеджмента информационной безопасности

Менеджмент информационной безопасности,

согласно стандарту ГОСТ Р ИСО/МЭК 27001-2006, состоит из всех мероприятий, направленных на достижение и поддержку соответствующих уровней конфиденциальности, целостности и доступности [14]. К этому должны быть добавлены и рассмотрены неотказуемость, учетность, подлинность и надежность.

Менеджмент информационной безопасности

включает:

планирование, реализацию и мониторинг обеспечения безопасности;

обеспечение того, чтобы меры безопасности учитывали требования;

обеспечение того, чтобы кадровая, физическая и информационная безопасность соответствовали целям;

обеспечение того, чтобы вопрос инцидентов разрешался в соответствии со структурой менеджмента;

обеспечение того, чтобы персонал был образованным, обученным и сознавал свои обязанности и роли в отношении обеспечения безопасности;

обеспечение соответствия политикам, стандартам и процедурам;

аудит и проверку соответствия механизмов и целей безопасности.

Система менеджмента информационной безопасности (СМИБ) представляет модель для создания, внедрения, функционирования, мониторинга, анализа, поддержки и улучшения защиты информационных активов для достижения деловых целей, основанную на оценке риска и на принятии уровней риска организации, разработанную для эффективного рассмотрения и управления рисками [13].

10