Учебники 80358
.pdf
физическое повреждение сетевого и каналообразующего оборудования внутренними нарушителями;
физическое повреждение линий связи внешними или внутренними нарушителями;
перебои в системе электропитания;
отказы технических средств;
установка непроверенных технических средств или замена вышедших из строя аппаратных компонентов на неидентичные компоненты; 
хищение носителей конфиденциальной информации
внутренними нарушителями вследствие отсутствия контроля за их использованием и хранением.
Источниками угроз в отношении технических средств
могут служить:
внутренние нарушители, имеющие доступ к системному оборудованию 
внешние нарушители, имеющие доступ к линиям связи.
Подробный перечень примерных типичных угроз безопасности, рассматриваемых при оценке информационных рисков, приведен в приложении С ГОСТ Р ИСО/МЭК 270052010 [18].
После идентификации источника угрозы (кто и что вызывает угрозу) и объекта угрозы (т.е. какие элементы системы могут быть затронуты угрозой) необходимо оценить вероятность угроз. При этом следует принимать в расчет:
частоту угрозы (насколько часто она может происходить в соответствии с опытом, применимой статистикой и т.д.); 
для умышленных источников угрозы: мотивацию
возможных |
нарушителей, |
их |
возможности, |
||
доступные |
им |
ресурсы, |
|
восприятие |
|
привлекательности |
и |
уязвимости |
активов |
||
|
|
41 |
|
|
|
информационной системы; 
для случайных источников угрозы: географические
факторы, такие как близость к химическим или нефтяным заводам, возможность экстремальных погодных условий и факторы, которые могут влиять на человеческие ошибки и неправильное функционирование оборудования.
Для каждого информационного актива или группы активов определяется список угроз в отношении конфиденциальности, целостности и доступности.
По завершении оценки угроз составляется список идентифицированных угроз, затрагиваемых ими активов или групп активов и меры вероятности того, что угроза произойдет,
например, по шкале, такой как высокая, средняя или низкая
(табл. 1.10).
Н – низкая вероятность. Маловероятно, что эта угроза осуществится, не существует инцидентов, статистики, мотивов и т.п., которые указывали бы на то, что это может произойти. Ожидаемая частота реализации угрозы не превышает 1 раз в
5-10 лет.
С – средняя вероятность. Возможно, эта угроза осуществится (в прошлом происходили инциденты), или существует статистика или другая информация, указывающая на то, что такие или подобные угрозы иногда осуществлялись прежде, или существуют признаки того, что у атакующего могут быть определенные причины для реализации таких действий. Ожидаемая частота реализации угрозы – примерно один раз в год.
В – высокая вероятность. Эта угроза, скорее всего, осуществится. Существуют инциденты, статистика или другая информация, указывающая на то, что угроза, скорее всего, осуществится, или могут существовать серьезные причины или мотивы для атакующего, чтобы осуществить такие действия. Ожидаемая частота реализации угрозы – еженедельно или чаще.
42
|
|
|
Таблица 1.10 |
|
Оценка вероятности угроз |
||
№ |
Группа угроз |
Уровень |
Примечание |
|
Угрозы утечки |
|
|
|
конфиденциальной |
|
|
|
информации |
|
|
1. |
Утечка конфиденциальной |
С |
Квалификация |
|
информации из сети по каналам |
|
сотрудников |
|
связи (e-mail, web, chat/IM и т.п.) |
|
достаточно низкая |
|
Нецелевое использование |
|
и большинство |
|
компьютерного оборудования и |
|
каналов пере- |
|
сети Интернет сотрудниками |
|
крыто, что сни- |
|
организации |
|
жает вероятность |
|
|
|
данной угрозы |
2. |
Утечка конфиденциальной |
С |
Угроза достаточно |
|
информации на мобильных |
|
легко |
|
устройствах, носителях инфор- |
|
осуществима. |
|
мации, ноутбуках и т. п. Нецелевое |
|
однако ноутбуки и |
|
использование компьютерного |
|
КПК не |
|
оборудования и сети Интернет |
|
используются |
|
сотрудниками организации |
|
|
3. |
Прослушивание внешних каналов |
Н |
Угроза не |
|
связи злоумышленниками |
|
соответствует |
|
|
|
ценности |
|
|
|
информации |
3. Определение существующих мер и средств контроля и управления
Во избежание лишней работы или расходов, например, при дублировании мер и средств контроля и управления, необходимо определить существующие меры и средства контроля и управления. Один из способов количественной оценки действия мер и средств контроля и управления – выявить, как оно снижает вероятность возникновения угрозы, затрудняет использование уязвимости и возможности влияния инцидента. Меры и средства контроля и управления, которые планируется реализовать в соответствии с планами реализации
43
обработки риска, должны быть определены тем же самым способом, который уже был реализован.
На данном этапе должен быть определен перечень всех существующих и планируемых мер и средств контроля и управления, их нахождение и состояние использования.
4. Выявление уязвимостей
Выявление уязвимостей включает выявление слабых мест, которые могут быть использованы источником угрозы для причинения вреда активам.
Уязвимости могут быть выявлены в следующих областях:
организация работ;
процессы и процедуры;
установившийся порядок управления;
персонал;
физическая среда;
конфигурация информационной системы;
аппаратные средства, программное обеспечение и аппаратура связи; 
зависимость от внешних сторон.
Наличие уязвимости само по себе не наносит ущерба, поскольку необходимо наличие угрозы, которая сможет воспользоваться ею. Для уязвимости, которой не соответствует определенная угроза, может не потребоваться внедрение средства контроля и управления, но она должна осознаваться и подвергаться мониторингу на предмет изменений.
Примеры уязвимостей и методы их оценки приведены в приложении D ГОСТ Р ИСО/МЭК 27005-2010 [18].
Уязвимости, так же как и угрозы, могут быть оценены по трехуровневой качественной шкале. Значение уровня уязвимости показывает, насколько вероятно успешное осуществление угрозы с использованием данной уязвимости в случае, если эта угроза будет реализовываться. Соответствую-
44
щие качественные уровни уязвимости могут быть определены, например, следующим образом:
В – вероятно. Уязвимость легко использовать, и существует слабая защита или зашита вообще отсутствует. Вероятность успешной реализации угрозы ~ 0,9 - 1.
С – возможно. Уязвимость может быть использована, но существует определенная защита. Вероятность успешной реализации угрозы ~ 0.5.
Н – маловероятно. Уязвимость сложно использовать, и существует хорошая защита. Вероятность успешной реализации угрозы ~ 0 –
0.1.
Оценка вероятности угроз и величины уязвимостей заносится в табл. 1.11. Эти данные могут и сразу заносится в реестр информационных рисков, минуя промежуточную таблицу.
Следует обратить внимание на то, что в таблице оценки угроз и уязвимостей фигурируют группы угроз и группы уязвимостей, а оценка вероятности является суммарной оценкой вероятностей всех угроз и всех связанных с ними уязвимостей.
45
|
|
|
|
|
|
|
|
|
|
Таблица 1.11 |
|
|
|
Результаты оценки угроз и уязвимостей (фрагмент) |
|
||||||
№ |
Группы угроз |
|
Уязвимости |
|
|
Вероятность |
Уровень |
Механизмы |
||
|
|
|
|
|
|
|
|
угроз |
уязвимости |
контроля |
|
|
|
|
|
|
|||||
1 |
НСД к ресурсам ЛВС |
Слабые пароли, отсутствие |
С |
В |
Корректное |
|||||
|
компании |
со |
стороны |
парольной |
политики. Наличие |
|
|
управление |
||
|
внутренних |
злоумыш- |
внутренних |
|
уязвимостей, |
|
|
доступом. Низкая |
||
|
ленников. |
|
|
обусловленных |
несвоевре- |
|
|
квалификация |
||
|
Маскарад, |
использование |
менным |
обновлением |
ОС, |
|
|
пользователей для |
||
|
чужих |
пользовательских |
Мониторинг |
действий |
|
|
осуществления |
|||
|
идентификаторов, |
|
пользователей не производится |
|
|
НСД |
||||
|
раскрытие паролей и другой |
|
|
|
|
|
|
|
||
|
аутентификационной |
|
|
|
|
|
|
|
||
|
информации |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||
2 |
НСД к ресурсам ЛВС |
Отсутствуют |
последние |
В |
С |
Хорошая |
||||
|
компании |
со |
стороны |
обновления |
на |
корпоративном |
|
|
защита |
|
|
внешних |
злоумышлен- |
файерволле. |
Единственный |
|
|
периметра. |
|||
|
ников. |
|
|
защитный барьер. |
|
|
|
|
Отсутствие |
|
|
Маскарад, |
использование |
Наличие |
внутренних |
уязви- |
|
|
известных |
||
|
чужих |
пользовательских |
мостей, |
|
обусловленных |
|
|
уязвимостей |
||
|
идентификаторов, |
|
несвоевременным |
обновлением |
|
|
|
|||
|
раскрытие паролей и другой |
ОС. Отсутствие системы обна- |
|
|
|
|||||
|
аутентификациионной |
ружения вторжений (IDS) |
|
|
|
|
||||
|
информации |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
46 |
|
|
|
|
При оценке величины группы уязвимостей взвешиваются все найденные слабости защиты, способствующие успешному осуществлению угроз, и все существующие механизмы контроля, затрудняющие осуществление этих угроз. Суммарный уровень группы уязвимостей определяется путем сложения уровней всех идентифицированных уязвимостей и вычитания из них уровней всех идентифицированных механизмов контроля, при этом действенность (уровень) механизма контроля определяется по такому же принципу, как и уровень уязвимости:
В – высокий уровень контроля. Маловероятно, что такой механизм контроля удастся обойти. Вероятность обхода (преодоления) механизма контроля ~ 0 – 0.1.
С – средний уровень контроля. Механизм контроля обеспечивает определенную защиту, однако есть возможность его обойти, затратив определенные усилия. Вероятность обхода (преодоления) механизма контроля ~ 0.5.
Н – низкий уровень контроля. Такой механизм контроля незначительным образом уменьшает уязвимости активов, и его довольно просто обойти. Вероятность обхода (преодоления) механизма контроля ~ 0.9 – 1.
Для определения итогового уровня уязвимости, рассматриваемой для конкретной группы угроз, обычно используются экспертные оценки. На правую чашу весов кладутся механизмы контроля, палевую — уязвимости. Если сильно перевешивают уязвимости, тогда итоговый уровень будет высоким. Если существенный перевес на стороне механизмов контроля, которые способны нивелировать все имеющиеся уязвимости, тогда итоговый уровень уязвимости будет низким. Если между механизмами контроля и уязвимостями наблюдается примерный паритет, тогда итоговый уровень уязвимости оценивается как средний.
47
Таким образом, результатом данного шага должен перечень уязвимостей, связанных с активами, угрозами и мерами и средствами контроля и управления; перечень уязвимостей, не связанных с выявленной угрозой, подлежащей рассмотрению.
5. Определение последствий
Перед оценкой риска должны быть определены последствия для активов, вызванные потерей конфиденциальности, целостности и доступности. Последствием может быть снижение эффективности, неблагоприятные операционные условия, потеря бизнеса, ущерб, нанесенный репутации, и т.д.
Эта деятельность определяет ущерб или последствия для организации, которые могут быть обусловлены сценарием инцидента. Сценарий инцидента – это описание угрозы, использующей определенную уязвимость или совокупность уязвимостей в инциденте. Влияние сценариев инцидентов обусловливается критериями влияния, определяемыми в течение деятельности по установлению контекста.
Организации должны определять операционные последствия сценариев инцидентов на основе (но не ограничиваясь):
времени на расследование и восстановление;
потерь (рабочего) времени;
упущенной возможности;
охраны труда и безопасности;
финансовых затрат на приобретение специфических навыков, необходимых для устранения неисправности; репутации и иного «неосязаемого капитала».
Результатом данного шага является перечень сценариев инцидентов с их последствиями, связанными с активами и бизнес-процессами.
48
1.3.2.1.2. Установление значения риска (количественная оценка риска)
Анализ риска может быть выполнен с различной степенью детализации в зависимости от критичности активов, распространенности известных уязвимостей и прежних инцидентов, касавшихся организации. Методология установления значения риска может быть качественной, количественной или комбинированной, в зависимости от обстоятельств. Форма анализа должна согласовываться с критериями оценки риска, разработанными как часть установления контекста.
Для установления качественного значения используется шкала квалификации атрибутов, с помощью которой описываются величины возможных последствий (например, «низкий», «средний» и «высокий») и вероятности возникновения этих последствий. Преимущество установления качественного значения заключается в доступности для понимания всем соответствующим персоналом, а недостатком
– зависимость от субъективного выбора шкалы.
Такие шкалы могут быть адаптированы или скорректированы в соответствии с обстоятельствами, для разных рисков могут использоваться разные описания. Установление качественного значения может использоваться:
как начальная деятельность по тщательной проверке для идентификации рисков, требующих более детального анализа;
там, где этот вид анализа способствует принятию решения; там, где числовые данные или ресурсы являются
неадекватными для установления количественного значения.
Качественный анализ должен использовать фактическую информацию и доступные данные.
49
Для установления количественной оценки используется шкала с числовыми значениями (а не описательные шкалы, используемые при установлении качественного значения) как последствий, так и вероятности, с применением данных из различных источников. В табл. 1.12 приведен пример матрицы с величиной рисков, полученных в результате сопоставления ценности активов, вероятности угроз и уровня уязвимостей.
В этом примере величина рисков определяется по шкале от 0 до 8:
Величина риска в диапазоне от 0 до 2 соответствует относительно низкому уровню риска, который, как правило, может быть принят без дальнейшей обработки.
Величина риска в диапазоне от 3 до 5 соответствует среднему уровню риска, который может требовать определенной обработки.
Величина риска в диапазоне от 6 до 8 соответствует высокому уровню риска, который должен быть обработан в первую очередь.
Для многих организаций такой шкалы вполне достаточно. Однако ничто не мешает эту шкалу расширить, введя дополнительные уровни угроз, уязвимостей или ущерба (ценности актива).
В результате формируется Реестр информационных рисков — основной документ, описывающий текущую ситуацию с рисками в организации. Он формируется путем объединения таблицы ценности активов, таблицы оценки угроз и уязвимостей и таблицы величины рисков табл. 1.13.
50