Учебники 80358
.pdf
документов, настраиваемых для каждой организации; средства планирования непрерывности бизнеса; средства проведения высокоуровневого анализа рисков (всего за 2 часа) при помощи CRAMM v.5 Express;
средства документирования механизмов безопасности и результатов аудита.
Хорошо структурированный и широко опробованный метод CRAMM обладает необходимой гибкостью и универсальностью, что позволяют использовать его в проектах любого уровня сложности. В тоже время CRAMM не лишен и определенных недостатков, в числе которых можно отметить следующее:
требует специальной подготовки и высокой квалификации;
в гораздо большей степени подходит для аудита уже существующих, нежели для разрабатываемых систем; аудит по методу CRAMM — процесс трудоемкий и
может потребовать месяцев непрерывной работы; генерирует большое количество бумажной
документации, которая не всегда полезна на практике; как и у многих других импортных продуктов, в
CRAMM существуют проблемы с отображением кириллицы.
Возможность внесения дополнений в базу знаний фактически не доступна пользователям, что вызывает значительные трудности при адаптации этого метода к потребностям организации. Кроме того, CRAMM не позволяет создавать собственные шаблоны отчетов или модифицировать имеющиеся.
81
1.5.3. RiskWatch
Метод RiskWatch, разработанный при участии Национального института стандартов и технологий США (U.S. NIST), Министерства обороны США (U.S. DoD) и Министерства обороны Канады (Canadian Dept. of National Canadian Defence) в 1988 году, фактически является стандартом для американских государственных организаций. По заявлению разработчиков, этот метод используют в тысячах организаций не только в США, но и по всему миру.
К основным достоинствам программного продукта RiskWatch, помимо сравнительной простоты использования, можно отнести следующее:
глубоко проработанная и хорошо зарекомендовавшая себя методология анализа рисков;
сочетание количественной и качественной оценки рисков;
обширная база знаний по угрозам, уязвимостям и контрмерам;
возможности редактирования и совершенствования базы знаний; настраиваемые отчеты.
RiskWatch представляет собой семейство программных продуктов, построенных на общем программном ядре, которые предназначены для управления различными видами рисков и поддержки различных стандартов.
Основные этапы оценки рисков по методу RiskWatch: 
определение параметров обследования; 
проведение интервью и ввод данных; 
расчет величины рисков; 
формирование отчетов.
На этапе определения параметров (Definition) задаются область оценки, категории ущерба, категории активов, рассматриваемые угрозы, уязвимости и применяемые
82
контрмеры. Можно использовать стандартные параметры и добавлять свои собственные.
На этапе ввода данных (Data) в систему заносятся данные о ценности активов, вероятности угроз, величине уязвимостей и стоимости контрмер. Ценности активов, определяемой величиной ущерба в результате нарушения конфиденциальности, целостности и доступности активов, соответствуют определенные оценочные денежные величины
Ожидаемая частота реализации угроз определяется в терминах среднегодовой оценочной частоты угрозы (Annual Frequency Estimate). База знаний RiskWatch определяет для каждой угрозы стандартную оценочную частоту (Standard Annual Frequency Estimate, SAFE). Для вычисления рисков используется локальная оценочная частота угрозы (Local Annual Frequency Estimate, LAFE), которую пользователь определяет сам, используя в качестве базового значение SAFE.
Для каждой контрмеры задается ее стоимость, которая определяется стоимостью внедрения и сопровождения . Также учитывается, на какой стадии находится реализация контрмеры, продолжительность ее жизненного цикла и насколько это контрмера уменьшает оценочную частоту реализации угрозы (LAFE).
На данном этапе также осуществляется формирование опросных листов, используемых для получения информации от владельцев активов, представителей бизнеса и экспертов предметной области.
Для проведения интервью используется webориентированный интерфейс, позволяющий опрашивать любое количество экспертов в удаленном режиме.
На этапе оценки рисков (Evaluation) производится связывание между собой данных о ценности активов, частоте угроз и величине уязвимостей. В результате производится расчет количественных значений ожидаемого среднегодового ущерба (Annual Loss Expectancy, ALE) для каждой комбинации актив – угроза – уязвимость. На данном этапе также производится расчет ROI для контрмер и рассмотрение
83
сценариев «А что если?» (What Ifs), позволяющих выбрать для уменьшения рисков оптимальную комбинацию контрмер.
На этапе формирования отчетов (Reports)
распечатывается предопределенный набор отчетов по результатам оценки рисков.
Используемые в отчетах графики представляют статистическую информацию, например, о распределении уязвимостей информационной системы по областям контроля.
Рекомендуемые контрмеры могут быть отсортированы в порядке убывания значения ROI, что является одним из основных показателей для принятия решения относительно реализации контрмер и соответствующих приоритетах их реализации.
1.5.4. COBRA
Набор программных продуктов под названием COBRA (Consultative Objective and Bi-Functional Risk Analysis),
разрабатываемый компанией Risk Associates, весьма условно можно причислить к средствам высокоуровневой оценки рисков. Скорее, данные продукты можно отнести к простейшим средствам оценки соответствия стандарту ISO 17799 и другим стандартам, а также к высокоуровневым средствам идентификации критичных, с точки зрения информационной безопасности, областей организации.
На практике COBRA применяется в основном для гэпанализа (оценки соответствия организации требованиям ISO 27002), так как это программное средство автоматизирует работу с опросниками и формирование отчетов. Для этих целей COBRA включает в себя набор опросников, построитель опросников, требования стандартов и шаблоны отчетных документов
Интерфейс программы имеет архаичный вид, характерный еще для DOS - приложений, что указывает на солидный возраст данного продукта, а также отсутствие актуальных версий.
84
1.5.5. RA2 the art of risk
RA2 the art of risk предназначен в первую очередь для того, чтобы облегчить создание СМИБ в соответствии с требованиями международного стандарта ISO 27001. В RA2 реализован достаточно простой для понимания процессный подход, общие требования к которому определены в ISO 27001 и более подробно описаны в стандарте BS 7799-3.
Разработчики Тэд Хамфриз (Ted Нumphrcys) и Анжелика Плейт (Angelika Plate) являются редакторами британского стандарта BS 7799 и международных стандартов ISO 27001 и ISO 17799, а также авторами серии книг BIP 0071-0074, являющихся официальными руководствами Британского института стандартов по внедрению стандартов серии 27000.
Процесс создания СМИБ в RA2 разделен на четыре
этапа:
сбор информации (Information Gathering);
оценка рисков (ISMS Risks);
обработка рисков (Risk Management Decisions);
внедрение механизмов контроля (Implementation of Controls).
Каждый шаг программы снабжен подробными пояснениями в полном соответствии со стандартом BS 7799.
Программный продукт RA2 включает в себя средства для решения следующих задач:
определения области действия, бизнес-требований, политики и целей СМИБ;
разработки реестра активов СМИБ;
оценки рисков СМИБ;
принятия решения по обработке рисков путем выбора подходящих контрмер из приложения А к стандарту
BS 7799-2;
анализа расхождений со стандартом ISO 27002; формирования Декларации о применимости и других документов СМИБ.
85
RA2 является хорошим средством для демонстрации концепции процессного построения СМИБ, выраженной в BS 7799-2(ISO 27001), а также полезным инструментом для обучения внедрению СМИБ. Его практическое использование в организации в качестве средства для управления рисками затрудняется недостаточной проработанностью пользовательского интерфейса (неудобные средства ввода и редактирования текстовой информации), примитивностью средств, предоставляемых для работы с моделью активов, угрозами и уязвимостями, а также определенными огрехами по части отображения кириллицы в отчетах.
1.5.6. vsRisk
VsRisk Risk Assessment Tool является современным средством оценки рисков, так же как и RA2, полностью базирующемся на международном стандарте ISO 27001.
Программный продукт vsRisk предоставляет простой и понятный пользовательский интерфейс на основе визардов и обладает следующими полезными свойствами:
позволяет оценивать риски нарушения конфиденциальности, целостности и доступности информации для бизнеса, а также с точки зрения соблюдения законодательства и контрактных обязательств в четком соответствии с ISO 27001;
поддерживает следующие стандарты: ISO/IEC 27002, BS7799-3:2006, ISO/IEC TR 13335-3:1998, NIST SP 800-30;
содержит интегрированную, регулярно обновляемую базу знаний по угрозам и уязвимостям.
Программный продукт vsRisk предоставляет средства для качественной оценки всех факторов рисков, включая угрозы, уязвимости, активы и механизмы контроля. К сожалению, он не содержит средств для количественной оценки
86
величины риска, ограничиваясь только качественными шкалами, настраиваемыми пользователем.
Все изменения, вносимые в базу данных продукта по ходу работы, подробным образом фиксируются в журнале аудита vsRisk позволяет по результатам оценки рисков формировать Декларации о применимости механизмов контроля и План обработки рисков в соответствии с требованиями стандарта ISO 27001.
VsRisk достаточно прост в использовании, его интерфейс снабжен всеми необходимыми пояснениями и он полностью соответствует требованиям международного стандарта ISO 27001, предъявляемым к оценке рисков.
В то же время существует ряд проблем, характерных не только для VsRisk, но и для многих других импортных продуктов:
Проблема с отображением символов кириллицы.
Отсутствие средств для построения модели активов.
Угрозы не связаны с соответствующими типами уязвимостей и категориями активов.
Невозможность добавления пояснений и обоснований выбора тех или иных значений вероятности угрозы и величины уязвимости.
Описание механизмов контроля включает в себя только название и цели. В то же время требуется подробное описание каждого механизма контроля в соответствии со стандартом ISO 27002, а также возможность добавлять наши собственные описания.
1.5.7. Callio Secura 17799
Компания Callio Technologies была основана в 2001 году двумя канадскими академиками и специализируется в области разработки программных продуктов для анализа информационных рисков и управления информационной безопасностью в соответствии с требованиями стандартов BS 7799 и ISO 17799. Callio Secura 17799 представляет собой
87
комплексную систему для разработки, внедрения, эксплуатации и сертификации Системы управления информационной безопасностью (СМИБ) на основе стандарта BS 7799.
Callio Secura 17799 предоставляет следующие основные возможности:
оценку соответствия стандарту ISO 17799;
инвентаризацию активов;
описание структуры и процессов СМИБ;
оценку и обработку рисков;
разработку планов внедрения механизмов контроля;
шаблоны политик безопасности (свыше 50 примеров);
управление документами;
управление опросными листами; оценку готовности к сертификации СМИБ по
требованиям международного стандарта ISO 27001.
Процесс управления рисками по Callio состоит из двух этапов.
На первом этапе производится идентификация активов, угроз, уязвимостей и требований безопасности, оценивается величина уязвимостей, вероятность угроз и ценность активов. На основании этих данных вычисляются значения рисков.
На втором этапе принимается решение относительно способов обработки рисков, приемлемого уровня остаточных рисков, разрабатывается план обработки рисков, производится внедрение механизмов контроля и разработка политик безопасности и других организационно-распорядительных документов.
Callio Secura 17799 предоставляет Web-интерфейс, механизмы коллективной работы, распределения ролей и полномочий между участниками процессов управления ИБ – рабочими группами, реализует управление документами, предоставляет шаблоны документов и опросники, а также методологию анализа и управления рисками. Система
88
реализует рабочий процесс (workflow), который используется при внедрении СМИБ и подготовке к сертификации.
Процесс подготовки к сертификации начинается с первоначальной диагностики, в ходе которой выполняется оценка соответствия текущего состояния ИБ требованиям стандарта (gap analysis).
На следующем этапе производится оценка рисков. Процесс оценки рисков начинается с инвентаризации активов. Он включает в себя идентификацию и категорирование ресурсов, составление перечня сведений ограниченного распространения и реестра информационных активов.
Далее для каждого актива оценивается его ценность для организации, которая определяется ущербом в результате нарушения его конфиденциальности, целостности, доступности или невыполнения требований при осуществлении угроз безопасности.
Идентификация рисков предполагает установку взаимосвязей между активами, уязвимостями и угрозами безопасности.
Далее для вычисления рисков определяются вероятности реализации угроз. Для каждой угрозы указывается вид ущерба.
Базируясь на информации о ценности активов и вероятности угроз, система автоматически вычисляет значения рисков и производит их упорядочивание по приоритетам.
Когда оценка рисков завершена, осуществляется переход к выбору и внедрению механизмов контроля, необходимых, для минимизации рисков. Callio Secura на основании результатов оценки рисков автоматически формирует набор рекомендуемых механизмов контроля из числа описанных в стандарте. Для каждого механизма контроля проставляется его текущий статус.
По завершении этого этапа формируется план создания СМИБ. После этого можно переходить к разработке и внедрению политик безопасности.
89
Для разработка политик безопасности используются шаблоны типовых документов. Базируясь на результатах анализа рисков, система автоматически формирует набор необходимых шаблонов. Готовые политики экспортируются в модуль управления документами, который позволяет производить их ревизию, согласование и публикацию на Webпортале.
Всего имеется более 100 различных документов, которые используются при реализации механизмов контроля СМИБ. Если предложенных системой шаблонов недостаточно, мы можем выбрать дополнительные документы и экспортировать их в модуль управления документами.
После того как создание СМИБ завершено – люди обучены, политики разработаны и внедрены, а функционирование механизмов контроля подтверждается документированными свидетельствами, – производится диагностика СМИБ с целью определения степени ее готовности к сертификации. Для этого используются специальный опросник и сопроводительные инструкции, предоставляемые системой.
Декларация о применимости является последним разрабатываемым документом и обязательным условием для сертификации. В нем для каждого механизма контроля, описанного в стандарте, указывается его применимость, текущий статус, степень реализации и обоснование его использования. Это первый документ, который изучается аудиторами во время сертификации.
В составе системы есть специальный модуль управления документами, который позволяет хранить все документы, имеющие отношение к функционированию СМИБ в центральной базе данных, публиковать и управлять доступом к этим документам для различных рабочих групп через webинтерфейс. При помощи этого инструмента выполняются такие необходимые задачи, как согласование и утверждение документов, а также контроль версий.
90