5.2.2. Планирование сур иб организации. Обработка рисков
После вычисления оценки рисков необходимо провести обработку рисков, которая включает
– выбор способа обработки рисков;
– подготовку плана обработки рисков или плана мероприятий по снижению рисков с указанием контрмер (административные, организационные, программно-технические);
– расчет эффективности выбранных контрмер по снижению рисков.
5.2.2.1. Выбор способов обработки рисков
Выбор способа обработки рисков лежит в основе первого этапа обработки информационных рисков, в процессе которого определяются какие действия по отношению к рискам требуется выполнить в организации. Основные критерии обработки рисков:
– принятие рисков;
– уклонение от рисков;
– передача рисков;
– снижение рисков.
Принятие рисков осуществляется в том случае, если уровень рисков признается приемлемым, т. е. организация не считает целесообразным применять какие-либо меры по отношению к этим рискам и готова понести ущерб.
Уклонение от рисков — полное устранение источника риска.
Передача рисков — перенесение ответственности за риск на третьи лица (например, поставщика оборудования или страховую организацию) без устранения источника риска.
Снижение рисков — выбор и внедрение мер по снижению вероятности нанесения ущерба.
В процессе обработки рисков сначала требуется определить, какие из них требуют дальнейшей обработки, а какие можно принять. Как правило, это решается с помощью оценки приемлемого уровня риска. Риски, равные или ниже приемлемого, можно принять. Очевидно, что для рисков, превышающих приемлемый уровень, требуется выбрать дальнейшие меры по обработке. Приемлемый уровень риска определяется руководством организации или специальной группой, в которую входят руководители и главные финансисты организации. В случае, когда в организации наблюдается большой разброс значений риска (как правило, это может возникнуть, если критичность активов была определена в денежных единицах, а не уровнях), информационные риски можно разбить на категории и определять приемлемый уровень для каждой из них отдельно. Это вызвано тем, что снижать различные значения рисков до одного заданного значения не всегда целесообразно (часто для снижения высоких рисков до заданного уровня необходимы неоправданно большие затраты).
На сегодня один из наиболее распространенных – уменьшение риска путем принятия комплексной системы контрмер, включающей программно–технические и организационные меры защиты. Контрмеры могут снизить уровни рисков различными способами (уменьшая вероятность осуществления угроз ИБ; ликвидируя уязвимости или понижая их величину; уменьшая величину возможного ущерба; способствуя восстановлению ресурсов ИС, которым был нанесен ущерб; выявляя атаки и другие нарушения безопасности). Близким является подход, связанный с уклонением от риска. Наконец, в ряде случаев допустимо принятие риска. В этой ситуации важно определиться со следующей дилеммой: что для предприятия выгоднее – бороться с рисками или же с их последствиями, решая оптимизационную задачу.
После того как стратегия управления рисками выбрана, проводится окончательная оценка мероприятий по обеспечению информационной безопасности с подготовкой экспертного заключения о защищенности информационных ресурсов. В экспертное заключение входят все материалы анализа рисков и рекомендации по их снижению.
5.2.2.2. Подготовка плана обработки рисков
По результатам этапа «Выбор способов принятия рисков» составляется «Отчет об обработке информационных рисков организации», который подробно описывает методы обработки рисков. Кроме этого, составляется «План снижения рисков», где четко описываются контрмеры по снижению рисков, сотрудники, ответственные за выполнение каждого положения плана, сроки выполнения плана. Данный документ содержит перечень первоочередных мероприятий по снижению уровней рисков, а также цели и средства управления, направленные на снижение рисков, с указанием:
– лиц, ответственных за реализацию данных мероприятий и средств;
– сроков реализации мероприятий и приоритетов их выполнения;
– ресурсов для реализации таких мероприятий;
– уровней остаточных рисков после внедрения мероприятий и средств управления.
Разница между стоимостью реализации контрмер и величиной возможного ущерба должна быть тем больше, чем меньше вероятность причинения ущерба. Контрмеры могут способствовать уменьшению величины рисков различными способами:
– уменьшая вероятность осуществления угроз безопасности;
– ликвидируя уязвимости или уменьшая их величину;
– уменьшая величину возможного ущерба;
– выявляя атаки и другие нарушения безопасности;
– способствуя восстановлению ресурсов ИС, которым был нанесен ущерб.
5.2.2.3. Расчет эффективности выбранных контрмер по снижению рисков
Расчет эффективности принятых контрмер,
является мерой снижения рисков ИБ. В
случае применения метода оценки рисков,
основанного, например, на модели угроз
и уязвимостей для расчета эффективности
контрмер после их задания необходимо
повторно пройти
последовательно по всему алгоритму
вычисления оценки риска и вычислить
значение нового риска по ресурсу (
).
Таким образом, мы получаем значение
двух рисков – риска без учета
контрмеры (
)
и риск с учетом заданной контрмеры (
). Эффективность
введения контрмеры рассчитывается по
формуле:
Если эффективность контрмеры недостаточна, например, не соответствует величине приемлемого риска, то необходимо уточнить контрмеры и пройти последовательно по всему алгоритму еще раз.
5.2.3. Разработка требований к системе мониторинга ИБ и критерию оценки эффективности ИБ
Одной из основных функций СУИБ является мониторинг ИБ. Мониторинг ИБ – постоянное наблюдение за объектами и субъектами ИС, влияющими на состояние ее безопасности, а также сбор, анализ и обобщение результатов наблюдений. При этом главной задачей системы мониторинга ИБ является задача выявления и обработки инцидентов ИБ, количество которых служит мерой эффективности функционирования СОИБ.
5.2.3.1. Планирование организационно-технических требования по мониторингу состояния ИБ и контролю защитных мер СОИБ
Процесс мониторинга должен удовлетворять требованиям оперативности обнаружения несанкционированных действий и непрерывности сбора и анализа результатов наблюдения. Целями мониторинга являются:
– контроль за выполнением требований нормативных актов регуляторов по обеспечению безопасности информации и требований ПИБ ИС организации;
– выявление нештатных (в том числе злоумышленных) действий в ИС;
– выявление инцидентов ИБ (событий ИБ, требующих расследования).
Основной задачей мониторинга СУИБ является наблюдение в режиме реального времени за активными субъектами системы (пользователями, процессами и др.), сбор и анализ данных о функционировании этих субъектов, обобщение результатов анализа и формирование качественной и/или количественной оценки состояния ИБ, а также оценки функционирования системы в целом. При этом особое внимание должно быть уделено наблюдению за действиями в системе привилегированных пользователей. Итоговая оценка может содержать информацию о доступности информационных активов системы, об обнаружении деструктивных воздействий и др. Результат указанной оценки должен оформляться в виде сообщений «несанкционированное действие» (НСД) и/или «инцидент ИБ» и оперативно пересылаться администратору ИБ (АИБ) системы.
Существует два класса принципиально различных моделей мониторинга информационной безопасности: 1) модели, основанные на знаниях и 2) модели, основанные на обучении.
Модели, основанные на знаниях или сигнатурные модели, предполагают непрерывное наблюдение объекта защиты на предмет выявления в нем следов (признаков, сигнатур) некоторого наперед заданного множества атак и их блокировки по заранее назначенным правилам. Идея состоит в том, чтобы каким–либо образом задать характеристики злоумышленного поведения (это и называется сигнатурами), а затем отслеживать поток событий в поисках соответствия с предопределенными образцами. Таким образом, под сигнатурным анализом понимается анализ событий мониторинга, выделяемых в потоке регистрируемых данных, на соответствие заданным событийным цепочкам (сигнатурам), определяемым специально настраиваемыми правилами (шаблонами, фильтрами). Каждое из правил представляет собой цепочку первичных событий с определенными параметрами (контекстом события). Анализируемый поток первичных событий анализируется на предмет присутствия в нем заданных цепочек. Сигнатурный анализ производится в режиме реального времени. С правилами связаны обработчики событий, в которых производится анализ контекста на соответствие данному правилу и вырабатывается необходимая реакция, а именно, генерируется результирующее событие – сообщение о НСД или инциденте. Другими словами, методы сигнатурного анализа позволяют фиксировать факты конкретных нарушений, механизм которых заранее известен. Самой сложной проблемой для сигнатурного подхода является обнаружение ранее неизвестных атак. Модели указанного типа имеют множество разновидностей. Например, классические системы защиты информации от НСД, системы штатного аудита ОС и СУБД, – являются их частным случаем.
Модели, основанные на обучении, основываются на измерении отклонений наблюдаемого поведения субъекта (пользователей, приложений, аппаратуры) от его допустимого поведения. При этом допустимое («хорошее») поведение субъекта выявляется в процессе обучения системы контроля при его штатной работе. Одним из методов выявления аномальной активности является статистический метод.
Статистический анализ позволяет оценить соответствие текущего или апостериорного сеанса поведения легальных субъектов ИС априорному шаблону их поведения, построенному за определенные периоды времени. При статистической обработке анализируются все события, фиксируемые системой мониторинга, а не только сигнатурные цепочки заданных событий. При этом предполагается, что существуют статистические параметры наблюдаемой системы, неизменность которых отражает стабильность характера поведения ее субъектов. Количественные изменения этих параметров свидетельствует, либо об изменениях поведения субъектов (в том числе связанных с несанкционированными действиями), либо о действиях субъектов, направленных на дестабилизацию системы (изучение ее устойчивости, исследование недокументированных возможностей, обнаружение ошибок в администрировании и т. д.). Необходимо отметить, что типичной ситуацией в ИС является невозможность с помощью правил безопасности ограничить нежелательные действия легального пользователя, не лишив его при этом необходимой функциональности. В этой связи применение статистических методов играет большую эвристическую роль в системе мониторинга ИС, позволяя, во-первых, выявлять нетипичные действия легальных субъектов и, во-вторых, проводить более детальный анализ и дополнительные расследования.
Два подхода – статистический и экспертный хорошо дополняют друг друга, т. к. статистический подход хорош там, где существует понятие типичного поведения субъекта (т. е. распределения измеряемых величин в нормальной ситуации остаются относительно стабильными), а экспертный подход плохо справляется с неизвестными атаками (равно как и с многочисленными вариациями известных атак).
Проведенный выше анализ моделей нарушителя и угроз позволяет сделать вывод, что основную опасность с точки зрения несанкционированного доступа к информации в ИС и ее возможного искажения представляют собой действия лица, имеющего (или получившего путем преодоления средств защиты) наибольшие привилегии в любой подсистеме ИС – привилегии администраторов баз данных, операционных систем и СУБД. При этом они могут скрыть свои деструктивные действия с помощью удаления полей штатных журналов аудита в силу наличия у них значительных полномочий с одной стороны, и невозможности обеспечения полного контроля их действий штатными средствами – с другой. Например, в силу архитектуры СУБД Oracle, администратор СУБД имеет неограниченные права по управлению содержимым журнала аудита, а действия администратора SYS вообще не регистрируются в системе.
В этой связи мы приходим к выводу о необходимости внедрения в СУИБ независимых средств мониторинга ИБ для контроля за действиями привилегированных пользователей, или так называемых доверенных средств мониторинга ИБ. Дополнительно, в случае, если в функциональной структуре ИС имеется собственная служба информационной безопасности, ПИБ должна содержать требования по разделению полномочий, а также реквизитов доступа (паролей) в подсистеме между администраторами сопровождения ИС и АИБ. Штатный аудит операционных систем, СУБД, БД и сетевого оборудования может быть использован, в том числе, и для контроля действий администраторов со стороны АИБ.
Система внешнего (независимого) мониторинга представляет собой специально разработанные программные средства, основу которых составляют программные агенты (сенсоры), функционирующие на уровне драйверов соответствующих операционных систем.
Необходимо отметить, что независимый мониторинг часто является единственным инструментом контроля привилегированных пользователей, а именно, в тех случаях, когда невозможно ограничить выполнение ими не санкционированных/деструктивных действий, не лишив их при этом необходимой функциональности. Кроме того, для некоторых систем дополнительно все права по управлению штатным аудитом могут быть переданы независимому администратору.
Учитывая значительный объем данных аудита, поступающих от различных контролируемых подсистем ИС, а также многообразие требований политики безопасности, которые должны быть отслежены через эти данные, становится очевидной необходимость автоматизации процесса их анализа. При этом особое значение должно быть уделено построению единых (универсальных) систем интегрального мониторинга ИБ (ЕСМИБ), позволяющих выявлять в режиме реального времени подозрительные действия пользователей, в том числе распределенные атаки на систему защиты.