- •Методика проведения анализа риска и потерь
- •Методика проведения анализа риска и потерь
- •Определение границ управления информационной безопасностью объекта.
- •Разработка сценария действий по нарушению информационной безопасности
- •Выбор анализируемых объектов и степени детальности их рассмотрения
- •Моделирование каналов утечки информации и нсд
- •Оценка вероятности реализации угроз (установления информационного контакта)
- •Оценка возможного ущерба (потерь)
- •Определение стратегии управления рисками
- •Ранжирование угроз и выбор контрмер обеспечения информационной безопасности
- •Проверка системы защиты информации
- •Оценка эффективности вариантов построения защиты
- •Тестирование системы защиты
- •В настоящее время cramm является, судя по числу ссылок в Интернет, самым распространенным методом анализа и контроля рисков.
Оценка эффективности вариантов построения защиты
После принятия того или иного варианта политики безопасности необходимо оценить уровень безопасности информационной системы. Естественно, что оценка защищенности производится по совокупности показателей, основными из которых являются стоимость, эффективность, реализуемость.
Задача оценки вариантов построения системы зашиты информации достаточно сложная, требующая привлечения современных математических методов многопараметрической оценки эффективности. К таким методам относятся метод анализа иерархий, экспертные методы, метод последовательных уступок и ряд подобных им.
Тестирование системы защиты
Такая проверка называется "тестирование на проникновение". Согласно “Оранжевой книге”, его целью является предоставление гарантий того, что в автоматизированной системе не существует простых путей для неавторизованного пользователя обойти механизмы защиты.
Для этого выделяется группа из двух человек, имеющих высшее специальное образование. Этой группе предоставляется в распоряжение автоматизированная система в защищенном исполнении, и она в течение 1-3 месяцев пытается найти уязвимые места и разработать на их основе тестовые средства для обхода механизмов защиты.
Для гарантии объективности тестирования проверяющие должны быть достаточно профессиональны и независимы.
Один из возможных способов аттестации безопасности системы - приглашение хакеров взломать ее, не уведомляя предварительно персонал сети. Наемные хакеры (или антихакеpы) по результатам работы представляют конфиденциальный доклад с оценкой уровня доступности информации и рекомендациями по улучшению защиты.
Наряду с таким способом используются профессиональные средства тестирования.
Примером средства такого рода может служить набор SafeSuite, распространяемый фирмой Internet Security Systems, включающий в себя программы проверки безопасности как автономной ЭВМ, так и ЭВМ в сети, брандмауэра и Web-сеpвеpа. Принцип работы программы проверки безопасности ЭВМ в сети состоит в сканировании всех ЭВМ в сети и в проверке наличия у них известных уязвимых мест в Unix-системах. Обновляется же программа потому, что список уязвимых мест постоянно пополняется.
Фирма Intrusion Detection Inc. разработала программу KSA, которая запускаясь на рабочей станции ЛВС, выполняет ряд проверок в следующих областях: корректность предоставления прав пользователям, слабость паролей, правильную настройку средств управления доступом, мониторинг сети, целостность данных и конфиденциальность данных. Результаты выдаются в виде обобщенных оценок, не требуя от пользователя глубоких технических знаний.
Для NT появилась пpогpамма подбоpа паpоля, запускаемая на самом сеpвеpе, котоpая позволяет выявить легко угадываемые паpоли, pаботающая со скоpосью 6000 паpолей в минуту. Есть пpогpамма получения доступа к сеpвеpу пpи утpате паpоля администpатоpа.
Что касается пpогpамм типа вскpытия паpоля файла Word или Access, то есть специальный www-сеpвеp антимайкpософтовских хаккеpов, собиpающих пpогpаммы взлома для пpодуктов Microsoft и пpедлагающих их желающим.
С появлением средств тестирования появились и средства препятствующие самому тестированию. В этом проявляется диалектика развития всех явлений природы.
В заключении этого раздела необходимо отметить, что, как показывает разработка реальных АСУ, ни один из способов (мер, средств и мероприятий) обеспечения безопасности информации не является надежным, а максимальный эффект достигается при объединении всех их в целостную подсистему контроля и защиты информации.
Только оптимальное сочетание организационных, технических и программных мероприятий, а также постоянное внимание и контроль за поддержанием системы защиты в актуальном состоянии позволит с наибольшей эффективностью обеспечить решение постоянной задачи. При этом следует учитывать, что такая подсистема должна создаваться параллельно с АСУ начиная с момента выработки общего замысла построения и проектирования последней.
Выбор количества и содержания мероприятий обеспечения безопасности информации, а также способов их реализации осуществляется с учетом имеющихся средств и методов применительно к конкретной АСУ. Кроме того, поскольку технические методы, меры и средства составляют лишь незначительную часть (около 20%) всех возможных (основную часть составляют организационные), необходимо достаточно строгое обоснование технических требований к подсистеме контроля и защиты информации от искажения при переработке, разрушения при эксплуатации, раскрытия и модификации при несанкционированном доступе и использовании.
Сложившаяся на сегодняшний день в развитых капиталистических странах практика обеспечения безопасности конфиденциальной информации фирм и компаний прошла путь от чисто административных ограничительных режимных мер, планомерного обучения персонала приемам и методам защиты закрытой информации, использования психологических аспектов защиты коммерческой тайны к пониманию того, что только в сочетании этих направлений с научным, системным подходом к разработке и реализации программ фирм по защите информации можно добиться успеха в обеспечении надежной сохранности производственных, коммерческих и интеллектуальных секретов.
Для проведения полного анализа и управления рисками существуют специально разработанные инструментальные средства, построенные с использованием структурных методов системного анализа и проектирования (SSADM — Structured Systems Analysis and Design), которые обеспечивают:
• построение модели информационной системы с точки зрения информационной безопасности;
• методы для оценки ценности ресурсов;
• инструментарий для составления списка угроз и оценки их вероятностей;
• выбор контрмер и анализ их эффективности;
• анализ вариантов построения защиты;
• документирование (генерацию отчетов).
В настоящее время на рынке присутствует несколько программных продуктов этого класса. Наиболее популярный из них CRAMM.
В 1985 году Центральное Агентство по Компьютерам и Телекоммуникациям (ССТА) Великобритании начало исследования существующих методов анализа ИБ для того, чтобы рекомендовать методы, пригодные для использования в правительственных учреждениях, занятых обработкой несекретной, но критичной информации. Ни один из рассмотренных методов не подошел. Поэтому был разработан новый метод, соответствующий требованиям ССТА. Он получил название CRAMM – Метод ССТА Анализа и Контроля Рисков. Затем появилось несколько версий метода, ориентированных на требования министерства обороны, гражданских государственных учреждений, финансовых структур, частных организаций. Одна из версий, «коммерческий профиль», является коммерческим продуктом.
Целью разработки метода являлось создание формализованной процедуры, позволяющей:
• убедиться, что требования, связанные с безопасностью, полностью проанализированы и документированы;
• избежать расходов на излишние меры безопасности, возможные при субъективной оценке рисков;
• оказывать помощь в планировании и осуществлении защиты на всех стадиях жизненного цикла информационных систем;
• обеспечить проведение работ в сжатые сроки;
• автоматизировать процесс анализа требований безопасности;
• представить обоснование для мер противодействия;
• оценивать эффективность контрмер, сравнивать различные варианты контрмер;
• генерировать отчеты.