Управление информационными рисками – Т. Ю. Зырянова, А. А. Захаров, Ю. И. Ялышев (2008)
.pdf
РОССИЙСКАЯ ФЕДЕРАЦИЯ МИНИСТЕРСТВО ОБРАЗОВАНИЯ И НАУКИ
ФЕДЕРАЛЬНОЕ АГЕНТСТВО ПО ОБРАЗОВАНИЮ
ГОУ ВПО ТЮМЕНСКИЙ ГОСУДАРСТВЕННЫЙ УНИВЕРСИТЕТ
ПРИОРИТЕТНЫЙ НАЦИОНАЛЬНЫЙ ПРОЕКТ «ОБРАЗОВАНИЕ» ИННОВАЦИОННАЯ ОБРАЗОВАТЕЛЬНАЯ ПРОГРАММА ТюмГУ
ЦЕНТР ТРАНСЛЯЦИИ И ЭКСПОРТА ОБРАЗОВАТЕЛЬНЫХ ПРОГРАММ
Т. Ю. ЗЫРЯНОВА, А. А. ЗАХАРОВ, Ю. И. ЯЛЫШЕВ
УПРАВЛЕНИЕ ИНФОРМАЦИОННЫМИ РИСКАМИ
Монография
Выполнено в рамках Инновационной образовательной программы ТюмГУ
Издательство Тюменского государственного университета 2008
ООО «Виндекс», 2008
ÓÄÊ |
004.413.4 |
ÁÁÊ |
Ç973.26-018.2 |
|
Ç976 |
Т. Ю. Зырянова, А. А. Захаров, Ю. И. Ялышев. УПРАВЛЕНИЕ ИНФОРМАЦИОННЫМИ РИСКАМИ: Монография. Тюмень: Издательство Тюменского государственного университета, 2008. 192 с.
Отражены теоретические основы управления информационными рисками, рассмотрены основные положения международных и национальных стандартов в этой области. Выполнен анализ методик и программного обеспече- ния управления информационными рисками. Представлен англо-немецко-рус- ский словарь базовых понятий управления информационными рисками.
Предназначена для преподавателей и специалистов по защите информации, научных работников и студентов старших курсов, специализирующихся в области информационной безопасности.
Подготовлена в рамках проекта «Формирование инновационного научнообразовательного комплекса Тюменского государственного университета для обеспечения эффективности природопользования в условиях интенсивного освоения ресурсов Западной Сибири».
Обсуждена на заседании кафедры информационной безопасности Института математики и компьютерных наук ТюмГУ.
Рецензенты: В. А. Баранский, доктор физико-математических наук, профессор Уральского государственного университета Â. Ì. Ñàé, доктор технических наук, профессор Уральского государственного университета путей сообщения
©ГОУ ВПО Тюменский государственный университет, 2008
©Т. Ю. Зырянова, А. А. Захаров, Ю. И. Ялышев, 2008
ОГЛАВЛЕНИЕ
ПРЕДИСЛОВИЕ ...................................................................................................... |
6 |
|
1. |
КОМПЛЕКСНЫЕ СИСТЕМЫ ЗАЩИТЫ ИНФОРМАЦИИ .......... |
9 |
|
1.1. Определение системы защиты информации.................................. |
9 |
|
1.2. Комплексность в построении систем защиты информации .. |
12 |
|
1.3. Компоненты комплексных систем защиты информации........ |
13 |
2. |
ТЕОРЕТИЧЕСКИЕ ОСНОВЫ УПРАВЛЕНИЯ |
|
|
ИНФОРМАЦИОННЫМИ РИСКАМИ .................................................. |
15 |
|
2.1. Понятие риска ......................................................................................... |
15 |
|
2.2. Формулы риска ....................................................................................... |
17 |
|
2.3. Категории рисков ................................................................................... |
18 |
|
2.4. Факторы риска ........................................................................................ |
19 |
|
2.5. Информационные риски и ИТ-риски............................................ |
20 |
|
2.6. Управление информационными рисками ..................................... |
21 |
|
2.7. Обзор процессов управления информационными рисками ... |
24 |
|
2.8. Уровни зрелости предприятия и подходы |
|
|
к управлению информационными рисками ............................... |
29 |
|
2.9. Этап инициализации управления информационными |
|
|
рисками ..................................................................................................... |
36 |
|
2.10. Этап анализа информационных рисков ........................................ |
41 |
|
2.10.1. Идентификация рисков ............................................................ |
41 |
|
2.10.2. Составление полных списков угроз и уязвимостей ..... |
50 |
|
2.10.3. Определение связей между угрозами |
|
|
и уязвимостями .......................................................................... |
55 |
|
2.10.4. Определение шкал и методик оценки угроз |
|
|
и уязвимостей ............................................................................. |
57 |
2.10.5.Комплексная оценка угроз и уязвимостей согласно выбранным шкалам и методикам, а также
последующее вычисление ущерба ...................................... |
58 |
2.10.6.Ранжирование угроз и уязвимостей с учетом значений вероятности реализации угроз и размера
наносимого ущерба ................................................................... |
61 |
2.10.7. Документирование результатов ........................................... |
62 |
2.10.8. Идентификация и оценка существующих, |
|
планируемых мер безопасности .......................................... |
63 |
3
2.11. Этап выбора контрмер ........................................................................ |
64 |
2.12. Этап принятия риска ........................................................................... |
72 |
2.13. Этап документирования и контроля.............................................. |
77 |
3. НОРМАТИВНО-ТЕХНИЧЕСКИЕ ОСНОВЫ УПРАВЛЕНИЯ |
|
ИНФОРМАЦИОННЫМИ РИСКАМИ ................................................. |
80 |
3.1. Стандартизация в области защиты |
|
информации. Обзор основных документов ................................. |
80 |
3.2. Международные и национальные организации |
|
по стандартизации ................................................................................ |
84 |
3.3. Стандарты серии ISO/IEC 27000 .................................................. |
85 |
3.3.1. BS 7799 .......................................................................................... |
85 |
3.3.2. ISO/IEC 17799 ............................................................................ |
87 |
3.3.3. ISO/IEC 27001 ............................................................................ |
95 |
3.4. Стандарт ISO/IEC 15408 (ГОСТ Р ИСО/МЭК 15408) ........ |
99 |
3.4.1. История разработки стандарта........................................... |
100 |
3.4.2. Назначение стандарта ............................................................ |
101 |
3.4.3. Структура стандарта .............................................................. |
102 |
3.4.4. Понятия стандарта и их взаимосвязь .............................. |
102 |
3.4.5. Подход стандарта к информационной безопасности..... |
105 |
3.4.6. Последовательное формирование требований |
|
и спецификаций ....................................................................... |
106 |
3.4.7. Представление требований к безопасности .................. |
109 |
3.4.8. Структура требований безопасности и требований |
|
доверия ......................................................................................... |
110 |
3.4.9. Оценочные уровни доверия .................................................. |
112 |
3.4.10. Процесс оценки ОО ................................................................ |
114 |
3.5. Стандарты серии ISO/IEC 13335 .................................................. |
115 |
3.6. Национальный стандарт Германии ................................................ |
116 |
3.7. Стандарт NIST 800-30 ........................................................................ |
116 |
3.7.1. Содержание и основные положения стандарта.............. |
116 |
3.7.2. Методика оценки риска ......................................................... |
120 |
3.7.3. Уменьшение рисков ................................................................. |
120 |
3.7.4. Анализ рентабельности и остаточный риск .................... |
121 |
3.8. Открытый стандарт ISACA ............................................................... |
121 |
3.9. Библиотека лучших практик в области |
|
управления информационными технологиями ........................ |
122 |
3.10. Нормативно-технические основы управления |
|
информационными рисками в России и Европе .................... |
124 |
4
4. МЕТОДЫ АНАЛИЗА ИНФОРМАЦИОННЫХ РИСКОВ .......... |
132 |
4.1. Инструментальные методы анализа |
|
информационных рисков ................................................................. |
132 |
4.1.1. Качественные методы анализа информационных |
|
рисков .......................................................................................... |
133 |
4.1.2. Количественные методы анализа информационных |
|
рисков .......................................................................................... |
144 |
4.1.3. Сравнение инструментальных методов анализа |
|
информационных рисков ...................................................... |
147 |
4.2. Статистические методы анализа |
|
информационных рисков ................................................................. |
152 |
4.2.1. Метод корреляционно-регрессионного анализа .......... |
152 |
4.2.2. Метод анализа временных рядов ........................................ |
161 |
4.3. Метод анализа информационных рисков на основе |
|
системы нечеткого логического вывода ..................................... |
169 |
4.3.1. Основы теории нечетких множеств и нечеткой |
|
логики .......................................................................................... |
169 |
4.3.2.Метод оценки информационного риска на основе произвольного количества входных параметров
с произвольным количеством термов .............................. |
176 |
ЗАКЛЮЧЕНИЕ ................................................................................................... |
182 |
СЛОВАРЬ ТЕРМИНОВ УПРАВЛЕНИЯ |
|
ИНФОРМАЦИОННЫМИ РИСКАМИ ............................................... |
183 |
СПИСОК ЛИТЕРАТУРЫ ............................................................................... |
186 |
5
ПРЕДИСЛОВИЕ
Книги по технологиям, связанным с информационной безопасностью, можно, например, классифицировать по объему прилагаемых нормативных документов (как российских, так и зарубежных):
—основательные большие книги с инструкциями, стандартами, нормативными актами по конкретным темам — справочные пособия для ответа на вопросы, начинающиеся со слов «êàê?» èëè «каким образом?»;
—книги с небольшим количеством нормативного материала, но с подробным анализом идеологии, которая лежит в основе того или иного подхода к решению проблемы, связанной с информационной безопасностью, — идеальны для поиска ответов на вопрос «зачем?»;
—книги для понимания, когда именно надо задать вопрос «êàê?»,
àкогда «зачем?». По некоторым вопросам тут приводятся норматив-
ные документы и пояснения, по другим — в основном пояснения и ссылки на необходимые документы.
Эта книга — «Управление информационными рисками», безусловно, относится к последнему типу. Читательская ниша, на которую она рассчитана, — преподаватели и специалисты по информационной безопасности, знакомые с конкретными технологиями защиты информации, понимающие, что для повышения качества защиты нужно грамотно предвидеть и оценивать будущее. Основная идея, согласно которой выстроено изложение методов управления информационными рисками, заключается в том, чтобы показать управление информационными рисками как непрерывный и циклический процесс, требующий комплексного подхода. Авторы стремились научить разбивать задачу защиты информации на ряд обозримых задач с четким описанием взаимосвязи этих частей, а также показать, ÷òî есть действительные трудности, в какой ситуации разумно использовать некий набор стандартных приемов, а что можно отбросить, как к делу особо не относящееся.
Понятия оценки рисков (Risk Assessment) и управления рисками (Risk Management) появились относительно недавно и в настоящий момент вызывают постоянный интерес специалистов как в области обеспечения непрерывности бизнеса, так и в области информационной безопасности.
В России вопросы управления рисками подкреплены законодательно только в сфере банковских и страховых услуг. Тем не менее, законодательная пустота в инициативном порядке заполняется прак-
6
тическими действиями руководителей, осознающих важность и практическую пользу, которую может принести освоение этой новой управленческой сферы. На сегодняшний день многие предприятия и организации уже столкнулись с проблемой нехватки компетентных, имеющих практические навыки специалистов в этой области. При этом потребность в квалифицированных специалистах по управлению информационными рисками с каждым днем лишь возрастает. Почему?
Во-первых, успех большинства предприятий сегодня связан с быстро развивающимися информационными технологиями.
Во-вторых, специфичность организаций зачастую требует развития собственных методик управления информационными рисками. Разумеется, в настоящее время разработано достаточно много международных стандартов и руководств, содержащих полезные рекомендации для управления информационными рисками. Но проблема в том, что те зарубежные методики управления информационными рисками, которые уже зарекомендовали себя на практике, необходимо адаптировать к российским условиям, а также к условиям конкретной организации, учитывая специфику ее бизнеса и целей. Данная задача абсолютно невыполнима без грамотных специалистов в области управления рисками.
В Уральском федеральном округе подготовка специалистов по защите информации ведется в восьми вузах. Каждый вуз имеет свою специализацию — от криптографии до технических средств защиты информации. Тематика, связанная с управлением информационными рисками, особенно важна для специалистов по безопасности, выпускаемых Уральским государственным университетом путей сообщения. Именно здесь был разработан учебный курс «Управление информационными рисками», программа которого разрабатывалась совместно со специалистами Технического университета Дрездена в рамках международного проекта TEMPUS. Данная монография включает в том числе и материал, собранный и систематизированный в процессе разработки этого учебного курса.
Авторы считают, что для практической работы важно показать, как именно управление информационными рисками может быть гармонично встроено в общий процесс обеспечения информационной безопасности. Во многом это определило структуру работы.
Первая часть монографии посвящена описанию комплексных систем защиты информации как среды, в которой осуществляется процесс управления информационными рисками. Вторая отражает теоретичес-
7
кие основы управления информационными рисками, в ней даны практические советы в этой области. В третьей части рассматриваются основные положения международных и национальных стандартов и руководств в области управления информационными рисками, а также приводится общий анализ-сравнение немецкой нормативно-правовой базы в области управления информационными рисками с российской. В четвертой представлен обзор и сравнительный анализ практических методов управления информационными рисками, причем значительное внимание уделено применению математического аппарата.
* * *
Особую благодарность за участие в подготовке монографии авторы выражают Ксении Игоревне Быковой, выпускнице кафедры систем и технологий защиты информации Уральского государственного университета путей сообщения, а ныне — аспирантке Технического университета Дрездена.
8
1.КОМПЛЕКСНЫЕ СИСТЕМЫ ЗАЩИТЫ ИНФОРМАЦИИ
1.1.Определение системы защиты информации
Прежде чем перейти непосредственно к вопросам управления информационными рисками (далее УИР), необходимо определить среду, в рамках которой эти вопросы будут рассматриваться. Эта среда
—комплексная система защиты информации (КСЗИ).
Âроссийских нормативно-правовых документах понятие информационной безопасности и защиты информации освещается следующим образом. В Законе Российской Федерации «О безопасности» [32] дается общее определение безопасности, как «состояние защи-
щенности жизненно важных интересов личности, общества и государства от внутренних и внешних угроз». В свою очередь, «лич- ность — ее права и свободы, общество — его материальные и духовные ценности, государство — его конституционный строй, суверенитет и территориальная целостность» являются объектами безопасности. Угрозой безопасности называется «совокупность условий и факторов, создающих опасность жизненно важным интересам личности, общества, государства».
Согласно Федеральному закону «Об информации, информационных технологиях и о защите информации» [34], информация определяется как «сведения (сообщения, данные) независимо от формы их представления», а защитой информации называется «принятие правовых, организационных и технических мер, направленных на: 1) обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации; 2) соблюдение конфиденциальности информации ограниченного доступа, 3) реализацию права на доступ к информации».
В Государственном стандарте Российской Федерации ГОСТ Р 50922-96 «Защита информации. Основные термины и определения» [15] информация определяется в качестве объекта защиты: «объект защиты — информация, или носитель информации, или информаци-
9
онный процесс, в отношении которых необходимо обеспечивать защиту в соответствии с поставленной целью защиты информации». В этом же стандарте под защитой информации понимается «деятельность по предотвращению утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию». Цель защиты информации определяется как «желаемый результат защиты информации». В частности, целью защиты информации может быть «предотвращение ущерба собственнику, владельцу, пользователю информации, в результате возможной утечки информации и/или несанкционированного и непреднамеренного воздействия на информацию». То есть предотвращение ущерба является основной целью защиты информации, и один из мощных механизмов достижения этой цели — именно УИР.
Таким образом, защиту информации можно рассматривать с различных точек зрения.
По отношению к личности — это защита конституционных прав граждан на сохранение личной тайны и конфиденциальности персональных данных, имеющихся в информационных системах. По отношению к личности, обществу и государству — предотвращение несанкционированных действий по уничтожению, модификации, искажению, копированию, блокированию информации; предотвращение других форм незаконного вмешательства в информационные ресурсы и информационные системы, обеспечение правового режима документированной информации как объекта собственности, а также обеспечение прав субъектов в информационных процессах и при разработке, производстве и применении информационных систем, технологий и средств их разработки. По отношению к государству и обществу — сохранение государственной тайны, конфиденциальности документированной информации в соответствии с законодательством. По отношению ко всем трем объектам безопасности — предотвращение утечки, хищения, утраты, искажения, подделки информации и предотвращение угроз личности, обществу, государству.
Следовательно, информацию можно рассматривать как объект безопасности, а информационную безопасность определить как состояние защищенности информации от внешних и внутренних угроз.
Кроме того, в России принята Доктрина информационной безопасности Российской Федерации [21]. Это документ, который представляет собой совокупность официальных взглядов на цели, задачи,
10