Сьогодні не викликає сумнівів необхідність вкладень в забезпечення інформаційної безпеки сучасного великого бізнесу. Основне питання сучасного бізнесу - як оцінити необхідний рівень вкладень в ІБ для забезпечення максимальної ефективності інвестицій в дану сферу. Для вирішення цього питання існує тільки один спосіб - застосовувати системи аналізу ризиків, що дозволяють оцінити існуючі в системі ризики і вибрати оптимальний по ефективності варіант захисту (по співвідношенню існуючих в системі ризиків / витрат на ІБ).

1. Актуальність завдання забезпечення інформаційної безпеки для бізнесу

Сьогодні не викликає сумнівів необхідність вкладень в забезпечення інформаційної безпеки сучасного великого бізнесу. Основне питання сучасного бізнесу - як оцінити необхідний рівень вкладень в ІБ для забезпечення максимальної ефективності інвестицій в дану сферу. Для вирішення цього питання існує тільки один спосіб - застосовувати системи аналізу ризиків, що дозволяють оцінити існуючі в системі ризики і вибрати оптимальний по ефективності варіант захисту (по співвідношенню існуючих в системі ризиків / витрат на ІБ).

Для підтвердження факту актуальності завдання забезпечення безпеки бізнесу, скористаємося звітом ФБР за 2003 рік. Дані були зібрані на основі опитування 530 американських компаній (середній і великий бізнес).

Статистика інцидентів області ІТ сек'юріті невблаганна. Згідно з даними ФБР в 2003 році 56% опитаних компаній піддавалися атаці:

Втрати від різного виду інформаційних впливів показані на наступному малюнку:

• Обгрунтування необхідності інвестицій в інформаційну безпеку компанії

За статистикою найбільшою перешкодою на шляху прийняття будь-яких заходів щодо забезпечення інформаційної безпеки в компанії є дві причини:

- Обмеження бюджету

- Відсутність підтримки з боку керівництва

Обидві причини виникають через нерозуміння керівництвом серйозності питання і складності завдання для ІТ-менеджера обгрунтувати, навіщо необхідно вкладати гроші в інформаційну безпеку. Часто вважається, що основна проблема полягає в тому, що ІТ-менеджери і керівники розмовляють на різних мовах - технічне і фінансове, але ж і самим ІТ-фахівцям часто важко оцінити, на що витратити гроші і скільки їх потрібно для забезпечення більшої захищеності системи компанії , щоб ці витрати не виявилися марними або надмірними.

Якщо ІТ-менеджер чітко уявляє, скільки компанія може втратити грошей в разі реалізації загроз, які місця в системі найбільш уразливі, які заходи можна вжити для підвищення рівня захищеності і при цьому не витратити зайвих грошей, і все це підтверджено документально, то рішення задачі переконати керівництво звернути увагу і виділити кошти на забезпечення інформаційної безпеки стає значно реальнішим.

Для вирішення даного завдання були розроблені програмні комплекси аналізу і контролю інформаційних ризиків: британський CRAMM (компанія Insight Consulting, www.insight.co.uk ), Американський RiskWatch (компанія RiskWatch, www.riskwatch.com ) І російський ГРИФ (компанія Digital Security, www.dsec.ru ). Розглянемо далі дані методи і побудовані на їх базі програмні системи.

3. CRAMM ( www.cramm.com )

Метод CRAMM (the UK Goverment Risk Analysis and Managment Method) був розроблений Службою Безпеки Великобританії (UK Security Service) за завданням Британського уряду і взятий на озброєння в якості державного стандарту. Він використовується, починаючи з 1985 р урядовими та комерційними організаціями Великобританії. За цей час CRAMM (www. Cramm. Com) набув популярності у всьому світі. Фірма Insight Consulting Limited займається розробкою і супроводом однойменного програмного продукту, що реалізує метод CRAMM.

Метод CRAMM обраний нами для більш детального розгляду і це не випадково. В даний час CRAMM - це досить потужний і універсальний інструмент, що дозволяє, крім аналізу ризиків, вирішувати також і ряд інших аудиторських завдань, включаючи:

- Проведення обстеження ІС і випуск супровідної документації на всіх етапах його проведення;

- Проведення аудиту відповідно до вимог Британського уряду, а також стандарту BS 7799: 1995 - Code of Practice for Information Security Management BS7799;

- Розробка політики безпеки та плану забезпечення безперервності бізнесу.

В основі методу CRAMM лежить комплексний підхід до оцінки ризиків, поєднуючи кількісні та якісні методи аналізу. Метод є універсальним і підходить як для великих, так і для дрібних організацій, як урядового, так і комерційного сектора. Версії програмного забезпечення CRAMM, орієнтовані на різні типи організацій, відрізняються один від одного своїми базами знань (profiles). Для комерційних організацій є Комерційний профіль (Commercial Profile), для урядових організацій - Урядовий профіль (Government profile). Урядовий варіант профілю, також дозволяє проводити аудит на відповідність вимогам американського стандарту ITSEC ( «Помаранчева книга»).

Грамотне використання методу CRAMM дозволяє отримувати дуже хороші результати, найбільш важливим з яких, мабуть, є можливість економічного обгрунтування витрат організації на забезпечення інформаційної безпеки і безперервності бізнесу. Економічно обґрунтована стратегія управління ризиками дозволяє, в кінцевому підсумку, економити кошти, уникаючи невиправданих витрат.

CRAMM передбачає поділ всієї процедури на три послідовні етапи.
Завданням першого етапу є відповідь на питання: «Чи достатньо для захисту системи застосування засобів базового рівня, що реалізують традиційні функції безпеки, або необхідно проведення більш детального аналізу?» На другому етапі проводиться ідентифікація ризиків і оцінюється їх величина. На третьому етапі вирішується питання про вибір адекватних контрзаходів.

Методика CRAMM для кожного етапу визначає набір вихідних даних, послідовність заходів, анкети для проведення інтерв'ю, списки перевірки і набір звітних документів.

3.1. Якщо за результатами проведення першого етапу, встановлено, що рівень критичності ресурсів є дуже низьким і існуючі ризики свідомо не перевищать деякого базового рівня, то до системи пред'являються мінімальний набір вимог безпеки. У цьому випадку велика частина заходів другого етапу не виконується, а здійснюється перехід до третього етапу, на якому генерується стандартний список контрзаходів для забезпечення відповідності базового набору вимог безпеки.

3.2. На другому етапі проводиться аналіз загроз безпеці та вразливостей. Вихідні дані для оцінки загроз та вразливостей аудитор отримує від уповноважених представників організації в ході відповідних інтерв'ю. Для проведення інтерв'ю використовуються спеціалізовані опитувальники.

3.3. На третьому етапі вирішується завдання управління ризиками, що складається у виборі адекватних контрзаходів.

Рішення про впровадження в систему нових механізмів безпеки і модифікація старих приймає керівництво організації, з огляду на пов'язані з цим витрати, їх прийнятність і кінцеву вигоду для бізнесу. Завданням аудитора є обгрунтування рекомендованих контрзаходів для керівництва організації.

У разі прийняття рішення про впровадження нових контрзаходів і модифікації старих, на аудитора може бути покладено завдання підготовки плану впровадження нових контрзаходів і оцінки ефективності їх використання. Вирішення цих завдань виходить за рамки методу CRAMM.

Концептуальна схема проведення обстеження за методом CRAMM показана на малюнку.

3.4. До недоліків методу CRAMM можна віднести наступне:

- Використання методу CRAMM вимагає спеціальної підготовки і високої кваліфікації аудитора;

- CRAMM в набагато більшому ступені підходить для аудиту вже існуючих ІС, що знаходяться на стадії експлуатації, ніж чим для ІС, що знаходяться на стадії розробки;

- Аудит за методом CRAMM - процес досить трудомісткий і може зажадати місяців безперервної роботи аудитора;

- Програмний інструментарій CRAMM генерує велику кількість паперової документації, яка не завжди виявляється корисною на практиці;

- CRAMM не дозволяє створювати власні шаблони звітів або модифікувати наявні;

- Можливість внесення доповнень до бази знань CRAMM недоступна користувачам, що викликає певні труднощі при адаптації цього методу до потреб конкретної організації.

- ПО CRAMM існує тільки англійською мовою

- Висока вартість ліцензії

1. RiskWatch ( www.riskwatch.com )

Програмне забезпечення RiskWatch, що розробляється американською компанією RiskWatch, Inc. (Www. Riskwatch. Com), є потужним засобом аналізу та управління ризиками. У сімейство RiskWatch входять програмні продукти для проведення різних видів аудиту безпеки. Воно включає в себе наступні засоби аудиту та аналізу ризиків:

- RiskWatch for Physical Security - для фізичних методів захисту ІС;

- RiskWatch for Information Systems - для інформаційних ризиків;

- HIPAA-WATCH for Healthcare Industry - для оцінки відповідності вимогам стандарту HIPAA;

- RiskWatch RW17799 for ISO17799 - для оцінки вимогам стандарту ISO17799.

У методі RiskWatch в якості критеріїв для оцінки і управління ризиками використовуються «пророцтво річних втрат» (Annual Loss Expectancy - ALE) і оцінка «повернення від інвестицій» (Return on Investment - ROI). Сімейство програмних продуктів RiskWatch, має масу достоїнств.

RiskWatch допомагає провести аналіз ризиків і зробити обґрунтований вибір заходів і засобів захисту. Використовувана в програмі методика включає в себе 4 фази.

4.1. Перша фаза - визначення предмета дослідження. На даному етапі описуються параметри організації - тип організації, склад досліджуваної системи, базові вимоги в області безпеки. Опис формалізується в ряді підпунктів, які можна вибрати для більш докладного опису або пропустити.

Далі кожен з обраних пунктів описується докладно. Для полегшення роботи аналітика в шаблонах даються списки категорій захищаються ресурсів, втрат, погроз, вразливостей і заходів захисту. З них потрібно вибрати ті, що реально присутні в організації.

4.2. Друга фаза - введення даних, що описують конкретні характеристики системи. Дані можуть вводитися вручну або імпортуватися з звітів, створених інструментальними засобами дослідження уразливості комп'ютерних мереж. На цьому етапі докладно описуються ресурси, втрати і класи інцидентів.
Класи інцидентів виходять шляхом зіставлення категорії втрат і категорії ресурсів; Для виявлення можливих вразливостей використовується опитувальник, база якого містить більше 600 питань. Питання пов'язані з категоріями ресурсів. Допускається коригування питань, виключення або додавання нових. Здається частота виникнення кожної з виділених загроз, ступінь уразливості і цінність ресурсів. Все це використовується в подальшому для розрахунку ефективності впровадження засобів захисту.

4.3. Третя фаза - оцінка ризиків. Спочатку встановлюються зв'язки між ресурсами, втратами, загрозами і уразливими, виділеними на попередніх етапах. Для ризиків розраховуються математичні очікування втрат за рік за формулою: m = p * v де p - частота виникнення загрози протягом року, v - вартість ресурсу, який опиняється під загрозою.

Наприклад, якщо вартість сервера $ 150000, а ймовірність того, що він буде знищений пожежею протягом року дорівнює 0.01, то очікувані втрати складуть $ 1500.. Додатково розглядаються сценарії "що якщо ...", які дозволяють описати аналогічні ситуації за умови впровадження засобів захисту. Порівнюючи очікувані втрати за умови впровадження захисних заходів і без них можна оцінити ефект від таких заходів.

4.4. Четверта фаза - генерація звітів. Типи звітів: Короткі підсумки. Повні і короткі звіти про елементи, описаних на стадіях 1 і 2. Звіт про вартість ресурсів, що захищаються і очікуваних втрат від реалізації загроз. Звіт про загрози та заходи протидії. Звіт про результати аудиту безпеки.

4.5. До недоліків RiskWatch можна віднести:

- Такий метод підходить, якщо потрібно провести аналіз ризиків на програмно-технічному рівні захисту, без урахування організаційних і адміністративних чинників. - - Отримані оцінки ризиків (математичне очікування втрат) далеко не вичерпує розуміння ризику з системних позицій - метод не враховує комплексний підхід до інформаційної безпеки.

- ПО RiskWatch існує тільки англійською мовою

- Висока вартість ліцензії (від 15 000 дол. За одне робоче місце для невеликої компанії; від 125 000 долл. За корпоративну ліцензію)

1. ГРИФ ( www.dsec.ru/soft/grif.php )

Для проведення повного аналізу інформаційних ризиків, перш за все, необхідно побудувати повну модель інформаційної системи з точки зору ІБ. Для вирішення цього завдання ГРИФ, на відміну від представлених на ринку західних систем аналізу ризиків, які громіздкі, складні у використанні і часто не передбачають самостійного застосування ІТ-менеджерами і системними адміністраторами, відповідальними за забезпечення безпеки інформаційних систем компаній, володіє простим і інтуїтивно зрозумілим для користувача інтерфейсом. Однак за зовнішньою простотою ховається складніший алгоритм аналізу ризиків, що враховує більш ста параметрів, який дозволяє на виході дати максимально точну оцінку існуючих в інформаційній системі ризиків, засновану на глибокому аналізі особливостей практичної реалізації інформаційної системи. Основне завдання системи ГРИФ - дати можливість ІТ менеджеру самостійно (без залучення сторонніх експертів) оцінити рівень ризиків в інформаційній системі, оцінити ефективність існуючої практики по забезпеченню безпеки компанії і мати можливість доказово (в цифрах) переконати ТОП-менеджмент компанії в необхідності інвестицій в сферу інформаційної безпеки компанії

5.1. На першому етапі методу ГРИФ проводиться опитування ІТ-менеджера з метою визначення повного списку інформаційних ресурсів, які мають цінність для компанії.

5.2. На другому етапі проводиться опитування ІТ-менеджера з метою введення в систему ГРИФ всіх видів інформації, що представляє цінність для компанії. Введені групи цінної інформації повинні бути розміщені користувачем на раніше зазначених на попередньому етапі об'єктах зберігання інформації (серверах, робочих станціях і т.д.). Заключна фаза - вказівка ​​шкоди по кожній групі цінної інформації, розташованої на відповідних ресурсах, за всіма видами загроз.

5.3. На третьому етапі спочатку проходить визначення всіх видів користувальницьких груп (і число користувачів в кожній групі). Потім визначається, до яких груп інформації на ресурсах має доступ кожна з груп користувачів. На закінчення визначаються види (локальний і / або віддалений) і права (читання, запис, видалення) доступу користувачів до всіх ресурсів, що містять цінну інформацію.

5.4. На четвертому етапі проводиться опитування ІТ-менеджера для визначення засобів захисту інформації, якими захищена цінна інформація на ресурсах. Крім того, в систему вводиться інформація про разових витратах на придбання всіх застосовуються засобів захисту інформації та щорічні витрати на їх технічну підтримку, а також - щорічні витрати на супровід системи інформаційної безпеки компанії

5.5. На завершальному етапі користувач повинен відповісти на список питань з політики безпеки, реалізованої в системі, що дозволяє оцінити реальний рівень захищеності системи і деталізувати оцінки ризиків.

Наявність засобів інформаційного захисту, зазначених на першому етапі, саме по собі ще не робить систему захищеної в разі їх неадекватного використання і відсутність комплексної політики безпеки, яка враховує всі аспекти захисту інформації, включаючи питання організації захисту, фізичної безпеки, безпеки персоналу, безперервності ведення бізнесу і т.д.

В результаті виконання всіх дій за даними етапам, на виході сформована повна модель інформаційної системи з точки зору інформаційної безпеки з урахуванням реального виконання вимог комплексної політики безпеки, що дозволяє перейти до програмного аналізу введених даних для отримання комплексної оцінки ризиків і формування підсумкового звіту.

5.6. Звіт по системі

Звітом є детальний, що дає повну картину можливого збитку від інцидентів документ, готовий для подання керівництву компанії:

5.7. До недоліків ГРИФ можна віднести:

- відсутність прив'язки до бізнес-процесів (заплановано в наступній версії)

- немає можливості порівняння звітів на різних етапах впровадження комплексу заходів щодо забезпечення захищеності (заплановано в наступній версії)

- відсутня можливість додати специфічні для даної компанії вимоги політики безпеки

Література.

1. Сучасні технології аналізу ризиків в інформаційних системах (PCWEEK N37'2001) , Сергій Симонов

2. Матеріали компанії «Джет Інфосістемс»

3. Матеріали компанії «Digital Security»

Автор:

Ілля Медведовський ( [email protected] ), К.т.н. Експерт з інформаційної безпеки Директор компанії Digital Security ( http://www.dsec.ru )