воскресенье, 24 мая 2009 г.

ISSP \ Домен 01. Информационная безопасность и управление рисками. Часть 4

В этой части рассмотрены следующие вопросы:
  • Анализ рисков
  • Группа анализа рисков
  • Владельцы рисков
  • Ценность информации и активов
  • Определение стоимости и ценности
  • Идентификация угроз
  • Анализ сбоев и дефектов

Обновлено: 28.02.2010

Анализ рисков, который на самом деле представляет собой инструмент для управления рисками, является методом выявления уязвимостей и угроз, оценки возможного воздействия, что позволяет выбирать адекватные защитные меры именно для тех систем и процессов, в которых они необходимы. Анализ рисков позволяет сделать безопасность экономически эффективной, актуальной, своевременной и способной реагировать на угрозы. Он также помогает компании приоритезировать список рисков, определить и обосновать разумную стоимость защитных мер.

Анализ рисков имеет четыре основные цели:
  • Идентификация активов и их ценности для компании
  • Идентификация угроз и уязвимостей
  • Количественная оценка вероятности и влияния на бизнес этих потенциальных угроз
  • Обеспечение экономического баланса между ущербом от воздействия угроз и стоимостью контрмер
Анализ рисков позволяет сравнить годовую стоимость защитных мер с потенциальным ущербом. Годовая стоимость защитных мер не должна превышать потенциальный годовой ущерб. Также, анализ рисков позволяет связать программу безопасности с целями и требованиями бизнеса компании, что крайне важно для успеха и в том, и в другом.

Перед началом работы по выявлению и анализу рисков важно понять цель данной работы, ее объем и ожидаемый результат. Следует учитывать, что попытка проанализировать все риски во всех областях за один раз может оказаться невыполнимой.

Одной из первых задач группы анализа рисков является подготовка детального отчета по стоимости активов. Высшее руководство должно проанализировать этот отчет и определить сферу деятельности для IRM-проекта (объем работы), исключив из него те активы, которые не важны на данном этапе. При определении объема работ следует также учитывать бюджет проекта, а также требования законодательства. В ходе обсуждений с руководством, все участники должны иметь ясное представление о ценности обеспечения AIC-триады (доступность, целостность и конфиденциальность) и ее непосредственной связи с потребностями бизнеса.

Анализ рисков должен осуществляться при поддержке и управлении со стороны высшего руководства. Только в этом случае он будет успешным. Руководство должно определить цели и масштабы анализа, назначить членов группы для проведения оценки, а также выделить необходимое время и средства для проведения этой работы. Крайне важно, чтобы высшее руководство внимательно отнеслось к результатам проведенной оценки.


Для наиболее эффективного анализа рисков, компания должна включить в состав группы анализа рисков сотрудников большинства (или всех) своих подразделений, что необходимо для выявления и учета всех рисков. Членами группы могут быть руководители подразделений, разработчики приложений, ИТ-персонал - любые ключевые сотрудники ключевых подразделений компании. Это совершенно необходимо, т.к. группа, состоящая только из ИТ-специалистов, не сможет выявить множество рисков (например, риски, связанные с работой бухгалтерии). Желательно в состав группы включать руководителей подразделений, а не рядовых сотрудников, которые могут не представлять себе работу всего подразделения в целом и, соответственно, не могут выявить все угрозы. Для этого целесообразно установить соответствующий минимальный уровень должности для члена группы.

Если по какой-либо причине компания не может включить в группу сотрудников из различных подразделений, необходимо, как минимум, организовать проведение интервью с ключевыми сотрудниками каждого подразделения.

При анализе рисков следует задавать следующие вопросы: Что случится при реализации угрозы? Какими могут быть потенциальные последствия? Как часто это может происходить? Какой уровень достоверности ответов на первые три вопроса? Большинство такой информации собирается в ходе внутренних исследований, интервью, собраний рабочих групп.


Один из наиболее важных вопросов – кто в компании владеет рисками? Ответить на него непросто, т.к. это зависит от ситуации и от того, о каких рисках идет речь. Высшее руководство владеет рисками, связанными с процессом функционирования компании, но оно может переложить их на ответственных за хранение данных или бизнес-подразделения для проведения определенных работ, и на это время они должны выполнять отдельные обязанности владельцев рисков. Конечно, риски в конечном итоге всегда остаются у высшего руководства и оно должно быть уверено, что делегированная работа выполняется понятными методами, в процессе нее учитываются существующие риски и предпринимаются действия по их минимизации.

5.2. Ценность информации и активов

Ценность информации опредляется трудоемкостью ее подготовки (сбора), стоимостью ее поддержки (сопровождения), величиной возможного ущерба в случае ее потери или уничтожения, стоимостью, которую другие лица (конкуренты, злоумышленники) готовы заплатить за нее, а также величиной возможных последствий и штрафов, в случае ее утраты (утечки). Без проведения оценки информации невозможно адекватно оценить целесообразность затрат денег и ресурсов на ее защиту. Ценность информации обязательно должна учитываться при выборе защитных мер.


Оценка актива может проводиться как количественными, так и качественными методами. Фактическая стоимость актива определяется на основании стоимости его приобретения, разработки и поддержки. Ценность актива определяется его значением, которое он имеет для владельцев, уполномоченных и неуполномоченных пользователей. Некоторая информация является важной для компании и ей присваивается гриф конфиденциальности.

Например, стоимость сервера составляет $4000, но это не является его ценностью, учитываемой при оценке рисков. Ценность определяется затратами на его замену или ремонт, потерями из-за снижения производительности, ущербом от повреждения или утраты хранящихся на нем данных. Именно это будет определять ущерб для компании в случае повреждения или утраты сервера по той или иной причине.

Следующие вопросы должны быть учтены при определении ценности активов:
  • Затраты на получение или разработку актива
  • Затраты на поддержку и защиту актива
  • Ценность актива для владельцев и пользователей
  • Ценность актива для злоумышленников (конкурентов)
  • Ценность интеллектуальной собственности, использованной при разработке актива
  • Цена, которую другие готовы заплатить за актив
  • Затраты на замену актива при утрате
  • Операционная и производственная деятельность, которая зависит от доступности актива
  • Ответственность в случае компрометации актива
  • Польза и роль актива в компании
Понимание ценности актива является первым шагом к пониманию того, какие средства и механизмы безопасности должны использоваться для его защиты. Ценность актива определяет стоимость защитных мер, которые следует использовать для его защиты.

Определение стоимости активов полезно для компании по целому ряду причин, включая следующие:
  • Для проведения анализа затраты/выгоды (cost/benefit analyse)
  • Для выбора конкретных контрмер и защитных средств
  • Для определения необходимого уровня страхового покрытия
  • Для понимания, чем именно рискует компания
  • Для выполнения требований законодательства, регуляторов, соблюдения должной заботы (due care)
Активы могут быть материальным (компьютеры, оборудование, материалы) или нематериальные (репутация, данные, интеллектуальная собственность). Обычно трудно оценить количественно ценность нематериальных активов (например, репутации), которая может меняться с течением времени.


Как было сказано ранее, риск - это вероятность того, что источник угрозы воспользуется уязвимостью, что приведет к негативному воздействию на бизнес. Существует множество видов источников угрозы, которые могут использовать разные типы уязвимостей, что может привести к определенным угрозам. Некоторые примеры рисков показаны в таблице 1-2.
Таблица 1-2 Взаимосвязь угроз и уязвимостей

Существуют и другие, гораздо более сложные для выявления виды угроз, которые могут произойти в компьютерной среде. Эти угрозы связаны с ошибками в приложениях и ошибками пользователей. Однако, при надлежащей организации контроля и аудита действий пользователей их ошибки (умышленные или случайные) выявить существенно проще.

После выявления уязвимостей и связанных с ними угроз должны быть проанализированы последствия их использования, т.е. риски потенциального ущерба. Ущерб может быть связан с повреждением данных или систем (объектов), несанкционированным разглашением конфиденциальной информации, снижением производительности работы и т.д. При проведении анализа рисков, группа должна также рассмотреть вероятный отложенный ущерб (delayed loss), который может произойти по прошествии некоторого времени (от 15 минут до нескольких лет) после реализации риска. Отложенный ущерб может быть вызван, например, снижением производительности работы через определенный период времени, снижением дохода компании, ущербом ее репутации, накопительными штрафами, дополнительными расходами на восстановление окружения, приостановкой приема средств от клиентов и т.д.

Например, если в результате атаки на веб-серверы компании они перестали обслуживать клиентов, непосредственным ущербом может быть повреждение данных, затраты рабочего времени на восстановление работы серверов, обновление уязвимого программного обеспечения на них. Кроме того, компания потеряет определенный доход в следствие невозможности обслуживания клиентов в течение времени, которое потребуется ей на восстановление работы своих веб-серверов. Если восстановительные работы займут значительное время (например, неделю), компания может потерять настолько большой объем прибыли, что будет уже не в состоянии оплачивать счета и другие расходы. Это и будет являться отложенным ущербом. А если кроме всего прочего компания еще и потеряет доверие клиентов, она может полностью потерять свой бизнес (на некоторое время или навсегда). Это является крайним случаем отложенного ущерба.

Такого рода вопросы существенно усложняют количественную оценку ущерба, но они обязательно должны быть приняты во внимание для получения достоверной оценки.
Методики оценки рисков. Для оценки рисков используется множество различных методик. Давайте рассмотрим некоторые из них.
NIST SP 800-30 и 800-66 являются методологиями, которые могут использоваться коммерческими компаниями, хотя 800-66 изначально разрабатывалась для здравоохранения и других регулируемых отраслей. Подход NIST учитывает угрозы ИТ и соответствующие риски информационной безопасности. Он предусматривает следующие шаги:
  • Описание характеристик системы
  • Идентификация угроз
  • Идентификация уязвимостей
  • Анализ защитных мер
  • Определение вероятности
  • Анализ воздействия
  • Определение риска
  • Рекомендации защитных мер
  • Документирование результатов
Методология оценки рисков NIST SP 800-30 часто используется консультантами и специалистами по безопасности, внутренними ИТ-подразделениями. Она ориентируется в основном на компьютерные системы. Отдельные люди или небольшие группы собирают данные из сети, из используемых практик по безопасности, а также от людей, работающих в компании. Собранные данные используются в качестве исходных данных для выполнения шагов анализа рисков, описанных в документе 800-30.
Другой методологией оценки рисков является FRAP (Facilitated Risk Analysis Process – Групповой процесс анализа рисков). Она создана для проведения качественной оценки рисков способом, который позволяет вести проверки по различным аспектам и с использованием различной методологии. Она предоставляет способы, позволяющие компании принимать решения о направлении действий и конкретных действиях в конкретных обстоятельствах для учета различных проблем. Это дает возможность посредством предварительного отбора определить те области в компании, которые действительно нуждаются в анализе рисков. FRAP построен таким образом, что любой человек с хорошими навыками организации групповой работы сможет успешно провести анализ рисков по этой методике.
Еще одним видом методологии является OCTAVE (Operationally Critical Threat, Asset, and Vulnerability Evaluation – Оценка критичных угроз, активов и уязвимостей). Это методология, которую следует применять в ситуациях, когда весь процесс анализа рисков информационной безопасности проводится силами сотрудников компании (без привлечения внешних консультантов). Она основана на идее, что сотрудники компании лучше всех понимают, что действительно нужно компании, и перед лицом каких рисков она стоит. Выбранные для участия в процессе оценки сотрудники сами решают, какой подход будет наилучшим для оценки безопасности их компании.
В то время, как методологии NIST и OCTAVE направлены на угрозы ИТ и риски информационной безопасности, AS/NZS 4360 использует гораздо более широкий подход к управлению рисками. Эта методология может использоваться для понимания рисков компании в области финансов, защиты людей, принятия бизнес-решений и т.д. Она не была разработана специально для анализа рисков безопасности, хотя может успешно использоваться и для этой цели.
ПРИМЕЧАНИЕ. Вы можете найти дополнительную информацию по этим подходам к анализу рисков и их использованию в статье Шон Харрис на странице http://searchsecurity.techtarget.com/generic/0,295582,sid14_gci1191926,00.html.

CRAMM (CCTA Risk Analysis and Management Method – Метод анализа и управления рисками Центрального агентства по компьютерам и телекоммуникациям (CCTA) Великобритании) разделен на три сегмента: идентификация и оценка активов, анализ угроз и уязвимостей, выбор контрмер. Эта методика учитывает как технические аспекты компании, так и нетехнические.

Анализ связующего дерева (Spanning Tree Analysis) – это методология, которая создает дерево всех потенциальных угроз и недостатков, которые могут нарушить работу системы. Каждая ветвь является обобщенной темой или категорией, неприменимые ветви могут удаляться в процессе проведения анализа рисков.
  
FMEA (Failure Modes and Effect Analysis) – это метод определения функций, выявления функциональных дефектов, оценки причин дефекта и его последствий с помощью структурированного процесса. Применение этого процесса в случае постоянных дефектов позволяет определить место, где ошибка, скорее всего, произойдет. Это очень помогает выявить уязвимые места, точно определить границы уязвимостей и последствия их эксплуатации. В свою очередь, это позволяет не только упростить применение исправлений, устраняющих уязвимости, но и обеспечить более эффективное использование ресурсов в рамках этой задачи.
Следуя определенной последовательности шагов, можно достичь наилучших результатов в анализе дефектов.
  1. Начните с блок-схемы системы или контроля (объекта анализа).
  2. Рассмотрите, что произойдет, если каждый блок диаграммы даст сбой.
  3. Нарисуйте таблицу, и укажите в ней дефекты в паре с их последствиями и оценкой этих последствий.
  4. Корректируйте проект системы и вносите соответствующие изменения в таблицу до тех пор, пока не станет ясно, что система не подвержена проблемам.
  5. Получите несколько инженерных обзоров характера дефектов и анализа последствий.
В таблице 1-3 приведен пример проведения и документирования FMEA. Хотя большинство компаний не имеют ресурсов для столь детальной проработки каждой системы и контроля, она должна проводиться для критичных функций и систем, которые могут оказать существенное влияние на компанию. Очень важно проанализировать защитную меру или систему от микро- до макро-уровня, чтобы в полной мере понять, где могут находиться потенциальные уязвимости или дефекты и каковы последствия эксплуатации этих недостатков. Каждая компьютерная система может состоять из множества различных временных бомб на разных уровнях ее структуры. На уровне компонентов это может быть переполнение буфера или опасные компоненты ActiveX, что может позволить злоумышленнику получить контроль над системой, воспользовавшись уязвимостью. На программном уровне приложение может небезопасно проводить авторизацию или может не защищать свои криптографические ключи должным образом. На системном уровне ядро операционной системы может иметь недостатки, что позволит злоумышленнику без особого труда получить административный доступ. Различные ужасные вещи могут произойти на любом уровне, поэтому необходим столь детальный подход.
Таблица 1-3 Пример проведения и документирования FMEA

Изначально FMEA была разработана для исследования систем. Ее цель заключается в том, чтобы изучить потенциальные дефекты в продуктах и связанных с ними процессах. Этот подход оказался успешным и был адаптирован для использования при оценке приоритетов в области управления рисками и минимизации известных угроз-уязвимостей.
Однако FMEA недостаточно эффективна при выявлении сложных дефектов, в которые могут быть вовлечены несколько различных систем или подсистем. В этом случае более целесообразно использовать анализ дерева сбоев (fault tree analysis). Для анализа с помощью дерева сбоев берется основной процесс. В качестве его корня (самого верхнего элемента этого логического дерева) указывается нежелательное событие. Затем, в качестве ветвей, добавляется ряд логических выражений и событий, которые могут привести к реализации вышестоящего нежелательного события. После этого дерево сбоев помечается цифрами, соответствующими вероятности сбоев (обычно это делается с помощью специализированных компьютерных программ, которые могут рассчитывать вероятности в дереве сбоев). На рисунке 1-7 показано упрощенное дерево сбоев и различные логические знаки, используемые для представления того, что должно произойти, чтобы вызвать сбой.
Рисунок 1-7 Дерево сбоев и логические элементы

При создании дерева, необходимо точно указать все угрозы или сбои, которые могут произойти с системой. Ветви дерева можно разделить на категории, например, физические угрозы, сетевые угрозы, компьютерные угрозы, интернет-угрозы и угрозы сбоя. Когда все возможные категории отмечены, вы можете подрезать ветви с дерева, удаляя угрозы, неприменимые в данном случае (если система не подключена к Интернету, то связанные с Интернетом ветви можно спокойно срезать с дерева).

Некоторые из наиболее распространенных программных сбоев, которые могут быть исследованы с помощью анализа дерева сбоев, приведены ниже:
  • Ложные срабатывания (тревоги или защиты)
  • Недостаточная обработка ошибок
  • Нарушение последовательности или порядка
  • Некорректная синхронизация выдачи результатов
  • Корректные, но неожиданные результаты
Итак, мы получили надлежащую поддержку руководства в рамках задачи по анализу рисков, создали группу анализа рисков из сотрудников различных подразделений компании, определили ценность каждого из активов компании, определили все возможные угрозы, которые могут повлиять на активы. Мы также приняли во внимание все возможные варианты отложенного ущерба, который может выдержать компания в отношении каждого актива и угрозы. Мы провели анализ сбоев и дефектов (или анализ дерева сбоев) для понимания причин, лежащих в основе выявленных угроз. Следующим шагом является расчет актуальных для компании рисков с использованием качественных и количественных методов.

4 комментария:

eagle комментирует...

В этой части одно существенное дополнение и несколько мелких изменений.
- Добавился подраздел "Владельцы рисков".
- Добавилась информация по методикам оценки рисков.
- Добавился раздел 5.5 "Анализ сбоев и дефектов".
- Ссылки, закладки, рисунки.

eagle комментирует...

Дополнена информация по методикам оценки рисков

Игорь Бурцев комментирует...

не открылась ссылка: http://www.cqurire.com/htm/paper/risk/Aust_Standards_4360-2004.pdf

eagle комментирует...

Действительно, старая ссылка больше не работает, обновил.
Документ можно посмотреть, например, здесь: http://www.ucop.edu/riskmgt/erm/documents/as_stdrds4360_2004.pdf