Статьи

Оцінка інформаційних ризиків

  1. Чіткої методики кількісного розрахунку величин ризиків як не було, так і немає. Це пов'язано в першу...
  2. ІДЕНТИФІКАЦІЯ ПОГРОЗ
  3. РОЗРАХУНОК ІНФОРМАЦІЙНИХ РИЗИКІВ
  4. МЕТОДИКИ УПРАВЛІННЯ РИЗИКАМИ
  5. ОБГРУНТУВАННЯ ЕКОНОМІЧНИХ ІНВЕСТИЦІЙ
  6. ПРИКЛАД ЯКІСНОГО РОЗРАХУНКУ ІНФОРМАЦІЙНИХ РИЗИКІВ
Чіткої методики кількісного розрахунку величин ризиків як не було, так і немає. Це пов'язано в першу чергу з відсутністю достатнього обсягу статистичних даних про ймовірності реалізації тієї чи іншої загрози. В результаті найбільшого поширення набула якісна оцінка інформаційних ризиків.

У суперечках на тему оцінки інформаційних ризиків або економічного обґрунтування інвестицій в інформаційну безпеку вже давно точаться суперечки. В даний час йде активне накопичення даних, на підставі яких можна було б з прийнятною точністю визначити ймовірність реалізації тієї чи іншої загрози. На жаль, наявні довідники спираються на зарубіжний досвід і тому не застосовні до російських реалій. До того ж визначення величини вартості інформаційного ресурсу (будь то фізичний сервер або файли і записи СУБД) теж часто утруднено. Наприклад, якщо власник ресурсу (в припущенні, що такий ідентифікований) може назвати вартість обладнання і носіїв, то вказати точну вартість знаходяться в його веденні даних він практично ніколи не в змозі. Тому найбільш поширеною залишається якісна оцінка інформаційних ризиків, коли при відсутності точних даних значення параметрів встановлює проводить аналіз ризиків експерт.

Побудова МОДЕЛІ ПОРУШНИКА

Модель порушника є якимось опис типів зловмисників, які навмисно або випадково, дією чи бездіяльністю здатні завдати шкоди інформаційній системі. Найчастіше по глобальному ознакою вони ранжуються на зовнішніх і внутрішніх (відповідно, категорії A і B). Однак такий розподіл не є достатнім. Тому ранжування проводиться з диверсифікацією зазначених категорій на підкатегорії. Наприклад, до зовнішніх зловмисникам зараховуються порушники з наступних груп: клієнти, які можуть завдати шкоди навмисно або через незнання; підрядники, найняті на виконання тих чи інших робіт (вони в свою чергу, також можуть здійснювати як навмисне, так і ненавмисне порушення); кваліфіковані хакери і т. д. Внутрішні зловмисники поділяються на тих, хто завдає шкоди навмисно і ненавмисно; крім того, дана категорія може диверсифікувати за ознакою призначених привілеїв в інформаційній системі.

В ідеалі, якщо в компанії є положення, де описуються категорії користувачів інформаційної системи (як зовнішніх, так і внутрішніх), модель порушника може бути складена на підставі цього положення, щоб згодом результати проведеної оцінки ризиків інтегрувати в загальну концепцію інформаційної безпеки компанії. Модель порушника рекомендується складати у вигляді таблиці (див. таблицю 1 ).

ІДЕНТИФІКАЦІЯ ПОГРОЗ

Для управління ризиками потрібно ідентифікувати можливі небезпеки, які загрожують обстежуваної інформаційній системі. Такими можуть бути, наприклад, повінь, відключення електроживлення або атаки зловмисників з наслідками різного ступеня тяжкості. На даному етапі рекомендується врахувати всі ризики, проте оцінювати лише ті, реалізація яких можлива виходячи з прийнятої моделі порушника. Таким чином, після ідентифікації загрозу слід співвіднести з моделлю порушника з метою визначення відповідної категорії порушника та подальшої оцінки ймовірності реалізації даної загрози. Наприклад, якщо модель порушника не описує категорію віддалених користувачів (в компанії не передбачений віддалений доступ), то ймовірність витоку інформації в результаті доступу до неї ззовні мізерно мала, і нею можна знехтувати при розрахунку ризиків.

РОЗРАХУНОК ІНФОРМАЦІЙНИХ РИЗИКІВ

Формула, найчастіше використовується при розрахунку ризиків, являє собою добуток трьох параметрів:

  • вартість ресурсу (Asset Value, AV). Зазначена величина характеризує цінність ресурсу. При якісній оцінці ризиків вартість ресурсу найчастіше ранжируется в діапазоні від 1 до 3, де 1 - мінімальна вартість ресурсу, 2 - середня вартість ресурсу і 3 - максимальна вартість ресурсу. Наприклад, сервер автоматизованої банківської системи має AV = 3, тоді як окремий інформаційний кіоск, призначений для обслуговування клієнта, має AV = 1 по відношенню до інформаційної банківській системі;
  • міра вразливості ресурсу до загрози (Exposure Factor, EF). Цей параметр показує, в якому ступені той чи інший ресурс вразливий по відношенню до даної загрозу. Наприклад, з точки зору банку ресурс автоматизованої банківської системи має найбільшу доступність. Таким чином, атаки з метою реалізації відмови в обслуговуванні (Denial of Service, DoS) представляють для нього максимальну загрозу. При якісній оцінці ризиків дана величина також ранжируется в діапазоні від 1 до 3, де 1 - мінімальна міра вразливості (слабкий вплив), 2 - середня (ресурс підлягає відновленню), 3 - максимальна (ресурс вимагає повної заміни після реалізації загрози);
  • оцінка ймовірності реалізації загрози (Annual Rate of Occurrence, ARO) демонструє, наскільки ймовірна реалізація певної загрози за певний період часу (як правило, протягом року) і також ранжируется за шкалою від 1 до 3 (низька, середня, висока).

На підставі отриманих даних виводиться оцінка очікуваних втрат (рівень ризику):

  • оцінка очікуваного можливого збитку від одиничної реалізації певної загрози (Single Loss Exposure, SLE) розраховується за формулою:
    SLE = AV x EF;
  • підсумкові очікувані втрати від конкретної загрози за певний період часу (Annual Loss Exposure, ALE) характеризують величину ризику і розраховується за формулою:
    ALE = SLE x ARO.

Таким чином, кінцева формула розрахунку ризиків являє собою твір:

ALE = ((AV x EF = SLE) x ARO).

Отримані результати викладаються в табличній формі (див. таблицю 2 ).

Як бачимо, більшість з описаних параметрів приймається на основі думки експерта. Це пов'язано з тим, що кількісна оцінка ймовірності реалізації загрози утруднена через відносної новизни інформаційних технологій і, як наслідок, відсутність достатньої кількості статистичних даних. У разі оцінки вартості ресурсу (AV) кількісна оцінка (наприклад, в грошовому еквіваленті) найчастіше не проводиться, і тоді оцінка параметра SLE утруднена.

МЕТОДИКИ УПРАВЛІННЯ РИЗИКАМИ

Після проведення первинної оцінки ризиків отримані значення слід систематизувати за ступенем важливості для виявлення низьких, середніх і високих ризиків. Методика управління ризиками має на увазі кілька способів дій. Ризик може бути:

  • прийнятий (assumption), т. е. користувач згоден на ризик і пов'язані з ним втрати, тому робота інформаційної системи продовжується в звичайному режимі;
  • знижений (mitigation) - з метою зменшення величини ризику будуть вжиті певні заходи;
  • переданий (transference) - компенсацію потенційних збитків покладуть на страхову компанію, або ризик трансформують в інший ризик - з більш низьким значенням - шляхом впровадження спеціальних механізмів.

Деякі методики додатково передбачають ще один спосіб управління - «скасування» (avoidance). Він має на увазі вживання заходів по ліквідації джерела ризику. Наприклад, видалення із системи функцій, що породжують ризик, або виведення частини системи з експлуатації. Однак, на мій погляд, такий підхід неконструктивний з огляду на те, що, якщо величина ризику досить велика, що породжує його компонент критичний для інформаційної системи і, отже, не може бути видалений. При низьких значеннях ризику даний метод трансформується в метод зниження ризику (mitigation).

Після ранжирування ризиків визначаються вимагають першочергової уваги; основним методом управління такими ризиками є зниження, рідше - передача. Ризики середнього рангу можуть передаватися або знижуватися нарівні з високими ризиками. Ризики нижчого рангу, як правило, приймаються і виключаються з подальшого аналізу. Діапазон ранжирування ризиків приймається виходячи з проведеного розрахунку їх якісних величин. Так, наприклад, якщо величини розрахованих ризиків лежать в діапазоні від 1 до 18, низькі ризики знаходяться в діапазоні від 1 до 7, середні - в діапазоні від 8 до 13, високі - в діапазоні від 14 до 18.

Таким чином, управління ризиками зводиться до зниження величин високих і середніх ризиків до характерних для низьких ризиків значень, при яких можливо їх прийняття. Зниження величини ризику досягається за рахунок зменшення однієї або декількох складових (AV, EF, SLE) шляхом прийняття певних заходів. В основному це можливо стосовно EF і SLE, так як AV (вартість ресурсу) - фіксований параметр. Однак можливо і його зниження. Наприклад, якщо зберігається на сервері інформація відноситься до конфіденційної, але перевірка виявила, що гриф «конфіденційно» в силу будь-яких причин може бути знятий. В результаті вартість ресурсу автоматично зменшується. В системі Internet-банкінгу, наприклад, параметр EF можна зменшити шляхом фіксації відповідальності сторін у договірному порядку. У цьому випадку вважається, що сторони попереджені про відповідальність, яку може спричинити за собою порушення правил експлуатації системи, і, таким чином, фактор вразливості знижується.

Зниження параметра SLE, т. Е. Ймовірності реалізації загрози, може бути досягнуто за рахунок технічних заходів. Наприклад, при наявності загрози короткочасного відключення електроживлення установка джерела безперебійного живлення знижує ймовірність її реалізації.

Виниклі (залишилися) після застосування методики управління ризики називаються залишковими, і саме вони застосовуються для обгрунтування інвестицій в інформаційну безпеку. Перерахунок ризиків проводиться щодо всіх ризиків, якщо вони оцінені як високі і середні. Результати розрахунку залишкових ризиків зводяться в таблицю (див. таблицю 3 ).

ОБГРУНТУВАННЯ ЕКОНОМІЧНИХ ІНВЕСТИЦІЙ

Сама по собі якісна оцінка ризиків не дозволяє аргументувати інвестиції, тому що не містить конкретних цифр для визначення витрат на зниження ризиків. Для обґрунтування витрат потрібно ідентифікувати заходи, застосування яких дозволить знизити дані ризики до прийнятних величин. Заходи зниження ризиків, як правило, цілком конкретні (технічними або організаційними), і в цьому випадку вже можна говорити про вартість. Оцінка необхідних заходів в грошовому еквіваленті проводиться після складання бюджету. Таким чином якісна оцінка ризиків виступає підставою для залучення інвестицій.

ПРИКЛАД ЯКІСНОГО РОЗРАХУНКУ ІНФОРМАЦІЙНИХ РИЗИКІВ

Показовий розрахунок якісних значень інформаційних ризиків проведено на прикладі сервера Web торгової компанії, що займається продажем комп'ютерної техніки через власний Internet-магазин. Припустимо, що річний торговий оборот становить 100 тис. Доларів США на рік. Як сервер Web використовується ПО Microsoft IIS і СУБД Microsoft SQL Server. Для спрощення розрахунку приймемо дві моделі порушників: зовнішній легальний користувач і зовнішній хакер.

Першого позначимо як A1, а другого - A2.

Таким чином, категорії A1 властиві такі риси порушника:

  • достатня кваліфікація для експлуатації можливостей Internet-магазину;
  • відсутність мети завдати шкоди компанії.

Для категорії А2 характерні такі риси порушника:

  • необхідні технічні пізнання для експлуатації можливостей Internet-магазину;
  • навички та досвід використання вразливостей і декларованих можливостей ОС, поширеного прикладного ПО;
  • досвід злому подібних систем;
  • намір завдати шкоди компанії.

Відносно сервера Web можуть бути ідентифіковані наступні загрози:

  • порушення цілісності інформації, що зберігається в СУБД Internet-магазину;
  • порушення доступності сервера Web;
  • порушення конфіденційності інформації, що зберігається в СУБД Internet-магазину.

Загроза порушення цілісності може виникнути в результаті реалізації наступних механізмів:

  • проведення атаки SQL Injection;
  • проведення атаки Cross-Site Scripting;
  • ескалація привілеїв зловмисника в системі в результаті переповнення буфера ОС або СУБД.

Загроза порушення конфіденційності можлива внаслідок реалізації наступних механізмів:

  • проведення атаки SQL Injection;
  • проведення атаки Cross-Site Scripting;
  • ескалація привілеїв прав зловмисника в системі в результаті переповнення буфера ОС або СУБД.

Загроза порушення доступності виникне, якщо будуть реалізовані наступні механізми:

  • ескалація привілеїв прав зловмисника в системі в результаті переповнення буфера ОС або СУБД;
  • створення шторму мережевих пакетів проти сервера Web;
  • формування некоректних пакетів, спрямованих на сервер Web і тягнуть за собою крах служби.

Таким чином ідентифіковані наступні механізми реалізації загроз:

  • проведення атаки SQL Injection;
  • проведення атаки Cross-Site Scripting;
  • ескалація привілеїв прав зловмисника в системі в результаті переповнення буфера ОС або СУБД;
  • створення шторму мережевих пакетів, спрямованих на сервер Web;
  • формування некоректних пакетів, спрямованих на сервер Web і тягнуть за собою крах служби.

Атака на зразок SQL Injection може бути навмисно здійснена зловмисником категорії A2, але не може бути проведена за жодних обставин зловмисником категорії A1.

Атака Cross-Site Scripting також може бути зроблена зловмисником категорії A2, але ні в якому разі не зловмисником категорії A1.

Ескалація привілеїв прав зловмисника в системі може статися в результаті навмисних дій зловмисника категорії A2 і ненавмисних дій зловмисника категорії А1.

Створення шторму мережевих пакетів, спрямованих на сервер Web, може стати наслідком навмисних дій зловмисника категорії A2 і ненавмисних дій зловмисника категорії А1 (наприклад, внаслідок частого натискання кнопки «Оновити» оглядача Internet).

Формування некоректних пакетів, спрямованих на сервер Web, що тягнуть за собою крах служби, може статися в результаті навмисних дій зловмисника категорії A2, але ні в якому разі не трапиться в результаті дій зловмисника категорії A1.

Результати ідентифікації загроз і побудови моделі порушника зведені в таблицю 4 .

Ресурс сервера Web є критичним для функціонування компанії, тому йому присвоєно значення AV = 3. Мері уразливості ресурсу до загрози порушення цілісності (EF) теж призначено максимальне значення (3), так як порушення цілісності збережених в СУБД даних тягне за собою зрив поставок, якщо , наприклад, віддалені дані про оформлені, але ще не проведених замовленнях. Імовірність реалізації загрози порушення цілісності оцінена як середня з огляду на те, що не виключається експлуатація широко відомих вразливостей і недоліків програмування (SQL Injection, Cross-Site Scripting). Параметри EF і ARO щодо загроз порушення конфіденційності та доступності розраховувалися аналогічно. Більшість параметрів (крім AV), як можна бачити, приймалися виходячи з експертної думки аудитора. Всі ідентифіковані ризики є високими, оскільки реалізація породжують ці ризики загроз неминуче завдасть істотної шкоди компанії. Таким чином, подальші заходи мають на увазі зниження ідентифікованих ризиків.

Для зниження міри вразливості (EF) в частині реалізації загрози порушення доступності рекомендується переглянути вихідний код сценаріїв Internet-магазину та додати в нього функції фільтрації запитів SQL з метою запобігання впровадження запитів SQL в запити HTTP GET. Подібні заходи можуть бути вжиті щодо атаки Cross-Site Scripting.

Що стосується ескалації привілеїв зловмисника, то на цей випадок можуть бути прийняті такі заходи, як установка недавно вийшли оновлень безпеки служби сервера Web, а також постійний аудит і періодичний перегляд облікових записів користувачів і прав доступу на системному рівні. В результаті цих дій автоматично знижується параметр ARO, установка оновлень безпеки зменшує ймовірність реалізації описаних загроз.

Зниження ступеня уразливості і ймовірності реалізації загрози в частині порушення конфіденційності досягається аналогічно.

Ризик порушення доступності знижується шляхом установки оновлень безпеки, розміщення брандмауера перед сервером Web з урахуванням топології мережі і обмеження кількості одночасних з'єднань зі службою сервера Web з однієї IP-адреси.

Після ідентифікації перерахованих заходів зробимо розрахунок залишкових ризиків і зведемо їх в таблицю, аналогічну попередньої (див. таблицю 5 ). На її основі можна сформувати таблицю зниження ризиків (див. таблицю 6 ). Як бачимо, ризик знижений на величину від 66 до 83%, що є прийнятним рівнем.

На завершення залишається розрахувати витрати на впровадження описаних заходів. Наприклад, доробка сценаріїв сервера Web спричинить трудовитрати в 56 людино-годин, а фінансові вкладення складуть 5000 доларів США. Установка брандмауера: трудовитрати в 112 людино-годин і 10 тис. Доларів. Таким чином, загальні витрати на впровадження запропонованих заходів - 168 людино-годин і 15 тис. Доларів. У порівнянні з річним оборотом Internet-магазину в 100 тис. Доларів ці витрати хоч і високі, але цілком виправдані.

Покровський Павло - аналітик з інформаційної безпеки компанії «Відкриті технології». З ним можна зв'язати за адресою: [email protected] .

? AWi Verlag

Новости

Где купить бленда

На одной из семейных фотосессий, ребенок уронил мою бленду, они конечно же оплатили принесенный ущерб, но я не знал где купить замену именно такого качества. Поискал в интернете, но доставка долгая,

Держатель для iphone 5 в машину

Мобильный телефон - это то, без чего современная жизнь просто невооброзима, этот гаджет настолько уверенно и стремительно занял место в нашей жизни, что без него практически каждый буквально из дома

Игрушки на елку
Елка является одним из самых главных символов Нового года. Уже с наступлением декабря большинство людей начинает присматриваться к этим лесным красавицам, а в конце месяца практически каждая квартира


 PHILIP LAURENCE   Pioneer   Антистресс   Аромалампы   Бизнес   Игры   Косметика   Оружие   Панно   Романтика   Спорт   Фен-Шуй   Фен-Шуй Аромалампы   Часы   ЭКСТРИМ   ЭМОЦИИ   Экскурсии   визитницы   подарки для деловых людей   фотоальбомы  
— сайт сделан на студии « Kontora #2 »
E-mail: [email protected]



  • Карта сайта