Файл: Курс лекций по дисциплине Сертификация информационных систем. Предназначено для студентов специальности Информационные системы и программирование.pdf

65
Продолжение табл. 5
Тип информации
Описание состава исходных данных
Информация об об- щесистемном ПО информация об операционных системах, установленных на рабочих станциях и серверах АС; данные о СУБД, установленных в АС
Информация о при- кладном ПО перечень прикладного ПО общего и специального назначения, ус- тановленного в АС; описание функциональных задач, решаемых с помощью прикладно- го ПО, установленного в АС
Информация о сред- ствах защиты, уста- новленных в АС информация о производителе средства защиты; конфигурационные настройки средства защиты; схема установки средства защиты
Информация о топо- логии АС карта локальной вычислительной сети, включающей схему распре- деления серверов и рабочих станций по сегментам сети; информация о типах каналов связи, используемых в АС; информация об используемых в АС сетевых протоколах; схема информационных потоков АС
3. Оценка уровня безопасности АС
После сбора необходимой информации проводится ее анализ с целью оценки текущего уровня защищенности системы. В процессе такого анализа определяются риски информационной безопасности, которым может быть под- вержена компания. Фактически риск представляет собой интегральную оценку того, насколько эффективно существующие средства защиты способны проти- востоять информационным атакам.
Обычно выделяют две основные группы методов расчета рисков безо-
пасности.
Первая группа позволяет установить уровень риска путем оценки степе- ни соответствия определенному набору требований по обеспечению информа- ционной безопасности.
Вторая группа методов оценки рисков информационной безопасности базируется на определении вероятности реализации атак, а также уровней их ущерба. В данном случае значение риска вычисляется отдельно для каждой атаки и в общем случае представляется как произведение вероятности проведе- ния атаки на величину возможного ущерба от этой атаки. Значение ущерба оп- ределяется собственником информационного ресурса, а вероятность атаки вы- числяется группой экспертов, проводящих процедуру аудита.
Методы первой и второй групп могут использовать количественные или качественные шкалы для определения величины риска информационной безо- пасности. В таблицах 6 и 7 приведены примеры качественных шкал оценки рисков информационной безопасности, в которых для оценки уровней ущерба и вероятности атаки используется пять понятийных уровней.
При использовании качественных шкал для вычисления уровня риска применяются специальные таблицы, в которых в первом столбце задаются по- нятийные уровни ущерба, а в первой строке — уровни вероятности атаки.
Ячейки же таблицы, расположенные на пересечении первой строки и столбца,
5 / 10

66
содержат уровень риска безопасности. Размерность таблицы зависит от количе- ства концептуальных уровней вероятности атаки и ущерба. Уровень риска можно определить на основе таблицы 8.
Таблица 6
Качественная шкала оценки уровня ущерба
Уровень ущерба
Описание
Малый ущерб
Приводит к незначительным потерям материальных активов, кото- рые быстро восстанавливаются, или к незначительному влиянию на репутацию компании
Умеренный ущерб
Вызывает заметные потери материальных активов или приводит к умеренному влиянию на репутацию компании
Ущерб средней тяжести
Приводит к существенным потерям материальных активов или зна- чительному урону репутации компании
Большой ущерб
Вызывает большие потери материальных активов и наносит большой урон репутации компании
Критический ущерб Приводит к критическим потерям материальных активов или к пол- ной потере репутации компании на рынке, что делает невозможным дальнейшую деятельность организации
Таблица 7
Качественная шкала оценки вероятности проведения атаки
Уровень
вероятности атаки
Описание
Очень низкая
Атака практически никогда не будет проведена. Уровень соответст- вует числовому интервалу вероятности (0, 0,25)
Низкая
Вероятность проведения атаки достаточно низкая. Уровень соответ- ствует числовому интервалу вероятности (0,25, 0,5)
Средняя
Вероятность проведения атаки приблизительно равна 0,5
Высокая
Атака скорее всего будет проведена. Уровень соответствует число- вому интервалу вероятности (0,5, 0,75)
Очень высокая
Атака почти наверняка будет проведена. Уровень соответствует чи- словому интервалу вероятности (0,75, 1)
Таблица 8
Пример таблицы определения уровня риска информационной безопасности
Вероятность атаки
Ущерб
очень
низкая
низкая
средняя
высокая
очень
высокая
Малый ущерб
Низкий риск Низкий риск Низкий риск
Средний риск
Средний риск
Умеренный ущерб
Низкий риск Низкий риск
Средний риск
Средний риск
Высокий риск
Ущерб средней тяжести
Низкий риск
Средний риск
Средний риск
Средний риск
Высокий риск
Большой ущерб
Средний риск
Средний риск
Средний риск
Средний риск
Высокий риск
Критический ущерб Средний риск
Высокий риск
Высокий риск
Высокий риск
Высокий риск
6 / 10

67
При расчете значений вероятности проведения атаки, а также уровня воз- можного ущерба могут использоваться статистические методы, методы экс- пертных оценок или элементы теории принятия решений.
В процессе проведения аудита безопасности могут использоваться спе- циализированные программные комплексы, позволяющие автоматизировать процесс анализа исходных данных и расчета значений рисков. Примерами та- ких комплексов являются «Гриф» и «Кондор» (компании «Digital Security»), а также «АванГард» (Института системного анализа РАН).
4. Результаты аудита безопасности
Рекомендации могут включать в себя следующие типы действий, направ- ленных на минимизацию выявленных рисков:
– уменьшение риска за счет использования дополнительных организаци- онных и технических средств защиты, позволяющих снизить вероятность прове- дения атаки или уменьшить возможный ущерб от нее. Так, например, установка межсетевых экранов в точке подключения АС к сети Интернет позволяет суще- ственно снизить вероятность проведения успешной атаки на общедоступные ин- формационные ресурсы АС, такие как веб-серверы, почтовые серверы и т. д.;
– уклонение от риска путем изменения архитектуры или схемы информа- ционных потоков АС, что позволяет исключить возможность проведения той или иной атаки. Так, например, физическое отключение от сети Интернет сег- мента АС, в котором обрабатывается конфиденциальная информация, позволя- ет исключить атаки на конфиденциальную информацию из этой сети;
– изменение характера риска в результате принятия мер по страхованию.
В качестве примеров такого изменения характера риска можно привести стра- хование оборудования АС от пожара или страхование информационных ресур- сов от возможного нарушения их конфиденциальности, целостности или дос- тупности. В настоящее время российские компании уже предлагают услуги по страхованию информационных рисков;
– принятие риска в том случае, если он уменьшен до того уровня, на ко- тором он не представляет опасности для АС.
При выборе мер по повышению уровня защиты АС учитывается одно принципиальное ограничение — стоимость их реализации не должна превы- шать стоимость защищаемых информационных ресурсов.
В завершение процедуры аудита его результаты оформляются в виде от- четного документа, который предоставляется заказчику. В общем случае этот документ состоит из следующих основных разделов:
– описание границ, в рамках которых был проведен аудит безопасности;
– описание структуры АС заказчика;
– методы и средства, которые использовались в процессе проведения ау- дита;
– описание выявленных уязвимостей и недостатков, включая уровень их риска;
7 / 10

68
– рекомендации по совершенствованию комплексной системы обеспече- ния информационной безопасности;
– предложения по плану реализации первоочередных мер, направленных на минимизацию выявленных рисков.
5. Программные продукты,
предназначенные для анализа и управления рисками
В настоящее время имеется большое разнообразие как методов анализа и управления рисками, так и реализующих их программных средств. Приведем примеры некоторых наиболее распространенных.
CRAMM. Метод CRAMM (the UK Goverment Risk Analysis and Manag- ment Method) был разработан Службой безопасности Великобритании
(UK Security Service) по заданию британского правительства и взят на воору- жение в качестве государственного стандарта. Он используется начиная с
1985 г. правительственными и коммерческими организациями Великобритании.
За это время CRAMM приобрел популярность во всем мире.
Метод CRAMM — это довольно мощный и универсальный инструмент, позволяющий, помимо анализа рисков, решать также и ряд других аудиторских задач (проведение обследования ИС и выпуск сопроводительной документации на всех этапах; проведение аудита в соответствии с требованиями британского правительства, а также стандарта BS 7799:1995 — Code of Practice for Informa- tion Security Management BS7799; разработка политики безопасности и плана обеспечения непрерывности бизнеса).
В основе метода CRAMM лежит комплексный подход к оценке рисков, сочетающий количественные и качественные методы анализа. Метод является универсальным и подходит как для больших, так и для малых организаций, как правительственного, так и коммерческого сектора. Версии программного обес- печения CRAMM, ориентированные на разные типы организаций, отличаются друг от друга своими базами знаний (profiles). Для коммерческих организаций имеется коммерческий профиль (commercial profile), для правительственных организаций — правительственный профиль (government profile). Правительст- венный вариант профиля также позволяет проводить аудит на соответствие требованиям американского стандарта ITSEC («Оранжевая книга»).
CRAMM предполагает разделение всей процедуры на три последователь- ных этапа. Задачей первого этапа является ответ на вопрос: «Достаточно ли для защиты системы применения средств базового уровня, реализующих традици- онные функции безопасности, или необходимо проведение более детального анализа?» На втором этапе производится идентификация рисков и оценивается их величина. На третьем этапе решается вопрос о выборе адекватных контрмер.
RiskWatch. Программное обеспечение RiskWatch, разрабатываемое аме- риканской компанией RiskWatch, Inc., является мощным средством анализа и управления рисками. В семейство RiskWatch входят программные продукты для проведения различных видов аудита безопасности. Оно включает в себя следующие средства аудита и анализа рисков:
8 / 10

69
– RiskWatch for Physical Security — для физических методов защиты ИС;
– RiskWatch for Information Systems — для информационных рисков;
– HIPAA-WATCH for Healthcare Industry — для оценки соответствия тре- бованиям стандарта HIPAA;
– RiskWatch RW17799 for ISO17799 — для оценки соответствия требова- ниям стандарта ISO17799.
В методе RiskWatch в качестве критериев для оценки и управления рис- ками используются «предсказание годовых потерь» (annual loss expectancy —
ALE) и оценка возврата от инвестиций (return on investment — ROI). Семейство программных продуктов RiskWatch имеет массу достоинств. К недостаткам данного продукта можно отнести его относительно высокую стоимость.
COBRA. Система COBRA (Consultative Objective and Bi-Functional Risk
Analysis), разрабатываемая компанией Risk Associates, является средством ана- лиза рисков и оценки соответствия ИС стандарту ISO17799. COBRA реализует методы количественной оценки рисков, а также инструменты для консалтинга и проведения обзоров безопасности. При разработке инструментария COBRA были использованы принципы построения экспертных систем, обширная база знаний по угрозам и уязвимостям, а также большое количество вопросников, с успехом применяющихся на практике. В семейство программных продуктов
COBRA входят COBRA ISO17799 Security Consultant, COBRA Policy Complian- ce Analyst и COBRA Data Protection Consultant.
Buddy System. Программный продукт Buddy System, разрабатываемый компанией Countermeasures Corporation, позволяет осуществлять как количест- венный, так и качественный анализ рисков. Он содержит развитые средства ге- нерации отчетов. Основной акцент при использовании Buddy System делается на информационные риски, связанные с нарушением физической безопасности, и управление проектами.
Результатом проведения аудита в последнее время все чаще становится
сертификат, удостоверяющий соответствие обследуемой ИС требованиям при- знанного международного стандарта. Наличие такого сертификата позволяет организации получать конкурентные преимущества, связанные с большим до- верием со стороны клиентов и партнеров.
9 / 10

70 10 / 10

71