Академический Документы
Профессиональный Документы
Культура Документы
ФЕДЕРАЦИИ
ФЕДЕРАЛЬНОЕ ГОСУДАРСТВЕННОЕ БЮДЖЕТНОЕ
ОБРАЗОВАТЕЛЬНОЕ УЧРЕЖДЕНИЕ ВЫСШЕГО ОБРАЗОВАНИЯ
«БАШКИРСКИЙ ГОСУДАРСТВЕННЫЙ УНИВЕРСИТЕТ»
КУРСОВАЯ РАБОТА
Выполнил:
Студент 5 курса очной формы
обучения
Специальность 10.05.05
(код)
«Безопасность информационных
технологий в правоохранительной
сфере»
(наименование)
__________/Д.А. Котовский
(подпись) (инициалы, фамилия)
Научный руководитель
______________________
(ученая степень, ученое звание)
____________/ Салов И.В.
(подпись) (инициалы, фамилия)
УФА – 2018
Содержание
Введение ................................................................................................................... 3
1 Анализ рисков информационной безопасности ............................................ 6
1.1 Понятие анализа рисков информационной безопасности ............................ 6
1.2 Стандарты в области управления рисками информационной
безопасности ............................................................................................................ 8
1.3 Подходы к оценке рисков информационной безопасности ................... 13
2 Инструментальные средства анализа рисков информационной
безопасности .......................................................................................................... 26
2.1 Краткий обзор существующих инструментальных решений проблем
анализа рисков ....................................................................................................... 26
2.2 Инструментальное средство анализа рисков RA Software Tool ............ 29
2.3 Описание программы и внешний вид ....................................................... 31
Заключение ............................................................................................................ 36
Список использованных источников .................................................................. 38
2
Введение
3
Цель исследования – получение теоретических материалов по теме
анализа рисков информационной безопасности и инструментальных средств
анализа в целях оценки практического использования средств анализа.
Задачи курсовой работы:
1) изучить теоретический материал по теме анализа рисков
информационной безопасности;
2) рассмотреть существующие инструментальные средства анализа
рисков;
3) изучить инструментальное средство анализа рисков RA Software
Tool.
Объектом курсовой работы являются инструментальные средства
анализа рисков.
Предмет исследования – инструментальное средство анализа рисков RA
Software Tool.
Практическая значимость курсовой работы заключается в получении
теоретических и практических знаний в области анализа рисков
информационной безопасности и использования инструментальных средств
анализа рисков.
В процессе написания курсовой используются следующие методы
исследования:
анализ нормативно-правовой документации по теме курсовой;
анализ отечественной и зарубежной литературы и документации;
теоретический анализ и синтез;
сравнение;
моделирование;
обобщение.
Курсовая работа написана при использовании информационной базы,
включающей:
международные и национальные стандарты;
4
научная литература по выбранной теме;
нормативно-правовые акты РФ;
свободные источники информации.
5
1 Анализ рисков информационной безопасности
1
Зайцев, А.П., Шелупанов, А.А., Мещеряков, Р.В. Технические средства и методы защиты информации:
учебник для вузов / А.П. Зайцев, А.А. Шелупанов, Р.В. Мещеряков. – М.: ООО «Издательство
Машиностроение», 2014 – 442 с. – ISBN 978-5-9912-0233-6
6
слушания2 специально созданных комитетов и комиссий по вопросам
управления информационными рисками. Подготовлено более десятка
различных стандартов и спецификаций, детально регламентирующих
процедуры управления информационными рисками, среди которых
наибольшую известность приобрели международные спецификации и
стандарты ISO 17799-2002 (BS 7799), GAO и FISCAM, SCIP, NIST, SAS 78/94
и COBIT3.
В настоящее время управление информационными рисками
представляет собой одно из наиболее актуальных и динамично
развивающихся направлений стратегического и оперативного менеджмента в
области защиты информации. Его основная задача — объективно
идентифицировать и оценить наиболее значимые для бизнеса
информационные риски компании, а также адекватность используемых
средств контроля рисков для увеличения эффективности и рентабельности
экономической деятельности компании. Поэтому под термином "управление
информационными рисками" обычно понимается системный процесс
идентификации, контроля и уменьшения информационных рисков компаний
в соответствии с определенными ограничениями российской нормативно-
правовой базы в области защиты информации и собственной корпоративной
политики безопасности. Считается, что качественное управление рисками
позволяет использовать оптимальные по эффективности и затратам средства
контроля рисков и средства защиты информации, адекватные текущим целям
и задачам бизнеса компании.
Не секрет, что сегодня наблюдается повсеместное усиление зависимости
успешной деятельности отечественных компаний от используемых
организационных мер и технических средств контроля и уменьшения риска.
2
RA2 art of risk [Электронный ресурс] // European Union Agency for Network and Information Security / Режим
доступа: https://www.enisa.europa.eu/topics/threat-risk-management/risk-management/current-risk/risk-
management-inventory/rm-ra-tools/t_ra2.html (дата обращения 27.11.2018г)
3
Баранова, Е.К. Методики и программное обеспечение для оценки рисков в сфере информационной
безопасности // Управление риском. – 2015. – № 1(49). – С. 15–26.
7
Для эффективного управления информационными рисками разработаны
специальные методики, например, методики международных стандартов ISO
15408, ISO 17799 (BS7799), BSI; а также национальных стандартов NIST
80030, SAC, COSO, SAS 55/78 и некоторые другие, аналогичные им. В
соответствие с этими методиками управление информационными рисками
любой компании предполагает следующее.
Во-первых, определение основных целей и задач защиты
информационных активов компании.
Во-вторых, создание эффективной системы оценки и управления
информационными рисками.
В-третьих, расчет совокупности детализированных не только
качественных, но и количественных оценок рисков, адекватных заявленным
целям бизнеса.
В-четвертых, применение специального инструментария оценивания и
управления рисками4.
4
Садердинов, А.А. Информационная безопасность предприятия: учеб. пособие / А.А. Садердинов, В.А.
Трайнев, А.А. Федулов. – М.: Дашков и К, 2015. – 390 с. – ISBN 5-94798-420-2
8
контроля, необходимых для построения СУИБ, определенных на основе
лучших примеров из мировой практики.
В 1998 году появилась вторая часть этого британского стандарта – BS
7799-2 «Системы управления информационной безопасностью.
Спецификация и руководство по применению», определившая общую модель
построения СУИБ и набор обязательных требований для сертификации. С
появлением второй части BS 7799, определившей, что должна из себя
представлять СУИБ, началось активное развитие системы сертификации в
области управления безопасностью.
В 1999 году обе части BS 7799 были пересмотрены и гармонизированы
с международными стандартами систем управления ISO 9001 и ISO 14001, а
год спустя технический комитет ISO без изменений принял BS 7799-1 в
качестве международного стандарта ISO 17799, который впоследствии был
переименован в ISO 270025.
Вторая часть BS 7799 пересматривалась в 2002 г., а в конце 2005 г. была
принята в качестве международного стандарта ISO/IEC 27001:2005
«Информационные технологии – Методы обеспечения безопасности –
Системы управления информационной безопасностью – Требования». В это
же время была обновлена и первая часть стандарта. С выходом ISO 27001
спецификации СУИБ приобрели международный статус, и теперь роль и
престижность СУИБ, сертифицированных по стандарту ISO 27001,
значительно повысились.
BS 7799 и его международные редакции постепенно стали одними из
наиболее важных стандартов для отрасли информационной безопасности.
Однако, когда в августе 2000 г. в ISO обсуждалась первая редакция
международного стандарта ISO 17799, с трудом удалось достичь консенсуса.
5
ГОСТ Р ИСО/МЭК 27002-2012 Информационная технология (ИТ). Методы и средства обеспечения
безопасности. Свод норм и правил менеджмента информационной безопасности (утвержден и введен в
действие Приказом Федерального агентства по техническому регулированию и метрологии от 24 сентября
2012 г. N 423-ст) [Электронный ресурс] // Консорциум Кодекс – Техэксперт/ Режим доступа: / URL:
http://docs.cntd.ru/document/1200103619/ (дата обращения 27.11.2018г.)
9
Документ вызвал массу критических замечаний со стороны представителей
ведущих ИТ держав, которые утверждали, что он не отвечает основным
критериям, предъявляемым к международным стандартам. «Не было даже
возможности сравнить этот документ со всеми остальными работами по
безопасности, когда-либо рассматриваемыми в ISO», – говорит Жене Трой,
представитель США в техническом комитете ISO.
Представители BSI возражали, что работы, о которых идет речь,
касаются в основном технических аспектов, а BS 7799 никогда не
рассматривался как технический стандарт. В отличие от других стандартов
безопасности, таких как Commonly Accepted Security Practices and Regulations
(CASPR) или ISO 15408/Common Criteria, он определяет основные не
технические аспекты защиты информации, представленной в любой форме.
««Он должен быть таким, так как предназначается для любых видов
организаций и внешних окружений», – говорит представитель BSI Стив
Тайлер (Steve Tyler). – Это документ по управлению информационной
безопасностью, а не каталог ИТ продуктов».
Несмотря на все возражения, авторитет BSI (являющегося основателем
ISO, основным разработчиком международных стандартов и главным органом
по сертификации в мире) перевесил. Была запущена процедура ускоренного
согласования, и стандарт вскоре был принят. Основным достоинством ISO
17799 и родственных ему стандартов является их гибкость и универсальность.
Описанный в нем набор лучших практик применим практически к любой
организации, независимо от формы собственности, вида деятельности,
размера и внешних условий. Он нейтрален в технологическом плане и всегда
оставляет возможность выбора технологий. Когда возникают вопросы: «С
чего начать?», «Как управлять ИБ?», «На соответствие каким критериям
следует проводить аудит?» – этот стандарт поможет определить верное
направление и не упустить из виду существенные моменты. Его также можно
использовать как авторитетный источник и один из инструментов для
10
«продажи» безопасности руководству организации, определения критериев и
обоснования затрат на ИБ6.
В стандартах серии ISO 27000 нашло отражение все, что требуется для
управления информационными рисками. Речь идет прежде всего о
выпущенном в 2008 году международном стандарте ISO/IEC 27005:2008, а
также о его предшественнике – британском стандарте BS 7799-3:2006,
увидевшим свет в 2006 году. Эти стандарты во многих вещах взаимно
перекликаются, а в некоторых вопросах дополняют друг друга.
Заслуживает также упоминания американский стандарт в области
управления рисками NIST 800-30, который, в свою очередь, опирается на ISO
Guide 73, ISO 16085, AS/NZS 4360. Основные положения этого стандарта были
учтены при разработке ISO 27005.
Вопреки ожиданиям, ISO 27005 вовсе не является международной
версией BS 7799-3, в отличие от своих предшественников ISO 27001 и ISO
27002, которые, как известно, являются международными версиями
британских стандартов BS 7799-2 и BS 7799-1 соответственно. ISO 27005
пришел на смену международным стандартам ISO 13335-3 и ISO 13335-4,
действие которых теперь отменено. Это свидетельствует о позитивном
процессе замещения уже слегка устаревшей серии стандартов ИТ
безопасности ISO 13335 относительно новой серией стандартов в области
управления информационной безопасностью – ISO 27000. В результате
данного процесса стандартов становится меньше, а их качество заметно
улучшается.
Сопоставляя стандарты BS 7799-3 и ISO 27005, мы обнаруживаем, что
они определяют все наиболее важные моменты, связанные с рисками,
сходным образом. Это касается процессной модели, элементов управления
рисками, подходов к анализу рисков и способам их обработки, а также
6
Информационная безопасность как искусство управления рисками [Электронный ресурс] // Анализ-
риска.рф: информационный портал / Режим доступа: http://анализ-риска.рф/content/informacionnaya-
bezopasnost-kak-iskusstvo-upravleniya-riskami (дата обращения 27.11.2018г)
11
вопросов коммуникации рисков. Оба стандарта содержат в виде приложений
примеры типовых угроз, уязвимостей и требований безопасности.
BS 7799-3 и ISO 27005 определяют:
основные элементы процесса управления рисками;
процессную модель;
общий подход к управлению рисками;
процессы анализа и оценивания рисков;
способы качественного определения величины рисков;
способы обработки рисков;
процесс коммуникации рисков;
примеры рисков, угроз, уязвимостей, активов, ущербов, требований
законодательства и нормативной базы.
Однако разные источники разработки обусловили и ряд различий между
британским и международным стандартами управления рисками. ISO 27005
более подробно описывает критерии и подходы к оценке рисков, контекст
управления рисками, область и границы оценки, а также ограничения,
влияющие на уменьшение риска. В то же время BS 7799-3 более тесно связан
с ISO 27001 и непосредственным образом отображает процессы управления
рисками на процессы жизненного цикла СУИБ. Он также определяет
требования к эксперту по оценке рисков и риск-менеджеру и включает в себя
рекомендации по выбору инструментария для оценки рисков. BS 7799-3 также
содержит примеры законодательных и нормативных требований
применительно к США и странам Европы.
Различия стандартов управления рисками информационной
безопасности:
1. ISO 27005
заменяет ISO 13335-3 и ISO 13335-4;
определяет основные критерии для оценки рисков:
область действия и границы;
12
подходы к оценке рисков;
ограничения, влияющие на уменьшение риска.
2. BS 7799-3
отображает процессы управления рисками на модель жизненного
цикла СУИБ согласно ISO 27001;
определяет требования к эксперту по оценке рисков и к риск-
менеджеру;
содержит примеры соответствия требованиям законодательства и
нормативной базы;
содержит рекомендации по выбору инструментов для управления
рисками.
13
Методика проведения количественной оценки рисков:
1. Определить ценность информационных активов в денежном
выражении.
2. Оценить в количественном выражении потенциальный ущерб от
реализации каждой угрозы в отношении каждого информационного актива –
следует получить ответы на вопросы «Какую часть от стоимости актива
составит ущерб от реализации каждой угрозы?», «Какова стоимость ущерба в
денежном выражении от единичного инцидента при реализации данной
угрозы к данному активу?».
3. Определить вероятность реализации каждой из угроз ИБ.
Для этого можно использовать статистические данные, опросы
сотрудников и заинтересованных лиц. В процессе определения вероятности
рассчитать частоту возникновения инцидентов, связанных с реализацией
рассматриваемой угрозы ИБ за контрольный период (например, за один год).
4. Определить общий потенциальный ущерб от каждой угрозы в
отношении каждого актива за контрольный период (за один год)7.
Значение рассчитывается путем умножения разового ущерба от
реализации угрозы на частоту реализации угрозы.
5. Провести анализ полученных данных по ущербу для каждой угрозы.
По каждой угрозе необходимо принять решение. Всего их четыре:
1. Принятие (сохранение) риска. На решение о принятии (сохранении)
риска оказывают влияние различные обстоятельства. Например, стартующий
высокотехнологичный бизнес может принимать более высокие риски, нежели
солидная организация традиционного профиля. Основными факторами,
влияющими на решение о принятии рисков, являются:
возможные последствия осуществления риска, т.е. расходы
организации в каждом случае, когда это происходит;
7
Баранова, Е.К. Особенности подхода к анализу рисков информационной безопасности в малом и среднем
бизнесе // Вопросы оборонной техники. Серия 16: Технические средства противодействия терроризму. – 2016.
– № 7-8. – С. 146-152.
14
ожидаемая частота подобных событий.
Количественные оценки этих факторов являются очень неточными и
субъективными, поэтому лица, принимающие решение, должны осторожно
взвешивать точность и достоверность информации, на основании которой они
принимают решение, и величину потерь, которую они готовы принять.
К числу субъективных факторов, оказывающих влияние на принятие
решений по рискам, относятся в том числе:
готовность к принятию рисков (также известная как терпимость или
склонность к риску);
простота реализации механизма контроля;
доступные финансовые, кадровые и информационные ресурсы;
существующие деловые/технологические приоритеты;
политика организации и руководства, например, в отношении
следования тем или иным требованиям.
Каждая организация должна установить критерии принятия рисков,
определяющие максимально допустимый уровень остаточного риска, а также
возможные исключения для определенных рисков при определенных
обстоятельствах.
Риски, превышающие установленный руководством организации
допустимый уровень, это те риски, которые являются неприемлемыми для
бизнеса, а связанная с ними деятельность слишком рискованной. Все
остальные риски, ниже этого уровня, являются допустимыми и могут быть
приняты без дальнейшей обработки.
На практике многие риски занимают промежуточное положение между
однозначно приемлемыми и очевидно неприемлемыми. Такие риски также
нуждаются в обработке, хотя и не в первую очередь, и могут быть снижены
при обеспечении хорошего возврата инвестиций. Поэтому в дополнение к
максимально допустимому уровню остаточного риска мы также используем
уровень однозначно приемлемого риска.
15
Уровни принятия риска:
1. Низкий риск (уровень риска: от 0 до 2) однозначно приемлемые
риски, составляющие обычный рисковый фон организации.
2. Средний риск (уровень риска: от 3 до 5) потенциально приемлемые
риски, уменьшение которых, однако, может дать положительный
экономический эффект. Эти риски обычно нуждаются в обработке, но не в
первую очередь.
3. Высокий риск (уровень риска: от 6 до 8) неприемлемые риски,
нуждающиеся в скорейшей обработке. Сохранение данных рисков
руководство организации считает крайне рискованным для своего бизнеса.
В ситуации, когда за разные риски отвечают разные подразделения
организации, используемые критерии принятия рисков требуют согласования
между этими подразделениями, а также с руководством организации. В
противном случае возникает ситуация, при которой организация применяет
разные критерии принятия рисков для разных областей контроля, что
приводит к недооценке одних видов рисков и переоценке других.
2. Уменьшение риска. Если риск неприемлем, то обычно в первую
очередь рассматривается вопрос о его уменьшении до уровня, который был
определен как максимально допустимый, путем применения
соответствующих механизмов контроля.
Одним из наиболее авторитетных источников для выбора механизмов
контроля служат международные стандарты ISO 27001 и ISO 27002,
предоставляющие описание и руководство по внедрению для каждого
механизма контроля. В стандарте ISO 15408 Общие критерии оценки
безопасности информационных технологий и разработанных на его основе
профилях защиты можно найти соответствующие требования и подобрать
спецификацию практически для любых программно-технических механизмов
контроля. Заслуживает также внимания немецкий стандарт в области ИТ
безопасности BSI/IT Baseline Protection Manual.
16
Список источников информации о контрмерах, применяемых для
уменьшения рисков не исчерпывается названными стандартами. Подробную
информацию по отдельным областям контроля можно почерпнуть из других
международных стандартов, которых насчитывается несколько десятков
наименований. Перечислим лишь некоторые из них:
ISO 13335; группа стандартов Информационные технологии.
Руководство по управлению ИТ безопасностью;
ISO 18044; стандарт Информационные технологии. Методы
обеспечения безопасности. Управление инцидентами информационной
безопасности;
ISO 18043; стандарт Информационные технологии. Методы
обеспечения безопасности. Выбор, развертывание и эксплуатация систем
обнаружения вторжений;
ISO 13569; стандарт Финансовые сервисы. Руководство по
обеспечению информационной безопасности;
ISO 13888; группа стандартов Методы обеспечения ИТ
безопасности. Неотказуемость. Общие положения;
ISO 19794; группа стандартов Информационные технологии.
Форматы обмена биометрическими данными;
ISO 18028; группа стандартов Информационные технологии.
Методы обеспечения безопасности. Безопасность ИТ сетей.
Механизмами контроля в международных стандартах называют любые
меры, направленные на уменьшение риска. Уменьшать риски можно
следующими способами:
уменьшением вероятности воздействия угрозы на активы;
ликвидацией имеющихся уязвимостей;
уменьшением вероятности использования уязвимости;
17
уменьшением возможного ущерба в случае осуществления риска
путем обнаружения нежелательных событий, реагирования и восстановления
после них.
Какой из этих способов (или их комбинацию) организация выбирает для
защиты своих активов, зависит от требований бизнеса, внешней среды и
обстоятельств. Выбор механизмов контроля должен быть обоснован.
Основными критериями такого выбора служат его реализуемость,
эффективность в достижении целей контроля и экономическая
целесообразность, измеряемая коэффициентом возврата инвестиций (ROI).
Каким образом определяется ROI, мы рассмотрим ниже в разделе Оценка
возврата инвестиций в информационную безопасность.
Не существует универсального или достаточно общего подхода к
выбору целей и механизмов контроля. Процесс выбора, вероятно, будет
включать в себя большое количество этапов принятия решения, консультации
и обсуждения с представителями бизнеса и ключевыми лицами, а также анализ
целей бизнеса. Процесс выбора должен базироваться на четко определенном
наборе целей и задач бизнеса или его миссии и произвести результаты,
которые наилучшим образом подходят для организации в терминах
требований бизнеса по защите его активов и инвестиций, культуры
организации и ее терпимости к риску.
Выбор механизмов контроля опирается на результаты оценки риска.
Анализ уязвимости или угрозы может показать, где требуется защита и какие
формы она должна принимать. Любые подобные ссылки на оценку рисков
должны быть документированы с целью обоснования выбора (либо
исключения) механизмов контроля. Документирование выбранных
механизмов контроля, наряду с целями контроля, для достижения которых они
предназначены, в декларации о применимости и в плане обработки рисков (об
этих документах пойдет речь ниже) является важным условием для
сертификации по стандарту ISO 27001, а также помогает организации далее
18
непрерывно отслеживать ход внедрения и эффективность механизмов
контроля.
При выборе механизмов контроля должно учитываться большое
количество других факторов, включая:
простоту внедрения и эксплуатации механизма контроля;
надежность и воспроизводимость механизма контроля (является ли
он документированным, исполняется он вручную или запрограммирован);
относительную силу механизмов контроля по сравнению с другими
мерами;
типы выполняемых функций (предотвращение, сдерживание,
обнаружение, восстановление, исправление, мониторинг или оповещение).
На выбор механизмов контроля могут повлиять следующие
ограничения:
время реализации; может быть неприемлемым, например,
превышать жизненный цикл процесса, для которого требуется уменьшить
риск;
законодательные; ограничения на использование средств
шифрования;
кадровые; доступность специализированного персонала;
этические; не во всех организациях уместна перлюстрация почты, а
сообщения о подозрительных действиях в ряде случаев могут трактоваться как
доносительство;
культурные; досмотр сумок можно ввести в Европе, но это
недопустимо в странах Ближнего Востока. Успешность внедрения в
значительной степени зависит от поддержки со стороны персонала;
операционные; необходимость обеспечения непрерывной
доступности системы 24 часа в сутки.
19
3. Передача риска. Передача риска может быть выбрана в случае, если
сложно уменьшить риск до приемлемого уровня либо если передача этого
риска третьей стороне экономически более оправдана.
Основными механизмами передачи риска являются страхование и
аутсорсинг. Для передачи риска годятся также любые договорные отношения,
позволяющие разделять ответственность и перекладывать риск на внешнюю
сторону (партнеров, клиентов и т.п.). Не стоит, однако, рассматривать
государство в качестве такой внешней стороны. Передать риск государству
достаточно проблематично. Предлагая, а чаще всего навязывая, бизнесу
систему лицензирования, сертификации и аттестации, государство при этом
не принимает на себя соответствующие риски бизнеса. Для аттестованных
систем никаких дополнительных гарантий и компенсации ущерба не
предоставляется, наличие лицензий и сертификатов не является гарантией
безопасности. Не получится разделить ответственность также и с
независимыми негосударственными органами по сертификации, т.к. эти
органы лишь декларируют соответствие определенным требованиям.
Традиционным механизмом передачи риска является страхование.
Страховщики делают бизнес на чужих рисках, принимая на себя эти риски и
получая за это страховую премию. Компенсация убытков предоставляется в
том случае, если осуществляется риск, который укладывается в рамки
страхового покрытия. Успех их бизнеса определяется точностью
прогнозирования среднегодового ущерба, которые должен быть существенно
меньше страховой премии.
Однако даже при страховании присутствует элемент остаточного риска,
поскольку будут существовать условия и исключения, применяемые в
зависимости от типа происшествия, для которых компенсация не будет
предоставляться. Поэтому необходимо тщательно анализировать передачу
риска при помощи страхования для того, чтобы определить, какая часть риска
реально передается. Следует также учитывать, что страхование обычно не
20
имеет дело с нефинансовыми последствиями и не предоставляет немедленной
компенсации в случае инцидента.
Другой возможностью является использование третьих сторон или
партнеров по аутсорсингу для управления неосновными бизнес-процессами
организации. В этом случае необходимо позаботиться о получении гарантий
того, что все требования безопасности, цели и механизмы контроля включены
в соответствующие договора для обеспечения достаточного уровня
безопасности.
Кроме того, следует определить требования безопасности вместе с
конкретными показателями эффективности в соглашениях об уровне сервиса
таким образом, чтобы эффективность предпринимаемых мер безопасности
могла быть измерена. Необходимо принимать во внимание, что здесь также
присутствует остаточный риск, заключающийся в том, что окончательная
ответственность за безопасность аутсорсинговой информации и средств ее
обработки остается за вашей организацией, а также, что через аутсорсинг
могут привноситься новые риски, которые также должны оцениваться и
контролироваться8.
4. Избежание риска.
Прежде чем планировать расходы на уменьшение или передачу риска,
возможно, стоит задуматься, нельзя ли избежать риска путем реорганизации
бизнес-процесса, например, путем выбора иных способов передачи, хранения
или обработки информации.
Избежание риска означает любые действия, при которых изменяются
способы ведения бизнеса для того, чтобы избежать осуществления риска.
Например, избежание риска может быть достигнуто путем:
отказа от определенных бизнес-активностей (например,
неиспользования возможностей, предоставляемых электронной коммерцией,
или неиспользования Интернет для осуществления некоторых операций);
8
Петренко, С.А. Управление информационными рисками. Экономически оправданная безопасность / С.А.
Петренко, С.В. Симонов. М.: Компания АйТи; ДМК Пресс, 2014. – 210 с. – ISBN 5-94074-246-7
21
перемещения ресурсов из зоны риска (например, отказ от хранения
конфиденциальных файлов в Интернет-сети организации или перемещение
ресурсов из зон, недостаточно защищенных физически);
принятия решения о том, чтобы не обрабатывать конкретную
конфиденциальную информацию, например, совместно с третьей стороной в
случае, если адекватный уровень защиты не может быть гарантирован.
Избежание риска должно быть сбалансировано с потребностями бизнеса
и финансовыми целями. Например, использование Интернет или электронной
коммерции может являться неизбежным для организации в связи с деловой
необходимостью, несмотря на озабоченность по поводу хакеров, или с точки
зрения бизнеса может быть неосуществимо перемещение определенных
ресурсов в более надежное место. В таких ситуациях должны рассматриваться
другие варианты, такие как передача или уменьшение риска.
В результате количественной оценки рисков должны быть определены:
ценность активов в денежном выражении;
полный список всех угроз ИБ с ущербом от разового инцидента по
каждой угрозе;
частота реализации каждой угрозы;
потенциальный ущерб от каждой угрозы;
рекомендуемые меры безопасности, контрмеры и действия по
каждой угрозе.
Количественный анализ рисков информационной безопасности на
примере веб-сервера организации, который используется для продажи
определенного товара. Количественный разовый ущерб от выхода сервера из
строя можно оценить, как произведение среднего чека покупки на среднее
число обращений за определенный временной интервал, равное времени
простоя сервера. Допустим, стоимость разового ущерба от прямого выхода
сервера из строя составит 100 тысяч рублей.
22
Теперь следует оценить экспертным путем, как часто может возникать
такая ситуация (с учетом интенсивности эксплуатации, качества
электропитания и т д.). Например, с учетом мнения экспертов и
статистической информации, мы понимаем, что сервер может выходить из
строя до 2 раз в год.
Умножаем две эти величины, получаем, что среднегодовой ущерб от
реализации угрозы прямого выхода сервера из строя составляет 200 тысяч
рублей в год.
Эти расчеты можно использовать при обосновании выбора защитных
мер. Например, внедрение системы бесперебойного питания и системы
резервного копирования общей стоимостью 100 тысяч рублей в год позволит
минимизировать риск выхода сервера из строя и будет вполне эффективным
решением9.
Качественный метод.
К сожалению, не всегда удается получить конкретное выражение
объекта оценки из-за большой неопределенности. Как точно оценить ущерб
репутации компании при появлении информации о произошедшем у нее
инциденте ИБ? В таком случае применяется качественный метод.
При качественном подходе не используются количественные или
денежные выражения для объекта оценки. Вместо этого объекту оценки
присваивается показатель, проранжированный по трехбалльной (низкий,
средний, высокий), пятибалльной или десятибалльной шкале (0… 10). Для
сбора данных при качественной оценке рисков применяются опросы целевых
групп, интервьюирование, анкетирование, личные встречи.
Анализ рисков информационной безопасности качественным методом
должен проводиться с привлечением сотрудников, имеющих опыт и
компетенции в той области, в которой рассматриваются угрозы.
9
Плетнев, П.В., Белов, В.М. Методика оценки рисков информационной безопасности на предприятиях малого
и среднего бизнеса // Доклады Томского государственного университета систем управления и
радиоэлектроники. – 2014. – № 1-2 (25). – С. 83-86.
23
Как провести качественную оценку рисков:
1. Определить ценность информационных активов.
Ценность актива можно определить по уровню критичности
(последствиям) при нарушении характеристик безопасности
(конфиденциальность, целостность, доступность) информационного актива.
2. Определить вероятность реализации угрозы по отношению к
информационному активу.
Для оценки вероятности реализации угрозы может использоваться
трехуровневая качественная шкала (низкая, средняя, высокая).
3. Определить уровень возможности успешной реализации угрозы с
учетом текущего состояния ИБ, внедренных мер и средств защиты.
Для оценки уровня возможности реализации угрозы также может
использоваться трехуровневая качественная шкала (низкая, средняя, высокая).
Значение возможности реализации угрозы показывает, насколько выполнимо
успешное осуществление угрозы.
4. Сделать вывод об уровне риска на основании ценности
информационного актива, вероятности реализации угрозы, возможности
реализации угрозы.
Для определения уровня риска можно использовать пятибалльную или
десятибалльную шкалу. При определении уровня риска можно использовать
эталонные таблицы, дающие понимание, какие комбинации показателей
(ценность, вероятность, возможность) к какому уровню риска приводят.
5. Провести анализ полученных данных по каждой угрозе и
полученному для нее уровню риска.
Часто группа анализа рисков оперирует понятием «приемлемый уровень
риска». Это уровень риска, который компания готова принять (если угроза
обладает уровнем риска меньшим или равным приемлемому, то она не
24
считается актуальной). Глобальная задача при качественной оценке — снизить
риски до приемлемого уровня10.
6. Разработать меры безопасности, контрмеры и действия по каждой
актуальной угрозе для снижения уровня риска.
Целью обоих методов является понимание реальных рисков ИБ
компании, определение перечня актуальных угроз, а также выбор
эффективных контрмер и средств защиты. Каждый метод оценки рисков имеет
свои преимущества и недостатки.
Количественный метод дает наглядное представление в деньгах по
объектам оценки (ущербу, затратам), однако он более трудоемок и в
некоторых случаях неприменим.
Качественный метод позволяет выполнить оценку рисков быстрее,
однако оценки и результаты носят более субъективный характер и не дают
наглядного понимания ущерба, затрат и выгод от внедрения СЗИ.
Выбор метода следует делать исходя из специфики конкретной
компании и задач, поставленных перед специалистом11.
10
Астахов, А.М. Искусство управления информационными рисками / А.М. Астахов. – М.: ДМК Пресс, 2014
– 312 с. – ISBN 978-5-94074-574-7
11
Баранова, Е. К. Анализ рисков на предприятиях, особенности. // Вопросы оборонной техники. Серия 16:
Технические средства противодействия терроризму. – 2016. – № 7-8. – С. 95-101.
25
2 Инструментальные средства анализа рисков
информационной безопасности
12
Баранова, Е.К. Сравнительный анализ программного инструментария для анализа и оценки рисков
информационной безопасности // Проблемы информационной безопасности. Компьютерные системы. СПб. -
Институт информационных технологий и управления // под редакцией проф. Зегжды П.Д. – 2014. – № 4. – С.
160-168.
26
CRAMM. Метод CRAMM (CCTA Risk Analysis and Management Method)
был разработан компанией Insight Consulting по требованиям Центрального
Агентства по Компьютерам и Коммуникациям Великобритании.
Достоинства и недостатки метода CRAMM. Метод использует
комплексный подход к оценке рисков, применяет технологии оценки угроз и
уязвимостей по косвенным факторам с возможностью верификации
результатов, имеет обширную базу знаний по контрмерам и обладает
универсальностью и адаптируемостью под профили разных организаций.
Однако использование метода CRAMM требует специальной подготовки и
высокой квалификации аудитора. Аудит по данному методу – процесс
достаточно трудоемкий и может потребовать месяцев непрерывной работы
аудитора. Он не позволяет создавать собственные шаблоны отчетов или
модифицировать имеющиеся. Программное обеспечение существует только
на английском языке.
RiskWatch. Программное обеспечение RiskWatch, разрабатываемое
американской компанией RiskWatch, Inc., является мощным средством
анализа и управления рисками.
Достоинства и недостатки метода RiskWatch. В методе RiskWatch в
качестве критериев для оценки и управления рисками используются
«предсказание годовых потерь» и оценка «возврата от инвестиций». Он
подходит, если требуется провести анализ рисков на программно-техническом
уровне защиты, без учета организационных и административных факторов.
Полученные оценки рисков (математическое ожидание потерь) далеко не
исчерпывает понимание риска со системных позиций – метод не учитывает
комплексный подход к информационной безопасности.
ГРИФ. ГРИФ - комплексная система анализа и управления рисками
информационной системы компании, разработанная российской компанией
«Digital Security».
Достоинства и недостатки метода ГРИФ. Метод не требует специальных
знаний в области ИБ, предоставляя подробный, дающий полную картину
27
возможного ущерба от инцидентов документ, готовый для представления
руководству компании, формирует полную модель информационной системы
с точки зрения ИБ с учетом реального выполнения требований комплексной
политики безопасности. Однако в методе отсутствует привязка к бизнес-
процессам, возможность сравнения отчетов на разных этапах внедрения
комплекса мер по обеспечению защищенности и добавления специфичные для
данной компании требования политики безопасности.
OCTAVE. Метод OCTAVE — это метод оперативной оценки
критических угроз, активов и уязвимостей.
Метод предусматривает регулярное проведение оценки рисков и
обновление их величин, как части процесса оценки рисков. В нем не
используется такой способ управления рисками, как обход (исключение).
Метод OCTAVE не дает количественной оценки рисков, однако качественная
оценка может быть использована в определении количественной шкалы их
ранжирования13.
Microsoft Security Assessment Tool (MSAT). Данное средство
безопасности разработано для помощи в определении и устранении угроз
безопасности в вычислительной среде и базируется на методике Microsoft.
MSAT оценка предназначена для широкого охвата областей
потенциального риска в среде, а не для предоставления глубокого анализа
конкретных технологий или процессов. Как следствие, средство не может
оценивать эффективность примененных мер безопасности.
13
Баранова, Е.К., Забродоцкий, А.С. Процедура применения методологии анализа рисков OCTAVE в
соответствии со стандартами серии ИСО/МЭК 27000-27005 // Вестник Московского университета им. С.Ю.
Витте. Серия 3: Образовательные ресурсы и технологии. – 2015. – № 3(11) – С. 73-77.
28
2.2 Инструментальное средство анализа рисков RA Software Tool
14
Астахов, А.М. Искусство управления информационными рисками / А.М. Астахов. – М.: ДМК Пресс, 2014
– 312 с. – ISBN 978-5-94074-574-7
29
стандарта ISO 27001. В RA2 реализован достаточно простой для понимания
процессный подход, общие требования к которому определены в ISO 27001 и
более подробно описаны в стандарте ВS 7799-З.
Его разработчики Тэд Хамфриз (Ted Humphreys) и Анжелика Плейт
(Angelika Plate) - известные личности в области управления безопасностью.
Они являются редакторами британского стандарта ВS 7799 и международных
стандартов ISO 27001 и ISO 17799, а также авторами серии книг ВIР 0071-
0074, являющихся официальными руководствами Британского Института
Стандартов по внедрению стандартов серии 27000.
Процесс создания СУИБ в RA2 разделен на четыре этапа:
1. Сбор информации (Information Gathering).
2. Оценка рисков (ISMS Risks).
3. Обработка рисков (Risk Management Decisions).
4. Внедрение механизмов контроля (Implementation of Controls).
Методика RA2 art of risk (RA Software Tool, Великобритания)
представляет собой ПО для разработки и осуществления системы
менеджмента информационной безопасности (СМИБ) в соответствии с
требованиями ISO/IEC 27001:200515.
Входные данные. Методика состоит из 8 модулей:
1) область СМИБ и масштабы оценки риска;
2) идентификация активов в СМИБ;
3) оценка актива;
4) оценка угроз/уязвимостей;
5) идентификация и оценка риска;
6) решения по обработке риска;
7) утверждение применимости;
8) выполнение и отобранные средства управления.
15
Методики и технологии управления информационными рисками [Электронный ресурс] // CITForum: форум
новостей информационных технологий / Режим доступа: http://citforum.ru/security/articles/risk/ (дата
обращения 27.11.2018г)
30
Во время прохождения каждого из модуля инициализируются запросы.
Даны варианты ответов в бинарно-лингвистическом виде (да, нет). Для оценки
риска используются 8 уровней с описанием их как:
1 – тривиальный;
2, 3 – минорный;
4, 5 – значительный;
6, 7 – большой;
8 – катастрофический.
Также, для построения матрицы риска, используются уровни опасности
для предприятия и вероятность риска в лингвистических шкалах.
Выходные данные. При завершении оценки получаем уровни риска по
каждой представленной категории в лингвистическом виде.
16
RA Software [Электронный ресурс] // RA Software:официальный сайт / Режим доступа: http://www.aexis.de
(дата обращения 27.11.2018г)
17
Гипермаркет информационной безопасности GlobalTruth. RA2 art of risk [Электронный ресурс] //
GlobalTruth: интернет-магазин / Режим доступа: / URL
http://shop.globaltrust.ru/show_good.php?idtov=6380&grid= (дата обращения 27.11.2018г.)
31
Сама программа имеет только английский язык (рис.1), без возможности
выбора иных.
Каждый шаг программы снабжен подробными пояснениями в полном
соответствии со стандартом BS 7799 (рис.2).
Программный продукт RA2 включает в себя средства для решения
следующих задач:
определения области действия, бизнес-требований, политики и
целей СУИБ;
разработки реестра активов СУИБ;
оценки рисков СУИБ;
принятия решения по обработке рисков путем выбора подходящих
контрмер из приложения А к стандарту BS 7799-2;
анализа расхождений со стандартом ISO 27002;
формирования Декларации о применимости и других документов
СУИБ.
32
Рисунок 1 - Интерфейс главного меню программы
33
Рисунок 2 - Пример функционирования модуля программы
RA2 является хорошим средством для демонстрации концепции
процессного построения СУИБ, выраженной в BS 7799-2 (ISO 27001), а также
полезным инструментом для обучения внедрению СУИБ.
Однако, его практическое использование в организации в качестве
средства для управления рисками затрудняется недостаточной
проработанностью пользовательского интерфейса (неудобные средства ввода
и редактирования текстовой информации), примитивностью средств,
предоставляемых для работы с моделью активов, угрозами и уязвимостями, а
также определенными огрехами по части отображения кириллицы в отчетах.
Обнаружить продукт, лишенный недостатков и в то же время полностью
соответствующий требованиям международных стандартов, достаточно
сложно.
34
Многие известные продукты либо не позволяют проводить полноценной
оценки рисков (Cobra), а скорее являются средствами для анализа
несоответствий требованиям стандарта ISO 27001 (gap analysis), либо
включают в себя слабые средства оценки рисков, не полностью
соответствующие требованиям ISO 27001, хотя в них много другого
функционала (Callio Secura), либо являются слишком сложными в
использовании, дорогими и некастомизируемыми (CRAMM)18.
Можно было бы выделить из этого списка RA2 the art of risk как
инструмент, полностью соответствующий требованиям ISO 27001, однако он
не позволяет сравнивать между собой результаты оценок, что было бы
необходимо для крупной организации, содержит крайне примитивные
средства построения модели активов и редактирования текстовой
информации, затрудняющие его использование, а также неправильно
отображает русские буквы в отчетах19.
18
Луцкий, М.Г., Иванченко, Е.В., Казмирчук, С.В., Охрименко, А.А. Современные средства управления
информационными рисками // Науково-практичний журнал «Захист інформації». – 2013. – №1 – С. 12-21
19
Использование ПО для анализа рисков и соответствия стандартам ИБ [Электронный ресурс] // SecurityLab:
форум / Режим доступа: https://www.securitylab.ru/forum/forum23/topic35719/ (дата обращения 27.11.2018г)
35
Заключение
36
Предприятию необходимо использовать не только методику, которая
предоставляет результаты первичной оценки рисков и рекомендации по их
снижению, но и простое и понятное в использовании программное средство
проведения этой оценки. Ведь в организации не всегда имеются
квалифицированные специалисты в сфере ИБ или отделы ИБ20.
В процессе написания курсовой работы была достигнута её цель и
выполнены поставленные задачи. Актуальность исследования была
подтверждена.
Получены теоретические и практические навыки, повышающие уровень
знаний и способствующие дальнейшему развитию меня, как специалиста в
сфере информационной безопасности.
Баранова, E.K., Бабаш, А.В. Практикум по моделированию системы защиты информации: учеб. пособие. -
20
38
8 Баранова, Е.К. Сравнительный анализ программного
инструментария для анализа и оценки рисков информационной безопасности
// Проблемы информационной безопасности. Компьютерные системы. СПб. -
Институт информационных технологий и управления // под редакцией проф.
Зегжды П.Д. – 2014. – № 4. – С. 160-168.
9 Баранова, Е.К., Бабаш, А.В. Практикум по моделированию системы
защиты информации: учеб. пособие. – М.: РИОР: ИНФРА-М, 2016. – 224 с. –
ISBN 978-5-369-01559-9
10 Луцкий, М.Г., Иванченко, Е.В., Казмирчук, С.В., Охрименко, А.А.
Современные средства управления информационными рисками // Науково-
практичний журнал «Захист інформації». – 2013. – №1 – С. 12-21
11 Петренко, С.А. Управление информационными рисками.
Экономически оправданная безопасность / С.А. Петренко, С.В. Симонов. М.:
Компания АйТи; ДМК Пресс, 2014. – 210 с. – ISBN 5-94074-246-7
12 Плетнев, П.В., Белов, В.М. Методика оценки рисков
информационной безопасности на предприятиях малого и среднего бизнеса //
Доклады Томского государственного университета систем управления и
радиоэлектроники. – 2014. – № 1-2 (25). – С. 83-86.
13 Садердинов, А.А. Информационная безопасность предприятия: учеб.
пособие / А.А. Садердинов, В.А. Трайнев, А.А. Федулов. – М.: Дашков и К,
2015. – 390 с. – ISBN 5-94798-420-2
14 Зайцев, А.П., Шелупанов, А.А., Мещеряков, Р.В. Технические
средства и методы защиты информации: учебник для вузов / А.П. Зайцев, А.А.
Шелупанов, Р.В. Мещеряков. – М.: ООО «Издательство Машиностроение»,
2014 – 442 с. – ISBN 978-5-9912-0233-6
15 Гипермаркет информационной безопасности GlobalTruth. RA2 art of
risk [Электронный ресурс] // GlobalTruth: интернет-магазин / Режим доступа: /
URL http://shop.globaltrust.ru/show_good.php?idtov=6380&grid= (дата
обращения 27.11.2018г.)
39
16 Информационная безопасность как искусство управления рисками
[Электронный ресурс] // Анализ-риска.рф: информационный портал / Режим
доступа: http://анализ-риска.рф/content/informacionnaya-bezopasnost-kak-
iskusstvo-upravleniya-riskami (дата обращения 27.11.2018г)
17 Использование ПО для анализа рисков и соответствия стандартам
ИБ [Электронный ресурс] // SecurityLab: форум / Режим доступа:
https://www.securitylab.ru/forum/forum23/topic35719/ (дата обращения
27.11.2018г)
18 Методики и технологии управления информационными рисками
[Электронный ресурс] // CITForum: форум новостей информационных
технологий / Режим доступа: http://citforum.ru/security/articles/risk/ (дата
обращения 27.11.2018г)
19 RA Software [Электронный ресурс] // RA Software:официальный сайт
/ Режим доступа: http://www.aexis.de (дата обращения 27.11.2018г)
20 RA2 art of risk [Электронный ресурс] // European Union Agency for
Network and Information Security / Режим доступа:
https://www.enisa.europa.eu/topics/threat-risk-management/risk-
management/current-risk/risk-management-inventory/rm-ra-tools/t_ra2.html (дата
обращения 27.11.2018г)
40