Современные методы и

средства анализа и управление

рисками информационных
систем
 Сегодня необходимость вложений в обеспечение ИБ бизнеса не
вызывает сомнений. Очень важно точно оценить необходимый уровень
вложений в ИБ для обеспечения максимальной эффективности
инвестиций в данную сферу. Для этого нужно применить системы
анализа рисков (для оценки существующих рисков и выбора
оптимального варианта защиты).
По статистике, на пути принятия мер по обеспечению ИБ в компании есть
2 препятствия: ограничение бюджета и отсутствие поддержки
руководства.

Разработаны методики и программные комплексы анализа и контроля

информационных рисков, например, CRAMM, Microsoft, FRAP, OCTAVE,
Risk Watch. Эти методики предназначены для оценки уровня инвестиций
в обеспечение ИБ.

2
 Методика FRAP (Facilitated Risk Analysis Process) предложена
консалтинговой компанией Пелтиер Ассокиетз, разработана Томасом
Пелтиером. Она специализируется на оценке потерь от наличия
уязвимых мест в системе безопасности и выработке рекомендаций по их
предотвращению. В ней обеспечение ИБ информационной системе
предлагается рассматривать в рамках процесса управления рисками.
В методике подробно раскрываются пути получения данных о системе и
её уязвимостях.
Управление рисками в сфере ИБ – процесс, позволяющий найти баланс
между затратами средств и сил на средства защиты и получаемым
эффектом.

3
 (продолжение)
Основные этапы оценки риска:
1. определение защищаемых активов (с использованием опросных листов,
изучения документации, сканирования сетей);
2. идентификация угроз (могут быть использованы разные подходы:
- заранее подготовленные экспертами перечни угроз (checklists), из
которых выбираются актуальные для данной системы,
- анализ статистики происшествий в данной ИС и в подобных ей,
- “мозговой штурм”, проводимый сотрудниками компании);
3. сопоставление вероятности возникновения с каждой из угроз, оценка
ущерба и уровня каждой угрозы (оценка проводится по заданным шкалам:
А. – высокая вероятность / high probability (очень вероятно, что угроза
реализуется в течении следующего года),
– средняя вероятность / medium probability (вероятно, что угроза
реализуется в течении следующего года),
– низкая вероятность / low probability (маловероятно, что угроза
реализуется в течении следующего года), 4
 (продолжение)
B. – высокий ущерб / high impact (остановка критически важных бизнес-
подразделений, приводящая к ущербу для бизнеса, потере имиджа и
прибыли),
– средний ущерб / medium impact (кратковременное прерывание работы
критических процессов или систем, приводящее к финансовым потерям),
– низкий ущерб / low impact (перерыв в работе без финансовых потерь));
4. определение контрмер, позволяющих устранить риск или свести его до
приемлемого уровня (также определение затрат на приобретение и
внедрение выбранных средств защиты и оценка безопасности этих средств.
В затраты могут включаться:
- стоимость реализации проекта,
- снижение эффективности выполнения системой своих задач,
- внедрение дополнительных политик и процедур для поддержания средства,
- затраты на найм дополнительного персонала или переобучение
имеющегося);
5. документирование. 5
Методика OCTAVE (Operationally Critical Threat, Asset and Vulnerability Evaluation)
разработана Инженерным Институтом Программного Обеспечения (SEI).
Особенность методики в том, что весь процесс анализа производится силами
сотрудников организации без привлечения внешних консультантов.

В этой методике обязательна разработка профиля угроз.

Профиль угрозы включает в себя указания на актив (asset), тип доступа к активу
(access), источник угрозы (actor), тип нарушения или мотив (motive), результат
(outcome) и ссылки на описания угрозы в каталогах.
Угрозы в OCTAVE делятся на:
- угрозы, исходящие от человека-нарушителя, действующего через сеть
передачи данных,
- угрозы, исходящие от человека-нарушителя, использующего физический
доступ,
- угрозы, связанные со сбоями в работе системы,
- прочие угрозы.
6
 (продолжение)
Методика предполагает 3 фазы анализа:
1. разработка профиля угроз, связанных с активом (При описании
профиля предполагается использовать “деревья вариантов”. При
создании профиля рекомендуется избегать обилия технических деталей.
Нужно описать сочетание угрозы и ресурса);

2. идентификация инфраструктурных уязвимостей (Определяется

инфраструктура, поддерживающая существование выделенного актива.
Рассматриваются компоненты таких классов, как сервер, сетевое
оборудование, ПК, системы хранения и т.д. Для каждого компонента
определяются списки уязвимостей, которые нужно устранить
немедленно, которые нужно устранить в ближайшее время и в
отношении которых не требуется немедленных действий);

3. разработка стратегии и планов безопасности (она проводится на базе

отчётов по двум предыдущим этапам). 7
 В методике OCTAVE при оценке риска даётся только оценка ожидаемого
ущерба без оценки вероятности. Оценивается финансовый ущерб, ущерб
репутации компании, жизни и здоровью клиентов и сотрудников, ущерб,
который может вызвать судебное преследование в результате какого-то
инцидента. Задаются шкалы, в соответствии с ними описываются все
значения ущербов.

Далее разрабатываются долговременные планы, планы на среднюю

перспективу и списки задач на ближайшее время.

8
 Компания RiskWatch разработала собственную методику анализа рисков и
семейство программных средств, в которых она реализуется.
В семейство RiskWatch входят программные продукты для проведения
следующих видов аудита безопасности:
- RiskWatch for Physical Security (для анализа физической защиты ИС),
- RiskWatch for Information Systems (для информационных рисков),
- HIPAA-WATCH for Healthcare Industry (для оценки соответствия требованиям
стандарта HIPAA, актуальных для медицинских учреждений США),
- RiskWatch RW17799 for ISO 17799 (для оценки соответствия ИС требованиям
международного стандарта ISO 17799).

В методе RiskWatch в качестве критериев для оценки и управления рисками

используются ожидаемые годовые потери (Annual Loss Expectancy, ALE) и
оценка возврата инвестиций (Return on Investment, ROI). RiskWatch
ориентируется на точную количественную оценку соотношения потерь от
угроз безопасности и затрат на создание системы защиты.
9
 Методика RiskWatch состоит из 4 этапов:

1. Определение предмета исследования. Здесь описываются тип

организации, состав исследуемой системы, базовые требования в
области безопасности. Для облегчения работы в шаблонах,
соответствующих типу организации, есть списки категорий защищаемых
ресурсов, потерь, угроз, уязвимостей и мер защиты. Нужно просто
выбрать то, что присутствует в организации.
2. Ввод данных, описывающих конкретные характеристики системы.
Здесь подробно описываются ресурсы, потери и классы инцидентов. Для
выявления возможных уязвимостей используются опросники. Вопросы
связаны с категориями ресурсов. Задаётся частота возникновения
каждой угрозы, степень уязвимости и ценность ресурсов.
3. Количественная оценка риска. Устанавливаются связи между уже
выделенными ресурсами, потерями, угрозами и уязвимостями.
Рассчитывается профиль рисков, выбираются меры обеспечения
безопасности. Риск оценивается с помощью математического ожидания
10
потерь за год.
 (продолжение)
RiskWatch использует оценки, определённые американским институтом
стандартов NIST, называемые LAFE (Local Annual Frequency Estimate) и
SAFE (Standard Annual Frequency Estimate).
LAFE показывает, сколько раз в год в среднем данная угроза реализуется
в данном месте (например, в городе). SAFE показывает, сколько раз в год
в среднем данная угроза реализуется в этой части мира (например, в
Северной Америке). Вводится поправочный коэффициент, который
позволяет учесть, что в результате реализации угрозы защищаемый
ресурс может быть частично уничтожен.

ALE = AssetValue * ExposureFactor * Frequency,

где AssetValue – стоимость актива, ExposureFactor – коэффициент
воздействия (в процентах показывает, какая часть от стоимости актива
подвергается риску), Frequency – частота возникновения нежелательного
события.
11
 (продолжение)
Можно ввести показатели “ожидаемая годовая частота происшествия” (Annualized
Rate of Occurrence, ARO) и “ожидаемый единичный ущерб” (Single Loss Expectancy,
SLE), который равен разнице первоначальной стоимости актива и его остаточной
стоимости после происшествия (этот способ оценки применим не всегда). Тогда для
отдельно взятого сочетания угроза-ресурс применима формула: ALE = ARO * SLE.
Можно сравнить ожидаемые потери при условии внедрения защитных мер и без
них. Эффект от внедрения средств защиты количественно описывается с помощью
показателя ROI (Return on Investment), который показывает отдачу от сделанных
 
инвестиций за период времени.
ROI = NVP(Benefits ) - NVP(Costs ),
где Benefits – оценка пользы, которую приносит внедрение данной меры защиты,
Costs – затраты на внедрение и поддержание -меры защиты, NVP – чистая текущая
стоимость.

4. Генерация отчётов. Готовятся отчёт следующих типов: краткие итоги, отчёты об

элементах, описанных на стадиях 1 и 2, отчёт об угрозах и мерах противодействия и
т.д. Отчёты и графики помогают принять решения об изменении системы
обеспечения безопасности. 12
 Недостатки методики RiskWatch:
- методика уместна, когда нужно провести анализ рисков на программно-
техническом уровне защиты без учёта организационных и административных
факторов,
- полученные оценки рисков не исчерпывают понимание риска с системных
позиций, т.е. метод не учитывает комплексный подход к ИБ,
- ПО RiskWatch существует только на английском языке,
- лицензия имеет высокую стоимость (от 10 000 долл. За одно рабочее место).

Итак, конкретную методику проведения анализа рисков на предприятии и

поддерживающие её инструментальные средства нужно выбирать, учитывая
следующие факторы:
- наличие экспертов, способных дать достоверные оценки объёма потерь от
угроз ИБ,
- наличие достоверной статистики по инцидентам в сфере ИБ,
- необходима ли точная количественная оценка последствий реализации
угроз (или достаточно качественной оценки). 13
Спасибо за внимание!

14