Анализ рисков и управление ими

Дмитрий Костров,
директор службы информационной безопасности ЗАО МТТ

Сегодня вопросы защиты конфиденциальной и иной "чувствительной" информации становятся одной из важнейших задач любой современной телекоммуникационной компании. При этом необходимо понимать, что защита информации и всей ИС нужна в первую очередь для поддержания нормальных бизнес-процессов. Вместе с тем, по данным аналитиков, службы информационной безопасности (ИБ) сегодня затрачивают на обеспечение целостности и доступности информации гораздо больше усилий, чем на сохранение конфиденциальности. Для телекоммуникационных компаний такая расстановка приоритетов означает, что на первый план выходят вопросы защиты транспортной составляющей информационно-телекоммуникационной системы (маршрутизаторы, коммутаторы и т. п.), системы управления и автоматической системы расчетов (АСР), а обеспечение безопасности собственно офисной сети становится задачей второго ранга.

Как же оценить возможный ущерб вследствие утечки конфиденциальной информации, нарушения работоспособности системы управления и отдельных коммутаторов и т. п.? Каково соотношение потерь от различных факторов, влияющих на безопасность системы? Решив данную задачу, т. е. проанализировав риски, можно принять эффективные контрмеры, чтобы избежать ущерба или снизить его.

Заметим, что вопросы надежности традиционно присутствовали практически во всех технических заданиях на разработку систем связи, в то время как всплеск интереса к анализу рисков в России, сопровождавшийся появлением множества продуктов для реализации этой задачи, пришелся лишь на конец прошлого века.

Нормативная основа

В нашей стране сейчас существует несколько основополагающих документов по вопросам обеспечения безопасности, в том числе "Доктрина информационной безопасности РФ", "Концепция развития в России систем сотовой подвижной связи общего пользования на период до 2010 года", "Концептуальные положения по построению мультисервисных сетей на Взаимоувязанной сети связи (ВСС) России", "Концепция информационной безопасности сетей связи общего пользования (ССОП) на ВСС РФ" и ряд других.

Однако только в "Концепции информационной безопасности ССОП на ВСС РФ" сделан упор на создание и внедрение систем выявления уязвимостей ССОП и на принятие адекватных и экономически обоснованных мер по снижению уязвимости, предотвращению существующих прогнозируемых рисков и т. п. Особо отметим требования этого документа, гласящие, что экономическая целесообразность ИБ должна быть строго обоснована и что необходимо соблюдать баланс между защитными мерами и качеством обслуживания клиентов. Таким образом, для систем управления рисками "Концепция информационной безопасности ССОП" – это главный руководящий документ.

Постановка задачи

Ключевой элемент системы управления рисками – это подсистема анализа рисков, задача которой – обследовать безопасность системы с целью определить, какие ресурсы и от каких угроз надо защищать, а также в какой степени те или иные ресурсы нуждаются в защите.

Для понимания сути данной задачи необходимо ввести некоторые определения. Одно из них – риск, т. е. мера возможного ущерба в случае реализации угрозы ИБ, например, утечки информации, ее неправомерного использования и т. п. В конечном счете риск отражает вероятные финансовые потери, прямые или косвенные.

Анализ рисков позволяет количественно или качественно оценить наносимый ими ущерб; цели анализа рисков поддаются формализации. На первом этапе этой процедуры необходимо провести количественную оценку текущего состояния уровня безопасности. Затем следует задать допустимые уровни рисков и разработать план мероприятий, обеспечивающих требуемый уровень безопасности. На следующем этапе рассчитывается размер необходимых вложений в обеспечение безопасности и проводится экономическое обоснование этого расчета.

Затем наступает этап действий на системе. Выявляются наиболее опасные уязвимости, они блокируются для предотвращения возможных атак. Здесь же определяются функциональные отношения оборудования и ПО и зоны ответственности при взаимодействии подразделений и лиц.

Последний этап – создание необходимого пакета организационно-распорядительной документации, разработка и согласование проекта внедрения нужных для обеспечения безопасности средств защиты. При этом необходимо предусмотреть меры по поддержанию внедренного комплекса защиты в соответствии с изменяющимися условиями работы организации.

Последовательность этапов в процессе анализа такова.

1. Идентификация ключевых ресурсов АС.
2. Определение важности тех или иных ресурсов.
3. Идентификация существующих угроз безопасности и уязвимостей, делающих возможным осуществление угроз.
4. Вычисление рисков, связанных с осуществлением угроз безопасности.

Важность (или стоимость) ресурса определяется величиной ущерба, наносимого в случае нарушения его конфиденциальности, целостности или доступности. Для рисков, связанных с ресурсами, предусматриваются категории – данные могут быть раскрыты, изменены, удалены или сделаны недоступными, аппаратура может быть повреждена или разрушена, для ПО может быть нарушена целостность.

Наличие уязвимостей в любой системе связано со слабостями защиты. Уровень риска вычисляется обычно с учетом трех показателей – стоимости ресурса, уровня угрозы и степени уязвимости. С увеличением значений этих трех параметров риск возрастает. На основе оценки уровня рисков (риск утечки конфиденциальной информации, риск потери информации и т. п.) определяются и требования к системе безопасности.

Для количественной оценки риска часто используется следующая зависимость:

Риск = A(i) * C(i),

где A(i) – вероятность реализации угрозы категории i; C(i) – ущерб от реализации ущерба.

Издержки вычисляются согласно так называемому уравнению безопасности:

R = [Сумма] (A(i) * C(i) + B(i)),

причем

R < Rmax,

где B(i) – стоимость реализации мер защиты; Rmax – суммарные издержки.

Эти зависимости дают возможность дать вполне представительную стоимостную оценку угроз и определить затраты, необходимые для их устранения.

Управление рисками

Задача управления рисками состоит из нескольких взаимосвязанных задач, включая выбор и обоснование контрмер, позволяющих снизить уровни рисков до приемлемой величины. Программные продукты, получившие название системы управления рисками (СУР), позволяют также оценить стоимость реализации контрмер.

Заметим, что размер стоимости для эффективной системы ИБ должен быть меньше величины возможного ущерба. Разница между стоимостью реализации контрмер и возможным ущербом должна быть тем больше, чем меньше вероятность причинения ущерба.

Что же касается методологии или стратегии управления рисками, то она, как и ее реализация в СУР, может быть различной. Это и уклонение от риска, и изменение самого характера риска, и принятие риска (если невозможно его избежать), и снижение риска за счет введения различных мер и т. п.

В числе распространенных мер снижения рисков можно назвать создание прозрачной структуры управления ИБ, создание оптимальной модели действий служб безопасности и неукоснительное следование процедурам этой модели, обеспечение адекватного уровня безопасности, организацию консультаций с экспертами по вопросам защиты информационно-телекоммуникационных ресурсов.

В настоящее время на рынке представлено немало СУР, реализующих разнообразные методы анализа и управления рисками. Наиболее популярны системы CRAMM, RiskWatch, COBRA, Buddy System, а также экспертная система российского производства "АванГард".

Системы управления рисками

CRAMM

Методика CRAMM (The UK Government Risk Analysis and Management Method) была
разработана британской службой безопасности по заданию правительства и принята
в качестве национального стандарта. Государственные и коммерческие организации
Великобритании используют методику CRAMM с 1985 г. К настоящему времени метод
приобрел популярность и в других странах и был реализован фирмой Insight Consulting
(http://www.insight.co.uk) в одноименном
программном продукте (рис. 1).

Рис. 1. Работа с системой CRAMM.

CRAMM – это мощный и универсальный инструмент, который позволяет не только
проводить анализ рисков, но и решать ряд других аудиторских задач, включая обследование
ИС и генерацию отчетов на всех его этапах, аудит в соответствии с требованиями
Британского правительства и стандарта BS 7799:1995 (Code of Practice for Information
Security Management), разработку политики безопасности и плана обеспечения непрерывности
бизнес-процесса.

В основе CRAMM лежит комплексный подход к оценке рисков, сочетающий количественные и качественные методы анализа. Метод универсален, может применяться и для больших, и для мелких организаций, как государственных, так и коммерческих. Версии ПО CRAMM, ориентированные на разные типы организаций, различаются лишь базами знаний (profiles): коммерческие организации используют коммерческий профиль (Commercial Profile), а государственные – соответственно государственный (Government profile).

В методике CRAMM вся процедура анализа разделена на три последовательных этапа. Задача первого этапа – ответ на вопрос: "Достаточно ли для защиты системы средств базового уровня, реализующих традиционные функции безопасности, или необходим более детальный анализ?". На втором этапе выполняется идентификация рисков и оценивается их величина. На третьем этапе решается вопрос о выборе адекватных контрмер.

Безусловно, решение о внедрении в систему новых механизмов безопасности и модификации старых принимает руководство организации, учитывая связанные с этим расходы, их приемлемость и конечную выгоду для бизнеса, но обоснование рекомендуемых контрмер для руководства организации входит в число задач системы-аудитора.

RiskWatch

Разработанный американской компанией RiskWatch (http://www.riskwatch.com)
одноименный пакет ПО предоставляет разнообразные средства анализа рисков, управления
рисками и проведения различных видов аудита безопасности. Пакет состоит из нескольких
утилит:

• RiskWatch for Physical Security – охватывает физические методы защиты ИС;
• RiskWatch for Information Systems – охватывает информационные риски;
• HIPAA-WATCH for Healthcare Industry – служит для оценки соответствия требованиям стандарта HIPAA в системах здравоохранения;
• RiskWatch RW17799 for ISO 17799 – служит для оценки требованиям стандарта ISO 17799.

В качестве критериев для оценки и управления рисками RiskWatch использует показатель "предсказание годовых потерь" (Annual Loss Expectancy, ALE) и определение прибыли на инвестированный капитал. Последний показатель иногда называют возвратом инвестиций (Return on Investment, ROI).

COBRA

Система COBRA (Consultative Objective and Bi-functional Risk Analysis), созданная
компанией Risk Associates (http://www.securityauditor.net),
предоставляет средства анализа рисков и позволяет оценить соответствие ИС стандарту
ISO 17799. В COBRA реализованы методы количественной оценки рисков.

В состав продукта входят также инструменты для консалтинга и проведения обзоров безопасности, разработанные на основании принципов построения экспертных систем. Инструменты используют обширную базу знаний по угрозам и уязвимостям, а также множество вопросников, успешно применяющихся на практике. В комплект ПО входят модули COBRA ISO 17799 Security Consultant, COBRA Policy Compliance Analyst и COBRA Data Protection Consultant (рис. 2).

Рис. 2. Так выглядит система COBRA.

Buddy System

Продукт Buddy System производства фирмы Countermeasures (http://www.buddysystem.net)
позволяет проводить как количественный, так и качественный анализ рисков и поддерживает
развитые средства генерации отчетов. Основной "конек" Buddy System – информационные
риски, связанные с нарушением физической безопасности и управления проектами.

Экспертная система "АванГард"

В настоящее время на российском рынке появился и отечественный продукт – система
"АванГард" (рис. 3), созданная в Институте системного анализа РАН (http://www.isprotection.da.ru).
Этот пакет ПО позиционируется как экспертная система управления информационной
безопасностью и поставляется в двух модификациях. Вариант "АванГард-Анализ"
предназначен для проведения анализа рисков, "АванГард-Контроль" – для управления
рисками. ПО обладает развитыми средствами построения моделей защищенных ИС,
причем для разных уровней (административного, организационного, программно-технического,
физического) и с различной степенью абстракции. "АванГард" подходит для построения
ведомственных методик анализа и управления рисками, но при этом вряд ли его
можно рассматривать как универсальный инструментарий аналитика.

Рис. 3. Российская система управления информационной безопасностью "АванГард".

Особенности применения

В России, как и во всем мире, наиболее распространен метод CRAMM и соответственно продукт на его основе. Однако для работы с CRAMM специалистам, отвечающим за анализ рисков на предприятии, необходимо пройти соответствующее обучение и подготовить довольно большой вопросник для своих сотрудников. И хотя эти вопросы обычно генерируются специальными средствами ПО, из-за отсутствия локализованной версии продукта система формулирует их по-английски, так что для правильного понимания вопросов чаще всего требуется сделать адекватный их перевод на русский. Сотрудники компании должны заполнить этот документ, затем на основании анализа их ответов строится модель рисков. Только после этого подсистема выполняет выбор контрмер.

Наиболее проста в использовании программа RiskWatch. С точки зрения отечественного потребителя достоинство этого продукта – малая трудоемкость русификации и гибкая методика. Продукт позволяет вводить в модель системы безопасности новые категории, описания, а также вопросы по системе. Кроме того, на основе данного ПО отечественные разработчики могут создавать собственные подсистемы, учитывающие российские требования в области безопасности, подготавливать ведомственные методики ранжирования и управления рисками.

К сожалению, в нашей стране мало популярен продукт COBRA. Между тем для него также характерна завидная простота в работе: достаточно ответить всего на несколько десятков вопросов, и система автоматически формирует отчет и перечень контрмер. Этот программный продукт может использоваться как при проведении аудита информационной безопасности, так и в повседневной работе специалистов соответствующих служб. Простота, соответствие международному стандарту ISO 17799, сравнительно небольшое число вопросов – все это позволяет легко адаптировать COBRA к российским условиям.

***

В России по поводу анализа рисков зачастую высказываются два крайних мнения. Одни считают эти методы обеспечения безопасности явным излишеством, а сам подход – слишком трудным для применения. Другие полагают, что без проведения работ по ранжированию рисков и построения четкой системы управления ими нельзя создать надежный комплекс защиты конфиденциальной и иной "чувствительной" информации.

Второе мнение представляется более обоснованным. Администраторам безопасности становится все проще убедить руководство в необходимости дополнительных затрат на систему защиты: у них появляется дополнительный аргумент – количественная и качественная оценка ранжированных рисков. И в ответ на вопрос руководителя: "И зачем мне этот элемент защиты?" можно просто показать расчеты не только затрат, но и возможных потерь, причем в зависимости от рисков и используемых контрмер.