Современные методы и средства анализа и контроля рисков информационных систем компаний

CRAMM, RiskWatch и ГРИФ

Актуальность задачи обеспечения информационной безопасности для бизнеса

Сегодня не вызывает сомнений необходимость вложений в обеспечение информационной безопасности современного крупного бизнеса. Основной вопрос современного бизнеса — как оценить достаточный уровень вложений в ИБ для обеспечения максимальной эффективности инвестиций в данную сферу. Для решения этого вопроса существует только один способ — применение систем анализа рисков, позволяющих оценить существующие в системе риски и выбрать оптимальный по эффективности вариант защиты (по соотношению существующих в системе рисков к затратам на ИБ).

Для подтверждения факта актуальности задачи обеспечения безопасности бизнеса, воспользуемся отчетом ФБР за 2003 год. Данные были собраны на основе опроса 530 американских компаний (средний и крупный бизнес).

Статистика инцидентов области ИТ-безопасности неумолима. Согласно данным ФБР в 2003 году 56% опрошенных компаний подвергались атаке:



Потери от разного вида информационных воздействий показаны на следующем графике:



Обоснование необходимости инвестиций в информационную безопасность компании

По статистике, самым большим препятствием на пути принятия каких-либо мер по обеспечению информационной безопасности в компании являются две причины:

  1. ограничение бюджета;
  2. отсутствие поддержки со стороны руководства.

Обе причины возникают из-за непонимания руководством серьезности вопроса и сложности для ИТ-менеджера задачи обосновать, зачем необходимо вкладывать деньги в информационную безопасность. Зачастую многие склонны думать, что основная проблема заключается в том, что ИТ-менеджеры и руководители разговаривают на разных языках — техническом и финансовом, но ведь и самим ИТ-специалистам часто трудно оценить, на что потратить деньги и сколько их требуется для обеспечения большей защищенности системы компании, чтобы эти расходы не оказались напрасными или чрезмерными.

Если ИТ-менеджер четко представляет, сколько компания может потерять денег в случае реализации угроз, какие места в системе наиболее уязвимы, какие меры можно предпринять для повышения уровня защищенности и при этом не потратить лишних денег, и все это подтверждено документально, то решение задачи убедить руководство обратить внимание и выделить средства на обеспечение информационной безопасности становится значительно более реальным.

Для решения данной задачи были разработаны программные комплексы анализа и контроля информационных рисков: британский CRAMM (компания Insight Consulting), американский RiskWatch (компания RiskWatch) и российский ГРИФ (компания Digital Security). Рассмотрим далее данные методы и построенные на их базе программные системы.

CRAMM

Метод CRAMM (the UK Goverment Risk Analysis and Managment Method) был разработан Службой безопасности Великобритании (UK Security Service) по заданию Британского правительства и взят на вооружение в качестве государственного стандарта. Он используется, начиная с 1985 года, правительственными и коммерческими организациями Великобритании. К настоящему моменту CRAMM приобрел популярность во всем мире. Фирма Insight Consulting Limited занимается разработкой и сопровождением одноименного программного продукта, реализующего метод CRAMM.

Метод CRAMM выбран нами для более детального рассмотрения и это не случайно. В настоящее время CRAMM — это довольно мощный и универсальный инструмент, позволяющий, помимо анализа рисков, решать также и ряд других аудиторских задач, включая:

  • проведение обследования ИС и выпуск сопроводительной документации на всех этапах его проведения;
  • проведение аудита в соответствии с требованиями Британского правительства, а также стандарта BS 7799:1995 — Code of Practice for Information Security Management BS7799;
  • разработку политики безопасности и плана обеспечения непрерывности бизнеса.

В основе CRAMM, в котором сочетаются количественные и качественные методы анализа, лежит комплексный подход к оценке рисков. Метод является универсальным и подходит как для больших, так и для мелких организаций, как правительственного, так и коммерческого сектора. Версии программного обеспечения CRAMM, ориентированные на разные типы организаций, отличаются друг от друга своими базами знаний (profiles). Для коммерческих организаций имеется коммерческий профиль (Commercial Profile), для правительственных организаций — правительственный профиль (Government profile). Правительственный вариант профиля, также позволяет проводить аудит на соответствие требованиям американского стандарта ITSEC («Оранжевая книга»).

Грамотное использование метода CRAMM позволяет получать очень хорошие результаты, наиболее важным из которых, пожалуй, является возможность экономического обоснования расходов организации на обеспечение информационной безопасности и непрерывности бизнеса. Экономически обоснованная стратегия управления рисками позволяет, в конечном итоге, экономить средства, избегая неоправданных расходов.

CRAMM предполагает разделение всей процедуры на три последовательных этапа. Задачей первого этапа является ответ на вопрос: «Достаточно ли для защиты системы применения средств базового уровня, реализующих традиционные функции безопасности, или необходимо проведение более детального анализа?» На втором этапе производится идентификация рисков и оценивается их величина. На третьем этапе решается вопрос о выборе адекватных контрмер.

Методика CRAMM для каждого этапа определяет набор исходных данных, последовательность мероприятий, анкеты для проведения интервью, списки проверки и набор отчетных документов.

Если по результатам проведения первого этапа, установлено, что уровень критичности ресурсов является очень низким и существующие риски заведомо не превысят некоторого базового уровня, то к системе предъявляется минимальный набор требований безопасности. В этом случае большая часть мероприятий второго этапа не выполняется, а осуществляется переход к третьему этапу, на котором генерируется стандартный список контрмер для обеспечения соответствия базовому набору требований безопасности.



На втором этапе производится анализ угроз безопасности и уязвимостей. Исходные данные для оценки угроз и уязвимостей аудитор получает от уполномоченных представителей организации в ходе соответствующих интервью. Для проведения интервью используются специализированные опросники.

На третьем этапе решается задача управления рисками, состоящая в выборе адекватных контрмер. Решение о внедрении в систему новых механизмов безопасности и модификации старых принимает руководство организации, учитывая связанные с этим расходы, их приемлемость и конечную выгоду для бизнеса. Задачей аудитора является обоснование рекомендуемых контрмер для руководства организации.

В случае принятия решения о внедрении новых контрмер и модификации старых, на аудитора может быть возложена задача подготовки плана внедрения новых контрмер и оценки эффективности их использования. Решение этих задач выходит за рамки метода CRAMM.

Концептуальная схема проведения обследования по методу CRAMM показана на схеме:



К недостаткам метода CRAMM можно отнести следующее:

  • Использование метода CRAMM требует специальной подготовки и высокой квалификации аудитора.
  • CRAMM в гораздо большей степени подходит для аудита уже существующих ИС, находящихся на стадии эксплуатации, нежели чем для ИС, находящихся на стадии разработки.
  • Аудит по методу CRAMM — процесс достаточно трудоемкий и может потребовать месяцев непрерывной работы аудитора.
  • Программный инструментарий CRAMM генерирует большое количество бумажной документации, которая не всегда оказывается полезной на практике.
  • CRAMM не позволяет создавать собственные шаблоны отчетов или модифицировать имеющиеся.
  • Возможность внесения дополнений в базу знаний CRAMM недоступна пользователям, что вызывает определенные трудности при адаптации этого метода к потребностям конкретной организации.
  • ПО CRAMM существует только на английском языке.
  • Высокая стоимость лицензии.

RiskWatch

Программное обеспечение RiskWatch, разрабатываемое американской компанией RiskWatch, является мощным средством анализа и управления рисками. В семейство RiskWatch входят программные продукты для проведения различных видов аудита безопасности. Оно включает в себя следующие средства аудита и анализа рисков:

  • RiskWatch for Physical Security — для физических методов защиты ИС;
  • RiskWatch for Information Systems — для информационных рисков;
  • HIPAA-WATCH for Healthcare Industry — для оценки соответствия требованиям стандарта HIPAA;
  • RiskWatch RW17799 for ISO17799 — для оценки требованиям стандарта ISO17799.

В методе RiskWatch в качестве критериев для оценки и управления рисками используются «предсказание годовых потерь» (Annual Loss Expectancy — ALE) и оценка «возврата от инвестиций» (Return on Investment — ROI). Семейство программных продуктов RiskWatch, имеет массу достоинств.

RiskWatch помогает провести анализ рисков и сделать обоснованный выбор мер и средств защиты. Используемая в программе методика включает в себя 4 фазы:

Первая фаза — определение предмета исследования. На данном этапе описываются общие параметры организации — тип организации, состав исследуемой системы, базовые требования в области безопасности. Описание формализуется в ряде подпунктов, которые можно выбрать для более подробного описания или пропустить.

Далее каждый из выбранных пунктов описывается подробно. Для облегчения работы аналитика в шаблонах даются списки категорий защищаемых ресурсов, потерь, угроз, уязвимостей и мер защиты. Из них нужно выбрать те, что реально присутствуют в организации.

Вторая фаза — ввод данных, описывающих конкретные характеристики системы. Данные могут вводиться вручную или импортироваться из отчетов, созданных инструментальными средствами исследования уязвимости компьютерных сетей. На этом этапе подробно описываются ресурсы, потери и классы инцидентов.

Классы инцидентов получаются путем сопоставления категории потерь и категории ресурсов. Для выявления возможных уязвимостей используется опросник, база которого содержит более 600 вопросов, связанных с категориями ресурсов. Допускается корректировка вопросов, исключение или добавление новых. Задается частота возникновения каждой из выделенных угроз, степень уязвимости и ценность ресурсов. Все это используется в дальнейшем для расчета эффективности внедрения средств защиты.

Третья фаза — оценка рисков. Сначала устанавливаются связи между ресурсами, потерями, угрозами и уязвимостями, выделенными на предыдущих этапах. Для рисков рассчитываются математические ожидания потерь за год по формуле:
m=p * v, где p — частота возникновения угрозы в течение года, v — стоимость ресурса, который подвергается угрозе.

Например, если стоимость сервера $150 000, а вероятность того, что он будет уничтожен пожаром в течение года, равна 0.01, то ожидаемые потери составят $1 500. Дополнительно рассматриваются сценарии «что если... », которые позволяют описать аналогичные ситуации при условии внедрения средств защиты. Сравнивая ожидаемые потери при условии внедрения защитных мер и без них можно оценить эффект от таких мероприятий.



Четвертая фаза — генерация отчетов. Типы отчетов: краткие итоги; полные и краткие отчеты об элементах, описанных на стадиях 1 и 2; отчет о стоимости защищаемых ресурсов и ожидаемых потерь от реализации угроз; отчет об угрозах и мерах противодействия; отчет о результатах аудита безопасности.

К недостаткам RiskWatch можно отнести:

  • Такой метод подходит, если требуется провести анализ рисков на программно-техническом уровне защиты, без учета организационных и административных факторов. Полученные оценки рисков (математическое ожидание потерь) далеко не исчерпывают понимание риска с системных позиций — метод не учитывает комплексный подход к информационной безопасности.
  • ПО RiskWatch существует только на английском языке.
  • Высокая стоимость лицензии — от $15 000 за одно рабочее место для небольшой компании и от $125 000 за корпоративную лицензию.

ГРИФ

Для проведения полного анализа информационных рисков, прежде всего, необходимо построить полную модель информационной системы с точки зрения ИБ. Для решения этой задачи ГРИФ, в отличие от представленных на рынке западных систем анализа рисков, довольно громоздких и часто не предполагающих самостоятельного использования ИТ-менеджерами и системными администраторами, ответственными за обеспечение безопасности информационных систем компаний, обладает простым и интуитивно понятным для пользователя интерфейсом. Однако за внешней простотой скрывается сложный алгоритм анализа рисков, учитывающий более ста параметров, который позволяет на выходе дать точную оценку существующих в информационной системе рисков, основанную на анализе особенностей практической реализации информационной системы.

Основная задача системы ГРИФ — дать возможность ИТ-менеджеру самостоятельно (без привлечения сторонних экспертов) оценить уровень рисков в информационной системе и эффективность существующей практики по обеспечению безопасности компании, а также предоставить возможность доказательно (в цифрах) убедить руководство компании в необходимости инвестиций в сферу ее информационной безопасности.

На первом этапе метода ГРИФ проводится опрос ИТ-менеджера с целью определения полного списка информационных ресурсов, представляющих ценность для компании.

На втором этапе проводится опрос ИТ-менеджера с целью ввода в систему ГРИФ всех видов информации, представляющей ценность для компании. Введенные группы ценной информации должны быть размещены пользователем на указанных на предыдущем этапе объектах хранения информации (серверах, рабочих станциях и т. д.). Заключительная фаза — указание ущерба по каждой группе ценной информации, расположенной на соответствующих ресурсах, по всем видам угроз.



На третьем этапе проходит определение всех видов пользовательских групп с указанием числа пользователей в каждой группе. Затем фиксируется, к каким группам информации на ресурсах имеет доступ каждая из групп пользователей. В заключение определяются виды (локальный и/или удаленный) и права (чтение, запись, удаление) доступа пользователей ко всем ресурсам, содержащим ценную информацию.

На четвертом этапе проводится опрос ИТ-менеджера для определения средств защиты ценной информации на ресурсах. Кроме того, в систему вводится информация о разовых затратах на приобретение всех применяющихся средств защиты информации и ежегодные затраты на их техническую поддержку, а также ежегодные затраты на сопровождение системы информационной безопасности компании.



На завершающем этапе необходимо ответить на вопросы по политике безопасности, реализованной в системе, что позволит оценить реальный уровень защищенности системы и детализировать оценки рисков.

Наличие средств информационной защиты, отмеченных на первом этапе, само по себе еще не делает систему защищенной в случае их неадекватного использования и отсутствия комплексной политики безопасности, учитывающей все аспекты защиты информации, включая вопросы организации защиты, физической безопасности, безопасности персонала, непрерывности ведения бизнеса и т. д.

В результате выполнения всех действий по данным этапам, на выходе будет сформирована полная модель информационной системы с точки зрения информационной безопасности с учетом реального выполнения требований комплексной политики безопасности, что позволит перейти к программному анализу введенных данных для получения комплексной оценки рисков и формирования итогового отчета.

Подробный отчет по системе, дающий картину возможного ущерба от инцидентов, готов для представления руководству компании:



К недостаткам ГРИФ можно отнести:

  • Отсутствие привязки к бизнесс-процессам (запланировано в следующей версии).
  • Отсутствие возможности сравнения отчетов на разных этапах внедрения комплекса мер по обеспечению защищенности (запланировано в следующей версии).
  • Отсутствие возможности добавления специфичных для данной компании требований политики безопасности.

При написании статьи использовалась литература:
  1. Современные технологии анализа рисков в информационных системах (PCWEEK N37'2001), Сергей Симонов
  2. Материалы компании «Джет Инфосистемс»
  3. Материалы компании «Digital Security»





17 января 2004 Г.

. CRAMM, RiskWatch



CRAMM, RiskWatch

. — . — , ( ).

, 2003 . 530 ( ).

- . 2003 56% :





:





, - :

  1. ;
  2. .

- - , . , , - — , - , , .

- , , , , , .

: CRAMM ( Insight Consulting), RiskWatch ( RiskWatch) ( Digital Security). .

CRAMM

CRAMM (the UK Goverment Risk Analysis and Managment Method) (UK Security Service) . , 1985 , . CRAMM . Insight Consulting Limited , CRAMM.

CRAMM . CRAMM — , , , , :

  • ;
  • , BS 7799:1995 — Code of Practice for Information Security Management BS7799;
  • .

CRAMM, , . , , , . CRAMM, , (profiles). (Commercial Profile), — (Government profile). , ITSEC (« »).

CRAMM , , , . , , , .

CRAMM . : « , , ?» . .

CRAMM , , , .

, , , . , , .





. . .

, . , , . .

, . CRAMM.

CRAMM :





CRAMM :

  • CRAMM .
  • CRAMM , , , .
  • CRAMM — .
  • CRAMM , .
  • CRAMM .
  • CRAMM , .
  • CRAMM .
  • .

RiskWatch

RiskWatch, RiskWatch, . RiskWatch . :

  • RiskWatch for Physical Security — ;
  • RiskWatch for Information Systems — ;
  • HIPAA-WATCH for Healthcare Industry — HIPAA;
  • RiskWatch RW17799 for ISO17799 — ISO17799.

RiskWatch « » (Annual Loss Expectancy — ALE) « » (Return on Investment — ROI). RiskWatch, .

RiskWatch . 4 :

— . — , , . , .

. , , , . , .

— , . , . , .

. , 600 , . , . , . .

— . , , , . :
m=p * v, p — , v — , .

, $150 000, , , 0.01, $1 500. « ... », . .





— . : ; , 1 2; ; ; .

RiskWatch :

  • , - , . ( ) — .
  • RiskWatch .
  • — $15 000 $125 000 .

, , . , , - , , . , , , .

— - ( ) , ( ) .

- , .

- , . (, . .). — , , .





. , . ( / ) (, , ) , .

- . , , .





, , .

, , , , , , , . .

, , .

, , :





:

  • - ( ).
  • ( ).
  • .

:
  1. (PCWEEK N37'2001),
  2. « »
  3. «Digital Security»