2. возможностью использования ресурса для получения дохода (показатель учитывается при рассмотрении угрозы умышленного воздействия со стороны человека);
3. простотой использования уязвимости при проведении атаки [2].
Технология анализа рисков
Существует множество методик анализа рисков. Некоторые из них основаны на достаточно простых табличных методах и не предполагают применения специализированного ПО, другие, наоборот, его используют.
В табличных методах можно наглядно отразить связь факторов негативного воздействия (показателей ресурсов) и вероятностей реализации угрозы с учетом показателей уязвимостей.
Подобные методы сводятся к нескольким несложным шагам. Вот пример одного из таких методов [2].
На первом шаге оценивается негативное воздействие (показатель ресурса) по заранее определенной шкале (скажем, от 1 до 5) для каждого ресурса, которому угрожает опасность.
На втором - по той же шкале оценивается вероятность реализации каждой угрозы.
На третьем шаге вычисляется показатель риска. В простейшем варианте методики это делается путем умножения. Однако необходимо помнить, что операция умножения определена для количественных шкал. Должна быть разработана методика оценки показателей рисков применительно к конкретной организации.
На четвертом шаге угрозы ранжируются по значениям их фактора риска.
Применение каких-либо инструментальных средств не является обязательным, однако позволяет уменьшить трудоемкость анализа рисков и выбора контрмер. В настоящее время на рынке есть около двух десятков программных продуктов для анализа рисков: от простейших, ориентированных на базовый уровень безопасности, до сложных и дорогостоящих, позволяющих реализовать полный вариант анализа рисков и выбрать комплекс контрмер требуемой эффективности.
Программные средства, необходимые для полного анализа рисков, строятся с использованием структурных методов системного анализа и проектирования (SSADM, Structured Systems Analysis and Design) и представляют собой инструментарий для выполнения следующих операций:
1. построения модели ИС с позиции ИБ;
2. оценки ценности ресурсов;
3. составления списка угроз и уязвимостей, оценки их характеристик;
4. выбора контрмер и анализа их эффективности;
5. анализа вариантов построения защиты;
6. документирования (генерация отчетов).
Примерами программных продуктов этого класса являются CRAMM (разработчик - компания Logica, Великобритания), MARION (разработчик CLUSIF, Франция), RiskWatch (США) [3].
Обязательным элементом этих продуктов является база данных, содержащая информацию по инцидентам в области ИБ, позволяющая оценить риски и уязвимости, эффективность различных вариантов контрмер в определенной ситуации.
Принципы, положенные в основу методик. Границы применимости методик
Один из возможных подходов к разработке подобных методик - накопление статистических данных о реальных происшествиях, анализ и классификация их причин, выявление факторов риска. На основе этой информации можно оценить угрозы и уязвимости в других информационных системах.
Практические сложности в реализации этого подхода следующие.
Во-первых, должен быть собран весьма обширный материал о происшествиях в этой области.
Во-вторых, применение этого подхода оправданно далеко не всегда. Если информационная система достаточно крупная (содержит много элементов, расположена на обширной территории), имеет давнюю историю, то подобный подход скорее всего применим. Если система сравнительно невелика, использует только новейшие элементы технологии (для которых пока нет достаточной статистики), оценки рисков и уязвимостей могут оказаться недостоверными.
Альтернативой статистическому подходу является подход, основанный на анализе особенностей технологии. Впрочем, он также не универсален: темпы технологического прогресса в области ИТ таковы, что имеющиеся оценки относятся к уже устаревшим или устаревающим технологиям, для новейших технологий таких оценок пока не существует.
Один из наиболее известных продуктов этого класса, CRAMM, рассмотрен ниже [1].
Метод CRAMM. История создания метода
В 1985 г. Центральное агентство по компьютерам и телекоммуникациям (CCTA) Великобритании начало исследования существующих методов анализа ИБ для того, чтобы рекомендовать наиболее пригодные для использования в правительственных учреждениях, занятых обработкой несекретной, но критичной информации. Ни один из рассмотренных вариантов не подошел. Поэтому был разработан новый метод, соответствующий требованиям CCTA. Он получил название CRAMM - метод CCTA анализа и контроля рисков. Затем появилось несколько его версий, ориентированных на требования министерства обороны, гражданских государственных учреждений, финансовых структур, частных организаций. Одна из версий, "коммерческий профиль", является коммерческим продуктом. В настоящее время продается версия CRAMM 4.0 [1].
Целью разработки метода являлось создание формализованной процедуры, позволяющей:
1. убедиться, что требования, связанные с безопасностью, полностью проанализированы и документированы;
2. избежать расходов на излишние меры безопасности, возможные при субъективной оценке рисков;
3. оказывать помощь в планировании и осуществлении защиты на всех стадиях жизненного цикла информационных систем;
4. обеспечить проведение работ в сжатые сроки;
5. автоматизировать процесс анализа требований безопасности;
6. представить обоснование для мер противодействия;
7. оценивать эффективность контрмер, сравнивать различные варианты контрмер;
8. генерировать отчеты.
Концепция, положенная в основу метода
Анализ рисков включает в себя идентификацию и вычисление уровней (мер) рисков на основе оценок, присвоенных ресурсам, угрозам и уязвимостям ресурсов.
Контроль рисков состоит в идентификации и выборе контрмер, позволяющих снизить риски до приемлемого уровня.
Формальный метод, основанный на этой концепции, позволяет убедиться, что защита охватывает всю систему и есть уверенность в том, что все возможные риски идентифицированы; уязвимости ресурсов и угрозы идентифицированы и их уровни оценены; контрмеры эффективны; расходы, связанные с ИБ, оправданны.
Исследование ИБ системы с помощью СRAMM проводится в три стадии [2].
Стадия 1: анализируется все, что касается идентификации и определения ценности ресурсов системы. По завершении этой стадии заказчик исследования будет знать, достаточно ли ему существующей традиционной практики или он нуждается в проведении полного анализа рисков.
Стадия начинается с решения задачи определения границ исследуемой системы. Для этого накапливается информация о том, кто отвечает за физические и программные ресурсы, кто входит в число пользователей системы и как они ее применяют или будут применять, а также сведения о конфигурации системы.
Первичная информация собирается в процессе бесед с менеджерами проектов, менеджером пользователей или другими сотрудниками.
Скачать реферат