1. Проблемы безопасности современных корпоративных сетей
1.1 Методы оценивания информационных рисков
Информационные риски - это опасность возникновения убытков или ущерба в результате применения компанией информационных технологий. Иными словами, IT-риски связаны с созданием, передачей, хранением и использованием информации с помощью электронных носителей и иных средств связи. IT-риски можно разделить на две категории:
? риски, вызванные утечкой информации и использованием ее конкурентами или сотрудниками в целях, которые могут повредить бизнесу;
? риски технических сбоев работы каналов передачи информации, которые могут привести к убыткам.
Работа по минимизации IT-рисков заключается в предупреждении несанкционированного доступа к данным, а также аварий и сбоев оборудования. Процесс минимизации IT-рисков следует рассматривать комплексно: сначала выявляются возможные проблемы, а затем определяется, какими способами их можно решить.
В настоящее время используются различные методы оценки информационных рисков отечественных компаний и управления ими. Оценка информационных рисков компании может быть выполнена в соответствии со следующим планом:
? идентификация и количественная оценка информационных ресурсов компании, значимых для бизнеса;
? оценивание возможных угроз;
? оценивание существующих уязвимостей;
? оценивание эффективности средств обеспечения информационной безопасности.
Предполагается, что значимые для бизнеса уязвимые информационные ресурсы компании подвергаются риску, если по отношению к ним существуют какие-либо угрозы. Другими словами, риски характеризуют опасность, которая может угрожать компонентам корпоративной информационной системы. При этом информационные риски компании зависят от:
? показателей ценности информационных ресурсов;
? вероятности реализации угроз для ресурсов;
? эффективности существующих или планируемых средств обеспечения информационной безопасности.
Цель оценивания рисков состоит в определении характеристик рисков корпоративной информационной системы и ее ресурсов.
После оценки рисков можно выбрать средства, обеспечивающие желаемый уровень информационной безопасности компании. При оценивании рисков учитываются такие факторы, как ценность ресурсов, значимость угроз и уязвимостей, эффективность имеющихся и планируемых средств защиты[15].
Сами показатели ресурсов, значимости угроз и уязвимостей, эффективность средств защиты могут быть установлены как количественными методами (например, при нахождении стоимостных характеристик), так и качественными, скажем, с учетом штатных или чрезвычайно опасных нештатных воздействий внешней среды.
Возможность реализации угрозы для некоторого ресурса компании оценивается вероятностью ее реализации в течение заданного отрезка времени. При этом вероятность того, что угроза реализуется, определяется следующими основными факторами:
? привлекательностью ресурса (учитывается при рассмотрении угрозы от умышленного воздействия со стороны человека);
? возможностью использования ресурса для получения дохода (также в случае угрозы от умышленного воздействия со стороны человека);
? техническими возможностями реализации угрозы при умышленном воздействии со стороны человека;
? степенью легкости, с которой уязвимость может быть использована.
В России в настоящее время чаще всего используются разнообразные «бумажные» методики, достоинствами которых являются гибкость и адаптивность. Как правило, разработкой данных методик занимаются компании - системные и специализированные интеграторы в области защиты информации. По понятным причинам методики обычно не публикуются, поскольку относятся к этой компании. В силу закрытости данных методик судить об их качестве, объективности и возможностях достаточно сложно.
Специализированное ПО, реализующее методики анализа рисков, может относиться к категории программных продуктов (имеется на рынке) либо являться собственностью ведомства или организации и не продаваться.
Если ПО разрабатывается как программный продукт, оно должно быть в достаточной степени универсальным. Ведомственные варианты ПО адаптированы под особенности постановок задач анализа и управления рисками и позволяют учесть специфику информационных технологий организации.
Предлагаемое на рынке ПО ориентировано в основном на уровень информационной безопасности, несколько превышающий базовый уровень защищенности. Таким образом, инструментарий рассчитан в основном на потребности организаций 3-4 степени зрелости, описанных в первой главе.
Для решения данной задачи были разработаны программные комплексы анализа и контроля информационных рисков: CRAMM, FRAP, RiskWatch, Microsoft, ГРИФ. Ниже приведены краткие описания ряда распространенных методик анализа рисков. Их можно разделить на:
? методики, использующие оценку риска на качественном уровне (например, по шкале «высокий», «средний», «низкий»). К таким методикам, в частности, относится FRAP;
? количественные методики (риск оценивается через числовое значение, например размер ожидаемых годовых потерь). К этому классу относится методика RiskWatch;
? методики, использующие смешанные оценки (такой подход используется в CRAMM, методике Microsoft и т.д.) [31,32].
1.2 Анализ методики CRAMM
Методика CRAMM одна из первых зарубежных работ по анализу рисков в сфере информационной безопасности, разработанная в 80-х годах.
Ее основу составляет комплексный подход к оценке рисков, сочетающий количественные и качественные методы анализа. Метод является универсальным и подходит как для крупных, так и для малых организаций, как правительственного, так и коммерческого сектора. Версии программного обеспечения CRAMM, ориентированные на разные типы организаций, отличаются друг от друга своими базами знаний (профили):
? коммерческий профиль;
? правительственный профиль.
При работе методики на первых этапах учитывается ценность ресурсов исследуемой системы, собираются первичные сведения о конфигурации системы. Проводится идентификация ресурсов: физических, программных и информационных, содержащихся внутри границ системы.
Результатом этого этапа является построение модели системы, с деревом связи ресурсов. Эта схема позволяет выделить критичные элементы. Ценность физических ресурсов в CRAMM определяется стоимостью их восстановления в случае разрушения.
Ценность данных и программного обеспечения определяется в следующих ситуациях:
? недоступность ресурса в течение определенного периода времени;
? разрушение ресурса - потеря информации, полученной со времени последнего резервного копирования, или ее полное разрушение;
? нарушение конфиденциальности в случаях несанкционированного доступа штатных сотрудников или посторонних лиц;
? модификация - рассматривается для случаев мелких ошибок персонала (ошибки ввода), программных ошибок, преднамеренных ошибок;
? ошибки, связанные с передачей информации: отказ от доставки, недоставка информации, доставка по неверному адресу [2,46].
Методика CRAMM рекомендует использовать следующие параметры:
? ущерб репутации организации;
? нарушение действующего законодательства;
? ущерб для здоровья персонала;
? ущерб, при разглашении персональных данных отдельных лиц;
? финансовые потери от разглашения информации;
? финансовые потери, связанные с восстановлением ресурсов;
? потери, связанные с невозможностью выполнения обязательств;
? дезорганизация деятельности.
На второй стадии рассматривается все, что относится к идентификации и оценке уровней угроз для групп ресурсов и их уязвимостей. В конце стадии заказчик получает идентифицированные и оцененные уровни рисков для своей системы. На этой стадии оцениваются зависимость пользовательских сервисов от определенных групп ресурсов и существующий уровень угроз и уязвимостей, вычисляются уровни рисков и анализируются результаты.
Ресурсы группируются по типам угроз и уязвимостей. Программное обеспечение CRAMM для каждой группы ресурсов и каждого из 36 типов угроз генерирует список вопросов, допускающих однозначный ответ.
Уровень угроз оценивается, в зависимости от ответов, как очень высокий, высокий, средний, низкий и очень низкий. Уровень уязвимости оценивается, в зависимости от ответов, как высокий, средний и низкий.
На основе этой информации рассчитываются уровни рисков в дискретной шкале с градациями от 1 до 7. Полученные уровни угроз, уязвимостей и рисков анализируются и согласовываются с заказчиком.
Основной подход, для решения этой проблемы состоит в рассмотрении:
? уровня угрозы;
? уровня уязвимости;
? размера ожидаемых финансовых потерь.
Исходя из оценок стоимости ресурсов защищаемой ИС, оценок угроз и уязвимостей, определяются «ожидаемые годовые потери».
Третья стадия исследования заключается в поиске адекватных контрмер. По существу, это поиск варианта системы безопасности, наилучшим образом удовлетворяющей требованиям заказчика.
На этой стадии CRAMM генерирует несколько вариантов мер противодействия, адекватных выявленным рискам и их уровням.
Таким образом, CRAMM - пример методики расчета, при которой первоначальные оценки даются на качественном уровне, и потом производится переход к количественной оценке (в баллах).
Работа по методике CRAMM осуществляется в три этапа, каждый из которых преследует свою цель в построении модели рисков информационной системы в целом. Рассматриваются угрозы системы для конкретных ее ресурсов. Проводится анализ как программного, так и технического состояния системы на каждом шаге, построив дерево зависимостей в системе, можно увидеть ее слабые места и предупредить потерю информации в результате краха системы, как из за вирусной атаки, так и при хакерских угрозах. К недостаткам метода CRAMM можно отнести следующее:
? использование метода CRAMM требует специальной подготовки и высокой квалификации аудитора;
? CRAMM в гораздо большей степени подходит для аудита уже существующих ИС, находящихся на стадии эксплуатации, нежели чем для ИС, находящихся на стадии разработки;
? аудит по методу CRAMM - процесс достаточно трудоемкий и может потребовать месяцев непрерывной работы аудитора;
? программный инструментарий CRAMM генерирует большое количество бумажной документации, которая не всегда оказывается полезной на практике;
? CRAMM не позволяет создавать собственные шаблоны отчетов или модифицировать имеющиеся;
? возможность внесения дополнений в базу знаний CRAMM не доступна пользователям, что вызывает определенные трудности при адаптации этого метода к потребностям конкретной организации;
? программное обеспечение CRAMM существует только на английском языке;
? высокая стоимость лицензии.
1.3 Анализ методики FRAP
Методика «Facilitated Risk Analysis Process (FRAP)» предлагаемая компанией Peltier and Associates, разработана Томасом Пелтиером (Thomas R. Peltier.
В методике, обеспечение ИБ предлагается рассматривать в рамках процесса управления рисками. Управление рисками в сфере ИБ - процесс, позволяющий компаниям найти баланс между затратами средств и сил на средства защиты и получаемым эффектом.
Управление рисков должно начинается с оценки рисков: должным образом оформленные результаты оценки станут основой для принятия решений в области повышения безопасности системы в будущем.
После завершения оценки, проводится анализ соотношения затрат и получаемого эффекта, который позволяет определить те средства защиты, которые нужны, для снижения риска до приемлемого уровня.
Составление списка угроз поможет использовать разные подходы:
? заранее подготовленные экспертами перечни угроз, из которых выбираются актуальные для данной системы;
? анализ статистики происшествий в данной ИС происходит оценка частоты их возникновения; по ряду угроз;
? «мозговой штурм», проводимый сотрудниками компании [9,46].
Когда список угроз закончен, каждой из них сопоставляют вероятность возникновения. После чего оценивают ущерб, который может быть нанесен данной угрозой. Исходя из полученных значений, оценивается уровень угрозы. Таким образом оценивается уровень риска для незащищенной ИС, что в последствии позволяет показать эффект от внедрения средств защиты информации (СЗИ).
Оценка можно произвести для вероятности возникновения угрозы и ущерба от нее по следующим пунктам:
? вероятность:
? высокая - очень вероятно, что угроза реализуется в течение следующего года;
? средняя - возможно угроза реализуется в течение следующего года;
? низкая - маловероятно, что угроза реализуется в течение следующего года.
Ущерб - мера величины потерь или вреда, наносимого активу:
? высокий: остановка критически важных бизнес-подразделений, которая приводит к существенному ущербу для бизнеса, потере имиджа или неполучению существенной прибыли;
? средний: кратковременное прерывание работы критических процессов или систем, которое приводит к ограниченным финансовым потерям в одном бизнес-подразделении;
? низкий: перерыв в работе, не вызывающий ощутимых финансовых потерь.
После идентификации угрозы и получении оценки риска, должны быть определены контрмеры, позволяющие устранить риск или свести его до приемлемого уровня. При этом должны приниматься во внимание законодательные ограничения, делающие невозможным или, наоборот, предписывающие в обязательном порядке, использование тех или иных средств и механизмов защиты. Если риск снижен недостаточно, возможно, надо применить другое СЗИ. Вместе с определением средства защиты, надо определить какие затраты повлечет его приобретение и внедрение (затраты могут быть как прямые, так и косвенные). Кроме того, необходимо оценить, безопасно ли само это средство, не создает ли оно новых уязвимостей в системе [28,27].
Чтобы использовать экономически эффективные средства защиты, нужно проводить анализ соотношения затрат и получаемого эффекта. При этом надо оценивать не только стоимость приобретения решения, но и стоимость поддержания его работы. В затраты могут включаться:
? стоимость реализации проекта, включая дополнительное программное и аппаратное обеспечение;
? снижение эффективности выполнения системой своих основных задач;
? внедрение дополнительных политик и процедур для поддержания средства;
? затраты на найм дополнительного персонала или переобучение имеющегося.
Последний пункт в этой методике - документирование. Когда оценка рисков закончена, ее результаты должны быть подробно документированы в стандартизованном формате, для дальнейшего использования или для проведения более глубокого анализа[4].
Методика рассчитана на управленцев отделов по обеспечению информационной безопасностью предприятия с экономическим уклоном. Производится анализ затрат и полученного эффекта от применения средства защиты информационной системы предприятия. Методика позволяет снизить риск до приемлемого уровня, что позволяет избежать максимальных затрат на обеспечение безопасности современными средствами ИБ.
Характерность для этой методики вызывает «мозговой штурм» проводимый сотрудниками организации, проведение анализа статистики происшествий для данных информационных систем.
Принимаются законодательные ограничения, делающие невозможным или, наоборот, предписывающие в обязательном порядке, использование тех или иных средств и механизмов защиты.
Конец методики позволяет просчитать, с точки зрения финансирования, применение средства для обеспечения безопасности предприятия, учитывается стоимость приобретения решения, но и стоимость поддержания его работы. Примером здесь может выступить внедрение антивирусного средства с файерволом и спам фильтром для каждого компьютера в сети, то есть его закупка, и сопровождение в последующее время его работы на обеспечение безопасности предприятия в пределах сети. Сразу же применяется программно-аппаратный комплекс для обеспечения безопасности информационной системы предприятия.
2. Разработка модели поиска рисков по безопасности корпоративной информации в текстовых сообщениях
2.1 Первичное управление безопасностью на современных предприятиях
Повсеместное внедрение информационных технологий в структуры современных организаций стало объективной реальностью. На всех управленческих уровнях есть необходимость и возможность расширить свои коммуникационные и информационные возможности за счет внедрения современных информационных технологий. В результате информационные структуры организаций разрастаются: локальные сети организаций подключаются к Internet, объединяются в офисные многоярусные структуры, разрастаются до уровня распределенных корпоративных сетей. Внедрение средств вычислительной техники в структуру управления современных предприятий и организаций является, безусловно, передовым процессом, поэтому вполне объяснимо, что до определенного момента не возникает вопросов и опасений, связанных с использованием информационных технологий[36].
Эволюция вычислительных технологий постоянно ускоряется, руководителям предприятий приходится отслеживать новые тенденции, принимать решения, связанные с обновлением инфраструктуры информационных технологий. Новые технологии приводят к появлению новых способов организации дальнейшей работы, а также служат источниками новых услуг
Следствием этого часто является стихийный рост информационной инфраструктуры предприятия, которая по мере приобретения средств вычислительной техники разрастается «вширь», приобретая неструктурированный гетерогенный характер. Это, в свою очередь, приводит к неконтролируемому росту уязвимостей системы и увеличению возможностей доступа к управленческой, коммерческой и производственной информации со стороны внешних и внутренних нарушителей. Информационные системы становятся потенциально опасными для своих собственников, своего рода «миной замедленного действия». До определенного момента не возникает вопросов и об оценке величины риска, рост которого следует рассматривать как обратную сторону процесса информатизации. Проблема усугубляется тем, что вопросы информационной безопасности, обычно, отдаются на откуп специалистам по информационным технологиям, которые часто не в состоянии определить реальные последствия для организации угроз информационной безопасности [38,39].