Содержание к диссертации
Введение
Глава 1. Методы и средства оценки текущего уровня информационной безопасности 7
1.1. Обзор методик управления информационными рисками 7
1.2. Стандарты в области информационной безопасности 9
1.3. Методы оценки затрат и инвестиций в информационную безопасность 29
Глава 2. Модель структурированной оценки риска при построении системы информационной безопасности 48
2.1. Методы и средства оценки текущего уровня и информационной безопасности (в том числе на соответствие стандартам) 49
2.2. Аудит информационной безопасности 53
2.3. Модель системы информационной безопасности 57
2.4. Проектирование системы обеспечения информационной безопасности 59
2.5. Применение механизма нечеткого вывода для структурированной оценки риска 64
Глава 3. Метод выполнения аналитических работ по структурированной оценке рисков 80
3.1. Этап 1. Сбор сведений и описание системы 82
3.2. Этап 2: Идентификация источников угроз 102
3.3. Этап 3: Идентификация уязвимостей 107
3.4. Этап 4: Анализ контроля безопасности 114
3.5. Этап 5: Определение вероятности 118
3.6. Этап 6: Анализ воздействия 121
3.7. Этап 7: Определение риска 125
3.8. Этап 8: Рекомендации по контролю 128
3.9. Этап 9: Оформление итоговых документов 129
Заключение 130
Литература 1302
- Стандарты в области информационной безопасности
- Методы оценки затрат и инвестиций в информационную безопасность
- Аудит информационной безопасности
- Этап 2: Идентификация источников угроз
Введение к работе
Актуальность. Бурное внедрение информационных технологий в структуры современных организаций стало объективной реальностью. Нам всех управленческих уровнях имеется желание расширить свои коммуникационные и информационные возможности за счет внедрения современных информационных технологий. В результате информационные структуры организаций разрастаются: локальные сети организаций подключаются к Internet, объединяются в офисные многоярусные структуры, разрастаются до уровня распределенных корпоративных сетей.
Внедрение средств вычислительной техники в структуру управления современных предприятий и организаций является, безусловно, прогрессивным процессом, поэтому вполне объяснимо, что до определенного момента не возникает вопросов и опасений, связанных с использования информационных технологий. Следствием этого часто является стихийный рост информационной инфраструктуры организации, которая по мере приобретения средств вычислительной техники разрастается «вширь», приобретая неструктурированный гетерогенный характер. Это в свою очередь приводит к неконтролируемому росту уязвимостей системы и увеличению возможностей доступа к управленческой и производственной информации со стороны внешних и внутренних нарушителей. ИС становится потенциально опасной для своих собственников, своего рода «миной замедленного действия».
До определенного момента не возникает вопросов и об оценке величины риска, рост которого следует рассматривать как обратную сторону процесса информатизации. Проблема усугубляется тем, что вопросы информационной безопасности, обычно, отдаются на откуп специалистам по информационным технологиям, которые часто не в состоянии определить реальных последствий для организации угроз информационной безопасности. Менеджеры предприятия, которые могли бы оценить реальные
5 последствия угроз, часто имеют недостаточных знаний в области информационных технологий, чтобы оценить связанные с этим риски.
Таким образом, в организации часто не оказывается специалиста, который мог бы оценить реальные риски, связанные с использованием информационных технологий, хотя, очевидно, что оценка риска нужна не только с точки зрения безопасности уже сложившейся инфраструктуры, но и для правильной оценки перспектив использования и развития информационных технологий. Более того, своевременную оценку риска следует рассматривать не только как функцию управления ИС, но и как защиту организации в целом, ее способности выполнять свои функции. Следовательно, процесс управления рисками следует рассматривать не как техническую функцию, которую можно поручить техническим специалистам, а как основную управляющую функцию организацию.
согласно современным международным стандартам в области ИБ подсистема управления рисками ИБ должна быть обязательным компонентом общей системы обеспечения информационной безопасности организации.
Целью работы является получение структурированной оценки рисков состояния ИБ в ИС на предприятиях и в организациях.
Объектом исследования данной работы являются ИС предприятий, обладающие гетерогенной многоуровневой структурой.
Предмет исследования составляют методы и модели аналитических исследований, позволяющие произвести оценку рисков состояния ИБ в объекте исследования.
Научная новизна работы состоит в том, что на основе разнородных методов оценки рисков ИБ, анализ которых был проведен в рамках данной работы, был разработан структурированный подход к решению проблемы ИБ в ИС, обладающих сложной инфраструктурой.
Практическая ценность работы заключается в том, что работа определяет способ получения качественных и количественных оценок
величин риска с максимальными возможностями учета априорных данных и результатов предварительных исследований характеристик и свойств ИС. Полученные оценки риска могут быть использованы при разработке Концепции обеспечения ИБ на этапе формирования ИС и для поддержания уровня риска на приемлемом уровне на этапе эксплуатации ИС.
Данная работы может быть полезна аналитиком в области информационной безопасности, у которых возникает задача обобщения большого количества данных о характеристиках и свойствах исследуемой системы специалистам, эксплуатирующим ИС или отвечающим за состояние ИБ, для контроля и поддержания допустимого уровня безопасности. Она рекомендуется также менеджерам для определения объема и стоимости работ по оценке рисков.
Краткий обзор содержания работы:
В первой главе рассмотрены основные методы и средства оценки текущего уровня информационной безопасности: дан обзор методов и методик управления информационными рисками, рассмотрены стандарты в области информационной безопасности и методы оценки затрат и инвестиций в информационную безопасность.
Во второй главе предлагается модель структурированной оценки риска при построении системы информационной безопасности, позволяющая, вне зависимости от метода оценки затрат и инвестиций, создать эффективную и экономически оправданную систему защиты информации.
В третьей главе описывается метод выполнения аналитических работ по структурированной оценке рисков.
В заключении приведены основные результаты исследования и полученные выводы, их анализ и возможности практического применения.
Стандарты в области информационной безопасности
Темпы развития современных информационных технологий значительно опережают темпы разработки рекомендательной и нормативно-правовой базы руководящих документов, действующих на территории России. Поэтому вопрос «как оценить уровень безопасности корпоративной информационной системы» - обязательно влечет за собой следующие: в соответствии с какими критериями производить оценку эффективности защиты, как оценивать и переоценивать информационные риски предприятия? Вследствие этого, в дополнение к требованиям, рекомендациям и руководящим документам Гостехкомисии России и ФСБ приходится адаптировать к нашим условиям и применять методики международных стандартов (ISO 17799, 9001, 15408, BSI и пр.), а также использовать методы количественного анализа рисков в совокупности с оценками экономической эффективности инвестиций в обеспечение безопасности и защиты информации.
В последнее время в разных странах появилось новое поколение стандартов информационной безопасности компьютерных информационных систем, посвященных практическим вопросам обеспечения и аудита информационной безопасности[11]. Это прежде всего международные и национальные стандарты оценки управления информационной безопасностью ISO 15408, линейка стандартов ISO 27000; стандарты аудита информационных систем и информационной безопасности COBIT, SAC, COSO, SAS 55/78 и некоторые другие, аналогичные им.
В соответствии с этими стандартами обеспечение информационной безопасности в любой компании предполагает следующее: определение целей обеспечения информационной безопасности компьютерных систем; создание эффективной системы управления информационной безопасностью; расчет совокупности детализированных не только качественных, но и количественных показателей для оценки соответствия информационной безопасности заявленным целям; применение инструментария обеспечения информационной безопасности и оценки ее текущего состояния; использование методик (с обоснованной системой метрик и мер обеспечения информационной безопасности) проведения аудита информационной безопасности, позволяющих объективно оценить текущее состояние дел.
Новое поколение стандартов отличается как от предыдущего, так и от Руководящих документов Гостехкомиссии России 1992-1998 годов, большей формализацией аудиторской деятельности и более детальным комплексным учетом качественно и количественно проверяемых показателей информационной безопасности компании. Комплексный учет показателей предполагает комплексный подход к аудиту, когда на соответствие определенным правилам проверяется не только программно-техническая составляющая информационной безопасности компьютерной системы, но и организационно-административные меры по ее обеспечению.
Каждая компания, решившая провести аудит информационной безопасности [8], в соответствии с требованиями ISO/1EC 27001:2005 должна осуществить подготовительные мероприятия, подготовить документацию и систему управления информационной безопасностью. Только после выполнения этих требований компания приглашает аудитора.
Подготовительные мероприятия включают в себя подготовку нормативно-методической документации компании по организации информационной безопасности и проведение внутренней проверки соответствия системы обеспечения информационной безопасности компании требованиям стандарта 1SO/IEC 27001:2005[31].
Процесс аудита информационной безопасности компании начинается с подготовки детальных и подробных планов проведения аудита[50]. Планы должны быть представлены соответствующим лицам компании до начала процедуры аудита безопасности. При этом важно, чтобы аудиторы были ознакомлены с тем, каким законодательно/правовым нормам и требованиям отраслевых и ведомственных стандартов следует проверяемая организация или компания. Далее начинается проверка нормативно/методической документации компании, которая может проводиться как внутри компании, так и за ее пределами. Состав проверяемой документации может включать: Концепцию и Политику безопасности, описание рамок защищаемой системы (карту корпоративной системы Internet/Intranet, в том числе описание состава и структуры используемого в компании прикладного и системного программного обеспечения), должностные инструкции корпоративных пользователей, положения о департаменте информационной безопасности, а также описания методик оценки и управления информационными рисками, оценки состояния информационной безопасности компании, правил и норм эксплуатации программно/технических средств обеспечения информационной безопасности и пр. Если компания уже проходила процедуру аудита, то также представляется отчет о предыдущей проверке и данные о всех выявленных ранее несоответствиях. Кроме того, должна быть подготовлена так называемая Ведомость соответствия — документ, в котором оценивается соответствие поставленных целей и средств управления информационной безопасностью требованиям стандарта.
Сущность аудита безопасности иа соответствие системы управления информационной безопасностью компании требованиям стандарта заключается в проверке выполнения каждого положения стандарта ISO/IEC 27001:2005 [12]. По каждому такому положению проверяющие должны ответить на два вопроса: выполняется ли данное требование, и если нет, то каковы причины невыполнения? На основе ответов составляется Ведомость соответствия, основная цель которой - аргументированное обоснование имеющихся отклонений информационной безопасности от требований стандарта ISO/1EC 27001:2005. По завершении аудита безопасности выявленные несоответствия при необходимости могут быть устранены. Другими словами, в ходе выполнения аудита всей компании в целом, аудитор, выполняющий данную работу, должен собрать доказательства того, что компания отвечает всем требованиям стандарта ISO/IEC 27001:2005. Это делается на основе анализа документов, бесед с экспертами, а при необходимости и проведения соответствующих организационных проверок режима безопасности и инструментальных проверок компонентов корпоративной системы Internet/Intranet. В результате должны быть проверены: организация информационной безопасности компании, обязанности по обеспечению информационной безопасности сотрудников всех должностей, наличие документированной политики и стратегии информационной безопасности для компании и, в частности, документированной стратегии и общих положений подхода к оцениванию и управлению рисками. При этом обращается внимание на наличие документированных, применимых на практике методик по оцениванию и управлению рисками, обоснования правильности выбора средств защиты для информационной системы компании. Попутно выявляется наличие документированных процедур оценки остаточного риска, проверки режима информационной безопасности, а также журналов, в которых фиксируются результаты проверки. У проверяющего аудитора должна быть полная ясность относительно наличия документированных правил обслуживания и администрирования информационной системы, наличия документированных распоряжений должностных лиц по проведению периодических проверок оценивания и управления рисками, документации по системе управления информационной безопасностью и реестра необходимых средств.
Методы оценки затрат и инвестиций в информационную безопасность
Методика Applied Information Economics (AIE) была разработана Дугласом Хаббардом, руководителем компании Hubbard Ross. Компания Hubbard Ross, основанная в марте 1999 года, стала первой организацией, которая использовала методику AIE для анализа ценности инвестиций в технологии безопасности с финансовой и экономической точки зрения [37].
Методика AIE позволяет повысить точность показателя «действительная экономическая стоимость вложений в технологии безопасности за счет определения доходности инвестиций» (Return on Investment, ROI) до и после инвестирования. Применение AIE позволяет сократить неопределенность затрат, рисков и выгод, в том числе и неочевидных [39]. Опираясь на знания экономики, статистики, теории информации и системного анализа, консультанты определяют важные финансовые показатели, используя дополнительные сведения для уменьшения их неопределенности, также оценивают влияние рисков и помогают выбрать такую стратегию, которая уменьшала бы риск и оптимизировала инвестиционные вложения.
Отчет о проделанной работе включает в себя полученные сведения, рекомендации и комментарии консультантов, также в состав отчета входит сводная таблица, сделанная с помощью Microsoft Excel, отражающая взаимное влияние затрат, прибыли и рисков.
Метод предлагает оценивать степень влияния инвестиций в технологии безопасности на численность и состав потребителей. В процессе оценки предприятие или организация определяет экономические показатели своих потребителей за счет отслеживания доходов, затрат и прибылей по каждому заказчику в отдельности [34]. Недостаток метода состоит в трудности формализации процесса установления прямой связи между инвестициями в технологии безопасности и сохранением или увеличением числа потребителей. Этот метод применяется в основном для оценки эффективности корпоративных систем защиты информации в компаниях, у которых число заказчиков непосредственно влияет на все аспекты бизнеса.
Консалтинговая компания Stern Stewart и Co., основанная в 1982 году, специализируется на оценке акционерного капитала новым инструментарием финансового анализа. Эта компания, одна из первых, разработала собственную методику вычисления добавленной стоимости (Economic Value Added), которая предлагает непротиворечивый подход к определению целей и измерению показателей, к оценке стратегий, к размещению капитала и пр.
Методика EVA предлагает рассматривать службу информационной безопасности как «государство в государстве», то есть специалисты службы безопасности продают свои услуги внутри компании по расценкам, примерно эквивалентным расценкам на внешнем рынке, что позволяет компании отследить доходы и расходы, связанные с технологиями безопасности [49]. Таким образом, служба безопасности превращается в центр прибыли и появляется возможность четко определить, как расходуются активы, связанные с технологиями безопасности, и увеличиваются доходы акционеров. Исходная экономическая стоимость Economic Value Sourced (EVS) Методика EVS была разработана компанией МЕТА Group Consulting, которая оказывает услуги средним и крупным компаниям, количественно измеряя возврат от инвестиций в технологии безопасности. Методика предполагает точный расчет всех возможных рисков и выгод для бизнеса, связанных с внедрением и функционированием корпоративной системы защиты информации [48]. При этом расширяется использование таких инструментальных средств оценки ИТ, как добавленная экономическая стоимость (EVA), внутренняя норма рентабельности (IRR) и возврат от инвестиций (R.OI) за счет определения и вовлечения в оценочный процесс параметров времени и риска.
Управление портфелем активов Portfolio Management (РМ) Методика управления портфелем активов предполагает, что компании управляют технологиями безопасности так же, как управляли бы акционерным инвестиционным фондом с учетом объема, размера, срока, прибыльности и риска каждой инвестиции. Портфель активов технологий безопасности состоит из «статических» и «динамичных» активов [33]. К «статическим» активам относят: апаратно-программные средства защиты информации, операционные системы и пакеты прикладных программ-ных продуктов, сетевое оборудование и программное обеспечение, данные и информацию, оказываемые услуги, человеческие ресурсы и пр. В состав «динамичных» активов входят следующие компоненты: различные проекты по расширению и обновлению всего портфеля активов, знания и опыт, интеллектуальный капитал и т. д.
Таким образом, управление портфелем активов технологий безопасности представляет собой непрерывный анализ взаимодействия возникающих возможностей и имеющихся в наличии ресурсов. Непрерывность процесса управления связана с внешними изменениями (например, изменение ситуации на рынке, изменение позиций конкурента) и с внутренними изменениями (например, изменение в стратегии компании, в каналах сбыта, номенклатуре товаров и услуг и т. д.). А директор службы безопасности становится «фондовым менеджером», который управляет инвестициями в технологии безопасности, стремясь к максимизации прибыли.
Оценка действительных возможностей Real Option Valuation (ROV) Основу методики составляет ключевая концепция построения модели «гибких возможностей компании» в будущем. Методика рассматривает технологии безопасности в качестве набора возможностей с большой степенью их детализации [45]. Правильное решение принимается после тщательного анализа широкого спектра показателей и рассмотрения множества результатов или вариантов будущих сценариев, которые в терминах методики именуются «динамическим планом выпуска» управляющих решений или гибкости, который поможет организациям лучше адаптировать или изменять свой курс в области информационной безопасности.
Метод жизненного цикла искусственных систем System Life Cycle Analysis (SLCA)
В основе российского метода жизненного цикла искусственных систем System Life Cycle Analysis (SLCA) лежит измерение «идеальности» корпоративной системы защиты информации — соотношение ее полезных факторов к сумме вредных факторов и факторов расплаты за выполнение полезных функций [35]. Оценку предваряет совместная работа аналитика и ведущих специалистов обследуемой компании по выработке реестра полезных, негативных и затратных факторов бизнес-системы без использования системы безопасности и присвоению им определенных весовых коэффициентов. Результатом работы является расчетная модель, описывающая состояние без системы безопасности. После этого в модель вводятся описанные факторы ожидаемых изменений и производится расчет уровня развития компании с корпоративной системой защиты информации. Таким образом, строятся традиционные модели «Как есть» и «Как будет» с учетом реестра полезных, негативных и затратных факторов бизнес-системы.
Аудит информационной безопасности
Целью работ по аудиту информационной безопасности является построение эффективной, сбалансированной, экономически оправданной системы защиты информации на предприятии на методологическом, организационно-управленческом, технологическом и техническом уровнях.
Сегодня современные методики работы по анализу рисков информационной безопасности, проектированию и сопровождению систем безопасности позволяют: произвести количественную оценку текущего уровня безопасности, задать допустимые уровни рисков, разработать план мероприятий по обеспечению требуемого уровня безопасности; рассчитать и экономически обосновать перед руководством или акционерами размер необходимых вложений в обеспечение безопасности; выявить и провести первоочередное блокирование наиболее опасных уязвимостей до осуществления атак на уязвимые ресурсы; определить функциональные отношения и зоны ответственности при взаимодействии подразделений и лиц по обеспечению информационной безопасности; создать необходимый пакет организационно-распорядительной документации; разработать и согласовать проект внедрения необходимых комплексов защиты, учитывающий современный уровень и тенденции развития информационных технологий; обеспечить поддержание внедренного комплекса защиты в соответствии изменяющимся условиям работы организации, регулярными доработками организационно-распорядительной документации, модификацией технологических процессов и модернизацией технических средств защиты [1].
В ходе проведения анализа риска выявляются наиболее критичные с точки зрения информационной безопасности ресурсы, по каждому ресурсу определяются характерные угрозы безопасности и оценивается уязвимость системы защиты ресурса [43]. На основании этих и общестатистических данных определяются вероятностные характеристики возникновения и реализации угроз информационной безопасности.
Одна из главных задач, решаемая в ходе проведения работы -оценивание риска в информационной системе по каждому из информационных ресурсов. Результатом является итоговая оценка информационного риска (потенциального ущерба от реализации информационных угроз) на объекте. Далее на этой основе предлагается комплекс мероприятий по повышению уровня информационной безопасности объекта.
Цель процесса оценивания рисков состоит в определении характеристик рисков в информационной системе и ее ресурсах. На основе таких данных выбираются необходимые средства управления ИБ. Процесс оценивания рисков содержит несколько этапов: описание объекта и мер защиты; идентификация ресурса и оценивание его количественных показателей (определение потенциального негативного воздействия на бизнес); анализ угроз информационной безопасности; оценивание уязвимостей; оценивание существующих и предполагаемых средств обеспечения информационной безопасности; оценивание рисков. Риск характеризует опасность, которой может подвергаться система и использующая ее организация и зависит от: показателей ценности ресурсов; вероятностей нанесения ущерба ресурсам (выражаемых через вероятности реализации угроз для ресурсов); степени легкости, с которой уязвимости могут быть использованы при возникновении угроз (уязвимости системы защиты); существующих или планируемых средств обеспечения ИБ. \
Главной целью системы информационной безопасности является обеспечение устойчивого функционирования объекта, предотвращение угроз его безопасности, защита законных интересов компании от противоправных посягательств, недопущение хищения финансовых средств, разглашения, утраты, утечки, искажения и уничтожения служебной информации, обеспечение нормальной производственной деятельности всех подразделений объекта [7].
Задачами системы информационной безопасности являются: отнесение информации к категорії и ограниченного доступа (служебной тайне); прогнозирование и своевременное выявление угроз безопасности информационным ресурсам, причин и условий, способствующих нанесению финансового, материального и морального ущерба, нарушению его нормального функционирования и развития; создание условий функционирования с наименьшей вероятностью реализации угроз безопасности информационным ресурсам и нанесения различных видов ущерба; создание механизма и условий оперативного реагирования на угрозы информационной безопасности и проявления негативных тенденций в функционировании, эффективное пресечение посягательств на ресурсы на основе правовых, организационных и технических мер и средств обеспечения безопасности; создание условий для максимально возможного возмещения и локализации ущерба, наносимого неправомерными действиями физических и юридических лиц, ослабление негативного влияния последствий нарушения информационной безопасности на достижение стратегических целей.
Модель построения системы информационной безопасности Эта модель соответствует специальным нормативным документам по обеспечению информационной безопасности, принятым в Российской Федерации, международному стандарту ISO/1EC 15408 «Информационная технология — методы защиты — критерии оценки информационной безопасности», стандарту ISO/IEC 27002 «Управление информационной безопасностью», и учитывает тенденции развития отечественной нормативной базы по вопросам информационной безопасности. Представленная модель информационной безопасности - это совокупность объективных внешних и внутренних факторов и их влияние на состояние информационной безопасности на объекте и на сохранность материальных или информационных ресурсов.
На этом этапе разрабатывается план проектирования системы защиты информационной среды. Производится оценка доступных средств, осуществляется анализ и планирование разработки и интеграции средств защиты. Необходимым элементом работы является утверждение допустимого риска объекта защиты.
Обеспечение повышенных требований к информационной безопасности предполагает соответствующие мероприятия на всех этапах жизненного цикла информационных технологий [24]. Планирование этих мероприятий производится по завершении этапа анализа рисков и выбора контрмер. Обязательной составной частью этих планов является периодическая проверка соответствия существующего режима ИБ политике безопасности, сертификация информационной системы (технологии) на соответствие требованиям определенного стандарта безопасности.
Работа по построению плана защиты объекта начинается с построения профиля защиты данного объекта [6]. При этом часть этой работы уже была проделана при проведении анализа рисков.
Прежде чем предлагать какие-либо технические решения по системе информационной безопасности объекта, предстоит разработать для него политику безопасности. Собственно организационная политика безопасности описывает порядок предоставления и использования прав доступа пользователей, а также требования отчетности пользователей за свои действия в вопросах безопасности. Система информационной безопасности (СИБ) объекта окажется эффективной, если она будет надежно поддерживать выполнение правил политики безопасности, и наоборот. Шагами построения организационной политики безопасности являются: внесение в описание объекта автоматизации структуры ценности и проведение анализа риска; определение правил для любого процесса пользования данным видом доступа к ресурсам объекта автоматизации, имеющим данную степень ценности [12].
Этап 2: Идентификация источников угроз
Целью данного этапа является определение потенциальных источников угроз для оцениваемой ИТ-системы и составление списка актуальных источников угроз для данной ИТ-системы. Источники угроз могут быть естественными, относящимися к окружающей среде или связанными с человеком. С источником угроз можно связать любое обстоятельство или событие, которое может нанести урон ИТ-системе. При определении актуальных источников угроз следует принимать во внимание все потенциальные источники, которые могут нанести урон ИТ-системе и ее рабочей среде, но учитывать только те которые могут реально произойти. К примеру, список актуальных источников угроз для ИТ-системы, расположенной в условиях пустыни, может не содержать естественный источник угроз "наводнение" вследствие его низкой вероятности. Однако, угроза, связанная с окружающей средой, такая, как разрыв трубы водоснабжения, может привести к затоплению рабочего помещения и нанести урон активам и ресурсам компании.
Человек также может представлять источник угроз, действуя преднамеренно (атаки внешних нарушителей или недовольных сотрудников), или действуя непреднамеренно (небрежность и ошибки).
Преднамеренная атака может выглядеть, как: а) злостная попытка получить несанкционированный доступ к ИТ системе (например, путем подбора пароля) с целью поставить под сомнение целостность, доступность или конфиденциальность системы и данных, либо б) не злостная, но, тем не менее, преднамеренная попытка расстроить систему безопасности. Наглядным примером последнего случая служит создание программистом "Троянского коня", обходящего систему безопасности. В методике NIST приведены следующие определения. Угроза — это потенциальная возможность источника угроз успешно выявить определенную уязвимость системы. Уязвимость — это недостаток в системе, который может проявиться случайно либо намеренно эксплуатироваться.
Источник угроз не несет опасности, если отсутствует уязвимость, которая могла бы проявиться, поэтому при определении вероятности угрозы следует рассматривать источники угроз, потенциальную уязвимость и существующие методы защиты. Мотивация и способ реализации угроз Мотивация и возможности для осуществления атак делают человека потенциально опасным источником угроз. В таблице 3.4 представлен краткий обзор некоторых современных распространенных угроз, исходящих от человека, их возможные мотивации, методы или действия, при помощи которых может быть осуществлена атака. Данная информация может быть полезна компаниям, исследующим свою среду антропогенных (исходящих от людей) угроз и определяющим связанные с этим задачи. Помимо этого, определению потенциальных источников угроз, связанных с человеком, будут способствовать краткие обзоры материалов по истории взломов информационных систем; рапорты о нарушениях системы безопасности или других инцидентах; собеседования с системными администраторами, персоналом справочных столов и пользователями.
Компьютерный преступник- - Разрушение информации- Незаконное раскрытиеинформации- Присвоение денег- Несанкционированноеизменение данных - Компьютерные преступления(киберсталкеры)- Мошенничество (маскарад, самозванство,перехват данных)- Информационное взяточничество- Обманные действия- Вторжение в систему
Террорист - Шантаж- Разрушение- Взрыв- Месть - Террористические взрывы- Информационная война- Атаки на систему (распределенный отказ вуслуге)- Проникновение в систему- Преступное использование системы
Промышленный шпионаж (компании, иностранные государства и другие заинтересованные круги) - Конкурентноепреимущество- Экономический шпионаж - Экономическая эксплуатация- Хищение информации- Вторжение в личную жизнь- Махинации- Проникновение в системуНесанкционированный доступ к системе (доступ к секретной, паїснтной информации)
Члены коллектива (плохо обученные, недовольные, злобные, халатные, нечестные, уволенные) - Любопытство- Эгоизм- Корысть- Шпионаж- Месть- Неумышленные ошибки инедочеты (ошибка вводаданных, ошибка впрофамме) - Нападки на члена коллектива- Шантаж- Просмотр патентной информации- Оскорбления- Мошенничество и хищения- Информационное взяточничество- Ввод фальсифицированной информации- Перехват информации- Злонамеренные коды (вирусы,логические бомбы, Троянский конь)- Продажа личной информации- Системные ошибки- Вторжение в систему- Системные диверсии- Несанкционированный доступ к системе
Список потенциальных источников угроз должен быть разработан для конкретной компании и ее рабочей среды (учитывая, например, компьютерные навыки конечного пользователя). В общем случае, должна быть доступная информация об естественных угрозах (наводнения, землетрясения, ураганы). Известные угрозы уже идентифицированы многими государственными и частными компаниями. Правительственные и производственные компании ведут постоянный сбор данных о событиях, связанных с безопасностью информационных систем, тем самым, способствуя увеличению возможностей для реалистичной оценки угроз.
Оценку потенциала нарушителя целесообразно выполнять по той же схеме, что и оценку эффективности системы защиты, т.е. необходимо предварительно оценить возможности реализации каждого из процессов. Для оценки технологий несанкционированного доступа необходимо выявить уязвимости реализации информационных процессов, которые могут быть использованы нарушителями.
При формировании обобщенной оценки будем исходить из того, что ограниченные возможности по любой из составляющей модели нарушителя ограничивают общий потенциал нарушителя. При этом общая оценка определяется минимальной оценкой процессов модели нарушителя.
Целью данного этапа является создание списка уязвимостеи (недостатков или упущений), которыми могут воспользоваться потенциальные источники угроз. Уязвимость определяется как ошибка или недостаток в процедурах безопасности системы, при проектировании, выполнении или внутреннем контроле, которые могут проявиться (случайно или намеренно) и привести к бреши в безопасности или нарушению политики безопасности системы.
Анализ риска для ИТ-системы должен включать в себя анализ уязвимостеи, связанных с окружающей средой системы, которыми могу воспользоваться потенциальные источники угроз, поэтому уязвимости целесообразно рассматривать во взаимосвязи с угрозами. В табл. 3.5. приведены примеры пар уязвимость/угроза.
Похожие диссертации на Модель и метод структурированной оценки риска при анализе информационной безопасности
