Оценка вероятности реализации угрозы ИБ (математические подходы)

Второй подход оценки ВРУ основан на использовании различных математических аппаратов. Если посмотреть труды различных ученых, то с первого взгляда можно оценить все разнообразие таких подходов. Кто-то предлагает оценивать вероятность с использованием теории случайных процессов, кто-то с использованием нечеткой логики и нечетких множеств, кто-то теории надежности и.т.д. Авторефераты этих работ без проблем можно найти в интернете.

Но хочу заметить, что за множеством различных формул, терминов, например, "функции принадлежности", "фазификация", "функции и плотности распределения", "интегральные оценки", численными методами "монте-карло", "сети петри", "марковские цепи и процессы", "конечные автоматы" - скрываются все те же оценки экспертов, либо статистически накопленные данные.

Как и почему они там используются? Для того, что бы математическая модель начала работа необходимо что-то подать на вход этой модели. В качестве входных данных могут выступать такие значения как: количество произошедших угроз ИБ, интенсивность происходивших угроз ИБ, уязвимости программного обеспечения и средств защиты, степень выполнения требований ИБ (простая зависимость: если требования выполняются то ВРУ ниже) и т.д. А на выходе получается значение ВРУ. Достоверность полученных результатов зависит от достоверности входных данных.

Количество произошедших угроз может браться из собственной БД (если она конечно ведется :)) или из общедоступных источников. Откуда лучше брать информацию? Лучше брать накопленную информацию по угрозам ИБ и дополнять ее информацией из обще доступных источников. При этом необходимо обращать особое внимание на вид деятельности организаций для которых представлена статистика. Ведь вы не станете устанавливать в легковую машину двигатель от грузовой :). Вот и тут не надо на организацию здравоохранения или металлургический комбинат примерять статистику по угрозам ИБ от банковского сектора. 

Приимущества подхода:

- использование математических подходов приближает результат оценки ВРУ к объективной.

Недостатки:

- коммерциализация программных продуктов с использованием таких подходов очень низкая, я бы даже сказал практически 0, на сколько я знаю, всего два российских продукта, с определенными поправками, можно отнести к этой категории "АванГард" и "Digital Security Office".

Оценка вероятности реализации угрозы ИБ (экспертные оценки)

Список активов определен, перечень угроз составлен. Что дальше? Дальше следует оценить вероятность (возможность) реализации угроз ИБ (ВРУ). Какой подход выбрать и что в результате получится - именно об этом мой пост. 

Существует два основных подхода к оценки ВРУ:

1. Экспертный (ВРУ оценивает эксперт в области ИБ).

2. С  использованием различных математических подходов, основанных на статистических данных о произошедших угрозах ИБ в прошлом.

Первый подход применяется в том случае, если нет накопленной информации о произошедших угрозах в прошлом, например базы данных (БД) инцидентов ИБ. Организация приглашает эксперта или силами штатных сотрудников по ИБ проводит работы по оценки ВРУ. Если эксперт внешний, по отношению к организации, то у него уже есть заготовка шкалы оценки ВРУ, а если эксперт внутренний, то такую шкалу ему придется разработать самостоятельно или воспользоваться практикой зарубежных организаций. 

Шкала может быть двух видов - качественная и количественная. Банальный пример качественной шкалы приводится во многих методиках (низкая ВРУ, средняя ВРУ, высокая ВРУ). Что значит низкая, средняя и высокая - не совсем понятно. Расшифровать такую шкалу довольно просто, например, низкая ВРУ - угроза ИБ ни когда не реализуется; средняя ВРУ - угроза ИБ реализуется с вероятностью 50% и т.д. Не самый хороший вариант шкалы, но и не самый плохой ;).

Примеров с количественной шкалой не меньше чем с качественной, например, (0;0,25) - низкая ВРУ, [0,25;0,5) - средняя и т.д. Как эксперт будет определять количественное значение 0,25 или 0,27 и в чем разница - известно только ему, но он эту тайну ни за что не продаст ;).

Не стоит забывать и о компетентности эксперта (не имеет значение внутренний он или внешний), который будет оценивать значение ВРУ. Ведь оценка ВРУ специалистом по ИБ у которого от ИБ есть только диплом, а он уже лет пять работает администратором ИТ - вряд ли можно считать объективной. Процедуру оценки компетентности эксперта стоит продумать заранее. Одним из ключевых моментов в такой процедуре, являются критерии оценки, которые можно представить, например, в таком виде:

1. Наличие высшего образования по направлению ИБ (да-1, нет-0).

2. Наличие сертификатов по направлению ИБ (да-1, нет-0).

3. Прохождение последнего повышения квалификации (менее трех лет назад - 1, более трех лет назад -0)

4. Опыт работы

и т.д.

Далее нормируем значение оценки, что бы величина изменялась в пределах от 0 до 1.

На выходе Вы получаете некое значение компетентности эксперта которое в дальнейшем будет учитываться при определении ВРУ = компетентность * ВРУn. Например, эксперт проставил ВРУ1=0,25; ВРУ2=0,5, а значение оценки компетентности = 0,4, следовательно, ВРУ1= 0,1 и ВРУ2=0,2.

Основные недостатки подхода:

1. В конечном итоге, получаются субъективные оценки, даже не смотря на введеное значение коэффициента компетентности эксперта, которое безусловно приближает значение ВРУ к объективному.

2. Сложность в выборе количества интервалов качественной и количественной шкалы. Небольшое количество интервалов может привести к тому, что значение ВРУ актуальных угроз будет занижена. Большое количество интервалов сказывается на работе эксперта, в частности, проблема выбора интервала для определенной угрозы ИБ.

3. Значения ВРУ могут умышленно занижаться (внутренний эксперт) и завышаться (внешний эксперт).

К вопросу о втором подходе оценки ВРУ вернусь позже.

Идентификация угроз ИБ (часть 2)

Ну, хорошо, определились с целью и выбрали один вариант из трех, предложенных в предыдущем посте. Переходим к формированию угроз ИБ. Написали полный список возможных угроз ИБ. Что делать дальше? Я бы выделил три пути решения:

1. Сформировать для каждого актива полные перечни угроз ИБ.

Для примера, 20 активов и 15 угроз, каждая из которых может воздействовать на каждый актив. В итоге получаем 300 значений риска по каждой угрозе для каждого актива. Хорошо если 250-270 значений будут принимать значение "допустимый" :).

Недостатки: огромный объем рутиной работы.

Преимущества: контрмеры формируются к конкретным угрозам ИБ для конкретных активов, а не к "абстрактным".

2. Распределить все угрозы ИБ для объекта по трем базовым - конфиденциальность, целостность, доступность. 

В случае с 20 активами и 3-мя угрозами, картинка выглядит проще - 60 значений.

3. Объединить три базовые угрозы ИБ в одну "комплексную угрозу" для объекта.

Для случае с 20 активами и одной "комплексной угрозы" - 20 значений. 

Преимущества 2 и 3 решения: резкое снижение рутиной (вычислительной) работы.

Недостатки 2 и 3 решения: невозможность определить, какая из угроз ИБ вносит большее влияние на значение риска ИБ, что может привести к формированию не адекватных контрмер, которые в свою очередь не понизят уровень риска до "допустимого", а оставят на прежнем уровне.

С точки зрения представления результатов оценки рисков: первый вариант хорош для специалистов по ИБ, которым нужно сформировать адекватные контрмеры; второй вариант для руководителей ИБ, которым не обязательно знать что конкретно происходит, но нужно видеть общую картину по направлениям конфиденциальность, целостность и доступность; третий вариант для топов, так как им совершенно не нужно вдаваться в тонкости, а необходимо проанализирвать общую тенденцию по рискам ИБ в организаци.

Если путь решения формирования перечня угроз намечен, то возникает следующий вопрос: "Как оценить вероятность реализации угроз ИБ?". На сколько полученные значения объективны? Об этом в другой раз.

Идентификация угроз ИБ (часть 1)

Как я уже отмечал, в процессе оценки рисков ИБ необходимо выделить "все" возможные угрозы ИБ. В зависимости от того какую цель вы преследуете можно идентифицировать угрозы ИБ для:

1) информационной системы (ИС) в целом;

2) конкретных автоматизированных систем (АС), (АРМ, серверов, коммуникационного оборудования);

3) конкретных информационных активов.

В чем разница и как влияет каждый из подходов на конечный результат оценки рисков ИБ?

Если Вы выделяете угрозы для ИС в целом, то должны быть готовы к тому, что на выходе у вас получится "риск, который можно представить высшему руководству компании". Работать с таким значением риска крайне затруднительно. Судите сами, если у вас есть ИС, которая состоит из нескольких АС, которые в свою очередь состоят из комплекса АРМ, серверов и коммуникационного оборудования и есть угроза для ИС - нарушение доступности. Нарушение доступности информации в результате отказа тех. средств сервера или переполнения канала связи или переполнения буфера приложения или удаления информации пользователем и т.д. Полнейшая неопределенность :). Так что первый вариант с результирующим значением риска подойдет для того, что бы сверкнуть графиками по текущему уровню риска ИБ перед топами и возможно выбить деньги на финансирование проекта DLP, защищенного документооборота и т.д.

Второй вариант является предпочтительнее первого, так как на выходе Вы получаете риск по угрозам для конкретного объекта АС. Но существуют некоторые ограничения на такой подход. Если вернуться к примеру о нарушении доступности, то становится понятным что нарушается доступность информации путем отказа технических средств. Возникает следующий вопрос: "а доступность какой информации нарушается?!" На сервере может храниться и обрабатываться информация из различных прикладных программ. Требования к доступности одних информационных ресурсов может быть выше, чем к другим (предельное время простоя одних - 1 час, других - 10 часов). В итоге снимаем неопределенность выбора контрмер в направлении технических компонентов, но оставляем ее для информационных ресурсов.

Самым адекватным подходом, если Вы хотите реально определить вектор движения в области ИБ Вашей организации, является третий. Используя его, вы определяете конкретные угрозы для конкретной информации, например, для БД клиентов, для таблиц маршрутизации, для новых проектов, для стратегии финансового развития организации и т.д. В результате, на выходе Вы получаете значение риска по конкретной информации, что снимает неопределенность по выбору конкретных контрмер. 

Казалось бы, что все довольно просто, если бы ни одно НО: "Какие угрозы могут воздействовать на ресурсы информационной системы, и по каким принципам их формировать?" 

Оценка рисков нарушения ИБ

Процесс оценки рисков информационной безопасности (ИБ) порождает множество вопросов и проблем о которых я и хочу рассказать. В серии постов по данному направлению начну с типового подхода к оценки рисков ИБ и по мере публикаций раскрою основные сложности по выполнению такого рода работ. Ни для кого, ни секрет, что оценка рисков ИБ является актуальным направлением в области обеспечения ИБ. Главным образом актуальность заключается в возможности прогнозировании величины риска и принятию превентивных мер по снижению уровня риска до приемлемего. Довольно часто в случае неудачи в каком-либо деле можно услышать фразу: "знал бы где упаду, подстелил бы соломинку". Так вот процесс оценки рисков ИБ предупреждает Вас о том, что в определенных местах Вы можете упасть и лучше бы подстелить соломинку. 

Оценка рисков, в классическом понимании, включает в себя следующие этапы:

1. Описание объекта исследования (организационной структуры предприятия, технологического процесса обработки информации ограниченного доступа, субъектов доступа в информационную систему (ИС), объектов доступа в ИС, топологию сети, существующие организационные, программно-аппаратные и технические меры защиты информации и т.д.).

2. Идентификация угроз ИБ (процесс выявления всех возможных угроз; тут Вы можете определять угрозы как на уровне ИС, так и на уровне отдельного физического объекта ИС или информационного актива ИС - все зависит от требуемого уровня детализации). 

3. Оценка вероятности реализации угроз ИБ (может определяться по качественной или количественной шкале, в зависимости от поставленной конечной цели)

4. Оценка ущерба от реализации угроз ИБ (стоимость потерь, которые могут быть выражены в виде финансовых убытков и/или потери деловой репутации и/или правовые и нормативные издержки, так же как и в 3. ущерб может оцениваться как по качественной шкале, так и по количественной).

5. Расчет риска ИБ (в зависимости от того, какая степень детализации на этапе 2. была принята, риск ИБ может быть рассчитан для информационного актива, физического объекта ИС и/или ИС в целом). Простейшая формула, довольно часто используемая на практике, РИСК = Вероятность реализации угрозы ИБ * Ущерб от реализации угрозы ИБ. Как правило риск выражается в денежных единицах руб., $ и т.д.

Полученные результаты передаются в процесс управления рисками ИБ, но это уже другая история.

Подготовительные работы к аттестации ЗП

Аттестация защищаемого помещения (ЗП) и автоматизированной системы (АС) являются разными процессами, которые требуют от заказчика разработать и приняьб ряд документов. Перечень таких документов необходимых для аттестации АС я уже описывал тут. Теперь рассмотрим перечень необходимых документов, со стороны заказчика, для аттестации ЗП:

1. Приказ об организации защищаемого помещения (вполне рабочий документ, который определяет где помещение находится, ответственного за помещение, ответственного за работу с основными и вспомогательными техническими средствами).

2. Перечень лиц имеющих право доступа в ЗП (перечень лиц имеющих право самостоятельного доступа в ЗП и перечень лиц, которые имеют право находится в ЗП в момент проведения конфиденциальных мероприятий).

3. Технический паспорт на ЗП (форма есть в СТР-К).

4. Инструкция ответственному за ЗП (обязанности ответственного в области предотвращения утечек информации по тех. каналам и от прослушивания + общие обязанности и ответственность).

5. Инструкция по эксплуатации средств защиты (как и когда включать активные средства защиты, например Сонату).

6. Акты установки средств защиты.

6-ть против 17 документов для АС - это уже проще.