Оценка рисков нарушения ИБ (ISO 27005-2008)

Почитал подход к оценки рисков нарушения ИБ в международном стандарте ISO 27005-2008 "Управление рисками информационной безопасности" (знаю, что есть редакция от 2011г., но исходные тексты не получилось достать) он же британский стандарт  BS7799-3 в первоисточнике.

Оценка рисков нарушения ИБ проводится в соответствии со следующими этапами:

1. Идентификация активов (необходимо выделить конкретные активы (люди, информация, сервисы, техника), которые являются критичными в организации - ни чего нового :) ).

2. Идентификация нарушителей ИБ (необходимо построить "модель нарушителей", указав тип нарушителя, его мотивацию и возможные последствия от действий такого нарушителя, например тип нарушителя - "хакер", мотив - "самоутвердиться в определенном кругу лиц", последствия - "взлом веб-сервера организации и подмена главной страницы").

3. Идентификация существующих требований ИБ законодательства и партнеров (в процессе оценки рисков, необходимо учитывать как собственный опыт и статистику инцидентов ИБ в конкретной области, так и требования законодательства по ИБ и требования партнеров организации).

4. Идентификация угроз ИБ (в приложении C стандарта 27005 есть таблица с типовым перечнем угроз ИБ, например, тип - "отказ в обслуживании сервисов ", угроза - "отказ каналов связи", может быть - "преднамеренный" или "случайный" и т.д.).

5. Оценка вероятности реализации угроз ИБ (предлагает использовать качественную шкалу с ранжированием вероятности на низкую - "маловероятно, что угроза осуществится, так как не существует объективных предпосылок (инцидентов в прошлом, мотивов и статистики) к ее реализации, среднюю - "..." и высокую "...."").

6. Идентификация уязвимостей (в приложении D стандарта есть таблица с типовыми уязвимостями, например, уязвимость "аппаратных средств" - "неэффективное конфигурирование" - "в результате ошибки в использовании" и т.д. ).

7. Оценка уязвимостей (аналогичная трехуровневая качественная шкала вероятности использования уязвимости: очень вероятно - "уязвимость легко использовать, и существует слабая защита или защита вообще отсутствует"......).

8. Оценка стоимости актива ( шкалу оценки стоимости предлагается разработать самой организации с учетом специфики ее функционирования, но в примере предлагается использовать четыре значения от 0 до 4 без привязки к конкретной стоимости).

9. Вычисление рисков ИБ (риск вычисляется по таблице позиционирования значений вероятности угроз, вероятности использования уязвимости и стоимости актива. Значение риска может изменятся в диапазоне от 0 до 8. В результате, по каждому активу вы получите список угроз с различными значениями риска).

10. Ранжирование рисков ИБ или ранжирование угроз ИБ (для того чтобы определить каким рискам необходимо уделить внимание, а какие можно отложить, существует таблица и шкала ранжирования рисков. Ранги рисков - "низкий (0-2)", "средний (3-5)" и высокий(6-8). Либо можно отранжировать угрозы по значению риска, но для этого вероятность реализации угроз должна быть определена количественно. Основной принцип ранжирования заключается в присвоении высшего ранга той угрозе, по которой значение риска выше, и низшего ранга той угрозе, по которой значение риска меньше).

Преимущества подхода:

1. Наличие шаблона типовых нарушителей ИБ, из которых организация может выбрать актуальных для своей деятельности; наличие самого факта идентификации нарушителей ИБ :).

2. Наличие типовых угроз и уязвимостей, что позволяет специалистам сократить время на сбор и изучение информации о существующих уязвимостях.

Недостатки:

1. Пока что это стандарт ISO, а не ГОСТ Р ИСО/МЭК, хотя тут утверждают, что 01.12.2011 мы увидем "российскую" редакцию ;).

2. Если значение риска по 10-ти угрозам - одинаковое, что делать? Такой тривиальный подход к ранжированию не будет работать.

Оценка рисков нарушения ИБ (РС БР ИББС-2.2-2009)

Раз уж тема пошла про финансовый сектор, то стоит отдельно рассмотреть документ - рекомендации Банка России "Методика оценки рисков нарушения информационной безопасности" (РС БР ИББС-2.2-2009).

Оценку рисков предлагается проводить в соответствии со следующими процедурами:

1. Определение перечня типов информационных активов (к типам информационного актива относится конкретная информация, например информация о кредитуемых лицах, информация о вкладчиках, информация о стратегическом развитии организации и т.д., стоит отметить что в этой же процедуре предлагается определить какое свойство нарушения ИБ актуально для каждого типа информационного актива, т.е. нарушение конфиденциальности целостности, доступности, аутентичности и т.д.).

2. Определение типов объектов среды, соответствующих каждому из типов информационных активов (типы объектов среды определяются в стандарте СТО БР ИББС-1.0-2010 и включают в себя в себя такие типы как физический, уровень ОС, уровень СУБД и т.д. Довольно правильный подход с учетом того, что угрозы на уровне ОС и угрозы на уровне СУБД - различные).

3. Определение источников угроз для каждого из типов объекта среды (источники угроз определяются на основании модели угроз, получается что построение модели угроз выпадает из процесса оценки рисков :( ).

4. Оценка степени возможности реализации (СВР) угрозы ИБ (предлагается оценивать СВР по качественно-количественной шкале, т.е. "нереализуемая угроза" -0%, "средняя - от 21% до 50%" и т.д.).

5. Определение степени тяжести последствий для типов информационных активов (так же как и в п.4 предлагают оценивать с использованием качественно-количественной шкалы, т.е. "минимальное - 0,5% от величины капитала банка", "высокое - от 1,5% до 3% от величины капитала банка". Тут я и задумался!? А сколько это "в граммах"? На сайте http://www.cbr.ru/ нашел величину уставного капитала Сбербанка - 67 млрд., берем 0,5% получаем минимальное значение степени тяжести - 335 млн. У меня такое впечатление, что эта сумма "немного" завышена).

6. Оценка рисков нарушения ИБ (если оцениваем риск качественно, то используем обычную табличку соответствия степени тяжести и вероятности, а если хотим получить количественную оценку, то перемножаем вероятность на степень тяжести - ни чего нового :) ).

Преимущества:

1. Можно получить как качественные оценки, так и количественные оценки.

2. Наличие шаблонов, которые регламентирую результат работы каждой процедуры оценки рисков.

Недостатки:

1. Модель угроз формируется отдельно от процесса оценки,

2. Узкая направленность стандарта на банковский сектор, что не позволяет применить стандарт к другим областям деятельности (3% от уставного капитала среднестатистической компании составляет 300 руб. ;) ).

3. Некоторые аспекты проясняются только в приложениях к стандарту, например о необходимости определения защитных мер и способов реализации угрозы ИБ;

4. Методика направлена на оценку рисков только информационных активов, но не стоит забывать что в организации есть и физические активы и программные, которые также влияют на ИБ всей организации ;).

Оценка рисков нарушения ИБ (ISO/ГОСТ Р 13569)

Расскажу об очередном "российском" стандарте ГОСТ Р ИСО/ТО 13569. Финансовые услуги. Рекомендации по информационной безопасности.

Процесс оценки рисков ИБ состоит из следующих трех этапов:

1. Оценка рисков потенциальных угроз для каждой зоны уязвимостей.

2. Присвоение комбинированного уровня риска каждой зоне уязвимости.

3. Определение подходящих политик ИБ и защитных мер.

Сразу и не поймешь, что нужно делать то!? И в памяти всплывает бородатый анекдот: "Американцы у русских купили самолет. Первый раз собирают - получается трактор, второй раз - трактор и третий раз - трактор. Пригласили русского Ваню. Он говорит: "дайте мне напильник и закройте в ангаре на сутки". Дали напильник. Приходят через сутки - стоит самолет. Американцы спрашивают - а как так получилось. Ваня отвечает - внимательно читайте инструкцию - после сборки тщательно обработать напильником".

Я вооружился "напильником" и вот что получилось. В процессе оценки рисков ИБ необходимо осуществить следующие действия:

1. Описать информационную систему (классический процесс, о нем писать не буду).

2. Идентифицировать уязвимости (в качестве уязвимостей стандарт предлагает рассматривать уязвимости персонала, помещений, оборудования, приложений и программные средства среды - если есть желание, то этот список можно расширить, но мне кажется он довольно исчерпывающий).

3. Идентифицировать угрозы ИБ (для каждой уязвимости, предлагается по четыре одинаковых угрозы ИБ, сразу скажу, что этого не достаточно для того что бы получить полную картину состояния ИБ организации и как следствие, придется перечень угроз расширять).

4. Определение вероятности реализации угрозы (экспертный подход с использованием комбинированной шкалы "качественно-количественной", хочу отметить что предлагаемая шкала является простой и привязана к такому параметру как возможность возникновения в интервале времени, например, "пренебрежимо мало - один раз в 1000 лет или реже", "возможна - один раз в 5-ть лет" и т.д., всего 9 границ градации).

5. Определение степени влияния угрозы на репутацию, финансовые показатели, качество обслуживания и т.д. (экспертный подход с использованием качественно-количественной шкалы, приведу только один пример так как остальные можно посмотреть в стандарте, "очень незначительное влияние - нападки на банковскую систему в местном радио и местной прессе и/или незначительное количество эксплуатационных проблем, не оказывающих влияние на качество обслуживания клиентов и/или правовые обязательства от участника клиринга не выполняются в установленные законом сроки и/или убытки в размере $1000" и т.д., всего 9 границ градации)

6. Оценить и проранжировать риск по каждой угрозе ИБ (классическая таблица позиционирования вероятности и влияния, по которой выбирается ранг риска).

7. Исходя из 4-го этапа, оценить обобщенный риск для уязвимости (не информативное действие, результат которого можно использовать только в качестве иллюстрации для топов при обосновании бюджета по ИБ).

8. Выбрать защитные меры для снижения уровня риска (об этом позже).

Вот как-то так получилось из трех этапов - 8 :).

Преимущества подхода:

1. Интуитивно понятную градацию в шкалах оценки вероятности и влияния угроз ИБ;

2. Применение подхода к ранжированию рисков, что дает представление о том, на какие риски нужно обратить внимание в первую очередь, а какими можно пренебречь в настоящий момент. Понравилось следующее выражение в стандарте: "Оцениваемые уровнем 5 (максимальным) риски, подлежат немедленному устранению, а не продолжению оценки рисков".

Недостатки:

1. Узкая направленность стандарта на финансовый сектор. Применять в чистом виде, например, шкалу влияния угроз для организаций других видов - не получится.

Требования к СЗПДн регуляторов vs серия 13335

Свои впечатления о базовой модели угроз ПДн от ФСТЭК я уже писал тут. А вот какой цикл в построение СЗИ предлагает серия стандартов 13335 - я и хочу рассказать в сегодняшнем посте.

Всего существует пять частей стандарта 13335 - Методы и средства обеспечения безопасности.

Часть 1 - Концепция и модели менеджмента безопасности информационных и телекоммуникационных технологий.

Часть 2 - Управление и планирование защиты ИТ - отменен. На замену ему пришел 13335 Часть 1. Логика не понятна!? Ну да ладно.

Часть 3 - Методы менеджмента безопасности информационных технологий.

Часть 4 - Выбор мер защиты.

Часть 5 - Руководство по менеджменту безопасности сети.

Есть информация, что готовят еще несколько частей, но будем рассматривать то, что есть в наличии :).

Особое внимание хочу уделить Части 3 и части 4 этого стандарта.

Про оценку рисков, на основании Части 3, я писал в предыдущем посте. Но это только вариант "Детального анализа рисков", а еще стандарт регламентирует возможность использования следующих вариантов оценки рисков нарушения ИБ:

1. Базовый подход (организация осуществляет выбор защитных мер из предлагаемого списка в части 4 в соответствии с некими характеристиками, присущими системе).

2. Неформальный подход (организация выбирает защитные меры основываясь на суждениях некого эксперта).

3. Комбинированный подход (организация выбирает защитные меры основываясь на детальном анализе рисков с привлечением экспертов для систем с высоким уровнем критичности, и основываясь на базовом подходе с привлечением экспертов для систем с низким уровнем критичности).

Хочу заострить внимание на построении СЗИ с помощью базового подхода.

Что предлагается сделать:

1. Идентифицировать тип системы:

1.1. автономная рабочая станция;

1.2. автономная рабочая станция без возможности коллективного использования и выходом в сеть интернет и т.д.

2. Идентифицировать физические условия и условия окружающей среды:

2.1.  Параметры территории и здания (параметры характеризующие безопасность, в п.7.2. Части 4 расписаны подробные параметры).

2.2. Управление доступом в здание и помещения (в п.7.2. Части 4 расписаны подробные параметры).

и т.д.

3. Оценка существующих/планируемых мер обеспечения безопасности.

Вам такие действия ни чего не напоминают? А вот мне напоминают оценку исходного уровня защищенности из базовой модели угроз безопасности ПДн от ФСТЭК. Только в этом варианте все детали продуманы гораздо лучше и учтены реальны факторы, влияющие на безопасность. В нашем же случае сам факт наличия распределенной ИСПДн говорит о том, что уровень исходной защищенности - низкий. А то что там стоит сертифицированная криптография - это поровну. 

Идем дальше, по результатам оценки у нас должна сложиться картинка о существующих организационных и технических мерах защиты информации и о существовании возможных уязвимостей. Дальше необходимо выбрать комплекс средств защиты, который и составит СЗИ.

Весь комплекс защитных мер распределяется на две составляющие:

1. Организационные и физические защитные меры.

1.1. Политика и управление безопасностью ИТ.

1.2. Проверка соответствия безопасности установленным требованиям.

1.3. Обработка инцидентов.

1.4. Физическая безопасность и т.д.

2. Специальные защитные меры систем ИТ.

2.1. Идентификация и аутентификация.

2.2. Логическое управление и аудит доступа и т.д.

Алгоритм выбора специальных защитных мер заключается в наличии табличке позиционирования защитных мер и типа информационной системы, организационные и физические меры определяются на основании наличия/отсутствия необходимой защитной меры.

Вот такой подход нужно было брать за основу нашим регуляторам. Тогда бы и появился смысл понятий "типовая ИСПДн" и "специальная ИСПДн". Для типовых, вполне достаточно было бы базового подхода к построению СЗИ, а для специальных - либо детальный, либо комбинированный. И признак отнесения к типовой и специальной нужно сменить, например, ИСПДн 4 и 3 являются типовыми, а 2 и 1 - специальными или 4,3,2 - типовые, а 1 специальные.

Оценка рисков нарушения ИБ (ISO/ГОСТ Р 13335-3)

Национальный стандарт Российской Федерации :). Методы и средства обеспечения безопасности. Часть 3. Методы менеджмента безопасности информационных технологий.

Основной подход к оценки рисков нарушения ИБ, заключается в последовательном выполнении следующих этапов:

1. Установление границ рассмотрения.

2. Идентификация активов.

3. Оценка активов.

4. Оценка угроз.

5. Оценка уязвимостей.

6. Идентификация существующих/планируемых мер защиты информации.

7. Расчет риска.

По сравнению с классическим подходом оценки рисков ИБ в предлагаемом подходе добавляется 5 и 6 этап.

Оценка уязвимостей подразумевает не только уязвимости программного обеспечения, но и уязвимости процедур, персонала, менеджмента и т.д. Это существенно, так как нужно четко осознавать, что понятие "уязвимости" гораздо шире чем "уязвимость программного обеспечения".

Идентификация существующих мер защиты - я бы поставил этот этап перед оценкой угроз, так как вероятность реализации угроз ИБ на прямую зависит от организационных, программно-аппаратных и технических средств защиты, установленных в информационной системе.

К расчету риска, в отличии от стандарта NIST 800-30 предлагается оценивать риск по трем факторам: РСИК = Pугр*Pуязв*Cактива, где новый компонент Pуязв - вероятность наличия уязвимости.

В качестве примера шкалы Pугр, Pуязв приведена качественная шкала: низкая, средняя, высокая. В качестве шкалы оценки Cактива - числовые значения в интервале от 0 до 4. Сопоставить им качественные значения предлагается организации.

Преимущества:

- при расчете риска учитываются и угрозы ИБ и уязвимости;

- угрозы оцениваются с учетом существующих и планируемых к применению средств защиты;

- стоимость активов предлагается оценивать владельцам информации;

- определяется необходимость учитывать возможность одновременного воздействия двух разных угроз ИБ на один актив.

Недостатки:

- экспертные оценки всех трех параметров риска;

- сложности в идентификации уязвимостей (так как "уязвимость" не равно "уязвимость ПО");

- проблемы связанные с объемами вычислений (помимо того что на один актив могут воздействовать разные угрозы сами по себе, так они могут воздействовать совместно в различных вариантах, например, в результате пожара, ноутбук с информацией может сгореть, а может быть украден, а может быть залит водой в ходе тушения пожара, а сколько таких вариаций может быть - боюсь даже представить).

Расчет риска нарушения ИБ (NIST 800-30)

Вот я и добрался до одного из ключевых этапов - "расчет значения риска нарушения ИБ". Существует большое количество формул, которые характеризуют различные подходы к оценки рисков, но я считаю, что все они, в той или иной степени, вышли из национального стандарта США Risk Management Guid for Information Technology Systems (NIST 800-30), разработанного департаментом финансов.

В стандарте предлагается, как уже принято говорить, классическая формула расчета риска нарушения ИБ: РИСК = Pугр * Cактива, где Pугр - вероятность реализации угрозы ИБ (применяется смесь качественной и количественной шкалы), а Cактива - степень влияния угрозы на актив (цена актива в качественной шкале и количественной). В итоге получаем значение риска в относительных единицах и ранжируем по степени значимости. Далее берем все это добро и думаем, что же с ним делать дальше.

Отвлеченно, почему Россия всегда так плохо копирует зарубежный опыт? Пример банальный, в большинстве российских стандартов применяется форму аналогичная NIST 800-30 за редким исключением. Cактива - выражается в 100000... руб или $. Таким образом РИСК у нас получается в руб. или $ или.... Отдаленно вспоминая университетский курс "Базы знаний", твердо знаю, что совершать операции с значениями из различных шкал (безразмерная величина * на размерную) - нельзя, ан нет можно ;).

Идентификация угроз ИБ (о чем забыл написать)

Забыл написать о самом главном, что в результате идентификации угроз ИБ должна получиться модель угроз ИБ. Как ее сформировать и что в нее должно входить? Об этом мой сегодняшний пост.

Классически выделяют три основных угрозы ИБ: угроза нарушения конфиденциальности, целостности и доступности. Каждая из этих угроз может быть реализована определенным источником угроз, который применяет определенный способ несанкционированного доступа и совершает определенные несанкционированные действия с определенными активами.

Таким образом, модель угроз ИБ можно выстроить в виде совокупности следующих цепочек: "Источник угрозы"-"Способ НСД к активам"-"Уровень реализации угрозы ИБ"-"НСД с активами"-"Тип актива"-"Нарушение характеристики безопасности".

Никаких определений только примеры: 

Источники угроз - носители информации, нарушители и т.д.

Способ НСД к активам - взлом системы идентификации, внедрение вредоносного ПО, атака с использованием существующих привилегий пользователя и т.д.

Уровень реализации угрозы ИБ - уровень операционной системы, уровень СУБД, физический уровень и т.д.

НСД с активами - копирование, модификация, передача по каналам связи и т.д.

Тип актива - файл данных, база данных, программное обеспечение и т.д.

Нарушение характеристик безопасности - конфиденциальность, целостность и доступность.

Пример,

Внешний нарушитель (описание не привожу) - взлом системы идентификации и аутентификации - уровень ОС - копирование, изменение, удаление - файлы данных (планы стратегического развития организации) - конфиденциальность, целостность, доступность.

В этом описании содержится три угрозы ИБ, в частности внешний нарушитель, взломав систему идентификации и аутентификации получил доступ к файлам в операционной системе, что позволяет ему:

1 угроза: скопировать файл и тем самым нарушить их конфиденциальность;

2 угроза: внести изменения в файл и тем самым нарушить целостность;

3 угроза: удалить файл и тем самым нарушить его доступность.

Вот так и получается адекватная модель угроз :). На такие мысли меня натолкнули рекомендации Банка России "Методика оценки рисков нарушения информационной безопасности" РС БР ИББС-2.2-2009, который по законному праву появляется в моей колонке "Нормативка по ИБ".

Оценка ценности активов!?

Вероятность реализации угроз ИБ оценили? Тогда переходим дальше. А дальше необходимо оценить ценность активов. В информационной системе можно выделить три основных типа активов: информационные (информация в файлах и базах данных), технические (сервера, АРМ, маршрутизаторы, каналы связи и т.д.) и программные (системное и прикладного программное обеспечение).

Опять переходим к шкалам. Первый вариант - качественная шкала, например, легкое влияние угрозы ИБ на актив - очень низкое влияние на репутацию организации и очень низкие финансовые потери, умеренное влияние - ............. и т.д. Шкала вполне пригодная, но как всегда возникает вопрос: что значит "очень низкие финансовые потери? Это 1000 или это 100000. Для одной организации очень низкие потери в 1000, а для другой в 100000." Конечно, для каждой организации необходимо проработать индивидуальную шкалу оценки.

Второй вариант - количественная шкала, характеризующая стоимость конкретного актива. Если с программными и техническими активами все более менее понятно (стоимость сервера - 50000 за минусом амортизации = итоговая стоимость сервера), то с информационными активами все не так очевидно. 

Давайте рассмотрим несколько случаев:

1. Нам необходимо оценить стоимость информации, которая относится к коммерческой тайне, в частности план развития организации на 2011-2016гг (планы о расширении производства, получения дополнительной прибыли, развитие информационной инфраструктуры, ребрендинг продукции, выпуск новой продукции и т.д.), который хранится в конкретном файле Plan.doc. Для меня, очевидно, что стоимость такой информации равна совокупной планируемой прибыли в результате реализации этого плана. Почему так? Если организация-конкурент получит такую информацию, то приступит к реализации этих планов намного быстрее, чем организации разработчик. Что в итоге? В итоге мы получаем недополученную прибыль первой организации в результате реализации плана или пересмотр своей стратегии (на что требуются дополнительные затраты) и т.д. Основной вывод: стоимость коммерческой тайны = количеству прибыли, которую может получить ее владелец.

2. Нам необходимо оценить стоимость информации, которая содержится в правилах фильтрации межсетевых экранов, сертификатах закрытых ключей шифрования и ЭП. С помощью качественной шкалы и метода "палец в небо" можно что-то оценит, но нужна ли такая оценка - как по мне, так нет :). Оценить количественно стоимость информации в правилах фильтарации - практически невозможно. Если злоумышленник взломал наш межсетевой экран (пусть подобрал пароль к учетке админа) и изменил правила фильтрации, которые часть информационного потока (внутренней корпоративной почты или icq) перенаправляют ему. Чем это опасно? Сотрудники, общаясь внутри организации, передают большой поток информации ограниченного доступа, которую может получить например конкурент. Далее события развиваются по первому сценарию. Но какую информацию конкретно он перехватит - это не известно, что и не позволяет оценить ее стоимость. Как следствие, оценить стоимость информации в правилах фильтрации - невозможно.

В качестве коротенького заключения хочу сказать, что такое мнение у меня выработалось со временем, но я не исключаю того, что оно может измениться после прочтения книги "Оценка нематериальных активов" авторов Рейли и Шварца, о которой я узнал из совместной статьи А. Волкова и А. Бондаренко.