Рубрика: Глава 4. Оценка информационных рисков

Неопределенность оценки риска

При оценке риска мы имеем дело с неопределенностью при оценке угроз, уязвимостей, контролей и последствий. Оперируя с неопределенными величинами, мы получаем в итоге также неопределенность. Любой оценке риска присуща значительная неопределенность. Понимание степени этой неопределенности крайне важно для правильной интерпретации результатов оценки. Неопределенность определяется величиной погрешности результатов оценки. Чувствительность оценки — это изменение оценки в зависимость от изменения конкретных входных параметров.

На самом деле, довольно часто значение риска, которое мы в итоге получаем, выражается ни каким-то одним числом (качественным уровнем или количественным ALE), а распределением вероятностей диапазона последствий. Ведь последствия, наступающие в результате реализации угроз, носят вероятностный характер. Например, системный сбой с определенной вероятностью может привести к значительному ущербу, но существует вероятность, что ущерба не наступит. Это может зависеть от конкретной ситуации. Поэтому мы будем иметь в данном случае ни одно значение риска, а распределение значений по вероятностям.

Подходы к оценке риска

Существует три подхода к оценке вероятностей (угроз, последствий и т.п.): статистика, прогнозирование и экспертные оценки. В третьем случае, помимо известного со школьной скамьи метода Дельфи, могут применяться также методы попарного сравнения, ранжирования по показателям оценки и абсолютных оценок. Но применять все это довольно сложно и дорого, поэтому применяется в основном, то что описано ниже.

Международный стандарт ISO/IEC 31010 определяет 31 метод оценки риска. Следующие методы можно комбинировать и применять на разных этапах оценки: идентификация риска, анализ угроз и последствий, определение уровня риска, оценивание риска:

1. Мозговой штурм
2. Структурированные или частично структурированные интервью
3. Метод Дельфи
4. Контрольные листы
5. Предварительный анализ опасностей (PHA)
6. Исследование опасности и работоспособности (HAZOP)
7. Анализ опасности и критических контрольных точек (HACCP)
8. Оценка токсикологического риска
9. Структурированный анализ сценариев методом «Что, если?» (SWIFT)
10. Анализ сценариев
11. Анализ воздействия на бизнес (BIA)
12. Анализ первопричины (RCA)
13. Анализ видов и последствий отказов (FMEA)
14. Анализ дерева неисправностей (FTA)
15. Анализ дерева событий (ETA)
16. Анализ причин и последствий
17. Причинно-следственный анализ
18. Анализ уровней защиты (LOPA)
19. Анализ дерева решений
20. Анализ влияния человеческого фактора (HRA)
21. Анализ «галстук-бабочка»
22. Техническое обслуживание, направленное на обеспечение надежности
23. Анализ скрытых дефектов (SA)
24. Марковский анализ
25. Моделирование методом Монте-Карло
26. Байесовский анализ и сети Байеса
27. Кривые FN
28. Индексы риска
29. Матрица последствий и вероятностей
30. Анализ эффективности затрат (CBA)
31. Мультикритериальный анализ решений (MCDA)

Практичные методы оценки риска

Методы оценки риска, которые мы реально применяем на практике, состоят в следующей:

1. Мозговой штурм (идентификация новых угроз, прогнозирование, поиск нестандартных решений за счет стимулирования образного мышления группы). В широком смысле, мозговой штурм — это любое обсуждение в группе.

2. Частично структурированные интервью — основной метод. Из-за ресурсных ограничений, недостатка времени, а также недостатка квалифицированных или заинтересованных специалистов, оценку риска чаще всего приходится проводить в одиночку, опрашивая всех, кто может предоставить какие-либо полезные сведения. До экспертных методов, предполагающих коллективное обсуждение, дело не доходит. Разве что на стадии согласования конечных результатов и принятия решений.

3. В случае, если вероятность события очень мала, а последствия очень значительны, стандартный количественный способов вычисления риска как значения среднегодовых потерь ALE не работает, т.к. по этому методу мы будем получать произведения бесконечно больших и бесконечно малых величин. Такие риски надо выделять в отдельную категорию и применять к ним методы анализа воздействия на бизнес (BIA) в рамках процесса управления непрерывностью бизнеса (BCM). Цели BIA — идентификация ключевых бизнес-процессов, систем и последствий нарушения их функционирования для бизнеса с целью планирования процедур и ресурсов для их восстановления. Способы реализации данного метода на практике все те же — интервью и мозговой штурм.

4. Анализ дерева событий (ETA) необходим, например, при анализе жизненного цикла сложных сетевых угроз (сценариев развития инцидента, атаки), когда в ходе пентеста мы получаем цепочку скомпроментированных хостов и целый набор взаимосвязанных уязвимостей, причем одна без другой не может быть использована.

Непрактичные методы оценки риска

Про остальные методы, описание которых можно найти в стандартах, можно сказать следующее.

Метод Дельфи — слишком трудоемкий и затратный по времени, поэтому он себя не окупает.

Различные методы структурированного анализа опасностей (HAZOP, HACCP, SWIFT и др.), во-первых, трудоемки, во-вторых, разработаны для специфичных областей применения, в третьих, предполагают групповую работу.

Народные методы оценки риска

Отметим, что на практике чаще применяются следующие не описанные в стандартах методы оценки риска, такие как:

1. Метод отрицания необходимости и/или возможности оценки риска
2. Метод отрицания наличия риска
3. Метод интуитивной оценки риска
4. Метод интуитивного принятия решений
5. Метод голосования
6. Метод голословных утверждений
7. Метод общих рассуждений
8. Моделирование угроз (российский метод)

Преимуществом данной группы методов является то, что они не ресурсоёмкие (за исключением моделирования нетиповых угроз) и самодостаточные (не требуют комбинирования с другими методами).

Прежде чем переходить к следующей главе, постарайтесь выполнить упражнения, которые позволят вам закрепить пройденное:

• Откалибруйте шкалу оценки рисков для своей организации с учетом стоимости вашего бизнеса, сопоставив количественные значения шкалам оценки ущерба, угроз и уязвимостей.
• Приведите примеры низкого, среднего и высокого риска вашей организации. Каким среднегодовым потерям эти риски соответствуют?
• Внимательно изучите Приложения № 5 и № 6. Все ли перечисленные там угрозы и уязвимости применимы к вашей организации? Можете ли вы что-либо добавить к данному списку?

Отчет об оценкерисков необходим для руководства и всех заинтересованных сторон, вовлеченных в процесс управления рисками. Другими словами, этот документ нужен для коммуникации рисков. Результаты оценки рисков могут служить предметом рассмотрения на заседании Управляющего комитета по информационной безопасности.

_____________________________________

Краткая структура отчета об оценке рисков:

• Введение

—         Основания, общие сведения

—         Цели и задачи

• Методология и результаты

—         Идентификация активов и требований

—         Оценка активов и последствий

—         Анализ угроз и уязвимостей

—         Вычисление и оценивание рисков

• Резюме рисков для руководства

—         Описание самых высоких рисков и причин их существования

• Приложения

—         Реестры активов, требований и рисков

—         Таблицы определения ценности активов и ущерба для бизнеса

______________________________________

Отчет об оценке рисков обычно включает в себя введение, краткое описание используемой методологии оценки рисков со ссылкой на соответствующие приложения и резюме рисков.

Важнейшей частью этого отчета является резюме рисков, адресованное руководству организации принимающему решения по рискам. В этом разделе в краткой повествовательной форме описываются самые высокие риски организации, на которые руководству следует обратить первоочередное внимание, с указанием ожидаемого среднегодового ущерба и перечислением уязвимостей, способствующих реализации данных рисков. По всем остальным рискам, оценочный уровень которых ниже, читатели отчета переадресуются к реестру информационных рисков.

Отчет об оценке рисков, как и другие документы по рискам, должен носить конфиденциальный характер и защищаться от несанкционированного доступа, наряду с другими секретами.

Конечно, на этом оценка рисков не заканчивается. Высокоуровневая оценка позволила расставить необходимые приоритеты, выявив и обосновав те группы рисков и механизмов контроля, которые имеют наибольшее значение. Для организаций с относительно невысокой степенью зависимости от информационных технологий этого уже может оказаться достаточно. Для остальных организаций потребуется дальнейшая детализация угроз, уязвимостей и механизмов контроля, в результате чего количество рассматриваемых групп рисков может возрасти с нескольких десятков до нескольких сотен.

В качестве примера, оценим величину информационного риска, связанного с хищением оборудования и (или) носителей информации собственными сотрудниками некой воображаемой организации (см. рис. 29). Для этого будем использовать откалиброванную выше качественную шкалу.

Сущность данной физической угрозы и способы ее осуществления известны каждому. Попытки хищения время от времени происходят во многих организациях,  о чем могут свидетельствовать как личные наблюдения, так и доступная статистика. Регулярность осуществления данной угрозы обусловлена сравнительной простотой ее осуществления и склонностью некоторых людей к воровству. Недостаточный уровень лояльности персонала, отсутствие серьезных проверок кандидатов на работу, большое количество случайных и временных людей в штате компании – это те факторы, которые повышают вероятность попыток хищения в данной воображаемой организации.

Приведенные соображения позволяют оценить вероятность угрозы хищения оборудования и (или) носителей информации сотрудниками организации как Среднюю, со средней ожидаемой частотой реализации ~ 1 раз в год. При этом реальное количество попыток хищения согласно накопленной статистике может лежать, например, в диапазоне от 0,5 до 5 попыток в течении года.

Общий уровень уязвимостей, способствующих успешному осуществлению данной угрозы в нашей воображаемой организации, оценивается с учетом следующих факторов:

• не производится регистрация оборудования и носителей информации, выносимых за пределы организации
• не регламентированы правила работы в зонах безопасности, включая серверные комнаты, в которых размещается наиболее критичное оборудование и носители информации

С другой стороны, в организации могут приниматься определенные меры по противодействию угрозе хищения, включающие в себя, например:

• наличие политики, регламентирующей правила работы сотрудников с мобильными носителями информации
• наличие политики возврата оборудования, носителей информации и документов при увольнении сотрудников из организации
• контроль входа-выхода на ресепшене сотрудниками охраны в сочетании с видеонаблюдением
• наиболее критичное оборудование и носители конфиденциальной информации размещаются в зонах безопасности, доступ в которые ограничен

Взвешивая перечисленные выше уязвимости с одной стороны и механизмы контроля – с другой, мы можем прийти к выводу о том, что далеко не каждая попытка хищения из организации будет успешной, а лишь примерно половина их них. Это позволяет нам оценить суммарный уровень уязвимости как Средний, что примерно соответствует 50% вероятности успеха в случае реализации данной угрозы.

В качестве информационного актива, в отношении которого рассматривается угроза хищения, возьмем для примера проектную документацию организации. Хищение носителя с проектной документацией может привести к попаданию данной информации к конкурентам и, как следствие, потере конкурентных преимуществ для организации. Кроме этого, попадание проектных документов в открытый доступ, может привести к нарушению конфиденциальности информации третьих лиц, являющихся клиентами данной организации. В результате придется уплачивать штрафы по искам этих третьих лиц на основании заключенных с ними соглашений о конфиденциальности. Помимо этого, репутации организации в данном случае будет нанесет ощутимый урон, который выльется, в конечном счете, в сокращении числа клиентов, заказов и уменьшении выручки.

Предположим, что по результатам обсуждения и анализа данных предполагаемых последствий с менеджерами организации ценность проектной документации была оценена по уровню 2, что соответствует среднему ущербу в 4 млн. руб. (см. раздел «Калибровка шкалы оценки рисков» выше). Реальный ожидаемый ущерб при этом может находиться, например, в диапазоне от 3 до 5 млн. руб.

Среднегодовой ущерб (ALE) рассчитывается по формуле:

ALE = [размер ущерба] × [количество инцидентов в год] × [вероятность успешной реализации угрозы].

В нашем случае, ожидаемый среднегодовой ущерб от физического хищения проектной документации,  вычисляется следующим образом:

ALE ~ 4 млн. × 1 × 0,5 = 2 млн. руб.

Это средний уровень риска, равный 4, согласно откалиброванной выше качественной шкале. Полученное значение ALEне является точным и всегда обозначает лишь порядок величины. Реальное ALEможет лежать в диапазоне от 0,3 до 3 млн. руб.

Из приведенного примера видно, что наша оценка риска не претендует на то, чтобы быть точной. Реально нас интересует лишь диапазон, в который попадает величина ALE. На практике этого вполне достаточно для ранжирования рисков и принятия экономически обоснованных решений по их обработке.

Как мы уже разобрались выше, качественная оценка риска, не привязанная к какой-либо количественной шкале, может быть полезна для правильной расстановки приоритетов, однако сама по себе не дает представления о масштабах возможной проблемы и вероятных потерях организации. Для того чтобы качественная шкала оценки риска приобрела смысл для руководства организации, необходимо сопоставить ей количественные диапазоны среднегодовых потерь организации. Эту процедуру мы называем калибровкой качественной шкалы оценки риска.

Среднегодовые потери мы выражаем в денежных единицах. Этот способ является наиболее естественным. В деньгах могут быть выражены практически любые виды потерь. Если речь идет об ущербе для имиджа и репутации организации, то, очевидно, что формирование имиджа и его восстановление стоит определенных денег и соответствующие расходы также можно оценить. Поддается денежной оценке и упущенная коммерческая выгода, и потеря конкурентных преимуществ, и моральный ущерб, и отток клиентов. Открытие и закрытие уголовных дел, снятие и назначение руководства, ученые степени и звания, а также решение любых других проблем, включая проблемы со здоровьем, стоит определенной суммы денег. За деньги нельзя купить разве что любовь и еще некоторые вещи, которые не имеют никакого отношения к информационным рискам (хотя даже такие устоявшиеся представления некоторыми прагматиками все же подвергаются сомнению).

Если денежные единицы в каких-то случаях не подходят в качестве меры возможного ущерба, то можно использовать и другие меры ущерба, такие, например, как уровень лояльности клиентов или доля рынка. Главное, чтобы эти меры были понятны и удобны для руководства организации, которое должно принимать осознанные решения, опираясь на результаты оценки рисков.

Рассмотрим пример калибровки качественной шкалы оценки риска, в ходе которой определенным уровням риска сопоставляются соответствующие размеры среднегодовых потерь.

Пусть мы имеем информационный актив, ценности которого присвоено значение 2, что согласно принятым в организации критериям оценки финансового ущерба соответствует потерям порядка 3–5 млн. рублей. Возьмем среднее значение размера ущерба ~ 4 млн. руб. (для нас важна не точность, а порядок величины).

Вероятность угрозы в отношении данного актива оценивается как С (средняя), что соответствует примерно одному случаю в год согласно принятой у нас шкале оценки угроз. Это также может быть 2 или 3 случая в год либо один случай в два года, но не 100 случаев в год (это мы считаем высокой вероятностью) и не один раз в пять лет (это мы считаем низкой вероятностью).

Уровень уязвимости данного актива в отношении рассматриваемой угрозы оценивается как С (средний), что примерно соответствует 50% вероятности успешного осуществления угрозы. Другими словами, мы ожидаем, что примерно каждая вторая попытка компрометации данного актива будет успешной.

Согласно приведенной выше таблице оценки риска, данным значениям ценности актива (2), угрозы (С) и уязвимости (С) соответствует уровень риска – 4.

Среднегодовой ущерб (ALE) рассчитывается по формуле:

ALE = [размер ущерба] × [количество инцидентов в год] × [вероятность успешной реализации угрозы].

В нашем случае имеем:

ALE ~ 4000000 × 1 × 0,5 = 2000000 руб.

Таким образом, принимая риск, равный 4, в данном случае организация должна смириться со среднегодовыми потерями в несколько миллионов рублей. Аналогичным образом вычисляются среднегодовые потери организации по каждому качественному уровню риска.

Организация в зависимости от масштабов своего бизнеса должна сама сформировать критерии оценки ущерба, шкалы оценки угроз и уязвимостей, а затем откалибровать свою качественную шкалу оценки риска. Так, если стоимость бизнеса организации составляет порядка 100 млн. руб., то для такой организации максимальный риск (равный 8 по нашей шкале) сопоставим с потерей всего бизнеса или его большей части. Минимальный уровень риска (равный 0 по нашей шкале) соответствует отсутствию среднегодовых потерь либо минимальным потерям, не превышающим, например, 10 тыс. руб. в год.

Для рассматриваемой организации откалиброванная качественная шкала оценки риска может выглядеть следующим образом:

• Низкий риск:

—         уровень 0 – 0 < ALE < 10 тыс. руб.;

—         уровень 1 – 10 тыс. руб. < ALE < 50 тыс. руб.;

—         уровень 2 – 50 тыс. руб. < ALE < 150 тыс. руб.

• Средний риск:

—         уровень 3 – 150 тыс. руб. < ALE < 300 тыс. руб.;

—         уровень 4 – 300 тыс. руб. < ALE < 3 млн. руб.;

—         уровень 5 – 3 млн. руб. < ALE < 10 млн. руб.

• Высокий риск:

—         уровень 6 – 10 млн. руб. < ALE < 30 млн. руб.;

—         уровень 7 – 30 млн. руб. < ALE < 50 млн. руб.;

—         уровень 8 – 50 млн. руб. руб. < ALE.

Ценность активов, вероятности угроз и уровни уязвимостей сопоставляются в следующей таблице.

При объединении ценности активов с угрозами и уязвимостями необходимо рассмотреть возможность создания комбинацией угроза/уязвимость проблем для конфиденциальности, целостности и/или доступности этих активов. В зависимости от результатов этих рассмотрений должны быть выбраны подходящие значения ценности активов, т.е. значения, которые выражают последствия нарушения конфиденциальности, или целостности, или доступности.

Использование этого метода может привести к рассмотрению одного, двух или трех рисков для одного актива, в зависимости от конкретной рассматриваемой комбинации «угроза/уязвимость». Если используются дополнительные свойства (такие, например, как аутентичность или неотказуемость), тогда для каждого актива и каждой комбинации «угроза/уязвимость» может вычисляться даже более трех рисков. В этом примере величина рисков определяется по шкале от 0 до 8:

• Величина риска в диапазоне от 0 до 2 соответствует относительно низкому уровню риска, который, как правило, может быть принят без дальнейшей обработки.
• Величина риска в диапазоне от 3 до 5 соответствует среднему уровню риска, который может требовать определенной обработки.
• Величина риска в диапазоне от 6 до 8 соответствует высокому уровню риска, который должен быть обработан в первую очередь.

Для многих организаций такой шкалы вполне достаточно. Однако ничто не мешает эту шкалу расширить, введя дополнительные уровни угроз, уязвимостей или ущерба (ценности актива).

Реестр информационных рисков – основной документ, описывающий текущую ситуацию с рисками в организации. Он формируется путем объединения таблицы ценности активов, таблицы оценки угроз и уязвимостей и таблицы величины рисков.

После идентификации угроз и уязвимостей необходимо оценить вероятность их объединения и возникновения риска. Это включает в себя оценку вероятности реализации угроз, а также того, насколько легко они могут использовать имеющиеся уязвимости.

Оценка вероятности угроздолжна учитывать природу угроз и особенности, присущие различным группам угроз, например:

• Преднамеренные угрозы. Вероятность преднамеренных угроз зависит от мотивации, знаний, компетенции и ресурсов, доступных потенциальному злоумышленнику, а также от привлекательности активов для реализации атак.
• Случайные угрозы. Вероятность случайных угроз может оцениваться с использованием статистики и опыта. Вероятность таких угроз может зависеть от близости организации к источникам опасности, таким как автомагистрали и железнодорожные пути, а также заводы, имеющие дело с опасными материалами, химическими веществами или бензином. Также географическое положение организации оказывает влияние на возможность возникновения экстремальных погодных условий. Вероятность человеческих ошибок (одна из наиболее распространенных случайных угроз) и поломки оборудования также должны быть оценены.
• Прошлые инциденты. Инциденты, происходившие в прошлом, иллюстрирующие проблемы в существующих защитных мерах.
• Новые разработки и тенденции. Они включают в себя отчеты, новости и тенденции, полученные из Интернет, групп новостей, от других организаций и консультантов.

Лучше всего получать информацию, используемую для оценки вероятности угрозы и величины уязвимости, от тех, кто непосредственно вовлечен в бизнес-процессы, находящиеся в условиях риска, а также от экспертов по безопасности, имеющих наибольший опыт в обращении с этими угрозами и уязвимостями. Также может быть полезным использование списков угроз и уязвимостей и взаимосвязей между угрозами и механизмами контроля из ISO 27002, приведенных в Приложении № 6.

Для оценкивероятности реализации угрозы может использоваться трехуровневая качественная шкала:

• Н– низкая вероятность. Маловероятно, что эта угроза осуществится, не существует инцидентов, статистики, мотивов и т.п., которые указывали бы на то, что это может произойти. Ожидаемая частота реализации угрозы не превышает 1 раза в 5–10 лет.
• С– средняя вероятность. Возможно, эта угроза осуществится (в прошлом происходили инциденты), или существует статистика или другая информация, указывающая на то, что такие или подобные угрозы иногда осуществлялись прежде, или существуют признаки того, что у атакующего могут быть определенные причины для реализации таких действий. Ожидаемая частота реализации угрозы – примерно один раз в год.
• В– высокая вероятность. Эта угроза, скорее всего, осуществится. Существуют инциденты, статистика или другая информация, указывающая на то, что угроза, скорее всего, осуществится, или могут существовать серьезные причины или мотивы для атакующего, чтобы осуществить такие действия. Ожидаемая частота реализации угрозы – еженедельно или чаще.

Такой трехуровневой шкалы обычно достаточно для первоначальной высокоуровневой оценки угроз. В дальнейшем ее можно расширить, добавив еще пару промежуточных уровней.

Таблица. Оценка вероятности угроз (фрагмент)

№	Группа угроз	Уровень	Примечание
	Угрозы утечки конфиденциальной информации
	Утечка конфиденциальной информации из сети по каналам связи (email, web, chat/IM и т.п.)Не целевое использование компьютерного оборудования и сети Интернет сотрудниками организации	С	Квалификация сотрудников досточно низкая и большинство каналов перекрыто, что снижает вероятность данной угрозы
	Утечка конфиденциальной информации на мобильных устройствах, носителях информации, ноутбуках и т.п.Не целевое использование компьютерного оборудования и сети Интернет сотрудниками организации	С	Угроза достаточно легко осуществима, однако ноутбуки и КПК не используются
	Прослушивание внешних каналов связи злоумышленниками	Н	Угроза не соответствует ценности информации

Общая вероятность инцидента также зависит от уязвимостей активов, т.е. насколько легко слабости активов могут быть использованы для успешного осуществления угроз.

Уязвимости, так же как и угрозы, могут быть оценены по трехуровневой качественной шкале. Значение уровня уязвимости показывает, насколько вероятно успешное осуществление угрозы с использованием данной уязвимости в случае, если эта угроза будет реализовываться. Соответствующие качественные уровни уязвимости могут быть определены, например, следующим образом:

• В– вероятно. Уязвимость легко использовать, и существует слабая защита или защита вообще отсутствует. Вероятность успешной реализации угрозы ~ 0.9 – 1.
• С– возможно. Уязвимость может быть использована, но существует определенная защита. Вероятность успешной реализации угрозы ~ 0.5.
• Н– маловероятно. Уязвимость сложно использовать, и существует хорошая защита. Вероятность успешной реализации угрозы ~ 0 – 0.1.

Так же, как и с угрозами, для первоначальной высокоуровневой оценки уязвимостей вполне должно хватить данной трехуровневой шкалы. В дальнейшем для более детальной оценки, при необходимости, сможем добавить еще пару промежуточных уровней.

Оценка вероятности угроз и величины уязвимостей заносится в таблицу, изображенную на рисунке, и в реестр информационных рисков, минуя промежуточную таблицу.

Таблица. Результаты оценки угроз и уязвимостей (фрагмент)

№	Группы угроз	Уязвимости	Вероятность угроз	Уровень уязвимости	Механизмы контроля
	НСД к ресурсам ЛВС компании со стороны внутренних злоумышленниковМаскарад, использование чужих пользовательских идентификаторов, раскрытие паролей и другой аутентификационной информации	Слабые пароли, отсутствие парольной политикиНаличие внутренних уязвимостей, обусловленных несвоевременным обновление ОСМониторинг действий пользователей не производится	С	В	Корректное управление доступомНизкая квалификация пользователей для осуществления НСД
	НСД к ресурсам ЛВС компании со стороны внешних злоумышленниковМаскарад, использование чужих пользовательских идентификаторов, раскрытие паролей и другой аутентификационной информации	Отсутствуют последние обновления на корпоративном файрволлеЕдинственный защитный барьерНаличие внутренних уязвимостей, обусловленных несвоевременным обновлением ОСОтсутствие системы обнаружения вторжений (IDS)	В	C	Хорошая защита периметраОтсутствие известных уязвимостей

Следует обратить внимание на то, что в таблице оценки угроз и уязвимостей фигурируют группы угроз и группы уязвимостей, а оценка вероятности является суммарной оценкой вероятностей всех угроз и всех связанных с ними уязвимостей.

При оценке величины группы уязвимостей взвешиваются все найденные слабости защиты, способствующие успешному осуществлению угроз, и все существующие механизмы контроля, затрудняющие осуществление этих угроз. Суммарный уровень группы уязвимостей определяется путем сложения уровней всех идентифицированных уязвимостей и вычитания из них уровней всех идентифицированных механизмов контроля, при это действенность (уровень) механизма контроля определяется по такому же принципу, как и уровень уязвимости:

• В– высокий уровень контроля. Маловероятно, что такой механизм контроля удастся обойти. Вероятность обхода (преодоления) механизма контроля ~ 0 – 0.1.
• С– средний уровень контроля. Механизм контроля обеспечивает определенную защиту, однако есть возможность его обойти, затратив определенные усилия. Вероятность обхода (преодоления) механизма контроля ~ 0.5.
• Н– низкий уровень контроля. Такой механизм контроля незначительным образом уменьшает уязвимости активов, и его довольно просто обойти. Вероятность обхода (преодоления) механизма контроля ~ 0.9 – 1.

Для определения итогового уровня уязвимости, рассматриваемой для конкретной группы угроз, обычно используются экспертные оценки. На правую чашу весов кладутся механизмы контроля, на левую – уязвимости. Если сильно перевешивают уязвимости, тогда итоговый уровень будет высоким. Если существенный перевес на стороне механизмов контроля, которые способны нивелировать все имеющиеся уязвимости, тогда итоговый уровень уязвимости будет низким. Если между механизмами контроля и уязвимостями наблюдается примерный паритет, тогда итоговый уровень уязвимости оценивается как средний.

Конечно, такая оценка навряд ли может считаться объективной, т.к. всецело зависит от мнения того или иного эксперта об уязвимостях и механизмах контроля. К сожалению, ничего более точного мы здесь предложить не можем. Многие умные люди пытались придумать более точные методы анализа угроз и уязвимостей, писали формулы, строили модели, но так ни до чего реально эффективного и не додумались. Любые математические выкладки, сопровождающие точные количественные методы измерений, оставались на бумаге, и если для чего то и годились, то только не для использования в практической работе.

Хорошая новость заключается в том, что для принятия решений по рискам, а больше излагаемая здесь методология ни для чего не нужна, вполне достаточно простого качественного подхода к оценке угроз и уязвимостей. Такой подход демонстрирует свою высокую эффективность и в полной мере соответствует потребностям современных организаций. На практике всего-навсего требуется правильно и своевременно идентифицировать возможные проблемы, расставив должны образом приоритеты по их предупреждению.

Для повышения объективности оценки следует применять подтвердившие свою эффективность методы экспертной оценки, такие как, например, метод Дельфи. Надо устраивать коллективные обсуждения угроз, уязвимостей и механизмов контроля, на которые следует приглашать представителей различных бизнес-подразделений, владельцев активов и бизнес-процессов, экспертов по безопасности и внешних консультантов. Это повышает не только объективность оценок, но и, что не менее важно, осведомленность всех участников таких обсуждений.

Оценки ожидаемой частоты реализации угрозы от уровня к уровню по качественной шкале различаются в разы, поэтому маловероятно, чтобы компетентная экспертная группа так сильно ошибалась в своих оценках.

В Приложениях № 7 и № 8 приведены примеры опросных листов, используемых для оценки угроз и уязвимостей в методе CRAMM.

Идентификация технических уязвимостей(см. рисунок) производится для внешнего и внутреннего периметра корпоративной сети. Внешний периметр – это совокупность всех точек входа в сеть. К внутреннему периметру (внутренней ИТ инфраструктуре) мы относим все хосты и приложения, доступные изнутри.

Традиционно используются два основных метода тестирования:

• тестирование по методу «черного ящика»;
• тестирование по методу «белого ящика».

Тестирование по методу «черного ящика» предполагает отсутствие у тестирующей стороны каких-либо знаний о конфигурации и внутренней структуре объекта испытаний. При этом против объекта испытаний реализуются все известные типы атак и проверяется устойчивость системы защиты в отношении этих атак. Используемые методы тестирования эмитируют действия потенциальных злоумышленников, пытающихся взломать систему защиты. Основным средством тестирования в данном случае являются сетевые сканеры, располагающие базами данных известных уязвимостей.

Метод «белого ящика» предполагает составление программы тестирования на основании знаний о структуре и конфигурации объекта испытаний. В ходе тестирования проверяется наличие и работоспособность механизмов безопасности, соответствие состава и конфигурации системы защиты требованиям безопасности. Выводы о наличии уязвимостей делаются на основании анализа конфигурации используемых средств защиты и системного ПО, а затем проверяются на практике. Основным инструментом тестирования в данном случае являются средства анализа защищенности системного уровня, хостовые сканеры и списки проверки.

Для интентификации технических уязвимостей проводятся следующие организационно-технические мероприятия по анализу защищенности:

• ручные проверки системной конфигурации;
• сетевое и хостовое сканирование;
• тестовые испытания;
• тесты на проникновение;
• социальные тесты;
• анализ программных кодов.

Современные методы анализа защищенности информационных систем настолько разнообразны, что им можно было бы посвятить отдельную книгу. Далее мы ограничимся кратким рассмотрением лишь некоторых из этих методов.

Ручная проверка системной конфигурации

Ручная проверка системной конфигурации производится с использованием списков проверки, рекомендаций разработчиков и независимых экспертов, политик и технических стандартов, а также собственного опыты проверяющего.

Оформление результатов ручных проверок производится точно так же, как и для организационных уязвимостей.

На следующем рисунке приведен фрагмент отчета с описанием уязвимостей антивирусной системы.

Таблица. Результаты проверки антивирусной подсистемы (фрагмент)

Задачи:	1.      Проверка конфигурации антивирусной подсистемы2.      Проверка лицензий на антивирусное ПО3.      Проверка установки последних обновлений антивирусных БД и ПО4.      Проверка настройки параметров карантина
Свидетельства:	1.      Все рабочие станции, серверы и почтовая система защищены антивирусным ПО в соответствии с Политикой антивирусной защиты2.      Лицензии имеются3.      Обновление антивирусных БД устанавливаются каждый час
Уязвимости/недостатки:	1.      Не настроены параметры карантина, что приводит к потере подозрительных файлов
Рекомендации:	1.      Произвести настройку параметров антивирусного карантина, определив место и время хранения подозрительных файлов

При анализе конфигурации средств защиты внешнего периметра ЛВС и управления межсетевыми взаимодействиями особое внимание обращается на следующие аспекты, определяемые их конфигурацией:

• настройку правил разграничения доступа (правил фильтрации сетевых пакетов) на МЭ и маршрутизаторах;
• используемые схемы и настройка параметров аутентификации;
• настройку параметров системы регистрации событий;
• использование механизмов, обеспечивающих скрытие топологии защищаемой сети, включающих в себя трансляцию сетевых адресов (NAT), «маскарадинг» и использование системы split DNS;
• настройку механизмов оповещения об атаках и реагирования;
• наличие и работоспособность средств контроля целостности;
• версии используемого ПО и наличие установленных пакетов программных коррекций.

Сетевое сканирование

Большая часть технических уязвимостей выявляется в автоматическом режиме при помощи сетевых и хостовых сканеров, которые способны одновременно выполнять тысячи проверок сразу на многих хостах. Обычно сканеры создают очень подробные отчеты об уязвимостях, к которым следует относиться весьма критически. Мы называем эти отчеты гипотезами об уязвимостях, требующими дальнейших ручных проверок.

На рисунке представлены результаты сканирования в сканере Nessus.

Сетевые сканеры выполняют четыре основные задачи:

• идентификация доступных сетевых ресурсов;
• идентификация доступных сетевых сервисов;
• идентификация имеющихся уязвимостей сетевых сервисов;
• выдача рекомендаций по устранению уязвимостей.

Принцип работы сканера заключается в моделировании действий злоумышленника, производящего анализ сети при помощи стандартных сетевых утилит, таких как host, showmount, traceout, rusers, finger, ping и т.п. При этом используются известные уязвимости сетевых сервисов, сетевых протоколов и ОС для осуществления удаленных атак на системные ресурсы и осуществляется документирование удачных попыток.

В настоящее время существует большое количество как коммерческих, так и свободно распространяемых сканеров, как универсальных, так и специализированных – предназначенных для выявления определенных классов уязвимостей, ориентированных на определенные программно-аппаратные платформы и приложения. Их можно найти в сети Интернет. Число уязвимостей в базах данных современных сканеров исчисляется тысячами.

Результаты сканирования систем должны быть отсортированы по степени критичности обнаруженных уязвимостей. Описание уязвимости должно включать в себя: ее название или идентификационный номер CVE (Common Vulnerabilities and Exposures – общепризнанный репозиторий уязвимостей), адреса и имена хостов, подверженных данной уязвимости, описание угрозы для конкретной организации, связанной с данной уязвимостью, а также рекомендации по устранению уязвимости либо уменьшению ее влияния на безопасность организации (обычно с ссылкой на соответствующие источники информации и программные коррекции).

Таблица. Результаты сетевого сканирования (фрагмент)

Уязвимость (CVE)	IP адрес/имя	Описание угрозы	Рекомендации
Высокий риск
Уязвимость сервера БД  ToolTalk(rpc.ttdbserverd). Переполнение буфера в сервисе «Ttdbserverd» (RPCUNIX).CVE: CVE-2002-0679	10.х.х.х10.х.х.х	Атакующий может использовать переполнение буфера для выполнения кода с привилегиями сервера ToolTalkRPC, который обычно выполняется от лица суперпользователя.	Установить патч от вендора.http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2002-0679
Сервис «snmpXdmid». Множественные уязвимости в реализации протокола SNMP.CVE: CVE-2002-0012CVE: CVE-2002-0012	10.х.х.х10.х.х.х10.х.х.х	Возможность получение контроля над сетевым оборудованием.	Установить патч от вендора.http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2002-0013
Средний риск
ddi-tcp-1 (8888/tcp): Возможность подключения к портам, защищенным файерволлом на удаленном хосте с исходящего порта 20.BID: 5279	10.х.х.х	Атакующий может подключиться к сервисам на удаленном хосте, минуя файерволл	Заблокировать на файерволле все пакеты с исходящим портом 20.
Уязвимость сервиса bootparamdRPC, используемого бездисковыми клиентами для получения загрузочной информации.CVE: CVE-1999-0647	10.х.х.х	Атакующий может использовать функцию BOOTPARAMPROC_WHOAMI  для получения имени домена NISс сервера, затем используя его для получения доступа к файлу паролей NIS	Настроить фильтрацию входящего трафика для предотвращения доступа к сервисам portmapperи bootparam

Тестовые испытания

Тестовые испытания могут включать в себя любые виды проверок: ручные, автоматические, оценку соответствия и т.п. Кроме этого, они позволяют убедиться в работоспособности механизмов контроля и проверить правильность обработки информации на тестовых данных. Примером могут служить аттестационные испытания объектов информатизации по требованиям безопасности информации, сертификационные испытания средств вычислительной техники (СВТ), а также приемо-сдаточные испытания систем, вводимых в эксплуатацию.

Для проведения тестовых испытаний необходимо определить требования безопасности, предъявляемые к испытываемым системам, разработать программу и методику испытаний в соответствии с этими требованиями, подготовить наборы входных и выходных данных.

Фрагмент программы аттестационных испытаний информационной системы обработки персональны данных (ИСПДн) по требованиям безопасности информации может выглядеть, например, следующим образом:

Наименование  и порядок испытаний	Пункт методи
Проверка реализации требований по защите каналов связи, используемых для обмена персональными данными	4.2.1
Проверка реализации требований по физической защите помещений, в которых ведется работа с персональными данными	4.2.2
Проверка реализации требований по защите  персональных данных от НСД	4.2.3
Проверка реализации требований по обеспечению доступности и незамедлительного восстановления персональных данных	4.2.4
Проверка реализации требований по контролю уровня защищенности персональных данных	4.2.5
Проверка правильности и полноты реализации организационно-технических мероприятий по обеспечению безопасности персональных данных	4.2.6
Проверка наличия утвержденного списка лиц, допущенных к работе с персональными данными	4.2.7
Проверка реализации требований по регистрации запросов на получение персональных данных	4.2.8
Проверка регламента (процедуры), определяющего порядок предоставления персональных данных и порядок действий в случае обнаружения нарушений порядка предоставления персональных данных	4.2.9

Методика испытаний для каждого пункта Программы определяет проверяемые требования безопасности, способы их реализации в испытываемой системе и методы проверки их реализации.

Фрагмент методики аттестационных испытаний системы Банк-Клиент показан на рисунке.

Другим примером тестовых испытаний может служить тестирование планов обеспечения непрерывности бизнеса, фрагмент программы которого показан на рисунке.

По результатам испытаний оформляются протоколы и заключения, в которых отражаются выявленные недостатки.

Тестовые испытания информационных систем различного назначения позволяют идентифицировать свойственные для этих систем как организационные, так и технические уязвимости.

К организационным уязвимостям относятся любые слабости защиты, не являющиеся слабостями технических или программных средств.

Для идентификации организационных уязвимостей проводится проверка источников этих уязвимостей, к которым относятся:

• процессы управления безопасностью;
• организационная структура, распределение ролей и ответственности;
• документированные процедуры и записи;
• квалификация, осведомленность и обученность персонала;
• физические меры защиты и физическое окружение;
• соответствие требованиям законодательства, нормативной базы, договоров, стандартов и бизнеса.

Организационные уязвимости обычно заключаются в отсутствии или неправильном применении механизмов контроля. Поэтому основным источником идентификации организационных уязвимостей служит международный стандарт ISO 27001, т.к. этот стандарт содержит наиболее полное высокоуровневое описание того, что должно быть сделано для защиты информационных активов. Если чего-то не хватает, то это может рассматриваться в качестве потенциальной уязвимости. Международный стандарт ISO 27002 содержит подробное описание областей и механизмов контроля. Выпускаемые Британским институтом стандартов руководства по аудиту и внедрению СУИБ BIP 0072 и BIP 0073 описывают, каким образом можно оценивать соответствие ISO 27001 и идентифицировать организационные уязвимости.

Еще одним источником идентификации организационных уязвимостей служит анализ законодательной и нормативной базы в области информационной безопасности.

_________________________________________

Источники идентификации потенциальных организационных уязвимостей:

• ISO 27001, разделы 4-8, – определяют требования и процессы СУИБ;
• ISO 27001, приложение А, – определяет 11 областей и 137 механизмов контроля;
• ISO 27002 – подробно описывает 11 областей и 137 механизмов контроля;
• BIP 0072 – содержит опросники для проверки соответствия требованиям ISO 27001;
• BIP 0073 – предоставляет дополнительное руководство по внедрению и аудиту механизмов контроля;
• применимая законодательная и нормативная база.

__________________________________________

Оценка процессов СУИБ на соответствие ISO 27001

Разделы 4–8 международного стандарта ISO 27001 определяют обязательные (читай – наиболее важные с точки зрения передового опыта и здравого смысла) элементы СУИБ, такие как политика безопасности, оценка и обработка рисков, аудиты, анализ со стороны руководства, анализ эффективности, корректирующие и превентивные меры и т.п. Отсутствие этих элементов почти всегда свидетельствует о наличии серьезных уязвимостей.

Для анализа данных организационных уязвимостей составляется таблица соответствия, в которой для каждого требования, содержащегося в стандарте ISO 27001, отмечается текущее состояние с выполнением этого требования, а также дается описание свойственных организации особенностей в интерпретации этого требования и существующих затруднений с его выполнением.

Оценочные мероприятия включают в себя интервьюирование персонала, сбор и анализ свидетельств надлежащего функционирования СУИБ, анализ полноты и правильности реализации механизмов контроля, описанных в стандарте. Результаты анализа заносятся в оценочную таблицу, фрагмент которой показан на рисунке.

Целесообразность использования механизмов контроля, перечисленных в приложении А стандарта ISO 27001 и далее подробно описанных в стандарте ISO 27002, должна определяться по результатам оценки рисков. Однако отсутствие любого из этих механизмов контроля может рассматриваться на данном этапе в качестве потенциальной уязвимости, т.к. это ослабляет защиту активов.

Для анализа этой группы уязвимостей также используется оценочная таблица, фрагмент которой показан на рисунке. Левая часть этой таблицы полностью повторяет структуру Приложения А стандарта ISO 27001, а в правой части отмечается текущий статус реализации соответствующих механизмов контроля, описываются особенности реализации этих механизмов, а также приводится обоснование исключений некоторых механизмов контроля там, где это необходимо.

Как мы увидим далее, именно эта оценочная таблица будет выполнять роль Декларации о применимости механизмов контроля – важнейшего документа СУИБ, вокруг которого в последующем будет строиться обработка рисков и аудиты.

Результатом идентификации организационных уязвимостей является отчет о несоответствиях, в котором для каждой области контроля определяется степень соответствия, перечисляются существующие механизмы безопасности, сильные и слабые стороны, а также даются рекомендации по усилению защиты.

На следующем рисунке приведен фрагмент таблицы с описанием уязвимостей для области контроля «Управление активами».

Таблица. Оценка достижения цели контроля «Управление активами»

Цель контроля:	Обеспечить и поддерживать надлежащий уровень защиты активов организации.Все активы должны быть учтены и иметь назначенного владельца. Также должна быть определена ответственность за сопровождение этих активов и обеспечение их безопасности.
Уровень соответствия:	Низкий (40%)
Свидетельства соответствия:	Политика безопасности организации определяет права доступа к основным категориям информационных и ИТ активов на уровне файловых папок, ИТ сервисов и программных модулей. Права доступа периодически проверяются и пересматриваются.Политика безопасности определяет правила допустимого использования активов, которые внедрены и соблюдаются на практике.Перечень конфиденциальной информации оформлен в виде приложения к Политике безопасности.
Несоответствия:	Отсутствует реестр информационных активов.Владельцы активов не идентифицированы явным образом.Отсутствуют правила маркирования и обращения с конфиденциальными документами, а также схема их классификации.
Рекомендации:	Сформировать и поддерживать в актуальном состоянии реестр активов.Назначить владельцев для каждого активов и определить их ответственность за активы.Определить общую схему классификации информации по критериям конфиденциальности, целостности и доступности.Разработать и внедрить правила маркировки и обращения с конфиденциальными документами.

Уязвимости представляют собой слабости защиты, ассоциированные с активами организации. Эти слабости могут использоваться одной или несколькими угрозами, являющимися причиной нежелательных инцидентов. Уязвимость сама по себе не наносит ущерба, это только условие или набор условий, позволяющих угрозе причинить ущерб активам.

Другими словами, уязвимости – это любые факторы, делающие возможной успешную реализацию угроз. Поэтому для оценки уязвимостей необходимо идентифицировать существующие механизмы безопасности и оценить их эффективность.

Идентификация уязвимостей должна определять связанные с активами слабости в следующих областях:

• физическом окружении;
• персонале, процедурах управления, администрирования и механизмах контроля;
• деловых операциях и предоставлении сервисов;
• технических средствах, программном обеспечении, телекоммуникационном оборудовании и поддерживающей инфраструктуре.

Примеры уязвимостей приведены в Приложении № 6.

Угрозы и уязвимости должны объединиться для того, чтобы стать причиной инцидентов, которые могут причинить ущерб активам. Поэтому необходимо четко определять взаимосвязь между угрозами и уязвимостями.

Мы делим все существующие уязвимости на две большие группы: организационные и технические. Далее мы рассмотрим, каким образом может осуществляться идентификация и анализ этих уязвимостей.