Вопросы:
1. Особенности современных информационных систем как объекта защиты информации.
2. Классификация угроз безопасности информации.
3. Характеристика основных угроз НСД и способов их реализации.
4. Характеристика основных классов атак, реализуемых в сетях общего пользования.
5. Методы оценки опасности угроз.
Литература:
1. Будников С.А., Паршин Н.В. Информационная безопасность автоматизированных систем: Учебн. пособие – Воронеж, ЦПКС ТЗИ, 2009.
2. Белов Е.Б. и др. Основы информационной безопасности: Учебное пособие. – М.: Горячая линия – Телеком, 2005.
3. Запечников С.В. и др. Информационная безопасность открытых систем. Часть 1: Учебник для вузов. – М.: Горячая линия – Телеком, 2006.
4. Малюк А.А. Информационная безопасность: концептуальные и методологические основы защиты информации: Учебное пособие для ВУЗов. – М.: Горячая линия – Телеком, 2004.
5. Малюк А.А., Пазизин С.В., Погожин Н.С. Введение в защиту информации в автоматизированных системах: Учебное пособие для ВУЗов. – М.: Горячая линия – Телеком, 2004.
6. Хорев А.А. Защита информации от утечки по техническим каналам. – Учебн. пособие. – М.: МО РФ, 2006.
7. Закон Российской Федерации от 28.12.2010 № 390 «О безопасности».
8. Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации».
9. Указ Президента Российской Федерации от 6 марта 1997 г. № 188 «Об утверждении Перечня сведений конфиденциального характера».
Интернет-ресурсы:
1. http://ict.edu.ru
1. Особенности современных информационных систем как объекта защиты информации
Одним из важнейших аспектов проблемы обеспечения безопасности компьютерных систем является определение, анализ и классификация возможных угроз безопасности ИС. Перечень значимых угроз, оценки вероятностей их реализации, а также модель нарушителя служат основой для проведения анализа рисков и формулирования
требований к системе зашиты ИС.
Большинство современных ИС обработки информации, в общем случае, представляет собой территориально распределенные системы интенсивно взаимодействующие (синхронизирующиеся) между собой по данным (ресурсам) и управлению (событиям) – локальные вычислительные сети (ЛВС) и/или отдельные ЭВМ.
В распределенных ИС возможны все "традиционные" способы несанкционированного вмешательства в их работу и доступа к информации. Кроме того, для них характерны и новые специфические каналы проникновения в систему и несанкционированного доступа к информации, наличие которых объясняется целым рядом особенностей современных ИС.
Основными особенностями распределенных ИС являются:
территориальная разнесенность компонентов системы и наличие
интенсивного обмена информацией между ними;
широкий спектр используемых способов представления, хранения и протоколов передачи информации;
интеграция данных различного назначения, принадлежащих различным субъектам, в рамках единых баз данных и, наоборот, размещение необходимых некоторым субъектам данных в различных удаленных узлах сети;
абстрагирование владельцев данных от физических структур и места размещения данных;
использование режимов распределенной обработки данных;
участие в процессе автоматизированной обработки информации большого количества пользователей и персонала различных категорий;
непосредственный и одновременный доступ к ресурсам (в том числе и информационным) большого числа пользователей (субъектов) различных категорий;
высокая степень разнородности используемых средств вычислительной техники и связи, а также их программного обеспечения;
отсутствие специальных средств защиты в большинстве типов
технических средств, широко используемых в ИС.
В общем случае ИС состоят из следующих основных структурно-функциональных элементов:
Ø рабочих станций – отдельных ЭВМ или терминалов сети, на которых реализуются автоматизированные рабочие места пользователей (абонентов, операторов);
Ø серверов или host -машин (служб файлов, печати, баз данных и т.п.) не выделенных (или выделенных, то есть не совмещенных с рабочими станциями) высокопроизводительных ЭВМ, предназначенных для реализации функций хранения, печати данных, обслуживания рабочих станций сети и т.п. действий;
Ø сетевых устройств (маршрутизаторов, коммутаторов, шлюзов, центров коммутации пакетов, коммуникационных ЭВМ) – элементов, обеспечивающих соединение нескольких сетей передачи данных, либо нескольких сегментов одной и той же сети, возможно имеющих различные протоколы взаимодействия;
Ø каналов связи (локальных, телефонных, с узлами коммутации и т.д.).
Рабочие станции являются наиболее доступными компонентами сетей и именно с них могут быть предприняты наиболее многочисленные попытки совершения несанкционированных действий. С рабочих станций осуществляется управление процессами обработки информации, запуск программ, ввод и корректировка данных, на дисках рабочих станций могут размещаться важные данные и программы обработки. На видеомониторы и печатающие устройства рабочих станций выводится информация при работе пользователей (операторов), выполняющих различные функции и имеющих разные полномочия по доступу к данным и другим ресурсам системы. Именно на рабочих станциях осуществляется ввод имен и паролей пользователями. Поэтому рабочие станции должны быть надежно защищены от доступа посторонних лиц и должны содержать средства разграничения доступа к ресурсам со стороны законных пользователей, имеющих разные полномочия. Кроме того, средства защиты должны предотвращать нарушения нормальной настройки (конфигурации) рабочих станций и режимов их функционирования, вызванные неумышленным вмешательством неопытных (невнимательных) пользователей.
В особой защите нуждаются такие привлекательные для злоумышленников элементы сетей как серверы ( host – машины) и сетевые устройства. Первые – как концентраторы больших объемов информации, вторые – как элементы, в которых осуществляется преобразование (возможно через открытую, незашифрованную форму представления) данных при согласовании протоколов обмена в различных участках сети.
Благоприятным для повышения безопасности серверов и мостов обстоятельством является, как правило, наличие возможностей их надежной защиты физическими средствами и организационными мерами в силу их выделенности, позволяющей сократить до минимума число лиц из персонала, имеющих непосредственный доступ к ним. Иными словами, непосредственные случайные воздействия персонала и преднамеренные локальные воздействия злоумышленников на выделенные серверы и мосты можно считать маловероятными. В то же время, все более распространенными становятся массированные атаки на серверы и мосты (а равно и на рабочие станции) с использованием средств удаленного доступа. Здесь злоумышленники, прежде всего, могут искать возможности повлиять на работу различных подсистем рабочих станций, серверов и мостов, используя недостатки протоколов обмена и средств разграничения удаленного доступа к ресурсам и системным таблицам. Использоваться могут все возможности и средства, от стандартных (без модификации компонентов) до подключения специальных аппаратных средств (каналы, как правило, слабо защищены от подключения) и применения высококлассных программ для преодоления системы защиты.
Конечно, сказанное выше не означает, что не будет попыток внедрения аппаратных и программных закладок в сами мосты и серверы, открывающих широкие дополнительные возможности по несанкционированному удаленному доступу. Закладки могут быть внедрены как с удаленных станций (посредством вирусов или иным способом), так и непосредственно в аппаратуру и программы серверов при их ремонте, обслуживании, модернизации, переходе на новые версии программного обеспечения, смене оборудования.
Каналы и средства связи также нуждаются в защите. В силу большой пространственной протяженности линий связи (через неконтролируемую или слабо контролируемую территорию) практически всегда существует возможность подключения к ним, либо вмешательства в процесс передачи данных.
2. Классификация угроз безопасности информации
Угрозы безопасности информации – потенциальные или реально возможные действия по отношению к информационным ресурсам, приводящие к неправомерному овладению охраняемыми сведениями. Такими действиями являются:
· ознакомление с конфиденциальной информацией различными путями и способами без нарушения ее целостности;
· модификация информации в криминальных целях как частичное или значительное изменение состава и содержания сведений;
· разрушение (уничтожение) информации как акт вандализма с целью прямого нанесения материального ущерба.
В конечном итоге противоправные действия с информацией приводят к нарушению ее конфиденциальности, полноты, достоверности и доступности, что в свою очередь приводит к нарушению как режима управления, так и его качества в условиях ложной или неполной информации.
Рис. 1. Виды угроз
Нарушением безопасности (просто нарушением или атакой) будем называть реализацию угрозы безопасности.
Каждая угроза влечет за собой определенный ущерб – моральный или материальный, а защита и противодействие угрозе призваны снизить его величину (полностью или частично). Угрозы могут быть классифицированы по следующим признакам:
1. По величине нанесенного ущерба:
ü предельный (после которого фирма может стать банкротом);
ü значительный (не приводящий к банкротству);
ü незначительный (ущерб, который фирма может компенсировать за какое-то время).
2. По вероятности возникновения:
ü весьма вероятная угроза;
ü вероятная угроза;
ü маловероятная угроза.
3. По источникам и мотивации:
ü естественные (объективные);
ü искусственные (субъективные).
Естественные угрозы могут быть только случайными; искусственные – случайными или преднамеренными.
Естественные угрозы – это угрозы, вызванные воздействиями на ИС и ее элементы объективных физических процессов или стихийных природных явлений, независящих от человека.
Искусственные угрозы – это угрозы ИС, вызванные деятельностью человека. Среди них, исходя из мотивации действий, можно выделить:
o непреднамеренные (неумышленные, случайные) угрозы, вызванные ошибками в проектировании ИС и ее элементов, ошибками в программном обеспечении, ошибками в действиях персонала и т.п.;
o преднамеренные (умышленные) угрозы, связанные с корыстными, идейными или иными устремлениями людей (злоумышленников).
4. По характеру нанесенного ущерба:
ü материальный;
ü моральный.
5. По характеру воздействия:
ü активные;
ü пассивные.
6. По отношению к объекту:
ü внутренние (администрация предприятия; персонал; технические средства обеспечения производственной и трудовой деятельности);
ü внешние (недобросовестные конкуренты; преступные группировки и формирования; отдельные лица и организации административно-управленческого аппарата).
Статистика реальных угроз:
82% – собственные сотрудники фирмы, при их прямом или опосредованном участии;
17% – внешние угрозы;
1% – случайные лица.
Основные непреднамеренные искусственные угрозы ИС (действия, совершаемые людьми случайно, по незнанию, невнимательности или халатности, из любопытства, но без злого умысла):
1. Неумышленные действия, приводящие к частичному или полному отказу системы или разрушению аппаратных, программных, информационных ресурсов системы (неумышленная порча оборудования, удаление, искажение файлов с важной информацией или программ, в том числе системных и т.п.).
2. Неправомерное отключение оборудования или изменение режимов работы устройств и программ.
3. Неумышленная порча носителей информации.
4. Запуск технологических программ, способных при некомпетентном использовании вызывать потерю работоспособности системы (зависания или зацикливания) или осуществляющих необратимые изменения в системе (форматирование или реструктуризацию носителей информации, удаление данных и т.п.).
5. Нелегальное внедрение и использование неучтенных программ (игровых, обучающих, технологических и др., не являющихся необходимыми для выполнения нарушителем своих служебных обязанностей) с последующим необоснованным расходованием ресурсов (загрузка процессора, захват оперативной памяти и памяти на внешних носителях).
6. Заражение компьютера вирусами.
7. Неосторожные действия, приводящие к разглашению конфиденциальной информации, или делающие ее общедоступной.
8. Разглашение, передача или утрата атрибутов разграничения доступа (паролей, ключей шифрования, идентификационных карточек, пропусков и т.п.).
9. Проектирование архитектуры системы, технологии обработки данных, разработка прикладных программ, с возможностями, представляющими опасность для работоспособности системы и безопасности информации.
10. Игнорирование организационных ограничений (установленных правил) при работе в системе.
11. Вход в систему в обход средств защиты (загрузка посторонней операционной системы со сменных магнитных носителей и т.п.).
12. Некомпетентное использование, настройка или неправомерное отключение средств защиты персоналом службы безопасности.
13. Пересылка данных по ошибочному адресу абонента (устройства).
14. Ввод ошибочных данных.
15. Неумышленное повреждение каналов связи.
3. Характеристика основных угроз НСД и способов их реализации
Основные возможные пути умышленной дезорганизации работы, вывода системы из строя, проникновения в систему и несанкционированного доступа к информации:
1. Физическое разрушение системы (путем взрыва, поджога и т.п.) или вывод из строя всех или отдельных наиболее важных компонентов компьютерной системы (устройств, носителей важной системной информации, лиц из числа персонала и т.п.).
2. Отключение или вывод из строя подсистем обеспечения функционирования вычислительных систем (электропитания, охлаждения и вентиляции, линий связи и т.п.).
3. Действия по дезорганизации функционирования системы (изменение режимов работы устройств или программ, забастовка, саботаж персонала, постановка мощных активных радиопомех на частотах работы устройств системы и т.п.).
4. Внедрение агентов в число персонала системы (в том числе, возможно, и в административную группу, отвечающую за безопасность).
5. Вербовка (путем подкупа, шантажа и т.п.) персонала или отдельных пользователей, имеющих определенные полномочия.
6. Применение подслушивающих устройств, дистанционная фото- и видео-съемка и т.п.
7. Перехват побочных электромагнитных, акустических и других излучений устройств и линий связи, а также наводок активных излучений на вспомогательные технические средства, непосредственно не участвующие в обработке информации (телефонные линии, сели питания, отопления и т.п.).
8. Перехват данных, передаваемых по каналам связи, и их анализ с целью выяснения протоколов обмена, правил вхождения в связь и авторизации пользователя и последующих попыток их имитации для проникновения в систему.
9. Хищение носителей информации (магнитных дисков, лент, микросхем памяти, запоминающих устройств и целых ПЭВМ).
10. Несанкционированное копирование носителей информации.
11. Хищение производственных отходов (распечаток, записей, списанных носителей информации и т.п.).
12. Чтение остаточной информации из оперативной памяти и с внешних запоминающих устройств.
13. Чтение информации из областей оперативной памяти, используемых операционной системой (в том числе подсистемой зашиты) или другими пользователями, в асинхронном режиме используя недостатки мультизадачных операционных систем и систем программирования.
14. Незаконное получение паролей и других реквизитов разграничения доступа (агентурным путем, используя халатность пользователей, путем подбора, путем имитации интерфейса системы и т.д.) с последующей маскировкой под зарегистрированного пользователя ("маскарад").
15. Несанкционированное использование терминалов пользователей, имеющих уникальные физические характеристики, такие как номер рабочей станции в сети, физический адрес, адрес в системе связи, аппаратный блок кодирования и т.п.
16. Вскрытие шифров криптозащиты информации.
17. Внедрение аппаратных "спецвложений", программных "закладок" и "вирусов" ("троянских коней" и "жучков"), то есть таких участков программ, которые не нужны для осуществления заявленных функций, но позволяющих преодолевать систему зашиты, скрытно и незаконно осуществлять доступ к системным ресурсам с целью регистрации и передачи критической информации или дезорганизации функционирования системы.
18. Незаконное подключение к линиям связи с целью работы "между строк", с использованием пауз в действиях законного пользователя от его имени с последующим вводом ложных сообщений или модификацией передаваемых сообщений.
19. Незаконное подключение к линиям связи с целью прямой подмены законного пользователя путем его физического отключения после входа в систему и успешной аутентификации с последующим вводом дезинформации и навязыванием ложных сообщений.
Следует заметить, что чаще всего для достижения поставленной цели злоумышленник использует не один, а некоторую совокупность из перечисленных выше путей.
4. Характеристика основных классов атак, реализуемых в сетях общего пользования
Классификация сетевых атак
В общем случае существует информационный поток от отправителя (файл, пользователь, компьютер) к получателю (файл, пользователь, компьютер):
Рис. 2. Информационный поток
Все атаки можно разделить на два класса: пассивные и активные.
4.1. Пассивная атака
Пассивной называется такая атака, при которой противник не имеет возможности модифицировать передаваемые сообщения и вставлять в информационный канал между отправителем и получателем свои сообщения. Целью пассивной атаки может быть только прослушивание передаваемых сообщений и анализ трафика.
Рис. 3. Пассивная атака
4.2.Активная атака
Активной называется такая атака, при которой противник имеет возможность модифицировать передаваемые сообщения и вставлять свои сообщения. Различают следующие типы активных атак:
4.2.1.Отказ в обслуживании – DoS-атака (Denial of Service)
Отказ в обслуживании нарушает нормальное функционирование сетевых сервисов. Противник может перехватывать все сообщения, направляемые определенному адресату. Другим примером подобной атаки является создание значительного трафика, в результате чего сетевой сервис не сможет обрабатывать запросы законных клиентов. Классическим примером такой атаки в сетях TCP/IP является SYN-атака, при которой нарушитель посылает пакеты, инициирующие установление ТСР-соединения, но не посылает пакеты, завершающие установление этого соединения. В результате может произойти переполнение памяти на сервере, и серверу не удастся установить соединение с законными пользователями.
Рис. 4. DoS-атака
4.2.2.Модификация потока данных – атака "man in the middle"
Модификация потока данных означает либо изменение содержимого пересылаемого сообщения, либо изменение порядка сообщений.
Рис. 5. Атака "man in the middle"
4.2.3.Создание ложного потока (фальсификация)
Фальсификация (нарушение аутентичности) означает попытку одного субъекта выдать себя за другого.
Рис. 6. Создание ложного потока
4.2.4.Повторное использование
Повторное использование означает пассивный захват данных с последующей их пересылкой для получения несанкционированного доступа – это так называемая replay-атака. На самом деле replay-атаки являются одним из вариантов фальсификации, но в силу того, что это один из наиболее распространенных вариантов атаки для получения несанкционированного доступа, его часто рассматривают как отдельный тип атаки.
Рис. 7. Replay-атака
Перечисленные атаки могут существовать в любых типах сетей, а не только в сетях, использующих в качестве транспорта протоколы TCP/IP, и на любом уровне модели OSI. Но в сетях, построенных на основе TCP/IP, атаки встречаются чаще всего, потому что, во-первых, Internet стал самой распространенной сетью, а во-вторых, при разработке протоколов TCP/IP требования безопасности никак не учитывались.
Для реализации информационной атаки нарушителю необходимо активизировать или, другими словами, использовать определённую уязвимость ИС. Под уязвимостью принято понимать слабое место ИС, через которое возможна успешная реализация атаки. Примерами уязвимостей ИС могут являться:
Ø некорректная конфигурация сетевых служб ИС,
Ø наличие ПО без установленных модулей обновления,
Ø использование нестойких к угадыванию паролей,
Ø отсутствие необходимых средств защиты информации и др.
Логическая связь уязвимости, атаки и её возможных последствий показана на рис. 8.
Уязвимости являются основной причиной возникновения информационных атак. Наличие самих слабых мест в ИС может быть обусловлено самыми различными факторами, начиная с простой халатности сотрудников, и заканчивая преднамеренными действиями злоумышленников.
|
|
|
|
 |
|||
|
|||
Рис. 8. Связь уязвимости, атаки и её возможных последствий
Уязвимости могут присутствовать как в программно-аппаратном, так и в организационно-правовом обеспечении ИС. Основная часть уязвимостей организационно-правового обеспечения обусловлена отсутствием на предприятиях нормативных документов, касающихся вопросов информационной безопасности. Примером уязвимости данного типа является отсутствие в организации утверждённой концепции или политики информационной безопасности, которая бы определяла требования к защите ИС, а также конкретные пути их реализации. Уязвимости программно-аппаратного обеспечения могут присутствовать в программных или аппаратных компонентах рабочих станций пользователей ИС, серверов, а также коммуникационного оборудования и каналов связи ИС.
Уязвимости ИС могут быть внесены как на технологическом, так и на эксплуатационном этапах жизненного цикла ИС. На технологическом этапе нарушителями могут быть инженерно-технические работники, участвующие в процессе проектирования, разработки, установки и настройки программно-аппаратного обеспечения ИС.
Внесение эксплуатационных уязвимостей может иметь место при неправильной настройке и использовании программно-аппаратного обеспечения ИС. В отличие от технологических, устранение эксплуатационных уязвимостей требует меньших усилий, поскольку для этого достаточно изменить конфигурацию ИС. Характерными примерами уязвимостей этого типа являются:
· наличие слабых, не стойких к угадыванию паролей доступа к ресурсам ИС. При активизации этой уязвимости нарушитель может получить несанкционированный доступ к ИС путём взлома пароля при помощи метода полного перебора или подбора по словарю;
· наличие в системе незаблокированных встроенных учётных записей пользователей, при помощи которых потенциальный нарушитель может собрать дополнительную информацию, необходимую для проведения атаки. Примерами таких учётных записей являются запись "Guest" в операционных системах или запись "Anonymous" в FTP-серверах;
· неправильным образом установленные права доступа пользователей к информационным ресурсам ИС. В случае если в результате ошибки администратора пользователи, работающие с системой, имеют больше прав доступа, чем это необходимо для выполнения их функциональных обязанностей, то это может привести к несанкционированному использованию дополнительных полномочий для проведения атак. Например, если пользователи будут иметь права доступа на чтение содержимого исходных текстов серверных сценариев, выполняемых на стороне Web-сервера, то этим может воспользоваться потенциальный нарушитель для изучения алгоритмов работы механизмов защиты Web-приложений и поиска в них уязвимых мест;
· наличие в ИС неиспользуемых, но потенциально опасных сетевых служб и программных компонентов. Так, например, большая часть сетевых серверных служб, таких как Web-серверы и серверы СУБД поставляются вместе с примерами программ, которые демонстрируют функциональные возможности этих продуктов. В некоторых случаях эти программы имеют высокий уровень привилегий в системе или содержат уязвимости, использование которых злоумышленником может привести к нарушению информационной безопасности системы. Примерами таких программ являются образцы CGI-модулей, которые поставляются вместе с Web-приложениями, а также примеры хранимых процедур в серверах СУБД;
· неправильная конфигурация средств защиты, приводящая к возможности проведения сетевых атак. Так, например, ошибки в настройке межсетевого экрана могут привести к тому, что злоумышленник сможет передавать через него пакеты данных.
Уязвимости могут использоваться злоумышленниками для реализации информационных атак на ресурсы ИС. Согласно разработанной классификации любая атака в общем случае может быть разделена на четыре стадии:
- Стадия рекогносцировки. На этом этапе нарушитель осуществляет сбор данных об объекте атаки, на основе которых планируются дальнейшие стадии атаки. Примерами такой информации являются: тип и версия операционной системы (ОС), установленной на узлах ИС, список пользователей, зарегистрированных в системе, сведения об используемом прикладном ПО и др. При этом в качестве объектов атак могут выступать рабочие станции пользователей, серверы, а также коммуникационное оборудование ИС.
- Стадия вторжения в ИС. На этом этапе нарушитель получает несанкционированный доступ к ресурсам тех узлов ИС, по отношению к которым совершается атака.
- Стадия атакующего воздействия на ИС. Данный этап направлен на достижение нарушителем тех целей, ради которых предпринималась атака. Примерами таких действий могут являться нарушение работоспособности ИС, кража конфиденциальной информации, хранимой в системе, удаление или модификация данных системы и др. При этом атакующий может также осуществлять действия, которые могут быть направлены на удаление следов его присутствия в ИС.
Стадия дальнейшего развития атаки. На этом этапе выполняются действия, которые направлены на продолжение атаки на ресурсы других узлов ИС.
 |
|||||
 |
|||||
 |
Стадия дальнейшего Стадия атакующего
развития атаки воздействия на систему
Рис. 9. Жизненный цикл типовой информационной атаки на ресурсы ИС
Схематично стадии жизненного цикла информационной атаки изображены на рис. 9.
Информационные атаки могут быть классифицированы как внешние или внутренние. Внешние сетевые атаки проводятся извне ИС, т.е. с тех узлов, которые не входят в состав системы. Примером внешней сетевой атаки являются вторжение нарушителя в ЛВС из сети Интернет. Внутренние атаки проводятся изнутри ИС с одного из её серверов или рабочих станций. В качестве примера такой атаки можно привести действия сотрудника компании, направленные на утечку конфиденциальной информации.
Последствия информационных атак
Последствия, к которым могут привести информационные атаки, могут по-разному рассматриваться исходя из той или иной ситуации. Так, например, одно и тоже последствие атаки может сводиться к искажению системного файла на сервере для системного администратора, в то время как для руководителя компании – приостановкой одного из важнейших бизнес-процессов предприятия. Последствия информационных атак могут воздействовать на аппаратное, общесистемное или прикладное программное обеспечение, а также на информацию, которая хранится в ИС. Например, воздействие на аппаратное обеспечение может быть направлено на несанкционированное изменение памяти микросхемы BIOS, расположенной на материнской плате инфицированного компьютера. В результате такой атаки может быть изменён пароль доступа к настройкам BIOS или полностью искажено содержимое памяти BIOS, что приведёт к блокированию возможности загрузки компьютера. Восстановление работоспособности хоста в этом случае может потребовать перепрограммирования памяти BIOS.
5. Методы оценки опасности угроз
(См. Д.А.Скрипник. Общие вопросы технической защиты информации. http://www.intuit.ru/department/security/techproi/7/2.html )
Существуют две группы методов оценки опасности угроз: количественные и качественные. Количественные методы являются предпочтительными, т.к. они позволяют получить численное значение потенциального ущерба для каждой конкретной угрозы и для совокупности угроз, а также выгоды от применения средств защиты. К сожалению, не во всех случаях можно количественно оценить значение ожидаемого ущерба (например: моральный ущерб владельца информации). В этих случаях могут применяться методы качественной оценки опасности угроз.
Количественный подход рассмотрим на примере метода оценки рисков, предлагаемого компанией Microsoft. При количественной оценке рисков необходимо определить следующие характеристики и факторы:
1. Стоимость активов. Для каждого актива организации, подлежащего защите, вычисляется его денежная стоимость. Активами считается все, что представляет ценность для организации, включая как материальные активы (например, физическую инфраструктуру), так и нематериальные (например, репутацию организации и цифровую информацию). Часто именно стоимость актива используется для того, чтобы определить меры безопасности для конкретного актива. Для назначения стоимости конкретному активу необходимо определить следующее:
- общая стоимость актива для организации. Например, веб-сервер, обрабатывающий заказы покупателей в Интернет-магазине. Пусть он при работе круглый год и круглосуточно приносит в среднем 500 рублей в час, тогда в год – 4 380 000 рублей.
- ущерб в случае потери актива (в частности, выхода из строя). Допустим, рассматриваемый выше веб-сервер вышел из строя на 7 часов. При расчете делается допущение, что каждый час он приносит одинаковую прибыль, тогда за 7 часов простоя (например, в случае успешной DoS-атаки) убыток составит 3500 рублей.
- косвенный ущерб в случае потери актива. В описанном выше случае компания, которая владеет Интернет-магазином, может потерпеть убытки в результате негативного отношения покупателей к выходу из строя веб-сервера. Естественно, расчет косвенных убытков является наиболее трудной задачей и почти никогда не бывает точным. Допустим, чтобы восстановить репутацию, компания должна потратить 50 000 на рекламу Интернет-магазина и ожидает, что годовой объем продаж упадет на 2%, то есть на 87 600 рублей. Сложив две полученные величины, получим косвенный ущерб в виде 137 600 рублей.
2. Ожидаемый разовый ущерб. Ущерб, полученный в результате разовой реализации одной угрозы. Другими словами, это денежная величина, сопоставленная одиночному событию и характеризующая потенциальный ущерб, который понесет компания, если конкретная угроза сможет использовать уязвимость. Рассчитывается умножением стоимости актива на величину ущерба от реализации угрозы этому активу, выраженной в процентах. Допустим, стоимость актива (информации, хранящейся на жестком диске) составляет 500 000 рублей и в случае выхода из строя этого диска ущерб составит 25% от его стоимости. В этом случае ожидаемый разовый ущерб будет равен 125 000 рублей.
3. Ежегодная частота возникновения. Ожидаемое число проявления угрозы в течение года. Диапазон изменения данной величины: от 0 до 100 процентов. К сожалению, она не может быть определена точно. В идеальном случае определяется на основе статистики.
4. Общий годовой ущерб. Величина, характеризующая общие потенциальные потери организации в течение одного года. Вычисляется как произведение ежегодной величины возникновения на ожидаемый разовый ущерб от реализации угрозы. Например, вероятность поломки жесткого диска статистически равна 0,1%, тогда ущерб будет 0.001*125000 рублей=125 рублей. После расчета этого показателя организация может принять меры по уменьшению риска, связанного с потерей информации – использовать средства защиты информации. В частности для рассмотренного примера можно применить резервное копирование информации и тогда потери в случае выхода из строя жесткого диска будут исчисляться только стоимостью оборудования.
Результатом проведения количественного анализа является:
1. перечень активов (ресурсов) организации, подлежащих защите;
2. перечень существующих угроз;
3. вероятность успешной реализации угроз;
4. потенциальный ущерб для организации от реализации угроз в годовой период.
Следует отметить, что не всегда удается получить точные значения показателей, приведенных в рассмотренном примере. В этом случае приходится прибегать к мнению экспертов и, как следствие, получение субъективной итоговой оценки. И таким образом, мы переходим от количественной оценки к качественной.
Качественный подход к оценке рисков оперирует не численными значениями, а качественными характеристиками угроз. Как правило, анализ рисков выполняется путем заполнения опросных листов и проведения совместных обсуждений с участием представителей различных групп организации, таких как эксперты по информационной безопасности, менеджеры и сотрудники ИТ-подразделений, владельцы и пользователи бизнес-активов. В общем случае риск от реализации угрозы определяется на основании следующих качественных оценок:
· вероятности реализации угрозы;
· величины ущерба в случае реализации угрозы.
Каждой угрозе присваивается ранг, отображающий вероятность ее возникновения. Можно использовать трехбалльную шкалу (низкая=1, средняя=2, высокая=3 вероятность) или другую. Основными факторами при оценке вероятности являются:
· расположение источника угрозы;
· мотивация источника угрозы (если угроза не случайная);
· предположения о квалификации и (или) ресурсах источника угрозы;
· статистические данные о частоте реализации угрозы ее источником в прошлом;
· информация о способах реализации угроз ИБ;
· информация о сложности обнаружения реализации угрозы рассматриваемым источником;
· наличие контрмер.
Если для оценки угрозы привлекаются несколько экспертов и их оценки различаются, рекомендуется в качестве итоговой брать наибольшую оценку вероятности реализации угрозы.
Так как при оценке потенциального ущерба необходимо учитывать не только материальные факторы, но и такие, как потеря репутации, потеря конкурентоспособности, кража производственных идей и пр. Естественно, оценить ущерб точно в том или ином случае очень сложно, вот почему чаще всего потенциальный ущерб ранжируется по аналогии с вероятностью возникновения, например, по трехбалльной шкале. К основным факторам для оценки потенциального ущерба относятся:
· степень влияния на непрерывность работы;
· степень влияния на деловую репутацию;
· объем финансовых и материальных потерь;
· объем финансовых, людских и временных затрат на восстановление системы после атаки.
Для оценки риска можно применить банальное умножение вероятности угрозы на потенциальный ущерб. Если в обоих случаях использовалась трехбалльная шкала, то получится в итоге шесть значений: 1,2, 3,4,6,9. Первые два результата можно отнести к низкому риску, вторые два – к среднему, два последних – к высокому. Таким образом, получим опять трехбалльную шкалу, по которой можно оценить опасность той или иной угрозы.
Совокупный риск вычисляется по простой формуле:
– порядковый номер угрозы;
– вероятность реализации i-й угрозы;
- потенциальный ущерб от i-й угрозы.
При этом можно пренебречь угрозами, вероятность которых очень мала. Например, землетрясение. Несмотря на то, что ущерб от него может быть очень велик, вероятность возникновения в рассматриваемый интервал времени стремится к нулю.
Подход по сути очень похож на количественный, за исключением того, что активам присваивается относительная стоимость и участникам оценки не приходится тратить много времени на расчет конкретных показателей. Следовательно, достоинством метода является быстрота расчета и, соответственно, принятия контрмер и снижения риска. Недостатком является неоднозначность получаемых результатов и сложность расчета эффективности и разумности применения тех или иных мер защиты.
Каждый из рассмотренных подходов имеет свои достоинства и недостатки. Сравнение двух подходов представлено в таблице:
|
Подход к оценке |
Количественный |
Качественный |
|
Достоинства |
· Приоритеты рисков определяются на основе финансового влияния; приоритеты активов определяются на основе финансовых стоимостей; · Результаты упрощают управление рисками, обеспечивая возврат инвестиций в безопасность; · Результаты могут быть сформулированы с использованием управленческой терминологии (например, с помощью финансовых показателей и вероятности, выраженной в процентах); · Точность результатов увеличивается по мере накопления организацией статистических данных в процессе работы. |
· Обеспечивает наглядность и упрощает понимание процесса ранжирования рисков; · Проще найти удовлетворяющее всех решение; · Не требуется количественная оценка частоты возникновения угроз; · Не нужно определять финансовые стоимости активов; · Упрощается вовлечение в процесс сотрудников, не имеющих подготовки в области безопасности или компьютеров. |
|
Недостатки |
· Сопоставленные рискам величины влияния основываются на субъективном мнении участников; · Поиск решения, удовлетворяющего всех участников, и получение достоверных результатов занимают очень много времени; · Расчеты являются очень сложными и требуют значительных затрат времени; · Результаты представляются только в денежном выражении, а их интерпретация может вызывать трудности у сотрудников, не имеющих технической подготовки; · Процесс требует глубоких знаний, что затрудняет подготовку участников. |
· Недостаточное различие между существенными рисками; · Трудности с определением размера инвестиций в реализацию контроля вследствие отсутствия данных для анализа выгод и затрат; · Результаты зависят от квалификации созданной группы управления рисками. |
Проанализировав таблицу можно сделать вывод о том, что для маленьких организаций целесообразней использовать качественный подход, для больших – количественный. Оценка риска производится для какого-то заданного промежутка времени, что обусловлено динамичностью современных информационных систем. Рассматриваемый период должен быть достаточно велик для учета наиболее распространенных угроз и в то же время не превышать величину, по истечению которой система так меняется, что оценка теряет какой-либо смысл. Обычно интервал составляет 1-5 лет.