Як визначити джерела загроз
- Очевидним є той факт, що захист інформації повинна носити комплексний характер. Однак організація...
Очевидним є той факт, що захист інформації повинна носити комплексний характер. Однак організація забезпечення безпеки інформації повинна ще і грунтуватися на глибокому аналізі можливих негативних наслідків. Важливо не упустити будь-які істотні аспекти. Відходить у минуле нагромадження різних засобів захисту як реакція на першу хвилю страху перед комп'ютерними злочинами. Приступаючи до створення системи інформаційної безпеки, необхідно оцінити, які загрози є найбільш актуальними.
Підприємства більше не хочуть викидати гроші на вітер; вони хочуть купувати тільки те, що дійсно необхідно для побудови надійної системи захисту інформації та при цьому з мінімальними витратами. А щоб не стріляти з гармати по горобцях і не кидатися з пістолетом на танк, необхідно знати про характер можливих небезпек. Ще Віссаріон Бєлінський відзначав, що «знайти причину зла - майже те саме, що знайти проти нього ліки».
З іншого боку, не завадило б поговорити про те, як вивчати небезпеки. Можна, наприклад, з криком «Ура» кинутися на всі граблі відразу, і потім кожну нову «шишку» «заклеювати» новими сканерами, міжмережевими екранами і віртуальними приватними мережами. В результаті, звичайно, можна побудувати надійну, перевірену захист, з якої ваш бізнес може спати спокійно - якщо, звичайно, після всього цього у вас залишаться кошти на продовження економічної діяльності. Можна вчитися на чужих помилках. Але краще спочатку уявити собі всі можливі варіанти, а потім відібрати найбільш застосовні до конкретного випадку.
Тут знову-таки доводиться вибирати, або покладаючись на накопичений банк даних вже трапилися варіантів проявів загроз (не будучи до кінця впевненим, що всі варіанти вже перевірені), або намагаючись створити методологічний інструмент формування поля можливих проявів загроз, заснований на вивченні всіх факторів і дозволяє розглянути навіть самі малоймовірні варіанти. Наприклад, в США тільки після подій 11 вересня в цивільних літаках стали ставити броньовані двері в кабіни пілотів, в той час як в СРСР цей загрозливий стан передбачали ще на зорі цивільної авіації.
Однак не будемо лукавити, стверджуючи, що в природі немає методик проведення аналізу ризиків. Однак всі наявні на сьогоднішній день методики (на жаль, переважно іноземні) дозволяють отримати тільки якісну оцінку. Це, наприклад, такі методики, як Guide to BS 7799 risk assessment and risk management - DISC, PD 3002 і Guide to BS 7799 auditing.о - DISC, PD 3004 (на основі стандартів BS 7799 і ISO / IEC 17799-00). У даних методиках оцінка безпеки інформації проводиться по десяти ключовим контрольним точкам, які або є обов'язкові вимоги (вимоги чинного законодавства), або вважаються основними структурними елементами інформаційної безпеки (припустимо, навчання правилам безпеки). Ці контрольні точки застосовні до всіх організацій. До них відносяться:
- документ про політику інформаційної безпеки;
- розподіл обов'язків по забезпеченню інформаційної безпеки;
- навчання та підготовка персоналу до підтримки режиму інформаційної безпеки;
- повідомлення про випадки порушення захисту;
- засоби захисту від вірусів;
- планування безперебійної роботи організації;
- контроль копіювання програмного забезпечення, захищеного законом про авторське право;
- захист документації організації;
- захист даних;
- контроль відповідності політиці безпеки.
Процедура аудиту безпеки інформаційної безпеки включає в себе перевірку наявності перелічених ключових точок, оцінку повноти та правильності їх реалізації, а також аналіз їх адекватності існуючим ризикам. Такий підхід може дати відповідь тільки на рівні «це добре, а це погано». Питання ж «наскільки погано або добре», «до якої міри критично або некритично» залишаються без відповіді. Тому актуальним є створення такої методики, яка видавала б керівнику кількісний підсумок, повну картину ситуації, цифрами підтверджуючи рекомендації фахівців, що відповідають за забезпечення безпеки інформації в компанії. Розглянемо, що лягло в основу такої методики.
Діяльність із забезпечення інформаційної безпеки спрямована на те, щоб не допустити збитків від втрати конфіденційної інформації. Відповідно, вже передбачається наявність цінної інформації, через втрату якої підприємство може зазнати збитків. Завдяки нехитрим логічним вигадкам отримуємо наступний ланцюжок: джерело загрози - фактор (вразливість) - загроза (дія) - наслідки (атака)
Загрозу ототожнюють зазвичай або з характером (видом, способом) дестабілізуючого впливу на інформацію, або з наслідками (результатами) такого впливу. Однак такого роду терміни можуть мати багато трактувань. Можливий і інший підхід до визначення загрози безпеці інформації, що базується на понятті «загроза». Відповідно до ожеговскім «Словником російської мови», «загроза» - це намір завдати фізичної, матеріальної чи іншої шкоди суспільним чи особистим інтересам, можлива небезпека. Інакше кажучи, поняття загроза жорстко пов'язано з юридичною категорією «збиток», яку Цивільний Кодекс визначає як «фактичні витрати, понесені суб'єктом в результаті порушення його прав (наприклад, розголошення або використання порушником конфіденційної інформації), втрати або пошкодження майна, а також витрати, які він повинен буде зробити для відновлення порушеного права і вартості пошкодженого або втраченого майна »(ГК РФ, частина I, ст. 15). Аналіз негативних наслідків реалізації загроз передбачає обов'язкову ідентифікацію можливих джерел загроз, вразливостей, що сприяють їх прояву і методів реалізації. І тоді ланцюжок виростає в схему, представлену на Мал. 1 .
В ході аналізу необхідно переконатися, що всі можливі джерела загроз і вразливості ідентифіковані і зіставлені один з одним, а всім ідентифікованим джерел загроз і вразливостей зіставлені методи реалізації. При цьому важливо мати можливість, при необхідності, не змінюючи самого методичного інструментарію, вводити нові види джерел загроз, методів реалізації, вразливостей, які стануть відомі в результаті розвитку знань у цій області.
Загрози класифікуються за можливості нанесення шкоди суб'єкту відносин при порушенні цілей безпеки. Збиток може бути заподіяна будь-яким суб'єктом (злочин, вина або недбалість), а також стати наслідком, не залежних від суб'єкта проявів. Погроз не так вже й багато. При забезпеченні конфіденційності інформації це може бути розкрадання (копіювання) інформації і засобів її обробки, а також її втрата (ненавмисна втрата, витік). При забезпеченні цілісності інформації список загроз такий: модифікація (спотворення) інформації; заперечення автентичності інформації; нав'язування неправдивої інформації. При забезпеченні доступності інформації можливо її блокування, або знищення самої інформації і засобів її обробки.
Всі джерела погроз можна розділити на класи, обумовлені типом носія, а класи на групи за місцем розташування (рис. 2а). Уразливості також можна розділити на класи за належністю до джерела вразливостей, а класи на групи і підгрупи по проявах (рис. 2б). Методи реалізації можна розділити на групи за способами реалізації (рис. 2в). При цьому необхідно враховувати, що саме поняття «метод», застосовується лише при розгляді реалізації загроз антропогенними джерелами. Для техногенних та стихійних джерел це поняття трансформується в поняття «передумова».
Класифікація можливостей реалізації загроз (атак), являє собою сукупність можливих варіантів дій джерела загроз певними методами реалізації з використанням вразливостей, які призводять до реалізації цілей атаки. Мета атаки може не збігатися з метою реалізації загроз і може бути спрямована на отримання проміжного результату, необхідного для досягнення надалі реалізації загрози. У разі такого неспівпадання атака розглядається як етап підготовки до вчинення дій, спрямованих на реалізацію загрози, тобто як «підготовка до вчинення» протиправної дії. Результатом атаки є наслідки, які є реалізацією загрози і / або сприяють такої реалізації.
Сам підхід до аналізу й оцінки стану безпеки інформації грунтується на обчисленні вагових коефіцієнтів небезпеки для джерел загроз і вразливостей, порівняння цих коефіцієнтів з наперед заданим критерієм і послідовному скороченні (виключення) повного переліку можливих джерел загроз і вразливостей до мінімально актуального для конкретного об'єкта.
Вихідними даними для проведення оцінки та аналізу ( Мал. 3 ) Служать результати анкетування суб'єктів відносин, спрямовані на з'ясування спрямованості їх діяльності, передбачуваних пріоритетів цілей безпеки, завдань, що вирішуються автоматизованою системою і умов розташування та експлуатації об'єкта. Завдяки такому підходу можливо:
- встановити пріоритети цілей безпеки для суб'єкта відносин;
- визначити перелік актуальних джерел загроз;
- визначити перелік актуальних вразливостей;
- оцінити взаємозв'язок загроз, джерел загроз та вразливостей;
- визначити перелік можливих атак на об'єкт;
- описати можливі наслідки реалізації загроз.
Результати проведення оцінки та аналізу можуть бути використані при виборі адекватних оптимальних методів парирування загрозам, а також при аудиті реального стану інформаційної безпеки об'єкта для цілей його страхування.
При визначенні актуальних загроз, експертно-аналітичним методом визначаються об'єкти захисту, схильні до дії тієї чи іншої загрози, характерні джерела цих загроз і вразливості, що сприяють реалізації загроз.
На підставі аналізу складається матриця взаємозв'язку джерел загроз і вразливостей з якої визначаються можливі наслідки реалізації загроз (атаки) і обчислюється коефіцієнт небезпеки цих атак як твір коефіцієнтів небезпеки відповідних загроз і джерел загроз, визначених раніше.
Запропонована класифікація може служити основою для вироблення методики оцінки актуальності тієї чи іншої загрози, а вже по виявленню найбільш актуальних загроз можуть вживатися заходи щодо вибору методів і засобів протистояння їм.
Сальватор Далі відзначав: «Не бійся досконалості, тобі його НЕ досягти». Сказане вище не є панацеєю при побудові системи безпеки інформації. Однак системний підхід до вирішення питань інформаційної безпеки дозволяє закласти комплекс заходів по парирування загроз безпеки інформації вже на стадії проектування, тим самим позбавивши себе від зайвих витрат надалі.
Сергій Вихорев ( [email protected] ), Роман Кобцев ( [email protected] ) - співробітники ВАТ «Елвіс Плюс» (Москва).