• Главная
    • /
  • Блог
    • /
  • Аналіз застосовності існуючих методів оцінки ризиків в області інформаційної безпеки :: Журнал СА 1-2.2018

Аналіз застосовності існуючих методів оцінки ризиків в області інформаційної безпеки :: Журнал СА 1-2.2018

РЕПИН М РЕПИН М.М. , Викладач, Московський політехнічний університет, напрямок «Інформаційна безпека», [email protected]

ПШЕХОТСКАЯ Е ПШЕХОТСКАЯ Е.А. , К.ф.н., доцент факультету інформатики та систем управління, керівник освітньої програми «Безпека перспективних інформаційних систем», Московський політехнічний університет

Плоткін А Плоткін А.С. , Студент, Московський політехнічний університет, напрямок «Інформаційна безпека», [email protected]

Кривоногов А Кривоногов А.А. , Студент, Московський політехнічний університет, напрямок «Інформаційна безпека», [email protected]

Аналіз застосовності існуючих методів оцінки ризиків
в області інформаційної безпеки

Для вирішення різних завдань в сучасному світі все частіше використовуються інформаційні технології. Існує щорічна тенденція зростання кіберзагроз інформаційних ресурсів, і їх захист є однією з найважливіших задач. Рішення даного завдання вимагає підготовки і прийняття організаційних і технічних заходів щодо забезпечення кібербезпеки інформаційних ресурсів. Фундаментальною основою для побудови будь-якої системи захисту від кіберзагроз є аналіз рісков.В цій статті розглядаються деякі з тих методів, які не використовуються на даний момент в області інформаційної безпеки, але є потенційно застосовними в майбутньому

Під аналізом ризиків розуміється процедура виявлення факторів ризиків і оцінки їх значимості. Таким чином, ризик є ймовірність того, що відбудуться певні небажані події, що негативно впливають на досягнення цілей конкретного бізнес-процесу. Аналіз ризиків включає оцінку ризиків і методи зниження ризиків або зменшення пов'язаних із цим несприятливих наслідків.

Аналіз ризиків можна поділити на два взаємно доповнюють один одного види: якісний і кількісний. Якісний аналіз має на меті визначити (ідентифікувати) чинники, області та види ризиків. Кількісний аналіз ризиків повинен дати можливість чисельно визначити розміри окремих ризиків і загального розміру ризику в цілому. Підсумкові результати якісного аналізу ризиків, в свою чергу, служать вихідною інформацією для проведення кількісного аналізу.

Однак здійснення кількісної оцінки зустрічає і найбільших труднощів, пов'язані з тим, що для кількісної оцінки ризиків потрібна відповідна вихідна інформація і чітко визначена шакала оцінки.

Тематика застосування різних методів аналізу ризику в інформаційній безпеці розглядається в рамках курсу «Введення в аналітику інформаційної безпеки», який читається автором в Московському політехнічному університеті.

1. Процес аналізу ризиків в інформаційній безпеці

Сутність будь-якого підходу до управління ризиками полягає в аналізі чинників ризику і прийняття адекватних рішень по обробці ризиків. Фактори ризику пов'язані з основними параметрами, якими оперують при оцінці ризиків. Наведемо деякі з них:

  • Актив - має певну цінність для організації, що використовує його в своїй діяльності.
  • Збиток - втрата активів, пошкодження активів або іншу шкоду активам.
  • Загроза - це потенційна причина інциденту, який може завдати шкоди системі, організації або бізнес-процесу.
  • Уразливість - слабкі сторони процесу або системи, які можуть бути використані загрозами для заподіяння шкоди активів або всієї організації в цілому.
  • Розмір середньорічних втрат - статистика втрат від реалізації ризиків за весь рік.

Залежно від використовуваної в організації методологією оцінки ризиків визначаються способи аналізу і оцінки представлених параметрів.

Процес аналізу ризиків в цілому складається з трьох етапів:

  1. Підготовка до проведення аналізу ризиків.
  2. Аналіз сценаріїв можливих інцидентів.
  3. Визначення ступеня ризику і підбір рекомендацій з управління ризиками.

Розглянемо найбільш часто застосовуються методи оцінки та аналізу ризиків.

2. Експертні методи оцінки ризиків

Методи експертних оцінок є комплекс логічних і математико-статистичних методів і процедур по обробці результатів опитування групи експертів, причому результати опитування є єдиним джерелом інформації. В цьому випадку виникає можливість використання інтуїції, життєвого і професійного досвіду учасників опитування. Метод використовується тоді, коли недолік або повна відсутність інформації не дозволяє використовувати інші можливості.

Розглянемо метод експертних оцінок на прикладі методу Дельфі, що застосовується в політиці, науці, стратегічному плануванні.

Метод Дельфі. Даний метод є одним з найбільш формальних методів експертного прогнозування. Згідно з методом Дельфі аналіз проблеми відбувається в кілька етапів. На першому етапі аналітики компанії розробляють систему змінних для конкретного випадку, потім залучають широке коло експертів, що визначають вагу кожної змінної з даного ризику, і на етапі аналізу проводяться оцінка думок експертів, аналіз отриманих висновків і підготовка кінцевих практичних рекомендацій щодо поставленої проблеми. Даний підхід був оцінений Дж. Саймоном як «спорадичний, заснований на селективному, неконтрольованому сприйнятті або ідеологічних і особистісних пристрастях» [1].

В якості переваг даного методу можна виділити той факт, що якісний підхід дозволяє оцінити специфіку кожної конкретної ситуації. У деяких випадках уважне дослідження різних елементів, що визначають ситуацію, може бути більш важливим, ніж проведення систематичної кількісної оцінки.

Даний метод сприяє виробленню незалежного мислення членів експертної групи і дозволяє отримати зважену оцінку розглянутого питання.

До недоліків можна віднести надмірну суб'єктивність оцінок. При прийнятті рішень будь-які риси чи переваги експертів можуть чинити істотний вплив на підсумкові оцінки.

Також основним обмеженням в його використанні є складність в підборі великої групи експертів, що володіють необхідною компетенцією в досліджуваному питанні.

Оцінюючи метод Дельфі, можна зробити висновок, що він застосуємо в області забезпечення інформаційної безпеки, але тільки для поверхневого аналізу ризиків. У той же час при його використанні в комбінації з іншими методами може бути отриманий результат з широким покриттям можливих варіацій досліджуваної проблеми.

3. Статистичні методи оцінки ризиків

Статистичні методи оцінки ризиків полягають у визначенні ймовірності виникнення втрат на основі статистичних даних попереднього періоду і встановленні області (зони) ризику, коефіцієнта ризику і інших параметрів ризику.

В якості основних переваг статистичних методів можна відзначити можливість проводити аналіз і оцінку різних варіантів розвитку подій і враховувати різні фактори ризиків в рамках одного підходу з урахуванням накопичених статистичних даних. У той же час істотним недоліком є ​​необхідність використання в даних методах імовірнісних характеристик.

Розглянемо докладніше такі методи, як RiskMetrics і Імітаційне моделювання.

RiskMetrics. Однією з найбільш поширених на сьогоднішній момент методологій оцінки ринкових ризиків є метод Вартості ризику (Value-at-Risk, VaR). Метод VaR є сумарною мірою ризику, здатної виробляти порівняння ризику по різним портфелям (наприклад, по портфелях з акцій і облігацій) і за різними фінансовими інструментами (наприклад, форварди та опціони) [2].

За останні кілька років VaR набув широкого поширення в якості засобу керування і контролю ризику в компаніях різного типу і масштабу. Однією з основних причин цього поширення стало розкриття інвестиційною компанією Дж. П. Морган системи оцінювання ризику RiskMetrics з наданням в вільне користування бази даних для цієї системи всім учасникам ринку. Значення VaR, отримані з використанням системи RiskMetrics, приймаються за еталон оцінок VaR [3, 4].

RiskMetrics - це набір засобів, що дозволяють визначити ступінь впливу ринкового ризику на позицію інвестора через обчислення VaR.

RiskMetrics складається з трьох основних компонентів: система оцінки ризиків, розроблена Дж. П. Морган, база даних по інструментах для розрахунку ринкового ризику і програмне забезпечення, що використовує технологію RiskMetrics, що поставляється компанією Дж. П. Морган, підрозділами Reuters і низкою інших постачальників.

В якості основних недоліків даного методу і підходу VaR в цілому можна відзначити наступні. Незалежно від застосовуваних методів в обчисленнях використовуються статистичні дані, що не дозволяє в повній мірі враховувати різкі коливання і відхилення в рамках досліджуваної проблеми. Другим істотним недоліком є ​​неможливість гнучкого управління структурою портфеля для зниження рівня ризику через відсутність в методиках даного класу механізмів обліку ліквідності. Третім фактором, що істотно впливає на якість одержуваної оцінки, є наявність припущень про вид та параметрах емпіричної функції розподілу ймовірностей, властивості фінансового ринку і середовищі оточення в цілому, поведінці учасників ринку і чутливості портфеля [5].

В якості основного переваги методології VaR можна відзначити можливість оцінки ризику в термінах можливих втрат в зв'язку з ймовірністю їх виникнення, що дозволяє виміряти ризик для різних умов середовища оточення універсальним способом, а також об'єднати ризики окремих компонентів в єдину величину для всього об'єкта дослідження в цілому, з урахуванням різних факторів, що впливають на об'єкт оцінки. Також позитивною стороною VaR є можливість аналітичного порівняння втрат і відповідних ризиків.

Імітаційне моделювання та ймовірність виконання. Метод імітаційного моделювання є одним з найпотужніших методів аналізу економічної системи. У загальному випадку під ним розуміється процес проведення на ЕОМ експериментів з математичними моделями складних реальних систем. У свою чергу, оцінка ймовірності виконання дозволяє дати спрощену статистичну оцінку ймовірності виконання досліджуваного рішення шляхом розрахунку частки виконаних і невиконаних рішень в загальній сумі прийнятих рішень.

Імітаційне моделювання використовується в тих випадках, коли проведення реальних експериментів, наприклад з економічними системами, недоцільно, вимагає значних витрат і / або не можливо на практиці. Крім того, часто практично нездійсненний або вимагає значних витрат збір необхідної інформації для прийняття рішень, в подібних випадках відсутні фактичні дані замінюються величинами, отриманими в процесі імітаційного експерименту [6].

В якості основного переваги даного методу можна виділити те, що він дає можливість здійснити експеримент, коли проведення реальних експериментів не представляється можливим. Це дозволяє отримати спрощену оцінку ймовірності виконання. У разі якщо даних для проведення експерименту недостатньо, вони генеруються машинним методом.

У свою чергу, використання імітаційного підходу створює ймовірність того, що оцінка ризику буде проведена не повністю чи занехають охоплені всі необхідні ризики.

Розглянуті методи в основному використовуються в сфері економіки, але вони також мають потенційну можливість застосування в області інформаційної безпеки. Так, наприклад, метод імітаційного моделювання може дати попередню оцінку вразливості інформаційних систем, так як є можливість проведення моделювання реалізації загрози інформаційній безпеці без взаємодії з реальною системою.

4. Інформаційні методи

В якості основного завдання інформаційних методів оцінки ризиків можна виділити визначення ризиків, найбільш актуальних для конкретної інформаційної системи.

Розглянемо найбільш актуальні і популярні методи, такі як CRAMM, RiskWatch і CORAS.

Метод CRAMM. Метод CRAMM (CCTA Risk Analysis and Management Method) був розроблений компанією Insight Consulting за вимогами Центрального агентства з комп'ютерів і комунікацій Великобританії. Через деякий час були реалізовані версії CRAMM для цивільних, фінансових і комерційних організацій [7].

Аналіз ризиків в CRAMM складається з ідентифікації і визначення рівня ризиків на основі оцінки активів, погроз і вразливостей активів.

В основі CRAMM лежить формальний підхід, який повинен дозволити переконатися, що існує впевненість в тому, що:

  • вимоги, пов'язані з безпекою, проаналізовані та задокументовані;
  • витрати, пов'язані з побудовою інформаційної системи, виправдані, немає надлишкових заходів захисту;
  • всі можливі ризики ідентифіковані;
  • уразливості ресурсів ідентифіковані та їх рівні оцінені;
  • загрози ідентифіковані та їх рівні оцінені;
  • заходи захисту ефективні.

У CRAMM передбачається поділ процедури аналізу ризиків на три етапи:

  1. Ідентифікація та визначення цінності активів.
  2. Оцінка ризиків (включає в себе оцінку загроз і вразливостей).
  3. Вибір заходів захисту і рекомендацій.

CRAMM володіє великою бібліотекою заходів захисту, що складається приблизно з 3500 найменувань, розділеної на 70 логічних груп. Вибір заходів захисту також може визначатися відповідно до вимог стандартів BS7799: 2005 / ISO 27001.

До переваг методу CRAMM можна віднести:

  • комплексний підхід до оцінки ризиків;
  • застосування технології оцінки загроз і вразливостей за непрямими факторів з можливістю верифікації результатів;
  • зручну систему моделювання інформаційної системи для застосування в сфері інформаційної безпеки;
  • широку базу знань щодо заходів захисту;
  • універсальність і адаптованість під профілі різних організацій;
  • проведення аудиту на відповідність міжнародним стандартам.

У свою чергу можна відзначити наступні недоліки методу CRAMM:

  1. Використання методу CRAMM вимагає спеціальної підготовки і високої кваліфікації аудитора.
  2. CRAMM в набагато більшому ступені підходить для аудиту вже існуючих інформаційних систем, що знаходяться на стадії експлуатації, ніж чим для систем, що знаходяться на стадії розробки.
  3. Аудит за методом CRAMM - процес досить трудомісткий і може зажадати місяців безперервної роботи аудитора.
  4. Програмний інструментарій CRAMM генерує велику кількість паперової документації, яка не завжди виявляється корисною на практиці.
  5. CRAMM не дозволяє створювати власні шаблони звітів або модифікувати існуючі.
  6. Можливість внесення доповнень до бази знань CRAMM недоступна користувачам, що викликає певні труднощі при адаптації цього методу до потреб конкретної організації [8].

Метод RiskWatch. Метод RiskWatch розроблений американською компанією RiskWatch, Inc. за участю NIST, Міністерства оборони США і Міністерства оборони Канади. На ньому заснований цілий ряд програмних продуктів для проведення різних видів аудиту, в тому числі на відповідність багатьом стандартам і керівними документами (за межами США їх актуальність викликає питання, крім стандарту PCI DSS), які можна класифікувати за такими областям застосування - медицина, банківський і фінансовий сектор, корпоративна безпека.

У всіх продуктах RiskWatch в якості базової платформи використовується поширена серед продуктів такого роду архітектура. Спрощене уявлення такої архітектури включає в себе наступне:

  1. Широку базу знань, що містить інформацію за активами, погроз, вразливостей, видам шкоди, заходам захисту, а також опитувальні листи для оцінки факторів ризику.
  2. Програмний інтерфейс для роботи з базою знань і оцінювання ризиків на підставі даних з бази знань і результатів опитувань.
  3. Інтерфейсні модулі, призначені для формування та заповнення опитувальних листів користувачами, а також для створення звітів за результатами оцінки ризиків.

У методі RiskWatch в якості показників для оцінки і управління ризиками використовуються прогнозіруемиe среднегодовиe втрати (Annualized Loss of Expectancy, ALE) і оцінка повернення від інвестицій (Return on Investment, ROI).

Метод RiskWatch включає в себе чотири фази:

  • Перша фаза - визначення предмета дослідження. На даного етапі здійснюється описание об'єкта дослідження и его параметрів, таких як інфраструктура досліджуваної системи, застосовні вимоги относительно забезпечення інформаційної безпеки, клас организации.
  • Друга фаза - введення Даних, что опісують конкретні характеристики досліджуваної системи.

Класи інцідентів Виходять Шляхом зіставлення категорії Втрата и категорії ресурсов. Для Виявлення можливости вразливостей вікорістовується опітувальній лист, что складається з широкого спектру вопросам, пов'язаних з категоріямі ресурсов. Допускається коригування вопросам, віключення або Додавання Нових. Встановлюється частота виникнення кожної з актуальних загроз, вразливість і цінність активів.

Очікувана частота реалізації загроз визначається в термінах середньорічний оціночної частоти загрози (Annual Frequency Estimate, AFE). База знань RiskWatch визначає для кожної загрози стандартну оціночну частоту (Standard Annual Frequency Estimate, SAFE). Для обчислення величини ризику використовується локальна оціночна частота загрози (Local Annual Frequency Estimate, LAFE), що визначається користувачем самостійно на підставі значення SAFE.

Для кожної компоненти інформаційної системи визначається її вартість (витрати на впровадження і супровід), а також враховується стадія життєвого циклу компоненти, тривалість життєвого циклу компоненти і здатність даної компоненти зменшити оціночну частоту загрози LAFE.

  • Третя фаза - оцінка ризиків (Evaluation). На даному етапі здійснюється визначення зв'язків між активами, втратами, частотою реалізації загроз і уразливими, виявленими на попередніх етапах. Для ризиків розраховуються прогнозовані середньорічні втрати (Annualized Loss of Expectancy, ALE).

Додатково розглядаються альтернативні сценарії, що дозволяють спрогнозувати наслідки від впровадження компоненти системи.

  • Четверта фаза - формування звітів (Reports).

Як недоліки RiskWatch можна визначити те, що даний метод підходить, якщо потрібно провести аналіз ризиків без урахування організаційних і адміністративних чинників. Розглянутий метод не враховує комплексний підхід до інформаційної безпеки, аналізуючи тільки технічну реалізацію.

Метод CORAS. Метод CORAS дозволяє здійснювати аналіз ризиків шляхом їх моделювання. Його суть полягає в адаптації, уточнення і комбінуванні таких методів проведення аналізу ризиків, як Event-Tree-Analysis, ланцюги Маркова, HazOp і FMECA. CORAS використовує технологію UML і базується на австралійському / новозеландському стандарті AS / NZS 4360: 1 999 Risk Management і ISO / IEC 17799-1 2000 Code of Practice for Information Security Management. У цьому стандарті враховані рекомендації, викладені в документах ISO / IEC TR 13335-1: 2001 Guidelines for the Management of IT Security і IEC 61508 2000 Functional Safety of Electrical / Electronic / Programmable SafetyRelated.

Відповідно до підходом CORAS інформаційні системи розглядаються не тільки з точки зору використовуваних технологій, а як складний комплекс, в якому враховується і людський фактор [9].

Процедура аналізу ризиків за допомогою методології CORAS в загальному складається з восьми кроків:

  1. Підготовка до проведення аналізу. Збір відомостей про об'єкти аналізу, оцінка кордонів аналізу і його глибини.
  2. Проведення співбесіди з організацією. Визначення точки зору організації на аналізовані об'єкти.
  3. Опис завдання аналітиком після проведення співбесіди та вивчення документації. Виявлення основних активів, що вимагають захисту, високорівневе опис актуальних загроз, сценаріїв проведення загроз.
  4. Вивчення наданої документації на об'єкти аналізу. Визначення критерію оцінювання ризику для кожного активу.
  5. Проведення заходів по ідентифікації ризиків. З цією метою CORAS використовує структурований «мозковий штурм» - це методика, за якою аналітики крок за кроком досліджують об'єкт аналізу за допомогою працівників організації. Сутність даного методу полягає в неоднорідності експертів, що мають різну компетенцію, переваги, схильності і судження, що дозволяє охопити більшу частину особливостей досліджуваного об'єкта при проведенні аналізу і виявити існуючі ризики.
  6. Ідентифікація ризику включає в себе виявлення актуальних загроз, інцидентів інформаційної безпеки, сценаріїв загроз, вразливостей щодо конкретного об'єкта аналізу.
  7. Визначення рівня ризику, який виникає при конкретному інциденті інформаційної безпеки.
  8. На даному етапі визначається політика обробки ризиків.
  9. Останній крок присвячений ідентифікації та аналізу методів обробки. Неприйнятні ризики аналізуються з метою пошуку методів їх мінімізації. Одним з істотних факторів при виборі методу обробки ризиків є вартість його реалізації.

Висновок

У статті наведено аналіз найбільш актуальних на даний момент часу методик аналізу ризиків.

З урахуванням висновків, наведених у статті, можна зробити висновок, що в якості оптимального підходу для оцінки ризиків інформаційної безпеки можна застосувати комбінований підхід. Даний підхід полягає у використанні комплексу методів аналізу ризиків, що складається з найбільш підходящих для конкретних областей діяльності певної організації. Наприклад, метод Дельфі добре поєднується з CRAMM за рахунок того, що метод Дельфі дозволяє враховувати специфічні особливості конкретного об'єкта. Це допомагає підвищити точність оцінки ризиків інформаційної безпеки шляхом обліку всіх характеристик інформаційної системи.

Таким чином, розглянуті загальні методи аналізу ризиків, за умови їх адаптації та доопрацювання, можуть успішно застосовуватися в сфері інформаційної безпеки.

  1. Simon JD, Political risk assessment: Past trends and future prospects // Columbia Journal of World Business, 1982. P. 68
  2. Engel J., Gizycki M. Conservatism, Accuracy and Efficiency: Comparing Evaluate-Risk Models. // Sydney: Reserve Bank of Australia, 1998..
  3. Risk Metrics ™ Technical Document - Fourth Edition. New York: RiskMetrics Group, 1995.
  4. Dave RD, Stahl G. On the Accuracy of VaR Estimates Based on the Variance-Covariance Approach. // Zurich: Olsen & Associates, 1996..
  5. Farton W. Calculating Value-at-Risk // Philadelphia: Wharton School, 1996..
  6. Бондаревський А.С., Лебедєв А.В. Імітаційне моделювання: визначення, застосовність і технічна реалізація // Фундаментальні дослідження. 2011, № 12-3. - С. 535-541.
  7. Астахов А.М. Мистецтво управління інформаційними ризиками. - М .: Изд-во ДМК Пресс, 2010. 312 с.
  8. Розумників С.В. Аналіз можливості застосування методів OCTAVE, RISKWATCH, CRAMM для оцінки ризиків ІТ для хмарних сервісів // Сучасні проблеми науки та освіти. 2014 року, № 1. - С. 1.
  9. Баранова Є.К. Методики та програмне забезпечення для оцінки ризиків в сфері інформаційної безпеки // Управління ризиком. 2009, № 1 (49). - С. 15-26.

Ключові слова: управління ризиками, аналіз ризиків, застосування методів аналізу ризиків інформаційної безпеки.

Analysis of the applicability of existing methods of information security risk assessment

Repin MM, lecturer, Moscow Polytechnic University, direction "Information security", [email protected]

Przhekotskaya EA, Ph.D., Associate Professor of the Faculty of Informatics and Management Systems , Head of the Educational Program "Security of Advanced Information Systems", Moscow Polytechnic University

Plotkin AS, student, Moscow Polytechnic University, direction "Information Security", [email protected]

Krivonogov AA, student, Moscow Polytechnic University, direction "Information security", [email protected]

Abstract: To solve various problems in the our world, information technology is increasingly being used. There is an annual growth trend of cyber threats to information resources, and their protection is one of the most important tasks. The solution of this problem requires the preparation and adoption of organizational and technical measures to ensure the cybersecurity of information resources. The basis for building any system of protection from cyberthreats is a risk analysis. This article discusses some of the methods that are not currently used in the field of information security, but potentially applicable in the future.

Keywords: risk management, risk analysis, information security risk analysis methods application.