Інтернет-видання про високі технології

1. Витрати на ІТ-захист: шукаємо золоту середину Оцінка оптимального рівня інвестицій в інформаційну...

Витрати на ІТ-захист: шукаємо золоту середину

Оцінка оптимального рівня інвестицій в інформаційну безпеку компанії є комплексним завданням, для вирішення якої необхідно використовувати програмні комплекси аналізу і контролю інформаційних ризиків.

потенційний збиток

Аналіз інформаційних ризиків є комплексну оцінку захищеності інформаційної системи, остаточним результатом якої є отримання кількісних або якісних показників ризиків. При цьому ризик - це ймовірний збиток, який залежить від захищеності системи. Таким чином, на виході алгоритму аналізу ризику можна отримати ту суму, яку в середньому буде втрачати підприємство при заданій органіцазіі ІБ.

Необхідність вкладень в забезпечення інформаційної безпеки сьогодні не викликає сумнівів, проте оцінка рівня інвестицій, адекватного можливим загрозам, є складним завданням. Згідно зі звітом ФБР США за 2003 рік, в основі якого лежить опитування 530 американських компаній (середній і великий бізнес), до 70% з них піддавалися не тільки потенційних ризиків, а й реальним атакам.

Піддавалася компанія атакам?
(в% від числа опитаних)

Джерело: ФБР США, 2003. рік

Максимальними за розміром економічних збитків є втрати від крадіжки корпоративної інформації, які оцінюються ФБР більше 70 млн. Дол. На другому місці - простої, обходяться порядку 65-65 млн. Дол. На третьому - збитки від вірусів, які складають більше 27 млн. Дол.

Структура шкоди від основних вразливостей ІБ, $ млрд.
(на підставі опитування 251 амеріконской компанії)

Джерело: ФБР США, 2003. рік

Основні терміни та визначення.

Загроза безпеки - це потенційно можлива подія, яка може вплинути на інформацію в системі

Уразливість - це якась невдала характеристика системи, яка робить можливим виникнення загрози

Атака - це дія з використання уразливості; атака - це реалізація загрози

Загроза конфіденційності - загроза розкриття інформації

Загроза цілісності - загроза зміни інформації

Загроза доступності - загроза порушення працездатності системи при доступі до інформації

Збиток - це вартість втрат, яких зазнає компанія в разі реалізації загроз конфіденційності, цілісності, доступності по кожному виду цінної інформації. Збиток залежить тільки від вартості інформації, яка обробляється в автоматизованій системі. Збиток є характеристикою інформаційної системи і не залежить від її захищеності.

Ризик - це ймовірний збиток, який залежить від захищеності системи.

Сучасні методи аналізу ризиків розрізняються по використовуваному підходу; зазвичай умовно виділяється аналіз ризиків базової та повної рівня. Для аналізу ризиків базового рівня досить перевірити ризик невиконання вимог загальноприйнятого стандарту безпеки (зазвичай ISO 17799, або комплексні системи розробки та управління політикою безпеки інформаційної системи ) З отриманням на виході якісної оцінки рівня ризиків (високий, середній, низький).

Найбільш докладно слід розглянути повний аналіз інформаційних ризиків. Саме ця тема викликає найбільшу кількість дискусій, так як з аналізом ризиків базового рівня істотних питань зазвичай не виникає. Основна відмінність повного аналізу ризиків від базового полягає в необхідності побудови повної моделі аналізованої інформаційної системи. Модель повинна включати: види цінної інформації, об'єкти її зберігання; групи користувачів і види доступу до інформації; засоби захисту (включаючи політику безпеки), види загроз.

Модель аналізу інформаційної системи

Після моделювання необхідно перейти до етапу аналізу захищеності побудованої повної моделі інформаційної системи. На цьому етапі виникає цілий пласт теоретичних і практичних проблем, з якими стикаються розробники алгоритмів аналізу ризику повного рівня. Перш за все виникає питання, як алгоритмічно (без експерта) оцінити захищеність інформаційної системи (зауважимо, що мова не йде про сканування конкретних вразливостей в конкретному застосовується програмному забезпеченні - таких систем аналізу ризику не існує). Наступні проблеми - алгоритмічне визначення всіх класів вразливостей в системі захисту аналізованої системи і оцінка збитку від всіх існуючих в системі загроз безпеки. Найбільш складна проблема: ризик категорія суто імовірнісна - як оцінити ймовірність реалізації безлічі загроз інформаційної системи?

вибір шляху

При створенні алгоритму сучасного аналізу ризиків необхідно вирішити весь перерахований вище спектр проблем. На сьогоднішній день з існуючих і реально використовуються на практиці програмних комплексів аналізу і контролю інформаційних ризиків можна виділити британський CRAMM (компанія Insight Consulting ), Американський RiskWatch (компанія RiskWatch ) І російський ГРИФ (компанія Digital Security ).

CRAMM

Метод CRAMM (the UK Goverment Risk Analysis and Managment Method) розроблений Службою Безпеки Великобританії (UK Security Service) за завданням Британського уряду і взятий на озброєння в якості державного стандарту. Він використовується, починаючи з 1985 р урядовими та комерційними організаціями Великобританії. За цей час CRAMM набув популярності у всьому світі. Фірма Insight Consulting Limited займається розробкою і супроводом однойменного програмного продукту, що реалізує метод CRAMM.

В даний час CRAMM - це досить потужний і універсальний інструмент, що дозволяє, крім аналізу ризиків, вирішувати також і ряд інших аудиторських завдань, включаючи:

• проведення обстеження ІС і випуск супровідної документації на всіх етапах його проведення;
• проведення аудиту відповідно до вимог Британського уряду, а також стандарту BS 7799: 1995 - Code of Practice for Information Security Management BS7799;
• розробка політики безпеки і плану забезпечення безперервності бізнесу.

В основі методу CRAMM лежить комплексний підхід до оцінки ризиків, поєднуючи кількісні та якісні методи аналізу. Метод є універсальним і підходить як для великих, так і для дрібних організацій, як урядового, так і комерційного сектора. Версії програмного забезпечення CRAMM, орієнтовані на різні типи організацій, відрізняються один від одного своїми базами знань (profiles). Для комерційних організацій є Комерційний профіль (Commercial Profile), для урядових організацій - Урядовий профіль (Government profile). Урядовий варіант профілю, також дозволяє проводити аудит на відповідність вимогам американського стандарту ITSEC ( «Помаранчева книга»).

Одним з найбільш важливих результатів, які можна отримати при використанні методу CRAMM, є можливість економічного обгрунтування витрат організації на забезпечення інформаційної безпеки і безперервності бізнесу. Економічно обґрунтована стратегія управління ризиками дозволяє, в кінцевому підсумку, економити кошти, уникаючи невиправданих витрат.

CRAMM передбачає поділ всієї процедури на три послідовні етапи. Завданням першого етапу є відповідь на питання: «Чи достатньо для захисту системи застосування засобів базового рівня, що реалізують традиційні функції безпеки, або необхідно проведення більш детального аналізу?» На другому етапі проводиться ідентифікація ризиків і оцінюється їх величина. На третьому етапі вирішується питання про вибір адекватних контрзаходів. Методика CRAMM для кожного етапу визначає набір вихідних даних, послідовність заходів, анкети для проведення інтерв'ю, списки перевірки і набір звітних документів.

До недоліків методу CRAMM можна віднести наступне:

• використання методу CRAMM вимагає спеціальної підготовки і високої кваліфікації аудитора;
• CRAMM в набагато більшому ступені підходить для аудиту вже існуючих ІС, що знаходяться на стадії експлуатації, ніж чим для ІС, що знаходяться на стадії розробки;
• аудит за методом CRAMM - процес досить трудомісткий і може зажадати місяців безперервної роботи аудитора;
• програмний інструментарій CRAMM генерує велику кількість паперової документації, яка не завжди виявляється корисною на практиці;
• CRAMM не дозволяє створювати власні шаблони звітів або модифікувати наявні;
• можливість внесення доповнень до бази знань CRAMM недоступна користувачам, що викликає певні труднощі при адаптації цього методу до потреб конкретної організації.
• ПО CRAMM існує тільки англійською мовою
• висока вартість ліцензії

RiskWatch

У методі RiskWatch в якості критеріїв для оцінки і управління ризиками використовуються «пророцтво річних втрат» (Annual Loss Expectancy - ALE) і оцінка «повернення від інвестицій» (Return on Investment - ROI). RiskWatch допомагає провести аналіз ризиків і зробити обґрунтований вибір заходів і засобів захисту.

До недоліків RiskWatch можна віднести:

• можливість проводити аналіз ризиків тільки на програмно-технічному рівні захисту, без урахування організаційних і адміністративних чинників;
• одержувані оцінки ризиків (математичне очікування втрат) не вичерпують розуміння ризику з системних позицій - метод не враховує комплексний підхід до інформаційної безпеки;
• ПО RiskWatch існує тільки на англійській мові;
• висока вартість ліцензії (від 15 000 дол. за одне робоче місце для невеликої компанії; від 125 000 долл. за корпоративну ліцензію)

ГРИФ

В алгоритмі ГРИФ від користувача не потрібно вводити ймовірності реалізації загроз. Дана система моделює доступ всіх груп користувачів до всіх видів інформації і в залежності від виду доступу і виду ресурсу розглядаються кінцеве безліч очевидних елементарних ситуацій, де початкову ймовірність реалізації загрози можна визначити досить просто і точно. Далі аналізується безліч елементарних факторів, які так чи інакше впливають на захищеність, і потім робиться висновок про підсумкові ризики. Таким чином, в рамках алгоритму ГРИФ застосовується типовий алгоритмічний підхід, коли рішення великої складної задачі розбивається на безліч невеликих простих завдань.

Підсумкова оцінка ГРИФ грунтується на комплексі параметрів, які визначаються, перш за все, захищеністю аналізованого об'єкта: аналізуються як технологічні аспекти захищеності (включаючи облік вимог стандартів Good Practice, ISO 15408 та ін., І таких важливих з точки зору реального проникнення моментів, як знаходження в одному сегменті, дії хакера через найменш захищений об'єкт взаємодії і т.д.,) так і питання комплексної безпеки згідно ISO 17799 (організація, управління, адміністрування, фіз. безпеку і т.д.).

До недоліків системи ГРИФ можна віднести:

• відсутність можливості порівняння звітів на різних етапах впровадження комплексу заходів щодо забезпечення захищеності
• відсутність можливості додати специфічні для даної компанії вимоги політики безпеки

Таким чином, для аналізу і отримання адекватних оцінок захищеності інформаційної системи, оцінки необхідних витрат на інформаційну безпеку, отримання максимальної ефективності цих витрат, на сьогоднішній день на ринку представлений ряд інструментів, що дозволяють ІТ-менеджеру отримувати результати самостійно без залучення сторонніх експертів. Вибір фахівця в кожному конкретному випадку буде залежати від того, що потрібно отримати на виході при роботі з тією чи іншою системою аналізу ризиків.

Ілля Медведовський, к.т.н.

Мішель Мур: Керівництво зобов'язане забезпечити ефективність контрольних процедур

В інтерв'ю CNews.ru експерти компанії «Ернст енд Янг» розповіли про аудит систем інформаційної безпеки, методах і засобах аналізу та управління ризиками. На питання кореспондента відповіли Мішель Мур, партнер компанії «Ернст енд Янг», керівник відділу послуг з інформаційних технологій та комп'ютерної безпеки, і Микола Петров, CISSP, менеджер відділу послуг з інформаційних технологій та комп'ютерної безпеки.

CNews.ru: Які області, на ваш погляд, потребують найбільшої уваги з боку аудитора інформаційних систем в зв'язку з посилилися вимогами до фінансової звітності компанії?

Мішель Мур: Відповідно до прийнятого в 2002 році закону Сарбейнса-Окслі, вимоги якого поширюються на всі компанії, що котируються на фондових ринках, незалежно від того, утворені вони в США або в інших країнах, звіт про систему внутрішнього контролю компанії повинен містити формулювання відповідальності керівництва за створення і забезпечення працездатності відповідної структури внутрішнього контролю, а також оцінку ефективності проведених процедур. Оскільки інформаційні технології відіграють в сучасних компаніях лідируючу роль в процесі підготовки фінансової звітності, необхідно приділяти велику увагу аудиту інформаційних систем і наявності ефективних контрольних процедур. Велика частина з тих проблем, які повинні бути адресовані аудиторам відповідно до Закону (SOX ст.302 і 404), відноситься до області загальних комп'ютерних контрольних процедур. Вони обумовлені недостатньо повно проробленим дизайном інформаційних систем або відсутністю ключових контрольних механізмів і процедур.

CNews.ru: Які в зв'язку з цим ваші рекомендації керівникам компаній?

Мішель Мур: Аналізуючи проблему неефективності контролю, яка означає потенційну вразливість компанії, ми бачимо тривожну картину. Більшість виявлених недоліків відноситься до сфери інформаційних технологій, і зокрема, загальних контрольних процедур. Даний факт викликає занепокоєння, оскільки інформаційні технології впливають на різні сфери бізнесу і вимагають значних зусиль і фінансових витрат на створення ефективних механізмів контролю.

Керівники компаній повинні своєчасно планувати роботу по оцінці контрольних процедур в області інформаційних технологій з тим, щоб закласти в бюджет відповідні заходи щодо виправлення виявлених недоліків. Таким чином, необхідна чітка координація між роботами, які виконуються в області інформаційних технологій, і роботами в області ведення бізнесу.

Повний текст інтерв'ю