Анализ применимости существующих методов оценки рисков в области информационной безопасности

 РЕПИН М.М., преподаватель, Московский политехнический университет, направление «Информационная безопасность», bmstu.iu8@gmail.com

 ПШЕХОТСКАЯ Е.А., к.ф.н., доцент факультета информатики и систем управления, руководитель образовательной программы «Безопасность перспективных информационных систем», Московский политехнический университет

 ПЛОТКИН А.С., студент, Московский политехнический университет, направление «Информационная безопасность», sances.98@mail.ru

 КРИВОНОГОВ А.А., студент, Московский политехнический университет, направление «Информационная безопасность», boozer273@gmail.com

Анализ применимости существующих методов оценки рисков
в области информационной безопасности

Для решения различных задач в современном мире все чаще используются информационные технологии. Существует ежегодная тенденция роста киберугроз информационным ресурсам, и их защита является одной из важнейших задач. Решение данной задачи требует подготовки и принятия организационных и технических мер по обеспечению кибербезопасности информационных ресурсов. Фундаментальной основой для построения любой системы защиты от киберугроз является анализ рисков.В настоящей статье рассматриваются некоторые из тех методов, которые не используются на данный момент в области информационной безопасности, но являются потенциально применимыми в будущем

Под анализом рисков понимается процедура выявления факторов рисков и оценки их значимости. Таким образом, риск есть вероятность того, что произойдут определенные нежелательные события, отрицательно влияющие на достижение целей конкретного бизнес-процесса. Анализ рисков включает оценку рисков и методы снижения рисков или уменьшения связанных с ним неблагоприятных последствий.

Анализ рисков можно подразделить на два взаимно дополняющих друг друга вида: качественный и количественный. Качественный анализ имеет целью определить (идентифицировать) факторы, области и виды рисков. Количественный анализ рисков должен дать возможность численно определить размеры отдельных рисков и общей величины риска в целом. Итоговые результаты качественного анализа рисков, в свою очередь, служат исходной информацией для проведения количественного анализа.

Однако осуществление количественной оценки встречает и наибольшие трудности, связанные с тем, что для количественной оценки рисков нужна соответствующая исходная информация и четко определенная шакала оценки.

Тематика применения различных методов анализа риска в информационной безопасности рассматривается в рамках курса «Введение в аналитику информационной безопасности», который читается автором в Московском политехническом университете.

1. Процесс анализа рисков в информационной безопасности

Сущность любого подхода к управлению рисками заключается в анализе факторов риска и принятии адекватных решений по обработке рисков. Факторы риска связаны с основными параметрами, которыми оперируют при оценке рисков. Приведем некоторые из них:

• Актив – имеет определенную ценность для организации, использующей его в своей деятельности.
• Ущерб – утрата активов, повреждение активов или другой вред активам.
• Угроза – это потенциальная причина инцидента, который может нанести ущерб системе, организации или бизнес-процессу.
• Уязвимость – слабые стороны процесса или системы, которые могут быть использованы угрозами для причинения ущерба активам или всей организации в целом.
• Размер среднегодовых потерь – статистика потерь от реализации рисков за весь год.

В зависимости от используемой в организации методологией оценки рисков определяются способы анализа и оценки представленных параметров.

Процесс анализа рисков в целом состоит из трех этапов:

1. Подготовка к проведению анализа рисков.
2. Анализ сценариев возможных инцидентов.
3. Определение степени риска и подбор рекомендаций по управлению рисками.

Рассмотрим наиболее часто применяемые методы оценки и анализа рисков.

2. Экспертные методы оценки рисков

Методы экспертных оценок представляют собой комплекс логических и математико-статистических методов и процедур по обработке результатов опроса группы экспертов, причем результаты опроса являются единственным источником информации. В этом случае возникает возможность использования интуиции, жизненного и профессионального опыта участников опроса. Метод используется тогда, когда недостаток или полное отсутствие информации не позволяет использовать другие возможности.

Рассмотрим метод экспертных оценок на примере метода Дельфи, применяемого в политике, науке, стратегическом планировании.

Метод Дельфи. Данный метод является одним из наиболее формальных методов экспертного прогнозирования. Согласно методу Дельфи анализ проблемы происходит в несколько этапов. На первом этапе аналитики компании разрабатывают систему переменных для конкретного случая, затем привлекают широкий круг экспертов, определяющих вес каждой переменной по рассматриваемому риску, и на этапе анализа проводятся оценка мнений экспертов, анализ полученных выводов и подготовка конечных практических рекомендаций по поставленной проблеме. Данный подход был оценен Дж. Саймоном как «спорадический, основанный на селективном, неконтролируемом восприятии или идеологических и личностных пристрастиях» [1].

В качестве достоинств данного метода можно выделить тот факт, что качественный подход позволяет оценить специфику каждой конкретной ситуации. В некоторых случаях внимательное исследование различных элементов, определяющих ситуацию, может быть более важным, чем проведение систематической количественной оценки.

Данный метод способствует выработке независимого мышления членов экспертной группы и позволяет получить взвешенную оценку рассматриваемого вопроса.

К недостаткам можно отнести чрезмерную субъективность оценок. При принятии решений какие-либо черты или предпочтения экспертов могут оказывать существенное влияние на итоговые оценки.

Также основным ограничением в его использовании является сложность в подборе большой группы экспертов, обладающих необходимой компетенцией в исследуемом вопросе.

Оценивая метод Дельфи, можно сделать заключение, что он применим в области обеспечения информационной безопасности, но только для поверхностного анализа рисков. В то же время при его использовании в комбинации с другими методами может быть получен результат с широким покрытием возможных вариаций исследуемой проблемы.

3. Статистические методы оценки рисков

Статистические методы оценки рисков заключаются в определении вероятности возникновения потерь на основе статистических данных предшествующего периода и установлении области (зоны) риска, коэффициента риска и других параметров риска.

В качестве основных достоинств статистических методов можно отметить возможность проводить анализ и оценку различных вариантов развития событий и учитывать разные факторы рисков в рамках одного подхода с учетом накопленных статистических данных. В то же время существенным недостатком является необходимость использования в данных методах вероятностных характеристик.

Рассмотрим подробнее такие методы, как RiskMetrics и Имитационное моделирование.

RiskMetrics. Одной из наиболее распространенных на сегодняшний момент методологий оценки рыночных рисков является метод Стоимости риска (Value-at-Risk, VaR). Метод VaR является суммарной мерой риска, способной производить сравнение риска по различным портфелям (например, по портфелям из акций и облигаций) и по различным финансовым инструментам (например, форварды и опционы) [2].

За последние несколько лет VaR получил широкое распространение в качестве средства управления и контроля риска в компаниях различного типа и масштаба. Одной из основных причин данного распространения стало раскрытие инвестиционной компанией Дж. П. Морган системы оценивания риска RiskMetrics с предоставлением в свободное пользование базы данных для этой системы всем участникам рынка. Значения VaR, полученные с использованием системы RiskMetrics, принимаются за эталон оценок VaR [3, 4].

RiskMetrics – это набор средств, позволяющих определить степень влияния рыночного риска на позицию инвестора через вычисление VaR.

RiskMetrics состоит из трех основных компонентов: система оценки рисков, разработанная Дж. П. Морган, база данных по инструментам для расчета рыночного риска и программное обеспечение, использующее технологию RiskMetrics, поставляемое компанией Дж. П. Морган, подразделениями Reuters и рядом других поставщиков.

В качестве основных недостатков данного метода и подхода VaR в целом можно отметить следующие. Независимо от применяемых методов в вычислениях используются статистические данные, что не позволяет в полной мере учитывать резкие колебания и отклонения в рамках исследуемой проблемы. Вторым существенным недостатком является невозможность гибкого управления структурой портфеля для снижения уровня риска из-за отсутствия в методиках данного класса механизмов учета ликвидности. Третьим фактором, существенно влияющим на качество получаемой оценки, является наличие допущений о виде и параметрах эмпирической функции распределения вероятностей, свойствах финансового рынка и среде окружения в целом, поведении участников рынка и чувствительности портфеля [5].

В качестве основного преимущества методологии VaR можно отметить возможность оценки риска в терминах возможных потерь в связи с вероятностью их возникновения, позволяющую измерить риск для различных условий среды окружения универсальным способом, а также объединить риски отдельных компонентов в единую величину для всего объекта исследования в целом, с учетом различных факторов, влияющих на объект оценки. Также положительной стороной VaR является возможность аналитического сравнения потерь и соответствующих рисков.

Имитационное моделирование и вероятность исполнения. Метод имитационного моделирования является одним из мощнейших методов анализа экономической системы. В общем случае под ним понимается процесс проведения на ЭВМ экспериментов с математическими моделями сложных реальных систем. В свою очередь, оценка вероятности исполнения позволяет дать упрощенную статистическую оценку вероятности исполнения исследуемого решения путем расчета доли выполненных и невыполненных решений в общей сумме принятых решений.

Имитационное моделирование используется в тех случаях, когда проведение реальных экспериментов, например с экономическими системами, нецелесообразно, требует значительных затрат и/или не осуществимо на практике. Кроме того, часто практически невыполним или требует значительных затрат сбор необходимой информации для принятия решений, в подобных случаях отсутствующие фактические данные заменяются величинами, полученными в процессе имитационного эксперимента [6].

В качестве основного преимущества данного метода можно выделить то, что он дает возможность осуществить эксперимент, когда проведение реальных экспериментов не представляется возможным. Это позволяет получить упрощенную оценку вероятности исполнения. В случае если данных для проведения эксперимента недостаточно, они генерируются машинным ме­то­дом.

В свою очередь, использование имитационного подхода создает вероятность того, что оценка риска будет произведена не полностью или не будут охвачены все необходимые риски.

Рассмотренные методы в основном используются в сфере экономики, но они также имеют потенциальную возможность применения в области информационной безопасности. Так, например, метод имитационного моделирования может дать предварительную оценку уязвимости информационных систем, так как есть возможность проведения моделирования реализации угрозы информационной безопасности без взаимодействия с реальной системой.

4. Информационные методы

В качестве основной задачи информационных методов оценки рисков можно выделить определение рисков, наиболее актуальных для конкретной информационной системы.

Рассмотрим наиболее актуальные и популярные методы, такие как CRAMM, RiskWatch и CORAS.

Метод CRAMM. Метод CRAMM (CCTA Risk Analysis and Management Method) был разработан компанией Insight Consulting по требованиям Центрального агентства по компьютерам и коммуникациям Великобритании. Спустя некоторое время были реализованы версии CRAMM для гражданских, финансовых и коммерческих организаций [7].

Анализ рисков в CRAMM состоит из идентификации и определения уровня рисков на основе оценки активов, угроз и уязвимостей активов.

В основе CRAMM лежит формальный подход, который должен позволить убедиться, что существует уверенность в том, что:

• требования, связанные с безопасностью, проанализированы и документированы;
• расходы, связанные с построением информационной системы, оправданы, нет избыточных мер защиты;
• все возможные риски идентифицированы;
• уязвимости ресурсов идентифицированы и их уровни оценены;
• угрозы идентифицированы и их уровни оценены;
• меры защиты эффективны.

В CRAMM предполагается разделение процедуры анализа рисков на три этапа:

1. Идентификация и определение ценности активов.
2. Оценка рисков (включает в себя оценку угроз и уязвимостей).
3. Выбор мер защиты и рекомендаций.

CRAMM обладает большой библиотекой мер защиты, состоящей примерно из 3500 наименований, разделенной на 70 логических групп. Выбор мер защиты также может определяться в соответствии с требованиями стандартов BS7799:2005/ISO 27001.

К достоинствам метода CRAMM можно отнести:

• комплексный подход к оценке рисков;
• применение технологии оценки угроз и уязвимостей по косвенным факторам с возможностью верификации результатов;
• удобную систему моделирования информационной системы для применения в сфере информационной безопасности;
• обширную базу знаний по мерам защиты;
• универсальность и адаптируемость под профили разных организаций;
• проведение аудита на соответствие международным стандартам.

В свою очередь можно отметить следующие недостатки метода CRAMM:

1. Использование метода CRAMM требует специальной подготовки и высокой квалификации аудитора.
2. CRAMM в гораздо большей степени подходит для аудита уже существующих информационных систем, находящихся на стадии эксплуатации, нежели чем для систем, находящихся на стадии разработки.
3. Аудит по методу CRAMM – процесс достаточно трудоемкий и может потребовать месяцев непрерывной работы аудитора.
4. Программный инструментарий CRAMM генерирует большое количество бумажной документации, которая не всегда оказывается полезной на практике.
5. CRAMM не позволяет создавать собственные шаблоны отчетов или модифицировать имеющиеся.
6. Возможность внесения дополнений в базу знаний CRAMM не доступна пользователям, что вызывает определенные трудности при адаптации этого метода к потребностям конкретной организации [8].

Метод RiskWatch. Метод RiskWatch разработан американской компанией RiskWatch, Inc. при участии NIST, Министерства обороны США и Министерства обороны Канады. На нем основан целый ряд программных продуктов для проведения различных видов аудита, в том числе на соответствие многим стандартам и руководящим документам (за пределами США их актуальность вызывает вопросы, кроме стандарта PCI DSS), которые можно классифицировать по следующим областям применения – медицина, банковский и финансовый сектор, корпоративная безопасность.

Во всех продуктах RiskWatch в качестве базовой платформы используется распространенная среди продуктов такого рода архитектура. Упрощенное представление такой архитектуры включает в себя следующее:

1. Обширную базу знаний, содержащую информацию по активам, угрозам, уязвимостям, видам ущерба, мерам защиты, а также опросные листы для оценки факторов риска.
2. Программный интерфейс для работы с базой знаний и оценивания рисков на основании данных из базы знаний и результатов опросов.
3. Интерфейсные модули, предназначенные для формирования и заполнения опросных листов пользователями, а также для создания отчетов по результатам оценки рисков.

В методе RiskWatch в качестве показателей для оценки и управления рисками используются прогнозируемыe среднегодовыe потери (Annualized Loss of Expectancy, ALE) и оценка возврата от инвестиций (Return on Investment, ROI).

Метод RiskWatch включает в себя четыре фазы:

• Первая фаза – определение предмета исследования. На данном этапе осуществляется описание объекта исследования и его параметров, таких как инфраструктура исследуемой системы, применимые требования по обеспечению информационной безопасности, класс организации.
• Вторая фаза – ввод данных, описывающих конкретные характеристики исследуемой системы.

Классы инцидентов получаются путем сопоставления категории потерь и категории ресурсов. Для выявления возможных уязвимостей используется опросный лист, состоящий из широкого спектра вопросов, связанных с категориями ресурсов. Допускается корректировка вопросов, исключение или добавление новых. Устанавливается частота возникновения каждой из актуальных угроз, уязвимость и ценность активов.

Ожидаемая частота реализации угроз определяется в терминах среднегодовой оценочной частоты угрозы (Annual Frequency Estimate, AFE). База знаний RiskWatch определяет для каждой угрозы стандартную оценочную частоту (Standard Annual Frequency Estimate, SAFE). Для вычисления величины риска используется локальная оценочная частота угрозы (Local Annual Frequency Estimate, LAFE), определяемая пользователем самостоятельно на основании значения SAFE.

Для каждой компоненты информационной системы определяется ее стоимость (затраты на внедрение и сопровождение), а также учитывается стадия жизненного цикла компоненты, продолжительность жизненного цикла компоненты и способ­ность данной компоненты уменьшить оценочную частоту угрозы LAFE.

• Третья фаза – оценка рисков (Evaluation). На данном этапе осуществляется определение связей между активами, потерями, частотой реализации угроз и уязвимостями, выявленными на предыдущих этапах. Для рисков рассчитываются прогнозируемые среднегодовые потери (Annualized Loss of Expectancy, ALE).

Дополнительно рассматриваются альтернативные сценарии, позволяющие спрогнозировать последствия от внедрения компоненты системы.

• Четвертая фаза – формирование отчетов (Reports).

В качестве недостатков RiskWatch можно определить то, что данный метод подходит, если требуется провести анализ рисков без учета организационных и административных факторов. Рассмотренный метод не учитывает комплексный подход к информационной безопасности, анализируя только техническую реализацию.

Метод CORAS. Метод CORAS позволяет осуществлять анализ рисков путем их моделирования. Его суть состоит в адаптации, уточнении и комбинировании таких методов проведения анализа рисков, как Event-Tree-Analysis, цепи Маркова, HazOp и FMECA. CORAS использует технологию UML и базируется на австралийском/новозеландском стандарте AS/NZS 4360: 1999 Risk Management и ISO/IEC 17799-1: 2000 Code of Practice for Information Security Management. В этом стандарте учтены рекомендации, изложенные в документах ISO/IEC TR 13335-1: 2001 Guidelines for the Management of IT Security и IEC 61508: 2000 Functional Safety of Electrical/Electronic/Programmable SafetyRelated.

В соответствии с подходом CORAS информационные системы рассматриваются не только с точки зрения используемых технологий, а как сложный комплекс, в котором учитывается и человеческий фактор [9].

Процедура анализа рисков с помощью методологии CORAS в общем состоит из восьми шагов:

1. Подготовка к проведению анализа. Сбор сведений об объектах анализа, оценка границ анализа и его глубины.
2. Проведение собеседования с организацией. Определение точки зрения организации на анализируемые объекты.
3. Описание задачи аналитиком после проведения собеседования и изучения документации. Выявление основных активов, требующих защиты, высокоуровневое описание актуальных угроз, сценариев проведения угроз.
4. Изучение представленной документации на объекты анализа. Определение критерия оценивания риска для каждого актива.
5. Проведение мероприятий по идентификации рисков. В этих целях CORAS использует структурированный «мозговой штурм» – это методика, по которой аналитики шаг за шагом исследуют объект анализа с помощью работников организации. Сущность данного метода заключается в неоднородности экспертов, имеющих разную компетенцию, предпочтения, склонности и суждения, что позволяет охватить большую часть особенностей исследуемого объек­та при проведении анализа и выявить существующие риски.
6. Идентификация риска включает в себя выявление актуальных угроз, инцидентов информационной безопасности, сценариев угроз, уязвимостей относительно конкретного объекта анализа.
7. Определение уровня риска, который возникает при конкретном инциденте информационной безопасности.
8. На данном шаге определяется политика обработки рисков.
9. Последний шаг посвящен идентификации и анализу методов обработки. Неприемлемые риски анализируются в целях поиска методов их минимизации. Одним из существенных факторов при выборе метода обработки рисков является стоимость его реализации.

Заключение

В статье приведен анализ наиболее актуальных на данный момент времени методик анализа рисков.

С учетом выводов, приведенных в статье, можно сделать заключение, что в качестве оптимального подхода для оценки рисков информационной безопасности можно применить комбинированный подход. Данный подход заключается в использовании комплекса методов анализа рисков, состоящего из наиболее подходящих для конкретных областей деятельности определенной организации. Например, метод Дельфи хорошо сочетается с CRAMM за счет того, что метод Дельфи позволяет учитывать специфические особенности конкретного объекта. Это помогает повысить точность оценки рисков информационной безопасности путем учета всех характеристик информационной системы.

Таким образом, рассмотренные общие методы анализа рисков, при условии их адаптации и доработки, могут успешно применяться в сфере информационной безопасности.

1. Simon J.D., Political risk assessment: Past trends and future prospects // Columbia Journal of World Business, 1982. P. 68
2. Engel J., Gizycki M. Conservatism, Accuracy and Efficiency: Comparing Evaluate-Risk Models. // Sydney: Reserve Bank of Australia, 1998.
3. Risk Metrics™ Technical Document – Fourth Edition. New York: RiskMetrics Group, 1995.
4. Dave R.D., Stahl G. On the Accuracy of VaR Estimates Based on the Variance-Covariance Approach. // Zurich: Olsen & Associates, 1996.
5. Farton W. Calculating Value-at-Risk // Philadelphia: Wharton School, 1996.
6. Бондаревский А.С., Лебедев А.В. Имитационное моделирование: определение, применяемость и техническая реализация // Фундаментальные исследования. 2011, № 12-3. – С. 535-541.
7. Астахов А.М. Искусство управления информационными рисками. – М.: Изд-во ДМК Пресс, 2010. 312 с.
8. Разумников С.В. Анализ возможности применения методов OCTAVE, RISKWATCH, CRAMM для оценки рисков ИТ для облачных сер­висов // Современные проблемы науки и образования. 2014, № 1. – С. 1.
9. Баранова Е.К. Методики и программное обеспечение для оценки рисков в сфере информационной безопасности // Управление риском. 2009, № 1(49). – С. 15–26.

Ключевые слова: управление рисками, анализ рисков, применение методов анализа рисков информационной безопасности.

Analysis of the applicability of existing methods of information security risk assessment

Repin M.M., lecturer, Moscow Polytechnic University, direction “Information security”, bmstu.iu8@gmail.com

Przhekotskaya E.A., Ph.D., Associate Professor of the Faculty of Informatics and Management Systems, Head of the Educational Program “Security of Advanced Information Systems”, Moscow Polytechnic University

Plotkin A.S., student, Moscow Polytechnic University, direction “Information Security”, sances.98@mail.ru

Krivonogov A.A., student, Moscow Polytechnic University, direction “Information security”, boozer273@gmail.com

Abstract: To solve various problems in the our world, information technology is increasingly being used. There is an annual growth trend of cyber threats to information resources, and their protection is one of the most important tasks. The solution of this problem requires the preparation and adoption of organizational and technical measures to ensure the cybersecurity of information resources. The basis for building any system of protection from cyberthreats is a risk analysis. This article discusses some of the methods that are not currently used in the field of information security, but potentially applicable in the future.

Keywords: risk management, risk analysis, information security risk analysis methods application.

Комментарии могут оставлять только зарегистрированные пользователи