Риски и с чем их едят?

Уважаемые коллеги, доброго времени суток! Наконец руки дошли до блога, и что бы его реанимировать, приведу пару обзоров. Первый будет о системах анализа рисков и автоматизированных средствах анализа рисков, а второй о методах оценки экономической эффективности системы защиты информации. Итак, приступим!

 Методики анализа рисков

Согласно ГОСТ Р 51898-2002 «Аспекты безопасности. Правила включения в стандарты», термин риск (risk) обозначает сочетание вероятности нанесения ущерба и тяжести этого ущерба.

В стандарте ISO Guide 73:2009 «Менеджмент рисков. Словарь» термин риск обозначает влияние неопределенности на цели. Влияние – это отклонение от того, что ожидается (положительное и/или отрицательное). Цели могут иметь различные аспекты (например, финансовые и экологические цели и цели в отношении здоровья и безопасности) и могут применяться на различных уровнях (стратегических, в масштабах организации, проекта, продукта или процесса). Риск часто выражают в виде комбинации последствий событий (включая изменения в обстоятельствах) и их возможности. Неопределенность – это состояние, заключающееся в недостаточности, даже частичной, информации, понимания или знания относительно события, его последствий или его возможности.

В стандарте Банка России СТО БР ИББС-1.0-2010 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения», термин риск определяется как мера, учитывающая вероятность реализации угрозы и величину потерь (ущерба) от реализации этой угрозы. Угроза – это опасность, предполагающая возможность потерь (ущерба). Ущерб это утрата активов, повреждение (утрата свойств) активов и (или) инфраструктуры организации или другой вред активам и (или) инфраструктуре организации, наступивший в результате реализации угроз информационной безопасности через уязвимости информационной безопасности.

В специальных публикациях Национального Института Стандартов и Технологи (США, The National Institute of Standards and Technology - NIST) NIST 800-30 «Руководство по управлению рисками для информационных систем», риск определяется, как функция вероятности заданного источника  угрозы использовать потенциальную уязвимость и итоговое влияние неблагоприятного события на организацию. 

В стандарте ISO/IEC 27002:2005 «Информационная технология. Свод правил по управлению защитой информации» риск определяется как комбинация вероятности события и его последствий.

В терминах стандарта ISO/IEC 27005:2008 «Информационная технология. Методы обеспечения безопасности. Управление рисками информационной безопасности» риск информационной безопасности – это возможность того, что определенная угроза использует уязвимости актива или группы активов с целью причинения вреда организации.

Определим следующие необходимые нам понятия согласно ГОСТ Р ИСО/МЭК 27001-2006 «Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования», ISO Guide 73:2009 «Менеджмент рисков. Словарь»:

·   Оценка риска (risk assessment) – это общий процесс идентификации риска, анализа риска и оценивания риска;

· Анализ риска (risk analysis) – систематическое использование информации для определения источников риска  и для оценки величины риска. Анализ риска служит основой для оценивания рисков, обработки рисков и принятия рисков;

· Оценивание риска (risk evaluation) –  процесс сравнения оценочной величины риска (то есть результат анализа рисков) с установленными критериями риска с целью определения уровня значимости риска (то есть определения того, является ли риск и/или его величина приемлемыми или допустимыми);

· Идентификация риска (risk identification) – процесс выявления, исследования и описания рисков. Идентификация включает идентификацию источников риска, событий, их причин и возможных последствий. Идентификация риска может включать статистические данные, теоретический анализ, обоснованную точку зрения и заключение специалиста, потребности заинтересованных сторон.

Часто в различных контекстах термины риск и угроза используют как взаимозаменяемые. Но это  некорректно. Согласно ГОСТ Р ИСО/МЭК 13335-1-2006 «Информационная технология. Методы обеспечения безопасности. Менеджмент безопасности информационных и телекоммуникационных технологий. Часть 1. Концепция и модели менеджмента безопасности информационных и телекоммуникационных технологий», угроза (threat) -  это  потенциальная причина инцидента, который может нанести ущерб системе или организации.

Угроза информационной безопасности реализуется через наступление одного или нескольких взаимосвязанных событий и инцидентов информационной безопасности, которые связаны с реализацией угрозы в отношении информационных активов организации. Следствием этого становится нарушение или утрата свойств информационной безопасности (целостность, доступность, конфиденциальность и др.) информационных активов организации, что способно привести к негативным последствиям, влияющим на достижение целей самой организации.

Определение конкретных рисков информационной безопасности зависит от самих информационных активов, сферы деятельности организации, внешней среды, внутренних факторов и пр.

Преобладающая доля рисков информационной безопасности для организации определяется действием внутренних факторов, которые характеризуют собственную деятельность организации. К таким факторам, в первую очередь, относятся действия собственных работников организации, нарушения работниками требований по обеспечению информационной безопасности, недостатки системы информационной безопасности (СИБ), недостатки в организации и реализации процессов автоматизации, нарушения работоспособности программно-аппаратных средств, несоблюдение внешними субъектами норм и правил по информационной безопасности при взаимодействии с организацией в рамках договоров и иных соглашений.

Значительная часть рисков информационной безопасности определяется факторами, связанными с внешней по отношению к организации средой.

Большое количество рисков информационной безопасности связано с деятельностью внешних субъектов. Мотивация таких субъектов может быть разной – от простого любопытства или случайности (непрофессиональные хакеры), до хищения технологий, средств, мошенничества, нанесения ущерба репутации организации и пр. В последнем случае речь может идти не только о преступных группах, сообществах, действующих от своего имени или по заказу организации-конкурента, но и о спецслужбах иностранных государств, научно-исследовательских центрах и террористических организациях.

В стандарте ГОСТ Р ИСО/МЭК 27001-2006 «Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования» под обработкой риска (risk treatment) понимается процесс выбора и осуществления мер по модификации риска. Меры по обработке риска могут включать в себя уход от риска, оптимизацию, перенос или сохранение риска.

Процесс оценивания риска может производиться с помощью следующих механизмов [1]:

· Экспертных оценок (непосредственно или косвенно – с использованием автоматических программных средств, в логику работы которых заложена определенная база знаний о зависимости меры заданного риска от наблюдаемых условий );

·  Учета «исторических» сведений, получаемых при сборе и анализе статистики инцидентов, о вероятности реализации  уязвимости и ущерба от ее реализации (недостатками такого метода являются потребность в достаточно большом объеме таких дынных, причем для некоторых угроз их может просто не существовать, а также невозможность точного оценивания тренда в случае меняющейся обстановки);

·              Аналитических подходов (например, построение графоф взвешенных переходов для определения величины ущерба от реализации уязвимости).

В [1] рассмотрена следующая классификация подходов к обработке рисков:

·           Пассивные действия:

o      Принятие риска (решение о приемлемости уровня данного риска без применения каких-либо контрмер);

o      Уклонение от риска (решение об изменении деятельности, которая влечет за собой данный уровень риска, то есть, фактическое устранение источника риска);

·         Активные действия:

o     Уменьшение риска (применение набора организационных или технических мер по обеспечению информационной безопасности с целью снижения уровня риска);

o Передача риска (страхование риска, относительно новый подход, активно набирающий популярность на отечественном рынке).

Общую классификацию рисков с точки зрения возможности их принятия можно представить, используя  термины СТО БР ИББС-1.0-2010:

1)Допустимый риск – риск нарушения информационной безопасности, предполагаемый ущерб от которого организация в данное время и в данной ситуации готова принять;

2)Недопустимый – риск информационной безопасности, которым нельзя пренебречь. Обработка такого риска, снижение его до остаточного является обязательным в данное время и в данной ситуации;

3) Остаточный риск – риск, остающийся после обработки риска нарушения информационной безопасности с целью уменьшения риска до допустимого уровня, который организация готова принять. 

В [2] оценка риска рассматривается как определение уровня риска (качественной или количественной величины) и сравнение этого уровня с максимальный допустимым уровнем, а также с уровнем других подобных рисков. Уровень риска определяется путем комбинирования вероятности события (например, реализации угрозы, использующей уязвимость для воздействия на актив и нарушения свойств его информационной безопасности, нанося ущерб организации (величина этого ущерба определяет ценность актива для организации) и размеров последствий этого события. Таким образом, оценка риска включает идентификацию и оценку ценности актива организации, последствий для организации, идентификацию и оценку угроз и уязвимостей, а также комбинирование вышеперечисленных факторов для определения количественной и качественной величины риска.

Количественную величину риска, связанного с реализацией конкретной угрозы для простоты часто выражают при помощи следующего выражения [2]:

 где:

·  Вероятность угрозы – вероятность того, что угроза в отношении актива будет реализована (успешность или неуспешность ее реализации определяется величиной уязвимости). При фактических расчетах используют не вероятность угрозы, а ожидаемое количество попыток реализации угрозы за конкретный период времени, то есть примерная частота реализации за какой-то период времени;

·  Величина уязвимости – вероятность того, что с использованием данной уязвимости реализация угрозы в отношении актива будет успешна.

Размер ущерба, как правило, выражается в денежных единицах, величина уязвимости принимает значение в диапазоне от 0 до 1, а вероятность угрозы является целым положительным числом, определяющим ожидаемое количество попыток реализации угрозы за конкретный период времени. В работе [3] рекомендуется брать период, равный одному году, так как в этом случае величина риска будет соответствовать прогнозируемым среднегодовым потерям (Annualised Loss of  Expentancy, ALE) в результате инцидентов информационной безопасности. Этот показатель удобно использовать для соотнесения расходов на безопасность с величиной риска и для оценки возврата от инвестиций (Return of Investment, ROI), который как раз и достигается путем уменьшения риска.

Таким образом, величину риска, в терминах показателей из работы [4], и приравнивания ее к среднегодовым потерям (фактически, величина риска за год), можно выразить следующим образом:

где:

ARO (Annual Rate of Occurrence) – оценка вероятности реализации угрозы, которая характеризует вероятность реализации угрозы за определенный период времен (в данном случае, за год) и ранжируется по шкале от 1 до 3 (низкая, средняя и высокая, соответственно);

SLE (Single Loss Exposure) – оценка возможного ожидаемого ущерба от единичной реализации угрозы. SLE выражается через произведение стоимости актива (Asset Value, AV) и величины уязвимости  актива к угрозе (Exposure Factor, EF). Параметр AV характеризует ценность актива. При качественных оценках риска этот параметр обычно лежит в диапазоне от 1 до 3 (минимальная, средняя и максимальная стоимость, соответственно), при количественных способах ценность актива выражается в денежном эквиваленте.  Параметр EF характеризует степень уязвимости ресурса по отношению к рассматриваемой угрозе. При качественной оценке можно применить следующие значения: 1 – слабое воздействие, 2 – среднее воздействие, 3 – сильное воздействие. При количественных оценках этот параметр принимают равным целому числу, характеризующему ожидаемое количество попыток реализации угрозы за год. Спрогнозировать количество попыток ожидаемых реализаций угроз можно с помощью статистик угроз, публикуемых на информационных порталах российских и зарубежных организаций, занимающихся исследованиями в этой области, а также учитывая собственную статистику организации. Необходимо отметить, что опираясь только на собственную статистику невозможно полностью оценить ожидаемое количество попыток реализации угроз без внесения поправочных единиц (как правило, увеличивающих значение) в связи с возможным отсутствием документированных подтверждений попыток реализации угрозы, незафиксированными попытками, увеличением активности злоумышленников, и иными дополнительными факторами. Таким образом, с целью получения более точных значений EF рекомендуется учитывать как собственные сведения, так и обзоры специализированных организаций.  

Диапазон значений для вышеописанных параметров при качественной оценке можно принимать не только в указанных пределах. В зависимости от требуемой детализации, эти диапазоны можно расширять или уменьшать. Способ такого качественного ранжирования риска в работе [2] служит примером так называемого «табличного метода» определения уровня риска.

Учитывая рекомендации NIST 800-30, следует принимать во внимание, что любому качественному уровню параметра необходимо сопоставлять определенный диапазон оценочных количественных величин. При отсутствии такого сопоставления оценка риска утратит экономическую составляющую.

В общем, для большинства организаций, независимо от области деятельности, наиболее опасными инцидентами информационной безопасности, связанными с реализацией актуальных угроз информационной безопасности и приводящими к недопустимым рискам информационной безопасности, являются:

- искажение информации либо ее подмена ложной информацией, в том числе в целях мошенничества;

-утечка (разглашение)  информации, то есть неконтролируемое распространение информации за пределы доверенного круга лиц (с помощью несанкционированного доступа к информации,  разглашение информации лицами, которым она стала известна в силу выполняемых ими служебных обязанностей или неумышленно получивших к ней доступ и т.д.);

- нарушение доступности бизнес-процессов организации, информационных активов организации (например, в целях нанесения ущерба репутации организации и т.д.).

В настоящее время многие зарубежные организации, специализирующиеся в решении комплексных проблем информационной безопасности, разработали и предлагают (часто в качестве коммерческого продукта) собственные методики управления информационными рисками. Эти методики различаются, прежде всего, по уровню и совершенству используемых математических методов, положенных в основу процедур оценивания рисков. В зависимости от этого они обладают разными возможностями адекватного учета реальных факторов, связанных с особенностями применения и эксплуатации информационных технологий, что в свою очередь, предопределяет точность и надежность полученных оценок риска.

Далее, приведем описание ряда инструментальных средств, и рассмотрим  заложенные в них методики анализа  рисков.

Инструментальные средства анализа рисков

1.  CORAS.  Метод CORAS – это компьютеризированный инструмент, который позволяет документировать, создавать отчеты о результатах анализа путем моделирования риска. Ее суть состоит в адаптации, уточнении и комбинировании таких методов проведения анализа рисков, как Event-Tree-Analysis, цепи Маркова, HazOp и FMECA [5]. CORAS использует технологию UML (Unified Modelling Language, унифицированный язык моделирования – язык графического описания для объектного моделирования при разработке программного обеспечения) и базируется на австралийском/новозеландском стандарте AS/NZS 4360: 1999 Risk Management и ISO/IEC 17799-1: 2000 Code of Practiсe for Information Security Management. В этом стандарте учтены рекомендации, изложенные в документах ISO/IEC TR 13335-1: 2001 Guidelines for the Management of IT Security и IEC 61508: 2000 Functional Safety of Electrical/Electronic/Programmable SafetyRelated.

         В соответствии с подходом CORAS информационные системы рассматриваются не только с точки зрения используемых технологий, а как сложный комплекс, в котором учитывается и человеческий фактор. Правила данной методологии реализованы в виде программы [6].

Процедура анализа рисков с помощью методологии CORAS в общем состоит из 8 шагов:

1. Проведение подготовительных мероприятий. Сбор сведений об объектах анализа, оценка требуемой глубины анализа и др.

2. Проведение собеседования с организацией, представление организацией объектов, которые необходимо проанализировать.

3. Описание задачи аналитиком после проведения собеседования и изучения документации. Инициализация основных активов, требующих защиты, высокоуровневое описание основных угроз, сценариев проведения угроз.

4. Проверка корректности и полноты представленной документации аналитиком. Определение критерия оценивания риска для каждого актива.

5. Проведение мероприятий по идентификации рисков. В этих целях CORAS использует структурированный «мозговой штурм» - это методика, по которой аналитики шаг за шагом исследуют объект анализа с помощью работников организации. Идея этого метода заключается в том, что работники организации, участвующие в процессе, имеют разную компетенцию, интересы, вышли из разной среды, поэтому их взгляды на объект анализа могут различаться, что поможет более комплексно подойти к анализу и идентифицировать наибольшее количество рисков. Идентификация риска включает в себя выявление угроз, инцидентов ИБ, сценариев угроз, уязвимостей относительно конкретного актива. В этой деятельности активным помощником является инструментальное средство CORAS, результаты документируются в виде диаграмм угроз.

6. Определение уровня риска, который возникает при конкретном инциденте ИБ. Инциденты ИБ были определены на шаге 5 в диаграмме угроз, которые являются основой при оценке риска.

7. На этом шаге определяется, какие из рисков являются допустимыми, а какие необходимо представить на дальнейшую оценку и анализ на возможность их обработки.

8. Последний шаг посвящен идентификации и анализу методов обработки. Недопустимые риски необходимо проанализировать с целью поиска методов их уменьшения. Так как обработка риска может повлечь за собой расходы, метод обработки выбирают и исходя из его стоимости.

2.  CRAMM. Метод CRAMM (CCTA Risk Analysis and Management Method) был разработан компанией Insight Consulting (в начале 2000-х ее приобрела компания SIEMENS) по требованиям  Центрального Агентства по Компьютерам и Коммуникациям (The Central Computer and Telecommunications Agency, CCTA) Великобритании. Спустя некоторое время появились версии CRAMM для гражданских, финансовых и коммерческих организаций.

Анализ рисков в CRAMM состоит из идентификации и определения уровня рисков на основе оценки активов, угроз и уязвимостей активов. Контроль

В основе метода CRAMM лежит формальный подход [7], который должен позволить убедиться, что существует уверенность в том, что:

· Требования, связанные с безопасностью, проанализированы и документированы;

·          Расходы, связанные с построением СИБ оправданы, нет избыточных мер;

·          Все возможные риски идентифицированы;

·          Уязвимости ресурсов идентифицированы и их уровни оценены;

·          Угрозы идентифицированы и их уровни оценены;

·          Контрмеры эффективны.

Концептуальная схема проведения обследования с помощью CRAMM представлена на Рисунке 1. [8]:

Рис.1 Концептуальная схема проведения обследования CRAMM

В подходе CRAMM предполагается разделение процедуры анализа рисков на три этапа:

1.         Идентификация и определение ценности активов;

2.         Оценка рисков (включает в себя оценку угроз и уязвимостей);

3.         Выбор контрмер и и рекомендаций.

На первом этапе идентифицируются активы информационной системы (аппаратное обеспечение, программное обеспечение, информация), их расположение. Оценивается ценность этих активов исходя из возможного ущерба организации. Если уровень критичности и ценность актива для организации недостаточно высок, и существующие риски не превысят некоторого базового уровня (например, в рамках требования законодательства), то к системе предъявляют минимальный набор требований безопасности, удовлетворяющий такому базовому уровню. В этом случае, этап оценки рисков выполняется не полностью, а чаще всего сразу осуществляется переход к выбору контрмер для обеспечения этого базового уровня защиты (третий этап). 

На втором этапе происходит выявление и оценка вероятности угроз, оценка величины уязвимости, и как результат, оценка рисков для каждой цепочки «актив-угроза-уязвимость». При этом, на данном этапе считается, что никаких контрмер не используется.  Основным способом получения данных для оценки рисков, угроз и уязвимостей на данном этапе является тщательное интервьюирование и собеседования, в которых используются очень подробные опросные листы. Пример такого опросного листа можно найти в работе [9].

На третьем этапе определяется набор контрмер (на основе которого подбираются компоненты СИБ) с целью минимизации выявленных недопустимых рисков. CRAMM обладает большой библиотекой контрмер, состоящей примерно из 3500 наименований, разделенной на 70 логических групп. Выбор контрмер также может определять в соответствии с требованиями стандартов BS7799:2005/ISO 27001. На этом этапе производится сравнение рекомендуемых контрмер и уже имеющихся в организации. Решение о внедрении новых контрмер (то есть, компонентов СИБ, СИБ, их модификации) принимается руководством организации, после чего аудиторами формируется план обработки рисков. Также, на аудитора может быть возложена задача подготовки плана внедрения новых контрмер и оценки эффективности их использования, что выходит за рамки метода CRAMM.

К достоинствам метода CRAMM относят:

·              Комплексный подход к оценке рисков;

·              Применение технологии оценки угроз и уязвимостей по косвенным факторам с возможностью верификации результатов;

·              Удобную систему моделирования информационной системы для применения с сфере ИБ;

·              Обширную базу знаний по контрмерам;

·              Универсальность и адаптируемость под профили разных организаций;

·              Проведение аудита на соответствие международным стандартам.

Приведем следующие недостатки метода CRAMM [10]:

·    Использование метода CRAMM требует специальной подготовки и высокой квалификации аудитора;

·    CRAMM в гораздо большей степени подходит для аудита уже существующих информационных систем, находящихся на стадии эксплуатации, нежели чем для систем, находящихся на стадии разработки;

·              Аудит по методу CRAMM - процесс достаточно трудоемкий и может потребовать месяцев непрерывной работы аудитора;

·        Программный инструментарий CRAMM генерирует большое количество бумажной документации, которая не всегда оказывается полезной на практике;

·  CRAMM не позволяет создавать собственные шаблоны отчетов или модифицировать имеющиеся;

·   Возможность внесения дополнений в базу знаний CRAMM не доступна пользователям, что вызывает определенные трудности при адаптации этого метода к потребностям конкретной организации;

·              Программное обеспечение CRAMM существует только на английском языке;

·              Высокая стоимость лицензии.

3. RiskWatch. Метод RiskWatch разработан американской компанией  RiskWatch, Inc. [11] при участии NIST, Министерства обороны США и Министерства обороны Канады. На нем основан целый ряд программных продуктов для проведения различных видов аудита, в том числе на соответствие многим стандартам и руководящим документам (за пределами США их актуальность вызывает вопросы, кроме стандарта PCI DSS [12]), который можно классифицировать по следующим областям применения – медицина, банковский и финансовый сектор, корпоративная безопасность.  Наибольшим интересом пользуются следующие продукты:

·  RiskWatch for Physical Security -для физических методов защиты;

· RiskWatch for Information Systems (ISO 27001 и NIST 800-53) - для  рисков информационных систем.

Во всех продуктах RiskWatch в качестве базовой платформы используется распространенная среди продуктов такого рода архитектура (Рисунок 2.). Упрощенное представление такой архитектуры включает в себя следующее:

· Обширную базу знаний, содержащую информацию по активам, угрозам, уязвимостям, видам ущерба, контрмерам, а также опросные листы для оценки факторов риска;

·     Программный интерфейс (API) для работы с базой знаний и оценивания рисков на основании данных из базы знаний и результатов опросов;

·  Интерфейсные модули, предназначенные для формирования и заполнения  опросных листов пользователями, а также для создания отчетов по результатам оценки рисков.

Рисунок 2. Архитектура базовой платформы средства для анализа рисков

В методе RiskWatch в качестве показателей для оценки и управления рисками используются прогнозируемыe среднегодовыe потери (Annualised Loss of  Expentancy, ALE) и оценка возврата от инвестиций (Return on Investment, ROI). Семейство программных продуктов RiskWatch, имеет массу достоинств.

В основе программного обеспечения RiskWatch лежит методика, которая включает в себя 4 фазы [7]:

1. Первая фаза - определение предмета исследования (Definitions). На данном этапе описываются параметры организации - тип организации, состав исследуемой системы, базовые требования в области безопасности. Описание можно уточнить в подпунктах (для более подробного описания системы) или пропустить.

Затем каждый из выбранных пунктов описывается подробно. Для облегчения работы аналитика в шаблонах даются списки категорий защищаемых ресурсов, потерь, угроз, уязвимостей и мер защиты. Из них нужно выбрать реально присутствующие в организации.

2. Вторая фаза - ввод данных, описывающих конкретные характеристики системы (Data). Данные могут вводиться вручную или импортироваться из отчетов, созданных инструментальными средствами исследования уязвимости компьютерных сетей. На этом этапе подробно описываются ресурсы, потери и классы инцидентов.

Классы инцидентов получаются путем сопоставления категории потерь и категории ресурсов. Для выявления возможных уязвимостей используется опросный лист, база которого содержит более 600 вопросов, связанных с категориями ресурсов. Допускается корректировка вопросов, исключение или добавление новых. Задается частота возникновения каждой из выделенных угроз, степень уязвимости и ценность активов. Все это используется в дальнейшем для расчета эффективности СИБ и ее компонент.

Ожидаемая частота реализации угроз определяется в терминах среднегодовой оценочной частоты угрозы (Annual Frequency Estimate, AFE) [2]. База знаний RiskWatch определяет для каждой угрозы стандартную оценочную частоту (Standard Annual Frequency Estimate, SAFE). Для вычисления величины риска используется локальная оценочная частота угрозы (Local Annual Frequency Estimate, LAFE), определяемая пользователем самостоятельно на основании значения SAFE.

Для каждой контрмеры (компоненты СИБ) задается ее стоимость (затраты на внедрение и сопровождение), а также учитывается стадия реализации контрмеры, продолжительность жизненного цикла компоненты СИБ и способность данной компоненты уменьшить оценочную частоту угрозы  LAFE.

3. Третья фаза – оценка рисков (Evaluation). На данном этапе выполняется установление связей между активами, потерями, частотой угроз и уязвимостями, выделенными на предыдущих этапах. Для рисков рассчитываются прогнозируемые среднегодовые потери (Annualised Loss of  Expentancy, ALE).

К примеру, если стоимость аппаратного продукта 150 000 рублей, а вероятность того, что он будет уничтожен пожаром в течение года равна 0.01, то ожидаемые потери составят 1500 рублей. Дополнительно рассматриваются сценарии «Что будет, если», которые позволяют описать аналогичные ситуации при условии внедрения СИБ и его компонентов. Сравнивая ожидаемые потери при условии внедрения СИБ и без них, можно оценить эффект от таких мероприятий.

4. Четвертая фаза - формирование отчетов (Reports). Основные виды отчетов: отчет о стоимости защищаемых ресурсов и ожидаемых потерь от реализации угроз, отчет об угрозах и контрмерах, отчет о результатах аудита безопасности и др.

К недостаткам RiskWatch [7] можно отнести следующее:

·Такой метод подходит, если требуется провести анализ рисков на программно-техническом уровне защиты, без учета организационных и административных факторов. Полученные, с помощью прогнозируемых среднегодовых потерь (Annualised Loss of  Expentancy, ALE),  оценки рисков далеко не исчерпывает понимание риска с системных позиций - метод не учитывает комплексный подход к информационной безопасности.

·ПО RiskWatch существует только на английском языке.

·Высокая стоимость лицензии (от 15 000 $ за одно рабочее место для небольшой компании; от 125 000 $ за корпоративную лицензию).

4.  ГРИФ. Система анализа и управления информационными рисками ГРИФ разработана российской компанией Digital Security [13].

Методика оценки рисков в системе ГРИФ состоит из 5 основных этапов [10]:

· На первом этапе  проводится опрос ответственных лиц с целью определения полного списка информационных ресурсов, активов (в том числе, объекты хранения информации.), представляющих ценность для организации.

·  На втором этапе проводится опрос ответственных лиц с целью указания в системе ГРИФ всех видов информации, представляющих ценность для организации. Эти группы информации должны быть размещены на ранее указанных, на первом этапе, объектах хранения информации (серверах, рабочих станциях и т.д.). Заключительная фаза - указание ущерба по каждой группе ценной информации, расположенной на соответствующих ресурсах, по всем видам угроз.

·  На третьем этапе происходит определение всех видов пользовательских групп (и число пользователей в каждой группе). Затем определяется, к каким группам информации на ресурсах имеет доступ каждая из групп пользователей. В заключение определяются виды (локальный и/или удаленный) и права (чтение, запись, удаление) доступа пользователей ко всем ресурсам, содержащим ценную информацию.

· На четвертом этапе проводится опрос ответственных лиц с целью определения компонент СИБ, которыми защищена ценная информация на ресурсах. Кроме того, в систему вводится информация о разовых затратах на приобретение всех применяющихся компонент СИБ и ежегодные затраты на их техническую поддержку, а также - ежегодные затраты на сопровождение СИБ организации.

· На пятом этапе  необходимо ответить на список вопросов по политике безопасности, реализованной в системе, что позволяет оценить реальный уровень защищенности системы и детализировать оценки рисков. Наличие уже внедренных компонент СИБ, отмеченных на первом этапе, само по себе еще не делает систему защищенной в случае их неадекватного использования и отсутствия комплексной политики безопасности, учитывающей все аспекты защиты информации, включая вопросы организации защиты, физической безопасности, безопасности персонала, непрерывности ведения бизнеса и т.д.

В результате выполнения всех этапов, на выходе формируется полная модель информационной системы с точки зрения информационной безопасности с учетом реального выполнения требований комплексной политики безопасности, что позволяет перейти к программному анализу введенных данных для получения комплексной оценки рисков и формирования итогового отчета. Пример отчета приведен на рисунке 3. [10].

Рисунок 3. Отчет по результатам оценки рисков в системе ГРИФ

В результате работы алгоритма программа представляет следующие данные:

1. Инвентаризацию ресурсов;

2. Значения риска для каждого ценного ресурса организации;

3. Значения риска для ресурсов после задания контрмер (остаточный риск);

4. Эффективность контрмер.

К недостаткам методики ГРИФ можно отнести [14]:

·       отсутствие привязки к бизнес-процессам организации;

·       нет возможности сравнения отчетов на разных этапах внедрения комплекса мер по обеспечению защищенности;

·     отсутствует возможность добавить специфичные для данной компании требования политики безопасности.

Итого

Мы рассмотрели подходы к понятию термина риск в существующих нормативных документах и стандартах, а так же привели обзор основных методик оценки рисков, предлагаемых коммерческими компаниями. Надеюсь данный обзор будет полезен. За подготовку материала выражаю отдельно спасибо Анастасии Сакулиной. 

Список используемых источников

1.       Петренко С.А. Анализ рисков в области защиты информации -«Издательский дом «Афина», г. Санкт-Петербург, 2009г.

2.   Астахов А.М. Искусство управления информационными рисками - М.: ДМК Пресс, 2010г.

3. Астахов А.М. Как управлять рисками информационной безопасности - ISO27000 RU, 2006, www.iso27000.ru

4. Tittel E., Stewart J. M., Chapple M. CISSP: Certified Information Systems Security Professional. Study Guide, 2^nd edition, SYBEX Inc., 2004

5. Bjorn A.G. CORAS, A Platform for Risk Analysis on Security Critical Systems — Model-based Risk Analysis Targeting Security, 2002

6. Грушо А. А., Применко Э. А., Тимонина Е. Е. Теоретичсекие основы компьютерной безопасности. М.:Академия 2009 г.

7.  Петренко С.А. Анализ рисков в области защиты информации -«Издательский дом «Афина», г. Санкт-Петербург, 2009г.

8. Ajay Shah. Black, Merton and Scholes: Their work and its consequences. Economic and Political Weekly, XXXII(52):3337-3342, December 1997

9. AS/NZS 4360: 1999 Risk Management и ISO/IEC 17799-1: 2000 Code of Practiсe for Information Security Management

10.  Медведовский И. Современные методы и средства анализа и контроля рисков информационных систем компаний,www.dsec.ru, Digital Security

11.   www.riskwatch.com

12.  PCI DSS Requirements and Security Assessment Procedures, Version 2.0 October 2010, Copyright 2010 PCI Security Standards Council LLC

13. Петров В.А., Петрова Т.В. Моделирование систем и процессов защиты информации. Первый региональный научно-практический семинар «Информационная безопасность – Юг России». Таганрог. рад. техн. ун-т. Таганрог, 1999

14. Куканова Н. Современные методы и средства анализа и управления рисками информационных систем компаний, www.dsec.ru, Digital Security