Методики и программные продукты для оценки рисков. Методики и программные продукты для оценки рисков Программные средства для управления рисками

, (, "", "", ""). , FRAP; (,). RiskWatch; , (CRAMM, Microsoft ..).

CRAMM - 80- . (CCTA) . CRAMM , . , . CRAMM, (profiles). (Commercial Profile), - (Government profile). , ITSEC (" "). RAMM . , . : , . : , . . . , . .

CRAMM . :

; - , ; ; - (), ; , : , .

; ; ; , ; ; , ; , ; .

1 10. CRAMM " , ":

2 - $1000; 6 - $1000 $10 000; 8 - $10 000 $100 000; 10 - $100 000.

(3) , () . , . .

, . . , (, . .). . CRAMM 36 , . , . , . 1 7. , . CRAMM . , . , :

(. 4.1); (. 4.2); (. 4.1).

4.1. (). , 10 3 4.2. (). , 0,33 , 0,33 0,66 , 0,66

, " ". . 4.1 . , - (), - ().

4.1. (. Annual Loss of Expectancy) CRAMM , . 4.2 ().

4.2. , (. 4.3)

4.3. . , . CRAMM , . : 300 ; 1000 ; 900 , . , CRAMM - , ().

FRAP "Facilitated Risk Analysis Process (FRAP)" Peltier and Associates (http://www.peltierassociates.com/) (Thomas R. Peltier) (,). , . - , . : . , (. cost/benefit analysis), . . , FRAP . 1. , () . 2. . : o (checklists), ;

; , ; o " ", . 3. , . , . , .o

, . , (). . (Probability):o o o

(High Probability) - , ; (Medium Probability) - ; (Low Probability) - , .

(Impact) - , :o

(High Impact): , ; (Medium Impact): , -; (Low Impact): , .

4.4. :o o o

A - (,) ; B - ; C - (,);

4.4. FRAP 4. , . , . , . , . , (, - .). , . , . , . :o o

; . 5. . , . , ..o o

OCTAVEOCTAVE (Operationally Critical Threat, Asset, and Vulnerability Evaluation) - , Software Engineering Institute (SEI) (Carnegie Mellon University). www.cert.org/octave. - . , . , . OCTAVE: 1. , ; 2. ; 3. . (asset), (access), (actor), (motive), (outcome) . , OCTAVE: 1. , -, ; 2. , -, ; 3. , ; 4. . (disclosure), (modification), (loss/destruction) . (interruption).

OCTAVE " ", 1) . 4.5. - . - . , () - () (HR Database). , 4.3. 4.3. . (Asset) (HR Database) (Access) (Network) (Actor) (Inside) (Motive) (Deliberate) (Vulnerability) (Outcome) (Disclosure) (Catalog reference) -

4.5. , - . , (, ..) , (,). : ; ; ; ; "" , ; ; ; ; . , . , (web-, .), (checklists), . :

, (high-severity vulnerabilities); , (middle-severity vulnerabilities); , (low-severity vulnerabilities).

OCTAVE , . : (high), (middle), (low). , . , (, $10000 - , -). , :

OCTAVE , OCTAVE , .

RiskWatch RiskWatch , . RiskWatch:

RiskWatch for Physical Security - ; RiskWatch for Information Systems - ; HIPAA-WATCH for Healthcare Industry - HIPAA (US Healthcare Insurance Portability and Accountability Act), ; RiskWatch RW17799 for ISO 17799 - ISO 17799.

RiskWatch (Annual Loss Expectancy, ALE) (Return on Investment, ROI). RiskWatch . RiskWatch , . - . , (), . , (" ", "/ " ..), . , (. 4.6). , :

; ; (,); (, ..); ; (,); .

600 . . , . (LAFE SAFE), . .

4.6. - . , . , . , . , $150000, 0.01, $1500. (m=p*v, m - , p - , v -) , RiskWatch NIST , LAFE SAFE. LAFE (Local Annual Frequency Estimate) - , (,). SAFE (Standard Annual Frequency Estimate) - , " " (,). ,

, . (4.1) (4.2) ALE: (4.1) :

Asset Value - (, ..); Exposure Factor - - , () , ; Frequency - ; ALE - .

, . " " (Annualized Rate of Occurrence - ARO) " " (Single Loss Expectancy - SLE), (,). , - (4.2) (4.2) " :", . . RiskWatch LAFE SAFE, . ROI (Return on Investment -), . : (4.3)

Costsj - j - ; Benefitsi - (..), ; NPV (Net Present Value) - .

1 2. . . ROI (- . 4.7). .

4.7. ROI , . , .

Microsoft.

, , :1. . . 2. . . 3. . .

. . . (. *8] , -). .

, . (,). , (,). -. - . , . , :1. () - , . , . 2. () - , . , . , . 3. () - , . ,

. . . . . .

. . . - . . .

(. 4.8). (Excel) Microsoft. , . (- ,).

4.10 .

. ; . ; . .

(" ") , :

; : , ; : .

4.13. - . 4.14. .

4.14. . , . , 100 20%, . ,

: , . . 4.15 .

4.15. " ", . - . . . . 1 5. , . 4.16, (. 4.17). , .

4.17. . 4.18 . .

4.20. . , - ": 5, : 1", - ": 5, : 5".

4.20. (SRMGTool3)

. (1 10) (0 10). 0 100. "", "" "" , . 4.21

. . (single loss expectancy - SLE). (annual rate of occurrence - ARO). (annual loss expectancy - ALE).

. . . . . . . . .

. , . , . . . , . , (- () 20%). . (SLE). . 4.22 .

4.23. ()

(ARO). ARO . 4.24

(ALE) SLE ARO .

ALE . , . , - .

(, ..); (,) ; ; , ; , .

Ниже приведены краткие описания ряда распространенных методик анализа рисков. Их можно разделить на:

  • методики, использующие оценку риска на качественном уровне (например, по шкале "высокий", "средний", "низкий"). К таким методикам, в частности, относится FRAP;
  • количественные методики (риск оценивается через числовое значение, например размер ожидаемых годовых потерь). К этому классу относится методика RiskWatch;
  • методики, использующие смешанные оценки (такой подход используется в CRAMM, методике Microsoft и т.д.).

Методика CRAMM

Это одна из первых методик анализа рисков в сфере ИБ - работа над ней была начата в середине 80-х гг. центральным агентством по компьютерам и телекоммуникациям (CCTA) Великобритании.

В основе метода CRAMM лежит комплексный подход к оценке рисков, сочетающий количественные и качественные методы анализа. Метод является универсальным и подходит как для крупных, так и для малых организаций, как правительственного, так и коммерческого сектора. Версии программного обеспечения CRAMM, ориентированные на разные типы организаций, отличаются друг от друга своими базами знаний (profiles). Для коммерческих организаций имеется Коммерческий профиль (Commercial Profile), для правительственных организаций - Правительственный профиль ( Government profile). Правительственный вариант профиля, также позволяет проводить аудит на соответствие требованиям американского стандарта ITSEC (" Оранжевая книга ").

Исследование ИБ системы с помощью СRAMM проводится в три стадии [ , , ].

На первой стадии анализируется все, что касается идентификации и определения ценности ресурсов системы. Она начинается с решения задачи определения границ исследуемой системы: собираются сведения о конфигурации системы и о том, кто отвечает за физические и программные ресурсы, кто входит в число пользователей системы, как они ее применяют или будут применять.

Проводится идентификация ресурсов: физических, программных и информационных, содержащихся внутри границ системы. Каждый ресурс необходимо отнести к одному из предопределенных классов. Затем строится модель информационной системы с позиции ИБ. Для каждого информационного процесса, имеющего, по мнению пользователя, самостоятельное значение и называемого пользовательским сервисом, строится дерево связей используемых ресурсов. Построенная модель позволяет выделить критичные элементы.

Ценность физических ресурсов в CRAMM определяется стоимостью их восстановления в случае разрушения.

Ценность данных и программного обеспечения определяется в следующих ситуациях:

  • недоступность ресурса в течение определенного периода времени;
  • разрушение ресурса - потеря информации, полученной со времени последнего резервного копирования, или ее полное разрушение;
  • нарушение конфиденциальности в случаях несанкционированного доступа штатных сотрудников или посторонних лиц;
  • модификация - рассматривается для случаев мелких ошибок персонала (ошибки ввода), программных ошибок, преднамеренных ошибок;
  • ошибки, связанные с передачей информации: отказ от доставки, недоставка информации, доставка по неверному адресу.
  • ущерб репутации организации;
  • нарушение действующего законодательства;
  • ущерб для здоровья персонала;
  • ущерб, связанный с разглашением персональных данных отдельных лиц;
  • финансовые потери от разглашения информации;
  • финансовые потери, связанные с восстановлением ресурсов;
  • потери, связанные с невозможностью выполнения обязательств;
  • дезорганизация деятельности.

Для данных и программного обеспечения выбираются применимые к данной ИС критерии, дается оценка ущерба по шкале со значениями от 1 до 10.

В описаниях CRAMM в качестве примера приводится в такая шкала оценки по критерию "Финансовые потери, связанные с восстановлением ресурсов":

  • 2 балла - менее $1000;
  • 6 баллов - от $1000 до $10 000;
  • 8 баллов - от $10 000 до $100 000;
  • 10 баллов - свыше $100 000.

При низкой оценке по всем используемым критериям (3 балла и ниже) считается, что рассматриваемая система требует базового уровня защиты (для этого уровня не требуется подробной оценки угроз ИБ) и вторая стадия исследования пропускается.

На второй стадии рассматривается все, что относится к идентификации и оценке уровней угроз для групп ресурсов и их уязвимостей. В конце стадии заказчик получает идентифицированные и оцененные уровни рисков для своей системы. На этой стадии оцениваются зависимость пользовательских сервисов от определенных групп ресурсов и существующий уровень угроз и уязвимостей, вычисляются уровни рисков и анализируются результаты.

Ресурсы группируются по типам угроз и уязвимостей. Например, в случае существования угрозы пожара или кражи в качестве группы ресурсов разумно рассмотреть все ресурсы, находящиеся в одном месте (серверный зал, комната средств связи и т. д.). Оценка уровней угроз и уязвимостей производится на основе исследования косвенных факторов.

Программное обеспечение CRAMM для каждой группы ресурсов и каждого из 36 типов угроз генерирует список вопросов, допускающих однозначный ответ. Уровень угроз оценивается, в зависимости от ответов, как очень высокий, высокий, средний, низкий и очень низкий. Уровень уязвимости оценивается, в зависимости от ответов, как высокий, средний и низкий.

На основе этой информации рассчитываются уровни рисков в дискретной шкале с градациями от 1 до 7. Полученные уровни угроз, уязвимостей и рисков анализируются и согласовываются с заказчиком.

CRAMM объединяет угрозы и уязвимости в матрице риска. Рассмотрим, как получается эта матрица , и что каждый из уровней риска означает.

Основной подход, для решения этой проблемы состоит в рассмотрении :

  • уровня угрозы (шкала приведена в табл. 4.1);
  • уровня уязвимости (шкала приведена в табл. 4.2);
  • размера ожидаемых финансовых потерь (пример на рис. 4.1).
Таблица 4.1. Шкала оценки уровней угрозы (частота возникновения).
Описание Значение
инцидент происходит в среднем, не чаще, чем каждые 10 лет очень низкий
инцидент происходит в среднем один раз в 3 года низкий
инцидент происходит в среднем раз в год средний
инцидент происходит в среднем один раз в четыре месяца высокий
инцидент происходит в среднем раз в месяц очень высокий

Исходя из оценок стоимости ресурсов защищаемой ИС, оценок угроз и уязвимостей, определяются "ожидаемые годовые потери". На рис. 4.1 приведен пример матрицы оценки ожидаемый потерь . В ней второй столбец слева содержит значения стоимости ресурса, верхняя строка заголовка таблицы - оценку частоты возникновения угрозы в течение года (уровня угрозы), нижняя строка заголовка - оценку вероятности успеха реализации угрозы (уровня уязвимости).


Рис. 4.1.

Значения ожидаемых годовых потерь (англ. Annual Loss of Expectancy ) переводятся в CRAMM в баллы, показывающие уровень риска, согласно шкале, представленной на рис. 4.2 (в этом примере размер потерь приводится в фунтах стерлингов).


Рис. 4.2.

В соответствии с приведенной ниже матрицей, выводится оценка риска ( рис. 4.3)


Рис. 4.3.

Третья стадия исследования заключается в поиске адекватных контрмер. По существу, это поиск варианта системы безопасности, наилучшим образом удовлетворяющей требованиям заказчика.

На этой стадии CRAMM генерирует несколько вариантов мер противодействия, адекватных выявленным рискам и их уровням. Контрмеры можно объединить в три категории: около 300 рекомендаций общего плана; более 1000 конкретных рекомендаций; около 900 примеров того, как можно организовать защиту в данной ситуации.

Таким образом, CRAMM - пример методики расчета, при которой первоначальные оценки даются на качественном уровне, и потом производится переход к количественной оценке (в баллах).

Методика FRAP

Методика " Facilitated Risk Analysis Process (FRAP)" предлагаемая компанией Peltier and Associates ( сайт в Интернет http://www.peltierassociates.com/) разработана Томасом Пелтиером (Thomas R. Peltier) и опубликована в (фрагменты данной книги доступны на сайте, приведенное ниже описание построено на их основе). В методике, обеспечение ИБ ИС предлагается рассматривать в рамках процесса управления рисками. Управление рисками в сфере ИБ - процесс, позволяющий компаниям найти баланс между затратами средств и сил на средства защиты и получаемым эффектом.

Управление рисками должно начинаться с оценки рисков: должным образом оформленные результаты оценки станут основой для принятия решений в области повышения безопасности системы.

После завершения оценки, проводится анализ соотношения затрат и получаемого эффекта (англ. cost/benefit analysis ), который позволяет определить те средства защиты, которые нужны, для снижения риска до приемлемого уровня.

Ниже приведены основные этапы оценки рисков. Данный список во многом повторяет аналогичный перечень из других методик, но во FRAP более подробно раскрываются пути получения данных о системе и ее уязвимостях.

  1. Определение защищаемых активов производится с использованием опросных листов, изучения документации на систему, использования инструментов автоматизированного анализа (сканирования) сетей.
  2. Идентификация угроз . При составлении списка угроз могут использоваться разные подходы:
    • заранее подготовленные экспертами перечни угроз ( checklists ), из которых выбираются актуальные для данной системы;
    • анализ статистики происшествий в данной ИС и в подобных ей - оценивается частота их возникновения; по ряду угроз, например, угрозе возникновения пожара, подобную статистику можно получить у соответствующих государственных организаций;
    • "мозговой штурм", проводимый сотрудниками компании.
  3. Когда список угроз закончен, каждой из них сопоставляют вероятность возникновения. После чего оценивают ущерб, который может быть нанесен данной угрозой. Исходя из полученных значений, оценивается уровень угрозы.

    При проведении анализа, как правило, принимают, что на начальном этапе в системе отсутствуют средства и механизмы защиты. Таким образом оценивается уровень риска для незащищенной ИС, что в последствии позволяет показать эффект от внедрения средств защиты информации (СЗИ).
    Рис. 4.4. Матрица рисков FRAP

  4. После того как угрозы идентифицированы и дана оценка риска, должны быть определены контрмеры, позволяющие устранить риск или свести его до приемлемого уровня. При этом должны приниматься во внимание законодательные ограничения, делающие невозможным или, наоборот, предписывающие в обязательном порядке, использование тех или иных средств и механизмов защиты. Чтобы определить ожидаемый эффект, можно провести оценку того же риска, но при условии внедрения предлагаемого СЗИ. Если риск снижен недостаточно, возможно, надо применить другое СЗИ. Вместе с определением средства защиты, надо определить какие затраты повлечет его приобретение и внедрение (затраты могут быть как прямые, так и косвенные - см. ниже). Кроме того, необходимо оценить, безопасно ли само это средство, не создает ли оно новых уязвимостей в системе.

    Чтобы использовать экономически эффективные средства защиты, нужно проводить анализ соотношения затрат и получаемого эффекта. При этом надо оценивать не только стоимость приобретения решения, но и стоимость поддержания его работы. В затраты могут включаться:

    • стоимость реализации проекта, включая дополнительное программное и аппаратное обеспечение;
    • снижение эффективности выполнения системой своих основных задач;
    • внедрение дополнительных политик и процедур для поддержания средства;
    • затраты на найм дополнительного персонала или переобучение имеющегося.
  5. Документирование. Когда оценка рисков закончена, ее результаты должны быть подробно документированы в стандартизованном формате. Полученный отчет может быть использован при определении политик, процедур, бюджета безопасности и т.д.

Продолжая тематику оценки и управления рисками информационной безопасности в этом посте мне бы хотелось поговорить о программном обеспечении, которое может быть использовано для выполнения оценки рисков. Зачем вообще нужно это программное обеспечение? Дело в том, что как только вы глубоко погрузитесь в этот процесс, то сразу станет понятно, что проведение оценки сопряжено с довольно сложной комбинаторикой. Сочетание разных активов, уязвимостей, угроз, защитных мер рождает сотни, тысячи возможных комбинаций, описывающих риски и тут уже без подручных средств не обойтись. Что же сейчас можно найти на просторах интернета:


vsRisk . Программное обеспечение от британской компании Vigilant Software . Продукт позиционируется в первую очередь как программное обеспечение для оценки рисков в соответствии с требованиями ISO 27001 и BS7799-3 (ныне ISO27005). На сайте можно скачать триалку на 15 дней (размер - 390 МБ). Система мне показалась довольно примитивной и совсем не дружественной неподготовленному пользователю. В программе, например, есть довольно обширные списки возможных угроз, уязвимостей и контрмер, но при этом сама система не определяет никаких взаимосвящей между ними, это делается вручную самим пользователем. В общем я бы оценил программку на 3-ку. За что там просят 1700 Евро?! 8-).

PTA. Разработка компанииPTA Technologies . Крайне интересный продукт на мой взгляд. Не привязан к какому-либо стандарту и реализует механизм количественной оценки рисков (!). Это я, кстати, отметил бы скорее как недостаток данного программного обеспечения, т.к. все дело в том, что далеко не все можно оценить с точностью до доллара, а возможность качественной оценки не предусмотрена. В системе также предусмотрен интересный механизм оценки эффективности предлагаемых контрмер, на основании чего можно, например, выдеть как меняется карта рисков когда мы добавляем или убираем те или иные контрмеры.

На сайте разработчика укзаано, что продукт платный и для скачивания доступна только триалка на 30 дней. Сколько же стоит сам продукт и как его можно приобрести - информации нет (видимо подход индивидуальный:)).

RSA Archer . Разработка компании Archer , с недавних пор принадлежащей гиганту RSA. Вообще говоря Archer - это такой огромный GRC-комбайн, который включает в себя множество различных модулей, один из которых обеспечивает управление рисками. Триалок для скачивания не предоставляется, на сайте есть презентационные видео. Стоимость данного продукта также не обозначена, но думаю что будет дорого, как и впрочем и все у RSA:)

Modulo Risk Manager . Разработка компании Modulo . На сайте доступно только довольно бедное описание функционала. Никакой триальной версии, никаких подробных видео-роликов. Тем не менее продукт отмечен наградой SC Magazine, а это значит что он все же чего-то стоит. К сожалению мне пока не удалось с ним ознакомиться.


RM Studio. Продукт одноименной организации (сайт). Д ля скачивания доступна 30-дневная триалка, помимо этого на сайте можно посмотреть видео-ролики, демонстрирующие сценарии использования продукта. На мой взгляд данное программное обеспечение слишком примитивное в плане оценки рисков и подходит только тем, кто делает оценку рисков "для галочки".


Гриф . Разработка компании Digital Security. Привел этот программный продукт скорее просто для общей картины. Сам продукт уже много лет никак не поддерживается компанией-разработчиком. Поэтому можно сказать, что его фактически уже нет. Пока это единственная отечественная разработка в этой области известная мне.

Откровенно говоря не густо. Я понимаю что мой обзор не может претендовать на 100% полноту, но все же....

Если кто-то знает еще какое-то программное обеспечение или другие способы автоматизации при проведени оценки рисков - прошу писать в комменты, обсудим.

Важное обновление! Компания ISM SYSTEMS сообщила о разработке инструмента по автоматизации оценки рисков - ISM Revision: Risk Manager. Предварительная информация доступна здесь - http://www.ismsys.ru/?page_id=73 . Продукт выглядит многообещающе. Более подробный обзор сделаю позже.

В программе оценки риска определяются процедуры оценки и присвоения степени (уровня) риска клиенту с учетом требований к его идентификации:

  • а) при возникновении договорных отношений с клиентом (принятии его на обслуживание);
  • б) в ходе обслуживания клиента (по мере совершения операций (сделок));
  • в) в иных случаях, предусмотренных организацией в правилах внутреннего контроля.

Программа оценки риска предусматривает проведение оценки риска клиентов на основе признаков операций, видов и условий деятельности, имеющих повышенный риск совершения клиентами операций в целях легализации (отмывания) доходов, полученных преступным путем, и финансирования терроризма, с учетом рекомендаций Группы разработки финансовых мер борьбы с отмыванием денег (ФАТФ).

В информационном письме Росфинмониторинга от 2 августа 2011 г. № 71 представлены признаки операций, видов и условий деятельности, имеющих повышенный риск совершения клиентами операций в целях легализации (отмывания) доходов, полученных преступным путем, и финансирования терроризма (за исключением кредитных организаций). Это:

  • 1. Деятельность по организации и проведению азартных игр.
  • 2. Деятельность, связанная с реализацией, в том числе комиссионной, предметов искусства, антиквариата, мебели, легковых транспортных средств, предметов высокой роскоши.
  • 3. Деятельность, связанная со скупкой, куплей-продажей драгоценных металлов, драгоценных камней, а также ювелирных изделий, содержащих драгоценные металлы и драгоценные камни, и лома таких изделий.
  • 4. Деятельность, связанная с совершением сделок с недвижимым имуществом и/или оказанием посреднических услуг при совершении сделок с недвижимым имуществом.
  • 5. Туроператорская и турагентская деятельность, а также иная деятельность по организации путешествий (туристская деятельность).
  • 6. Любая деятельность, связанная с интенсивным оборотом наличности.
  • 7. Период деятельности с даты государственной регистрации юридического лица, индивидуального предпринимателя, получения статуса адвоката, нотариуса, составляющий менее 1 года.
  • 8. Период нахождения клиента на обслуживании в организации (срок, прошедший с даты принятия на обслуживание клиента), составляющий менее 1 года.
  • 9. Отсутствие по адресу места нахождения юридического лица постоянно действующих органов управления, иных органов или лиц, имеющих право действовать от имени такого юридического лица без доверенности.
  • 10. Осуществление клиентом взаимодействия с организацией, ведущей операции с денежными средствами или иным имуществом, исключительно через представителя, действующего по доверенности.
  • 11. Участие клиента (выгодоприобретателя, учредителя) в федеральных целевых программах или национальных проектах либо назначение его резидентом особой экономической зоны.
  • 12. Случай, когда клиент (выгодоприобретатель, учредитель) является организацией, в уставном капитале которой присутствует доля государственной собственности.
  • 13. Случай, когда клиент (выгодоприобретатель) является нерезидентом Российской Федерации.
  • 14. Случай, когда клиент является иностранным публичным должностным лицом либо действует в интересах (к выгоде) иностранного публичного должностного лица.
  • 15. Случай, когда клиент является супругом, близким родственником (родственником по прямой восходящей и нисходящей линии (родителем и ребенком, дедушкой, бабушкой и внуком), полнородным и неполнородным (имеющим общих отца или мать) братом или сестрой, усыновителем и усыновленным) иностранного публичного должностного лица.
  • 16. Совершение клиентом операций с денежными средствами или иным имуществом, подлежащих обязательному контролю в соответствии с п. 2 ст. 6 Федерального закона.
  • 17. Наличие в деятельности клиента подозрительных операций, сведения по которым представлялись в уполномоченный орган.
  • 18. Осуществление клиентом расчетов по операции (сделке) с использованием интернет-технологий, электронных платежных систем, альтернативных систем денежных переводов или иных систем удаленного доступа, либо иным способом без непосредственного контакта (за исключением внесения разовых платежей через платежный терминал на сумму менее 15 000 руб. либо эквивалента этой суммы в иностранной валюте).
  • 19. Случай, когда клиент (его контрагент, представитель клиента, выгодоприобретатель или учредитель клиента) является фигурантом Перечня организаций и физических лиц, в отношении которых имеются сведения об их участии в экстремистской деятельности.
  • 20. Случай, когда адрес регистрации (места нахождения или места жительства) клиента (представителя клиента, выгодоприобретателя или учредителя клиента) совпадает с адресом регистрации (местом нахождения или местом жительства) фигурантов Перечня организаций и физических лиц, в отношении которых имеются сведения об их участии в экстремистской деятельности.
  • 21. Случай, когда клиент является близким родственником лица, включенного в Перечень организаций и физических лиц, в отношении которых имеются сведения об их причастности к экстремистской деятельности или терроризму.
  • 22. Осуществление деятельности общественных и религиозных организаций (объединений), благотворительных фондов, иностранных некоммерческих неправительственных организаций и их представительств и филиалов на территории Российской Федерации.
  • 23. Случай, когда клиент является руководителем или учредителем общественной или религиозной организации (объединения), благотворительного фонда, иностранной некоммерческой неправительственной организации, ее филиала или представительства, осуществляющего свою деятельность на территории РФ.
  • 24. Случай, когда клиент (его контрагент, представитель клиента, выгодоприобретатель или учредитель клиента) зарегистрирован в государстве или на территории с высокой террористической или экстремистской активностью.
  • 25. Случай, когда клиент (его контрагент, представитель клиента выгодоприобретатель или учредитель клиента) имеет, соответственно, регистрацию, место жительства или место нахождения в государстве (на территории), которое (которая) не выполняет рекомендации Группы разработки финансовых мер борьбы с отмыванием денег (ФАТФ), либо если указанные операции проводятся с использованием счета в банке, зарегистрированном в указанном государстве (на указанной территории).
  • 26. Случай, когда клиент или его учредитель (выгодоприобретатель) либо контрагент клиента по операции (сделке) зарегистрирован или осуществляет деятельность в государстве или на территории, предоставляющем(щей) льготный налоговый режим налогообложения и (или) не предусматривающем(щей) раскрытия и предоставления информации при проведении финансовых операций (оффшорной зоне).
  • 27. Иные признаки по усмотрению организации.

Вышеуказанный перечень может быть дополнен организацией (иным лицом) с учетом особенностей ее (его) деятельности, а также специфики совершаемых операций (сделок).

Программа оценки риска предусматривает порядок и периодичность осуществления мониторинга операций (сделок) клиента в целях проведения оценки степени (уровня) риска и последующего контроля за ее изменением.

Необходимость инвестиций в информационную безопасность (ИБ) бизнеса не вызывает сомнений. Чтобы подтвердить актуальность задачи обеспечения безопасности бизнеса, воспользуемся отчетом ФБР, выпущенным по материалам опроса американских компаний (средний и крупный бизнес). Статистика инцидентов в области ИТ-секьюрити неумолима. Согласно данным ФБР, в нынешнем году 56% опрошенных компаний подвергались атаке (рис. 1).

Но как оценить уровень вложений в ИБ, который обеспечит максимальную эффективность вложенных средств? Для решения этой задачи существует только один способ - применять системы анализа рисков, позволяющие оценить существующие в системе риски и выбрать оптимальный по эффективности вариант защиты (по соотношению существующих в системе рисков к затратам на ИБ).

Обоснование инвестиций

По статистике, самые серьезные препятствия на пути принятия каких-либо мер для обеспечения информационной безопасности в компании связаны с двумя причинами: ограничение бюджета и отсутствие поддержки со стороны руководства.

Обе эти причины возникают из-за непонимания руководством серьезности вопроса и неспособности ИТ-менеджера обосновать, зачем вкладывать деньги в информационную безопасность. Часто считается, что основная проблема заключается в том, что ИТ-менеджеры и руководители разговаривают на разных языках - техническом и финансовом, но ведь и самим ИТ-специалистам часто трудно оценить, на что потратить деньги и сколько их требуется для улучшения защищенности системы компании, чтобы эти расходы не оказались напрасными или чрезмерными.

Если ИТ-менеджер четко представляет себе, сколько денег компания может потерять в случае реализации угроз, какие места в системе наиболее уязвимы, какие меры можно принять для повышения уровня защищенности, не потратив при этом лишних денег, и все это подтверждено документально, то решение его задачи - убедить руководство обратить внимание и выделить средства на обеспечение ИБ - становится значительно более реальным.

Для решения такого рода задач разработаны специальные методы и построенные на их базе программные комплексы анализа и контроля информационных рисков. Мы рассмотрим систему CRAMM британской компании Insight Consulting (http://www.insight.co.uk), американскую RiskWatch одноименной компании (http://www.riskwatch.com) и российский пакет ГРИФ компании Digital Security (http://www.dsec.ru). Их сравнительные характеристики приведены в таблице.

Сравнительный анализ инструментальных средств анализа рисков

Критерии сравнения CRAMM RiskWatch ГРИФ 2005 Digital Security Office
Поддержка Обеспечивается Обеспечивается Обеспечивается
Легкость работы для пользователя Требует специальной подготовки и высокой квалификации аудитора Интерфейс ориентирован на ИТ-менеджеров и руководителей; не требует специальных знаний в области ИБ
Стоимость лицензии за одно рабочее место, долл. От 2000 до 5000 От 10 000 От 1000
Системные требования

ОС Windows 98/Me/NT/2000/XP
Свободное дисковое пространство 50 Мбайт

Минимальные требования:
частота процессора 800 МГц, 64 Мбайт памяти

ОС Windows 2000/XP
Свободное дисковое пространство для инсталляции 30 Мбайт
Процессор Intel Pentium или совместимый, 256 Мбайт памяти

ОС Windows 2000/XP

Минимальные требования:
свободное дисковое пространство (для диска c данными пользователя) 300 Мбайт, 256 Мбайт памяти

Функциональность

Входные данные:

  • ресурсы;
  • ценность ресурсов;
  • угрозы;
  • уязвимости системы;
  • выбор адекватных контрмер.

Варианты отчетов:

  • отчет по анализу рисков;
  • общий отчет по анализу рисков;
  • детализированный отчет по анализу рисков.

Входные данные:

  • тип информационной системы;
  • базовые требования в области безопасности;
  • ресурсы;
  • потери;
  • угрозы;
  • уязвимости;
  • меры защиты;
  • ценность ресурсов;
  • частота возникновения угроз;
  • выбор контрмер.

Варианты отчетов:

  • краткие итоги;
  • отчет о стоимости защищаемых ресурсов и ожидаемых потерях от реализации угроз;
  • отчет о ROI

Входные данные:

  • ресурсы;
  • сетевое оборудование;
  • виды информации;
  • группы пользователей;
  • средства защиты;
  • угрозы;
  • уязвимости;
  • выбор контрмер.

Состав отчета:

  • инвентаризация ресурсов;
  • риски по видам информации;
  • риски по ресурсам;
  • соотношение ущерба и риска информации и ресурса;
  • выбранные контрмеры;
  • рекомендации экспертов.
Количественный/качественный метод Качественная оценка Количественная оценка Качественная и количественная оценки
Сетевое решение Отсутствует Отсутствует Корпоративная версия Digital Security Office 2005

CRAMM

Метод CRAMM (CCTA Risk Analysis and Management Method) был разработан Агентством по компьютерам и телекоммуникациям Великобритании (Central Computer and Telecommunications Agency) по заданию британского правительства и взят на вооружение в качестве государственного стандарта. Начиная с 1985 г. он используется правительственными и коммерческими организациями Великобритании. За это время CRAMM приобрел популярность во всем мире. Фирма Insight Consulting занимается разработкой и сопровождением программного продукта, реализующего метод CRAMM.

Метод CRAMM (http://www.cramm.com) не случайно выбран нами для более детального рассмотрения. В настоящее время CRAMM - это довольно мощный и универсальный инструмент, позволяющий, помимо анализа рисков, решать ряд других аудиторских задач, включая:

  • обследование ИС и выпуск сопроводительной документации на всех этапах его проведения;
  • аудит в соответствии с требованиями британского правительства, а также стандарта BS 7799:1995 Code of Practice for Information Security Management;
  • разработку политики безопасности и плана обеспечения непрерывности бизнеса.

В основе метода CRAMM лежит комплексный подход к оценке рисков, сочетающий количественные и качественные методы анализа. Метод универсален и подходит и для больших, и для малых организаций как правительственного, так и коммерческого сектора. Версии ПО CRAMM, ориентированные на разные типы организаций, отличаются друг от друга базами знаний (profiles): для коммерческих организаций имеется Commercial Profile, для правительственных - Government profile. Правительственный вариант профиля также позволяет проводить аудит на соответствие требованиям американского стандарта ITSEC ("Оранжевая книга"). Концептуальная схема проведения обследования по методу CRAMM показана на рис. 2.

При грамотном использовании метода CRAMM удается получать очень хорошие результаты, из которых, пожалуй, наиболее важный - возможность экономического обоснования расходов организации на обеспечение ИБ и непрерывности бизнеса. Экономически обоснованная стратегия управления рисками позволяет в конечном счете сохранить средства, избегая неоправданных расходов.

CRAMM предполагает разделение всей процедуры на три последовательных этапа. Задача первого этапа состоит в ответе на вопрос: "Достаточно ли для защиты системы применения средств базового уровня, реализующих традиционные функции безопасности, или необходимо проведение более детального анализа?" На втором этапе проводится идентификация рисков и оценивается их величина. На третьем этапе решается вопрос о выборе адекватных контрмер.

Методика CRAMM для каждого этапа определяет набор исходных данных, последовательность мероприятий, анкеты для проведения интервью, списки проверки и набор отчетных документов.

На первой стадии исследования выполняется идентификация и определение ценности защищаемых ресурсов. Оценка проводится по десятибалльной шкале, причем критериев оценки может быть несколько - финансовые потери, ущерб репутации и т. д. В описаниях CRAMM в качестве примера приводится такая шкала оценки по критерию "Финансовые потери, связанные с восстановлением ресурсов":

  • 2 балла - менее 1000 долл.;
  • 6 баллов - от 1000 до 10 000 долл.;
  • 8 баллов - от 10 000 до 100 000 долл.;
  • 10 баллов - свыше 100 000 долл.

При низкой оценке по всем используемым критериям (3 балла и ниже) считается, что для рассматриваемой системы достаточно базового уровня защиты (для этого уровня не требуется подробной оценки угроз ИБ), и вторая стадия исследования пропускается.

На второй стадии идентифицируются и оцениваются угрозы в сфере ИБ, проводится поиск и оценка уязвимостей защищаемой системы. Уровень угроз оценивается по следующей шкале: очень высокий, высокий, средний, низкий, очень низкий. Уровень уязвимости оценивается как высокий, средний или низкий. На основе этой информации вычисляется оценка уровня риска по семибалльной шкале (рис. 3).

На третьей стадии CRAMM генерирует варианты мер противодействия выявленным рискам. Продукт предлагает рекомендации следующих типов:

  • рекомендации общего характера;
  • конкретные рекомендации;
  • примеры того, как можно организовать защиту в данной ситуации.

CRAMM имеет обширную базу, в которой содержатся описания около 1000 примеров реализации подсистем защиты различных компьютерных систем. Эти описания можно использовать в качестве шаблонов.

Решение о внедрении в систему новых механизмов безопасности и модификации старых принимает руководство организации, учитывая связанные с этим расходы, их приемлемость и конечную выгоду для бизнеса. Задача аудитора состоит в том, чтобы обосновать рекомендуемые меры для руководства организации.

Если принято решение о внедрении новых контрмер и модификации старых, на аудитора может быть возложена задача подготовки плана внедрения и оценки эффективности использования этих мер. Решение этих задач выходит за рамки метода CRAMM.

К недостаткам метода CRAMM можно отнести следующие:

  • метод требует специальной подготовки и высокой квалификации аудитора;
  • аудит по методу CRAMM - процесс достаточно трудоемкий и может потребовать месяцев непрерывной работы аудитора;
  • CRAMM в гораздо большей степени подходит для аудита уже существующих ИС, запущенных в эксплуатацию, нежели для ИС, находящихся на стадии разработки;
  • программный инструментарий CRAMM генерирует большое количество бумажной документации, которая не всегда оказывается полезной на практике;
  • CRAMM не позволяет создавать собственные шаблоны отчетов или модифицировать имеющиеся;
  • возможность внесения дополнений в базу знаний CRAMM недоступна пользователям, что вызывает определенные трудности при адаптации этого метода к потребностям конкретной организации;
  • ПО CRAMM не локализовано, существует только на английском языке;
  • высокая стоимость лицензии - от 2000 до 5000 долл.

RiskWatch

ПО RiskWatch - это мощное средство анализа и управления рисками. В семейство RiskWatch входят программные продукты для проведения различных видов аудита безопасности. Оно включает в себя следующие средства аудита и анализа рисков:

  • RiskWatch for Physical Security - для физических методов защиты ИС;
  • RiskWatch for Information Systems - для информационных рисков;
  • HIPAA-WATCH for Healthcare Industry - для оценки соответствия требованиям стандарта HIPAA (US Healthcare Insurance Portability and Accountability Act);
  • RiskWatch RW17799 for ISO 17799 - для оценки соответствия требованиям стандарта ISO 17799.

В методе RiskWatch в качестве критериев для оценки и управления рисками используются предсказание годовых потерь (Annual Loss Expectancy, ALE) и оценка возврата от инвестиций (Return on Investment, ROI).

Семейство программных продуктов RiskWatch имеет массу достоинств. RiskWatch помогает провести анализ рисков и сделать обоснованный выбор мер и средств защиты. В отличие от CRAMM, программа RiskWatch более ориентирована на точную количественную оценку соотношения потерь от угроз безопасности и затрат на создание системы защиты. Следует также отметить, что в этом продукте риски в сфере информационной и физической безопасности компьютерной сети предприятия рассматриваются совместно.

В основе продукта RiskWatch лежит методика анализа рисков, в которой можно выделить четыре этапа.

Первый этап - определение предмета исследования. Здесь описываются такие параметры, как тип организации, состав исследуемой системы (в общих чертах), базовые требования в области безопасности. Для облегчения работы аналитика в шаблонах, соответствующих типу организации ("коммерческая информационная система", "государственная/военная информационная система" и т. д.), есть списки категорий защищаемых ресурсов, потерь, угроз, уязвимостей и мер защиты. Из них нужно выбрать те, что реально присутствуют в организации.

Например, для потерь предусмотрены такие категории:

  • задержки и отказ в обслуживании;
  • раскрытие информации;
  • прямые потери (например, от уничтожения оборудования огнем);
  • жизнь и здоровье (персонала, заказчиков и т. д.);
  • изменение данных;
  • косвенные потери (например, затраты на восстановление);
  • репутация.

Второй этап - ввод данных, описывающих конкретные характеристики системы. Они могут вводиться вручную или импортироваться из отчетов, созданных инструментальными средствами исследования уязвимости компьютерных сетей.

На этом этапе подробно описываются ресурсы, потери и классы инцидентов. Классы инцидентов получаются путем сопоставления категории потерь и категории ресурсов.

Для выявления возможных уязвимостей используется опросник, база которого содержит более 600 вопросов. Вопросы связаны с категориями ресурсов. Задается частота возникновения каждой из выделенных угроз, степень уязвимости и ценность ресурсов. Все это используется в дальнейшем для расчета эффекта от внедрения средств защиты.

Третий и, наверное, самый важный этап - количественная оценка. На этом этапе рассчитывается профиль рисков и выбираются меры обеспечения безопасности. Сначала устанавливаются связи между ресурсами, потерями, угрозами и уязвимостями, выделенными на предыдущих шагах исследования (риск описывается совокупностью этих четырех параметров).

Фактически риск оценивается с помощью математического ожидания потерь за год. Например, если стоимость сервера - 150 тыс. долл., а вероятность того, что он будет уничтожен пожаром в течение года, равна 0,01, то ожидаемые потери составят 1500 долл.

Общеизвестная формула m=p х v, где m - математическое ожидание, p - вероятность возникновения угрозы, v - стоимость ресурса, претерпела некоторые изменения в связи с тем, что RiskWatch использует определенные американским Институтом стандартов NIST оценки, называемые LAFE и SAFE. LAFE (Local Annual Frequency Estimate) показывает, сколько раз в год в среднем данная угроза реализуется в данном месте (например, в городе). SAFE (Standard Annual Frequency Estimate) показывает, сколько раз в год в среднем данная угроза реализуется в этой "части мира" (например, в Северной Америке). Вводится также поправочный коэффициент, который позволяет учесть, что при реализации угрозы защищаемый ресурс может быть уничтожен не полностью, а лишь частично.

Дополнительно рассматриваются сценарии "что, если...", которые позволяют описать аналогичные ситуации при условии внедрения средств защиты. Сравнивая ожидаемые потери при условии внедрения защитных мер и без них, можно оценить эффект от таких мероприятий.

RiskWatch включает в себя базы с оценками LAFE и SAFE, а также с обобщенным описанием различных типов средств защиты.

Эффект от внедрения средств защиты количественно описывается с помощью показателя ROI (Return on Investment - отдача от инвестиций), который показывает отдачу от сделанных инвестиций за определенный период времени. Рассчитывается этот показатель по формуле:

где Costsi - затраты на внедрение и поддержание i-той меры защиты; Benefitsi - оценка той пользы (ожидаемого снижения потерь), которую приносит внедрение данной меры защиты; NVP (Net Value Present) дает поправку на инфляцию.

Четвертый этап - генерация отчетов. Возможны следующие типы отчетов:

  • краткие итоги;
  • полные и краткие отчеты об элементах, описанных на стадиях 1 и 2;
  • отчет о стоимости защищаемых ресурсов и ожидаемых потерях от реализации угроз;
  • отчет об угрозах и мерах противодействия;
  • отчет о ROI;
  • отчет о результатах аудита безопасности.

Пример расчета показателя ROI для различных мер защиты приведен на рис. 5.

Таким образом, RiskWatch позволяет оценить не только риски, которые сейчас существуют на предприятии, но и ту выгоду, которую может принести внедрение физических, технических, программных и прочих средств и механизмов защиты. Подготовленные отчеты и графики дают материал, достаточный для принятия решений об изменении системы обеспечения безопасности предприятия.

Для отечественных пользователей проблема заключается в том, что получить используемые в RiskWatch оценки (такие, как LAFE и SAFE) для наших условий достаточно проблематично. Хотя сама методология может с успехом применяться и у нас.

Подводя итог, отметим, что, выбирая конкретную методику анализа рисков на предприятии и поддерживающие ее инструментальные средства, следует ответить на вопрос: нужна ли точная количественная оценка последствий реализации угроз или достаточно оценки на качественном уровне. Необходимо также учитывать следующие факторы: наличие экспертов, способных дать достоверные оценки объема потерь от угроз информационной безопасности, и наличие на предприятии достоверной статистики инцидентов в сфере информационной безопасности.

К недостаткам RiskWatch можно отнести следующее:

  • данный метод подходит, если требуется провести анализ рисков на программно-техническом уровне защиты, без учета организационных и административных факторов;
  • полученные оценки рисков (математическое ожидание потерь) далеко не исчерпывают понимание риска с системных позиций - метод не учитывает комплексный подход к информационной безопасности;
  • ПО RiskWatch существует только на английском языке;
  • высокая стоимость лицензии - от 10 000 долл. за одно рабочее место для небольшой компании.

ГРИФ

ГРИФ - это комплексная система анализа и управления рисками информационной системы компании. ГРИФ 2005 из состава Digital Security Office (http://www.dsec.ru/products/grif/) дает картину защищенности информационных ресурсов в системе и позволяет выбрать оптимальную стратегию защиты корпоративной информации.

Система ГРИФ анализирует уровень защищенности ресурсов, оценивает возможный ущерб от реализации угроз ИБ и помогает управлять рисками, выбирая контрмеры.

Анализ рисков ИС проводится двумя способами: при помощи модели информационных потоков или модели угроз и уязвимостей, в зависимости от того, какими исходными данными располагает пользователь, а также от того, какие данные его интересуют на выходе.

Модель информационных потоков

При работе с моделью информационных потоков в систему вносится полная информация обо всех ресурсах с ценной информацией, пользователях, имеющих доступ к этим ресурсам, видах и правах доступа. Заносятся данные обо всех средствах защиты каждого ресурса, сетевые взаимосвязи ресурсов, характеристики политики безопасности компании. В результате получается полная модель информационной системы.

На первом этапе работы с программой пользователь вносит все объекты своей информационной системы: отделы, ресурсы (к специфичным объектам данной модели относятся сетевые группы, сетевые устройства, виды информации, группы пользователей, бизнес-процессы).

Далее пользователю необходимо проставить связи, т. е. определить, к каким отделам и сетевым группам относятся ресурсы, какая информация хранится на ресурсе и какие группы пользователей имеют к ней доступ. Пользователь также указывает средства защиты ресурса и информации.

На завершающем этапе пользователь отвечает на список вопросов по политике безопасности, реализованной в системе, что позволяет оценить реальный уровень защищенности системы и детализировать оценки рисков.

Наличие средств информационной защиты, отмеченных на первом этапе, само по себе еще не делает систему защищенной в случае их неадекватного использования и отсутствия комплексной политики безопасности, учитывающей все аспекты защиты информации, включая вопросы организации защиты, физической безопасности, безопасности персонала, непрерывности ведения бизнеса и т. д.

В результате выполнения всех действий на данных этапах на выходе формируется полная модель информационной системы с точки зрения информационной безопасности с учетом реального выполнения требований комплексной политики безопасности, что позволяет перейти к программному анализу введенных данных для получения комплексной оценки рисков и формирования итогового отчета.

Модель угроз и уязвимостей

Работа с моделью анализа угроз и уязвимостей подразумевает определение уязвимостей каждого ресурса с ценной информацией и соответствующих угроз, которые могут быть реализованы через данные уязвимости. В результате получается полная картина слабых мест в информационной системе и того ущерба, который может быть нанесен.

На первом этапе работы с продуктом пользователь вносит в систему объекты своей ИС: отделы, ресурсы (к специфичным объектам для данной модели относятся угрозы информационной системе и уязвимости, через которые реализуются угрозы).

Система ГРИФ 2005 включает обширные встроенные каталоги угроз и уязвимостей, в которых содержится около 100 угроз и 200 уязвимостей. Для максимальной полноты и универсальности данных каталогов эксперты Digital Security разработали специальную классификацию угроз DSECCT, в которой реализован многолетний практический опыт в области информационной безопасности. Используя эти каталоги, пользователь может выбрать угрозы и уязвимости, относящиеся к его информационной системе.

Алгоритм системы ГРИФ 2005 анализирует построенную модель и генерирует отчет, который содержит значения риска для каждого ресурса. Конфигурация отчета может быть практически любой, что позволяет создавать как краткие отчеты для руководства, так и детальные отчеты для дальнейшей работы с результатами (рис. 6).


Рис. 6. Пример отчета в системе ГРИФ 2005.

Система ГРИФ 2005 содержит модуль управления рисками, который позволяет проанализировать все причины того, что после обработки алгоритмом занесенных данных получается именно такое значение риска. Таким образом, зная причины, можно получить данные, необходимые для реализации контрмер и, соответственно, снижения уровня риска. Рассчитав эффективность каждой возможной контрмеры, а также определив значение остаточного риска, можно выбрать контрмеры, которые позволят снизить риск до необходимого уровня.

В результате работы с системой ГРИФ строится подробный отчет об уровне риска каждого ценного ресурса информационной системы компании, указываются все причины риска с подробным анализом уязвимостей и оценкой экономической эффективности всех возможных контрмер.

***

Лучшие мировые практики и ведущие международные стандарты в области ИБ, в частности ISO 17799, требуют для эффективного управления безопасностью информационной системы внедрения системы анализа и управления рисками. При этом можно использовать любые удобные инструментальные средства, но главное - всегда четко понимать, что система информационной безопасности создана на основе анализа информационных рисков, проверена и обоснована. Анализ и управление информационными рисками - ключевой фактор для построения эффективной защиты информационной системы.