La necesidad de invertir en seguridad de la información (SI) de la empresa está fuera de toda duda. Para confirmar la relevancia de la tarea de garantizar la seguridad empresarial, utilizaremos el informe del FBI publicado sobre la base de una encuesta de empresas estadounidenses (empresas medianas y grandes). Las estadísticas de incidentes en el campo de la seguridad de TI son implacables. Según el FBI, el 56% de las empresas encuestadas han sido atacadas este año (Figura 1).
Pero, ¿cómo evaluar el nivel de inversiones en seguridad de la información, que garantizará la máxima eficiencia de los fondos invertidos? Para resolver este problema, solo hay una forma: utilizar sistemas de análisis de riesgos que permitan evaluar los riesgos existentes en el sistema y elegir la opción de protección más efectiva (de acuerdo con la relación entre los riesgos existentes en el sistema y los costos de seguridad de la información). ).
Justificación de inversión
Según las estadísticas, los obstáculos más graves para tomar cualquier medida para garantizar la seguridad de la información en una empresa están asociados con dos razones: restricciones presupuestarias y falta de apoyo de la gerencia.
Ambas razones surgen del malentendido de la administración sobre la gravedad del problema y la incapacidad del gerente de TI para justificar por qué invertir en seguridad de la información. A menudo se cree que el problema principal radica en el hecho de que los gerentes y ejecutivos de TI hablan diferentes idiomas: técnico y financiero, pero después de todo, los propios especialistas de TI a menudo tienen dificultades para evaluar en qué gastar dinero y cuánto es. necesarios para mejorar la seguridad del sistema de la empresa, de modo que estos costos no se desperdicien ni sean excesivos.
Si el gerente de TI tiene una idea clara de cuánto dinero puede perder la empresa en caso de amenazas, qué lugares del sistema son más vulnerables, qué medidas se pueden tomar para aumentar el nivel de seguridad sin gastar dinero extra, y Todo esto está documentado, luego sus tareas de decisión, para convencer a la gerencia de que preste atención y asigne fondos para la seguridad de la información, se vuelve mucho más real.
Para resolver este tipo de problemas, se han desarrollado métodos especiales y sistemas de software para analizar y controlar los riesgos de la información basados en ellos. Consideraremos el sistema CRAMM de la empresa británica Insight Consulting (http://www.insight.co.uk), el estadounidense RiskWatch de la empresa del mismo nombre (http://www.riskwatch.com) y el ruso Paquete GRIF de seguridad digital (http: // www .dsec.ru). Sus características comparativas se muestran en la tabla.
Análisis comparativo de herramientas de análisis de riesgos
| Criterios de comparación | CRAMM | RiskWatch | Oficina de Seguridad Digital GRIF 2005 |
| Apoyo | Previsto | Previsto | Previsto |
| Facilidad de operación para el usuario | Requiere capacitación especial y altas calificaciones de un auditor. | La interfaz está dirigida a gerentes y ejecutivos de TI; no requiere conocimientos especiales en el campo de la seguridad de la información | |
| Costo de la licencia por lugar de trabajo, USD | 2000 hasta 5000 | Desde 10000 | Desde 1000 |
| Requisitos del sistema |
Sistema operativo Windows 98 / Me / NT / 2000 / XP Requerimientos mínimos: |
SO Windows 2000 / XP Espacio libre en disco para la instalación 30 MB Procesador Intel Pentium o compatible, 256 MB de memoria |
SO Windows 2000 / XP Requerimientos mínimos: |
| Funcionalidad |
Los datos de entrada:
Opciones de informe:
|
Los datos de entrada:
Opciones de informe:
|
Los datos de entrada:
Composición del informe:
|
| Método cuantitativo / cualitativo | Evaluación cualitativa | Cuantificación | Evaluación cualitativa y cuantitativa |
| Solución de red | Ausente | Ausente | Oficina de seguridad digital Enterprise Edition 2005 |
CRAMM
El método CRAMM (CCTA Risk Analysis and Management Method) fue desarrollado por la Agencia Central de Computación y Telecomunicaciones de Gran Bretaña siguiendo las instrucciones del gobierno británico y ha sido adoptado como estándar estatal. Desde 1985 ha sido utilizado por organizaciones gubernamentales y comerciales en el Reino Unido. Durante este tiempo, CRAMM ha ganado popularidad en todo el mundo. Insight Consulting desarrolla y mantiene un producto de software que implementa el método CRAMM.
El método CRAMM (http://www.cramm.com) no es elegido accidentalmente por nosotros para una consideración más detallada. Actualmente CRAMM es una herramienta bastante poderosa y versátil que permite, además del análisis de riesgos, resolver una serie de otras tareas de auditoría, entre ellas:
- Estudio de SI y publicación de la documentación adjunta en todas las etapas de su implementación;
- auditar de acuerdo con los requisitos del gobierno británico, así como con el Código de prácticas para la gestión de la seguridad de la información BS 7799: 1995;
- desarrollar una política de seguridad y un plan de continuidad del negocio.
El método CRAMM se basa en un enfoque integrado de la evaluación de riesgos, que combina métodos de análisis cuantitativos y cualitativos. El método es universal y es adecuado tanto para organizaciones grandes como pequeñas, tanto del sector gubernamental como comercial. Las versiones de software CRAMM dirigidas a diferentes tipos de organizaciones se diferencian entre sí en las bases de conocimiento (perfiles): hay un Perfil Comercial para las organizaciones comerciales y un Perfil Gubernamental para las organizaciones gubernamentales. La versión gubernamental del perfil también permite auditar el cumplimiento de los requisitos de la norma estadounidense ITSEC ("Libro naranja"). Un diagrama conceptual de una encuesta CRAMM se muestra en la Fig. 2.
Con el uso correcto del método CRAMM, es posible obtener muy buenos resultados, de los cuales, quizás, el más importante es la posibilidad de justificación económica de los costos de la organización para garantizar la seguridad de la información y la continuidad del negocio. En última instancia, una estrategia de gestión de riesgos económicamente sólida ahorra dinero y evita costes innecesarios.
CRAMM implica dividir todo el procedimiento en tres etapas secuenciales. La tarea de la primera etapa es responder a la pregunta: "¿Es suficiente proteger el sistema con herramientas de nivel básico que implementan funciones de seguridad tradicionales, o es necesario realizar un análisis más detallado?" En la segunda etapa, se identifican los riesgos y se evalúa su magnitud. En la tercera etapa, se decide la cuestión de elegir las contramedidas adecuadas.
La metodología CRAMM para cada etapa define un conjunto de datos iniciales, una secuencia de actividades, cuestionarios para entrevistas, listas de verificación y un conjunto de documentos informativos.
En la primera etapa del estudio se realiza la identificación y determinación del valor de los recursos protegidos. La evaluación se lleva a cabo en una escala de diez puntos y puede haber varios criterios de evaluación: pérdidas financieras, daños a la reputación, etc. Las descripciones de CRAMM proporcionan un ejemplo de dicha escala para evaluar el criterio "Pérdidas financieras asociadas con la restauración de recursos ":
- 2 puntos - menos de $ 1000;
- 6 puntos: de $ 1,000 a $ 10,000;
- 8 puntos: de 10,000 a 100,000 dólares;
- 10 puntos - más de $ 100,000
Con una puntuación baja para todos los criterios utilizados (3 puntos y menos), se considera que un nivel básico de protección es suficiente para el sistema en consideración (este nivel no requiere una evaluación detallada de las amenazas a la seguridad de la información), y el segundo se omite la etapa del estudio.
En la segunda etapa, se identifican y evalúan las amenazas en el campo de la seguridad de la información, se realiza una búsqueda y evaluación de las vulnerabilidades del sistema protegido. El nivel de amenaza se evalúa en la siguiente escala: muy alto, alto, medio, bajo, muy bajo. La vulnerabilidad se clasifica como alta, media o baja. Con base en esta información, se calcula una evaluación del nivel de riesgo en una escala de siete puntos (Fig. 3).
En la tercera etapa, CRAMM genera opciones para contrarrestar los riesgos identificados. El producto ofrece los siguientes tipos de recomendaciones:
- Recomendaciones generales;
- recomendaciones específicas;
- ejemplos de cómo puede organizar la protección en esta situación.
CRAMM tiene una base de datos extensa, que contiene descripciones de alrededor de 1000 ejemplos de implementación de subsistemas de protección de varios sistemas informáticos. Estas descripciones se pueden utilizar como plantillas.
La decisión de introducir nuevos mecanismos de seguridad en el sistema y modificar los antiguos la toma la dirección de la organización, teniendo en cuenta los costes asociados, su aceptabilidad y el beneficio final para el negocio. La tarea del auditor es justificar las acciones recomendadas para la gestión de la organización.
Si se toma la decisión de introducir nuevas contramedidas y modificar las antiguas, el auditor puede tener la tarea de preparar un plan de implementación y evaluar la efectividad de estas medidas. La solución a estos problemas está más allá del alcance del método CRAMM.
Las desventajas del método CRAMM incluyen las siguientes:
- el método requiere una formación especial y altas calificaciones del auditor;
- la auditoría utilizando el método CRAMM es un proceso bastante laborioso y puede requerir meses de trabajo continuo del auditor;
- CRAMM es mucho más adecuado para auditar los SI ya existentes que se han puesto en funcionamiento que para los SI que están en desarrollo;
- El kit de herramientas del software CRAMM genera una gran cantidad de documentación en papel, lo que no siempre es útil en la práctica;
- CRAMM no le permite crear sus propias plantillas de informes ni modificar las existentes;
- la capacidad de hacer adiciones a la base de conocimiento CRAMM no está disponible para los usuarios, lo que ocasiona ciertas dificultades para adaptar este método a las necesidades de una organización en particular;
- El software CRAMM no está localizado, existe solo en inglés;
- alto costo de licencia: de $ 2,000 a $ 5,000
RiskWatch
El software RiskWatch es una potente herramienta de gestión y análisis de riesgos. La familia RiskWatch incluye productos de software para varios tipos de auditorías de seguridad. Incluye las siguientes herramientas de auditoría y análisis de riesgos:
- RiskWatch para seguridad física: para métodos físicos de protección de la propiedad intelectual;
- RiskWatch para sistemas de información: para riesgos de información;
- HIPAA-WATCH para la industria de la atención médica: para evaluar el cumplimiento de los requisitos de la norma HIPAA (Ley de responsabilidad y portabilidad de seguros médicos de EE. UU.);
- RiskWatch RW17799 para ISO 17799: para evaluar el cumplimiento de ISO 17799.
El método RiskWatch utiliza la predicción de pérdidas anuales (ALE) y el retorno de la inversión (ROI) como criterios para evaluar y gestionar el riesgo.
La familia de productos de software RiskWatch tiene muchas ventajas. RiskWatch lo ayuda a realizar análisis de riesgos y a tomar decisiones informadas sobre medidas y soluciones. A diferencia de CRAMM, RiskWatch se centra más en cuantificar con precisión la proporción de pérdidas por amenazas a la seguridad con el costo de crear un sistema de protección. También debe tenerse en cuenta que en este producto se consideran en conjunto los riesgos en el campo de la información y la seguridad física de la red informática de la empresa.
El producto RiskWatch se basa en una metodología de análisis de riesgos, que se puede dividir en cuatro etapas.
La primera etapa consiste en definir el tema de investigación. Describe parámetros como el tipo de organización, la composición del sistema en estudio (en términos generales), los requisitos básicos en el campo de la seguridad. Para facilitar el trabajo del analista en plantillas correspondientes al tipo de organización ("sistema de información comercial", "sistema de información estatal / militar", etc.), existen listados de categorías de recursos protegidos, pérdidas, amenazas, vulnerabilidades y medidas de protección. De estos, debe elegir los que están realmente presentes en la organización.
Por ejemplo, se proporcionan las siguientes categorías para pérdidas:
- retrasos y denegación de servicio;
- divulgación de información;
- pérdidas directas (por ejemplo, por la destrucción de equipos por fuego);
- vida y salud (personal, clientes, etc.);
- cambio de datos;
- pérdidas indirectas (por ejemplo, costos de restauración);
- reputación.
La segunda etapa es la entrada de datos que describen las características específicas del sistema. Pueden introducirse manualmente o importarse de informes generados por herramientas de investigación de vulnerabilidades de redes informáticas.
En este paso, se detallan los recursos, las pérdidas y las clases de incidentes. Las clases de incidentes se obtienen haciendo coincidir la categoría de pérdida y la categoría de recurso.
Para identificar posibles vulnerabilidades, se utiliza un cuestionario, cuya base de datos contiene más de 600 preguntas. Las preguntas están relacionadas con las categorías de recursos. Se establece la frecuencia de ocurrencia de cada una de las amenazas seleccionadas, el grado de vulnerabilidad y el valor de los recursos. Todo esto se utiliza en el futuro para calcular el efecto de la introducción de equipos de protección.
La tercera etapa, y probablemente la más importante, es la evaluación cuantitativa. En esta etapa, se calcula un perfil de riesgo y se seleccionan las medidas de seguridad. Primero, se establecen vínculos entre recursos, pérdidas, amenazas y vulnerabilidades identificadas en los pasos anteriores del estudio (el riesgo se describe mediante la combinación de estos cuatro parámetros).
De hecho, el riesgo se estima utilizando la expectativa matemática de pérdidas para el año. Por ejemplo, si el costo de un servidor es de $ 150,000 y la probabilidad de que sea destruido por un incendio en un año es 0.01, entonces la pérdida esperada es de $ 1,500.
La conocida fórmula m = pxv, donde m es la expectativa matemática, p es la probabilidad de una amenaza, v es el costo del recurso, ha sufrido algunos cambios debido a que RiskWatch utiliza estimaciones definidas por el American Institute of Estándares NIST, llamados LAFE y SAFE. LAFE (Estimación de frecuencia anual local) muestra cuántas veces al año, en promedio, se realiza una amenaza determinada en un lugar determinado (por ejemplo, en una ciudad). SAFE (Estimación de frecuencia anual estándar) muestra cuántas veces al año, en promedio, se produce una amenaza determinada en esta "parte del mundo" (por ejemplo, en América del Norte). También se introduce un factor de corrección, que permite tener en cuenta que cuando se realiza una amenaza, el recurso protegido puede no ser destruido por completo, sino solo parcialmente.
Además, se consideran escenarios "qué pasaría si ...", que le permiten describir situaciones similares, sujeto a la implementación de salvaguardas. Al comparar las pérdidas esperadas con y sin la implementación de medidas de protección, es posible evaluar el efecto de tales medidas.
RiskWatch incluye bases de datos con calificaciones LAFE y SAFE, así como descripciones generalizadas de diferentes tipos de productos de protección.
El indicador de retorno de la inversión (ROI), que muestra el retorno de la inversión realizada durante un período de tiempo determinado, cuantifica el impacto de las intervenciones de seguridad. Este indicador se calcula mediante la fórmula:
donde Costsi es el costo de implementar y mantener la i-ésima medida de protección; Beneficiosi - una evaluación de los beneficios (reducción esperada de pérdidas) que trae la implementación de esta medida de protección; El NVP (valor presente neto) se ajusta a la inflación.
La cuarta etapa es la generación de informes. Están disponibles los siguientes tipos de informes:
- Breve resumen;
- informes completos y concisos de los elementos descritos en las etapas 1 y 2;
- un informe sobre el costo de los recursos protegidos y las pérdidas esperadas por la implementación de amenazas;
- informar sobre amenazas y contramedidas;
- Informe de ROI;
- informe de auditoría de seguridad.
Un ejemplo de cálculo de ROI para varias medidas de protección se muestra en la Fig. 5.
Así, RiskWatch permite evaluar no solo los riesgos que existen actualmente en la empresa, sino también los beneficios que puede traer la implementación de medios físicos, técnicos, software y otros medios y mecanismos de protección. Los informes y gráficos preparados proporcionan material suficiente para tomar decisiones sobre cómo cambiar el sistema de seguridad empresarial.
Para los usuarios domésticos, el problema es que es bastante problemático obtener estimaciones utilizadas en RiskWatch (como LAFE y SAFE) para nuestras condiciones. Aunque la metodología en sí se puede aplicar con éxito en nuestro país.
Resumiendo, observamos que al elegir una metodología específica para el análisis de riesgos en la empresa y las herramientas que la sustentan, se debe responder a la pregunta: ¿es necesario tener una evaluación cuantitativa precisa de las consecuencias de la implementación de amenazas o si un la evaluación a nivel cualitativo es suficiente. También es necesario tener en cuenta los siguientes factores: la presencia de expertos que puedan brindar estimaciones confiables del volumen de pérdidas por amenazas a la seguridad de la información y la disponibilidad de estadísticas confiables de incidentes en el campo de la seguridad de la información en la empresa. .
Las desventajas de RiskWatch incluyen las siguientes:
- este método es adecuado si se requiere realizar un análisis de riesgo a nivel de protección de software y hardware, sin tener en cuenta factores organizativos y administrativos;
- las evaluaciones de riesgo obtenidas (la expectativa matemática de pérdidas) de ninguna manera agotan la comprensión del riesgo desde un punto de vista sistémico; el método no tiene en cuenta un enfoque integrado de la seguridad de la información;
- El software RiskWatch está disponible solo en inglés;
- alto costo de licencia: desde $ 10,000 por puesto para una empresa pequeña.
Cuello
GRIF es un sistema integral de análisis y gestión de riesgos del sistema de información de una empresa. GRIF 2005 de la Oficina de Seguridad Digital (http://www.dsec.ru/products/grif/) brinda una imagen de la seguridad de los recursos de información en el sistema y le permite elegir la estrategia óptima para proteger la información corporativa.
El sistema GRIF analiza el nivel de protección de los recursos, evalúa los posibles daños derivados de la implementación de amenazas a la seguridad de la información y ayuda a gestionar los riesgos eligiendo contramedidas.
El análisis de los riesgos de SI se realiza de dos formas: utilizando un modelo de flujos de información o un modelo de amenazas y vulnerabilidades, dependiendo de los datos iniciales que tenga el usuario, así como de los datos que le interesen en la salida.
Modelo de flujo de información
Cuando se trabaja con un modelo de flujos de información, se ingresa al sistema información completa sobre todos los recursos con información valiosa, usuarios que tienen acceso a estos recursos, tipos y derechos de acceso. Se registran datos sobre todos los medios de protección de cada recurso, interconexiones de red de recursos, características de la política de seguridad de la empresa. El resultado es un modelo completo del sistema de información.
En la primera etapa de trabajo con el programa, el usuario ingresa todos los objetos de su sistema de información: departamentos, recursos (los objetos específicos de este modelo incluyen grupos de red, dispositivos de red, tipos de información, grupos de usuarios, procesos de negocios).
A continuación, el usuario debe establecer conexiones, es decir, determinar a qué departamentos y grupos de red pertenecen los recursos, qué información se almacena en el recurso y qué grupos de usuarios tienen acceso a él. El usuario también indica los medios para proteger el recurso y la información.
En la etapa final, el usuario responde una lista de preguntas sobre la política de seguridad implementada en el sistema, que permite evaluar el nivel real de seguridad del sistema y detallar las evaluaciones de riesgos.
La presencia de medios de protección de la información, señalada en la primera etapa, no confiere por sí misma seguridad al sistema en caso de su uso inadecuado y la ausencia de una política de seguridad integral que tenga en cuenta todos los aspectos de la protección de la información, incluida la seguridad, la física. seguridad, seguridad del personal, continuidad del negocio, etc.
Como resultado de realizar todas las acciones en estas etapas, se forma un modelo completo del sistema de información en la salida desde el punto de vista de la seguridad de la información, teniendo en cuenta el cumplimiento real de los requisitos de la política de seguridad integrada, lo que le permite proceder a un análisis programático de los datos ingresados para obtener una evaluación integral de riesgos y generar un informe final.
Modelo de amenazas y vulnerabilidades
Trabajar con el modelo de análisis de amenazas y vulnerabilidades implica identificar las vulnerabilidades de cada recurso con información valiosa y las amenazas correspondientes que se pueden realizar a través de estas vulnerabilidades. El resultado es una imagen completa de las debilidades del sistema de información y el daño que se puede hacer.
En la primera etapa de trabajo con el producto, el usuario ingresa al sistema los objetos de su SI: departamentos, recursos (los objetos específicos para este modelo incluyen amenazas al sistema de información y vulnerabilidades a través de las cuales se implementan las amenazas).
GRIF 2005 incluye extensos catálogos integrados de amenazas y vulnerabilidades, que contienen alrededor de 100 amenazas y 200 vulnerabilidades. Para una máxima integridad y versatilidad de estos catálogos, los expertos en seguridad digital han desarrollado una clasificación especial de amenazas, DSECCT, que implementa muchos años de experiencia práctica en el campo de la seguridad de la información. Usando estos directorios, el usuario puede seleccionar amenazas y vulnerabilidades relacionadas con su sistema de información.
El algoritmo del sistema GRIF 2005 analiza el modelo construido y genera un informe que contiene los valores de riesgo de cada recurso. La configuración del informe puede ser casi cualquiera, lo que le permite crear tanto informes resumidos para la gestión como informes detallados para seguir trabajando con los resultados (Fig. 6).
 |
| Arroz. 6. Un ejemplo de informe en el sistema GRIF 2005. |
El sistema GRIF 2005 contiene un módulo de gestión de riesgos que permite analizar todas las razones por las que luego de procesar los datos ingresados por el algoritmo, se obtiene exactamente este valor de riesgo. Así, conociendo las razones, es posible obtener los datos necesarios para implementar contramedidas y, en consecuencia, reducir el nivel de riesgo. Después de calcular la efectividad de cada posible contramedida, así como de determinar el valor del riesgo residual, puede seleccionar contramedidas que reducirán el riesgo al nivel requerido.
Como resultado de trabajar con el sistema GRIF, se construye un informe detallado sobre el nivel de riesgo de cada recurso valioso del sistema de información de la empresa, se indican todas las razones del riesgo con un análisis detallado de vulnerabilidades y una evaluación de la situación económica. eficacia de todas las contramedidas posibles.
***
Las mejores prácticas del mundo y los principales estándares internacionales en el campo de la seguridad de la información, en particular la ISO 17799, requieren la implementación de un sistema de análisis y gestión de riesgos para gestionar eficazmente la seguridad de un sistema de información. En este caso, puede usar cualquier herramienta conveniente, pero lo principal es comprender siempre claramente que el sistema de seguridad de la información se creó sobre la base de un análisis de riesgos de la información, probado y justificado. El análisis y la gestión de los riesgos de la información es un factor clave para construir una protección eficaz de un sistema de información.
Universidad Nacional Abierta "INTUIT": www.intuit.ru Sergey Nesterov Conferencia 4. Métodos y productos de software para la evaluación de riesgos
A continuación se presentan breves descripciones de una serie de técnicas de análisis de riesgos comunes. Se pueden dividir en:
metodologías que utilizan una evaluación de riesgo cualitativa (por ejemplo, en una escala de "alto", "medio", "bajo"). Estas técnicas incluyen, en particular, FRAP;
métodos cuantitativos (el riesgo se evalúa mediante un valor numérico, por ejemplo, la cantidad de pérdidas anuales esperadas). Esta clase incluye la técnica RiskWatch;
métodos que utilizan estimaciones mixtas (este enfoque se utiliza en CRAMM, metodología
Microsoft, etc.).
Metodología CRAMM
Este es uno de los primeros métodos de análisis de riesgos en el campo de la seguridad de la información, el trabajo se inició a mediados de los años 80. Agencia Central de Informática y Telecomunicaciones (CCTA) del Reino Unido.
El método CRAMM se basa en un enfoque integrado de la evaluación de riesgos, que combina métodos de análisis cuantitativos y cualitativos. El método es versátil y adecuado tanto para organizaciones grandes como pequeñas, tanto del sector gubernamental como comercial. Las versiones de software CRAMM dirigidas a diferentes tipos de organizaciones difieren entre sí en sus bases de conocimiento (perfiles). Existe un perfil comercial para organizaciones comerciales y un perfil gubernamental para organizaciones gubernamentales. La versión gubernamental del perfil también permite auditar el cumplimiento de los requisitos del estándar estadounidense ITSEC ("Libro naranja").
El estudio del sistema de seguridad de la información mediante CRAMM se realiza en tres etapas.
En una primera etapa se analiza todo lo que concierne a la identificación y determinación del valor de los recursos del sistema. Comienza resolviendo el problema de definir los límites del sistema en estudio: se recopila información sobre la configuración del sistema y sobre quién es responsable de los recursos físicos y de software, quiénes se encuentran entre los usuarios del sistema, cómo lo utilizan o lo usará.
Se lleva a cabo la identificación de los recursos: físicos, software e información, contenidos dentro de los límites del sistema. Cada recurso debe asignarse a una de las clases predefinidas. Luego, se construye un modelo del sistema de información desde la posición de seguridad de la información. Para cada proceso de información, que a juicio del usuario tiene un significado independiente y se denomina servicio de usuario, se construye un árbol de enlaces de los recursos utilizados. El modelo construido permite resaltar los elementos críticos.
El valor de los recursos físicos en CRAMM está determinado por el costo de su restauración en caso de destrucción.
El valor de los datos y el software se determina en las siguientes situaciones: indisponibilidad de un recurso durante un cierto período de tiempo;
destrucción del recurso, pérdida de información recibida desde la última copia de seguridad o su destrucción completa;
violación de la confidencialidad en casos de acceso no autorizado por parte de miembros del personal o personas no autorizadas;
la modificación se considera para casos de errores menores de personal (errores de entrada), errores de programación, errores deliberados;
errores relacionados con la transferencia de información: negativa a entregar, no entrega de información, entrega a la dirección incorrecta.
violación de la legislación vigente, daño a la salud del personal;
daño asociado con la divulgación de datos personales de individuos;
pérdidas financieras por la divulgación de información, pérdidas financieras asociadas con la restauración de recursos;
pérdidas asociadas a la incapacidad de cumplir con las obligaciones, desorganización de las actividades.
Para los datos y el software, se seleccionan los criterios aplicables al IS dado y los daños se evalúan en una escala del 1 al 10.
En las descripciones de CRAMM, como ejemplo, dicha escala de calificación se da de acuerdo con el criterio "Pérdidas financieras asociadas con la restauración de recursos":
2 puntos menos de $ 1000;
6 puntos de $ 1000 a $ 10,000;
8 puntos de $ 10,000 a $ 100,000; 10 puntos por encima de $ 100,000.
Con una puntuación baja para todos los criterios utilizados (3 puntos y menos), se considera que el sistema en consideración requiere un nivel básico de protección (este nivel no requiere una evaluación detallada de las amenazas a la seguridad de la información) y la segunda etapa del se salta el estudio.
La segunda etapa examina todo lo relacionado con la identificación y evaluación de los niveles de amenaza para los grupos de recursos y sus vulnerabilidades. Al final de la etapa, el cliente recibe los niveles de riesgo identificados y evaluados para su sistema. En esta etapa, se evalúa la dependencia de los servicios al usuario de ciertos grupos de recursos y el nivel existente de amenazas y vulnerabilidades, se calculan los niveles de riesgo y se analizan los resultados.
Los recursos están agrupados por tipo de amenaza y vulnerabilidad. Por ejemplo, si existe amenaza de incendio o robo, como grupo de recursos, es razonable considerar todos los recursos ubicados en un solo lugar (sala de servidores, sala de comunicaciones, etc.). La evaluación de los niveles de amenazas y vulnerabilidades se basa en el estudio de factores indirectos.
El software CRAMM genera una lista de preguntas inequívocas para cada grupo de recursos y cada uno de los 36 tipos de amenazas. El nivel de amenazas se evalúa, según las respuestas, como muy alto, alto, medio, bajo y muy bajo. El nivel de vulnerabilidad se evalúa, según las respuestas, en alto, medio y bajo.
Con base en esta información, los niveles de riesgo se calculan en una escala discreta con gradaciones del 1 al 7. Los niveles resultantes de amenazas, vulnerabilidades y riesgos se analizan y acuerdan con el cliente.
CRAMM integra amenazas y vulnerabilidades en una matriz de riesgo. Considere cómo se deriva esta matriz y qué significa cada uno de los niveles de riesgo.
El enfoque principal para resolver este problema es considerar: el nivel de amenaza (la escala se muestra en la Tabla 4.1);
el nivel de vulnerabilidad (la escala se muestra en la Tabla 4.2);
el tamaño de las pérdidas financieras esperadas (ejemplo en la figura 4.1).
Cuadro 4.1. Escala para evaluar los niveles de amenaza (frecuencia de ocurrencia).
Descripción |
Sentido |
el incidente ocurre en promedio, no más a menudo que cada 10 años muy bajo |
|
un incidente ocurre en promedio una vez cada 3 años |
|
el incidente ocurre en promedio una vez al año |
|
el incidente ocurre en promedio una vez cada cuatro meses |
|
el incidente ocurre en promedio una vez al mes |
muy alto |
Cuadro 4.2. Escala de calificación de vulnerabilidad (probabilidad de éxito |
|
implementación de la amenaza). |
|
Descripción |
Sentido |
En el caso de un incidente, la probabilidad de que se desarrollen eventos es baja.
Con base en las estimaciones del costo de los recursos de propiedad intelectual protegida, las evaluaciones de amenazas y vulnerabilidades, se determinan las "pérdidas anuales esperadas". En la Fig. 4.1 muestra un ejemplo de una matriz para estimar la pérdida esperada. En él, la segunda columna de la izquierda contiene los valores del costo del recurso, la línea superior del encabezado de la tabla es una estimación de la frecuencia de ocurrencia de una amenaza durante el año (nivel de amenaza), la línea inferior del El encabezado contiene una estimación de la probabilidad de éxito de la implementación de la amenaza (nivel de vulnerabilidad).
Arroz. 4.1. Matriz de pérdidas anuales esperadas
Los valores de las pérdidas anuales esperadas (English Annual Loss of Expectancy) se convierten en CRAMM en puntos que muestran el nivel de riesgo, según la escala que se muestra en la Fig. 4.2 (en este ejemplo, las pérdidas se expresan en libras esterlinas).
Arroz. 4.2. Escala de evaluación del nivel de riesgo
De acuerdo con la matriz a continuación, se deriva una evaluación de riesgos (Figura 4.3)
Arroz. 4.3. Matriz de evaluación de riesgos
La tercera etapa de la investigación consiste en encontrar contramedidas adecuadas. En esencia, es la búsqueda de una opción de sistema de seguridad que mejor se adapte a los requisitos del cliente.
En esta etapa, CRAMM genera varias opciones de contramedidas adecuadas a los riesgos identificados y sus niveles. Las contramedidas se pueden agrupar en tres categorías: alrededor de 300 recomendaciones generales; más de 1000 recomendaciones específicas; alrededor de 900 ejemplos de cómo puede organizar la protección en una situación determinada.
Así, CRAMM es un ejemplo de metodología de cálculo en la que las valoraciones iniciales se dan a nivel cualitativo, y luego se realiza la transición a una valoración cuantitativa (en puntos).
Técnica FRAP
Proceso de análisis de riesgos facilitado (FRAP) por Peltier and Associates. http://www.peltierassociates.com/) desarrollado por Thomas R. Peltier y
publicado en (hay fragmentos de este libro disponibles en el sitio, la descripción a continuación se basa en ellos). En la metodología, se propone considerar la provisión de SI SI en el marco del proceso de gestión de riesgos. La gestión de riesgos en el campo de la seguridad de la información es un proceso que permite a las empresas encontrar un equilibrio entre el costo de los fondos y los esfuerzos en el equipo de protección y el efecto resultante.
La gestión de riesgos debe comenzar con una evaluación de riesgos: los resultados de la evaluación debidamente documentados formarán la base de las decisiones para mejorar la seguridad del sistema.
Una vez completada la evaluación, se lleva a cabo un análisis de costo / beneficio, que le permite determinar los remedios necesarios para reducir el riesgo a un nivel aceptable.
A continuación se muestran las principales etapas de la evaluación de riesgos. Esta lista repite en gran medida una lista similar de otros métodos, pero FRAP revela con más detalle formas de obtener datos sobre el sistema y sus vulnerabilidades.
1. La determinación de los activos protegidos se realiza mediante cuestionarios, estudiando la documentación del sistema, utilizando herramientas de análisis automatizado (escaneo) de redes.
2. Identificación de amenazas. Al compilar una lista de amenazas, se pueden utilizar diferentes enfoques:
listas de amenazas (listas de verificación) preparadas previamente por expertos, de las cuales se seleccionan las relevantes para un sistema dado;
análisis de estadísticas de incidentes en este SI y en otros similares, se evalúa la frecuencia de su ocurrencia; para una serie de amenazas, por ejemplo, la amenaza de un incendio, dichas estadísticas se pueden obtener de las organizaciones gubernamentales relevantes;
sesión de lluvia de ideas por parte de los empleados de la empresa.
3. Cuando la lista de amenazas está completa, cada una de ellas se compara con la probabilidad de ocurrencia. Posteriormente, se evalúa el daño que puede causar esta amenaza. En función de los valores obtenidos, se evalúa el nivel de amenaza.
Al realizar el análisis, por regla general, se asume que en la etapa inicial el sistema carece de medios y mecanismos de protección. Así, se evalúa el nivel de riesgo de los SI desprotegidos, lo que posteriormente permite mostrar el efecto de la introducción de herramientas de seguridad de la información (ISS).
La evaluación se realiza para determinar la probabilidad de una amenaza y daño en las siguientes escalas.
Probabilidad:
Alta probabilidad Es muy probable que la amenaza se materialice durante el próximo año;
Es probable que la amenaza de probabilidad media se materialice durante el próximo año; es poco probable que se materialice la probabilidad baja durante el próximo año.
El impacto es una medida de la cantidad de pérdida o daño causado a un activo:
Alto (alto impacto): cierre de unidades comerciales críticas, lo que da como resultado un daño significativo al negocio, pérdida de imagen o pérdida de ganancias significativas;
Impacto medio: interrupción a corto plazo de procesos o sistemas críticos que resulta en pérdidas financieras limitadas en una unidad de negocio;
Bajo (bajo impacto): una interrupción en el trabajo que no causa pérdidas económicas tangibles.
La evaluación se determina de acuerdo con la regla especificada por la matriz de riesgo que se muestra en la Fig. 4.4. La evaluación del nivel de riesgo resultante se puede interpretar de la siguiente manera:
Las acciones relacionadas con el riesgo de Nivel A (por ejemplo, la implementación de un sistema de seguridad de la información) deben realizarse de inmediato y sin fallas;
Se deben tomar acciones relacionadas con el riesgo de nivel B;
El nivel C requiere el monitoreo de la situación (pero puede que no sea necesario tomar medidas inmediatas para contrarrestar la amenaza);
Nivel D no se requiere ninguna acción en este momento.
Arroz. 4.4. Matriz de riesgo FRAP
4. Una vez que se han identificado las amenazas y se ha realizado una evaluación de riesgos, se deben identificar las contramedidas para eliminar el riesgo o reducirlo a un nivel aceptable. Al mismo tiempo, se deben tener en cuenta las restricciones legales que imposibilitan o, por el contrario, prescriben sin falta, el uso de determinados medios y mecanismos de protección. Para determinar el efecto esperado, es posible evaluar el mismo riesgo, pero sujeto a la implementación del SIS propuesto. Si el riesgo no se reduce lo suficiente, puede ser necesario utilizar un SZI diferente. Junto con la definición de los medios de protección, es necesario determinar qué costos implicará su adquisición e implementación (los costos pueden ser tanto directos como indirectos, ver más abajo). Además, es necesario evaluar si la herramienta en sí es segura, si crea nuevas vulnerabilidades en el sistema.
Para utilizar remedios rentables, se debe realizar un análisis de costo-beneficio. En este caso, es necesario evaluar no solo el costo de comprar la solución, sino también el costo de mantener su operación. Los costos pueden incluir:
el costo de implementación del proyecto, incluido el software y el hardware adicionales;
una disminución en la eficiencia del sistema en el cumplimiento de sus principales tareas; la introducción de políticas y procedimientos adicionales para mantener la instalación; el costo de contratar personal adicional o reentrenamiento del existente.
5. Documentar. Cuando se completa la evaluación de riesgos, sus resultados deben documentarse en detalle en un formato estandarizado. El informe resultante se puede utilizar para definir políticas, procedimientos, presupuesto de seguridad, etc.
Técnica OCTAVA
OCTAVE (Evaluación de vulnerabilidades, activos y amenazas operativamente críticas)
riesgo en una organización desarrollada por el Instituto de Ingeniería de Software (SEI) en la Universidad Carnegie Mellon. Una descripción completa de la técnica está disponible en Internet en http://www.cert.org/octave. También se dedica a numerosos artículos científicos, científicos y técnicos.
La peculiaridad de esta técnica es que todo el proceso de análisis lo realiza el personal de la organización, sin la participación de consultores externos. Para ello, se crea un grupo mixto, integrado por técnicos especialistas y responsables de diferentes niveles, que permite evaluar de forma integral las consecuencias para el negocio de posibles incidentes de seguridad y desarrollar contramedidas.
OCTAVE tiene tres fases de análisis:
1. desarrollar un perfil de amenaza asociado con el activo;
2. identificación de vulnerabilidades de infraestructura;
3. desarrollo de estrategias y planes de seguridad.
El perfil de amenaza incluye referencias al activo, el tipo de acceso al activo, la fuente de la amenaza (actor), el tipo de violación o motivo (motivo), el resultado (resultado) y enlaces a descripciones de la amenaza en catálogos públicos. Por tipo de fuente, las amenazas en OCTAVE se dividen en:
1. amenazas que emanan de un intruso que actúa a través de una red de transmisión de datos;
2. amenazas planteadas por un intruso que utiliza el acceso físico;
3. amenazas relacionadas con fallas del sistema;
4. otros.
El resultado puede ser la divulgación, modificación, pérdida / destrucción de un recurso de información o desconexión. Negación de servicio
La técnica OCTAVE sugiere el uso de "árboles variantes" al describir un perfil; un ejemplo de un árbol de este tipo para amenazas de clase 1) se muestra en la Fig. 4.5. Al crear un perfil de amenaza, se recomienda evitar una gran cantidad de detalles técnicos; esta es la tarea de la segunda fase del estudio. La tarea principal de la primera etapa es describir la combinación de amenaza y recurso de manera estandarizada.
Suponga que la empresa tiene una base de datos (DB) de recursos de información (activos) de la base de datos de recursos humanos (base de datos de recursos humanos). El perfil correspondiente a la amenaza de robo de información por parte de un empleado de la empresa se presenta en la Tabla 4.3.
Cuadro 4.3. Ejemplo de perfil de amenaza.
Activo |
Base de datos de recursos humanos |
Tipo de acceso (acceso) |
A través de la red de datos |
Fuente de amenaza (actor) |
Interno (interior) |
Tipo de infracción (motivo) |
Deliberar |
Vulnerabilidad |
|
Salir |
Divulgación |
agrandar imagen Arroz. 4.5. Árbol de variantes utilizado al describir un perfil
Segunda fase del estudio del sistema de acuerdo con la metodología de identificación de vulnerabilidades de infraestructura. Durante esta fase se determina la infraestructura que soporta la existencia del activo previamente asignado (por ejemplo, si esta es una base de datos del departamento de RRHH, entonces para trabajar con ella necesitamos un servidor en el que se ubique la base, una estación de trabajo de un empleado del departamento de RRHH, etc.) y ese entorno, que puede permitir el acceso a él (por ejemplo, el segmento correspondiente de la red local). Se consideran los componentes de las siguientes clases: servidores; equipos de red; sistemas de seguridad de la información; computadoras personales; computadoras personales domésticas de usuarios "domésticos" que trabajan de forma remota, pero tienen acceso a la red de la organización; computadoras móviles; sistemas de almacenamiento; dispositivos inalámbricos; otros .
El equipo que analiza para cada segmento de la red toma nota de qué componentes se comprueban en busca de vulnerabilidades. Las vulnerabilidades se verifican mediante escáneres de seguridad a nivel del sistema operativo, escáneres de seguridad de red, escáneres especializados (para servidores web específicos, DBMS, etc.), utilizando listas de verificación, scripts de prueba.
Para cada componente, se determina:
una lista de vulnerabilidades que deben eliminarse de inmediato (vulnerabilidades de alta gravedad);
lista de vulnerabilidades que deben eliminarse en un futuro próximo (vulnerabilidades de gravedad media);
una lista de vulnerabilidades que no requieren una acción inmediata (vulnerabilidades de baja gravedad).
A partir de los resultados de la etapa se elabora un informe, que indica qué vulnerabilidades se descubrieron, qué impacto pueden tener en los activos asignados previamente, qué medidas se deben tomar para eliminar las vulnerabilidades.
El desarrollo de estrategias y planes de seguridad es la tercera etapa de la investigación del sistema. Comienza con una evaluación de riesgos, que se basa en informes de las dos etapas anteriores. En OCTAVE, la evaluación de riesgos proporciona solo una estimación del daño esperado, sin una estimación de la probabilidad. Escala: alta, media, baja. Daños económicos, daños a la reputación, vida y
la salud de clientes y empleados, daños que pueden ocasionar acciones judiciales como consecuencia de un siniestro. Se describen los valores correspondientes a cada gradación de la escala (por ejemplo, una pérdida financiera de $ 10,000 es alta para una pequeña empresa, media para una más grande).
a mediano plazo;
listas de tareas para el futuro cercano.
Para determinar medidas para contrarrestar amenazas en la metodología, se proponen catálogos de fondos.
Me gustaría enfatizar una vez más que, a diferencia de otros métodos, OCTAVE no implica la participación de terceros expertos en el estudio de la seguridad de SI, y toda la documentación de OCTAVE está disponible públicamente y es gratuita, lo que hace que el método sea especialmente atractivo para empresas con un presupuesto muy limitado asignado a la seguridad de la información. ...
Técnica RiskWatch
RiskWatch ha desarrollado su propia metodología de análisis de riesgos y una familia de herramientas de software en las que se implementa en cierta medida.
La familia RiskWatch incluye productos de software para varios tipos de auditorías de seguridad:
RiskWatch for Physical Security para el análisis de la protección física de la propiedad intelectual;
RiskWatch para sistemas de información para riesgos de información;
HIPAAWATCH para la industria del cuidado de la salud para evaluar el cumplimiento de los requisitos de la Ley de Responsabilidad y Portabilidad del Seguro Médico de los EE. UU. (HIPAA), que son relevantes principalmente para las instituciones médicas que operan en los Estados Unidos;
RiskWatch RW17799 para ISO 17799 para evaluar la conformidad de la propiedad intelectual con los requisitos de la norma internacional ISO 17799.
El método RiskWatch utiliza la expectativa de pérdida anual (ALE) y el retorno de la inversión (ROI) como criterios para evaluar y administrar el riesgo. RiskWatch se centra en cuantificar con precisión la relación entre las pérdidas por amenazas a la seguridad y los costos de defensa. El producto RiskWatch se basa en una metodología de análisis de riesgos que consta de cuatro etapas.
La primera etapa es la definición del tema de investigación. Describe parámetros como el tipo de organización, la composición del sistema en estudio (en términos generales), los requisitos básicos en el campo de la seguridad. Para facilitar el trabajo del analista, las plantillas correspondientes al tipo de organización ("sistema de información comercial", "sistema de información estatal / militar", etc.) contienen listas de categorías de recursos protegidos, pérdidas, amenazas, vulnerabilidades y medidas de protección. De estos, debe seleccionar aquellos que están realmente presentes en la organización (Figura 4.6).
Divulgación de información;
Pérdidas directas (por ejemplo, por destrucción de equipos por incendio); Vida y salud (personal, clientes, etc.);
Cambio de datos;
Pérdidas indirectas (por ejemplo, costos de restauración); Reputación.
La segunda etapa es la entrada de datos que describen las características específicas del sistema. Los datos pueden ingresarse manualmente o importarse de informes generados por herramientas de investigación de vulnerabilidades de redes informáticas. En esta etapa, en particular, se describen en detalle los recursos, las pérdidas y las clases de incidentes. Las clases de incidentes se obtienen haciendo coincidir la categoría de pérdida y la categoría de recurso.
Para identificar posibles vulnerabilidades, se utiliza un cuestionario, cuya base de datos contiene más de 600 preguntas. Las preguntas están relacionadas con las categorías de recursos.
También se establece la frecuencia de ocurrencia de cada una de las amenazas seleccionadas, el grado de vulnerabilidad y el valor.
recursos. Si el sistema tiene estimaciones de ocurrencia anual promedio (LAFE y SAFE) para la clase de amenaza seleccionada, se utilizan. Todo esto se utiliza en el futuro para calcular el efecto de la introducción de equipos de protección.
agrandar imagen Arroz. 4.6. Definición de categorías de recursos protegidos
La tercera etapa es una evaluación cuantitativa del riesgo. En esta etapa, se calcula un perfil de riesgo y se seleccionan las medidas de seguridad. Primero, se establecen vínculos entre recursos, pérdidas, amenazas y vulnerabilidades identificadas en los pasos anteriores del estudio. Básicamente, el riesgo se evalúa utilizando la expectativa matemática de pérdidas para el año. Por ejemplo, si el costo de un servidor es de $ 150 000 y la probabilidad de que sea destruido por un incendio en un año es de 0,01, entonces la pérdida esperada es de $ 1,500.
La fórmula de cálculo (m = p * v, donde m es la expectativa matemática, p es la probabilidad de una amenaza, v es el costo del recurso) ha sufrido algunos cambios, debido a que RiskWatch utiliza estimaciones definidas por la American Instituto de NIST, llamado LAFE y SAFE. LAFE (Estimación de frecuencia anual local) muestra cuántas veces al año, en promedio, se realiza una amenaza determinada en un lugar determinado (por ejemplo, en una ciudad). SAFE (Estimación de frecuencia anual estándar) muestra cuántas veces al año, en promedio, se produce una amenaza determinada en esta "parte del mundo" (por ejemplo, en América del Norte). También se introduce un factor de corrección, que permite tener en cuenta que como resultado de la implementación de una amenaza, el recurso protegido puede no ser destruido por completo, sino solo parcialmente.
Las fórmulas (4.1) y (4.2) muestran opciones para calcular el indicador ALE:
Valor del activo es el valor del activo en consideración (datos, software, hardware, etc.); Factor de exposición el factor de exposición muestra qué parte (en porcentaje) del valor
el activo está en riesgo;
Frecuencia frecuencia de ocurrencia de un evento no deseado;
ALE es una estimación de las pérdidas anuales esperadas para un activo específico a partir de la implementación de una amenaza.
Cuando todos los activos e impactos se identifican y recopilan juntos, es posible evaluar el riesgo general para la PI como la suma de todos los valores particulares.
Puede ingresar la “Tasa de ocurrencia anualizada ARO” y la “Expectativa de pérdida única SLE”, que se puede calcular como la diferencia entre el valor inicial del activo y su valor residual después del incidente (aunque este método de estimación no es aplicable en todos los casos, por ejemplo, no es adecuado para evaluar los riesgos asociados con la violación de la confidencialidad de la información). Luego, para una combinación separada de recurso de amenaza, se aplica la fórmula (4.2)
Además, los escenarios hipotéticos se consideran para describir situaciones similares, siempre que existan controles de seguridad. Comparando las pérdidas esperadas, siempre que se implementen medidas de protección y sin ellas, es posible evaluar el efecto de tales medidas.
RiskWatch incluye bases de datos con calificaciones LAFE y SAFE, así como descripciones generalizadas de diferentes tipos de productos de protección.
El indicador de retorno de la inversión (ROI), que muestra el retorno de la inversión realizada durante un cierto período de tiempo, cuantifica el impacto de la implementación de salvaguardas. Se calcula mediante la fórmula:
Costos j costos de implementación y mantenimiento j medidas de protección;
Beneficios i una evaluación de los beneficios (es decir, la reducción esperada de pérdidas) que trae la implementación de esta medida de protección;
NPV (valor actual neto) es el valor actual neto.
La cuarta etapa es la generación de informes. Tipos de informes: Breves resúmenes.
Informes completos y concisos de los ítems descritos en las etapas 1 y 2.
Informe sobre el costo de los recursos protegidos y las pérdidas esperadas por la implementación de amenazas. Informe de amenazas y contramedidas.
Informe de ROI (fragmento en la Fig. 4.7). Informe de auditoría de seguridad.
http://www.intuit.ru/studies/courses/531/387/print_lecture/8996 |
CRAMM, RiskWatch y GRIF
La relevancia de la tarea de garantizar la seguridad de la información para las empresas.
Hoy en día, no hay duda sobre la necesidad de invertir en seguridad de la información de las grandes empresas modernas. La cuestión principal de las empresas modernas es cómo evaluar el nivel suficiente de inversiones en seguridad de la información para garantizar la máxima eficiencia de las inversiones en esta área. Solo hay una forma de resolver este problema: el uso de sistemas de análisis de riesgos que permitan evaluar los riesgos existentes en el sistema y elegir la opción de protección más efectiva (según la relación entre los riesgos existentes en el sistema y los costos de seguridad de la información). ).
Para confirmar el hecho de la urgencia de la tarea de garantizar la seguridad empresarial, usaremos el informe del FBI de 2003. Los datos se obtuvieron de una encuesta a 530 empresas estadounidenses (empresas medianas y grandes).
Las estadísticas sobre incidentes de seguridad de TI son implacables. Según el FBI, en 2003, el 56% de las empresas encuestadas fueron atacadas:
Las pérdidas por diferentes tipos de impactos de información se muestran en el siguiente gráfico:
Justificación de la necesidad de inversión en la seguridad de la información de la empresa
Según las estadísticas, el mayor obstáculo para tomar medidas para garantizar la seguridad de la información en una empresa son dos razones:
- limitación presupuestaria;
- falta de apoyo de la dirección.
Ambas razones surgen del malentendido de la administración sobre la gravedad del problema y la dificultad del gerente de TI para justificar por qué es necesario invertir en seguridad de la información. A menudo, muchos tienden a pensar que el problema principal es que los gerentes y ejecutivos de TI hablan diferentes idiomas: técnico y financiero, pero después de todo, los propios especialistas de TI a menudo tienen dificultades para estimar en qué gastar dinero y cuánto se requiere. para garantizar una mayor seguridad, los sistemas de la empresa para que estos costos no sean en vano o excesivos.
Si el gerente de TI tiene una idea clara de cuánto dinero puede perder una empresa en caso de amenazas, qué lugares del sistema son más vulnerables, qué medidas se pueden tomar para aumentar el nivel de seguridad sin gastar dinero extra, y Todo esto queda documentado, entonces la solución al problema es convencer a la gerencia de que preste atención y asigne fondos para que la seguridad de la información se vuelva mucho más real.
Para solucionar este problema se desarrollaron sistemas software para el análisis y control de riesgos de la información: British CRAMM (Insight Consulting), American RiskWatch (empresa) y Russian GRIF (empresa). Consideremos más a fondo estos métodos y los sistemas de software construidos sobre su base.
CRAMM
El Método de Gestión y Análisis de Riesgos del Gobierno del Reino Unido fue desarrollado por el Servicio de Seguridad del Reino Unido en nombre del gobierno británico y adoptado como estándar estatal. Ha sido utilizado desde 1985 por organizaciones gubernamentales y comerciales en el Reino Unido. A estas alturas, CRAMM ha ganado popularidad en todo el mundo. Insight Consulting Limited desarrolla y mantiene un producto de software del mismo nombre que implementa el método CRAMM.
Hemos elegido el método CRAMM para una consideración más detallada, y esto no es una coincidencia. Actualmente CRAMM es una herramienta bastante poderosa y versátil que permite, además del análisis de riesgos, resolver una serie de otras tareas de auditoría, entre ellas:
- realizar una encuesta de PI y emitir la documentación adjunta en todas las etapas de su realización;
- auditoría de acuerdo con los requisitos del gobierno británico, así como BS 7799: 1995 - Código de prácticas para la gestión de seguridad de la información BS7799;
- desarrollar una política de seguridad y un plan de continuidad del negocio.
CRAMM, que combina métodos de análisis cuantitativos y cualitativos, se basa en un enfoque integrado de evaluación de riesgos. El método es universal y adecuado tanto para organizaciones grandes como pequeñas, tanto del sector gubernamental como comercial. Las versiones de software CRAMM dirigidas a diferentes tipos de organizaciones difieren entre sí en sus bases de conocimiento (perfiles). Existe un perfil comercial para organizaciones comerciales y un perfil gubernamental para organizaciones gubernamentales. La versión gubernamental del perfil también permite auditar el cumplimiento de los requisitos del estándar estadounidense ITSEC ("Libro naranja").
El uso competente del método CRAMM le permite obtener muy buenos resultados, el más importante de los cuales, quizás, es la capacidad de justificar económicamente los costos de la organización para garantizar la seguridad de la información y la continuidad del negocio. Una estrategia de gestión de riesgos económicamente sólida, en última instancia, ahorra dinero al evitar costos innecesarios.
CRAMM implica dividir todo el procedimiento en tres etapas secuenciales. La tarea de la primera etapa es responder a la pregunta: "¿Es suficiente proteger el sistema con herramientas de nivel básico que implementan funciones de seguridad tradicionales, o es necesario realizar un análisis más detallado?" En la segunda etapa, se identifican los riesgos y se evalúa su magnitud. En la tercera etapa, se decide la cuestión de elegir las contramedidas adecuadas.
La metodología CRAMM para cada etapa define un conjunto de datos iniciales, una secuencia de actividades, cuestionarios para entrevistas, listas de verificación y un conjunto de documentos informativos.
Si, de acuerdo con los resultados de la primera etapa, se encontró que el nivel de criticidad de los recursos es muy bajo y los riesgos existentes ciertamente no excederán un cierto nivel básico, entonces se impone al sistema un conjunto mínimo de requisitos de seguridad. En este caso, la mayoría de las actividades de la segunda etapa no se llevan a cabo, y se lleva a cabo la transición a la tercera etapa, en la que se genera una lista estándar de contramedidas para garantizar el cumplimiento del conjunto básico de requisitos de seguridad.
Sobre Segunda etapa analiza las amenazas y vulnerabilidades de seguridad. El auditor recibe los datos iniciales para evaluar las amenazas y vulnerabilidades de los representantes autorizados de la organización durante las entrevistas apropiadas. Se utilizan cuestionarios especializados para realizar entrevistas.
Sobre tercera etapa Se soluciona el problema de la gestión de riesgos, que consiste en la selección de contramedidas adecuadas. La decisión de introducir nuevos mecanismos de seguridad en el sistema y modificar los antiguos la toma la dirección de la organización, teniendo en cuenta los costes asociados, su aceptabilidad y el beneficio final para el negocio. La tarea del auditor es justificar las contramedidas recomendadas para la gestión de la organización.
Si se toma la decisión de introducir nuevas contramedidas y modificar las antiguas, el auditor puede tener la tarea de preparar un plan para la implementación de nuevas contramedidas y evaluar la efectividad de su uso. La solución a estos problemas está más allá del alcance del método CRAMM.
El diagrama conceptual de una encuesta CRAMM se muestra en el diagrama:
PARA desventajas del método CRAMM Incluya lo siguiente:
- El uso del método CRAMM requiere una formación especial y altas calificaciones del auditor.
- CRAMM es mucho más adecuado para auditar SI ya existentes en la etapa operativa que para SI en la etapa de desarrollo.
- La auditoría CRAMM es un proceso bastante laborioso y puede requerir meses de trabajo continuo del auditor.
- El kit de herramientas del software CRAMM genera una gran cantidad de documentación en papel, lo que no siempre es útil en la práctica.
- CRAMM no le permite crear sus propias plantillas de informes ni modificar las existentes.
- La capacidad de realizar adiciones a la base de conocimientos de CRAMM no está disponible para los usuarios, lo que genera ciertas dificultades para adaptar este método a las necesidades de una organización en particular.
- El software CRAMM solo está disponible en inglés.
- Alto costo de licencia.
RiskWatch
Software RiskWatch desarrollado por una empresa estadounidense es una poderosa herramienta de análisis y gestión de riesgos. La familia RiskWatch incluye productos de software para varios tipos de auditorías de seguridad. Incluye las siguientes herramientas de auditoría y análisis de riesgos:
- RiskWatch para seguridad física: para métodos físicos de protección de la propiedad intelectual;
- RiskWatch para sistemas de información: para riesgos de información;
- HIPAA-WATCH para la industria de la salud: para evaluar el cumplimiento de los requisitos del estándar HIPAA;
- RiskWatch RW17799 para ISO17799: para evaluar los requisitos de la norma ISO17799.
El método RiskWatch utiliza la "Expectativa de pérdida anual (ALE)" y el "Retorno de la inversión (ROI)" como criterios para evaluar y gestionar el riesgo. La familia de productos de software RiskWatch tiene muchas ventajas.
RiskWatch lo ayuda a realizar análisis de riesgos y a tomar decisiones informadas sobre medidas y soluciones. La técnica utilizada en el programa incluye 4 fases:
Primera fase- definición del tema de investigación. En esta etapa, se describen los parámetros generales de la organización: el tipo de organización, la composición del sistema en estudio, los requisitos básicos de seguridad. La descripción se formaliza en una serie de subcláusulas que puede elegir para obtener una descripción más detallada u omitir.
Cada uno de los elementos seleccionados se describe en detalle a continuación. Para facilitar el trabajo del analista, las plantillas proporcionan listas de categorías de recursos protegidos, pérdidas, amenazas, vulnerabilidades y medidas de protección. De estos, debe elegir los que están realmente presentes en la organización.
Segunda fase- entrada de datos que describen características específicas del sistema. Los datos pueden ingresarse manualmente o importarse de informes generados por herramientas de investigación de vulnerabilidades de redes informáticas. En este paso, se detallan los recursos, las pérdidas y las clases de incidentes.
Las clases de incidentes se obtienen haciendo coincidir la categoría de pérdida y la categoría de recurso. Para identificar posibles vulnerabilidades, se utiliza un cuestionario, cuya base de datos contiene más de 600 preguntas relacionadas con categorías de recursos. Se permite la corrección de preguntas, eliminación o adición de nuevas. Se establece la frecuencia de ocurrencia de cada una de las amenazas seleccionadas, el grado de vulnerabilidad y el valor de los recursos. Todo esto se utiliza en el futuro para calcular la efectividad de la implementación de equipos de protección.
Tercera fase- Evaluación de riesgos. Primero, se establecen vínculos entre recursos, pérdidas, amenazas y vulnerabilidades identificadas en las etapas anteriores. Para los riesgos, las expectativas matemáticas de pérdidas para el año se calculan mediante la fórmula:
m = p * v, donde p es la frecuencia de ocurrencia de la amenaza durante el año, v es el costo del recurso que está amenazado.
Por ejemplo, si el costo de un servidor es de $ 150,000 y la probabilidad de que sea destruido por un incendio dentro de un año es de 0.01, entonces las pérdidas esperadas serán de $ 1,500. Además, se consideran escenarios de "qué pasaría si ..." , que permiten describir situaciones similares, sujetas a implementación.medios de protección. Comparando las pérdidas esperadas, siempre que se implementen medidas de protección y sin ellas, es posible evaluar el efecto de tales medidas.
Cuarta fase- generación de informes. Tipos de informes: breves resúmenes; informes completos y concisos de los elementos descritos en las etapas 1 y 2; informar sobre el costo de los recursos protegidos y las pérdidas esperadas por la implementación de amenazas; informar sobre amenazas y contramedidas; informe de auditoría de seguridad.
Desventajas de RiskWatch puede ser atribuido:
- Este método es adecuado si se requiere realizar un análisis de riesgo a nivel de protección de software y hardware, sin tener en cuenta factores organizativos y administrativos. Las evaluaciones de riesgo resultantes (expectativa matemática de pérdidas) están lejos de agotar la comprensión del riesgo desde un punto de vista sistémico: el método no tiene en cuenta un enfoque integrado de la seguridad de la información.
- El software RiskWatch solo está disponible en inglés.
- Alto costo de la licencia: desde $ 15,000 por un puesto para una empresa pequeña y desde $ 125,000 por una licencia por volumen.
Cuello
Para realizar un análisis completo de los riesgos de la información, en primer lugar, es necesario construir un modelo completo del sistema de información desde el punto de vista de la seguridad de la información. Para resolver este problema, a diferencia de los sistemas occidentales de análisis de riesgos en el mercado, que son bastante engorrosos y, a menudo, no implican el uso independiente por parte de los gerentes de TI y los administradores de sistemas responsables de garantizar la seguridad de los sistemas de información de las empresas, tiene una solución simple y interfaz intuitiva para el usuario. Sin embargo, detrás de la simplicidad externa, se esconde un complejo algoritmo de análisis de riesgos que tiene en cuenta más de un centenar de parámetros, lo que permite una evaluación precisa de los riesgos existentes en el sistema de información a partir del análisis de las características de la implementación práctica del sistema. sistema de informacion.
La tarea principal del sistema GRIF es permitir al gerente de TI evaluar de forma independiente (sin la participación de terceros expertos) el nivel de riesgos en el sistema de información y la efectividad de la práctica existente para garantizar la seguridad de la empresa, como así como brindar la oportunidad de convencer a la dirección de la empresa de la necesidad de invertir en su ámbito de seguridad de la información.
En la primera etapa del método GRIF, se realiza una encuesta al gerente de TI con el fin de determinar una lista completa de los recursos de información que son de valor para la empresa.
En la segunda etapa Se realiza una encuesta al gerente de TI con el fin de ingresar al sistema GRIF todo tipo de información que sea de valor para la empresa. El usuario debe colocar los grupos ingresados de información valiosa en los objetos de almacenamiento de información especificados en la etapa anterior (servidores, estaciones de trabajo, etc.). La fase final es una indicación de daño para cada grupo de información valiosa ubicada en los recursos relevantes, para todo tipo de amenazas.
En la tercera etapa pasa la definición de todo tipo de grupos de usuarios con una indicación del número de usuarios en cada grupo. Luego se registra a qué grupos de información sobre los recursos tiene acceso cada uno de los grupos de usuarios. En conclusión, se determinan los tipos (locales y / o remotos) y los derechos (lectura, escritura, eliminación) de acceso del usuario a todos los recursos que contienen información valiosa.
En la cuarta etapa Se realiza una encuesta al gerente de TI para determinar los medios de proteger la información valiosa sobre los recursos. Además, se ingresa información al sistema sobre los costos únicos de comprar todas las herramientas de seguridad de la información utilizadas y los costos anuales de su soporte técnico, así como los costos anuales de mantenimiento del sistema de seguridad de la información de la empresa.
En la etapa final es necesario responder preguntas sobre la política de seguridad implementada en el sistema, lo que nos permitirá evaluar el nivel real de seguridad del sistema y detallar las evaluaciones de riesgo.
La presencia de medios de protección de la información, señalada en la primera etapa, no confiere por sí misma seguridad al sistema en caso de su uso inadecuado y la ausencia de una política de seguridad integral que tenga en cuenta todos los aspectos de la protección de la información, incluida la seguridad, la física. seguridad, seguridad del personal, continuidad del negocio, etc.
Como resultado de la realización de todas las acciones en estas etapas, el resultado será un modelo completo del sistema de información desde el punto de vista de la seguridad de la información, teniendo en cuenta el cumplimiento real de los requisitos de la política de seguridad integrada, lo que lo hará posible proceder a un análisis programático de los datos ingresados para obtener una evaluación integral de riesgos y generar un informe final.
Informe detallado del sistema, que da una imagen de los posibles daños por incidentes, está listo para presentarlo a la dirección de la empresa:
A las desventajas del GRIF puede ser atribuido:
- Falta de conexión con los procesos comerciales (planificado en la próxima versión).
- La imposibilidad de comparar informes en diferentes etapas de la implementación de un conjunto de medidas de seguridad (planificadas para la próxima versión).
- Incapacidad para agregar requisitos de política de seguridad específicos de la empresa.
- Tecnologías modernas de análisis de riesgos en sistemas de información (PCWEEK N37 "2001), Sergey Simonov
- Materiales de la empresa Jet Infosystems
- Materiales de la empresa "Seguridad digital"
Instituto de Gestión de Volgogrado
Delegación RANEPA
Especializado
software de análisis
riesgos financieros
empresas
Realizado
estudiante del grupo ME-100
Shahinyan Arpi Armenovna
peligro de pérdidas monetarias, la ocurrencia
que depende de ciertos factores
vida económica. Riesgo de ocurrencia
tales problemas son principalmente
riesgos financieros. El propósito del trabajo es encontrar
programas especializados para identificar
riesgos financieros de la empresa Para las empresas rusas, independientemente de su forma.
propiedad y campos de actividad, los más típicos
son los siguientes riesgos:
- posible pérdida (muerte), escasez o daño
activos fijos o circulantes de la empresa;
- la aparición de la responsabilidad civil
compromisos por pasivos que surjan
debido a daños a la vida, la salud y
propiedad de terceros o natural circundante
medio ambiente;
- posibles pérdidas o no recepción de lo esperado
beneficios por cambios en las condiciones operativas
empresas por circunstancias ajenas a su voluntad;
- incumplimiento de sus obligaciones por parte de las contrapartes,
socios y otros Los más extendidos son
productos de software de las siguientes empresas:
- Alt (paquetes Alt-Invest, Alt-Invest
Sumas, Alt-Leasing, Alt-Finance, AltPlan, Alt-Forecast, Alt-Expert, etc.);
InEk (paquetes Investor, Analyst, etc.). A pesar de la variedad de productos de software ofrecidos, diseñados para
automatización de la resolución de los problemas de desarrollo de planes de negocio para proyectos de inversión,
tienen mucho en común. Esto está determinado por la presencia de
enfoques estándar para calcular todos los indicadores y criterios de un proyecto de inversión,
que figuran en las "Recomendaciones metodológicas para evaluar la eficacia de las inversiones
proyectos y su selección para financiación ”.
Para ello, a pesar de la amplia variedad de formas de presentación de la información de salida, su
El contenido, por regla general, incluye la misma información sobre los principales
características del proyecto de inversión, que se basan en el flujo de caja
proyecto. Estas características incluyen: datos sobre pérdidas y ganancias; Mirando hacia adelante
equilibrio; indicadores que reflejan la situación financiera de la empresa (coeficientes
rentabilidad, solvencia, liquidez); indicadores de desempeño
inversiones (VAN, TIR, PBP, PI, etc.).
La familia de productos de software Project Expert, en particular la versión Project Expert-7,
además de analizar la sensibilidad del proyecto, realiza cálculos de riesgo utilizando el método de escenarios
análisis. El uso de métodos de simulación (método de Monte Carlo) puede aumentar significativamente la confiabilidad de los resultados de análisis obtenidos.
riesgo del proyecto. Hablando de la posibilidad de utilizar ciertos paquetes, conviene
tenga en cuenta las formas de construir cada uno de ellos: abierto, cerrado,
conjunto. Un ejemplo de paquetes de código abierto son el software.
desarrollo de la empresa Alt. El usuario tiene la capacidad de realizar
cambios en los algoritmos de cálculo que se pueden determinar
los detalles de las tareas que se están resolviendo. Con calificaciones insuficientes
el usuario, tales cambios pueden conducir a errores y distorsionar
el estado actual de las cosas. Un ejemplo de paquetes cerrados son
desarrollos de software de ProInvestConsulting, en particular
La familia de paquetes Project Expert. Aquí el producto de software aparece en
la forma de la llamada "caja negra". A su entrada, la inicial
información, en la salida: los resultados de los cálculos del plan de negocios. Usuario
no tiene la capacidad de cambiar el algoritmo de cálculo. Tales programas no son
imponen altas exigencias a las calificaciones del usuario. Es por eso,
la elección de un paquete en particular depende del usuario, sus calificaciones y
oportunidades tanto financieras como la disponibilidad de
personal. Por un lado, el riesgo supone un peligro para
actividad emprendedora, pero por otro lado, como
competencia, tiene una función de limpieza, es decir ayuda
el mercado para limpiarse de organizaciones no móviles, contribuye
con el enfoque adecuado al riesgo, desarrollo económico.
Debe recordarse que uno no debe evitar el riesgo, sino poder
reducir la probabilidad de que ocurra, lo cual es posible con
correcto trabajo de gestión que representa
es un conjunto de actividades dirigidas a
previsión y detección temprana
efectos adversos sobre el sujeto
actividad empresarial, desarrollo e implementación
medidas para neutralizarlos (análisis y evaluación de riesgos,
seguros, etc.).
, (, "", "", ""). , FRAP; (,). RiskWatch; , (CRAMM, Microsoft ..).
CRAMM - 80-. (CCTA). CRAMM ,. ,. CRAMM, (perfiles). (Perfil Comercial), - (Perfil de Gobierno). , ITSEC (""). RAMM. ,. :,. :,. ... ... ,. ...
CRAMM. :
; - , ; ; - (), ; , : , .
; ; ; , ; ; , ; , ; .
1 10. CRAMM ",":
2 - $1000; 6 - $1000 $10 000; 8 - $10 000 $100 000; 10 - $100 000.
(3) , () . , . .
,. ... , (, ..). ... CRAMM 36 ,. ,. ,. 1 7.,. CRAMM. ,. ,:
(. 4.1); (. 4.2); (. 4.1).
4.1. (). , 10 3 4.2. (). , 0,33 , 0,33 0,66 , 0,66
, " ". . 4.1 . , - (), - ().
4.1. (. Pérdida anual de la expectativa) CRAMM ,. 4,2 ().
4.2. , (. 4.3)
4.3. ... ,. CRAMM ,. : 300; 1000; 900 ,. , CRAMM -, ().
FRAP "Proceso de análisis de riesgos facilitado (FRAP)" Peltier and Associates (http://www.peltierassociates.com/) (Thomas R. Peltier) (,). ,. - ,. :. , (. análisis coste-beneficio),. ... , FRAP. 1., (). 2 .. : o (listas de verificación) ,;
; ,; o "",. 3.,. ,. , .o
,. , (). ... (Probabilidad): o o o
(Probabilidad alta) -,; (Probabilidad media) -; (Baja probabilidad) -,.
(Impacto) - ,: o
(Alto impacto):,; (Impacto medio) :, -; (Bajo impacto):,.
4.4. : o o o
A - (,); B -; C - (,);
4.4. FRAP 4.,. ,. ,. ,. , (, -.). ,. ,. ,. : o o
; ... 5.. ,. , ..o o
OCTAVEOCTAVE (Evaluación de vulnerabilidades, activos y amenazas operacionalmente críticas), Instituto de Ingeniería de Software (SEI) (Universidad Carnegie Mellon). www.cert.org/octave. -. ,. ,. OCTAVA: 1.,; 2 .; 3 .. (activo), (acceso), (actor), (motivo), (resultado). , OCTAVA: 1., - ,; 2., - ,; 3.,; 4.. (divulgación), (modificación), (pérdida / destrucción). (interrupción).
OCTAVA "", 1). 4.5. -. -. , () - () (Base de datos de recursos humanos). , 4.3. 4.3. ... (Activo) (Base de datos de recursos humanos) (Acceso) (Red) (Actor) (Adentro) (Motivo) (Deliberado) (Vulnerabilidad) (Resultado) (Divulgación) (Referencia del catálogo) -
4.5. , -. , (, ..), (,). :; ; ; ; "",; ; ; ; ... ,. , (web- ,.), (listas de verificación) ,. :
, (vulnerabilidades de alta gravedad); , (vulnerabilidades de gravedad media); , (vulnerabilidades de baja gravedad).
OCTAVA,. : (alto), (medio), (bajo). ,. , (, $ 10000 -, -). ,:
OCTAVA, OCTAVA.
RiskWatch RiskWatch ,. RiskWatch:
RiskWatch para seguridad física -; RiskWatch para sistemas de información -; HIPAA-WATCH para la industria del cuidado de la salud - HIPAA (Ley de Responsabilidad y Portabilidad del Seguro Médico de EE. UU.); RiskWatch RW17799 para ISO 17799 - ISO 17799.
RiskWatch (Expectativa de pérdida anual, ALE) (Retorno de la inversión, ROI). RiskWatch. RiskWatch ,. -. , () ,. , ("", "/" ..) ,. , (. 4.6). ,:
; ; (,); (, ..); ; (,); .
600. ... ,. (SEGURO LAFE) ,. ...
4.6. -. ,. ,. ,. , $ 150,000, 0.01, $ 1,500. (m = p * v, m -, p -, v -), RiskWatch NIST, LAFE SAFE. LAFE (Estimación de frecuencia anual local) -, (,). SAFE (Estimación de frecuencia anual estándar) -, "" (,). ,
,. (4.1) (4.2) ALE: (4.1):
Valor del activo - (, ..); Factor de exposición - -, () ,; Frecuencia -; ALE -.
,. "" (Tasa de ocurrencia anualizada - ARO) "" (Expectativa de pérdida única - SLE), (,). , - (4.2) (4.2) ":" ,. ... RiskWatch LAFE SAFE. ROI (retorno de la inversión -) ,. : (4,3)
Costsj - j -; Beneficiosi - (..) ,; VAN (valor actual neto) -.
12.. ... ROI (-. 4,7). ...
4.7. ROI ,. ,.
Microsoft.
, , :1. . . 2. . . 3. . .
. . . (. *8] , -). .
, . (,). , (,). -. - . , . , :1. () - , . , . 2. () - , . , . , . 3. () - , . ,
. . . . . .
. . . - . . .
(. 4.8). (Excel) Microsoft. ,. (-,).
4.10 .
. ; . ; . .
(" ") , :
; : , ; : .
4.13. - . 4.14. .
4.14. . , . , 100 20%, . ,
: , . . 4.15 .
4.15. " ", . - . . . . 1 5. , . 4.16, (. 4.17). , .
4.17. . 4.18 . .
4.20. . , - ": 5, : 1", - ": 5, : 5".
4.20. (SRMGTool3)
. (1 10) (0 10). 0 100. "", "" "" , . 4.21
... ... (expectativa de pérdida única - SLE). (tasa anual de ocurrencia - ARO). (expectativa de pérdida anual - ALE).
. . . . . . . . .
... ,. ,. ... ... ,. , (- () 20%). ... (LES). ... 4.22.
4.23. ()
(ARO). ARO. 4.24
(ALE) SLE ARO.
CERVEZA INGLESA. ,. , -.
(, ..); (,) ; ; , ; , .
