Behovet av investeringar i informationssäkerhet (IS) för verksamheten är tveksamt. För att bekräfta relevansen av uppgiften att säkerställa affärssäkerhet kommer vi att använda FBI -rapporten som släpptes på grundval av en undersökning av amerikanska företag (medelstora och stora företag). Statistiken över incidenter inom IT -säkerhet är oförlåtande. Enligt FBI har 56% av de tillfrågade företagen attackerats i år (figur 1).
Men hur ska man bedöma nivån på investeringar i informationssäkerhet, vilket kommer att säkerställa maximal investeringseffektivitet? För att lösa detta problem finns det bara ett sätt - att använda riskanalyssystem som gör det möjligt att bedöma de risker som finns i systemet och välja det mest effektiva skyddsalternativet (beroende på förhållandet mellan de risker som finns i systemet och kostnaderna för informationssäkerhet ).
Investerings motivering
Enligt statistik är de allvarligaste hindren för att vidta åtgärder för att säkerställa informationssäkerhet i ett företag av två skäl: budgetbegränsningar och brist på stöd från ledningen.
Båda dessa orsaker härrör från ledningens missförstånd om problemets svårighetsgrad och IT -chefens oförmåga att motivera varför investera i informationssäkerhet. Man tror ofta att huvudproblemet ligger i det faktum att IT-chefer och chefer talar olika språk- tekniskt och ekonomiskt, men trots allt har IT-specialister ofta själva svårt att bedöma vad man ska lägga pengar på och hur mycket det är krävs för att förbättra säkerheten i företagets system. så att dessa kostnader inte är bortkastade eller överdrivna.
Om IT -chefen har en klar uppfattning om hur mycket pengar företaget kan förlora vid hot, vilka platser i systemet som är mest sårbara, vilka åtgärder som kan vidtas för att öka säkerhetsnivån utan att spendera extra pengar, och allt detta dokumenteras, då blir hans beslutsuppgifter - att övertyga ledningen att uppmärksamma och avsätta medel för informationssäkerhet - mycket mer verkliga.
För att lösa denna typ av problem har speciella metoder och mjukvarusystem utvecklats för att analysera och kontrollera informationsrisker utifrån dem. Vi kommer att överväga CRAMM -systemet för det brittiska företaget Insight Consulting (http://www.insight.co.uk), det amerikanska RiskWatch -företaget med samma namn (http://www.riskwatch.com) och det ryska GRIF -paketet från Digital Security (http: // www .dsec.ru). Deras jämförande egenskaper visas i tabellen.
Jämförande analys av riskanalysverktyg
| Jämförelsekriterier | CRAMM | RiskWatch | GRIF 2005 Digital Security Office |
| Stöd | Försedd | Försedd | Försedd |
| Användarvänlighet för användaren | Kräver särskild utbildning och höga kvalifikationer hos en revisor | Gränssnittet riktar sig till IT -chefer och chefer; kräver ingen särskild kunskap inom informationssäkerhet | |
| Licenskostnad per arbetsplats, USD | 2000 till 5000 | Från 10 000 | Från 1000 |
| Systemkrav |
OS Windows 98 / Me / NT / 2000 / XP Minimikrav: |
Windows 2000 / XP Ledigt diskutrymme för installation 30 MB Intel Pentium -processor eller kompatibel, 256 MB minne |
Windows 2000 / XP Minimikrav: |
| Funktionalitet |
Indata:
Rapporteringsalternativ:
|
Indata:
Rapporteringsalternativ:
|
Indata:
Rapportens sammansättning:
|
| Kvantitativ / kvalitativ metod | Kvalitativ bedömning | Kvantifiering | Kvalitativ och kvantitativ bedömning |
| Nätverkslösning | Frånvarande | Frånvarande | Enterprise Edition Digital Security Office 2005 |
CRAMM
CRAMM -metoden (CCTA Risk Analysis and Management Method) utvecklades av Central Computer and Telecommunications Agency of Great Britain (Central Computer and Telecommunications Agency) i enlighet med den brittiska regeringens anvisningar och har antagits som en statlig standard. Sedan 1985 har det använts av myndigheter och kommersiella organisationer i Storbritannien. Under denna tid har CRAMM vunnit popularitet över hela världen. Insight Consulting utvecklar och underhåller en mjukvaruprodukt som implementerar CRAMM -metoden.
CRAMM -metoden (http://www.cramm.com) valdes inte av misstag av oss för en mer detaljerad övervägande. För närvarande är CRAMM ett ganska kraftfullt och mångsidigt verktyg som, förutom riskanalyser, kan lösa ett antal andra revisionsuppgifter, inklusive:
- IS -undersökning och publicering av medföljande dokumentation i alla stadier av dess genomförande;
- revision i enlighet med kraven från den brittiska regeringen, samt BS 7799: 1995 Code of Practice for Information Security Management;
- utveckling av en säkerhetspolicy och en kontinuitetsplan.
CRAMM -metoden bygger på en integrerad strategi för riskbedömning, som kombinerar kvantitativa och kvalitativa analysmetoder. Metoden är universell och är lämplig för både stora och små organisationer inom både statlig och kommersiell sektor. Versioner av CRAMM -programvara riktade till olika typer av organisationer skiljer sig från varandra i kunskapsbaser (profiler): det finns en kommersiell profil för kommersiella organisationer och en statlig profil för statliga organisationer. Den offentliga versionen av profilen möjliggör också granskning för att uppfylla kraven i den amerikanska standarden ITSEC ("Orange Book"). Ett konceptuellt diagram över en CRAMM -undersökning visas i fig. 2.
Med rätt användning av CRAMM -metoden är det möjligt att uppnå mycket goda resultat, varav kanske det viktigaste är möjligheten till ekonomisk motivering av organisationens kostnader för att säkerställa informationssäkerhet och affärskontinuitet. En ekonomiskt sund riskhanteringsstrategi sparar i slutändan pengar samtidigt som onödiga kostnader undviks.
CRAMM innebär att hela proceduren delas in i tre sekventiella steg. Uppgiften för det första steget är att svara på frågan: "Är det tillräckligt att skydda systemet med hjälp av grundläggande verktyg som implementerar traditionella säkerhetsfunktioner, eller är det nödvändigt att göra en mer detaljerad analys?" I det andra stadiet identifieras risker och deras storlek bedöms. I det tredje steget avgörs frågan om val av lämpliga motåtgärder.
CRAMM -metoden för varje steg definierar en uppsättning initialdata, en sekvens av aktiviteter, frågeformulär för intervjuer, checklistor och en uppsättning rapporteringsdokument.
I den första fasen av studien utförs identifiering och bestämning av värdet av de skyddade resurserna. Bedömningen utförs på en tiogradig skala, och det kan finnas flera bedömningskriterier - ekonomiska förluster, skador på rykte etc. CRAMM -beskrivningarna ger ett exempel på en sådan värderingsskala enligt kriteriet "Ekonomiska förluster i samband med återställande av resurser ":
- 2 poäng - mindre än $ 1000;
- 6 poäng - från $ 1000 till $ 10.000;
- 8 poäng - från $ 10 000 till $ 100 000;
- 10 poäng - över 100 000 dollar
Med en låg poäng för alla kriterier som används (3 poäng och lägre) anses det som att en grundläggande skyddsnivå är tillräcklig för det aktuella systemet (denna nivå kräver ingen detaljerad bedömning av informationssäkerhetshot), och den andra studiestad hoppas över.
I det andra stadiet identifieras och bedöms hot inom informationssäkerhet, en sökning och bedömning av sårbarheten i det skyddade systemet genomförs. Hotnivån bedöms på följande skala: mycket hög, hög, medel, låg, mycket låg. Sårbarheten bedöms som hög, medel eller låg. Baserat på denna information beräknas en bedömning av risknivån på en sjupunkts skala (fig. 3).
I den tredje etappen genererar CRAMM alternativ för motåtgärder mot identifierade risker. Produkten erbjuder följande typer av rekommendationer:
- allmänna rekommendationer;
- specifika rekommendationer;
- exempel på hur du kan organisera skydd i denna situation.
CRAMM har en omfattande databas som innehåller beskrivningar av cirka 1000 exempel på implementering av säkerhetsdelsystem för olika datorsystem. Dessa beskrivningar kan användas som mallar.
Beslutet att införa nya säkerhetsmekanismer i systemet och modifiera gamla fattas av organisationens ledning, med beaktande av de därmed sammanhängande kostnaderna, deras acceptabilitet och den yttersta nyttan för verksamheten. Revisorns uppgift är att motivera de rekommenderade åtgärderna för organisationens ledning.
Om ett beslut fattas att införa nya motåtgärder och modifiera gamla kan revisorn få i uppdrag att utarbeta en genomförandeplan och utvärdera effektiviteten av användningen av dessa åtgärder. Lösningen på dessa problem ligger utanför ramen för CRAMM -metoden.
Nackdelarna med CRAMM -metoden inkluderar följande:
- metoden kräver särskild utbildning och höga kvalifikationer hos revisorn;
- revision med CRAMM -metoden är en ganska mödosam process och kan kräva månader av kontinuerligt arbete av revisorn.
- CRAMM är mycket mer lämpad för att granska redan befintliga IS som har tagits i drift än för IS som är under utveckling;
- Verktygssatsen för CRAMM -programvara genererar en stor mängd pappersdokumentation, vilket inte alltid är användbart i praktiken.
- CRAMM tillåter dig inte att skapa dina egna rapportmallar eller ändra befintliga;
- möjligheten att göra tillägg till kunskapsbasen CRAMM är inte tillgänglig för användare, vilket medför vissa svårigheter att anpassa denna metod till behoven hos en viss organisation;
- CRAMM -programvaran är inte lokaliserad, finns bara på engelska;
- hög licenskostnad - från $ 2000 till $ 5000
RiskWatch
RiskWatch -programvaran är ett kraftfullt verktyg för riskanalys och hantering. RiskWatch -familjen innehåller mjukvaruprodukter för olika typer av säkerhetsrevisioner. Den innehåller följande verktyg för revision och riskanalys:
- RiskWatch för fysisk säkerhet - för fysiska metoder för IP -skydd;
- RiskWatch för informationssystem - för informationsrisker;
- HIPAA -WATCH for Healthcare Industry - att bedöma överensstämmelse med kraven i HIPAA -standarden (US Healthcare Insurance Portability and Accountability Act);
- RiskWatch RW17799 för ISO 17799 - för bedömning av överensstämmelse med ISO 17799.
RiskWatch -metoden använder årliga förlustprognoser (ALE) och avkastning på investeringar (ROI) som kriterier för bedömning och hantering av risk.
RiskWatch -serien av programvaruprodukter har många fördelar. RiskWatch hjälper dig att genomföra riskanalyser och göra välgrundade val om åtgärder och åtgärder. Till skillnad från CRAMM är RiskWatch mer inriktat på att exakt kvantifiera förhållandet mellan förluster från säkerhetshot och kostnaden för att skapa ett skyddssystem. Det bör också noteras att riskerna för information och fysisk säkerhet i företagets datanätverk betraktas tillsammans i denna produkt.
RiskWatch -produkten är baserad på en riskanalysmetodik som kan delas in i fyra steg.
Det första steget är att definiera ämnet för forskning. Det beskriver sådana parametrar som organisationstyp, sammansättningen av det system som studeras (i allmänna termer), de grundläggande kraven inom säkerhetsområdet. För att underlätta analytikerns arbete i mallar som är lämpliga för typen av organisation ("kommersiellt informationssystem", "statligt / militärt informationssystem", etc.) finns listor över kategorier av skyddade resurser, förluster, hot, sårbarheter och skyddsåtgärder. Av dessa måste du välja de som faktiskt finns i organisationen.
Till exempel tillhandahålls följande kategorier för förluster:
- förseningar och nekande av tjänst;
- informationsgivning;
- direkta förluster (till exempel från förstörelse av utrustning genom eld);
- liv och hälsa (personal, kunder, etc.);
- dataändring;
- indirekta förluster (till exempel restaureringskostnader);
- rykte.
Det andra steget är inmatning av data som beskriver systemets specifika egenskaper. De kan matas in manuellt eller importeras från rapporter som genereras av datorverktygs sårbarhetsforskningsverktyg.
I detta skede är resurser, förluster och incidentklasser detaljerade. Incidentklasser erhålls genom att matcha förlustkategorin och resurskategorin.
För att identifiera möjliga sårbarheter används ett frågeformulär vars databas innehåller mer än 600 frågor. Frågorna är relaterade till resurskategorier. Frekvensen för förekomst av vart och ett av de utvalda hoten, graden av sårbarhet och värdet av resurser är inställda. Allt detta används i framtiden för att beräkna effekten av införandet av skyddsutrustning.
Det tredje och förmodligen det viktigaste stadiet är kvantitativ bedömning. I detta skede beräknas en riskprofil och säkerhetsåtgärder väljs. Först upprättas kopplingar mellan resurser, förluster, hot och sårbarheter som identifierats i de tidigare stegen i studien (risken beskrivs genom kombinationen av dessa fyra parametrar).
Faktum är att risken uppskattas med hjälp av matematiska förväntningar på förluster för året. Till exempel, om kostnaden för en server är $ 150 000 och sannolikheten för att den kommer att förstöras av eld inom ett år är 0,01, då är den förväntade förlusten $ 1500.
Den välkända formeln m = pxv, där m är den matematiska förväntningen, p är sannolikheten för ett hot, v är kostnaden för resursen, har genomgått några förändringar på grund av att RiskWatch använder uppskattningar definierade av American Institute of Standarder NIST, kallade LAFE och SAFE. LAFE (Local Annual Frequency Estimate) visar hur många gånger om året i genomsnitt ett visst hot realiseras på en given plats (till exempel i en stad). SAFE (Standard Annual Frequency Estimate) visar hur många gånger per år i genomsnitt ett givet hot uppstår i denna "del av världen" (till exempel i Nordamerika). En korrigeringsfaktor införs också, vilket gör det möjligt att ta hänsyn till att när ett hot uppstår kan den skyddade resursen inte förstöras helt, utan bara delvis.
Dessutom övervägs "vad-om ..." -scenarier som gör att du kan beskriva liknande situationer, med förbehåll för implementering av skyddsåtgärder. Genom att jämföra de förväntade förlusterna med och utan skyddsåtgärder är det möjligt att bedöma effekten av sådana åtgärder.
RiskWatch innehåller databaser med LAFE- och SAFE -betyg samt generella beskrivningar av olika typer av skyddsprodukter.
Avkastningen på investeringen (ROI), som mäter avkastningen på investeringen under en viss tid, kvantifierar effekten av säkerhetsinsatser. Denna indikator beräknas med hjälp av formeln:
där Costsi är kostnaden för att genomföra och underhålla den i: e skyddsåtgärden; Benefitsi - en bedömning av de fördelar (förväntad minskning av förluster) som genomförandet av denna skyddsåtgärd medför; NVP (Net Value Present) justerar för inflationen.
Den fjärde etappen är att generera rapporter. Följande typer av rapporter är tillgängliga:
- kort sammanfattning;
- fullständiga och sammanfattande rapporter om de element som beskrivs i steg 1 och 2;
- en rapport om kostnaden för skyddade resurser och förväntade förluster från genomförandet av hot;
- rapportera om hot och motåtgärder;
- ROI -rapport;
- säkerhetsrevisionsrapport.
Ett exempel på beräkning av ROI för olika skyddsåtgärder visas i fig. 5.
RiskWatch låter dig således bedöma inte bara de risker som för närvarande finns i företaget, utan också de fördelar som implementering av fysiska, tekniska, programvara och andra skyddsmekanismer kan medföra. De utarbetade rapporterna och graferna ger tillräckligt med material för att fatta beslut om förändring av företagets säkerhetssystem.
För inhemska användare är problemet att det är ganska problematiskt att få uppskattningar som används i RiskWatch (som LAFE och SAFE) för våra förhållanden. Även om själva metoden kan tillämpas framgångsrikt i vårt land.
Sammanfattningsvis noterar vi att när man väljer en specifik metod för att analysera risker i företaget och de verktyg som stöder det, bör man svara på frågan: är det nödvändigt att ha en noggrann kvantitativ bedömning av konsekvenserna av genomförandet av hot eller om en bedömning på kvalitativ nivå är tillräcklig. Det är också nödvändigt att ta hänsyn till följande faktorer: närvaron av experter som kan ge tillförlitliga uppskattningar av volymen av förluster från informationssäkerhetshot och tillgängligheten av tillförlitlig statistik över incidenter inom informationssäkerhet inom företaget .
Nackdelarna med RiskWatch inkluderar följande:
- denna metod är lämplig om den krävs för att genomföra en riskanalys på skyddsnivå för mjukvara och hårdvara, utan att ta hänsyn till organisatoriska och administrativa faktorer;
- de erhållna riskbedömningarna (matematisk förväntning om förluster) tömmer inte på förståelsen av risk ur systematisk synvinkel - metoden tar inte hänsyn till en integrerad strategi för informationssäkerhet;
- RiskWatch -programvaran är endast tillgänglig på engelska;
- hög licenskostnad - från $ 10 000 per plats för ett litet företag.
Nacke
GRIF är ett omfattande system för att analysera och hantera risker med företagets informationssystem. GRIF 2005 från Digital Security Office (http://www.dsec.ru/products/grif/) ger en bild av säkerheten för informationsresurser i systemet och låter dig välja den optimala strategin för att skydda företagsinformation.
GRIF -systemet analyserar skyddsnivån för resurser, bedömer eventuella skador från genomförandet av IS -hot och hjälper till att hantera risker genom att välja motåtgärder.
Analysen av IS -risker utförs på två sätt: med hjälp av en modell av informationsflöden eller en modell av hot och sårbarheter, beroende på vilken initial data användaren har, samt på vilken data han är intresserad av vid utmatningen.
Informationsflödesmodell
När du arbetar med en modell av informationsflöden, fullständig information om alla resurser med värdefull information, användare som har tillgång till dessa resurser, typer och åtkomsträttigheter läggs in i systemet. Data om alla skyddsmedel för varje resurs, nätverksanslutningar av resurser, egenskaper hos företagets säkerhetspolicy registreras. Resultatet är en komplett modell av informationssystemet.
I den första etappen av arbetet med programmet anger användaren alla objekt i sitt informationssystem: avdelningar, resurser (specifika objekt i denna modell inkluderar nätverksgrupper, nätverksenheter, typer av information, användargrupper, affärsprocesser).
Därefter måste användaren tilldela länkar, det vill säga för att avgöra vilka avdelningar och nätverksgrupper resurserna tillhör, vilken information som lagras på resursen och vilka användargrupper som har åtkomst till den. Användaren anger också sätten att skydda resursen och informationen.
I slutskedet svarar användaren på en lista med frågor om den säkerhetspolicy som implementeras i systemet, vilket gör det möjligt att bedöma den verkliga nivån för systemsäkerhet och specificera riskbedömningar.
Förekomsten av informationsskyddsverktyg, som noterades i det första skedet, gör i sig ännu inte systemet säkert vid otillräcklig användning och frånvaron av en omfattande säkerhetspolicy som tar hänsyn till alla aspekter av informationsskydd, inklusive frågor om skydd, fysisk säkerhet, personalsäkerhet, verksamhetskontinuitet, etc.
Som ett resultat av att alla åtgärder utförs i dessa skeden, bildas en komplett modell av informationssystemet vid utgången från informationssäkerhetssynpunkt, med hänsyn tagen till den faktiska uppfyllelsen av kraven i en omfattande säkerhetspolicy, som låter dig att gå vidare till en programmatisk analys av inmatade data för att få en omfattande riskbedömning och generera en slutrapport.
Hot- och sårbarhetsmodell
Att arbeta med hot- och sårbarhetsanalysmodellen innebär att identifiera sårbarheterna för varje resurs med värdefull information och motsvarande hot som kan implementeras genom dessa sårbarheter. Resultatet är en fullständig bild av svagheterna i informationssystemet och de skador som kan göras.
I det första stadiet av arbetet med produkten lägger användaren in objektet i sin IS: avdelningar, resurser (specifika objekt för denna modell inkluderar hot mot informationssystemet och sårbarheter genom vilka hot implementeras).
GRIF 2005 innehåller omfattande inbyggda hot- och sårbarhetskataloger, som innehåller cirka 100 hot och 200 sårbarheter. För maximal fullständighet och mångsidighet hos dessa kataloger har Digital Security -experter utvecklat en särskild klassificering av hot, DSECCT, som implementerar många års praktisk erfarenhet inom informationssäkerhet. Med hjälp av dessa kataloger kan användaren välja hot och sårbarheter relaterade till hans informationssystem.
Algoritmen för GRIF 2005 -systemet analyserar den konstruerade modellen och genererar en rapport som innehåller riskvärdena för varje resurs. Rapportens konfiguration kan vara nästan vilken som helst, vilket gör att du kan skapa både sammanfattande rapporter för hantering och detaljerade rapporter för vidare arbete med resultaten (fig. 6).
 |
| Ris. 6. Ett exempel på en rapport i GRIF 2005 -systemet. |
GRIF 2005 -systemet innehåller en riskhanteringsmodul som låter dig analysera alla anledningar till att exakt ett sådant riskvärde erhålls efter bearbetning av inmatade data av algoritmen. Genom att veta orsakerna är det således möjligt att få de uppgifter som är nödvändiga för att genomföra motåtgärder och därmed minska risknivån. Efter att ha beräknat effektiviteten för varje möjlig motåtgärd, liksom fastställt värdet på den kvarvarande risken, kan du välja motåtgärder som kommer att minska risken till önskad nivå.
Som ett resultat av arbetet med GRIF -systemet byggs en detaljerad rapport om risknivån för varje värdefull resurs i företagets informationssystem, alla orsaker till risken anges med en detaljerad analys av sårbarheter och en bedömning av den ekonomiska effektivitet för alla möjliga motåtgärder.
***
Världens bästa praxis och ledande internationella standarder inom informationssäkerhet, särskilt ISO 17799, kräver implementering av ett riskanalys- och hanteringssystem för effektiv hantering av informationssystemets säkerhet. I det här fallet kan du använda alla praktiska verktyg, men det viktigaste är att alltid tydligt förstå att informationssäkerhetssystemet skapades på grundval av en analys av informationsrisker, testade och motiverade. Analys och hantering av informationsrisker är en nyckelfaktor för att bygga ett effektivt skydd av ett informationssystem.
National Open University "INTUIT": www.intuit.ru Sergey Nesterov Föreläsning 4. Metoder och programvara för riskbedömning
Nedan följer korta beskrivningar av ett antal vanliga tekniker för riskanalys. De kan delas in i:
metoder som använder en kvalitativ riskbedömning (till exempel på en skala av "hög", "medel", "låg"). Dessa tekniker inkluderar i synnerhet FRAP;
kvantitativa metoder (risk bedöms genom ett numeriskt värde, till exempel mängden förväntade årliga förluster). Denna klass innehåller RiskWatch -tekniken;
metoder med hjälp av blandade uppskattningar (detta tillvägagångssätt används i CRAMM, metodik
Microsoft, etc.).
CRAMM -teknik
Detta är en av de första metoderna för riskanalys inom informationssäkerhet, arbetet med det påbörjades i mitten av 80-talet. Central Computer and Telecommunications Agency (CCTA) Storbritannien.
CRAMM -metoden bygger på en integrerad strategi för riskbedömning, som kombinerar kvantitativa och kvalitativa analysmetoder. Metoden är universell och lämplig för både stora och små organisationer, både statliga och kommersiella sektorer. Versioner av CRAMM -programvara som riktar sig till olika typer av organisationer skiljer sig från varandra i sina kunskapsbaser (profiler). Det finns en kommersiell profil för kommersiella organisationer och en statlig profil för statliga organisationer. Den offentliga versionen av profilen möjliggör också granskning för att uppfylla kraven i den amerikanska standarden ITSEC ("Orange Book").
Undersökning av informationssäkerhetssystemet med CRAMM utförs i tre steg.
I det första stadiet analyseras allt som rör identifiering och bestämning av värdet på systemresurserna. Det börjar med att lösa problemet med att definiera gränserna för det system som studeras: information samlas in om systemets konfiguration och om vem som är ansvarig för fysiska resurser och programvaruresurser, vilka som är användare av systemet, hur de använder det eller vill Använd den.
Resurser identifieras: fysisk, mjukvara och information, som finns inom systemets gränser. Varje resurs måste tilldelas en av de fördefinierade klasserna. Sedan byggs en modell av informationssystemet utifrån informationssäkerhetspositionen. För varje informationsprocess, som enligt användarens uppfattning har en oberoende betydelse och kallas en användartjänst, byggs ett träd av länkar till de resurser som används. Den konstruerade modellen gör det möjligt att lyfta fram de kritiska elementen.
Värdet på de fysiska resurserna i CRAMM bestäms av kostnaden för deras restaurering vid förstörelse.
Värdet av data och programvara bestäms i följande situationer: otillgänglighet av en resurs under en viss tid;
förstörelse av resursen, förlust av information som tagits emot sedan den senaste säkerhetskopian eller fullständig förstörelse;
kränkning av sekretessen i fall av obehörig åtkomst av personal eller obehöriga personer;
ändring övervägs för fall av mindre personalfel (inmatningsfel), programfel, avsiktliga fel;
fel relaterade till överföring av information: vägran att leverera, icke-leverans av information, leverans till fel adress.
brott mot gällande lagstiftning, skador på personalens hälsa;
skada i samband med utlämnande av personuppgifter om enskilda;
ekonomiska förluster från avslöjande av information; ekonomiska förluster i samband med återställande av resurser;
förluster som är förknippade med oförmågan att fullgöra åtaganden; oorganisering av aktiviteter.
För data och programvara väljs de kriterier som gäller för den givna IS, och skadan bedöms på en skala med värden från 1 till 10.
I beskrivningarna av CRAMM, som ett exempel, ges en sådan värderingsskala enligt kriteriet "Ekonomiska förluster i samband med återställande av resurser":
2 poäng mindre än $ 1000;
6 poäng från $ 1000 till $ 10.000;
8 poäng från $ 10 000 till $ 100 000; 10 poäng över $ 100 000.
Med ett lågt betyg för alla kriterier som används (3 poäng och lägre), anses det att det aktuella systemet kräver en grundläggande skyddsnivå (denna nivå kräver inte en detaljerad bedömning av informationssäkerhetshot) och den andra etappen av studien hoppas över.
Den andra etappen undersöker allt som rör identifiering och bedömning av hotnivåer för resursgrupper och deras sårbarheter. I slutet av etappen får kunden identifierade och utvärderade risknivåer för sitt system. I detta skede bedöms användartjänsternas beroende av vissa grupper av resurser och den befintliga nivån av hot och sårbarheter, risknivåer beräknas och resultaten analyseras.
Resurser grupperas efter hot och sårbarhetstyp. Till exempel, om det finns ett hot om brand eller stöld, som en grupp resurser, är det rimligt att överväga alla resurser som finns på ett ställe (serverrum, kommunikationsrum, etc.). Bedömning av nivåerna av hot och sårbarheter baseras på studier av indirekta faktorer.
CRAMM -programvara genererar en lista med entydiga frågor för varje resursgrupp och var och en av de 36 hottyperna. Hotnivån bedöms, beroende på svaren, som mycket hög, hög, medel, låg och mycket låg. Sårbarhetsgraden bedöms, beroende på svaren, som hög, medel och låg.
Baserat på denna information beräknas risknivåerna i en diskret skala med grader från 1 till 7. De resulterande nivåerna av hot, sårbarheter och risker analyseras och överensstämmer med kunden.
CRAMM integrerar hot och sårbarheter i en riskmatris. Fundera över hur denna matris härleds och vad var och en av risknivåerna betyder.
Det huvudsakliga tillvägagångssättet för att lösa detta problem är att överväga: hotnivån (skalan visas i tabell 4.1);
sårbarhetsnivån (skalan visas i tabell 4.2);
storleken på de förväntade ekonomiska förlusterna (exempel i figur 4.1).
Tabell 4.1. Skala för bedömning av hotnivåer (förekomstfrekvens).
Beskrivning |
Menande |
incidenten inträffar i genomsnitt, inte oftare än vart tionde år mycket lågt |
|
en incident inträffar i genomsnitt vart tredje år |
|
incidenten inträffar i genomsnitt en gång om året |
|
incidenten inträffar i genomsnitt en gång var fjärde månad |
|
incidenten inträffar i genomsnitt en gång i månaden |
väldigt lång |
Tabell 4.2. Sårbarhetsbetygsskala (sannolikhet för att lyckas |
|
hotets genomförande). |
|
Beskrivning |
Menande |
I händelse av en incident är sannolikheten för att händelser utvecklas låg
Baserat på uppskattningar av kostnaden för de skyddade IP -resurserna, bedömningar av hot och sårbarheter, bestäms de "förväntade årliga förlusterna". I fig. 4.1 visar ett exempel på en matris för att uppskatta den förväntade förlusten. I den innehåller den andra kolumnen till vänster värdena för resurskostnaden, den översta raden i tabellrubriken är en uppskattning av förekomsten av ett hot under året (hotnivån), den nedre raden i rubriken är en uppskattning av sannolikheten för att hotet ska lyckas (sårbarhetsnivå).
Ris. 4.1. Förväntad årlig förlustmatris
Värdena för de förväntade årliga förlusterna (English Annual Loss of Expectancy) omvandlas i CRAMM till punkter som visar risknivån, enligt skalan som visas i fig. 4,2 (i detta exempel rapporteras förluster i pund sterling).
Ris. 4.2. Riskbedömningsskala
I enlighet med matrisen nedan härleds en riskbedömning (figur 4.3)
Ris. 4.3. Riskbedömningsmatris
Den tredje etappen av forskningen är att hitta lämpliga motåtgärder. I huvudsak är detta en sökning efter ett säkerhetssystemalternativ som bäst passar kundens krav.
I detta skede genererar CRAMM flera alternativ för motåtgärder som är tillräckliga för de identifierade riskerna och deras nivåer. Motåtgärder kan grupperas i tre kategorier: cirka 300 allmänna rekommendationer, mer än 1000 specifika rekommendationer, cirka 900 exempel på hur du kan organisera skydd i en given situation.
Således är CRAMM ett exempel på en beräkningsmetod där de första bedömningarna ges på en kvalitativ nivå, och sedan görs övergången till en kvantitativ bedömning (i poäng).
FRAP -teknik
Underlättad riskanalysprocess (FRAP) av Peltier and Associates. http://www.peltierassociates.com/) utvecklad av Thomas R. Peltier och
publicerad i (fragment av den här boken finns på webbplatsen, beskrivningen nedan bygger på deras bas). I metoden föreslås tillhandahållandet av IS IS övervägas inom ramen för riskhanteringsprocessen. Riskhantering inom informationssäkerhet är en process som gör det möjligt för företag att hitta en balans mellan kostnaderna för pengar och insatser för skyddsutrustning och den resulterande effekten.
Riskhantering bör börja med en riskbedömning: korrekt dokumenterade resultat av utvärderingen kommer att ligga till grund för beslut för att förbättra säkerheten i systemet.
Efter att utvärderingen är klar genomförs en kostnad / nyttoanalys, som låter dig bestämma vilka åtgärder som behövs för att minska risken till en acceptabel nivå.
Nedan följer de viktigaste stadierna av riskbedömningen. Denna lista upprepar till stor del en liknande lista från andra metoder, men FRAP avslöjar mer detaljerat sätt att få information om systemet och dess sårbarheter.
1. Bestämning av skyddade tillgångar utförs med hjälp av frågeformulär, studerar dokumentationen för systemet, med hjälp av verktyg för automatiserad analys (skanning) av nätverk.
2. Identifiering av hot. När du sammanställer en lista över hot kan olika metoder användas:
listor över hot (checklistor) som utarbetats i förväg av experter, från vilka de relevanta för ett visst system väljs ut;
analys av statistik över incidenter i denna IS och i liknande, utvärderas frekvensen av deras förekomst; för ett antal hot, till exempel hot om brand, kan sådan statistik erhållas från relevanta statliga organisationer;
brainstorming av företagets anställda.
3. När listan över hot är klar jämförs var och en av dem med sannolikheten för att de ska inträffa. Därefter bedöms den skada som kan orsakas av detta hot. Baserat på de erhållna värdena bedöms hotnivån.
När analysen utförs antas det som regel att systemet i början av systemet saknar medel och mekanismer för skydd. Således bedöms risknivån för oskyddad IS, vilket senare gör det möjligt att visa effekten av införandet av informationssäkerhetsverktyg (ISS).
Bedömningen görs för sannolikheten för ett hot och skada av det på följande skalor.
Sannolikhet:
Hög sannolikhet Det är mycket troligt att hotet kommer att förverkligas inom nästa år;
Medelsannolikhet kommer sannolikt att förverkligas inom det närmaste året; Låg sannolikhet kommer sannolikt inte att förverkligas inom det närmaste året.
Påverkan är ett mått på mängden förlust eller skada på en tillgång:
High (High Impact): avstängning av kritiska affärsenheter, vilket resulterar i betydande skador på verksamheten, förlust av image eller förlust av betydande vinst;
Medium effekt: kortsiktigt avbrott i kritiska processer eller system som resulterar i begränsade ekonomiska förluster i en affärsenhet;
Låg (låg effekt): ett avbrott i arbetet som inte orsakar påtagliga ekonomiska förluster.
Bedömningen bestäms i enlighet med den regel som anges av riskmatrisen som visas i fig. 4.4. Den resulterande risknivåbedömningen kan tolkas enligt följande:
Nivå A riskrelaterade åtgärder (till exempel implementering av ett informationssäkerhetssystem) måste utföras omedelbart och utan att misslyckas.
Riskrelaterade åtgärder på nivå B måste vidtas.
Nivå C kräver övervakning av situationen (men det kanske inte är nödvändigt att vidta omedelbara åtgärder för att motverka hotet);
Nivå D krävs ingen åtgärd just nu.
Ris. 4.4. FRAP Risk Matrix
4. När hot har identifierats och en riskbedömning har gjorts bör motåtgärder identifieras för att eliminera risken eller minska den till en acceptabel nivå. Samtidigt måste man ta hänsyn till juridiska restriktioner som gör det omöjligt eller tvärtom föreskriver användning av vissa medel och skyddsmekanismer. För att bestämma den förväntade effekten kan en bedömning av samma risk göras, men förutsatt att det föreslagna SIS genomförs. Om risken inte reduceras tillräckligt kan det vara nödvändigt att använda en annan storlek. Tillsammans med definitionen av skyddsmedel är det nödvändigt att avgöra vilka kostnader som kommer att innebära dess förvärv och genomförande (kostnaderna kan vara både direkta och indirekta, se nedan). Dessutom är det nödvändigt att bedöma om verktyget i sig är säkert, om det skapar nya sårbarheter i systemet.
För att kunna använda kostnadseffektiva åtgärder måste en kostnads-nyttoanalys genomföras. I det här fallet är det nödvändigt att utvärdera inte bara kostnaden för att köpa lösningen, utan också kostnaden för att behålla dess drift. Kostnaderna kan inkludera:
kostnader för projektimplementering, inklusive ytterligare programvara och hårdvara;
en minskning av systemets effektivitet för att fullgöra dess huvuduppgifter, införandet av ytterligare policyer och förfaranden för att underhålla anläggningen, kostnaden för att anställa ytterligare personal eller omskola den befintliga.
5. Dokumenterar. När riskbedömningen är klar bör dess resultat dokumenteras i detalj i ett standardiserat format. Den resulterande rapporten kan användas för att definiera policyer, förfaranden, säkerhetsbudget etc.
OCTAVE -teknik
OCTAVE (Operationellt kritisk hot-, tillgångs- och sårbarhetsutvärdering)
risk i en organisation som utvecklats av Software Engineering Institute (SEI) vid Carnegie Mellon University. En fullständig beskrivning av tekniken finns tillgänglig på Internet på http://www.cert.org/octave. Hon ägnar sig också åt många vetenskapliga och vetenskapliga och tekniska artiklar.
Det speciella med denna teknik är att hela analysprocessen utförs av personal i organisationen, utan inblandning av externa konsulter. För detta skapas en blandad grupp, inklusive både tekniska specialister och chefer på olika nivåer, vilket möjliggör en omfattande bedömning av konsekvenserna för verksamheten av möjliga säkerhetsincidenter och utveckling av motåtgärder.
OCTAVE har tre analysfaser:
1. utveckla en hotprofil som är associerad med tillgången;
2. identifiering av infrastruktursårbarheter;
3. utveckling av säkerhetsstrategier och planer.
Hotprofilen innehåller referenser till tillgången, typen av tillgång till tillgången, hotets källa (aktör), typen av kränkning eller motiv (motiv), resultatet (utfallet) och länkar till beskrivningar av hotet i offentliga kataloger. Efter källtyp är hot i OCTAVE indelade i:
1. hot från en inkräktare som agerar via ett datanätverk;
2. hot från en inkräktare som använder fysisk åtkomst;
3. hot relaterade till systemfel;
4. andra.
Resultatet kan vara avslöjande, ändring, förlust / förstörelse av en informationsresurs eller frånkoppling. Förnekande av tjänsten
OCTAVE -tekniken föreslår att man använder "variantträd" när man beskriver en profil; ett exempel på ett sådant träd för hot av klass 1) visas i fig. 4.5. När du skapar en hotprofil rekommenderas att undvika ett överflöd av tekniska detaljer - detta är uppgiften för den andra fasen av studien. Huvuduppgiften för den första etappen är att beskriva kombinationen av hot och resurs på ett standardiserat sätt.
Antag att företaget har en informationsresurs (tillgång) databas (DB) för personalavdelningen (HR Database). Profilen som motsvarar hotet om informationsstöld av en anställd i företaget presenteras i tabell 4.3.
Tabell 4.3. Exempel på en hotprofil.
Tillgång |
HR -databas |
Åtkomsttyp (Access) |
Via datanätverk |
Hotkälla (skådespelare) |
Intern (insida) |
Typ av överträdelse (motiv) |
Avsiktlig |
Sårbarhet |
|
Resultat |
Avslöjande |
förstora bilden Ris. 4.5. Variantträd som används vid beskrivning av en profil
Den andra fasen av att studera systemet i enlighet med metoden för att identifiera infrastruktursårbarheter. Under denna fas bestäms infrastrukturen som stöder förekomsten av den tidigare tilldelade tillgången (till exempel om det är en databas för HR -avdelningen, för att arbeta med den behöver vi en server som basen ligger på, en arbetsstation för en anställd på HR -avdelningen etc.) och den miljön, som kan ge åtkomst till den (till exempel motsvarande segment i det lokala nätverket). Komponenter i följande klasser beaktas: servrar; nätverksutrustning; informationssäkerhetssystem; persondatorer; hemdatorer för "hemmabrukare" som arbetar på distans, men har tillgång till organisationens nätverk; mobila datorer; lagringssystem; trådlösa enheter; andra .
Teamet som utför analysen för varje nätverkssegment noterar vilka komponenter i det som kontrolleras för sårbarheter. Sårbarheter kontrolleras av säkerhetsskannrar på operativsystemnivå, nätverkssäkerhetsskannrar, specialiserade skannrar (för specifika webbservrar, DBMS, etc.), med hjälp av checklistor, testskript.
För varje komponent bestäms:
en lista över sårbarheter som måste elimineras omedelbart (sårbarheter med hög säkerhet);
lista över sårbarheter som måste elimineras inom en snar framtid (sårbarheter mellan medelvärden);
en lista över sårbarheter som inte kräver omedelbar åtgärd (svaga sårbarheter).
Baserat på etappens resultat utarbetas en rapport som anger vilka sårbarheter som upptäcktes, vilken inverkan de kan ha på tidigare tilldelade tillgångar, vilka åtgärder som bör vidtas för att eliminera sårbarheterna.
Utveckling av säkerhetsstrategier och planer är det tredje steget i systemforskningen. Det börjar med en riskbedömning, som bygger på rapporter från de två föregående etapperna. I OCTAVE ger riskbedömningen endast en uppskattning av den förväntade skadan, utan en uppskattning av sannolikheten. Skala: hög, mitten, låg. Ekonomisk skada, skada på företagets rykte, liv och
kunders och anställdas hälsa, skada som kan orsaka lagföring till följd av en incident. De värden som motsvarar varje gradering av skalan beskrivs (till exempel för ett litet företag är en ekonomisk förlust på $ 10 000 hög, för en större är den medelhög).
för medellång sikt;
uppgiftslistor för en nära framtid.
För att fastställa åtgärder för att motverka hot i metoden föreslås kataloger över medel.
Jag vill än en gång betona att OCTAVE, till skillnad från andra metoder, inte innebär att tredjeparts experter engageras för att studera IS-säkerhet, och all OCTAVE-dokumentation är offentligt tillgänglig och gratis, vilket gör metoden särskilt attraktiv för företag med en begränsad budget avsatt för informationssäkerhet. ...
RiskWatch -teknik
RiskWatch har utvecklat sin egen riskanalysmetodik och en serie mjukvaruverktyg där den till viss del implementeras.
RiskWatch -familjen innehåller mjukvaruprodukter för olika typer av säkerhetsrevisioner:
RiskWatch för fysisk säkerhet för analys av fysiskt skydd av IP;
RiskWatch för informationssystem för informationsrisker;
HIPAAWATCH för sjukvårdsindustrin för att bedöma överensstämmelse med kraven i US Healthcare Portability and Accountability Act (HIPAA), som främst är relevanta för medicinska institutioner som är verksamma i USA;
RiskWatch RW17799 för ISO 17799 för bedömning av IP: s överensstämmelse med kraven i den internationella standarden ISO 17799.
RiskWatch -metoden använder Annual Loss Expectancy (ALE) och Return on Investment (ROI) som kriterier för bedömning och hantering av risk. RiskWatch fokuserar på att noggrant kvantifiera förhållandet mellan säkerhetshotförluster och försvarskostnader. RiskWatch -produkten är baserad på en riskanalysmetodik som består av fyra steg.
Det första steget är definitionen av forskningsämnet. Det beskriver sådana parametrar som organisationstyp, sammansättningen av det system som studeras (i allmänna termer), de grundläggande kraven inom säkerhetsområdet. För att underlätta analytikerns arbete innehåller mallar som motsvarar typen av organisation ("kommersiellt informationssystem", "statligt / militärt informationssystem", etc.) listor över kategorier av skyddade resurser, förluster, hot, sårbarheter och skyddsåtgärder. Av dessa måste du välja de som faktiskt finns i organisationen (Figur 4.6).
Informationsgivning;
Direkta förluster (till exempel från förstörelse av utrustning genom brand); Liv och hälsa (personal, kunder, etc.);
Ändring av data;
Indirekta förluster (till exempel restaureringskostnader); Rykte.
Det andra steget är inmatning av data som beskriver systemets specifika egenskaper. Data kan matas in manuellt eller importeras från rapporter som genereras av datorverktygs sårbarhetsforskningsverktyg. I detta skede beskrivs i synnerhet resurser, förluster och klasser av incidenter i detalj. Incidentklasser erhålls genom att matcha förlustkategorin och resurskategorin.
För att identifiera möjliga sårbarheter används ett frågeformulär vars databas innehåller mer än 600 frågor. Frågorna är relaterade till resurskategorier.
Frekvensen för förekomst av vart och ett av de utvalda hoten, graden av sårbarhet och värde är också inställda.
Resurser. Om systemet har genomsnittliga årliga förekomstuppskattningar (LAFE och SAFE) för den valda hotklassen används de. Allt detta används i framtiden för att beräkna effekten av införandet av skyddsutrustning.
förstora bilden Ris. 4.6. Definiera kategorier av skyddade resurser
Det tredje steget är en kvantitativ riskbedömning. I detta skede beräknas en riskprofil och säkerhetsåtgärder väljs. Först upprättas kopplingar mellan resurser, förluster, hot och sårbarheter som identifierats i de tidigare stegen i studien. I grund och botten beräknas risken med hjälp av matematiska förväntningar på förluster för året. Till exempel, om kostnaden för en server är $ 150 000 och sannolikheten för att den kommer att förstöras av eld inom ett år är 0,01, då är den förväntade förlusten $ 1500.
Beräkningsformeln (m = p * v, där m är den matematiska förväntningen, p är sannolikheten för ett hot, v är kostnaden för en resurs) har genomgått några förändringar, på grund av att RiskWatch använder uppskattningar definierade av amerikanen NIST Institute, kallat LAFE och SAFE. LAFE (Local Annual Frequency Estimate) visar hur många gånger om året i genomsnitt ett visst hot realiseras på en given plats (till exempel i en stad). SAFE (Standard Annual Frequency Estimate) visar hur många gånger om året i genomsnitt ett visst hot realiseras i denna "del av världen" (till exempel i Nordamerika). En korrigeringsfaktor införs också, vilket gör det möjligt att ta hänsyn till att den skyddade resursen inte kan förstöras helt utan endast delvis som ett resultat av genomförandet av ett hot.
Formlerna (4.1) och (4.2) visar alternativen för att beräkna ALE -indikatorn:
Tillgångsvärde är värdet på tillgången i fråga (data, programvara, hårdvara, etc.); Exponeringsfaktor exponeringsfaktorn visar vilken del (i procent) av värdet
tillgången är i fara;
Frekvens förekomst av en oönskad händelse;
ALE är en uppskattning av de förväntade årliga förlusterna för en specifik tillgång från genomförandet av ett hot.
När alla tillgångar och effekter identifieras och samlas ihop blir det möjligt att bedöma den totala risken för IP som summan av alla särskilda värden.
Du kan ange "Årlig förekomsthastighet ARO" och "Single Loss Expectancy SLE", som kan beräknas som skillnaden mellan tillgångens ursprungliga värde och dess restvärde efter incidenten (även om denna uppskattningsmetod inte är tillämplig i alla fall, till exempel, är det inte lämpligt för att bedöma riskerna med att bryta sekretessbelagd information). För en separat kombination av hotresurs är formeln (4.2) tillämplig
Dessutom anses vad-om-scenarier beskriva liknande situationer, förutsatt att skyddsåtgärder finns. Genom att jämföra de förväntade förlusterna med och utan skyddsåtgärder är det möjligt att bedöma effekten av sådana åtgärder.
RiskWatch innehåller databaser med LAFE- och SAFE -betyg samt generella beskrivningar av olika typer av skyddsprodukter.
Return on investment (ROI) -indikatorn, som visar avkastningen på investeringen som gjorts under en viss tidsperiod, kvantifierar effekterna av genomförandet av åtgärder. Det beräknas med formeln:
Kostnader j kostnader för genomförande och underhåll j skyddsåtgärder;
Fördelar i en bedömning av de fördelar (dvs. den förväntade minskningen av förluster) som genomförandet av denna skyddsåtgärd medför.
NPV (Net Present Value) är nuvärdet.
Den fjärde etappen är att generera rapporter. Typer av rapporter: Korta sammanfattningar.
Kompletta och kortfattade rapporter om de punkter som beskrivs i steg 1 och 2.
Rapportera om kostnaderna för skyddade resurser och förväntade förluster från genomförandet av hot. Hot- och motåtgärder.
ROI -rapport (fragment i fig. 4.7). Säkerhetsrevisionsrapport.
http://www.intuit.ru/studies/courses/531/387/print_lecture/8996 |
CRAMM, RiskWatch och GRIF
Relevansen av uppgiften att säkerställa informationssäkerhet för företag
Idag råder det ingen tvekan om behovet av att investera i informationssäkerhet för moderna stora företag. Huvudfrågan för det moderna företaget är hur man bedömer den tillräckliga investeringsnivån i informationssäkerhet för att säkerställa maximal effektivitet av investeringar på detta område. För att lösa problemet finns det bara ett sätt - användningen av riskanalyssystem som gör det möjligt att bedöma de risker som finns i systemet och välja det optimala skyddsalternativet när det gäller effektivitet (beroende på förhållandet mellan de risker som finns i systemet och kostnader för informationssäkerhet).
För att bekräfta det brådskande med uppgiften att säkerställa affärssäkerhet kommer vi att använda FBI -rapporten för 2003. Uppgifterna samlades in från en undersökning bland 530 amerikanska företag (medelstora och stora företag).
Statistiken över IT -säkerhetsincidenter är oförlåtande. Enligt FBI attackerades 56% av de tillfrågade företagen 2003:
Förluster från olika typer av informationseffekter visas i följande graf:
Motivering av behovet av investeringar i företagets informationssäkerhet
Enligt statistik är det största hindret för att vidta åtgärder för att säkerställa informationssäkerhet i ett företag två skäl:
- budgetbegränsning;
- brist på stöd från ledningen.
Båda orsakerna härrör från ledningens missförstånd om problemets svårighetsgrad och svårigheten för IT -chefen att motivera varför det är nödvändigt att investera i informationssäkerhet. Ofta tenderar många att tro att huvudproblemet är att IT-chefer och chefer talar olika språk- tekniskt och ekonomiskt, men trots allt har IT-specialister ofta själva svårt att bedöma vad de ska lägga pengar på och hur mycket det krävs för att säkerställa större säkerhet. företagssystem så att dessa kostnader inte går till spillo eller överdriver.
Om en IT -chef tydligt förstår hur mycket pengar ett företag kan förlora vid hot, vilka platser i systemet som är mest sårbara, vilka åtgärder som kan vidtas för att öka säkerhetsnivån och samtidigt inte spendera extra pengar, och allt detta dokumenteras, då är lösningen på problemet övertygad om att ledningen ska vara uppmärksam och avsätta medel för informationssäkerhet blir mycket mer verklig.
För att lösa detta problem utvecklades mjukvarusystem för analys och kontroll av informationsrisker: British CRAMM (Insight Consulting company), American RiskWatch (företag) och ryska GRIF (företag). Låt oss vidare överväga dessa metoder och mjukvarusystem som bygger på deras bas.
CRAMM
Den brittiska regeringens riskanalys- och hanteringsmetod utvecklades av den brittiska säkerhetstjänsten på uppdrag av den brittiska regeringen och antogs som en statlig standard. Det har använts sedan 1985 av myndigheter och kommersiella organisationer i Storbritannien. CRAMM har nu blivit populärt över hela världen. Insight Consulting Limited utvecklar och underhåller en mjukvaruprodukt med samma namn som implementerar CRAMM -metoden.
Vi har valt CRAMM -metoden för en mer detaljerad övervägande, och detta är inte av misstag. För närvarande är CRAMM ett ganska kraftfullt och mångsidigt verktyg som, förutom riskanalyser, kan lösa ett antal andra revisionsuppgifter, inklusive:
- genomföra en IP -undersökning och utfärda medföljande dokumentation i alla skeden av dess genomförande;
- revision i enlighet med kraven i den brittiska regeringen, samt BS 7799: 1995 - Code of Practice for Information Security Management BS7799;
- utveckling av en säkerhetspolicy och en kontinuitetsplan.
Kärnan i CRAMM, som kombinerar kvantitativa och kvalitativa analysmetoder, är en integrerad strategi för riskbedömning. Metoden är mångsidig och lämplig för både stora och små organisationer, både statliga och kommersiella. Versioner av CRAMM -programvara som riktar sig till olika typer av organisationer skiljer sig från varandra i sina kunskapsbaser (profiler). För kommersiella organisationer finns en kommersiell profil (kommersiell profil), för statliga organisationer - en statlig profil (statlig profil). Den offentliga versionen av profilen möjliggör också granskning för att uppfylla kraven i den amerikanska standarden ITSEC ("Orange Book").
Kompetent användning av CRAMM -metoden gör att du kan få mycket goda resultat, varav det viktigaste kanske är möjligheten till ekonomisk motivering av organisationens kostnader för att säkerställa informationssäkerhet och verksamhetskontinuitet. En ekonomiskt sund riskhanteringsstrategi sparar i slutändan pengar genom att undvika onödiga kostnader.
CRAMM innebär att hela proceduren delas in i tre sekventiella steg. Uppgiften för det första steget är att svara på frågan: "Är det tillräckligt att skydda systemet med hjälp av grundläggande verktyg som implementerar traditionella säkerhetsfunktioner, eller är det nödvändigt att göra en mer detaljerad analys?" I det andra stadiet identifieras risker och deras storlek bedöms. I det tredje steget avgörs frågan om val av lämpliga motåtgärder.
CRAMM -metoden för varje steg definierar en uppsättning initialdata, en sekvens av aktiviteter, frågeformulär för intervjuer, checklistor och en uppsättning rapporteringsdokument.
Om, enligt resultaten av första stadiet, fann man att resursernas kritikalitet är mycket låg och de befintliga riskerna kommer säkerligen inte att överstiga en viss grundnivå, då ställs ett minimum av säkerhetskrav på systemet. I det här fallet utförs de flesta aktiviteterna i det andra steget inte, men övergången till det tredje steget utförs, där en standardlista över motåtgärder genereras för att säkerställa att de grundläggande uppsättning säkerhetskrav uppfylls.
På andra fasen analyserar säkerhetshot och sårbarheter. Revisorn får de första uppgifterna för bedömning av hot och sårbarheter från behöriga representanter för organisationen under lämpliga intervjuer. Specialiserade frågeformulär används för att genomföra intervjuer.
På tredje etappen problemet med riskhantering är löst, vilket består i valet av lämpliga motåtgärder. Beslutet att införa nya säkerhetsmekanismer i systemet och modifiera gamla fattas av organisationens ledning, med beaktande av de därmed sammanhängande kostnaderna, deras acceptabilitet och den yttersta nyttan för verksamheten. Revisorns uppgift är att motivera de rekommenderade motåtgärderna för organisationens ledning.
Om ett beslut fattas att införa nya motåtgärder och modifiera gamla kan revisorn få i uppdrag att utarbeta en plan för genomförandet av nya motåtgärder och bedöma effektiviteten av deras användning. Lösningen på dessa problem ligger utanför ramen för CRAMM -metoden.
Det konceptuella diagrammet för en CRAMM -undersökning visas i diagrammet:
TILL nackdelarna med CRAMM -metoden inkluderar följande:
- Användningen av CRAMM -metoden kräver särskild utbildning och höga kvalifikationer hos revisorn.
- CRAMM är mycket mer lämpad för granskning av befintlig IS i driftsfasen än för IS i utvecklingsstadiet.
- CRAMM -revision är en ganska mödosam process och kan kräva månaders kontinuerligt arbete av revisorn.
- Verktygssatsen för CRAMM -programvara genererar en stor mängd pappersdokumentation, vilket inte alltid är användbart i praktiken.
- CRAMM tillåter dig inte att skapa dina egna rapportmallar eller ändra befintliga.
- Möjligheten att göra tillägg till kunskapsbasen CRAMM är inte tillgänglig för användare, vilket medför vissa svårigheter att anpassa denna metod till behoven hos en viss organisation.
- CRAMM -programvara finns endast på engelska.
- Hög licens kostnad.
RiskWatch
programvara RiskWatch utvecklat av ett amerikanskt företag är ett kraftfullt verktyg för riskanalys och hantering. RiskWatch -familjen innehåller mjukvaruprodukter för olika typer av säkerhetsrevisioner. Den innehåller följande verktyg för revision och riskanalys:
- RiskWatch för fysisk säkerhet - för fysiska metoder för IP -skydd;
- RiskWatch för informationssystem - för informationsrisker;
- HIPAA -WATCH for Healthcare Industry - att bedöma överensstämmelse med kraven i HIPAA -standarden;
- RiskWatch RW17799 för ISO17799 - för bedömning av kraven i ISO17799 -standarden.
RiskWatch -metoden använder Annual Loss Expectancy (ALE) och Return on Investment (ROI) som kriterier för bedömning och hantering av risk. RiskWatch -serien av programvaruprodukter har många fördelar.
RiskWatch hjälper dig att genomföra riskanalyser och göra välgrundade val om åtgärder och åtgärder. Tekniken som används i programmet innehåller fyra faser:
Fas ett- definition av ämnet för forskning. I detta skede beskrivs organisationens allmänna parametrar - typ av organisation, sammansättningen av det system som studeras, grundläggande säkerhetskrav. Beskrivningen är formaliserad i ett antal underklausuler som du kan välja för en mer detaljerad beskrivning eller hoppa över.
Var och en av de valda objekten beskrivs i detalj nedan. För att underlätta analytikerns arbete innehåller mallarna listor över kategorier av skyddade resurser, förluster, hot, sårbarheter och skyddsåtgärder. Av dessa måste du välja de som faktiskt finns i organisationen.
Andra fasen- inmatning av data som beskriver specifika egenskaper hos systemet. Data kan matas in manuellt eller importeras från rapporter som genereras av datorverktygs sårbarhetsforskningsverktyg. I detta skede är resurser, förluster och incidentklasser detaljerade.
Incidentklasser erhålls genom att matcha förlustkategorin och resurskategorin. För att identifiera möjliga sårbarheter används ett frågeformulär vars databas innehåller mer än 600 frågor relaterade till resurskategorier. Korrigering av frågor, radering eller tillägg av nya är tillåtet. Frekvensen för förekomst av vart och ett av de utvalda hoten, graden av sårbarhet och värdet av resurser är inställda. Allt detta används i framtiden för att beräkna effektiviteten av implementeringen av skyddsutrustning.
Tredje fasen- riskbedömning. Först upprättas kopplingar mellan resurser, förluster, hot och sårbarheter som identifierats i de föregående stadierna. För risker beräknas de matematiska förväntningarna på förluster för året med hjälp av formeln:
m = p * v, där p är frekvensen för hotets förekomst under året, v är kostnaden för den resurs som hotas.
Till exempel, om kostnaden för en server är $ 150 000 och sannolikheten för att den kommer att förstöras av en brand inom ett år är 0,01, då är de förväntade förlusterna $ 1500. Dessutom är "tänk om ..." -scenarier övervägas, vilket gör det möjligt att beskriva liknande situationer om de genomförs. skyddsmedel. Genom att jämföra de förväntade förlusterna med och utan skyddsåtgärder är det möjligt att bedöma effekten av sådana åtgärder.
Fjärde fasen- generering av rapporter. Typer av rapporter: korta sammanfattningar; fullständiga och sammanfattande rapporter om de element som beskrivs i steg 1 och 2; rapportera om kostnaderna för skyddade resurser och förväntade förluster från genomförandet av hot; rapportera om hot och motåtgärder; säkerhetsrevisionsrapport.
Nackdelar med RiskWatch kan tillskrivas:
- Denna metod är lämplig om du behöver genomföra en riskanalys på mjukvaru- och hårdvarunivå, utan att ta hänsyn till organisatoriska och administrativa faktorer. De resulterande riskbedömningarna (den matematiska förväntningen om förluster) är långt ifrån att uttömma förståelsen av risk ur systematisk synvinkel - metoden tar inte hänsyn till en integrerad strategi för informationssäkerhet.
- RiskWatch -programvaran är endast tillgänglig på engelska.
- Hög licenskostnad - från $ 15 000 per plats för ett litet företag och från $ 125 000 för en volymlicens.
Nacke
För att göra en fullständig analys av informationsrisker är det först och främst nödvändigt att bygga en komplett modell av informationssystemet ur informationssäkerhetssynpunkt. För att lösa detta problem, i motsats till de västerländska riskanalyssystemen på marknaden, som är ganska krångliga och ofta inte innebär oberoende användning av IT -chefer och systemadministratörer som är ansvariga för att säkerställa säkerheten i företagens informationssystem, har den en enkel och intuitivt gränssnitt för användaren. Bakom den externa enkelheten ligger dock en komplex riskanalysalgoritm, som tar hänsyn till mer än hundra parametrar, vilket möjliggör en noggrann bedömning av de risker som finns i informationssystemet baserat på analysen av funktionerna i det praktiska genomförandet av informationen systemet.
GRIF-systemets huvudsakliga uppgift är att göra det möjligt för IT-chefen att oberoende (utan inblandning av experter från tredje part) bedöma risknivån i informationssystemet och effektiviteten i den befintliga praxisen för att säkerställa företagets säkerhet, som samt ge möjlighet att övertyga företagets ledning om behovet av att investera i sin informationssäkerhet.
I den första etappen av GRIF -metoden görs en undersökning av IT -chefen för att fastställa en fullständig lista över informationsresurser som är av värde för företaget.
I andra etappen en undersökning av IT -chefen görs för att kunna ingå i GRIF -systemet alla typer av information som är värdefull för företaget. De inmatade grupperna av värdefull information bör placeras av användaren på informationslagringsobjekten som specificerades i föregående steg (servrar, arbetsstationer, etc.). Slutfasen är en indikation på skador för varje grupp värdefull information som ligger på relevanta resurser, för alla typer av hot.
I den tredje etappen godkänner definitionen av alla typer av användargrupper med en indikation på antalet användare i varje grupp. Därefter registreras vilka informationsgrupper om resurserna som var och en av användargrupperna har tillgång till. Sammanfattningsvis bestäms typerna (lokal och / eller fjärrkontroll) och rättigheter (läs, skriv, radera) för användaråtkomst till alla resurser som innehåller värdefull information.
I fjärde etappen en undersökning av IT -chefen görs för att fastställa hur man skyddar värdefull information om resurser. Dessutom införs information i systemet om engångskostnaderna för att köpa alla använda informationssäkerhetsverktyg och de årliga kostnaderna för deras tekniska support, samt de årliga kostnaderna för att underhålla företagets informationssäkerhetssystem.
I slutskedet det är nödvändigt att svara på frågor om den säkerhetspolicy som implementeras i systemet, vilket gör att vi kan bedöma systemets verkliga säkerhetsnivå och detaljera riskbedömningarna.
Förekomsten av informationsskyddsverktyg, som noterades i det första skedet, gör i sig ännu inte systemet säkert vid otillräcklig användning och frånvaron av en omfattande säkerhetspolicy som tar hänsyn till alla aspekter av informationsskydd, inklusive frågor om skydd, fysisk säkerhet, personalsäkerhet, verksamhetskontinuitet, etc.
Som ett resultat av att alla åtgärder utförs i dessa skeden kommer utmatningen att vara en komplett modell av informationssystemet ur informationssäkerhetssynpunkt, med hänsyn tagen till den faktiska uppfyllelsen av kraven i den integrerade säkerhetspolicyn, vilket kommer att göra det möjligt att gå vidare till en programmatisk analys av inmatade data för att få en omfattande riskbedömning och generera en slutrapport.
Detaljerad systemrapport, som ger en bild av eventuella skador från incidenter, är redo att presenteras för företagets ledning:
Till nackdelarna med GRIF kan tillskrivas:
- Brist på anslutning till affärsprocesser (planeras i nästa version).
- Oförmågan att jämföra rapporter i olika skeden av genomförandet av en uppsättning säkerhetsåtgärder (planerad i nästa version).
- Oförmåga att lägga till företagsspecifika krav på säkerhetspolicy.
- Modern teknik för riskanalys i informationssystem (PCWEEK N37 "2001), Sergey Simonov
- Material från Jet Infosystems -företaget
- Material från företaget "Digital säkerhet"
Volgograd Institute of Management
RANEPA filial
Specialiserad
analysprogram
finansiella risker
företag
Genomförde
elev i ME-100-gruppen
Shahinyan Arpi Armenovna
risk för monetära förluster, förekomsten
som beror på vissa faktorer
ekonomiska livet. Risk för förekomst
sådana problem är främst
finansiella risker. Syftet med arbetet är att hitta
specialiserade program för att identifiera
företagets ekonomiska risker För ryska företag, oavsett form
egendom och verksamhetsområden, det mest typiska
är följande risker:
- eventuell förlust (död), brist eller skada
företagets fasta eller cirkulerande tillgångar;
- uppkomsten av civilrättsligt ansvar
åtaganden för skulder som uppstår
på grund av skada på liv, hälsa och
tredje parts egendom eller omgivande natur
miljö;
- eventuella förluster eller att de förväntade inte tas emot
vinst på grund av förändrade driftsförhållanden
företag på grund av omständigheter utanför hans kontroll;
- överträdelse av sina skyldigheter av motparter,
partners och andra De mest utbredda är
programvara från följande företag:
-Alt (paket Alt-Invest, Alt-Invest
Summor, Alt-Leasing, Alt-Finance, AltPlan, Alt-Forecast, Alt-Expert, etc.);
InEk (paket Investor, Analyst, etc.). Trots de olika programvaruprodukter som erbjuds, avsedda för
automatisering av att lösa problemen med att utveckla affärsplaner för investeringsprojekt, de
har mycket gemensamt. Detta bestäms av närvaron av etablerade
standardmetoder för att beräkna alla indikatorer och kriterier för ett investeringsprojekt,
anges i "Metodiska rekommendationer för bedömning av investeringens effektivitet
projekt och deras urval för finansiering ”.
Detta, trots den stora variationen av former för presentation av utdatainformation, dess
innehållet innehåller vanligtvis samma data om de viktigaste ekonomiska
egenskaper hos investeringsprojektet, som är baserade på kassaflöde
projekt. Dessa egenskaper inkluderar: uppgifter om resultat och förlust; framåtblickande
balans; indikatorer som återspeglar företagets ekonomiska situation (koefficienter
lönsamhet, solvens, likviditet); Resultatindikatorer
investeringar (NPV, IRR, PBP, PI, etc.).
Project Expert-familjen av mjukvaruprodukter, i synnerhet Project Expert-7-versionen,
förutom att analysera projektets känslighet, utför riskberäkningar med hjälp av scenariometoden
analys. Användningen av simuleringsmetoder (Monte Carlo -metoden) kan avsevärt öka tillförlitligheten för de erhållna analysresultaten.
projektrisk. På tal om möjligheten att använda vissa paket bör man
notera sätten att konstruera var och en av dem - öppna, stängda,
kombinerad. Ett exempel på paket med öppen källkod är programvara
utvecklingen av Alt -företaget. Användaren har förmågan att göra
förändringar i beräkningsalgoritmer som kan fastställas
detaljerna i de uppgifter som ska lösas. Med otillräckliga kvalifikationer
användaren kan sådana ändringar leda till fel och snedvrida
det faktiska läget. Ett exempel på slutna paket är
mjukvaruutveckling av ProInvestConsulting, i synnerhet
Paketfamiljen Project Expert -familjen. Här visas mjukvaruprodukten i
formen av den så kallade "svarta lådan". Vid sin ingång, initialen
information, vid utmatningen - resultaten av beräkningar av affärsplanen. Användare
har inte möjlighet att ändra beräkningsalgoritmen. Sådana program är det inte
ställa höga krav på användarens kvalifikationer. Det är därför,
valet av ett särskilt paket beror på användaren, hans kvalifikationer och
möjligheter både ekonomiskt och tillgängligheten av lämpliga
personal. Å ena sidan utgör risken en fara för
entreprenörsverksamhet, men å andra sidan, liksom
konkurrens, har en rensande funktion, d.v.s. hjälper
marknaden för att rena sig från icke-mobila organisationer, bidrar
med rätt tillvägagångssätt för risk, ekonomisk utveckling.
Man måste komma ihåg att man inte får undvika risk, utan kunna
minska sannolikheten för att det inträffar, vilket är möjligt med
korrekt ledningsarbete som representerar
är en uppsättning aktiviteter som syftar till
prognoser och tidig upptäckt
negativa effekter på ämnet
entreprenörsverksamhet, utveckling och genomförande
åtgärder för att neutralisera dem (riskanalys och bedömning,
försäkring etc.).
, ("", "", ""). , FRAP; (,). RiskWatch; , (CRAMM, Microsoft ..).
CRAMM - 80-. (CCTA). CRAMM ,. ,. CRAMM, (profiler). (Kommersiell profil), - (Regeringens profil). , ITSEC (""). RAMM. ,. :,. :,. ... ... ,. ...
CRAMM. :
; - , ; ; - (), ; , : , .
; ; ; , ; ; , ; , ; .
1 10. CRAMM ",":
2 - $1000; 6 - $1000 $10 000; 8 - $10 000 $100 000; 10 - $100 000.
(3) , () . , . .
,. ... , (, ..). ... CRAMM 36 ,. ,. ,. 17.,. CRAMM. ,. ,:
(. 4.1); (. 4.2); (. 4.1).
4.1. (). , 10 3 4.2. (). , 0,33 , 0,33 0,66 , 0,66
, " ". . 4.1 . , - (), - ().
4.1. (. Årlig förlust av förväntan) CRAMM ,. 4.2 ().
4.2. , (. 4.3)
4.3. ... ,. CRAMM ,. : 300; 1000; 900 ,. , CRAMM -, ().
FRAP "Facilitated Risk Analysis Process (FRAP)" Peltier and Associates (http://www.peltierassociates.com/) (Thomas R. Peltier) (,). ,. -,. :. , (. kostnad / nyttoanalys) ,. ... , FRAP. 1., (). 2 .. : o (checklistor) ,;
; ,; o "",. 3.,. ,. , .o
,. , (). ... (Sannolikhet): o o o
(Hög sannolikhet) -,; (Medelsannolikhet) -; (Låg sannolikhet) -,.
(Effekt) -,: o
(Stor påverkan):,; (Medium effekt) :, -; (Liten påverkan):,.
4.4. : o o o
A - (,); B -; C - (,);
4.4. FRAP 4. ,. ,. ,. , (, -.). ,. ,. ,. : o o
; ... 5.. ,. , .. o o
OCTAVEOCTAVE (Operational Critical Threat, Asset, and Vulnerability Evaluation) -, Software Engineering Institute (SEI) (Carnegie Mellon University). www.cert.org/octave. -. ,. ,. OCTAVE: 1.,; 2 .; 3 .. (tillgång), (tillgång), (aktör), (motiv), (utfall). , OCTAVE: 1., -,; 2., -,; 3.,; 4.. (avslöjande), (ändring), (förlust / förstörelse). (avbrott).
OCTAVE "", 1). 4.5. -. -. , () - () (HR -databas). , 4.3. 4.3. ... (Tillgång) (HR -databas) (åtkomst) (nätverk) (skådespelare) (insida) (motiv) (avsiktligt) (sårbarhet) (utfall) (avslöjande) (katalogreferens) -
4.5. , -. , (, ..), (,). :; ; ; ; "",; ; ; ; ... ,. , (web- ,.), (checklistor) ,. :
, (sårbarheter med hög svårighetsgrad); , (sårbarheter med medelhög svårighetsgrad); , (sårbarheter med låg svårighetsgrad).
OKTAV,. : (hög), (mitten), (låg). ,. , (, $ 10000 -, -). ,:
OCTAVE, OCTAVE ,.
RiskWatch RiskWatch ,. Riskvakt:
RiskWatch för fysisk säkerhet -; Riskur för informationssystem -; HIPAA -WATCH for Healthcare Industry - HIPAA (US Healthcare Insurance Portability and Accountability Act); RiskWatch RW17799 för ISO 17799 - ISO 17799.
RiskWatch (Annual Loss Expectancy, ALE) (Return on Investment, ROI). RiskWatch. RiskWatch ,. -. , () ,. , ("", "/" ..) ,. , (. 4.6). ,:
; ; (,); (, ..); ; (,); .
600. ... ,. (LAFE SAFE) ,. ...
4.6. -. ,. ,. ,. , $ 150.000, 0.01, $ 1.500. (m = p * v, m -, p -, v -), RiskWatch NIST, LAFE SAFE. LAFE (lokal årlig frekvensuppskattning) -, (,). SAFE (Standard årlig frekvensuppskattning) -, "" (,). ,
,. (4.1) (4.2) ALE: (4.1):
Tillgångsvärde - (, ..); Exponeringsfaktor - -, () ,; Frekvens -; ALE -.
,. "" (Årlig förekomstfrekvens - ARO) "" (Förlust med enstaka förlust - SLE), (,). , - (4.2) (4.2) ":" ,. ... RiskWatch LAFE SAFE ,. ROI (Return on Investment -) ,. : (4.3)
Costsj - j -; Benefitsi - (..) ,; NPV (nuvärde) -.
12.. ... ROI (-. 4.7). ...
4.7. ROI ,. ,.
Microsoft.
, , :1. . . 2. . . 3. . .
. . . (. *8] , -). .
, . (,). , (,). -. - . , . , :1. () - , . , . 2. () - , . , . , . 3. () - , . ,
. . . . . .
. . . - . . .
(. 4.8). (Excel) Microsoft. ,. (-,).
4.10 .
. ; . ; . .
(" ") , :
; : , ; : .
4.13. - . 4.14. .
4.14. . , . , 100 20%, . ,
: , . . 4.15 .
4.15. " ", . - . . . . 1 5. , . 4.16, (. 4.17). , .
4.17. . 4.18 . .
4.20. . , - ": 5, : 1", - ": 5, : 5".
4,20. (SRMGTool3)
. (1 10) (0 10). 0 100. "", "" "" , . 4.21
... ... (förväntad singelförlust - SLE). (årlig förekomst - ARO). (årlig förlustförväntning - ALE).
. . . . . . . . .
... ,. ,. ... ... ,. , (- () tjugo%). ... (SLE). ... 4,22.
4.23. ()
(ARO). ARO. 4,24
(ALE) SLE ARO.
ALE. ,. , -.
(, ..); (,) ; ; , ; , .
