Министерство образования и науки Российской Федерации Казанский национальный

Министерство образования и науки Российской Федерации Казанский национальный исследовательский технический университет им. А.Н. Туполева Управление рисками Аникин Игорь Вячеславович web: sib.kai.ru ftp: 10.116.1.111 Казань 2012

Литература Петренко С.А., Симонов С.В. Управление информационными рисками. Экономически оправданная безопасность. М.: АйТи, 2004. Петренко С.А., Петренко А.А. Аудит безопасности INTRANET. М: АйТи, 2002. С.Симонов. Технологии и инструментарий для управления рисками. Jet Info, № 2, 2003. С. Симонов. Анализ рисков, управления рисками. Jet Info, № 1, 1999. С. Петренко, С. Симонов, Р. Кислов. Информационная безопасность: экономические аспекты. Jet Info, № 10, 2003. В.В. Ковалев. Методы оценки инвестиционных проектов. М.: Финансы и статистика, 2003. NIST 800-30 “Risk Management Guide for Information Technology Systems”. www.nist.gov Руководство по управлению рисками информационных систем Бизнес-ориентированное управление ИТ на современном предприятии. Jet Info № 5, 2005.

Общие сведения, понятия, методы и средства защиты компьютерной информации

Актуализация предмета защиты информации Информация как товар. Резкое увеличение объемов обрабатываемой информации и применяемых информационных технологий. Повсеместная автоматизация бизнес-процессов. Необходимость обеспечения всех свойств безопасности информации, а не только конфиденциальности.

Актуализация предмета защиты информации Резкое увеличение количества субъектов информационных отношений. Увеличение количества каналов передачи и утечки информации. Перетекание предмета ЗИ из защиты информации ограниченного доступа в защиту информационных технологий. Ужесточение требований государства в области защиты информации.

Безопасность автоматизированных систем Безопасность автоматизированных систем обработки информации (АСОИ) – их защищенность от случайного или преднамеренного вмешательства в процесс штатного их функционирования, а также от попыток хищения, модификации или разрушения их компонентов.

Санкционированный и несанкционированный доступ

Тип доступа Тип доступа Санкционированный доступ к информации Несанкционированный доступ (НСД) к информации

Свойства безопасности информации Конфиденциальность - это ее свойство быть известной только законным субъектам системы. Целостность - ее свойство быть неизменной при функционировании системы в условиях случайных или преднамеренных искажений или разрушающих воздействий. Доступность - ее свойство быть своевременно предоставленной для законных субъектов системы, готовность служб к обслуживанию запросов.

Безопасность информации: состояние защищенности, при котором обеспечены ее конфиденциальность, доступность и целостность 13

Национальный стандарт Российской Федерации ГОСТ Р 50922-2006 "Защита информации. Основные термины и определения" 5

Объект защиты информации: информация или носитель информации, или информационный процесс, которые необходимо защищать в соответствии с целью защиты информации. Защищаемая информация: информация, являющаяся предметом собственности и подлежащая защите в соответствии с требованиями правовых документов или требованиями, устанавливаемыми собственником информации. 14

Носитель защищаемой информации: физическое лицо или материальный объект, в том числе физическое поле, в котором информация находит свое отражение в виде символов, образов, сигналов, технических решений и процессов, количественных характеристик физических величин. Защищаемая информационная система: информационная система, предназначенная для обработки защищаемой информации с требуемым уровнем ее защищенности. 15

Угроза (безопасности информации): совокупность условий и факторов, создающих потенциальную или реально существующую опасность нарушения безопасности информации. Источник угрозы безопасности информации: субъект (физическое лицо, материальный объект или физическое явление), являющийся непосредственной причиной возникновения угрозы безопасности информации. 16

Классификация угроз ИБ Угрозы нарушения Конфиденциальности; Целостности и подлинности; Доступности. Угрозы Случайные Преднамеренные

Классификация угроз ИБ Угрозы Антропогенные Техногенные Санкционированные средства Несанкционированные средства Стихийные

Классификация угроз ИБ Угрозы Источник которых расположен вне контролируемой зоны, на которой находится АС Источник которых расположен в пределах контролируемой зоны, на которой находится АС Источник которых имеет доступ к терминалам АС Источник которых расположен в АС.

Классификация угроз ИБ Угрозы Пассивные Активные Угрозы Направленные на использование прямого стандартного пути доступа к ресурсам АС Направленные на использование скрытого нестандартного пути доступа к ресурсам АС

Классификация угроз ИБ Угрозы доступа к информации на внешних запоминающих устройствах Угрозы доступа к информации в оперативной памяти Угрозы доступа к информации, циркулирующих в линиях связи Угроза доступа к информации, отображаемой на терминальных устройствах

Классификация источников угроз

Рейтинг опасности внутренних угроз ИБ

Активы Актив - все, что представляет ценность с точки зрения организации и является объектом защиты. Обычно рассматриваются следующие классы активов: оборудование (физические ресурсы), в том числе носители информации. информационные ресурсы (базы данных, файлы, все виды документации, формы прикладной системы); функциональные задачи (сервисы), реализуемые в корпоративной информационной системе; сотрудники компании, получающие доступ к информационным ресурсам.

Уязвимости Уязвимость – слабость системы защиты, делающая возможной реализацию угроз информационной безопасности. Слабости физического носителя. Слабости процедур. Слабости персонала. Слабости администрирования. Слабости аппаратно-программного обеспечения.

Риск информационной безопасности Под риском информационной безопасности понимаются возможные потери собственника или пользователя информации и поддерживающей инфраструктуры связанные с реализацией некоторой угрозы. Риск (R) – функция вероятности (P) реализации отдельным источником угрозы (T) отдельной потенциальной уязвимости (V) и результирующего влияния (I) этого враждебного события на организацию или индивида.

Виды каналов утечки информации Визуальный Акустический канал Радиоканал Электромагнитный канал Виброакустический канал Информационные каналы утечки

Методы защиты информации правовые методы защиты информации; организационно-административные методы защиты информации технические методы защиты информации; криптографические методы защиты информации; физические методы защиты информации.

Правовая защита информации Правовая защита информации: защита информации правовыми методами, включающая в себя разработку законодательных и нормативных правовых документов (актов), регулирующих отношения субъектов по защите информации, применение этих документов (актов), а также надзор и контроль за их исполнением.

Организационно-административные методы Установление элементарного порядка с точки зрения работы с защищаемой информацией; Предусматривают установление режимных, временных, территориальных, пространственных ограничений на условия использования и распорядок работы объекта защиты. К объектам защиты информации могут быть отнесены: охраняемая территория, здание (сооружение), выделенное помещение, информация и (или) информационные ресурсы объекта информатизации.

Организационно-административные методы разработка организационно-распорядительных документов (политик, положений, регламентов, инструкций), регламентирующих процессы обеспечения информационной безопасности; совокупность действий при подборе и подготовке персонала (проверка новых сотрудников, ознакомление их с порядком работы с конфиденциальной информацией, с мерами ответственности за нарушение правил ее обработки и т.д.); организация надежного пропускного режима, организация контролируемой зоны.

Организационно-административные методы организация учета, хранения, использования и уничтожения документов и носителей с конфиденциальной информацией; распределение реквизитов разграничения доступа (паролей, и т.п.); организация скрытого контроля за работой персонала АС; совокупность действий при проектировании, разработке, ремонте и модификации оборудования и программного обеспечения (сертификация используемых технических и программных средств, строгое санкционирование, рассмотрение и утверждение всех изменений, проверка на удовлетворение требованиям защиты, документальная фиксация изменений и т.п.).

Техническая защита информации Техническая защита информации: защита информации, заключающаяся в обеспечении некриптографическими методами безопасности информации, подлежащей защите в соответствии с действующим законодательством, с применением технических, программных и программно-технических средств.

Криптографическая защита информации Криптографическая защита информации: защита информации с помощью ее криптографического преобразования.

Физическая защита информации Физическая защита информации: защита информации путем применения совокупности средств, создающих препятствия для проникновения или доступа неуполномоченных физических лиц к объекту защиты.

Система защиты информации: совокупность органов и (или) исполнителей, используемой ими техники защиты информации, а также объектов защиты информации, организованная и функционирующая по правилам и нормам, установленным соответствующими документами в области защиты информации. Политика безопасности (информации в организации): совокупность документированных правил, процедур, практических приемов или руководящих принципов в области безопасности информации, которыми руководствуется организация в своей деятельности 12

Принципы проектирования системы защиты информации Системности и комплексности. Непрерывности защиты. Разумной достаточности. Открытости механизмов и алгоритмов защиты. Минимизации привилегий.

Кривая затрат на информационную безопасность. Связь затрат на информационную безопасность и уровень достигаемой защищенности.

Классификация затрат на ИБ затрат на предупредительные мероприятия; затрат на контроль; затрат на восполнение потерь (внешних и внутренних).

Взаимосвязь между затратами на безопасность и уровнем достигаемой защищенности

Стоимостные характеристики ИТ-проектов TCO (Total Cost Ownership) – совокупная стоимость владения информационной системой, включающая в себя все затраты, как прямые, так и косвенные

Направления снижения ТСО Основными направлениями снижения ТСО можно назвать: внедрение аутсорсинга;. максимальную централизацию обработки и хранения информации, централизация средств администрирования; уменьшение числа специализированных элементов (прежде всего компьютеров с прикладным ПО); перенос прикладного ПО на серверы приложений; обеспечение возможности входа в систему с любой точки; обеспечение единообразного доступа, как по внутренней, так и по внешней телекоммуникационным сетям.

Эффективность СЗИ через риск

Подходы к обеспечению информационной безопасности Обеспечение безопасности на базовом уровне Анализ, оценка и управление рисками ИБ (обеспечение безопасности на продвинутом уровне).

Задачи обеспечения безопасности на базовом уровне Убедиться, что информационные системы удовлетворяют всем обязательным требованиям стандартов и нормативных документов Убедиться, что информационные системы защищены от всех основных видов угроз

Задачи анализа, оценки и управления рисками ИБ Анализ угроз, оценка их вероятности возникновения и возможного ущерба Определение актуальных угроз и управление рисками ИБ

Итеративный процесс оценки и уменьшения рисков ИБ

Обеспечение базового уровня безопасности Руководящий документ ФСТЭК «Автоматизированные системы. Защита от несанкционированного доступа. Классификация автоматизированных систем и требования и защите информации» ГОСТ Р ИСО/МЭК 17799-2005. Информационная технология. Практические правила управления информационной безопасностью. NIST 800-53 «Recommended Security Controls for Federal Information Systems» BSI\IT Baseline Protection Catalogues. ГОСТ Р ИСО/МЭК 15408-2002. Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий.

РД «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации»

КЛАССИФИКАЦИЯ АС П Е Р В А Я Многопользовательские АС, с информацией разного уровня конфиденциальности. Пользователи имеют разные права доступа к информации. В Т О Р А Я Многопользовательские АС, с информацией разного уровня конфиденциальности. Пользователи имеют одинаковые права доступа к информации. Т Р Е Т Ь Я Однопользовательская АС, с информацией одного уровня конфиденциальности. 9 КЛАССОВ ЗАЩИЩЕННОСТИ АВТОМАТИЗИРОВАННОЙ СИСТЕМЫ ОТ НЕСАНКЦИОНИРОВАННОГО ДОСТУПА: 1 Б 1 А 2 Б 2 А 3 Б 3 А 1 В 1 Г 1 Д 3 ГРУППЫ АС:

Внимание! 8-символьные пароли принимаются Но Мы имеем LANMAN хэши in Windows XP

ISO/IEC 27001:2005 “Information technology. Security techniques. Information security management systems. Requirements”. ГОСТ Р ИСО/МЭК 17799-2005. Информационная технология. Практические правила управления информационной безопасностью.

Основные разделы 1. Политика безопасности 2. Организационные вопросы безопасности 3. Классификация и управление активами 4. Вопросы безопасности, связанные с персоналом 5. Физическая защита и защита от воздействий окружающей среды 6. Управление передачей данных и операционной деятельностью 7. Контроль доступа 8. Разработка и обслуживание систем 9. Управление непрерывностью бизнеса 10. Соответствие требованиям

NIST SP 800-53 «Recommended Security Controls for Federal Information Systems»

NIST SP 800-53 Разработан для установки требований безопасности федеральных информационных систем США Формирует рекомендации для информационных систем, категорированных с соответствии с Federal Information Processing Standards (FIPS) 199, Standards for Security Categorization of Federal Information and Information Systems. Формирует каталог мер безопасности для информационных систем.

NIST SP 800-53 163 меры безопасности в NIST SP 53 Сгруппированы в 3 класса и 17 семейств.

Структура меры безопасности Общая характеристика Руководство по реализации Руководство по усилению

FIPS-199 categories Низкий уровень Средний уровень Высокий уровень

$BSI\IT Baseline Protection Catalogs www.bsi.bund.de/grundschutz$

BSI\IT Baseline Protection Catalogs www.bsi.bund.de/grundschutz

$BSI\IT Baseline Protection Manual Данное руководство включает в себя множество каталогов.$

BSI\IT Baseline Protection Manual Данное руководство включает в себя множество каталогов. Эти каталоги описывают, как создавать и осуществлять мониторинг политики безопасности, основываясь на стандартных защитных мерах. Каталог модулей Каталог угроз Каталог защитных мер

Каталог модулей Layer 1. Generic aspects – содержит всю общую информацию о безопасности. Layer 2. Infrastructure – содержит компоненты, относящиеся к видам помещений. Layer 3. IT Systems - содержит компоненты, относящиеся к ИТ-системам.. Layer 4. Networks – содержит компоненты, относящиеся к сетевому взаимодействию. Layer 5. IT Applications – содержит компоненты, относящиеся к ИТ-приложениям.

Module catalogues Layer 1. Общие аспекты B 1.0 IT Security management B 1.1 Organisation B 1.2 Personnel B 1.3 Contingency planning concept B 1.4 Data backup concept B 1.5 Data protection B 1.6 Computer virus protection concept B 1.7 Crypto concept B 1.8 Handling security incidents B 1.9 Hardware and software management B 1.10 Standard software B 1.11 Outsourcing B 1.12 Archiving B 1.13 IT security awareness and training

Module catalogues Layer 2. Инфраструктура B 2.1 Buildings B 2.2 Cabling B 2.3 Office B 2.4 Server room B 2.5 Data media archives B 2.6 Room for technical infrastructure B 2.7 Protective cabinets B 2.8 Working place at home B 2.9 Computer centre B 2.10 Mobile working place B 2.11 Meeting, event and training rooms

Module catalogues Layer 3. IT-системы B 3.101 General server B 3.102 Unix server B 3.103 Windows NT server B 3.104 Novell Netware 3.x server B 3.105 Novell Netware version 4.x server B 3.106 Windows 2000 server B 3.107 S/390 and zSeries mainframes B 3.201 General client B 3.202 General standalone IT system B 3.203 Laptop computer B 3.204 Unix client B 3.205 Windows NT client B 3.206 Windows 95 client B 3.207 Windows 2000 client B 3.208 Internet PC B 3.209 Windows XP client B 3.301 Security gateway (Firewall) B 3.302 Routers and switches B 3.401 PBX (private branch exchange) B 3.402 Fax machine B 3.403 Answering machine B 3.404 Mobile phone B 3.405 PDA

Module catalogues Layer 4. Сети B 4.1 Heterogeneous networks B 4.2 Network and system management B 4.3 Modem B 4.4 Remote access B 4.5 LAN integration of an IT system via ISDN

Module catalogues Layer 5. IT Applications B 5.1 Peer-to-peer services B 5.2 Exchange of data media B 5.3 E-mail B 5.4 Web server B 5.5 Lotus Notes B 5.6 Fax server B 5.7 Databases B 5.8 Telecommuting B 5.9 Novell eDirectory B 5.10 Internet information server B 5.11 Apache Web server B 5.12 Exchange 2000 / Outlook 2000

Каталоги угроз G 1 Форс мажор G 2 Организационные недостатки G 3 Ошибки человека G 4 Сбои оборудования G 5 Умышленные действия

Каталоги контрмер M 1 Инфраструктура M 2 Организационные меры M 3 Персонал M 4 Hardware & software M 5 Коммуникации M 6 Планирование непрерывной работы

Процесс обеспечения ИБ

Процесс обеспечения ИБ Создание концепции ИБ

Структурный анализ Документирование бизнес-процессов, приложений и информации, которая будет включена в рассмотрение. Подготовка структуры сети. Документирование ИТ-систем и приложений Документирование помещений

Структурный анализ. Уменьшение затрат путем формирования групп Объекты должны объединяться в одну и ту же группу, если они одного типа; одинаково сконфигурированы; одинаково интегрированы в сеть; работают с одинаковыми приложениями; имеют одни и те же требования по защите информации.

Структурный анализ ШАГ № 1 – Документирование приложений Типы данных P = персональные данные A = административная информация, например, организационная структура S = специальная информация, например переписка с клиентами T = техническая информация, например конфигурация ИТ-систем

Структурный анализ. Структура сети.

Структурный анализ. Обзор систем.

Связь приложений и ИТ-систем

Структурный анализ. Документирование помещений

Определение требований по безопасности Определение категорий защиты Определение требований по защите информации для приложений Определение требований по защите информации для ИТ-систем Определение требований по защите информации для помещений Определение требований по защите информации для каналов связи

Определение требований по защите информации Определение категорий защиты

Определение требований по защите информации для приложений

Определение требований по защите информации для ИТ-систем

Определение требований по защите информации для помещений

Определение требований по защите информации для линий связи Определяем критичные линии связи Идущие во внешний мир и пролегающие через неконтролируемую зону Используемые для передачи информации с высокими требованиями по защите Линии связи, которые не могут быть использованы для передачи критичной информации.

Выводы Normal – стандартные меры защиты в общем случае адекватны и приемлемы High – стандартные меры защиты, обеспечивающие базовый уровень безопасности, могут быть неприемлемы (некоторые из них). Требуется рассмотреть необходимость использования дополнительных мер защиты. Very high – стандартные меры защиты как правило неприемлемы. Требуются дополнительные меры защиты

IT BPM Выбор и адаптация контрмер

Выбор и адаптация контрмер Определяем компоненты и их типы внутри организации Выбираем защитные меры для каждого компонента Адаптируем выбранные меры защиты, если необходимо.

Определение компонентов и их типов

Адаптация защитных мер Следует убедиться, что защитные меры Эффективные – обеспечивают эффективную защиту от угроз ИБ, выполняют необходимые требования по ЗИ. Подходящие – они должны подходить для внедрения, не противоречат существующим организационным процедурам или другим защитным мерам. Понятные – персоналу понятно, как использовать данные меры защиты, защитные меры не должны отрицательно сказываться на работе персонала. Экономически эффективны – стоимость внедрения защитных мер не должна превышать уровень снижаемых рисков (мы не должны работать в убыток)

Оценка, анализ и управление рисками ИБ

Information Security Risks Analysis, Assessment, Management NIST SP 800-30 “Risks Management Guide for Information Technology Systems”. IBM Method. Microsoft Methodology

NIST SP 800-30 “Risks Management Guide for Information Technology Systems”

Определение характеристик системы Аппаратное обеспечение; Программное обеспечение; Взаимодействие систем (например, внешние и внутренние связи); Данные и информация; Назначение системы (например, бизнес-процессы, которые выполняются ИС); Критичность информационных ресурсов (конфиденциальность, целостность, доступность, ценность или важность системы для организации); Функциональные требования к ИС; Пользовательские роли; Политики безопасности системы, которые управляют (регулируют) ИС (организационные политики, федеральные требования, законы, практики отрасли); Архитектура безопасности системы; Текущая сетевая топология (например, сетевая диаграмма); Информационные потоки, принадлежащие ИС (например, связи системы, входные и выходные данные системы); Механизмы безопасности в ИС.

Техники сбора информации о системе Опросные листы. Интервьюирование. Обзор документов. Использование автоматизированных средств сканирования.

Образцы вопросов для интервьюирования Кто являются авторизованными пользователями? Какие задачи пользователей организации? Какие задачи решает система в отношении деятельности организации? Какова важность системы для решения пользователями своих задач? Какие требования доступности системы? Какая информация (входная и выходная) важна для организации? Какая информация создается, потребляется, обрабатывается, хранится или принимается системой? Какова важность информации системы для выполнения пользователям своих задач? Как распределены информационные потоки? Какие типы информации обрабатываются и хранятся в системе (например, финансовая, персональные данные, данные о разработках и исследованиях, медицинские данные, управляющая)?

Образцы вопросов для интервьюирования Какой уровень конфиденциальности информации системы? Какая информация, обрабатываемая в/о системе, не должна раскрываться и кому? Где конкретно обрабатывается и хранится информация? Какие типы хранилищ информации используются? Каково потенциальное влияние события несанкционированного раскрытия информации? Каковы требования по доступности и целостности информации? Как отразится на организации ненадежность информации или системы? Какое допустимо время простоя системы для организации? Как это время простоя относится к значению времени восстановления? К каким иным вариантам обработки или связи пользователи могут получить доступ? Может ли нарушение в работе или недоступность функций безопасности или системы привести к вреду здоровья или смерти персонала?

Средства автоматизированного сбора информации об активах CA Asset Manager IBM Tivoli Configuration Manager HP Remedy® Asset Management Ключевые особенности Инвентаризация оборудования. Инвентаризация ПО. Мониторинг использования приложений. Инвентаризация сети. База данных идентификации ПО. Управление конфигурациями.

Формализация бизнес-процессов

Определение уязвимостей Источники уязвимостей Отчеты предыдущих оценок рисков ИС. Отчеты аудита ИС, отчеты аномалий системы, отчеты обзора безопасности, тесты системы. Результаты сканирования. БД уязвимостей, например, таких как база уязвимостей NIST I-CAT (http://icat.nist.gov). Материалы поставщиков решений и разработчиков. Коммерческие команды реагирования на инциденты и рассылки (например, форум SecurityFocus.com). Уведомления об уязвимостях. Анализ безопасности ПО.

Определение уязвимостей Тестирование безопасности Автоматизированное сканирование уязвимостей с помощью специальных средств. Специализированные тесты и оценки безопасности. Тесты на проникновение.

Идентификация угроз Модель угроз

Идентификация угроз. Модель уязвимостей

Идентификация угроз

Определение мер безопасности

Категории мер безопасности Упреждающие меры безопасности Детектирующие меры безопасности NIST SP 800-26 «Руководство по Внутренней Оценке Безопасности для Систем Информационных Технологий»

NIST SP 800-26

Определение вероятности Учитываемые факторы Мотивация и возможности источника угрозы, Природа уязвимости, Наличие и эффективность действующих мер безопасности

Определение вероятности на качественных шкалах

Оценка вероятности реализации угроз путем анализа статистики

Пример оценки вероятности реализации угроз

Модель элементарной защиты

Модель многозвенной защиты

Многоуровневая защита

Контролируемые преграды

Анализ влияния

Виды ущербов Информационные ресурсы: Ущерб от нарушения конфиденциальности Ущерб от нарушения целостности Ущерб от нарушения доступности ИТ-сервисы Нарушение доступности Оборудование Утеря Нарушение доступности Персонал Увольнение Гибель людей.

Ущерб на уровне организации Увольнение специалистов Теракты Техногенные катастрофы Необходимость восстановления ресурсов (покупки) Издержки на людей, выполняющих ликвидацию последствий угрозы (восстановление сервиса, проверка целостности БД …) Неправильно принимаются решения персоналом Ухудшение эмоционального климата Парализуется, дезорганизуется работа организации, встают ряд сервисов Затруднение выполнения работ персоналом

Ущерб авторитету организации Падение конкурентоспособности. Потери выгоды Невозможность выполнения организацией своих обязательств Кражи, мошенничества. Снижение цен на продукцию Опережение конкурентами Падение рентабельности производства Судебные разборки Негативная реакция в прессе, на уровне правительства

Положение об определении требований по категорированию ресурсов АС Категории конфиденциальности защищаемой информации: «ВЫСОКАЯ» - к данной категории относится несекретная информация, являющаяся конфиденциальной в соответствии с требованиями действующего законодательства Российской Федерации (банковская тайна, персональные данные); «НИЗКАЯ» - к данной категории относится конфиденциальная информация, не отнесенная к категории «ВЫСОКАЯ», ограничения на распространение которой вводятся решением руководства ОРГАНИЗАЦИИ в соответствии с предоставленными ей как собственнику (уполномоченному собственником лицу) информации действующим законодательством правами; «НЕТ ТРЕБОВАНИЙ» - к данной категории относится информация, обеспечения конфиденциальности (введения ограничений на распространение) которой не требуется.

Положение об определении требований по категорированию ресурсов АС Категории целостности защищаемой информации: «ВЫСОКАЯ» - к данной категории относится информация, несанкционированная модификация (искажение, уничтожение) или фальсификация которой может привести к нанесению значительного прямого ущерба ОРГАНИЗАЦИИ, ее клиентам и корреспондентам, целостность и аутентичность (подтверждение подлинности источника) которой должна обеспечиваться гарантированными методами (например, средствами электронной цифровой подписи) в соответствии с обязательными требованиями действующего законодательства; «НИЗКАЯ» - к данной категории относится информация, несанкционированная модификация, удаление или фальсификация которой может привести к нанесению незначительного косвенного ущерба ОРГАНИЗАЦИИ, ее клиентам и корреспондентам, целостность (а при необходимости и аутентичность) которой должна обеспечиваться в соответствии с решением руководства ОРГАНИЗАЦИИ (методами подсчета контрольных сумм, ЭЦП и т.п.); «НЕТ ТРЕБОВАНИЙ» - к данной категории относится информация, к обеспечению целостности (и аутентичности) которой требований не предъявляется.

Положение об определении требований по категорированию ресурсов АС

Положение об определении требований по категорированию ресурсов АС «БЕСПРЕПЯТСТВЕННАЯ ДОСТУПНОСТЬ» – к задаче должен обеспечиваться доступ в любое время (задача решается постоянно, задержка получения результата не должна превышать нескольких секунд или минут); «ВЫСОКАЯ ДОСТУПНОСТЬ» – доступ к задаче должен осуществляться без существенных временных задержек (задача решается ежедневно, задержка получения результата не должна превышать нескольких часов); «СРЕДНЯЯ ДОСТУПНОСТЬ» – доступ к задаче может обеспечиваться с существенными временными задержками (задача решается раз в несколько дней, задержка получения результата не должна превышать нескольких дней); «НИЗКАЯ ДОСТУПНОСТЬ» – временные задержки при доступе к задаче практически не лимитированы (задача решается с периодом в несколько недель или месяцев, допустимая задержка получения результата - несколько недель).

Положение об определении требований по категорированию ресурсов АС

Оценка рисков

Отчет по оценке рисков I. Введение Цель и задачи оценки рисков Масштабы оценки рисков Опишите компоненты, элементы, пользователей, области расположения и любые другие детали, которые относятся к системе и рассматриваются в оценке рисков. II. Подход к оценке рисков Кратко опишите подход, используемый в выполнении оценки риска, в том числе: Участники (например, члены команды оценки рисков), Используемые техники для сбора информации (например, использование автоматизированных средств, опросные листы), Описание разработанных шкал рисков (например, матрица уровней риска 3х3, 4х4, или 5х5). III. Характеристики системы Охарактеризуйте систему, включая: аппаратное (сервера, маршрутизаторы, коммутаторы) и программное (приложения, операционные системы, протоколы) обеспечение, связность системы (например, соединительные линии), данные и пользователей. Приложите диаграмму связей или схему входных и выходных потоков системы для того, чтобы очертить масштабы приложения действий оценки рисков. IV. Сведения об уязвимостях Сформируйте и представьте перечень потенциальных уязвимостей, имеющихся в оцениваемой системе. V. Сведения об источниках угроз Сформируйте и представьте перечень потенциальных источников угроз применительно к оцениваемой системе.

Отчет по оценке рисков VI. Результаты оценки рисков Представьте обзоры рисков (пары уязвимость/источник угрозы). Каждый обзор должен включать: Номер и краткое описание обзора (например, Обзор 1: Пароль учетной записи пользователя системы может быть отгадан или подобран); Разъяснение пары уязвимость/источник угрозы; Определение существующих мер безопасности, снижающих этот риск; Разъяснение и оценка вероятности (например, Высокая, Средняя или Низкая вероятность); Разъяснение и оценка влияния (например, Высокое, Среднее или Низкое влияние); Рейтинг риска, основанный на матрице уровня риска (например, Высокий, Средний или Низкий уровень риска); Рекомендуемые меры безопасности или альтернативные методы снижения риска. VII. Итоги Объедините обзоры. Итоги, для упрощения процесса реализации рекомендуемых для снижения рисков мер безопасности, подведите в форме таблицы по: обзорам, полученным уровням рисков, рекомендациям и любым комментария.

Управление рисками ИБ Принятие риска. Уход от риска. Снижение риска. Передача риска.

Диаграмма процесса снижения риска

Правило внедрения мер безопасности Меры безопасности направлены в отношении наибольшего риска и стремятся к достаточному снижению уровня этого риска за наименьшую стоимость, при этом внедрение мер оказывает минимальное влияние на возможности функционирования организации.

Диаграмма снижения риска

Экспертные методы оценки факторов риска ИБ

Метод Дельфи

КОЛИЧЕСТВЕННЫЕ МЕТОДЫ ОЦЕНКИ РИСКОВ ИБ. МЕТОД ДЕЛЬФИ Пусть в опросе участвует m экспертов. Метод «Дельфи» предусматривает проведение экспертного опроса в несколько туров. 1. Во время каждого тура эксперты сообщают свое мнение и дают оценку исследуемым явлениям. При обработке информации, полученной от экспертов, все оценки располагают в порядке их возрастания N1, …, Nm, затем определяют медиану (М) и квартили (Q1, Q2), которые разбивают все оценки на четыре примерно равных интервала 2. Экспертов, чьи оценки попадают в крайние интервалы (не лежат внутри диапазона Q1 — Q2), просят обосновать свое мнение по поводу этих оценок. С их обоснованием и выводами (не указывая, от кого именно они получены) знакомят остальных экспертов. 3. После получения оценок второго тура снова рассчитываются медиана и квартили. 4. Этот процесс продолжается до тех пор, пока продвижение к сближению точек зрения не становится незначительным.

МЕТОД АНАЛИЗА ИЕРАРХИЙ

КАЧЕСТВЕННАЯ ШКАЛА СААТИ

Матрица парных сравнений

Численный метод расчета вектора приоритетов w=(w1,…,wn)

Согласованность мнений эксперта ИС – индекс согласованности матрицы ОС – отношение согласованности СС – индекс случайной согласованности

Задано 6 программных продуктов - сканеров безопасности: ISS Internet Security Scanner 7.0. Symantec NetRecon 3.5. XSpider 7.0. eEye Retina Network Security Scanner 3.0 Nessus 1.4.4 GFI Languard 6 Критерий выбора «Гибкость политики лицензирования»

IScan NetRec XS Retina Nessus Languard ИС=(6,31 – 6)/5=0,06 ОС=0,06/1,24=0,05 IScan NetRec XSpid Retina Nessus Languard

- приоритеты критериев - приоритеты альтернатив третьего уровня по отношению к критерию j Многокритериальный выбор альтернатив

Задано 6 программных продуктов - сканеров безопасности: ISS Internet Security Scanner 7.0. Symantec NetRecon 3.5. XSpider 7.0. eEye Retina Network Security Scanner 3.0 Nessus 1.4.4 GFI Languard 6 Критерии выбора Гибкость политики лицензирования. Стоимость продукта. Скорость сканирования. Полнота идентифицируемых угроз и уязвимостей. Простота внедрения и использования. Наличие хорошей встроенной информационно-справочной системы. Занимаемый объем при установке. Прохождение испытаний в испытательных лабораториях ФСТЭК, подтвердивших информацию о заявленных параметрах продукта. Многоплатформенность.

Int. Scanner NetRecon XSpider Retina Nessus Languard Ранжирование альтернатив XSpider 7.0. Nessus 1.4.4. Internet Scanner 7.0. GFI Languard. Retina NSS. Symantec NetRecon

Факторы, определяющие выгоды от внедрения IDS 1. Экономические выгоды 1. Сокращение количества обслуживающего персонала, управляющего режимом ИБ. 2. Общий объем атак, идентифицируемых IDS. 3. Частота выхода обновлений и поддержки новых атак 2. Выгоды от управления безопасностью 4. Возможность централизованного управления безопасностью. 5. Контроль за работой пользователей организации. 6. Наличие хорошей справочной системы по идентифицируемым атакам. 7. Наличие механизма интеллектуальной обработки информации от сенсоров. 8. Полнота ведения логов. 9. Возможность фильтрации внутри прикладных протоколов. Противодействие злоумышленнику. 10. Возможность реализации обманной системы. 11. Возможность реализации хорошей системы реагирования на инциденты. Выбор контрмер по критерию «Стоимость-эффективность»

Факторы, определяющие издержки внедрения IDS 1. Экономические издержки 1. Капитальные вложения. 2. Затраты на доводку системы (конфигурирование). 2. Технические издержки 3. Затраты на управление. 4. Требования к вычислительной мощности. Рабочие издержки 5. Неудобство работы с прикладным интерфейсом. 6. Количество ложных срабатываний. 7. Неустойчивость к внешним атакам. 8. Возможность обмана IDS.

ПОКАЗАТЕЛЬ «СТОИМОСТЬ-ЭФФЕКТИВНОСТЬ»

IBM Method

Risk factors Probability: 0 – almost never 1 – 1 time per 1000 years 2 – 1 time per 100 years 3 – 1 time per 10 years 4 – 1 time per year 5 – 10 times per year 6 – 100 times per year 7 – 1000 times per year Impact: 0 - $ 1 1 - $ 10 2 - $ 100 3 - $ 1000 4 - $ 10 000 5 - $ 100 000 6 - $ 1 000 000 7 - $ 10 000 000

Risk value

Microsoft Methodology The Security Risk Management Guide

Microsoft Methodology Main approaches to risk management Reactive approach (based on security incident management) Proactive approach Quantitative approach. We need to determinate: Valuing Assets SLE - total amount of revenue that is lost from a single occurrence of the risk ARO - the number of times that you reasonably expect the risk to occur during one year ALE - the total amount of money that your organization will lose in one year if nothing is done to mitigate the risk (ALE=SLE*ARO) Cost of controls ROSI=(ALE before control) – (ALE after control) – (annual cost of control) Qualitative approach

Microsoft Security Risk Management Process

Security Risk Management Maturity Levels

Organizational Risk Management Maturity Level Self Assessment We can score organization on a scale of 0 to 5 by next features: Information security policies and procedures are clear, concise, well-documented, and complete. All staff positions with job responsibilities involving information security have clearly articulated and well understood roles and responsibilities. Policies and procedures for securing third-party access to business data are well-documented. For example, remote vendors performing application development for an internal business tool have sufficient access to network resources to effectively collaborate and complete their work, but they have only the minimum amount of access that they need. An inventory of Information Technology (IT) assets such as hardware, software, and data repositories is accurate and up-to-date. Suitable controls are in place to protect business data from unauthorized access by both outsiders and insiders. Effective user awareness programs such as training and newsletters regarding information security policies and practices are in place. Physical access to the computer network and other information technology assets is restricted through the use of effective controls.

An effective patch management system is able to automatically deliver software updates from most vendors. An incident response team has been created and has developed and documented effective processes for dealing with and tracking security incidents. All incidents are investigated until the root cause is identified and any problems are resolved. The organization has a comprehensive anti-virus program including multiple layers of defense, user awareness training, and effective processes for responding to viruses. User provisioning processes are well documented and at least partially automated so that new employees, vendors, and partners can be granted an appropriate level of access to the organization's information systems in a timely manner. These processes should also support the timely disabling and deletion of user accounts that are no longer needed. Computer and network access is controlled through user authentication and authorization, restrictive access control lists on data, and proactive monitoring for policy violations. Application developers are provided with education and possess a clear awareness of security standards for software creation and quality assurance testing of code. Business continuity and business continuity programs are clearly defined, well documented, and periodically tested through simulations. All staff perform their work tasks in a manner compliant with legal requirements. Third-party review and audits are used regularly to verify compliance with standard practices for security business assets.

A score of 51 or above suggests that the organization is well prepared to introduce and use the Microsoft security risk management process to its fullest extent. A score of 34 to 50 indicates that the organization has taken many significant steps to control security risks and is ready to gradually introduce the process Organizations scoring below 34 should consider starting very slowly with the Microsoft security risk management process by creating the core Security Risk Management Team and applying the process to a single business unit for the first few months

Microsoft Security Risk Management Process Assessing Risk

Plan Risk Data Gathering Define the scope of the risk assessment. Stakeholder Acceptance. Clearly describe the processes to all participants

Data Gathering Identifying and classifying assets. Organizing risk information. Identifying Threats Identifying Vulnerabilities Estimating Asset Exposure Identifying Existing Controls and Probability of Exploit. SRMGTool1-Data Gathering Tool.doc

Data Gathering. Identifying and classifying assets Identifying and classifying assets. Asset’s classes: high business impact (HBI), moderate business impact (MBI), low business impact (LBI)

Data Gathering. Organizing risk information Organizing by Defense-in-Depth Layers Identifying Threats Identifying Vulnerabilities Estimating Asset Exposure Identifying Existing Controls and Probability of Exploit.

Summary Risk Level Worksheet: Asset and Exposure Columns (SRMGTool2)

Risk Prioritization Conducting Summary Level Risk Prioritization Determine impact value from impact statements collected in the data gathering process Estimate the probability of the impact for the summary level list Complete the summary level list by combining the impact and probability values for each risk statement Reviewing with stakeholders Conducting Detailed Level Risk Prioritization Determine impact and exposure. Identify current controls. Determine probability of impact. Determine detailed risk level.

Conducting Summary Level Risk Prioritization Probability High. Likely, one or more impacts expected within one year Medium. Probable, impact expected at least once within two to three years Low. Not probable, impact not expected to occur within three years

Reviewing with Stakeholders Use the following criteria when selecting risks to include in the detailed level prioritization process: High level risks. Every risk rated as high must be included on the detailed list. Each high risk must have a resolution after the decision support process, for example, accept the risk or develop a mitigation solution. Borderline risks. Create the detailed prioritization analysis for moderate risks that require a resolution. In some organizations, even all moderate risks may be included in the detailed list. Controversial risks. If a risk is new, not well understood, or viewed differently by stakeholders, create the detailed analysis to help stakeholders achieve a more accurate understanding of the risk.

Conducting Detailed Level Risk Prioritization Task one. Determine impact and exposure. Task two. Identify current controls. Task three. Determine probability of impact. Task four. Determine detailed risk level.

SRMGTool3-Detailed Level Risk Prioritization.xls

Identify Current Controls Current controls in the organization that currently reduce the probability of the threat and vulnerability defined in the impact statement.

Determine Probability of Impact Two values Probability of the vulnerability existing in the environment based on attributes of the vulnerability and possible exploit Probability of the vulnerability existing based on the effectiveness of current controls. Each value is represented by a range of 1-5. Then we will summarize these values

Example

Determine Detailed Risk Level The risk rating is the product of the impact rating (with values ranging from 1-10) and the probability rating (with values ranging from 0-10). This produces a range of values from 0-100.

Example

Quantifying Risk Task one. Assign a monetary value to each asset class for your organization. Task two. Input the asset value for each risk. Task three. Produce the single loss expectancy value (SLE) Task four. Determine the Annual Rate of Occurrence (ARO). Task five. Determine the Annual Loss Expectancy (ALE).

Assign Monetary Values to Asset Classes Use the following categories to help estimate the total impact cost for each asset Replacement cost Sustaining/maintenance costs Redundancy/availability costs Market reputation Organization productivity Annual revenue Competitive advantage Internal operating efficiencies Legal/compliance liability

SRMGTool3-Detailed Level Risk Quantifying assets

Identify the Asset Value

Produce the Single Loss Expectancy Value (SLE)

Determine the Annual Rate of Occurrence (ARO)

Determine the Annual Loss Expectancy (ALE) Annualized Loss Expectancy (ALE) = SLE * ARO

Example

Conducting Decision Support

Questions How long will the control be effective? How many person hours per year will be required to monitor and maintain the control? How much inconvenience will the control impose on users? How much training will be needed for those responsible for implementing, monitoring, and maintaining the control? Is the cost of the control reasonable, relative to the value of the asset?

Defining Functional Requirements Use RFC 2119 “Key words for use in RFCs to Indicate Requirement Levels ” MUST. This word, or the terms "REQUIRED" or "SHALL," means that the definition is an absolute requirement of the specification. For example, if the risk assessment identifies a high risk scenario, the word "MUST" is probably the best keyword descriptor for the requirement that addresses that scenario. MUST NOT. This phrase, or the phrase "SHALL NOT," means that the definition is an absolute prohibition of the specification. SHOULD. This word, or the adjective "RECOMMENDED," means that valid reasons may exist in particular circumstances to ignore a particular item, but the full implications must be understood and carefully weighed before choosing a different course. For example, if the risk assessment identifies a low risk scenario, the word "SHOULD" may be the best keyword descriptor for the requirement that addresses that scenario.

SHOULD NOT. This phrase, or the phrase "NOT RECOMMENDED," means that valid reasons may exist in particular circumstances when the particular behavior is acceptable or even useful, but the full implications should be understood and the case carefully weighed before implementing any behavior described with this label. MAY. This word, or the adjective "OPTIONAL," means that an item is truly optional. One vendor may choose to include the item because a particular marketplace requires it or because the vendor feels that it enhances the product, while another vendor may omit the same item.

Identifying Control Solutions Informal brainstorming approach What steps could the organization undertake to resist or prevent the risk's occurrence? What could the organization do to recover from the risk once it has taken place? What measures can the organization take to detect the risk occurring? How can the control be audited and monitored to ensure that it continues to be in place? How can the organization validate the effectiveness of the control?

Identifying Control Solutions Detect three broad categories organizational, operational, technological Next: prevention, detection and recovery management

Reviewing the Solution Against Requirements We must approve the control solution in order to ensure that the control meets the defined functional requirements. Controls that do not meet the functional requirements for a specific risk are removed from the Detail Risk worksheet

Estimating Risk Reduction The goal of this step is to make estimates for how much each control lowers the levels of risk The amount of risk reduction will be compared to the cost of the mitigation solution

Estimating Solution Cost We should consider: Acquisition Costs Implementation Costs Communication Costs Training Costs for IT Staff Training Costs for Users Costs to Productivity and Convenience Costs for Auditing and Verifying Effectiveness

Example Costs for Implementing Smart Cards for VPN and Admin Access

Selecting the Risk Mitigation Solution Compare the level of risk after the mitigation solution to the cost of the mitigation solution itself.

Implementing Controls

Implementing Controls We should find holistic approach to implementing controls. We should make action plans for implementing the controls in an explicit timeframe.

Measuring Program Effectiveness

We should design Security Risk Scorecard

Measuring Control Effectiveness We may use security scanners and penetration testing techniques to decide this task

Appendixes Common Information Systems Assets Common Threats Vulnerabilities

Other Interesting Risk Management Approaches OCTAVE CRAMM Risk Matrix