Аннотация и ключевые слова
Аннотация (русский):
Описан процесс оценки вероятности реализации рисков информационной безопасности как последовательность ряда этапов. Выделены основные проблемы, связанные со сбором и анализом входной информации. Проанализированы недостатки существующих программных средств по оценке уровня риска нарушения информационных сервисов. Разработан алгоритм, на основе которого решается задача по выделению факторов, связанных с вероятностью реализации угроз. При использовании данного алгоритма появится возможность прогнозировать потери и выявлять наиболее слабые места в системе защиты информации, организовывать действия аудиторов, определять оптимальный состав, последовательность, стоимость и обоснованность работ аудиторов. Алгоритм описывает особенности получения и представления информации экспертам во время анкетирования. Разработаны рекомендации по упорядочению и оптимизации процесса проведения аудита информационной безопасности. Показана необходимость анализа информации, полученной от специалистов, учёта её достоверности и возможности возникновения конфликта интересов. На основе этой информации проводится аналитическая обработка данных о системе и ранжирование угроз доступности информационных сервисов в организации.

Ключевые слова:
оценка рисков, информационная безопасность, информационные сервисы
Текст
Введение Информационная безопасность (ИБ) является одним из важнейших аспектов общей экономической безопасности деятельности современной организации. Хотя последствия от информационных угроз, связанных, например, с утечкой данных, не являются основными проблемами для многих организаций, все же возрастающие темпы информатизации и объемы обрабатываемой информации приводят к увеличению зависимости бизнеса от доступности информационных сервисов (ИС). Последствия сбоев ИС опасны как в плане затрат, так и в плане потери производительности и нанесения ущерба репутации организации. Когда речь заходит об информационной защищенности организации, простого соответствия стандартам и нормам недостаточно. Общий недостаток методик и стандартов в области менеджмента рисков - неполные, быстро устаревающие списки угроз, уязвимостей и средств защиты, тавтология в формулировках, что приводит к двойственной интерпретации понятий и формальности процесса оценки рисков. Сам процесс оценки состояния защищенности ИС и информационных рисков является трудоемким и дорогостоящим. Проведем аналогию между процессами оценки риска ИБ, оценки состояния защищенности информационной системы и процессами диагностирования заболевания у пациента или прогнозирования дальнейшего изменения его состояния. Для последнего процесса необходимо тщательное обследование, опрос заинтересованных и обладающих информацией лиц, анализ полученной информации, учет достоверности входной информации и степени ее важности для принятия правильного решения. Существует риск назначения ненужных исследований (проверок) или пропуска важной информации, риск ошибок в выводах на основе неверных данных. При опросе сотрудники могут быть заинтересованы как в сокрытии информации, так и в ее преукрашивании. Аудиторы также могут быть заинтересованы в искажении информации с целью экономической выгоды. Таким образом, необходимо учесть достоверность полученной от специалистов информации и возможность возникновения конфликта интересов участников при оценке рисков ИБ. Диагностический процесс, к которому относится оценка состояния ИБ, следует строить с помощью систем поддержки принятия решений, как некую динамическую процедуру, которая начинается с проведения простых исследований. Затем на основании полученных данных проводится первичная оценка. Если окажется, что этих данных достаточно, то делается окончательный вывод, если же данных недостаточно, то система указывает, какое следующее исследование (проверку) нужно провести, чтобы в данной конкретной ситуации получить максимальную информацию и т. д. Такая система должна осуществлять управление сбором информации. В идеале часть входных данных о системе должна формироваться автоматически с различных сканеров и систем мониторинга без использования человека и анализироваться в облачной среде, что позволит повысить скорость обнаружения угроз. Программное обеспечение (ПО) в области оценки уровня риска ИБ [1-2] имеет свои недостатки: 1. Неполная совместимость с международными или национальными стандартами, узкая направленность (банковская сфера и др.). 2. Высокая стоимость импортного ПО по анализу рисков (2-10 тыс. долл. США), иногда отсутствие русскоязычного интерфейса. 3. Громоздкость отчетов и сложность их интерпретации у программ опросного типа, избыточность и дублирование вопросов в анкетах, отсутствие возможности учета в итоговых выводах степени достоверности полученных ответов в анкетировании специалистов, отсутствие функции интеграции с дополнительным ПО, собирающим входную информацию для анализа состояния защищенности. 4. Высокая стоимость услуг аудиторов ввиду сложности процесса сбора информации для анализа. Анализ рисков ИБ изначально проводился аудиторскими фирмами в течение довольно продолжительного времени. Анализ производился на базе контрольных списков (вопросов, требований), которые необходимо было пересматривать, т. к. они устаревали или являлись избыточными (неполными) для некоторых организаций. Другие логические модели оценки риска базировались на том, что риск зависит от стоимости активов, угроз и уязвимостей. Стандарты и технические регламенты определяют связь между характеристиками системы, задают допустимые значения показателей, а также формируют шаблоны удовлетворительного состояния системы (человеческой, технической, организационной). Менеджмент риска ИБ обеспечивается стандартами и методиками [3-4]. При оценке рисков используются каталоги типичных угроз, уязвимостей и контрмер. Этапы оценки рисков Сбор статистики по вероятностям реализации угроз в классическом виде затруднен. На реализацию угроз влияет множество факторов (событий), которые также имеют свою вероятность. Их трудно оценить или отделить от вероятности срабатывания других факторов, т. к. они зависимы. Это затрудняет применение классических методов теории вероятности, поэтому сбор и обработка данных невозможна без экспертных методов. Алгоритм работы оценки рисков ИБ состоит из следующих этапов: 1. Идентификация информационных активов, оценка их значимости. Необходимо выбрать имеющиеся активы и для каждого определить их значимость как степень тяжести потерь от нарушения сервисов безопасности. 2. Идентификация объектов среды (сети, узлов, приложений, данных, физической защиты, политики, процедуры). 3. Определение некоторых условий функционирования ИС (предпосылок, способствующих реализации угроз), идентификация источников угроз путем проведения анкетирования. 4. Определение применяемых мер защиты. 5. Обработка входных данных для определения степени вероятности реализации угроз. 6. Определение уровня риска в соответствии с результатами оценки степени тяжести потерь и оценки вероятности угрозы. 7. Выделение рисков, превышающих предельно допустимый уровень, и примение дополнительных мер для повышения ИБ. Общие этапы алгоритма приведены на рис. 1. Рис. 1. Диаграмма потоков данных Рассмотрим фрагмент общего алгоритма оценки уровня риска, классификации и ранжирования угроз на примере задачи определения условий функционирования ИС, предпосылок, способствующих реализации угроз, сбора и обработки входных данных для определения степени вероятности реализации угроз. Сбор входных данных Для сбора входной информации о системе активно используются различные программные и технические средства: снифферы, автоматическая инвентаризация ПО, автоматизированные системы контроля физической безопасности и т. д. Затем полученные данные поступают в общую базу и анализируются с учетом заранее определенных правил и зависимостей между событиями в системе. Но не все поступающие данные анализа и оценки риска можно получить в автоматическом режиме (данные о квалификации персонала, наличии пункта в трудовом договоре об ответственности за разглашение информаци или халатность и т.д.). Поэтому активно используется метод анкетирования персонала и руководства. Вопросы анкеты затрагивают различные области функционирования организации. Рекомендуется анкетировать руководителей подразделений (в частности, кадровый, сетевой отдел, отдел разработки и эксплуатации автоматизированных систем, службы безопасности и т. д.). Полученные ответы влияют на итоговую оценку, поэтому для максимальной объективности и точности результатов рекомендуется применять меры дисциплинарной ответственности. Например, в случае выявления несоответствий в предоставленной информации к сотруднику применяется система штрафов. При анкетировании необходимо учитывать степень доверия к эксперту путем введения коэффициента информированности. Анализ данных Разработан алгоритм, на основе которого решается задача по выделению факторов, связанных с вероятностью реализации угроз. Физической реализацией профиля угроз является база данных (БД), примерный фрагмент ER-диаграммы которой представлен на рис. 2. Правила вида «Если есть нечто одно, то следует предполагать, что имеется нечто другое» или «Если отсутствует нечто одно, то следует предполагать, что отсутствует нечто другое» используются в логических рассуждениях экспертов по анализу и оценке рисков ИБ. Например, «Отсутствие функции голосового ввода данных или функции воспроизведения защищаемой информации акустическими средствами» исключает «Утечку речевой информации» и т. д. Рис. 2. Профиль угроз Данные правила могут быть описаны в виде бинарных матриц несовместности событий , где строки и столбцы матицы ассоциируются с различными фактами, утверждениями, а значения описывают наличие или отсутствие связи между ними. Анализ этих матриц может оптимизировать процесс опроса экспертов. На рис. 3 представлена блок-схема алгоритма для оценки рисков в информационной системе. Используются обозначения - вероятность P(Tj) опасности реализации угрозы Tj, vimax - суммарный балл, набранный за ответ на i-й вопрос анкеты ( при этом вопросы могут быть построены так, что существует несколько вариантов ответов), visum - максимально возможное количество баллов, ассоциированное с i-м вопросом анкеты. Во время анкетирования балл изменяется в пользу актуальности или неактуальности угрозы в зависимости от выбранного ответа на вопрос, его ценности, важности. Важность вопроса в дальнейшем также может пересчитываться на основе выставленных оценок самому вопросу при многократном анкетировании специалистов, участвующих в процедуре оценки рисков. Их агрегированный опыт отражается в БД готовых решений, в результатах анкетирования и вынесении оценок. Также рекомендуется накапливать информацию в БД о последовательностях и наборах представленных вопросов экспертам для ранжирования и классификации угроз. По результатам нескольких экспертиз рекомендуется провести оценку согласованности (дисперсия, коэффициент вариации, мода), а уже затем принять решение об актуальности или ценности вопроса. Отметим, что для задач управления рисками актуальны методы интеллектуального анализа данных [5-7]. Одни из наиболее широко используемых технологий - методы распознавания образов, классификация, кластерный анализ (K-ближайшего соседа). Они могут дополнить представленный алгоритм для дальнейшего выявления уровня угроз и наиболее слабых мест в защите. Рис. 3. Блок-схема алгоритма для оценки рисков в информационной системе Заключение Не все сотрудники, участвующие в обеспечение безопасной работы информационной системы, обладают специальными знаниями в каждой зоне деятельности. Разработка автоматизированных систем по оценке рисков очень актуальна в плане экономии времени и средств на проведение аудита безопасности, обеспечения прозрачности действий экспертов. Представлен алгоритм, на основе которого решается задача по выделению факторов, связанных с вероятностью реализации угроз. При использовании данного алгоритма появится возможность прогнозировать потери и выявлять наиболее слабые места в системе защиты информации, организовывать действия аудиторов, определять оптимальный состав, последовательность, стоимость и обоснованность работ аудиторов.
Список литературы

1. Петренко С. А. Управление информационными рисками. Экономически оправданная безопасность / С. А. Петренко, С. В. Симонов. М.: ДМК Пресс, 2004. 384 с.

2. Астахов А. М. Искусство управления информационными рисками / А. М. Астахов. М.: Изд-во ДМК Пресс, 2010. 312 с.

3. ГОСТ Р ИСО/МЭК 27005-2010. Информационные технологии. Методы защиты. Менеджмент рисков информационной безопасности // URL: http://docs.cntd.ru/document/1200084141.

4. URL: http://docs.cntd.ru/document/499099589.

5. Кудрявцева Р. Т. Управление информационными рисками с использованием технологий когнитивного моделирования: автореф. дис. … канд. техн. наук / Р. Т. Кудрявцева. Уфа, 2008. 17 c.

6. Кустов Г. А. Управление информационными рисками организации на основе логико-вероятностного метода: автореф. дис.. канд. тех. наук / Г. А. Кустов. Уфа, 2008. 18 c.

7. Симонов С. В. Технологии и инструментарий для управления рисками / С. В. Симонов // Jet Info. 2003. № 2 (117). С. 3-32.


Войти или Создать
* Забыли пароль?