ALGORITHM OF RISK ASSESSMENT OF PERTURBATION OF INFORMATION SERVICES IN AN ORGANIZATION
Authors:
1.
Astrakhan State Technical University
(Candidate of Technical Sciences, Assistant Professor; Assistant Professor of the Department of Information Security)
2.
Astrakhan State Technical University
3.
Astrakhan State Technical University
(Candidate of Technical Sciences, Assistant Professor; Assistant Professor of the Department of Information Security)
Type:
Article
Pages:
from 58
to 64
Status:
Published
Received:
05.04.2015
Accepted:
25.04.2015
Published:
25.04.2015
Subject area:
VAC 05.12.2013 Системы, сети и устройства телекоммуникаций
VAC 05.13.01 Системный анализ, управление и обработка информации (по отраслям)
VAC 05.13.06 Автоматизация и управление технологическими процессами и производствами (по отраслям)
VAC 05.13.10 Управление в социальных и экономических системах
VAC 05.13.18 Математическое моделирование, численные методы и комплексы программ
VAC 05.13.19 Методы и системы защиты информации, информационная безопасность
UDK 004.056
GRNTI 20.01 Общие вопросы информатики
GRNTI 28.01 Общие вопросы кибернетики
GRNTI 49.01 Общие вопросы связи
GRNTI 50.01 Общие вопросы автоматики и вычислительной техники
GRNTI 82.01 Общие вопросы организации и управления
VAC 05.13.01 Системный анализ, управление и обработка информации (по отраслям)
VAC 05.13.06 Автоматизация и управление технологическими процессами и производствами (по отраслям)
VAC 05.13.10 Управление в социальных и экономических системах
VAC 05.13.18 Математическое моделирование, численные методы и комплексы программ
VAC 05.13.19 Методы и системы защиты информации, информационная безопасность
UDK 004.056
GRNTI 20.01 Общие вопросы информатики
GRNTI 28.01 Общие вопросы кибернетики
GRNTI 49.01 Общие вопросы связи
GRNTI 50.01 Общие вопросы автоматики и вычислительной техники
GRNTI 82.01 Общие вопросы организации и управления
Language:
Russian
Keywords:
risk assessment, information security, information services
Abstract (English):
The process of assessing the information security risks is described as a sequence of the stages. A number of the issues associated with the collection and analysis of input information is identified. The shortcomings of the existing software tools for assessment of the level of information services perturbation. The paper presents an algorithm for estimating the level of information services perturbation, which allows us to solve the problem of allocation of the factors associated with the likelihood of threats. While using this algorithm, the prediction of future losses, determination of the weak spots in the system of information protection, the ordering of the actions of the auditors and the determination of the optimal composition, consistency, cost, and feasibility, of the work of the auditors will become possible. The algorithm describes the features of the pre-reporting to the experts in the survey. The best practices for organizing and optimizing the process of auditing of information security are developed. The necessity of demonstration of the analytical information received from the specialists, taking into account in its authenticity and the risk of conflict between the interests, is shown. Based on the obtained data, the analytical data processing of the system and ranking of threats to the availability of information services within the organization is made.
The process of assessing the information security risks is described as a sequence of the stages. A number of the issues associated with the collection and analysis of input information is identified. The shortcomings of the existing software tools for assessment of the level of information services perturbation. The paper presents an algorithm for estimating the level of information services perturbation, which allows us to solve the problem of allocation of the factors associated with the likelihood of threats. While using this algorithm, the prediction of future losses, determination of the weak spots in the system of information protection, the ordering of the actions of the auditors and the determination of the optimal composition, consistency, cost, and feasibility, of the work of the auditors will become possible. The algorithm describes the features of the pre-reporting to the experts in the survey. The best practices for organizing and optimizing the process of auditing of information security are developed. The necessity of demonstration of the analytical information received from the specialists, taking into account in its authenticity and the risk of conflict between the interests, is shown. Based on the obtained data, the analytical data processing of the system and ranking of threats to the availability of information services within the organization is made.
Keywords:
risk assessment, information security, information services
risk assessment, information security, information services
Введение Информационная безопасность (ИБ) является одним из важнейших аспектов общей экономической безопасности деятельности современной организации. Хотя последствия от информационных угроз, связанных, например, с утечкой данных, не являются основными проблемами для многих организаций, все же возрастающие темпы информатизации и объемы обрабатываемой информации приводят к увеличению зависимости бизнеса от доступности информационных сервисов (ИС). Последствия сбоев ИС опасны как в плане затрат, так и в плане потери производительности и нанесения ущерба репутации организации. Когда речь заходит об информационной защищенности организации, простого соответствия стандартам и нормам недостаточно. Общий недостаток методик и стандартов в области менеджмента рисков - неполные, быстро устаревающие списки угроз, уязвимостей и средств защиты, тавтология в формулировках, что приводит к двойственной интерпретации понятий и формальности процесса оценки рисков. Сам процесс оценки состояния защищенности ИС и информационных рисков является трудоемким и дорогостоящим. Проведем аналогию между процессами оценки риска ИБ, оценки состояния защищенности информационной системы и процессами диагностирования заболевания у пациента или прогнозирования дальнейшего изменения его состояния. Для последнего процесса необходимо тщательное обследование, опрос заинтересованных и обладающих информацией лиц, анализ полученной информации, учет достоверности входной информации и степени ее важности для принятия правильного решения. Существует риск назначения ненужных исследований (проверок) или пропуска важной информации, риск ошибок в выводах на основе неверных данных. При опросе сотрудники могут быть заинтересованы как в сокрытии информации, так и в ее преукрашивании. Аудиторы также могут быть заинтересованы в искажении информации с целью экономической выгоды. Таким образом, необходимо учесть достоверность полученной от специалистов информации и возможность возникновения конфликта интересов участников при оценке рисков ИБ. Диагностический процесс, к которому относится оценка состояния ИБ, следует строить с помощью систем поддержки принятия решений, как некую динамическую процедуру, которая начинается с проведения простых исследований. Затем на основании полученных данных проводится первичная оценка. Если окажется, что этих данных достаточно, то делается окончательный вывод, если же данных недостаточно, то система указывает, какое следующее исследование (проверку) нужно провести, чтобы в данной конкретной ситуации получить максимальную информацию и т. д. Такая система должна осуществлять управление сбором информации. В идеале часть входных данных о системе должна формироваться автоматически с различных сканеров и систем мониторинга без использования человека и анализироваться в облачной среде, что позволит повысить скорость обнаружения угроз. Программное обеспечение (ПО) в области оценки уровня риска ИБ [1-2] имеет свои недостатки: 1. Неполная совместимость с международными или национальными стандартами, узкая направленность (банковская сфера и др.). 2. Высокая стоимость импортного ПО по анализу рисков (2-10 тыс. долл. США), иногда отсутствие русскоязычного интерфейса. 3. Громоздкость отчетов и сложность их интерпретации у программ опросного типа, избыточность и дублирование вопросов в анкетах, отсутствие возможности учета в итоговых выводах степени достоверности полученных ответов в анкетировании специалистов, отсутствие функции интеграции с дополнительным ПО, собирающим входную информацию для анализа состояния защищенности. 4. Высокая стоимость услуг аудиторов ввиду сложности процесса сбора информации для анализа. Анализ рисков ИБ изначально проводился аудиторскими фирмами в течение довольно продолжительного времени. Анализ производился на базе контрольных списков (вопросов, требований), которые необходимо было пересматривать, т. к. они устаревали или являлись избыточными (неполными) для некоторых организаций. Другие логические модели оценки риска базировались на том, что риск зависит от стоимости активов, угроз и уязвимостей. Стандарты и технические регламенты определяют связь между характеристиками системы, задают допустимые значения показателей, а также формируют шаблоны удовлетворительного состояния системы (человеческой, технической, организационной). Менеджмент риска ИБ обеспечивается стандартами и методиками [3-4]. При оценке рисков используются каталоги типичных угроз, уязвимостей и контрмер. Этапы оценки рисков Сбор статистики по вероятностям реализации угроз в классическом виде затруднен. На реализацию угроз влияет множество факторов (событий), которые также имеют свою вероятность. Их трудно оценить или отделить от вероятности срабатывания других факторов, т. к. они зависимы. Это затрудняет применение классических методов теории вероятности, поэтому сбор и обработка данных невозможна без экспертных методов. Алгоритм работы оценки рисков ИБ состоит из следующих этапов: 1. Идентификация информационных активов, оценка их значимости. Необходимо выбрать имеющиеся активы и для каждого определить их значимость как степень тяжести потерь от нарушения сервисов безопасности. 2. Идентификация объектов среды (сети, узлов, приложений, данных, физической защиты, политики, процедуры). 3. Определение некоторых условий функционирования ИС (предпосылок, способствующих реализации угроз), идентификация источников угроз путем проведения анкетирования. 4. Определение применяемых мер защиты. 5. Обработка входных данных для определения степени вероятности реализации угроз. 6. Определение уровня риска в соответствии с результатами оценки степени тяжести потерь и оценки вероятности угрозы. 7. Выделение рисков, превышающих предельно допустимый уровень, и примение дополнительных мер для повышения ИБ. Общие этапы алгоритма приведены на рис. 1. Рис. 1. Диаграмма потоков данных Рассмотрим фрагмент общего алгоритма оценки уровня риска, классификации и ранжирования угроз на примере задачи определения условий функционирования ИС, предпосылок, способствующих реализации угроз, сбора и обработки входных данных для определения степени вероятности реализации угроз. Сбор входных данных Для сбора входной информации о системе активно используются различные программные и технические средства: снифферы, автоматическая инвентаризация ПО, автоматизированные системы контроля физической безопасности и т. д. Затем полученные данные поступают в общую базу и анализируются с учетом заранее определенных правил и зависимостей между событиями в системе. Но не все поступающие данные анализа и оценки риска можно получить в автоматическом режиме (данные о квалификации персонала, наличии пункта в трудовом договоре об ответственности за разглашение информаци или халатность и т.д.). Поэтому активно используется метод анкетирования персонала и руководства. Вопросы анкеты затрагивают различные области функционирования организации. Рекомендуется анкетировать руководителей подразделений (в частности, кадровый, сетевой отдел, отдел разработки и эксплуатации автоматизированных систем, службы безопасности и т. д.). Полученные ответы влияют на итоговую оценку, поэтому для максимальной объективности и точности результатов рекомендуется применять меры дисциплинарной ответственности. Например, в случае выявления несоответствий в предоставленной информации к сотруднику применяется система штрафов. При анкетировании необходимо учитывать степень доверия к эксперту путем введения коэффициента информированности. Анализ данных Разработан алгоритм, на основе которого решается задача по выделению факторов, связанных с вероятностью реализации угроз. Физической реализацией профиля угроз является база данных (БД), примерный фрагмент ER-диаграммы которой представлен на рис. 2. Правила вида «Если есть нечто одно, то следует предполагать, что имеется нечто другое» или «Если отсутствует нечто одно, то следует предполагать, что отсутствует нечто другое» используются в логических рассуждениях экспертов по анализу и оценке рисков ИБ. Например, «Отсутствие функции голосового ввода данных или функции воспроизведения защищаемой информации акустическими средствами» исключает «Утечку речевой информации» и т. д. Рис. 2. Профиль угроз Данные правила могут быть описаны в виде бинарных матриц несовместности событий , где строки и столбцы матицы ассоциируются с различными фактами, утверждениями, а значения описывают наличие или отсутствие связи между ними. Анализ этих матриц может оптимизировать процесс опроса экспертов. На рис. 3 представлена блок-схема алгоритма для оценки рисков в информационной системе. Используются обозначения - вероятность P(Tj) опасности реализации угрозы Tj, vimax - суммарный балл, набранный за ответ на i-й вопрос анкеты ( при этом вопросы могут быть построены так, что существует несколько вариантов ответов), visum - максимально возможное количество баллов, ассоциированное с i-м вопросом анкеты. Во время анкетирования балл изменяется в пользу актуальности или неактуальности угрозы в зависимости от выбранного ответа на вопрос, его ценности, важности. Важность вопроса в дальнейшем также может пересчитываться на основе выставленных оценок самому вопросу при многократном анкетировании специалистов, участвующих в процедуре оценки рисков. Их агрегированный опыт отражается в БД готовых решений, в результатах анкетирования и вынесении оценок. Также рекомендуется накапливать информацию в БД о последовательностях и наборах представленных вопросов экспертам для ранжирования и классификации угроз. По результатам нескольких экспертиз рекомендуется провести оценку согласованности (дисперсия, коэффициент вариации, мода), а уже затем принять решение об актуальности или ценности вопроса. Отметим, что для задач управления рисками актуальны методы интеллектуального анализа данных [5-7]. Одни из наиболее широко используемых технологий - методы распознавания образов, классификация, кластерный анализ (K-ближайшего соседа). Они могут дополнить представленный алгоритм для дальнейшего выявления уровня угроз и наиболее слабых мест в защите. Рис. 3. Блок-схема алгоритма для оценки рисков в информационной системе Заключение Не все сотрудники, участвующие в обеспечение безопасной работы информационной системы, обладают специальными знаниями в каждой зоне деятельности. Разработка автоматизированных систем по оценке рисков очень актуальна в плане экономии времени и средств на проведение аудита безопасности, обеспечения прозрачности действий экспертов. Представлен алгоритм, на основе которого решается задача по выделению факторов, связанных с вероятностью реализации угроз. При использовании данного алгоритма появится возможность прогнозировать потери и выявлять наиболее слабые места в системе защиты информации, организовывать действия аудиторов, определять оптимальный состав, последовательность, стоимость и обоснованность работ аудиторов.
1. Petrenko S. A. Upravlenie informacionnymi riskami. Ekonomicheski opravdannaya bezopasnost' / S. A. Petrenko, S. V. Simonov. M.: DMK Press, 2004. 384 s.
2. Astahov A. M. Iskusstvo upravleniya informacionnymi riskami / A. M. Astahov. M.: Izd-vo DMK Press, 2010. 312 s.
3. GOST R ISO/MEK 27005-2010. Informacionnye tehnologii. Metody zaschity. Menedzhment riskov informacionnoy bezopasnosti // URL: http://docs.cntd.ru/document/1200084141.
4. URL: http://docs.cntd.ru/document/499099589.
5. Kudryavceva R. T. Upravlenie informacionnymi riskami s ispol'zovaniem tehnologiy kognitivnogo modelirovaniya: avtoref. dis. … kand. tehn. nauk / R. T. Kudryavceva. Ufa, 2008. 17 c.
6. Kustov G. A. Upravlenie informacionnymi riskami organizacii na osnove logiko-veroyatnostnogo metoda: avtoref. dis.. kand. teh. nauk / G. A. Kustov. Ufa, 2008. 18 c.
7. Simonov S. V. Tehnologii i instrumentariy dlya upravleniya riskami / S. V. Simonov // Jet Info. 2003. № 2 (117). S. 3-32.
