В самом деле, что дороже: предотвратить возможный ущерб, ограничить его или ничего предпринимать? Что тормозит построение комплексных систем информационной безопасности?
В самом деле, что дороже: предотвратить возможный ущерб, ограничить его или ничего предпринимать? Что тормозит построение комплексных систем информационной безопасности? Чтобы ответить на этот вопрос, следует оценить объекты угроз, связанные с ними риски, а также степень целесообразности защиты различных объектов в вашей организации.
Создание комплексных систем безопасности — обязательный сопутствующий фактор при реализации информационных систем любой сложности. Однако при создании системы информационной безопасности неизменно встает вопрос о целесообразности затрат на предлагаемые контрмеры. Ввиду отсутствия четких методик обоснования затрат процесс формирования системы информационной безопасности тормозится до принятия руководством организации решения о целесообразности (или нецелесообразности) подобных затрат.
Одной из методик обоснования затрат является методика оценки связанных с информационной системой рисков.
Что является объектом риска?
У каждого объекта (ресурса) информационной системы есть стоимость. Для систематизации оценки стоимости ресурсов следует выделить категории ресурсов.
Макрообъекты. Здания, в которых расположены объекты информационной системы, а также системы кондиционирования, другое поддерживающее оборудование. Макробъекты подвержены в основном рискам форс-мажорных обстоятельств, таких как пожар или наводнение, землетрясение или химическое заражение. Стоимость подобных ресурсов определяется исходя из затрат на запуск объектов информационной системы «с нуля» либо из затрат на их переустановку или восстановление.
Оборудование. Аппаратное обеспечение информационной системы, расположенное в рассматриваемой зоне. Сюда не включаются объекты, такие как канальное оборудование или АТС, расположенные вне макрообъектов организации. Стоимость данных ресурсов определяется как стоимость покупки оборудования с учетом амортизации плюс стоимость расходов на поддержку согласно договорам техподдержки.
Программное обеспечение. Все программные продукты и документация, которые могут быть утрачены в случае разрушения информационной системы. В эту категорию входят как коммерческие программы (их стоимость определяется как цена покупки лицензии), так и программы собственной разработки (их стоимость оценивается как затраты на восстановление программного продукта с учетом того, что исходные коды и документация полностью утрачены).
Носители информации. Носители, которые будут утрачены при полном разрушении информационной системы. Их стоимость принимается равной затратам на закупку новых носителей.
Данные. Типовые методики количественной оценки стоимости информации фактически отсутствуют. Рекомендуется выделить ту информацию, которая является жизненно необходимой для функционирования организации (стратегические планы или операционные регламенты, бизнес-процессы, корпоративные базы данных, информация о сотрудниках организации и т. д.) В данный список также может быть включена интеллектуальная собственность организации в случае, если рассматривается риск компрометации соответствующих данных (действительно, некоторые виды информации, например, ноу-хау, теряют свою стоимость по мере расширения круга лиц, ознакомленных с ними).
Материалы. Стоимость вещественных активов, контролируемых либо учитываемых компьютерами, что делает возможным вмешательство в информационную систему с целью искажения информации о них.
Операции. Стоимость операционного бюджета всех действий, для которых необходимо использование компьютера.
Персонал. Сотрудники, участвующие в обслуживании информационной системы, а также в операционной деятельности.
Репутация фирмы. Несмотря на свою неочевидность, один из самых крупных и дорогостоящих информационных ресурсов. К примеру, при попытке получить крупный кредит утечка соответствующей информации может повлиять на решение банка.
Есть и другие факторы, которые сложнее оценить, но тем не менее требуется принять во внимание: внутренние проблемы организации (например, факты нарушения трудового законодательства); стоимость утраты конфиденциальности информации; убытки при возможных судебных разбирательствах; стоимость утраты доступности информации.
Реальные угрозы информационным системам
Риск — это возможность появления убытков, которая возникает как результат взаимодействия пары «угроза» и «уязвимость». Для каждой угрозы требуется оценить убытки, которые будут иметь место при ее реализации. Таким образом, требуется знать стоимость замены, возможные затраты на воссоздание интеллектуальной собственности, стоимость часа машинного времени, другие условия (во что обойдется утрата конфиденциальности, целостности и т. д.).
Следует отметить, что процесс оценки рисков включает три трудоемкие работы: идентификация ресурсов и определение их стоимости; выявление угроз; определение контрмер. Сроки выполнения каждой из них могут быть достаточно велики. Не рекомендуется пытаться снизить требуемые трудозатраты на оценку рисков и тем самым сократить сроки: это может повлечь неточности при формировании перечня ресурсов и соответствующих угроз.
Существует несколько подходов к классификации рисков применительно к реализации тех или иных угроз, направленных на определенный ресурс. Так, информационные риски могут классифицироваться в соответствии с Федеральным законом «Об организации страхового дела» или в соответствии с методикой NIST (США). Согласно общепринятой международной классификации, тремя основными угрозами являются возможность утраты конфиденциальности информации, ее целостности и доступности. Эти угрозы определенным образом соотносятся с различными ресурсами.
К макрообъектам применимы в основном макроугрозы, в частности стихийные бедствия. Как правило, такие риски передаются страховым компаниям.
Сетевые фильтры могут вследствие перегрузки повредить оборудование. Утечки наполнителя огнетушителей и аккумуляторов плохо влияют на электронику; часто оборудование сильно зависит от сопутствующих систем кондиционирования. Следует также рассматривать возможность кражи оборудования или его использования в несанкционированных целях.
Программные продукты могут быть случайно либо намеренно изменены или уничтожены самими программистами или пользователями. Как ни странно, но процесс создания резервных копий также несет в себе угрозы нарушения работы программного обеспечения. Как правило, это связано с неотлаженной процедурой восстановления информации из резервных копий. Имеется и определенный риск, что устанавливаемое программное обеспечение изначально является поврежденным и неработоспособным, в то время как предыдущая рабочая версия уже затерта.
Следует изучить, как обеспечивается безопасность хранения носителей и могут ли они быть повреждены или утеряны. При утере носителя следует принять во внимание также ценность информации, хранящейся на данном носителе.
Применительно к данным учитываются угрозы, создаваемые злоумышленниками. Информация на диске может быть скопирована, считана или даже затерта через сетевые соединения. Носители (внешние копии, распечатки, а также сами компьютеры) могут быть повреждены, утрачены или украдены.
Чем больше используются ресурсы информационной системы, тем более уязвимой она становится. В системе может возникнуть поддельная электронная корреспонденция, конфиденциальная информация может быть опубликована в СМИ, конкуренты могут выявить информацию о ноу-хау организации — список угроз можно продолжать до бесконечности.
Угрозы, связанные с персоналом, могут быть идентифицированы страховой компанией. Скажем, сотрудник может попасть под машину (страхование от несчастного случая), может случиться производственная травма (страхование от несчастного случая на производстве) либо конкуренты решат переманить его более высокой зарплатой.
Прочие риски
Человеческий фактор. Системы проектируются и создаются людьми. Их развитие и наполнение также осуществляют люди. Человек склонен совершать ошибки, причем уровень критичности ошибок напрямую зависит от привилегий в системе. Частота (вероятность) совершения ошибки обратно пропорциональна уровню квалификации персонала, однако с ростом профессионализма персонала неизбежно растет фактор меры уязвимости ресурса к угрозе. Другими словами, более профессиональный работник может реализовать больший круг угроз, чем пользователь, обученный работе с системой строго в рамках выполнения поставленных ему задач.
Мошенничество и кражи. Информационные технологии все шире используются для совершения различных мошеннических действий. Компьютерные системы весьма уязвимы как для традиционных, так и для новых методов мошенничества. Финансовые системы не являются исключительным объектом для мошенников. Мошенничеству могут быть подвержены также системы контроля и учета рабочего времени, инвентарные системы, системы оценки труда, биллинговые системы.
Инсайдеры, будучи авторизованными пользователями информационной системы, могут совершить мошеннические действия, которые с высокой вероятностью не будут раскрыты ввиду отсутствия аудита многих операций либо отсутствия системы анализа журналов аудита. Поскольку у инсайдеров изначально имеется доступ к системе и они знакомы с принципами функционирования системы, включая связи между ее компонентами и информацию о наличии уязвимостей, у них есть возможность нанести больший ущерб по сравнению с внешними нарушителями. Бывшие сотрудники организации также являются источником угроз, особенно если их доступ не был соответствующим образом ограничен после увольнения.
Хакеры. Объектом атак со стороны хакеров являются не только вычислительные комплексы, базы данных, хранилища и центры обработки данных, но и активное сетевое оборудование, вмешательство в работу которого зачастую имеет еще более плачевные последствия. Так, информация, циркулирующая через маршрутизатор, может быть перенаправлена по ложному адресу. Например, при компрометации учетных данных администратора и возможности удаленного доступа злоумышленник может изменить конфигурацию активного сетевого оборудования. При этом данное нарушение можно выявить только в случае установления контроля за целостностью конфигурации маршрутизатора, что на практике происходит достаточно редко.
Часто угрозе хакеров уделяется гораздо большее внимание, чем всем прочим угрозам. Действительно, воздействие хакеров на информационные системы — достаточно распространенное явление. Кроме того, у организации есть возможность повлиять на внутреннего нарушителя административными мерами, однако нет такой возможности в отношении внешнего нарушителя — разве что в случае прямого нарушения уголовного или административного законодательства. Вместе с тем хакеры заставляют пользователей чувствовать себя уязвимыми, ведь фактически злоумышленник не определен. Наконец, организациям не известны истинные цели хакера; взлом системы может быть произведен с целью организации утечки, а может быть, и из спортивного интереса. Все эти допущения приводят к тому, что из всех возможных моделей хакера выбирается модель, способная реализовать наихудшие угрозы для информационной системы и нанести максимальный ущерб.
Промышленный шпионаж. Сбор информации об организации может осуществляться с целью ее передачи другой организации, которая в состоянии извлечь из этого для себя выгоду. К информации, утечка которой наносит максимальный ущерб, относится документация о разработках, инженерная документация, данные о продажах, списки клиентов, сведения о разработках и планировании и т. п.
Вредоносный код. Зачастую деятельность вредоносного кода (вирусы, «троянские кони», черви, «логические бомбы», прочие несанкционированные программы) ограничивают только сферой рабочих станций, однако она нередко распространяется и на куда более сложные системы. Выраженный в деньгах ущерб можно оценить, просуммировав потери от простоя системы и затраты на удаление вредоносного кода.
Угрозы персональным данным. Накопление большого количества персональных данных в информационных системах правительственных, финансовых и прочих организаций ведет к повышению интереса к подобным системам со стороны мошенников. Ввиду возможности агрегации, перезаписи, мониторинга и обработки подобных данных, возникает вполне реальная угроза персональным данным. Несанкционированная разведка персональных данных и их перепродажа заинтересованным лицам или организациям во многих странах признана незаконной. Такими данными может быть, например, информация о годовом доходе, кредитная история, родственные связи, состояние банковских счетов, номера кредитных карт.
Количественный и качественный анализ
Практика показала, что самой большой проблемой в оценке рисков является оценка вероятности реализации той или иной угрозы. Наиболее часто вероятность реализации угрозы принимается исходя из наихудшего сценария развития событий. Другими словами, предполагается, что если угроза есть, то она будет реализована с вероятностью 100%. Тем самым параметр вероятности реализации угрозы фактически исключается из анализа и оценки рисков. Данный метод сложно назвать точным, так как его реализация на практике может повлечь избыточные расходы на средства защиты информации и, как следствие, повлечь нарушение принципа разумной достаточности затрат, в соответствии с которым стоимость средств защиты не должна превышать стоимость ресурса.
Для точной оценки вероятности реализации угрозы целесообразно рассмотреть три величины:
- минимальная вероятность (например, при установке молниеотвода вероятность повреждения оборудования в результате попадания молнии составляет 0,0001%) — «оптимистичный прогноз»);
- наиболее вероятная оценка;
- максимальная вероятность (к примеру, в отсутствие молниеотвода вероятность повреждения оборудования в результате попадания молнии составляет 80%) —«пессимистичный прогноз»).
Принятие «оптимистичного» и «пессимистичного» прогнозов равными нулю и единице соответственно ведет к тому, что в оценку рисков закладывается наиболее вероятная оценка реализации угрозы, которая, однако, не равняется требуемой средней оценке вероятности реализации угрозы.
Можно попробовать вычислить оценку вероятности, однако разумнее всего просто обратиться к статистическим данным о прецедентах с подобными системами и получить достоверную информацию о стоимости ресурса, а также статистические данные о реализации угроз по отношению к этому ресурсу. В частности, подобным образом поступают страховые компании, принимая риски из прецедентных случаев вместо повторного расчета. Следует отметить, однако, что стоимость ресурса из прецедентных данных возможно принять только в отношении материальных, но не информационных ресурсов.
Статистические данные об эксплуатации имеющихся и известных уязвимостей можно найти в разнообразных каталогах, в частности в каталоге CERT (Computer Emergency Response Team, www.cert.org). В 2004 году статистические данные по инцидентам и уязвимостям были сведены CERT в отдельный бюллетень 2004 E-Crime Watch Survey. В нем приведена, например, информация о том, сколько стоили в совокупности все инциденты безопасности. Так, в отчете за 2003 год была озвучена сумма в 666 млн. долл. При этом 70% опрошенных заявили, что в их организациях имели место инциденты безопасности, 30% заявили об отсутствии в их организациях каких-либо инцидентов безопасности за указанный период. Опрос о видах убытков показал, что больше половины опрошенных (56%) понесли операционные убытки, 25% заявили о финансовых, а 12% — о других видах убытков. В среднем на каждого опрошенного (на каждую организацию) пришлось примерно 136 преступлений в сфере ИТ, тем не менее 30% опрошенных сообщили, что в их организациях подобных случаев не было, а 32% просто не подсчитывали понесенные убытки. Около 41% опрошенных ответили, что в их организациях нет четкого плана по реагированию на инциденты в сфере информационной безопасности и они не знают, куда о них следует докладывать.
Во многих странах накоплением статистических данных для проведения оценки рисков в конкретной отрасли занимаются специальные агентства. В России эта сфера пока не развита, но уже имеет смысл задуматься о формировании подобных баз данных об инцидентах и выявленных уязвимостях.
После идентификации угроз и рисков, направленных на системы требуется рассмотреть контрмеры. Выбор контрмер должен производиться исходя из принципа разумной достаточности, то есть стоимость реализации контрмеры не должна превышать количественную величину риска. Таким образом, после идентификации контрмер требуется принять решение о действии над риском: предотвратить его, ограничить или принять (то есть не предпринимать никаких мер для снижения величины риска).
Каждой угрозе требуется назначить предполагаемое количество реализаций данной угрозы за период в один год (Annual Frequency Rate, AFR). На следующем этапе каждой угрозе назначаются значения убытков от ее реализации за период в один год (Annual Loss Expectance, ALE). Данная величина получается путем умножения стоимости единичной реализации угрозы на AFR. При этом следует принимать во внимание ряд моментов. При случайных реализациях угроз (например, при операционных ошибках или ошибках программирования) ALE зависит от времени простоя системы. При реализации угроз природного характера ALE рассчитывается исходя из нанесенного имущественного ущерба и времени простоя. При реализации угроз промышленного характера (например, выход из строя оборудования) ALE основывается на приблизительной стоимости запуска системы и стоимости времени простоя системы.
Как уменьшить риски?
Свести величины рисков информационной системы к нулю невозможно. Поэтому, действия по снижению риска должны быть в первую очередь направлены не на полное удаление риска, а на выбор эффективного метода управления данным риском и снижения риска до приемлемого уровня. Рассмотрим некоторые типовые контрмеры.
Макрообъекты — самый распространенный объект управления рисками в страховых компаниях. В данном случае свои усилия следует направить на предотвращение возникновения последствий при стихийных бедствиях и природных явлениях — например, обеспечить грозозащиту, установить молниеотводы, источники бесперебойного питания, организовать систему пожаротушения и осуществить страхование в необходимом объеме.
Для предотвращения проблем с перебоями в электропитании требуется использовать источники бесперебойного питания. Также контрмеры в отношении оборудования могут включать применение систем кондиционирования (в том числе резервные системы кондиционирования), резервные серверы, узлы горячей замены, запчасти, инструментарий для проведения оперативного ремонта, заслоны для оборудования в случае проникновения влаги в помещение. На Западе фактическим стандартом является создание резервных центров обработки данных. Так, в документах из разряда описаний «лучших практик» заявляется, что основной и резервный центры должны быть разнесены на расстояние не менее 80 км, за счет этого достигается катастрофоустойчивость решения.
В отношении программного обеспечения основная контрмера — это, конечно же, создание резервных копий. Необходимо предусмотреть сохранение оригинальных дистрибутивов на отчуждаемом носителе. На случай утраты (выхода из строя) оригинального носителя требуется заключить с производителем коммерческого программного обеспечения соглашение о замене носителя. Сами носители целесообразно хранить в несгораемых шкафах на отдельном макрообъекте.
На случай выхода из строя информационной системы должна быть предусмотрена возможность продолжения работы с материалами на время восстановления информационной системы. Таким образом, нельзя полностью отказываться от использования «бумажного» документооборота, дабы при внезапном выходе информационной системы из строя была возможность продолжить работу в аварийном режиме с использованием обычных средств документооборота.
Лица, от которых зависит функционирование информационной системы, должны иметь возможность в приемлемое время прибыть к объекту информационной системы с целью предотвращения дальнейшего развития инцидента, вне зависимости от характера инцидента. Так, в договоре с охранным агентством должно быть указано время, в течение которого его сотрудники при получении сигнала тревоги должны прибыть на объект. Кроме этого, требуется таким образом регламентировать действия в случае нештатных ситуаций, чтобы сотрудники, в чью непосредственную компетенцию не входят операции по восстановлению работоспособности системы, могли бы, руководствуясь регламентом, приостановить развитие инцидента или локализовать его причину. Данные регламенты являются подлежащими документами для основного документа, описывающего политику действий в нештатных ситуациях. Подобный документ (он, как правило, носит название «План действий в чрезвычайных ситуациях») содержит перечень ответственных лиц с их координатами и перечень соответствующих регламентов.
Критерии принятия риска
Не всеми рисками можно управлять с помощью методологии снижения значений рисков. Для каждой угрозы существует определенное количественное значение стоимости контрмеры, после которой риск реализации данной угрозы рекомендуется принять. Кроме того, есть существенная разница между процессом принятия риска и процессом его избегания (т. е. построения системы таким образом, чтобы идентифицированный риск в ней отсутствовал). Подход принятия риска реализует большую гибкость в построении системы, нежели подход избегания риска, так как во втором случае система изначально строится по конфигурациям, которые не обязательно оптимальны для выполнения бизнес-операций. В методологии управления рисками подмену понятия принятия риска понятием избегания риска называют «иррациональным пессимизмом».
Процесс принятия рисков обязательно должен базироваться на реалистичных прогнозах относительно угроз. В основе данного процесса могут лежать следующие методики.
Оценка остаточных рисков подразумевает после проведения первичной оценки рисков и расчета стоимости контрмер переоценку рисков с учетом наложенных контрмер (расчет остаточных рисков). После получения величин снижения рисков эти величины принимаются в согласовательном порядке с руководством организации; данный процесс носит название «баланса рисков».
Оценка фактора соотношения стоимость/эффективность: если стоимость реализации описанных контрмер (включая передачу риска страховой компании) превышает стоимость самого ресурса или стоимость восстановления ресурса после применения к нему наиболее худшего сценария развития событий, то риск следует принять. В данном случае «худший» сценарий развития событий может включать вариант, при котором ресурс не подлежит восстановлению и потому требуется его полная замена.
Простое принятие риска подразумевает принятие риска в том случае, когда количественная оценка риска невозможна либо (другой крайний случай) она очевидна. Нет смысла производить длительные расчеты, достаточно просто принять данный риск.
Это только начало
Процесс оценки рисков не является разовым. Необходимо предусмотреть организационную схему, в рамках которой переоценка рисков производится периодически или вне очереди при формировании в информационной системе новых ресурсов. Наиболее трудоемким является первичная оценка рисков, так как фактически под оценку рисков попадает не отдельный ресурс, а информационная система в целом, то есть каждый ее ресурс. В дальнейшем же требуется оценка новых или измененных ресурсов; трудозатраты на данные работы, естественно, меньше. По собственному опыту знаю, что на анализ рисков сравнительно небольшой информационной системы (до трех серверов, до 50 рабочих станций) требуется около 700 человеко-часов.
Область информационной безопасности не подвержена невозможным или неизбежным катастрофам и бедствиям, против которых менеджеры по информационной безопасности беспомощны. Основной принцип — идентифицировать, оценить и минимизировать неопределенные (случайные) события, которые могут повлиять на ресурсы. На это нужны определенные силы и время, но сама работа вполне осуществима.
Павел Покровский — аналитик компании «Открытые технологии», ppokrovsky@ot.ru..