информационная безопасность
без паники и всерьез
 подробно о проекте
Rambler's Top100Spanning Tree Protocol: недокументированное применениеГде водятся OGRыПортрет посетителя
BugTraq.Ru
Русский BugTraq
 Анализ криптографических сетевых... 
 Модель надежности двухузлового... 
 Специальные марковские модели надежности... 
 Простое пробивание рабочего/провайдерского... 
 400 уязвимостей в процессорах Snapdragon 
 Яндекс неуклюже оправдался за установку... 
главная обзор RSN блог библиотека закон бред форум dnet о проекте
bugtraq.ru / библиотека / безопасность
БИБЛИОТЕКА
вход в библиотеку
книги
безопасность
программирование
криптография
internals
www
телефония
underground
беллетристика
разное
обзор: избранное
конкурс
рейтинг статей
обсуждение




Подписка:
BuqTraq: Обзор
RSN
БСК
Закон есть закон




Особенности систем анализа информационных рисков на примере алгоритма ГРИФ
Илья Медведовский, http://www.dsec.ru
Опубликовано: dl, 06.09.04 03:28
Основные термины и определения
Угроза безопасности
Потенциально возможное происшествие, которое может оказать воздействие на информацию в системе.
Уязвимость
Некая неудачная характеристика системы, которая делает возможным возникновение угрозы.
Атака
Действие по использованию уязвимости; атака - это реализация угрозы.
Угроза конфиденциальности
Угроза раскрытия информации.
Угроза целостности
Угроза изменения информации.
Угроза доступности
Угроза нарушения работоспособности системы при доступе к информации.
Ущерб
Стоимость потерь, которые понесет компания в случае реализации угроз конфиденциальности, целостности, доступности по каждому виду ценной информации. Ущерб зависит только от стоимости информации, которая обрабатывается в автоматизированной системе. Ущерб является характеристикой информационной системы и не зависит от ее защищенности.
Риск
Вероятный ущерб, который зависит от защищенности системы. По определению риск всегда измеряется в деньгах.

1. Существующие виды систем анализа информационных рисков

Ни для кого не секрет, что анализ информационных рисков является на сегодняшний день актуальной задачей для современного бизнеса - последние годы на каждой конференции по информационной безопасности в России можно услышать серьезные доклады на данную тему. При этом часто ускользают сами основы: что именно представляет собой задача анализа рисков, какие существуют способы ее решения, а также, какие проблемы возникают при выборе метода решения.

Анализ информационных рисков - это процесс комплексной оценки защищенности информационной системы с переходом к количественным или качественным показателям рисков. При этом риск - это вероятный ущерб, который зависит от защищенности системы. Итак, из определения следует, что на выходе алгоритма анализа риска можно получить либо количественную оценку рисков (риск измеряется в деньгах), либо - качественную (уровни риска; обычно: высокий, средний, низкий).

Кроме того, анализ рисков также отличается по используемому подходу; обычно условно выделяется анализ рисков базового и полного уровня. Для анализа рисков базового уровня достаточно проверить риск невыполнения требований общепринятого стандарта безопасности (обычно ISO 17799) с получением на выходе качественной оценки уровня рисков (высокий, средний, низкий). Система КОНДОР (http://www.dsec.ru/soft/kondor.php) является ярким примером реализации подобного подхода к анализу рисков базового уровня.

О полном анализе информационных рисков мы поговорим подробно. Собственно, именно на нем скрещиваются копья большинства специалистов, так как с анализом рисков базового уровня больших вопросов обычно не возникает. Почему же полный анализ рисков вызывает столь много вопросов и настолько неоднозначен в плане применяющихся подходов? Почему в мире существует так мало систем анализа и управления информационными рисками полного уровня? Попробуем найти ответы на данные вопросы.

Итак, основное отличие полного анализа рисков от базового состоит в необходимости построения полной модели анализируемой информационной системы. Модель должна включать: виды ценной информации, объекты ее хранения; группы пользователей и виды доступа к информации; средства защиты (включая политику безопасности), виды угроз.

Обратим внимание, что данное системное моделирование представляет существенную алгоритмическую сложность для разработчиков.

Далее после моделирования необходимо перейти к этапу анализа защищенности построенной полной модели информационной системы. И здесь мы попадаем в целый пласт теоретических и практических проблем, с которыми сталкиваются разработчики алгоритмов анализа риска полного уровня. Прежде всего, как алгоритмически (без эксперта) оценить защищенность информационной системы (заметим, что речь не идет о сканировании конкретных уязвимостей в конкретном применяемом программном обеспечении - таких систем анализа риска не существует)? Следующая проблема - как алгоритмически определить все классы уязвимостей в системе защиты анализируемой системы? Как оценить ущерб от всех существующих в системе угроз безопасности и как добиться адекватной оценки совокупного ущерба по всем классам угроз (необходимо избежать избыточного суммирования ущербов)? И самая сложная проблема: риск категория сугубо вероятностная - как оценить вероятность реализации множества угроз информационной системы?

Весь вышеуказанный комплекс проблем необходимо решать при создании алгоритма современного анализа рисков.

2. Особенности алгоритма анализа информационных рисков ГРИФ

При разработке алгоритма ГРИФ стояла задача учесть недостатки существующих систем и сделать сам алгоритм удобным при работе пользователя в системе.

2.1 Алгоритмический анализ технологических особенностей защищенности ИС

Первая задача, решаемая алгоритмом ГРИФ: на основе построенной полной модели информационной системы оценить ее защищенность. При решении этой задачи активно применялся опыт экспертов. Отметим ряд некоторых особенностей алгоритма ГРИФ, основанных на практических аспектах анализа защищенности ИС. Одним из основных принципов, которые используются в алгоритме ГРИФ, являются: принцип передачи свойств объекта другим объектам данного множества; принцип выбора уровня защищенности объектов одного множества по уровню наименее защищенного объекта множества; принцип оценки уровня защищенности взаимодействия между субъектом и объектом по наименее защищенному:

  • при оценке уровня защищенности взаимодействия между субъектом (пользователем) и объектом (информация на объекте) выбирался наименее защищенный объект взаимодействия;
  • при оценке защищенности видов информации (объекта взаимодействия), расположенных на одном из объектов информационной системы, итоговый уровень защищенности каждого вида информации выбирается по наименее защищенному;
  • при оценке защищенности объектов взаимодействия, находящихся физически в одном сегменте, итоговый уровень защищенности выбирался по наименее защищенному объекту.

При этом на итоговую оценку защищенности информационной системы существенным образом влияют организационные аспекты: вопросы реализации требований политики безопасности согласно ISO 17799, что также учитывается алгоритмом ГРИФ.

2.2. Оценка ущерба от угроз безопасности

Одной из классических проблем алгоритмов анализа информационных рисков является выбор методики анализа и определения угроз безопасности информации.

Часть существующих алгоритмов (американский RiskWatch) использует следующий подход, когда пользователь указывает полный список угроз безопасности, специфичной для данной системы вместе с оценкой ущерба по каждому виду угроз. Данный подход является алгоритмически тупиковым путем, так как конечный элемент защиты - это информация и ущерб определяется именно по информации. Определение ущерба по конкретным, специфичным для данной системы угрозам приводит к тому, что данный ущерб будет в итоге выше, чем реальный ущерб по видам информации, что неверно.

Дело в том, что на один и тот же вид информации может быть реально направлено сразу несколько угроз, что и приведет к тому, что суммарный ущерб, подсчитанный по угрозам, будет неадекватен реальному, подсчитанному по информации. И с учетом того, что как конечным элементом защиты, так и конечным элементом оценки ущерба является информация, алгоритм анализа рисков должен отталкиваться не от частных угроз и ущербов по ним, а от информации и от ущерба по информации, учитывая при этом и сами угрозы.

Для решения этого алгоритмического противоречия в алгоритме ГРИФ применяется новый метод классического непересекающегося поля угроз информации: угроз конфиденциальности, целостности и доступности. Алгоритм ГРИФ требует от пользователя внести ущерб по всем трем видам угроз по каждому виду ценной информации. Этот метод позволяет, во-первых, абстрагироваться на этапе моделирования системы от конкретных угроз безопасности (дело в том, что каждая конкретная угроза распадается на эти три классических непересекающихся вида угроз), во-вторых, избежать избыточного суммирования по ущербу, так как это поле непересекающихся угроз, и, в-третьих, это позволяет разбить процесс анализа защищенности информационной системы на множество элементарных ситуаций, когда алгоритм анализирует возможность реализации данных классических угроз безопасности по каждому виду информации на каждом ресурсе и не привязывается на этапе анализа к конкретным реализациям угроз.

2.3. Оценка вероятностей реализации обнаруженных угроз

Фундаментальной проблемой любого алгоритма анализа рисков является определение вероятности реализации специфичной для данной системы угрозы. В случае применения подхода аналогичного RiskWatch (условно, подхода от частных угроз), пользователю на этапе моделирования необходимо или ввести вероятность реализации данной угрозы (что превращает сам "алгоритм" в простую формулу: Вероятность*УЩЕРБ, тем самым, выхолащивая до нуля процесс анализа защищенности - его здесь просто нет) или оценить ее уровень. В алгоритме ГРИФ от пользователя не требуется вводить вероятности реализации угроз. В ГРИФ моделируются доступы всех групп пользователей ко всем видам информации и в зависимости от вида доступа и вида ресурса рассматриваются конечное множество очевидных элементарных ситуаций, где начальную вероятность реализации угрозы можно определить достаточно просто и точно. А далее анализируется множество опять же элементарных факторов (идет анализ комплексной защищенности объекта), которые так или иначе влияют на защищенность, и, затем - делается вывод об итоговых рисках. То есть, в алгоритме ГРИФ применяется типовой алгоритмический подход, когда решение большой сложной задачи разбивается на множество небольших простых задач.

3. Вывод

Итоговая оценка ГРИФ основывается на целом комплексе параметров, которые определяются, прежде всего, защищенностью анализируемого объекта: анализируются как технологические аспекты защищенности (включая учет требований стандартов Good Practice, ISO 15408 и др., и таких важных с точки зрения реального проникновения моментов, как нахождение в одном сегменте, действия хакера через наименее защищенный объект взаимодействия и т.д.,) так и вопросы комплексной безопасности согласно ISO 17799 (организация, управление, администрирование, физ. безопасность и т.д.). При этом подход ГРИФ обладает универсальностью, гибкостью и удобством для пользователя.

Об авторе:
Илья Медведовский, к.т.н.
Эксперт по информационной безопасности
Директор компании Digital Security
idm@dsec.ru

обсудить  |  все отзывы (0)  

[24083; 8; 8.12]




Rambler's Top100
Рейтинг@Mail.ru





  Copyright © 2001-2020 Dmitry Leonov   Page build time: 0 s   Design: Vadim Derkach