BugTraq.Ru
Русский BugTraq
https://bugtraq.ru/library/security/grifarmet.html

Методика оценки риска ГРИФ 2005 из состава Digital Security
Наталья Куканова
Опубликовано: dl, 27.10.05 01:51

На сегодняшний день существует две основные методики оценки рисков информационной безопасности: метод оценки рисков, основанный на построении модели угроз и уязвимостей, и метод оценки рисков, основанный на построении модели информационных потоков.

Разработка методики оценки риска - достаточно трудоемкая задача. Во-первых, такая методика должна всесторонне описывать информационную систему, ее ресурсы, ее угрозы и уязвимости. Сложность заключается в том, чтобы построить максимально гибкую модель информационной системы, которую можно было бы настраивать в соответствии с реальной системой. Во-вторых, методика оценки рисков должна быть предельно прозрачна, чтобы владелец информации, использующий ее, мог адекватно оценить ее эффективность и применимость к своей конкретной системе.

Остановимся подробнее на методах оценки информационного риска.

ГРИФ 2005 из состава Digital Security Office

Алгоритм: модель информационных потоков

Анализ рисков информационной безопасности осуществляется с помощью построения модели информационной системы организации. Рассматривая средства защиты ресурсов с ценной информацией, взаимосвязь ресурсов между собой, влияние прав доступа групп пользователей, организационные меры, модель исследует защищенность каждого вида информации.

В результате работы алгоритма программа представляет следующие данные:

Введение в модель

Для того, чтобы оценить риск информации, необходимо проанализировать защищенность и архитектуру построения информационной системы.

Владельцу информационной системы требуется сначала описать архитектуру своей сети:

Исходя из введенных данных, можно построить полную модель информационной системы компании, на основе которой будет проведен анализ защищенности каждого вида информации на ресурсе.

Основные понятия и допущения модели

 

Принцип работы алгоритма

Итак, пройдя первый этап (описание необходимых для модели данных), перейдем непосредственно к работе алгоритма модели.

Риск оценивается отдельно по каждой связи <группа пользователей - информация>, т.е. модель рассматривает взаимосвязь <субъект - объект>, учитывая все их характеристики.

Риск реализации угрозы информационной безопасности для каждого вида информации рассчитывается по трем основным угрозам: конфиденциальность, целостность и доступность. Владелец информации задает ущерб отдельно по трем угрозам; это проще и понятнее, т.к. оценить ущерб в целом не всегда возможно.

Рассмотрим принцип работы модели последовательно для одной связи <информация - группа пользователей> (для остальных считаем аналогично).

Расчет рисков по угрозам конфиденциальность и целостность

Расчет рисков для угроз конфиденциальность и целостность [1]:

Расчет рисков по угрозе отказ в обслуживании

Если для целостности и конфиденциальности вероятность реализации угрозы рассчитывается в процентах, то для доступности аналогом вероятности является время простоя ресурса, содержащего информацию. Однако, риск по угрозе отказ в обслуживании все равно считается для связки <информация - группа пользователей>, т.к. существует ряд параметров, которые влияют не на ресурс в целом, а на отдельный вид информации.

Итак:

Задание контрмер

В новой версии алгоритма пользователь имеет возможность задавать контрмеры. Для расчета эффективности введенной контрмеры необходимо пройти последовательно по всему алгоритму с учетом заданной контрмеры. Т.е. на выходе пользователь получает значение двух рисков - риска без учета контрмеры ( R old ) и риск с учетом заданной контрмеры ( R new ) (или с учетом того, что уязвимость закрыта).

Эффективность введения контрмеры рассчитывается по следующей формуле ( E ):

В результате работы алгоритма пользователь системы получает следующие данные:

 

ГРИФ 2005 из состава Digital Security Office

Алгоритм: модель анализа угроз и уязвимостей

Для оценки рисков информационной системы организации защищенность каждого ценного ресурса определяется при помощи анализа угроз, действующих на конкретный ресурс, и уязвимостей, через которые данные угрозы могут быть реализованы. Оценивая вероятность реализации актуальных для ценного ресурса угроз и степень влияния реализации угрозы на ресурсы, анализируются информационные риски ресурсов организации.

В результате работы алгоритма программа представляет следующие данные:

Введение в модель

Данная модель основана на построении модели угроз и уязвимостей.

Для того, чтобы оценить риск информации, необходимо проанализировать все угрозы, действующие на информационную систему, и уязвимости, через которые возможна реализация угроз.

Исходя из введенных владельцем информационной системы данных, можно построить модель угроз и уязвимостей, актуальных для информационной системы компании. На основе полученной модели будет проведен анализ вероятности реализации угроз информационной безопасности на каждый ресурс и, исходя из этого, рассчитаны риски.

Основные понятия и допущения модели

Принцип работы алгоритма

Входные данные:

С точки зрения базовых угроз информационной безопасности существует два режима работы алгоритма:


Расчет рисков по угрозе информационной безопасности

1. На первом этапе рассчитываем уровень угрозы по уязвимости Th на основе критичности и вероятности реализации угрозы через данную уязвимость. Уровень угрозы показывает, насколько критичным является воздействие данной угрозы на ресурс с учетом вероятности ее реализации.

1.1. Для режима с одной базовой угрозой:

,

где ER - критичность реализации угрозы (указывается в %);

P ( V ) - вероятность реализации угрозы через данную уязвимость (указывается в %).

Получаем значения уровня угрозы по уязвимости в интервале от 0 до 1.

1.2. Для режима с тремя базовыми угрозами:

,

,

,

где ER c , i , a - критичность реализации угрозы конфиденциальность, целостность или доступность (указывается в %);

P ( V ) c , i , a - вероятность реализации угрозы конфиденциальность, целостность или доступность через данную уязвимость (указывается в %).

Получаем значения уровня угрозы по уязвимости в интервале от 0 до 1.

2. Чтобы рассчитать уровень угрозы по всем уязвимостям CTh , через которые возможна реализация данной угрозы на ресурсе, просуммируем полученные уровни угроз через конкретные уязвимости по следующей формуле:

2.1. Для режима с одной базовой угрозой:

где Th - уровень угрозы по уязвимости.

Значения уровня угрозы по всем уязвимостям получим в интервале от 0 до 1.

2.2. Для режима с тремя базовыми угрозами:

где Th c , i , a - уровень угрозы конфиденциальность, целостность или доступность по уязвимости.

Значения уровня угрозы по всем уязвимостям получим в интервале от 0 до 1.

3. Аналогично рассчитываем общий уровень угроз по ресурсу CThR (учитывая все угрозы, действующие на ресурс):

3.1. Для режима с одной базовой угрозой:

где CTh - уровень угрозы по всем уязвимостям.

Значение общего уровня угрозы получим в интервале от 0 до 1.

3.2. Для режима с тремя базовыми угрозами:

где CTh c , I , a - уровень угрозы конфиденциальность, целостность или доступность по всем угрозам.

Значение общего уровня угрозы получим в интервале от 0 до 1.

4. Риск по ресурсу R рассчитывается следующим образом:

4.1. Для режима с одной базовой угрозой:

,

где D - критичность ресурса (задается в деньгах или уровнях);

CThR - общий уровень угроз по ресурсу.

Если риск задается в уровнях, то в качестве значения критичности берем оценку уровня. Например, для трех равномерных уровней:

Название уровня

Оценка уровня, %

1

33,33

2

66,66

3

100

В случае угрозы доступность (отказ в обслуживании) критичность ресурса в год вычисляется по следующей формуле:

где D a /год - критичность ресурса по угрозе доступность в год;

D a /час - критичность ресурса по угрозе доступность в час;

T max - максимальное критичное время простоя ресурса в год.

Для остальных угроз критичность ресурса задается в год.

4.2. Для режима с тремя базовыми угрозами:

D c , i , a - критичность ресурса по угрозе конфиденциальность, целостность или доступность. Задается в деньгах или уровнях;

CThR c , i , a - общий уровень угроз конфиденциальность, целостность или доступность по ресурсу;

- суммарный риск по трем угрозам.

Таким образом, получим значение риска по ресурсу в уровнях (заданных пользователем) или деньгах.

5. Риск по информационной системе CR рассчитывается по формуле:

5.1. Для режима с одной базовой угрозой:

5.1.1. Для режима работы в деньгах:

где R - риск по ресурсу.

5.1.2. Для режима работы в уровнях:

где R - риск по ресурсу.

5.2. Для режима работы с тремя угрозами:

5.2.1. Для режима работы в деньгах:

CR c , i , a - риск по системе по угрозам конфиденциальность, целостность или доступность;

- риск по системе суммарно по трем видам угроз.

5.2.2. Для режима работы в уровнях:

CR c , i , a - риск по системе по угрозам конфиденциальность, целостность или доступность;

- риск по системе суммарно по трем видам угроз.

В результате работы алгоритма пользователь системы получает следующие данные:

 

Заключение

Благодаря новому расширенному алгоритму, программа ГРИФ 2005 из состава Digital Security Office позволяет анализировать не только информационные потоки, но и конкретные угрозы и уязвимости информационной системы. В результате работы двух алгоритмов пользователь получает наиболее полную, адекватную и всестороннюю картину своей информационной системы.

[1] Алгоритмы расчета для угроз целостности и конфиденциальности похожи, поэтому здесь мы их объединили.

[2] Для группы мобильных Интернет-пользователей коэффициент удаленной защиты группы пользователей рассчитывается.


Куканова Наталья (nataliya.kukanova@dsec.ru)
аналитик по информационной безопасности
Digital Security


обсудить  |  все отзывы (0)  

[29768; 5; 8.6]


  Copyright © 2001-2020 Dmitry Leonov Design: Vadim Derkach