|
|
  |
Главная страница / Архитектура отрасли Практические советы по анализу рисков в корпоративной сетиАнализ рисков – составная часть управления информационными рисками, в процессе которого оцениваются уязвимости информационной системы к угрозам безопасности, их критичность и вероятность ущерба для компании, вырабатываются контрмеры по уменьшению рисков до приемлемого уровня и обеспечивается контроль защиты информационной системы компании. Важность этого этапа управления обусловлена тем, что, во-первых, анализ уязвимости корпоративной сети необходим при создании комплексной системы информационной безопасности (ИБ), во-вторых, ИТ-подразделениям нужно обосновывать инвестиции в ИБ. С практической точки зрения, сегодня при проведении анализа рисков не нужно «изобретать велосипед». Существует множество западных методик и национальных стандартов. Один из самых полезных в этой области – американский стандарт NIST SP800-30 Risk Management Guide for Information Technology Systems, который подробно описывает сам процесс анализа рисков и предоставляет основные рекомендации по управлению рисками. Для финансового сектора можно порекомендовать американский стандарт GAO Information Security Risk Assessment. Но самыми, пожалуй, популярными методиками анализа рисков являются американская методика Carnegie Mellon's OCTAVE (Operationally Critical Threat, Asset, and Vulnerability EvaluationSM) Security Risk Evaluation и английская методика Commercial Risk Analysis and Management Methodology (CRAMM). Последняя реализована и в виде программного продукта, использование которого, к сожалению, требует от исполнителя специальной аудиторской подготовки. Наиболее известными российскими программными продуктами в области анализа информационных рисков являются программный комплекс «Гриф», разработанный санкт-петербургской компанией Digital Security, и продукт «Авангард» Института системного анализа РАН. Построение «модели угроз», наряду с инвентаризацией информационных активов, – один из наиболее важных этапов анализа рисков. Алгоритмы построения таких моделей предлагают многие разработчики программного обеспечения анализа рисков. Например, классификация угроз DSECCT, входящая в состав программного продукта «Гриф», описывает существующие угрозы информационной безопасности и их признаки, позволяет строить модели угроз для условий конкретной информационной системы компании. В качестве инструментов для построения модели можно предложить также методики OWASP (Open Web Application Security Project), DREAD Threat Model, бесплатный программный продукт Microsoft threat modelling tool. В целом, можно выделить три основных типа атак на информационные системы: на уровне сети – сканирование (сбор информации), подслушивание и перехват (sniffing), определение топологии (tracerouting), подделка пакетов данных, отказ в обслуживании и т. д.; на уровне операционных систем – переполнение буфера, внедрение эксплойтов, rootkit (несанкционированное управление «взломанной» системой) и т. п.; на уровне приложений и баз данных – SQL-инъекции, XSS, подделка входных данных, подделка сессий и др. Причем система может изначально иметь уязвимости в технологической архитектуре. Рассмотрим в качестве примера основные угрозы системе ИБ компании, направленные на корпоративную сеть (рис. 1). Покажем, как может осуществляться анализ рисков в корпоративной сети. На первом этапе определяются границы системы, и проводится инвентаризация соответствующих информационных активов (табл. 1). Затем составляется таблица угроз и уязвимостей с уровнем их критичности (табл. 2). Оценка вероятности реализации угрозы и уязвимости системы является одним из самых сложных этапов при анализе рисков и требует определенного опыта команды, проводящей анализ рисков, привлечения существующих статистических данных из аналитических обзоров, информации об уже возникавших инцидентах ИБ и т. д. На основе сочетания вероятностных значений угроз, уязвимости и ценности рассматриваемых ИТ-ресурсов составляется матрица рисков (рис. 2), в которой выявленные угрозы распределяются по степени их воздействия на информационную систему компании. На основе матрицы рисков принимается решение по способам управления рисками, то есть определяется, воздействие каких угроз можно снизить и какими методами. В том числе проводится экономическое обоснование контрмер с целью достижения разумного баланса между затратами на дополнительные средства обеспечения безопасности и возможными потерями в случае возникновения инцидентов, вызванных выявленными угрозами. Заключительным этапом процесса анализа рисков является формирование отчета, в который сводятся описания выявленных высокоуязвимых областей, существенных угроз и необходимых контрмер с их экономическим обоснованием. Этот документ представляется высшему руководству компании. Решение о применении (или неприменении) тех или иных средств управления рисками принимает владелец ИТ-ресурсов, который тем самым берет на себя ответственность за последствия воздействия угроз ИБ. Отметим, что анализ рисков целесообразно проводить силами внутренних или внешних аудиторов, независимых от основных «заинтересованных» сторон (от ИТ и службы безопасности компании). Такой «взгляд со стороны» позволяет получить объективную оценку существующих уязвимостей и снизить вероятность ошибки в выборе средств управления рисками. hazop-expert.ru Главная страница / Архитектура отрасли |