Методики оценивания рисков и их программные реализации в компьютерных сетях

В настоящее время любая современная компания активно использует информационные технологии, а информация стала важнейшим объектом деловых отношений. В связи с этим не так давно возник новый класс рисков, присущих деятельности организаций и отличных от уже существовавших, — риски, связанные с угрозой нарушения информационной безопасности.

В основу современных стандартов в обеспечении целостности информации заложен подход, при котором производится управление рисками при их наличии. А чтобы управлять этими рисками, предприятию необходимо для начала выбрать методику, по которой рассчитывалась бы оценка рисков. И этот шаг, как правило, представляет сложность по тем или иным причинам. С одной стороны, не существует программного комплекса, который бы удовлетворял по всем параметрам, с другой — руководство организации зачастую не желает выделять на это достаточное количество времени и денег, так как не видит в этом практической пользы, а если и выделяет, то на выходе может получить нечто неприменимое к действительности.

Информационные технологии не стоят на месте, совершенствуются с каждым днём, из-за чего приходится повышать и качество управления рисками. Неизбежно устаревают одни методики, другие — возникают и совершенствуются, в связи с чем очень важно работать по максимально актуальной на данный момент. В результате на рынке программ оценивания рисков формируется лишь несколько лидеров, заслоняя собой редко обновляющиеся или неэффективные аналоги, а у самих методик появляются отличия, на которых и основаны все достоинства и недостатки программных комплексов.

Так как вычислительная сеть используется на большом количестве предприятий, актуальность проблемы информационной безопасности велика. Рассмотрим и сравним основные системы анализа информационных рисков.

OCTAVE. Методология разработана в Институте программной инженерии при Университете Карнеги-Меллона в США. Название расшифровывается как «Operationally Critical Threat, Asset, and Vulnerability Evaluation», то есть «Оценка критичных угроз, активов и уязвимостей».

При работе с этой системой происходит активное участие владельцев информации в процессе определения наиболее незащищённых информационных массивов и наиболее вероятных рисков. Методология основана на последовательности специально организованных внутренних семинаров, а оценка рисков производится в три этапа, перед которыми предлагается согласовать график семинаров, распланировать действия участников и назначить им роли.

Первый этап заключается в разработке профилей угроз, соответствующих сети данной организации, а также законодательной базе. На втором этапе происходит анализ уязвимостей систем предприятия по отношению к угрозам, профили которых были составлены на первом этапе. И, наконец, третий этап включает в себя оценивание рисков информационной безопасности, заключающееся в установлении вероятности или степени причинения ущерба в случае осуществления угроз при действующих уязвимостях. По окончании производится принятие решений по обработке рисков [2].

Oracle Crystal Ball. Это приложение к Microsoft Excel для моделирования бизнес-процессов, установления рисков, прогнозирования неопределённых данных и оптимизации результатов. Методика позволяет использовать исторические данные по продажам, на основании чего может быть составлен прогноз. Использование моделирования по методу Монте Карло даёт дополнительные возможности по оптимизации. Crystal Ball обеспечивает возможность моделирования и имитации для осуществления «What-If» анализа. Немаловажным преимуществом является простота в использовании и наглядность выходных данных [3].

CRAMM. Был разработан в 1985 году в Великобритании Центральным агентством по компьютерам и телекоммуникациям (CCTA) и является одной из первых методик оценки рисков в рамках информационный безопасности. Название расшифровывается как CCTA Risk Analysis & Management Method.

Программное обеспечение является настраиваемым для различных сфер деятельности с использованием встроенных профилей: коммерческий, гражданское государственное учреждение, финансовый сектор и прочее. При анализе рисков происходит идентификация и вычисление уровней рисков на основе оценок, которые были присвоены элементам модели угроз. На выходе получается профиль контрмер, благодаря которому производится контроль рисков.

Исследование безопасности информации проводится в четыре этапа: идентификация и оценка ресурсов, оценивание угроз и уязвимостей, анализ рисков и управление рисками [4].

CORAS. Разработана в рамках программы Information Society Technologies. Основывается на адаптации, уточнении и комбинировании следующих методов анализа рисков: цепи Маркова, FMECA, Event-Tree-Analysis и HazOp. В системе используется технология UML, а базируется она на австралийском/новозеландском стандарте AS/NZS 4360: 1999 Risk Management и ISO/IEC 17799–1: 2000 Code of Practice for Information Security Management.

В данной методологии информационные системы представлены как сложный комплекс с учётом человеческого фактора, а не только на основе используемых технологий. Правила методологии реализованы в виде Java- и Windows-приложений [2].

RiskWatch. Разрабатывается одноимённой американской компанией и включает средства как для информационной безопасности, так и для физических методов защиты. В качестве критериев оценки используются оценка возврата от инвестиций и предсказание годовых потерь.

Методика состоит из четырёх этапов. На первом определяют предмет исследования, то есть состав системы в общих чертах, элементы можно выбрать уже из заготовленного списка. На втором этапе вводят данные, подробно описывают ресурсы сети, отвечают на вопросы для выявления уязвимостей. На третьем этапе рассчитывается профиль рисков, выбираются меры по обеспечению безопасности, для чего устанавливают связи между ресурсами, вводят количественную оценку. На четвёртом этапе генерируется отчёт [4].

ГРИФ. Данный программный комплекс выделяется на рынке российских продуктов в сфере информационной безопасности. Анализируется уровень защиты всех ресурсов организации, оценивается возможный ущерб, предоставляется возможность выбора контрмер для обеспечения эффективного управления рисками. Проведение полного анализа происходит в несколько этапов, на которых менеджеру предлагается ввести список ресурсов компании, виды информации, ущерб по каждой группе информации, доступ пользователей к ресурсам, средства защиты и ответить на ряд вопросов, предложенных системой [4]. Несмотря на сложность внутренних алгоритмов, программа проста в использовании, и на выходе предлагается наглядный и полный отчёт.

Рассмотренные лидирующие методологии позволяют достаточно ёмко оценить весь ассортимент предлагаемых средств оценки рисков в информационном поле по причине их повсеместного использования. Все они хорошо справляются с оценкой и управлением рисков, но имеют свои недостатки, связанные с мониторингом. Ни в одной системе не предполагается расчёт оптимального баланса способов управления, не производится обработка остаточных рисков, не даётся указаний по дальнейшим анализам рисков в сети, не учитывается непостоянство факторов риска.

Критерию «Простота использования» не соответствуют лишь CRAMM и RiskWatch, для успешной и продуктивной работы с которыми необходимо обучение либо привлечение экспертов. К тому же CRAMM предполагает большие сроки для анализа. Остальные рассмотренные комплексы данных проблем не проявляют, а Crystal Ball даже слишком прост в использовании.

Методология OCTAVE является гибкой, организации могут использовать ряд критериев для «заточки» программы под свои нужды. Также данный комплекс может нести информативную функцию благодаря встроенной программе повышения квалификации сотрудников. OCTAVE не использует количественную оценку рисков, но качественная оценка довольно легко описывает количественное отношение.

Очень важным должно являться наличие «What-If» анализа, то есть оценки ситуации при использовании профиля защиты. Это позволяет предприятию заглянуть вперёд и оценить возможные выгоды при использовании специальных средств и действий по защите информации. Такую оценку дают лишь Crystal Ball и RiskWatch.

В методологии CRAMM отсутствуют: интеграция способов управления и описания назначения этих способов; перерасчёт максимально допустимых величин рисков; реагирование на инциденты. При работе с рисками CRAMM использует только методы их снижения, а такие способы управления рисками, как «обход» или «принятие», не затрагиваются.

Одним из преимуществ для предприятий с ограниченными финансовыми возможностями является бесплатность использования. Таким могут похвастаться CORAS и OCTAVE, первый из которых не требует значительных ресурсов при применении.

В отличие от CRAMM программа RiskWatch более ориентирована на количественную оценку. С недавних пор она имеет русскую локализацию, что является несомненным плюсом на российском рынке. RiskWatch позволяет производить анализ только на программно-техническом уровне, но не учитывает административных факторов, а значит, получаемая оценка не является полной и не учитывает комплексный подход к безопасности.

Программный комплекс ГРИФ является сильной отечественной разработкой, что выглядит преимуществом для русскоязычных компаний. Но в этой методологии отсутствует возможность сравнения отчётов на различных стадиях внедрения мер по обеспечению защищённости.

Если требуется оценить риски одноразово, то уместно применить методологию CORAS, а в случае периодического использования целесообразнее система CRAMM. OCTAVE будет актуальной в крупных организациях, где постоянная оценка рисков является неотъемлемой частью работы. По целому ряду критериев невозможно установить превосходство того или иного средства оценки рисков, но каждое предприятие определяет для себя приоритетные направления, по которым и выбирает методику. В идеале необходимо получить не только удовлетворительные результаты оценивания, но и удобный в использовании программный комплекс, который бы являлся инструментом при таком оценивании. Естественно желание получить ясные результаты исследования, а также рекомендации по снижению рисков. Инструмент обязан проследить связь между рисками и причинами, приводящими к этим рискам. Именно этим требованиям наиболее удовлетворяет OCTAVE.

Описанные программы достаточно популярны среди организаций, причиной чего может быть назван целый ряд достоинств каждой методологии, но даже несмотря на это, невозможно выделить какую-то одну из них. Это можно объяснить тем, что достоинства каждой программы выделяются по совершенно разным критериям, и каждая организация выбирает средство под свои нужды. Но это же говорит и о том, что у каждого комплекса есть и свои недостатки. Поэтому проблема актуальна до сих пор: нет универсальной методологии, которая бы решила все нужды. А наличие таковой важно, так как до сих пор некоторые руководители не понимают важность работ по оценке рисков в их сетях, в том числе и по причине неполного совершенства фигурируемых на рынке программ.

Таблица 1

Сравнительные характеристики основных систем анализа рисков

Литература:

1. Петренко С. А., Симонов С. В. Управление информационными рисками [Текст]. // Экономически оправданная безопасность. — М.: Компания АйТи; ДМК Пресс, 2004. — 384 с.

2. Пастоев. А. Методологии управления ИТ-рисками [Электронный ресурс]. — Режим доступа: http://www.iso27000.ru/chitalnyi-zai/upravlenie-riskami-informacionnoi-bezopasnosti/metodologii-upravleniya-it-riskami, свободный. — Язык русский.

3. Oracle. Information decides [Электронный ресурс]. — Режим доступа: http://www.oracle.com/us/products/middleware/bus-int/crystalball/cb-brochure-404904.pdf, свободный. — Язык английский.

4. Медведовский И. Д. Современные методы и средства анализа и контроля рисков информационных систем компаний [Электронный ресурс]. — Режим доступа: http://www.bugtraq.ru/library/security/itrisk.html, свободный. — Язык русский.