НОУ ІНТУІТ, Лекція, Управління ризиками

Метою даного курсу є вивчення сучасних методик аналізу та управління ризиками, пов'язаними з інформаційною безпекою (ІБ). У зв'язку з тим, що в процесі управління ризиками може проводитись впровадження конкретних засобів і механізмів захисту, у практичній частині курсу акцент робиться на управлінні ризиками в системах, що базуються на операційних системах (ОС) сімейства Microsoft Windows.

Ризиком у сфері ІБназиватимемо потенційну можливість зазнати збитків через порушення безпеки інформаційної системи (ІВ). Найчастіше поняття ризику змішують із поняттям загрози.

Загрозою ІБназивають потенційно можливу подію неважливо, навмисне чи ні, яке може мати небажаний вплив на комп'ютерну систему, а також інформацію, що зберігається та обробляється в ній.

Вразливість ІС- це якась невдала характеристика, яка уможливлює виникнення загрози. Вразливість є недостатня захищеність та/або деякі помилки в системі, а також наявність у системі потайних входів до неї, залишені розробниками цієї системи під час її налагодження та налаштування.

Від загрози ризик відрізняє наявність кількісної оцінки можливих втрат та (можливо) оцінки ймовірності реалізації загрози.

Але розберемося, навіщо потрібно досліджувати ризики у сфері ІБ і що це може дати розробки системи забезпечення ІБ для ІС. Для будь-якого проекту, що вимагає фінансових витрат на його реалізацію, дуже бажано вже на початковій стадії визначити, що ми вважатимемо ознакою завершення роботи і як оцінюватимемо результати проекту. Для завдань, пов'язаних із забезпеченням ІБ, це більш ніж актуально.

Насправді найбільшого поширенняодержали два підходи до обґрунтування проекту підсистеми забезпечення безпеки.

Перший з них ґрунтується на перевірці відповідності рівня захищеності ІС вимогам одного із стандартів у галузі інформаційної безпеки. Це може бути клас захищеності відповідно до вимог керівних документів Держтехкомісії України (зараз це ФСТЕК України), профіль захисту, розроблений відповідно до стандарту ISO-15408, або будь-який інший набір вимог. Тоді критерій досягнення мети у сфері безпеки – це виконання заданого набору вимог. Критерій ефективності – мінімальні сумарні витрати на виконання поставлених функціональних вимог: де ci – витрати на i-е засіб захисту.

Основний недолік даного підходу полягає в тому, що у разі коли необхідний рівень захищеності жорстко не заданий (наприклад, через законодавчі вимоги) визначити "найбільш ефективний" рівень захищеності ІВ досить складно.

Другий підхід до побудови системи забезпечення ІБ пов'язаний із оцінкою та управлінням ризиками. Спочатку він походить із принципу "розумної достатності" застосованого до сфери забезпечення ІБ. Цей принцип може бути описаний наступним набором тверджень:

  • абсолютно непереборного захисту створити неможливо;
  • необхідно дотримуватися балансу між витратами на захист і одержуваним ефектом, у т.ч. та економічним, що полягає у зниженні втрат від порушень безпеки;
  • вартість засобів захисту не повинна перевищувати вартості інформації, що захищається (або інших ресурсів - апаратних, програмних);
  • витрати порушника на несанкціонований доступ (НСД) до інформації повинні перевищувати той ефект, який він отримає, здійснивши такий доступ.

Але повернемось до ризиків. В данномуУ разі, розглядаючи ІС у її вихідному стані, ми оцінюємо розмір очікуваних втрат від інцидентів, пов'язаних з інформаційною безпекою (як правило, береться певний період часу, наприклад - рік). Після цього, робиться оцінка того, як запропоновані засоби та заходи безпеки впливають на зниження ризиків, і скільки вони коштують. Якщо уявити деяку ідеальну ситуацію, то ідею підходу відображає наведений нижче графік (рис. 1.1) [1].

управління

У міру того як витрати на захист зростають, розмір очікуваних втрат падає. Якщо обидві функції мають вигляд, представлений малюнку, можна визначити мінімум функції " Очікувані сумарні витрати " , який і потрібно.

На жаль, на практиці точні залежності між витратами та рівнем захищеності визначити неможливо, тому аналітичний метод визначення мінімальних витрат у поданому вигляді непридатний.

Щоб перейти до розгляду питань опису ризику, введемо ще одне визначення .Ресурсомабоактивомназиватимемо іменований елемент ІВ, що має (матеріальну) цінність і підлягає захисту.

Тоді ризик може бути ідентифікований наступним набором параметрів:

  • загроза, можливою реалізацією якої викликаний цей ризик;
  • ресурс, щодо якого може бути реалізована ця загроза (ресурс може бути інформаційний, апаратний, програмний тощо);
  • вразливість, якою може бути реалізована ця загроза щодо даного ресурсу.

Важливо також визначити, як ми дізнаємося, що небажана подія сталася. Тому в процесі опису ризиків, зазвичай також вказують події-"тригери", які є ідентифікаторами ризиків, що відбулися або очікуються незабаромчасу (наприклад, збільшення часу відгуку web-сервера може свідчити про один з різновидів атак на "відмову в обслуговуванні", що виробляється на нього).

Виходячи зі сказаного вище, у процесі оцінки ризику треба оцінити вартість шкоди та частоту виникнення небажаних подій та ймовірність того, що подібна подія завдасть шкоди ресурсу.

Розмір збитків від реалізації загрози щодо ресурсу залежить від:

  1. Від вартості ресурсу, що наражається на ризик.
  2. Від ступеня руйнівності на ресурс, що виражається як коефіцієнта руйнівності. Як правило, зазначений коефіцієнт лежить у діапазоні від 0 до 1.

Таким чином, отримуємо оцінку, подану у вигляді твору:

Далі необхідно оцінити частоту виникнення небажаної події (за якийсь фіксований період) і ймовірність успішної реалізації загрози. В результаті вартість ризику може бути обчислена за формулою:

Приблизно така формула використовується в багатьох методиках аналізу ризиків, деякі з яких будуть розглянуті надалі. Очікувана шкода порівнюється з витратами на заходи та засоби захисту, після чого приймається рішення щодо цього ризику. Він може бути:

  • знижений (наприклад, за рахунок впровадження засобів та механізмів захисту, що зменшують ймовірність реалізації загрози або коефіцієнт руйнівності);
  • усунений (за рахунок відмови від використання схильного до загрози ресурсу);
  • перенесений (наприклад, застрахований, внаслідок чого у разі реалізації загрози безпеці, втрати нестиме страхова компанія, а не власник ІВ);
  • прийнято.

Управління ризиками. Модель безпеки з повним перекриттям

Ідеї ​​управління ризиками багато в чому сягаютьмоделі безпеки з повним перекриттям, розробленої у 70-х роках [2].

Модель системи безпеки з повним перекриттям будується виходячи з постулату, що система безпеки повинна мати принаймні один засіб для забезпечення безпеки на кожному можливому шляху впливу порушника на ІС.

У моделі точно визначається кожна область, яка потребує захисту, оцінюються засоби забезпечення безпеки з точки зору їх ефективності та їх внесок у безпеку у всій обчислювальній системі.

лекція

лекція

Вважається, що несанкціонований доступ до кожного з безлічі об'єктів (ресурсів ІС), що захищаються, пов'язаний з деякою "величиною шкоди" для власника ІС, і ця шкода може бути визначена кількісно.

З кожним об'єктом, що вимагає захисту, пов'язується кілька дій, до яких може вдатися порушник для отримання несанкціонованого доступу до об'єкта. Потенційні зловмисні дії по відношенню до всіх об'єктів формують набір загроз ІБТ. Кожен елемент багатьох загроз характеризується ймовірністю появи.

Безліч відносин "об'єкт - загроза" утворюють дводольний граф (рис. 1.2), в якому ребро (ti,оj) існує тоді і тільки тоді, коли ti є засобом отримання доступу до об'єкта oj. Слід зазначити, що зв'язок між загрозами та об'єктами не є зв'язком типу "один до одного" - загроза може поширюватися на будь-яку кількість об'єктів, а об'єкт може бути вразливий з боку більш ніж однієї загрози. Мета захисту полягає в тому, щоб "перекрити" кожне ребро даного графа та спорудити бар'єр для доступу цим шляхом.

Завершує модель третій набір, що описує засоби безпеки М , які використовуються для захисту інформації в ІВ.В ідеальному випадку, кожен засіб має усувати деяке ребро (ti, oj). Насправді, mk виконує функцію "бар'єра", забезпечуючи певний ступінь опору спроб проникнення. Цей опір – основна характеристика, властива всім елементам набору M . Набір М засобів забезпечення безпеки перетворює дводольний граф на тридольний (рис. 1.3).

У захищеній системі всі ребра представляються у формі (ti, mk) і (mk, oj). Будь-яке ребро у формі (ti,oj) визначає незахищений об'єкт. Слід зазначити, що той самий засіб забезпечення безпеки може протистояти реалізації більш ніж однієї загрози та (або) захищати більше одного об'єкта. Відсутність ребра (ti,oj) не гарантує повного забезпечення безпеки (хоча наявність такого ребра дає потенційну можливість несанкціонованого доступу за винятком випадку, коли ймовірність появи ti дорівнює нулю).

Далі до розгляду включається теоретико-множинна модель захищеної системи – система забезпечення безпеки Клементса. Вона визначає систему у вигляді п'ятикортежного набору S = , де О - набір об'єктів, що захищаються; Т – набір загроз; М – набір засобів забезпечення безпеки; V - набір вразливих місць - відображення ТxO на набір упорядкованих пар Vi = (ti, oj), що являють собою шляхи проникнення в систему; В - набір бар'єрів - відображення VxM або ТxОxМ на набір упорядкованих трійок bi=(ti,oj,mk) являють собою точки, в яких потрібно здійснювати захист у системі.

Таким чином, система з повним перекриттям - це система, в якій є засоби захисту на кожний шлях проникнення. Якщо в такій системі, то.

Далі робляться спроби кількісно визначити ступінь безпеки системи, зіставляючи кожній ваговій дузі.коефіцієнт.

Модель системи безпеки з повним перекриттям визначає вимоги до складу підсистеми захисту ІС. Але в ній не розглядається питання вартості впроваджуваних засобів захисту та співвідношення витрат на захист та одержуваного ефекту. Крім того, визначити повну кількість "шляхів проникнення" в систему на практиці може виявитися досить складно. А саме від того, як повно описана ця множина, залежить те, наскільки отриманий результат буде адекватний реальному стану справ.