На правах рукописи

Сидоров Алексей Олегович

МОДЕЛЬ И МЕТОД СТРУКТУРИРОВАННОЙ ОЦЕНКИ РИСКА ПРИ АНАЛИЗЕ

ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

Специальность 05.13.19.

Методы и системы защиты информации, информационная безопасность

Автореферат диссертации на соискание ученой степени кандидата технических наук

Санкт-Петербург 2008 2 УДК 004.056/005

Работа выполнена на кафедре «Безопасные информационные технологии» Санкт-Петербургского государственного университета информационных технологий, механики и оптики (СПб ГУ ИТМО).

Научный руководитель: Доктор технических наук, профессор Осовецкий Леонид Георгиевич

Официальные оппоненты: Доктор технических наук, профессор Гатчин Юрий Арменакович Кандидат технических наук Моренин Алексей Викторович

Ведущая организация: Управление Федеральной службы по техническому и экспортному контролю (ФСТЭК) по Северо-Западному федеральному округу

Защита состоится "16" декабря 2008 г. в 15 часов 50 минут на заседании диссертационного совета Д 212.227.05 при Санкт-Петербургском Государственном университете информационных технологий, механики и оптики, по адресу: 101197, Санкт-Петербург, Кронверский пр., д. 49.

С диссертацией можно ознакомиться в библиотеке СПб ГУ ИТМО.

Автореферат разослан "_" ноября 2008г.

Ученый секретарь Диссертационного совета Д 212.227. кандидат технических наук, доцент _ Поляков В.И.

Общая характеристика работы

Актуальность темы Бурное внедрение информационных технологий в структуры современных организаций стало объективной реальностью. Нам всех управленческих уровнях имеется желание расширить свои коммуникационные и информационные возможности за счет внедрения современных информационных технологий. В результате информационные структуры организаций разрастаются: локальные сети организаций подключаются к Internet, объединяются в офисные многоярусные структуры, разрастаются до уровня распределенных корпоративных сетей.

Внедрение средств вычислительной техники в структуру управления современных предприятий и организаций является, безусловно, прогрессивным процессом, поэтому вполне объяснимо, что до определенного момента не возникает вопросов и опасений, связанных с использования информационных технологий. Следствием этого часто является стихийный рост информационной инфраструктуры организации, которая по мере приобретения средств вычислительной техники разрастается «вширь», приобретая неструктурированный гетерогенный характер. Это в свою очередь приводит к неконтролируемому росту уязвимостей системы и увеличению возможностей доступа к управленческой и производственной информации со стороны внешних и внутренних нарушителей. ИС становится потенциально опасной для своих собственников, своего рода «миной замедленного действия».

До определенного момента не возникает вопросов и об оценке величины риска, рост которого следует рассматривать как обратную сторону процесса информатизации. Проблема усугубляется тем, что вопросы информационной безопасности, обычно, отдаются на откуп специалистам по информационным технологиям, которые часто не в состоянии определить реальных последствий для организации угроз информационной безопасности. Менеджеры предприятия, которые могли бы оценить реальные последствия угроз, часто имеют недостаточных знаний в области информационных технологий, чтобы оценить связанные с этим риски.

Таким образом, в организации часто не оказывается специалиста, который мог бы оценить реальные риски, связанные с использованием информационных технологий, хотя, очевидно, что оценка риска нужна не только с точки зрения безопасности уже сложившейся инфраструктуры, но и для правильной оценки перспектив использования и развития информационных технологий. Более того, своевременную оценку риска следует рассматривать не только как функцию управления ИС, но и как защиту организации в целом, ее способности выполнять свои функции. Следовательно, процесс управления рисками следует рассматривать не как техническую функцию, которую можно поручить техническим специалистам, а как основную управляющую функцию организацию.

Согласно современным международным стандартам в области ИБ подсистема управления рисками ИБ должна быть обязательным компонентом общей системы обеспечения информационной безопасности организации.

Цели диссертации Целями работы являются получение структурированной оценки рисков состояния ИБ в ИС на предприятиях и в организациях, повышение достоверности оценки и сокращение расходов по созданию системы защиты.

Объект и предмет исследования Объектом исследования данной работы являются ИС предприятий, обладающие гетерогенной многоуровневой структурой.

Предмет исследования составляют методы и модели аналитических исследований, позволяющие произвести оценку рисков состояния ИБ в объекте исследования.

При решении поставленных задач использованы: методы анализа и моделирования систем, методы оценки защищенности и методы нечеткой логики.

Основные научные положения, выносимые на защиту 1. Метод структурированной аналитической оценки рисков информационной безопасности в сложных промышленных системах.

2. Модель структурированной оценки риска при построении системы информационной безопасности.

Основные результаты работы 1. Построена модель структурированной оценки риска при создании системы информационной безопасности.

2. Разработана методика получения оценки риска на основе механизма нечеткого вывода, позволяющего учесть множество потоков входных данных.

3. Предложен метод поэтапного выполнения аналитических работ по структурированной оценке рисков.

Научная новизна работы состоит в том, что с использованием методов нечеткой логики к решению проблемы ИБ в ИС, обладающих сложной инфраструктурой, был разработан инновационный структурированный подход, позволяющий улучшить качество оценки риска по сравнению с существующими методами.

Практическая ценность Работа определяет способ получения качественных и количественных оценок величин риска с максимальными возможностями учета априорных данных и результатов предварительных исследований характеристик и свойств ИС. Полученные оценки риска могут быть использованы при разработке Концепции обеспечения ИБ на этапе формирования ИС и для поддержания уровня риска на приемлемом уровне на этапе эксплуатации ИС.

Данная работы может быть полезна аналитиком в области информационной безопасности, у которых возникает задача обобщения большого количества данных о характеристиках и свойствах исследуемой системы специалистам, эксплуатирующим ИС или отвечающим за состояние ИБ, для контроля и поддержания допустимого уровня безопасности. Она рекомендуется также менеджерам для определения объема и стоимости работ по оценке рисков.

Основные положения и результаты диссертационной работы докладывались и обсуждались на научнотехнической конференции «День антивирусной безопасности» (Санкт-Петербург, октябрь 2007), на XXXVII научной и учебно-методической конференции СПбГУ ИТМО (Санкт-Петербург, февраль 2008), 12-ой научнотехнической конференции «Теория и технология программирования и защиты информации» (Санкт-Петербург, май 2008) и на круглом столе «Актуальные проблемы гостайны» (Санкт-Петербург, октябрь 2008).

Внедрение результатов Результаты работы реализованы в учебном процессе кафедры БИТ СПбГУ ИТМО по специальности 090103; на ее основе ООО "ИДС Менеджмент" проводило аудит информационной безопасности нескольких компаний.

Публикации по теме диссертации Основные положения диссертации изложены в 4 печатных работах.

Структура и объем диссертации Диссертация состоит из списка сокращений, введения, трех глав, заключения и списка литературы.

Материал изложен на 134 страницах машинописного текста, содержит 22 рисунка и 17 таблиц, список литературы состоит из 52 наименований.

Во введении обосновывается актуальность темы, сформулированы её цель, научная новизна, приведены сведения о практическом использовании полученных научных результатов и представлены основные положения, выносимые на защиту.

В первой главе рассмотрены основные методы и средства оценки текущего уровня информационной безопасности.

В первом разделе дан обзор методов и методик управления информационными рисками. Эти методики различаются, прежде всего, по уровню и совершенству используемых математических методов, положенных в основу процедур оценивания рисков. Используемые методики можно разделить на прямые одноэтапные процедуры оценки риска и многоэтапные процедуры с предварительным оцениванием ключевых параметров, оказывающих основное влияние на величину риска.

В одноэтапных методиках оценки риска выполняется с помощью одноэтапной процедуры, исходя из набора исходных данных. Механизм вывода при этом не формализован и определяется возможностями эксперта. Риск определяется путем прямой экспертной оценки.

В том случае, когда модель информационной структуры организации уже определилась и можно выделить основные факторы, влияющие на величину риска, более подходящими являются многоэтапные механизмы получения оценок риска, предусматривающие получение предварительных оценок по ключевым входным факторам. Известны методики получения оценок риска с предварительным оцениванием двух или трех параметров.

Во втором разделе рассмотрены стандарты в области информационной безопасности, такие как международные и национальные стандарты оценки управления информационной безопасностью ISO 15408, линейка стандартов ISO 27000; стандарты аудита информационных систем и информационной безопасности COBIT, SAC, COSO, SAS 55/78 и некоторые другие, аналогичные им.

В третьем разделе рассмотрены методы оценки затрат и инвестиций в информационную безопасность:

• Прикладной информационный анализ Applied Information Economics (AIE) • Потребительский индекс Customer Index (CI) • Добавленная экономическая стоимость Economic Value Added (EVA) • Исходная экономическая стоимость Economic Value Sourced (EVS) • Управление портфелем активов Portfolio Management (PM) • Оценка действительных возможностей Real Option Valuation (ROV) • Метод жизненного цикла искусственных систем System Life Cycle Analysis • Система сбалансированных показателей Balanced Scorecard (BSC) • Функционально-стоимостной анализ Activity Based Costing (ABC) • Совокупная стоимость владения Total Cost of Ownership (TCO) Во второй главе предлагается модель структурированной оценки риска при построении системы информационной безопасности, позволяющая, вне зависимости от метода оценки затрат и инвестиций, создать эффективную и экономически оправданную систему защиты информации.

В первом разделе рассматриваются методы и средства анализа защищенности информации на техническом и организационно уровнях; приводятся основные требования к таким средствам. Для получения полной картины защищенности исследуемой системы, необходимо проведения анализ на двух уровнях:

организационно-технологическом и техническом.

Для проведения инструментальных проверок рекомендуется использовать специализированные программные средства обследования корпоративных сетей с целью выявления уязвимых мест для электронного вторжения, а также комплексной оценки степени защищенности от атак нарушителей. Несмотря на повышающийся интерес к области защиты информации, сетевых сканеров безопасности не так уж и много.

Однако, задача выбора оптимального продукта подобного класса непроста, поскольку при анализе нужно учитывать много факторов.

Для достижения желаемого результата – получения оценки защищенности информационных ресурсов на техническом уровне, сканер защищенности должен обладать следующими качествами:

• полная идентификация сервисов на случайных портах;

• эвристический метод определения типов и имен серверов;

• проверка слабости парольной защиты;

• глубокий анализ контента WEB-сайтов;

• проведение проверок на DoS-атаки, в том числе нестандартные;

• одновременное сканирование большого числа компьютеров;

• ведение полной истории проверок;

• генерация отчетов с различными уровнями их детализации.

Оценка защищенности на организационном уровне обычно производится на основе специальных методов и инструментальных средств, построенных с использованием структурных методик системного анализа и проектирования (SSADM – Structured Systems Analysis and Design).

Данные методики позволяют:

• убедиться, что требования, предъявляемые к организации системы безопасности, полностью проанализированы и документированы;

• избежать расходов на принятие излишних мер безопасности, что возможно при субъективной оценке рисков;

• оказывать помощь в планировании и осуществлении защиты на всех стадиях жизненного цикла информационных систем;

• обеспечить проведение работ в сжатые сроки;

• автоматизировать процесс анализа требований безопасности;

• предоставить обоснование для мер противодействия;

• оценивать эффективность различных вариантов контрмер;

Во втором разделе рассмотрены методики работы по анализу рисков информационной безопасности, проектированию и сопровождению систем безопасности, которые позволяют:

• произвести количественную оценку текущего уровня безопасности, задать допустимые уровни рисков, разработать план мероприятий по обеспечению требуемого уровня безопасности;

• рассчитать и экономически обосновать перед руководством или акционерами размер необходимых вложений в обеспечение безопасности;

осуществления атак на уязвимые ресурсы;

• определить функциональные отношения и зоны ответственности при взаимодействии подразделений и лиц по обеспечению информационной безопасности; создать необходимый пакет организационно-распорядительной документации;

• разработать и согласовать проект внедрения необходимых комплексов защиты, учитывающий современный уровень и тенденции развития информационных технологий;

• обеспечить поддержание внедренного комплекса защиты в соответствии изменяющимся условиям работы организации, регулярными доработками организационно-распорядительной документации, модификацией технологических процессов и модернизацией технических средств защиты.

В ходе проведения анализа риска выявляются наиболее критичные с точки зрения информационной безопасности ресурсы, по каждому ресурсу определяются характерные угрозы безопасности и оценивается уязвимость системы защиты ресурса. На основании этих и общестатистических данных определяются вероятностные характеристики возникновения и реализации угроз информационной безопасности.

Цель процесса оценивания рисков состоит в определении характеристик рисков в информационной системе и ее ресурсах. На основе таких данных выбираются необходимые средства управления ИБ.

Процесс оценивания рисков содержит несколько этапов:

потенциального негативного воздействия на бизнес);

• анализ угроз информационной безопасности;

безопасности;

В третьем разделе приводится непосредственно модель построения системы информационной безопасности (рис 1).

Рис. 1 Модель построения системы информационной безопасности Эта модель соответствует специальным нормативным документам по обеспечению информационной безопасности, принятым в Российской Федерации, международному стандарту ISO/IEC «Информационная технология — методы защиты — критерии оценки информационной безопасности», стандарту ISO/IEC 27002 «Управление информационной безопасностью», и учитывает тенденции развития отечественной нормативной базы по вопросам информационной безопасности.

Представленная модель информационной безопасности – это совокупность объективных внешних и внутренних факторов и их влияние на состояние информационной безопасности на объекте и на сохранность материальных или информационных ресурсов.

Рассматриваются следующие объективные факторы:

• угрозы информационной безопасности, характеризующиеся вероятностью возникновения и вероятностью реализации;

• уязвимости информационной системы или системы контрмер (системы информационной безопасности), влияющие на вероятность реализации угрозы;

• риск – фактор, отражающий возможный ущерб организации в результате реализации угрозы информационной безопасности: утечки информации и ее неправомерного использования (риск в конечном итоге отражает вероятные финансовые потери – прямые или косвенные).

Для построения сбалансированной системы информационной безопасности предполагается первоначально провести анализ рисков в области информационной безопасности. Затем определить оптимальный уровень риска для организации на основе заданного критерия. Систему информационной безопасности (контрмеры) предстоит построить таким образом, чтобы достичь заданного уровня риска.

В четвертом разделе рассматривается процесс проектирования системы обеспечения информационной безопасности, состоящий из следующих этапов:

• Построение плана защиты объекта, которое начинается с построения профиля защиты данного объекта.

При этом часть этой работы уже была проделана при проведении анализа рисков.

• Разработка организационной политики безопасности, которая описывает порядок предоставления и использования прав доступа пользователей, а также требования отчетности пользователей за свои действия в вопросах безопасности.

• Система информационной безопасности (СИБ) объекта окажется эффективной, если она будет надежно поддерживать выполнение правил политики безопасности, и наоборот. Шагами построения организационной политики безопасности являются:

внесение в описание объекта автоматизации структуры ценности и проведение анализа риска;

определение правил для любого процесса пользования данным видом доступа к ресурсам объекта автоматизации, имеющим данную степень ценности.

• Дается детализованное описание общей цели построения системы безопасности объекта, выражаемое через совокупность факторов или критериев, уточняющих цель. Совокупность факторов служит базисом для определения требований к системе (выбор альтернатив).

• Функциональные требования профиля защиты определяются на основе набора хорошо известных, отработанных и согласованных функциональных требований безопасности. Все требования к функциям безопасности можно разделить на два типа: управление доступом к информации и управление потоками информации.

• Перечень требований к системе информационной безопасности, эскизный проект, план защиты содержит набор требований безопасности информационной среды объекта, которые могут ссылаться на соответствующий профиль защиты, а также содержать требования, сформулированные в явном виде.

• Производится оценка меры гарантии безопасности информационной среды объекта автоматизации.

Мера гарантии основывается на оценке, с которой после выполнения рекомендованных мероприятий можно доверять информационной среде объекта.

В пятом разделе рассматривается механизм нечеткого вывода, являющийся основным звеном в методике получения оценки риска. Он преобразует входные данные в выходную переменную, т.е. в оценку риска. Механизм нечеткого вывода представляет собой последовательность операций над входными данными в соответствии с параметрами, заложенными в наборе репродукционных правил (рис.2).

Основными этапами нечеткого вывода являются:

• Ввод экспертных оценок обеспечивает механизм вывода необходимой информацией.

• Фазификация представляет собой процедуру нахождения функций принадлежности используемых термов входных переменных на основе исходных данных.

• Агрегирование является процедурой определения степени истинности условий по каждому из правил системы нечеткого вывода.

• Активизация представляет собой процедуру нахождения степени истинности каждого из подзаключений правил нечетких продукций.

• Аккумуляция представляет собой процедуру нахождения функции принадлежности для каждой из выходных лингвистических переменных заданной совокупности правил нечеткого вывода.

• Дефазификация является процедурой нахождения четких значения выходных переменных, в наибольшей степени отвечающих входным данным и базе продукционных правил.

Реализация механизма нечеткого вывода заключается в использовании известного или в разработке нового алгоритма обработки данных.

Приведены примеры практического использования механизма нечеткого вывода для получения оценки риска.

Один из примеров приведем ниже:

Предположим, что с помощью продукционных правил нечеткой логики необходимо воспроизвести механизм оценки риска, представленный в таблице 1 (рекомендации NIST 800-30).

Таблице 1 соответствуют следующие продукционные правила:

1. ЕСЛИ Вероятность – Большая И Ущерб – Большой, ТО Риск = Б (большой);

2. ЕСЛИ Вероятность – Большая И Ущерб – Средний, ТО Риск = С (средний);

3. ЕСЛИ Вероятность – Большая И Ущерб – Низкий, ТО Риск = Н (низкий);

4. ЕСЛИ Вероятность – Средняя И Ущерб – Большой, ТО Риск = С (средний);

5. ЕСЛИ Вероятность – Средняя И Ущерб – Средний, ТО Риск = С(средний);

6. ЕСЛИ Вероятность – Средняя И Ущерб – Низкий, ТО Риск = Н (низкий);

7. ЕСЛИ Вероятность – Низкая И Ущерб – Большой, ТО Риск = Н (низкий);

8. ЕСЛИ Вероятность – Низкая И Ущерб – Средний, ТО Риск = Н (низкий);

9. ЕСЛИ Вероятность – Низкая И Ущерб – Низкий, ТО Риск = Н (низкий).

Механизм вывода будет содержать два входа: один – для ввода оценки вероятности, второй – для ввода оценки ущерба (рис. 3).

Функции принадлежности для всех трех шкал зададим с помощью трапециевидных функций (рис. 4).

Механизм вывода показан на рис. 5.

В качестве входных значений зададим значение вероятности равное 0,683 и ущерба – 0,741. Вид входных переменных после фазификации представлен в левой и в средней колонках на рис. 5. В правой колонке показаны активизированные решающие правила, здесь же наглядно представлена процедура дефазификации (взвешивания) и получения конечной оценки риска. Выходной переменной является оцениваемое значение риска, которое в данном случае равно 0,57.

Рассмотренный пример приведен для понимания используемого метода и не демонстрирует всех его преимуществ, которые будут проявляться по мере увеличения количества входов, увеличения числа градаций используемых шкал и роста сложности продукционных правил вывода.

В третьей главе описывается метод выполнения аналитических работ по структурированной оценке рисков. Метод включает в себя девять основных этапов, каждому из которых соответствует свой раздел данной главы диссертации.

Этап 1: Описание системы. На этом этапе проводится сбор сведений для определения границ и описания системы на различных иерархических уровнях с целью выявления уязвимостей и оценки достаточности принятых мер защиты.

Этап 2: Идентификация источников угроз. Целью данного этапа является определение потенциальных источников угроз для оцениваемой ИТ-системы и составление списка актуальных источников угроз для данной ИТ-системы.

Этап 3: Идентификация уязвимостей. Целью данного этапа является создание списка уязвимостей (недостатков или упущений), которыми могут воспользоваться потенциальные источники угроз.

Этап 4: Анализ контроля безопасности. Цель данного этапа – анализ средств контроля, уже внедренных компанией или планируемых для внедрения для уменьшения или устранения вероятности использования уязвимости системы под действием источника угроз.

Этап 5: Определение вероятности. На данном этапе вычисляется уровень вероятности успешной атаки зависит от потенциала угрозы, создаваемой активным источником угрозы в поле уязвимости (табл. 2).

Таблица 2. Вероятность успешной атаки от от i-го источника угроз в рамках j-ой уязвимости Нетрудно заметить, что табличные данные отражают пороговый эффект, связанный с преодолением защиты и получены на основе операции алгебраической разности.

Этап 6: Анализ воздействия. Следующим шагом в определении уровня риска является определение неблагоприятного воздействия (ущерба), как результата успешного использования уязвимостей системы источником угроз.

Этап 7: Определение риска. Цель данного этапа заключается в определении максимального уровня риска при успешной реализации атаки от (i-го) источника по (j-й) уязвимости.

Простой способ получения оценок риска для каждой пары угроза/уязвимость, который можно заложить в механизм оценки риска, заключается в переумножении вероятности реализации угрозы и ущерба от реализации угрозы с последующим ранжированием полученных значений.

Результаты выполнения перемножения величин P(i,j) и S(i,j) и последующего ранжирования полученных значений для рассмотренных выше шкал вероятности реализации угрозы и ущерба от реализации угрозы приведены в табл. 3 (числа – результат перемножения P(i,j) и S(i,j), а буквенные индексы отражают результат ранжирования).

угрозы S(i,j) В шкале для оценки риска предусмотрены следующие уровни:

•Н – низкий (приемлемый);

•О – очень высокий (недопустимый).

При ранжировании значений риска (табл. 3) использовано следующее правило:

•Н – соответствует значениям риска от 1 до 3;

•О– соответствует значению риска 25.

Таблица 4 содержит описание уровней рисков. С помощью этих уровней оценивается степень риска, которому может быть подвержена ИТ-система (отдельный элемент или процедура) в случае, если проявится определенная уязвимость. В таблице приведены так же действия, которые необходимо предпринять в этих случаях.

Уровень риска (приемлемый) необходимость в корректирующих действиях или Критический Система находится в критическом положении.

Очень высокий Уровень риска имеет очень высокий уровень, (недопустимый) который является недопустимым для организации.

Необходимо остановить использование ИТ-системы В механизме нечеткого вывода такой способ получения оценок риска может быть представлен с помощью следующих правил:

Входные данные:

•P(i,j) – вероятность успешной реализации атаки от (i-го) источника угроз по (j-й) уязвимости;

•S(i,j) – величина ущерба от успешной атаки от (i-го) источника угроз по (j-й) уязвимости (шкала угроз содержит пять уровней).;

Выходные данные:

•R(i,j) – величина риска от атаки от (i-го) источника угроз по (j-й) уязвимости.

Правила вывода.