Риск в сфере информационной безопасности - вероятность и последствие реализации угрозы. Каждая информационная среда уязвима в той или иной степени.
Риски встречаются в различных сферах жизнеобеспечения компаний, как правило, не все из них связаны с утечкой конфиденциальной информации на ЭВМ.
При аудите информационной безопасности следует обращать внимание на основные источники угроз:
Угрозы должны быть определены, классифицированы. Потенциальные повреждения в компании должны быть рассчитаны. Точное вычисление реального риска - задача со значительной погрешностью.
Анализ рисков в ТКС
Анализ рисков - метод определения уязвимостей и угроз, оценка критических мест, где можно будет в дальнейшем усилить безопасность. Анализ рисков используется для того, чтобы удостовериться в эффективности и себестоимости существующих систем безопасности.
Цели анализа рисков:
Анализ рисков сравнивает ежегодную стоимость системы безопасности с потенциальной стоимостью потерь. Безопасность не должна быть осуществлена, если ее стоимость превышает стоимость потерь.
ТКС представляют собой скелет, связывающий жизненную деятельность миллиардов людей. Сложная инфраструктура ТКС является причиной потери информации вследствие разрушения физической составляющей.
Определение угроз ТКС[2,3,4,5,6,7,8.9] таблица1
Вид Угрозы |
Способ защиты |
Угрозы со стороны КС
|
|
Сбой в электропитании |
Использование источников бесперебойного питания (ИБП), анализ сбоев в электросети |
Воздействие сверхширокополосных электромагнитных импульсов на телекоммуникационные системы |
|
Перенапряжение в ТКС |
|
|
|
Взаимодействие нескольких локальных сетей |
|
Сетевой снифинг(SpyNet) |
Использование защиты от прослушивания сети (AntiSniff) |
|
|
Утечка информации, передаваемой по ЛВС
|
|
Перехват речевой информации из помещений, по которым проходит телефонная линия |
|
|
Применение индикаторов электромагнитных излучений: индикатор радиоизлучение «Спутник», детектор излучений ДИ-К, индикатор радиоизлучения «Ekostate», поисковое устройство РТ 022. Радиоприемные устройства: сканирующие приемники, высокоскоростные поисковые приемники, селективные микровольтметры, анализаторы спектра. Автоматизированные поисковые комплексы, нелинейные локаторы, досмотровая техника |
Методы оценки рисков.
Широко используются научные методы оценки рисков для установления наиболее подходящих стандартов.
NIST SP 800-30 и 800-66 - методологии общего пользования. Тем не менее, 800-66 активно используют в регламентированных областях, что доказывает ее универсальность.
Подход NIST специфичен для IT угроз, он состоит из следующих шагов[11]:
NISP 800-30 фокусируется в основном на компьютерных системах. Команда специалистов собирает информацию из сети и от людей, работающих в данной организации. Эти данные используются в качестве начальных значений, далее они подлежат обработке в соответствии с вышеупомянутыми пунктами.
Риск в соответствии со стандартом - функция вероятности использования данным источником угрозы определенной потенциальной уязвимости с целью выполнения неблагоприятного воздействия на информационную систему и организацию. Вероятность определяем в ходе опроса и анализа предыдущих событий.
Воздействие эквивалентно уровню ущерба, вызванного в результате реализации угрозы через уязвимость.
Уровень воздействия определяется как уровень ущерба ресурсам информационной системы.
Уменьшение риска в соответствии с документом - процесс в оценке и нейтрализации рисков: расположение по приоритетам, оценка рекомендованных мероприятий защиты.
Методы снижения рисков по стандарту NISP 800-30 [12]:
Следующая методология оценки рисков FRAP (Способствовать Процессу Анализа Рисков). Целью FRAP является осуществление организации на предприятии, принятие определенного решения о том, какого курса следует придерживаться для устранения последствий угроз. Благодаря предварительному экранированию процесса пользователи могут определить области, нуждающиеся в анализе на наличие рисков, в пределах организации. Данный метод может принести успех в анализе, если исполнители будут обладать необходимыми профессиональными качествами.
FRAP более подробно раскрываются пути получения данных о системе и ее уязвимостях.
Этапы оценки рисков [12]:
Следующая методология называется OCTAV(Критические угрозы, Оценка Уязвимостей). Особенность OCTAV заключается в осуществлении анализа рисков с использованием исключительно штатных сотрудников: люди, вовлеченные в деятельность компании, лучше приглашенных специалистов понимают, с каким риском они столкнутся.
OCTAVE предполагает три фазы анализа [12]:
1. Разработка профиля угроз, связанных с активом;
2. Идентификация инфраструктурных уязвимостей;
3. Разработка стратегии и планов безопасности.
OCTAVE использует следующую спецификацию угроз [12]:
1. Угрозы, исходящие от человека-нарушителя, действующего через сеть передачи данных;
2. Угрозы, исходящие от человека-нарушителя, использующего физический доступ;
3. Угрозы, связанные со сбоями в работе системы;
4. Прочие.
Практическая часть.
Проведем сравнительный анализ ТКС на наличие рисков утечки конфиденциальной информации (ГОСТ 17799-2005 конфиденциальность - обеспечение доступа к информации только авторизированным пользователям).
Объем информации, передаваемой по каналу связи, составляет:
, (1)
- объем информации в байтах, который необходимо передать от УСПД (устройство сбора и система передачи данных) до ЭВМ
(2)
ND - количество каналов учета, которое следует опросить
EL - размер параметра в байтах
VAL - количество значений параметра
Количество информации, передаваемое по непрерывному каналу, составляет:
Количество информации, передаваемое по непрерывному каналу составляет:
(3)
, отношение сигнал/шум, дисперсия сигнала, дисперсия
- условная дифференциальная энтропия сигнала X при известном сигнале Y.
- дифференциальная энтропия
- амплитуда импульсов
- входные (информационные) случайные величины.
Критерием оценки защищенности ТКС является условие:
в идеале (каждый путь осуществляемой угрозы должен быть перекрыт определенным механизмом защиты).
- вероятность реализации i-ой угрозы.
В работе используется модель защиты системы с полным перекрытием, взаимодействие «области угроз», «защищаемой области» и «системы защиты».
Имеем три множества:
, множество угроз безопасности (таблица 1)
, множество объектов защищенной системы
, множество механизмов безопасности (таблица 1)
ISO 15408, ISO 17799 наиболее значимые нормативные документы, определяющие критерии оценки защищаемой среды и требования, применительно к ней.
Множество угроз находится в отношении с множеством объектов и образует двухдольный граф . Для осуществления цели защиты (перекрытие всех возможных ребер в полученном графе) водим набор M. Получается трехдольный граф рис 2.
Прочность системы характеризуется величиной остаточного риска Risk (вероятность осуществления угрозы «t» в отношении объекта ТКС «о» при использовании механической защиты « »).
(4)
- вероятность появления угрозы
(5)
- число благоприятных случайных событий,
- общее число случайных событий.
- величина ущерба при удачном осуществлении угрозы в отношении защищаемых объектов.
- степень сопротивляемости механизмам защиты (вероятность преодоления всей последовательности преград механической защиты).
(6)
- количество преград системы защиты (механизмы безопасности),
- номер преграды, препятствующий к доступу информации типа,
- величина, обратная математическому ожиданию времени преодоления преграды системы защиты,
- функция распределения времени преодоления преграды системы защиты,
- функция распределения времени между соседними изменениями параметров преграды системы защиты.
II. Для оценки вероятности осуществления угрозы в отношении объекта сети передачи данных принимаются во внимание критерии защищенности объектов от угроз (таблица1).
Критерии защищенности средств вычислительной техники.
Критерием оценки защищенности объекта ВТ является условие: отношение сигнал/шум на выходе приемного устройства перехвата секретной информации не превышает предельно допустимого значения во всех возможных каналах утечки.
(7)
, (8)
критерий защищенности СВТ от утечки информации за счет ПЭМИН.
III. Задается критический порог для системы (минимизируется значение риска).
, (9)
- случайное событие,.
Требуется выбрать оптимальные показатели системы из условия минимизации обобщенного риска и найти минимальные значения этого риска.
(10)
- значение вероятностей условного риска
, (11)
- коэффициенты значимости.
IV. В соответствии с полученными данными о состоянии сети передачи информации выбирается оптимальное решение, основанное на критериях:
Дано: варианты решения задачи управления ( ).
Критерий Лапласа [15].
В соответствии с этим критерием оптимальным считается действие, которому соответствует выигрыш.
, (12)
- точное значение факторов, влияющих на эффективность(неизвестно).
В основе критерия лежит предположение: поскольку о состояниях обстановки ничего не известно, то их можно считать равновероятными.
Критерий Вальда [16].
Оптимальным является действие, приводящее к наилучшим из наихудших состояний: действие
. (13)
Под выигрышем рассматривается
(14)
(Return on Investment) коэффициент рентабельности инвестиций
(15)
Критерий Сэвиджа [16].
Нахождение минимального риска. При выборе решения сопоставляют матрицу функций эффективности матрице сожалений (элементы отображают убытки от ошибочных действий, выгоду, упущенную в результате принятия -го решения в -ом состоянии).
Затем по полученной матрице выбираются решения в соответствии с критерием Вальда.
Критерий Гурвица [16].
В соответствии с этим критерием оптимальным считается действие , для которого достигается
, где (16)
- коэффициент, характеризующий долю пессимизма и оптимизма (выбирается по субъективным соображениям).
Каждый критерий должен соответствовать намерениям решающего задачу. Критерии Вальда и Сэвиджа используется в принятии ответственных решений. Критерий Гурвица - для оперативного управления системой.
Вывод.
Работа подразделяется на две части: теоретическую и практическую. Теоретическая: рассмотрены возможные виды угроз в ТКС, действия по их предотвращению и основные методы (в соответствии с мировыми стандартами) по снижению рисков. Практическая: приведена формула вероятностной характеристики рисков, исходя из стоимости наносимого ущерба.
Литература.