Обзор подготовлен При поддержке
CNewsAnalytics IT Expert

Затраты на ИТ-защиту: ищем золотую середину

Затраты на ИТ-защиту: ищем золотую середину

Оценка оптимального уровня инвестиций в информационную безопасность компании представляет собой комплексную задачу, для решения которой необходимо использовать программные комплексы анализа и контроля информационных рисков.

Потенциальный ущерб

Анализ информационных рисков представляет собой комплексную оценку защищенности информационной системы, окончательным результатом которой является получение количественных или качественных показателей рисков. При этом риск — это вероятный ущерб, который зависит от защищенности системы. Таким образом, на выходе алгоритма анализа риска можно получить ту сумму, которую в среднем будет терять предприятие при заданной органицазии ИБ.

Необходимость вложений в обеспечение информационной безопасности сегодня не вызывает сомнений, однако оценка уровня инвестиций, адекватного возможным угрозам, является сложной задачей. Согласно отчету ФБР США за 2003 год, в основе которого лежит опроса 530 американских компаний (средний и крупный бизнес), до 70% из них подвергались не только потенциальным рискам, но и реальным атакам.

Подвергалась ли компания атакам?
(в % от числа опрошенных)

Подвергались ли компания атакам?

Источник: ФБР США, 2003 год

Максимальными по размеру экономического ущерба являются потери от кражи корпоративной информации, которые оцениваются ФБР более 70 млн. долл. На втором месте — простои, обходящиеся порядка 65-65 млн. долл. На третьем — убытки от вирусов, составляющие более 27 млн. долл.

Структура ущерба от основных уязвимостей ИБ, $ млрд.
(на основании опроса 251 америконской компании)

Структура ущерба от основных уязвимостей ИБ

Источник: ФБР США, 2003 год

Основные термины и определения.

Угроза безопасности — это потенциально возможное происшествие, которое может оказать воздействие на информацию в системе

Уязвимость — это некая неудачная характеристика системы, которая делает возможным возникновение угрозы

Атака — это действие по использованию уязвимости; атака — это реализация угрозы

Угроза конфиденциальности — угроза раскрытия информации

Угроза целостности — угроза изменения информации

Угроза доступности — угроза нарушения работоспособности системы при доступе к информации

Ущерб — это стоимость потерь, которые понесет компания в случае реализации угроз конфиденциальности, целостности, доступности по каждому виду ценной информации. Ущерб зависит только от стоимости информации, которая обрабатывается в автоматизированной системе. Ущерб является характеристикой информационной системы и не зависит от ее защищенности.

Риск — это вероятный ущерб, который зависит от защищенности системы.

Современные методы анализа рисков различаются по используемому подходу; обычно условно выделяется анализ рисков базового и полного уровня. Для анализа рисков базового уровня достаточно проверить риск невыполнения требований общепринятого стандарта безопасности (обычно ISO 17799, либо комплексные системы разработки и управления политикой безопасности информационной системы) с получением на выходе качественной оценки уровня рисков (высокий, средний, низкий).

Наиболее подробно следует рассмотреть полный анализ информационных рисков. Именно эта тема вызывает наибольшее количество дискуссий, так как с анализом рисков базового уровня существенных вопросов обычно не возникает. Основное отличие полного анализа рисков от базового состоит в необходимости построения полной модели анализируемой информационной системы. Модель должна включать: виды ценной информации, объекты ее хранения; группы пользователей и виды доступа к информации; средства защиты (включая политику безопасности), виды угроз.

Модель анализа информационной системы

После моделирования необходимо перейти к этапу анализа защищенности построенной полной модели информационной системы. На этом этапе возникает целый пласт теоретических и практических проблем, с которыми сталкиваются разработчики алгоритмов анализа риска полного уровня. Прежде всего возникает вопрос, как алгоритмически (без эксперта) оценить защищенность информационной системы (заметим, что речь не идет о сканировании конкретных уязвимостей в конкретном применяемом программном обеспечении — таких систем анализа риска не существует). Следующие проблемы — алгоритмическое определение всех классов уязвимостей в системе защиты анализируемой системы и оценка ущерба от всех существующих в системе угроз безопасности. Наиболее сложная проблема: риск категория сугубо вероятностная — как оценить вероятность реализации множества угроз информационной системы?

Выбор пути

При создании алгоритма современного анализа рисков необходимо решить весь перечисленный выше спектр проблем. На сегодняшний день из существующих и реально использующихся на практике программных комплексов анализа и контроля информационных рисков можно выделить британский CRAMM (компания Insight Consulting), американский RiskWatch (компания RiskWatch) и российский ГРИФ (компания Digital Security).

CRAMM

Метод CRAMM разработан по заданию Британского правительства
Метод CRAMM разработан по заданию Британского правительства
Метод CRAMM (the UK Goverment Risk Analysis and Managment Method) разработан Службой Безопасности Великобритании (UK Security Service) по заданию Британского правительства и взят на вооружение в качестве государственного стандарта. Он используется, начиная с 1985 г. правительственными и коммерческими организациями Великобритании. За это время CRAMM приобрел популярность во всем мире. Фирма Insight Consulting Limited занимается разработкой и сопровождением одноименного программного продукта, реализующего метод CRAMM.

В настоящее время CRAMM — это довольно мощный и универсальный инструмент, позволяющий, помимо анализа рисков, решать также и ряд других аудиторских задач, включая:

  • проведение обследования ИС и выпуск сопроводительной документации на всех этапах его проведения;
  • проведение аудита в соответствии с требованиями Британского правительства, а также стандарта BS 7799:1995 — Code of Practice for Information Security Management BS7799;
  • разработка политики безопасности и плана обеспечения непрерывности бизнеса.

В основе метода CRAMM лежит комплексный подход к оценке рисков, сочетая количественные и качественные методы анализа. Метод является универсальным и подходит как для больших, так и для мелких организаций, как правительственного, так и коммерческого сектора. Версии программного обеспечения CRAMM, ориентированные на разные типы организаций, отличаются друг от друга своими базами знаний (profiles). Для коммерческих организаций имеется Коммерческий профиль (Commercial Profile), для правительственных организаций — Правительственный профиль (Government profile). Правительственный вариант профиля, также позволяет проводить аудит на соответствие требованиям американского стандарта ITSEC («Оранжевая книга»).

Одним из наиболее важных результатов, которые можно получить при использовании метода CRAMM, является возможность экономического обоснования расходов организации на обеспечение информационной безопасности и непрерывности бизнеса. Экономически обоснованная стратегия управления рисками позволяет, в конечном итоге, экономить средства, избегая неоправданных расходов.

CRAMM предполагает разделение всей процедуры на три последовательных этапа. Задачей первого этапа является ответ на вопрос: «Достаточно ли для защиты системы применения средств базового уровня, реализующих традиционные функции безопасности, или необходимо проведение более детального анализа?» На втором этапе производится идентификация рисков и оценивается их величина. На третьем этапе решается вопрос о выборе адекватных контрмер. Методика CRAMM для каждого этапа определяет набор исходных данных, последовательность мероприятий, анкеты для проведения интервью, списки проверки и набор отчетных документов.

К недостаткам метода CRAMM можно отнести следующее:

  • использование метода CRAMM требует специальной подготовки и высокой квалификации аудитора;
  • CRAMM в гораздо большей степени подходит для аудита уже существующих ИС, находящихся на стадии эксплуатации, нежели чем для ИС, находящихся на стадии разработки;
  • аудит по методу CRAMM — процесс достаточно трудоемкий и может потребовать месяцев непрерывной работы аудитора;
  • программный инструментарий CRAMM генерирует большое количество бумажной документации, которая не всегда оказывается полезной на практике;
  • CRAMM не позволяет создавать собственные шаблоны отчетов или модифицировать имеющиеся;
  • возможность внесения дополнений в базу знаний CRAMM не доступна пользователям, что вызывает определенные трудности при адаптации этого метода к потребностям конкретной организации.
  • ПО CRAMM существует только на английском языке
  • высокая стоимость лицензии

RiskWatch

RiskWatch
RiskWatch помогает сделать выбор мер и средств защиты
В методе RiskWatch в качестве критериев для оценки и управления рисками используются «предсказание годовых потерь» (Annual Loss Expectancy — ALE) и оценка «возврата от инвестиций» (Return on Investment — ROI). RiskWatch помогает провести анализ рисков и сделать обоснованный выбор мер и средств защиты.

К недостаткам RiskWatch можно отнести:

  • возможность проводить анализ рисков только на программно-техническом уровне защиты, без учета организационных и административных факторов;
  • получаемые оценки рисков (математическое ожидание потерь) не исчерпывают понимание риска с системных позиций — метод не учитывает комплексный подход к информационной безопасности;
  • ПО RiskWatch существует только на английском языке;
  • высокая стоимость лицензии (от 15 000 долл. за одно рабочее место для небольшой компании; от 125 000 долл. за корпоративную лицензию)

ГРИФ

При решении сложной задачи ГРИФ разбивает ее на множество более простых
При решении сложной задачи ГРИФ разбивает ее на множество более простых
В алгоритме ГРИФ от пользователя не требуется вводить вероятности реализации угроз. Данная система моделирует доступ всех групп пользователей ко всем видам информации и в зависимости от вида доступа и вида ресурса рассматриваются конечное множество очевидных элементарных ситуаций, где начальную вероятность реализации угрозы можно определить достаточно просто и точно. Далее анализируется множество элементарных факторов, которые так или иначе влияют на защищенность, и затем делается вывод об итоговых рисках. Таким образом, в рамках алгоритма ГРИФ применяется типовой алгоритмический подход, когда решение большой сложной задачи разбивается на множество небольших простых задач.

Итоговая оценка ГРИФ основывается на комплексе параметров, которые определяются, прежде всего, защищенностью анализируемого объекта: анализируются как технологические аспекты защищенности (включая учет требований стандартов Good Practice, ISO 15408 и др., и таких важных с точки зрения реального проникновения моментов, как нахождение в одном сегменте, действия хакера через наименее защищенный объект взаимодействия и т.д.,) так и вопросы комплексной безопасности согласно ISO 17799 (организация, управление, администрирование, физ. безопасность и т.д.).

К недостаткам системы ГРИФ можно отнести:

  • отсутствие возможности сравнения отчетов на разных этапах внедрения комплекса мер по обеспечению защищенности
  • отсутствие возможности добавить специфичные для данной компании требования политики безопасности

Таким образом, для анализа и получения адекватных оценок защищенности информационной системы, оценки необходимых затрат на информационную безопасность, получения максимальной эффективности этих затрат, на сегодняшний день на рынке представлен ряд инструментов, позволяющих ИТ-менеджеру получать результаты самостоятельно без привлечения сторонних экспертов. Выбор специалиста в каждом конкретном случае будет зависеть от того, что требуется получить на выходе при работе с той или иной системой анализа рисков.

Илья Медведовский, к.т.н.

Мишель Мур: Руководство обязано обеспечить эффективность контрольных процедур

Мишель МурВ интервью CNews.ru эксперты компании «Эрнст энд Янг» рассказали об аудите систем информационной безопасности, методах и средствах анализа и управления рисками. На вопросы корреспондента ответили Мишель Мур, партнер компании «Эрнст энд Янг», руководитель отдела услуг по информационным технологиям и компьютерной безопасности, и Николай Петров, CISSP, менеджер отдела услуг по информационным технологиям и компьютерной безопасности.

CNews.ru: Какие области, на ваш взгляд, требуют наибольшего внимания со стороны аудитора информационных систем в связи с ужесточившимися требованиями к финансовой отчетности компании?

Мишель Мур: Согласно принятому в 2002 году закону Сарбейнса-Оксли, требования которого распространяются на все компании, котирующиеся на фондовых рынках, независимо от того, образованы ли они в США или в других странах, отчет о системе внутреннего контроля компании должен содержать формулировку ответственности руководства за создание и обеспечение работоспособности соответствующей структуры внутреннего контроля, а также оценку эффективности проводимых процедур. Поскольку информационные технологии играют в современных компаниях лидирующую роль в процессе подготовки финансовой отчетности, необходимо уделять большое внимание аудиту информационных систем и наличию эффективных контрольных процедур. Большая часть из тех проблем, которые должны быть адресованы аудиторам в соответствии с Законом (SOX ст.302 и 404), относится к области общих компьютерных контрольных процедур. Они обусловлены недостаточно полно проработанным дизайном информационных систем или отсутствием ключевых контрольных механизмов и процедур.

CNews.ru: Каковы в этой связи ваши рекомендации руководителям компаний?

Мишель Мур: Анализируя проблему неэффективности контроля, которая означает потенциальную уязвимость компании, мы видим тревожную картину. Большинство выявленных недостатков относится к сфере информационных технологий, и в частности, общих контрольных процедур. Данный факт вызывает озабоченность, поскольку информационные технологии оказывают влияние на различные сферы бизнеса и требуют значительных усилий и финансовых затрат на создание эффективных механизмов контроля.

Руководители компаний должны своевременно планировать работу по оценке контрольных процедур в области информационных технологий с тем, чтобы заложить в бюджет соответствующие меры по исправлению обнаруженных недостатков. Таким образом, необходима четкая координация между работами, выполняемыми в области информационных технологий, и работами в области ведения бизнеса.

Полный текст интервью

Вернуться на главную страницу обзора

Версия для печати

Toolbar | КПК-версия | Подписка на новости  | RSS