ГлавнаяКонтактыКарта сайта
ЕПОС
О компанииКомпьютерная криминалистикаВосстановление информацииЗащита информацииПроизводство и ITСервисНаши разработки

Расследование инцидентов, компьютерная криминалистика, информационная безопасность

Книжная серия Взгляд на жесткий диск изнутри




Архив статей


24.05.2013
Методика оцінювання захищеності інформаційних систем за допомогою СУІБ «Матриця»
 

Домарєв Д. В.
Домарєв В. В., к.т.н.
Прокопенко С. Д.

Науковоий журнал Захист інформації

Стаття опублікована в науковому журналі «Захист інформації» № 1(15), 2013, С. 80 - 86. Національний авіаційний університет.

Анотація. Обґрунтована актуальність питань оцінювання захищеності інформаційних систем. Наведено область застосування, призначення і процедуру пропонованої методики. Власне процедура пропонованої методики складається з первинного опитування клієнта, визначення активів, визначення важливості активів за словесною шкалою, пошуку вразливостей визначених активів, визначення загроз, що походять від знайдених вразливостей, визначення ступеня небезпеки знайдених загроз за словесною шкалою, переводу важливості активів та ступеня небезпеки загроз у кількісні оцінки, підрахування оцінок ризиків, ранжування за сумарними оцінкам ризиків, визначення найбільш вразливих активів та найбільш небезпечних загроз, ранжування вразливостей кожного активу, складання рекомендацій щодо усунення вразливостей, оформлення звіту. Для практичної реалізації пропонованої методики застосовано систему управління інформаційною безпекою «Матриця». Зроблено висновки про переваги пропонованої методики.

Ключові слова: оцінювання захищеності інформаційних систем, аудит інформаційної безпеки, оцінювання ризиків ІБ, оцінка ризику ІБ, управління інформаційною безпекою, СУІБ «Матриця».

Вступ

Актуальність питань оцінки захищеності інформаційних систем (ІС) в Україні почала зростати у 2005 р. з появою міжнародних стандартів з управління інформаційною безпекою (ІБ), більшість з яких містять вимоги щодо оцінювання стану ІБ. Виникла потреба у сертифікації на відповідність стандартам ІБ для зміцнення авторитету організацій серед партнерів та клієнтів. Процедура сертифікації неодмінно передбачає аудит стану ІБ організації.

Методика, запропонована в даній статті спирається на дослідження в області ІБ [1, 2], українські та міжнародні стандарти з управління інформаційною безпекою [3, 4, 7, 8] та методики оцінювання ІБ [5, 9]. Для практичної реалізації пропонованої методики авторами була застосована система управління інформаційною безпекою (СУІБ) «Матриця» [6].

Областю застосування пропонованої методики є аудит ІБ та оцінювання захищеності комп'ютерних систем.

Призначеннями пропонованої методики є оцінювання загального рівня захищеності комп'ютерної системи, Виявлення найбільш вразливих активів і найбільш небезпечних загроз для конкретної організації, визначення пріоритетів в усуненні вразливостей ІБ.

Процедура пропонованої методики заснована на оцінці ризиків ІБ та є наступною:

  1. Первинне опитування клієнта;
  2. Визначення активів;
  3. Визначення важливості активів за словесною шкалою;
  4. Пошук вразливостей визначених активів;
  5. Визначення загроз, що походять від знайдених вразливостей;
  6. Визначення ступеня небезпеки знайдених загроз за словесною шкалою;
  7. Перевод важливості активів та ступеня небезпеки загроз у кількісні оцінки;
  8. Підрахування оцінок ризиків;
  9. Ранжування за сумарними оцінкам ризиків. Визначення найбільш вразливих активів та найбільш небезпечних загроз;
  10. Ранжування вразливостей кожного активу;
  11. Складання рекомендацій щодо усунення вразливостей та оформлення звіту.

Кожен з наведених етапів описаний нижче.

1. Первинне опитування клієнта

На цьому етапі необхідно з'ясувати та визначити наступне:

  1. Структура мережі: фізична і логічна, розміщення устаткування, в т.ч. характеристика приміщень;
  2. Набір перевірок безпеки: бажані та рекомендовані;
  3. Активи: перелік та їх важливість для клієнта;
  4. Загрози: перелік та рівень небезпеки для клієнта;
  5. Облікові записи (необхідні для виконання обраних перевірок): імена користувачів, паролі, точки входу.

2. Визначення активів

Щоб визначити список активів цільової організації, слід перелічити усі малі об'єкти клієнта, що схильні до загроз інформаційної безпеки (а отже спричиняють ризики). Список активів повною мірою залежить від структури і особливостей цільової організації.

Активами можуть бути не лише фізичні об'єкти (сервери, термінали, камери, друковані документи і т.п.), але й інформація (файли, згенеровані ключі і т.п.)

Експерти перевіряючої сторони складають остаточний список активів на підставі первинного опитування.

3. Визначення важливості активів за словесною шкалою

Визначення важливості активів відбувається за словесною шкалою.

Дані первинного опитування клієнта рецензуються на підставі думок експертів перевіряючої сторони та офіційних документів (наприклад, стандартів ІБ або бюлетенів Microsoft).

Наприкінці цього етапу кожен актив повинен мати словесну оцінку важливості. Рекомендовані ступені важливості: Критичний, Важливий, Рядовий, Маловажливий, Неважливий.

Приклад результату даного етапу наведений в табл. 3.

4. Пошук вразливостей визначених активів

Пошук вразливостей визначених активів виконується у відповідності до спектру доступних перевірок:

  1. Перевірка на проникнення (penetration test);
  2. Визначення зловмисників серед співробітників цільової організації (insiders);
  3. Аналіз налаштувань (конфігурації);
  4. Аналіз фізичного доступу до об'єктів комп'ютерної мережі;
  5. Інші перевірки ІБ.

5. Визначення загроз, що походять від знайдених вразливостей

Одна вразливість може бути джерелом декількох загроз (наприклад, фізичний доступ до сервера може бути причиною як знищення так і захоплення устаткування). Тому слід визначити загрози для кожної знайденої вразливості на підставі думок експертів перевіряючої сторони та офіційних документів (наприклад, стандартів ІБ або бюлетенів Microsoft).

Наприкінці цього етапу має бути складений перелік загроз.

6. Визначення ступеня небезпеки знайдених загроз за словесною шкалою

Визначення рівня небезпеки загроз відбувається за словесною шкалою.

Дані первинного опитування клієнта рецензуються на підставі думок експертів перевіряючої сторони та офіційних документів (наприклад, стандартів ІБ або бюлетенів Microsoft).

Наприкінці цього етапу кожна загроза повинна мати словесну оцінку рівня небезпеки. Рекомендовані міри важливості: Критичний, Важливий, Середній, Низький, Малоймовірний

Приклад результату даного етапу наведений в табл. 4.

7. Перевод важливості активів та ступеня небезпеки загроз у кількісні оцінки

Для автоматизованої оцінки ризиків слід перевести попередньо отримані словесні оцінки активів і загроз в кількісні. Рекомендовані шкали оцінок, що приведені в табл. 1 та 2, розроблені на основі методик [5, 9]. Приклад результату даного етапу наведений в таблицях 3 та 4.


Таблиця 1. Рекомендована шкала оцінок важливості активів

Важливість активу Збиток при реалізації загроз (умовна оцінка)
Критичний 5
Важливий 4
Рядовий 3
Маловажливий 2
Неважливий 1


Таблиця 2. Рекомендована шкала оцінок ступеня небезпеки загроз

Рівень небезпеки загрози Вірогідність реалізації (умовна оцінка)
Критичний 5
Важливий 4
Середній 3
Низький 2
Малоймовірний 1


Таблиця 3. Приклад оцінок важливості активів

Актив Важливість Збиток
Сервер доступу до Інтернет Критичний 5
Сервер 1С:Підприємство, термінал.сервер Критичний 5
Головний контролер домену Критичний 5
Поштовий сервер Важливий 4
Запасний контролер домену, сервер БД Важливий 4


Таблиця 4. Приклад оцінок рівня небезпеки загроз

Загроза Рівень небезпеки Частота
Переповнення буфера Критичний 5
Несанкціоноване отримання прав Важливий 4
Виток інформації Важливий 4
Віддалене виконання коду Середній 3
Відмова в обслуговуванні Низький 2

8. Підрахування оцінок ризиків

Для автоматизованого підрахування оцінок ризиків в СУІБ «Матриця», слід виконати наступні дії у пункті головного меню «Списки елементів»:

  1. Ввести в СУІБ виявлені активи у вигляді списку, що містить назви активів і значення збитку, згідно з вибраною шкалою оцінок;
  2. Ввести в СУІБ виявлені загрози у вигляді списку, що містить назви загроз і їх частоти (вірогідність реалізації), згідно з вибраною шкалою оцінок;
  3. Сформувати список ризиків шляхом призначення загроз активам. Автоматичне перехресне об'єднання активів з загрозами недоступне, оскільки можуть бути утворені неіснуючі, незначні, або навіть неможливі ризики (наприклад, фізичне пошкодження цифрових підписів).

Оцінки ризиків розраховуються автоматично шляхом множення значення збитку активу на значення частоти загрози:

R = W × n

де R - ризик, W - збиток, n - частота.

У пункті головного меню «Оцінка ризиків» зведена діаграма надає огляд ризиків, а зведена таблиця - розподіл загроз за активами і навпаки, з сумарними оцінками по кожному активу і кожній загрозі.

Сумарна оцінка ризику (у зведеній таблиці ризиків) потрібна для періодичного оцінювання. Вона дає можливість відстежити зміни загального рівня ризику з плином часу. Приклади зведеної таблиці та зведеної діаграми ризиків наведені відповідно на рис. 1 та рис 2.

Зведена таблиця ризиків
Рис. 1. Приклад зведеної таблиці ризиків

Зведена діаграма ризиків
Рис. 2. Приклад зведеної діаграми ризиків

9. Визначення найбільш вразливих активів та найбільш небезпечних загроз

У зведеній діаграмі «Оцінка ризиків», прибираючи по черзі поля з області даних, отримати спочатку графік сумарних оцінок за активами, потім за загрозами. Приклади графіків сумарних оцінок за активами та за загрозами наведені відповідно на рис. 3 та рис. 4.

Зробити висновки про найвразливіші активи та найбільш небезпечні загрози (вони матимуть найвищі сумарні оцінки ризику).

Графік сумарних оцінок ризиків за активами
Рис. 3. Приклад графіку сумарних оцінок за активами

Графік сумарних оцінок ризиків за загрозами
Рис. 4. Приклад графіку сумарних оцінок за загрозами

10. Ранжування вразливостей кожного активу

Слід згрупувати вразливості по активах і вирахувати сумарні оцінки ризику для кожної вразливості кожного активу. Слід мати на увазі, що кожна вразливість може бути джерелом однієї або декількох загроз.

Сумарна оцінка ризику для вразливості вираховується для кожного активу, оскільки для однакових загроз активи мають різну цінність.

Числова сумарна оцінка ризику для вразливості конкретного активу обчислюється як сума оцінок ризиків від кожної загрози, джерелом якої є ця вразливість для цього активу:

Va = ∑ Ra = Wa × ∑ na

де Va - вразливість активу, Ra - ризик активу, Wa - збиток активу, na - частота загрози.

Приклад розрахунку числової сумарної оцінки ризику для однієї вразливості наведений в табл. 5. Отримавши кількісні сумарні оцінки ризику для усіх вразливостей, відсортувати їх за спаданням, а потім перевести в словесні за рекомендованою шкалою оцінок, що представлена в табл. 6.


Таблиця 5. Приклад розрахунку числової сумарної оцінки ризику від вразливості активу «Головний контролер домену»

Вразливість Загроза для даного активу Оцінка ризику загрози
для даного активу
Числова сумарна оцінка
ризику вразливості
Не встановлені критичні оновлення Windows:
MS04-012, MS08-061, MS08-063, MS08-064.
Несанкціоноване отримання прав 20 70
Віддалене виконання коду 15
Відмова в обслуговуванні 10
Переповнення буфера 25


Таблиця 6. Рекомендована шкала сумарних оцінок ризику вразливості

Числова сумарна оцінка
ризику вразливості
Словесна
оцінка
Опис
для клієнта
>100 Критична Несе найбільшу кількість загроз для даного активу; найбільший збиток у разі використання зловмисниками.
51-100 Важлива Несе серйозні загрози і, ймовірно, буде використана зловмисниками.
25-50 Середня Представляє небезпеку, проте її використання зловмисниками малоймовірно.
<25 Низька Малоймовірні загрози, або мінімальний збиток.

11. Складання рекомендацій щодо усунення вразливостей та оформлення звіту

Скласти типові рекомендації по усуненню виявлених вразливостей на підставі офіційних документів (наприклад, стандартів ІБ або бюлетенів Microsoft). Потім, доповнити рекомендації на підставі думок і досвіду експертів перевіряючої сторони.

Скласти таблиці вразливостей для кожного активу з колонками: Вразливість, Загрози, Важливість (словесна оцінка сумарного ризику вразливості), Рекомендації.

Скласти звіт з наступних розділів, що відображатимуть основні етапи оцінювання ризиків інформаційної безпеки за даною методикою:

  1. Терміни, визначення і скорочення, використані в звіті;
  2. Цілі та сфера дослідження;
  3. Дослідження вразливостей: виявлені уразливості та зведені дані щодо оцінок ризиків;
  4. Рекомендації щодо усунення вразливостей;
  5. Додаткові розділи (за потреби);
  6. Загальні висновки.

Висновки

Запропонована методика оцінювання захищеності ІС за допомогою СУІБ «Матриця» забезпечує отримання кількісних оцінок стану ІБ. В свою чергу, завдяки кількісним оцінкам забезпечується точний вибір пріоритетів в усуненні вразливостей ІБ.

Запропонована методика є універсальною з точки зору розміру та профілю організації.

Література

  1. Домарев В.В. Безопасность информационных технологий. Системный подход - К.: ООО «ТИД «ДС», 2004. - 992 с. ISBN 966-7992-36-5
  2. Домарєв В.В., Домарєв Д.В. Управління інформаційною безпекою в банківських установах (Теорія і практика впровадження стандартів серії ISO 27k) - Донецьк: «Велстар», 2012. - 146 с. - ISBN 978-966-2759-00-6
  3. Інформаційні технології. Методи захисту. Звід правил для управління інформаційною безпекою (ISO/IEC 27002:2005, MOD): ГСТУ СУІБ 2.0/ISO/IEC 27002:2010. - К.: НБУ, 2010. - 163 с. - Код УКНД 35.040.
  4. Інформаційні технології. Методи захисту. Система управління інформаційною безпекою. Вимоги (ISO/IEC 27001:2005, MOD): ГСТУ СУІБ 1.0/ISO/IEC 27001:2010. - К.: НБУ, 2010. - 49 с. - Код УКНД 35.040.
  5. Методичні рекомендації щодо впровадження системи управління інформаційною безпекою та методики оцінки ризиків відповідно до стандартів Національного банку України: лист департаменту інформатизації Національного банку України банкам України від 03 березня 2011 р. № 24-112/365. - К.: НБУ, 2011.
  6. Domarev D.V. Information security management system "Matrix" based on system approach // Проблеми інформатизації та управління: Зб. наук. пр. - К.: НАУ, 2011. - Вип. 2(34). - С. 36 - 39. ISSN 2073-4751
  7. Information Security Management Systems (ISMS): BSI Standard 100-1, Version 2.0. - Bonn: BSI, 2008. - 38 p.
  8. Information technology. Security techniques. Information security management systems. Overview and vocabulary: international standard ISO/IEC 27000:2009(E). - Switzerland: ISO/IEC, 2009. - 26 p.
  9. IT-Grundschutz Methodology: BSI Standard 100-2, Version 2.0. - Bonn: BSI, 2008. - 93 p.

Зкачати статтю

 

Поделиться информацией