вторник, 29 ноября 2011 г.

Обеспечение безопасности ИТ по версии Cobit 4.1.

Относительно давно в моей библиотеке лежит стандарт Cobit 4.1., который объединяет в себе лучшие практики по управлению в ИТ сфере. Безусловно, стандарт заслуживает внимания, но я хочу рассмотреть крошечную его часть - "Обеспечение безопасности систем".

Итак, домен  "Эксплуатация и сопровождение" раздел "DS 5. Обеспечение безопасности систем". Первичными процессами в обеспечение безопасности являются процессы обеспечения конфиденциальности и целостности обрабатываемой информации (доступность и достоверность рассматривается как вторичные процессы - странно, но да ладно). Далее по разделу формируются рекомендации по управлению безопасности (управлять нужно с учетом требований по ИБ, угроз и уязвимостей и т.д.), цели контроля (по всем подсистемам обеспечения безопасности: идентификация, ключи, межсетевое взаимодействие и т.д.) и привязка к модели зрелости организации.

Из всех процессов, меня заинтересовал процесс управления безопасностью, на вход которого подаются результаты работы от различных этапов, и в том числе, результаты оценки рисков (риски ИТ).
В итоге, при оценки рисков ИТ, необходимо:  
1. "PO 2 Описание информационной архитектуры" (классификация данных, информационная архитектура, справочник данных).
2. "DS 5 Обеспечение безопасности систем" (угрозы и уязвимости безопасности).
3. "PO 5 Оценка и управление ИТ рисками" (оценка вероятности и последствий реализации сценария угрозы).
4.  "PO 5 Оценка и управление ИТ рискам" (план действий в отношении рисков).

Сам подход является более чем классическим, но его интегрированность в управление ИТ процессами вызывает положительные эмоции. 

PS: Изучая последние тенденции в подчинении подразделений, отвечающих за обеспечение безопасности, обратил внимание, на тенденцию вывода таких структурных подразделений из состава ИТ. Получается что стандарт Cobit в России не прижился и не приживется, так как в его понимании, вопросы безопасности должны быть тесно вплетены в неразрывный круг управления ИТ.

вторник, 22 ноября 2011 г.

Приказ Минкомсвязи №221 и ГОСТ Р 51275-2006

Приказ состоит из двух частей: 1. Описание технологических процессов функционирования системы электронного документооборота (СЭД); 2. Требования к информационной безопасности СЭД.

В требованиях по обеспечению информационной безопасности заинтересовал лишь один пункт:
"23. СЭД ФОИВ должна соответствовать требованиям национального стандарта Российской Федерации ГОСТ Р 51275-2006 "Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения" и требованиям по технической защите конфиденциальной информации."

С требованиями по технической защите все понятно, как говорится: "Без комментариев". А вот, соответствие СЭД госту 51275 вызывает легкое недоумение. ГОСТ 51275 - это некая попытка систематизировать знания в области дестабилизирующих факторов (угроз ИБ) вперемешку с уязвимостями. Из п .23 получается, что, например, СЭД должна предусматривать возможность защиты от утечки информации с помощью радиоэлектронной, оптико-электронной, фотографической, визуально-оптической, акустической, гидроаккустической технической компьютерной разведки или от биологических и химических угроз.

И вообще, для чего использовать ГОСТ, если в СТР-К и РД прописаны четкие требования по ИБ, в зависимости от класса АС, которые нужно выполнить. Если разработчики приказа имели ввиду, что требования по защите определяются в результате синтеза модели угроз, которая должна учитывать угрозы из 51275, и требований к защите информации из РД, то так и надо писать. А так, получается, что 51275 просто для "красного словца". 

Я думаю, что при формировании требований по ИБ к СЭД нужно изначально оценить риски и построить модель актуальных угроз, после чего формулировать конкретные требования к ИБ. И лушче ссылаться на ГОСТы серии 13335 :).

среда, 9 ноября 2011 г.

Закон о персональных данных работает? Реально работает?

Наткнулся в сети интернет на сайт Федеральной службы государственной регистрации, кадастра и картографии. Лично для меня он не представлял бы ни какого интереса если бы не реестр кадастровых инженеров, состоящий из 17600 записей о субъектах ПДн, включая паспортные данные, номер сотового телефона, домашнего, адрес почтовый.  

И сразу перед глазами поплыли кипы документов с согласиями субъектов..................... ;).

PS: Не совсем моя тема, но не удержался.

четверг, 20 октября 2011 г.

Оценка рисков нарушения ИБ (MSAT)

Обнаружил довольно интересный софт по оценки рисков информационной безопасности - Microsoft Security Assessment Tool.
Как пишется в разделе "о программе" - программа использует современный подход и лучшую практику в области обеспечения информационной безопасности.
Что за лучшие практики - мне не понятно, так как и основную методологию я не смог найти, но есть предположение, что вот это именно она.
Найдя немного времени, хочу описать данный программный продукт в виде черного ящика.

Этап 1: Создаем профиль компании (описываем компанию, в частности всю инфраструктуру, приложения, операции, персонал и среду).


Этап 2: Создаем профиль оценки риска (описываем функции по ИБ, которые выполняются в организации по направлению приложений, операций, персонала и т.д.)


Описание системы и создание профиля риска происходит путем ответов на вопросы (аналогичная система есть в составе Office Digital Security). Своего рода, большая анкета, которую нужно заполнить и получить результат.

Этап 3: Отчеты
- Отчет о сравнении с индустрией (сравнение вашего уровня защищенности с средним уровнем защищенности по организациям вашей сферы, только не совсем понятно - организации российские или зарубежные, но тем не менее интересно посмотреть такого рода статистику).

Ключевыми показателями в разработанном программном продукте являются: профиль риска для бизнеса (величина изменения риска в зависимости от бизнес-среды, действительно, важный параметр, который не всегда учитывается при оценки уровня защищенности системы в организациях из разных сфер деятельности) и индекс эшелонированной защиты (сводная величина уровня защищенности).

PS: Лично мне программный продукт понравился и в части интерфейса, и в части общей методологии, и в части генерируемых отчетов, и в части возможности сравнения текущего уровня ИБ со среднем уровнем ИБ по отрасли. Использование этого продукта в российских условиях практически не возможно (такое вот жесткое регулирование государством направления ИБ), а вот для желающих проверить свой уровень ИБ на соответствие "лучшим практикам" можно им воспользоваться. 

пятница, 23 сентября 2011 г.

Перечень курсов, согласованных ФСТЭК России

На сайте ФСТЭК России появился документ "Перечень образовательных учреждений, реализующих дополнительные профессиональные образовательные программы в области информационной безопасности, согласованные с ФСТЭК России".

В связи с тем, что курсов по обеспечению ИБ и в частности защиты персональных данных развелось огромное количество и только ленивый их не проводит, то неплохо было бы отсеять все те, которые не согласованы ФСТЭК России и на которых вам будут устраивать коллективные читки постановлений, приказов и требований :).

пятница, 2 сентября 2011 г.

Методика оценки рисков нарущения ИБ (Microsoft)

Есть такой документ The Security Risk Managment Guid датированный 2006 годом и выпущенный компанией Microsoft. И вот наконец-то у меня дошли руки, что бы его разобрать. Что же предлагает Microsoft в задачах оценки рисков ИБ.

А предлагают они следующее:
1. Провести идентификацию активов и классифицировать их по степени критичности.
Активы разбиваются на три класса: активы с высоким уровнем влияния (пароли да доступ в систему, персональные данные, финансовые планы и т.д.), с средним (информация о внутренней информационной топологии, расположение общих ресурсов в локальной сети и т.д.) и с низким (данные о версиях используемого ПО, устаревшая информация о деловых переговорах, сведения об организационной структуре и т.д.). 
Если подойти к этому этапу с практической точки зрения, то может получиться вполне адекватная классификация ресурсов в Вашей организации.

2. Идентифицировать угроз и уязвимостей.
Ни чего нового, ссылки в документе ведут к серии стандартов NIST и общеизвестному ISO 17799.
В итоге получаем перечень угроз и уязвимостей к конкретному активу.

3. Оценка степени потенциального ущерба.
Для каждого актива, независимо от его степени критичности, оценивается степень потенциального ущерба, по заданной шкале. В шкале ни чего нового все те же градации на высокое, среднее и низкое влияние. Но никто не мешает вам применить свою шкалу ;).

4. Оценка вероятности угрозы.
Для каждой угрозы, по каждому активу определяется вероятность реализации конкретной угрозы на конкретный актив. Шкала оценок: высокая, средняя и низкая.

5. Оценка итогового уровня воздействия.
На основании "критичности актива" и "степи влияния" определяется итоговый уровень воздействия актива на организацию. Иллюстрация на рисунке. Матрица может быть и большей размерностью, например 5 на 5 (градация шкалы: критический, высокий, умеренный, легкий, низкий :)).


6. Определение уровня риска.
На основе полученного "итогового уровня воздействия" и определенной "вероятности угроз" определяется значение уровня риска. Иллюстрация на рисунке. Матрица может быть и большей размерностью, например 5 на 5 (градация шкалы: критический, высокий, умеренный, легкий, низкий :)).

Достоинства:
Как таковых достоинств в данном подходе, я не увидел. Все этапы идентичны классическому подходу. Все приведенные шкалы уже известны и ни какой новой информации не несут. Возможно я бы отнес к достоинству - реализацию в виде готового программного обеспечения, но кроме моделей в виде таблицы exel я ни чего не нашел, что немного расстроило.

Недостатки:
Оценка критичности и оценка ущерба это два взаимосвязанных показателя, ведь нарушение конфиденциальности самого критичного актива, как правило, приводит к максимальному ущербу. Не разу не видел, что бы критичные активы для бизнеса в случае их кражи, оказывали бы минимальное влияние на бизнес.

PS: Документ достоин внимания и поэтому он появляется в моей библиотеки. А exel-евскую форму можно скачать тут.

понедельник, 22 августа 2011 г.

На собственные нужды надейся, а сам не плошай

Думаю большинство уже в курсе того, что на сайте ФСТЭК России появился проект документа "О лицензировании деятельности по технической защите конфиденциальной информации". Позитивный анализ этого документа можно увидеть тут, а сдержанный - тут.

Анализ всего документа я делать не буду, а выскажусь только по поводу п.4 е):
"При осуществлении деятельности по технической защите конфиденциальной информации лицензированию подлежат следующие виды выполняемых работ и (или) оказываемых услуг:
е) установка, монтаж, испытания, ремонт средств защиты информации (технических средств защиты информации, защищенных технических средств обработки информации, технических средств контроля эффективности мер защиты информации, программных (программно-технических) средств защиты информации, защищенных программных (программно-технических) средств обработки информации, программных (программно-технических) средств контроля защищенности информации)."

Я читаю этот пункт так: лицензия необходима для осуществления работ по "установке программных средств защиты", "установке программно-технических средств защиты" и т.д. Когда я подставляю "программные средства защиты = антивирус или МЭ или DLP или IDS....." то вижу, что лицензия нужна всем - от мала до велика.

А что такое программные средства защиты? Внутренние механизмы защиты Windows - это программные средства защиты? Внутренние механизмы защиты сертифицированной версии 1С - это программные средства защиты и т.д.?

В сухом остатке: я могу соглашаться или не соглашаться с нашим законодательством, но исполнять его надо :(.

пятница, 5 августа 2011 г.

Оценка рисков нарушения ИБ (Digital Security)

На российском рынке существует не так много автоматизированных систем оценки рисков нарушения ИБ. Именно таким системам я хочу посвятить следующую серию постов.

Российская компания Digital Security в 2005 году выпустила в свет экспертно-аналитическую систему Digital Security Office, которая состоит из двух компонентов: ГРИФ и КОНДОР. ГРИФ - это система оценки рисков ИБ, а КОНДОР - это система оценки соответствия ИБ организации требованиям различных стандартов.
Меня больше всего интересует методика оценки рисков, заложенная в компоненту ГРИФ. Так как полное описание методики приведено тут, то я озвучу только отличительные особенности этой системы и свое мнение.

1. Оценка рисков по модели информационных потоков
Плюсы:
- в оценке учитывается исходный уровень защищенности информационной системы по различным направлениям (коэффициент защищенности локального доступа, удаленного доступа и защищенность АРМ);
- оценка рисков по угрозе отказа в обслуживание учитывает не параметры вероятность и ценность, а параметры "среднего времени простоя" и ценности, что является вполне адекватным решением;
- на выходе получается шесть различных параметров риска (по трем базовым угрозам для ресурса, по одной угрозе (сумма трех базовых) для ресурса, по трем для ИС, по всем угрозам для ИС и т.д.).
Минусы:
- сомнения в объективности оценок экспертов при расчете коэффициентов защищенности и базовой вероятности реализации угрозы, без оценки компетентности самого эксперта;
- отсутствие детализации степени влияния конкретной угрозы на значение риска, ведь угроза нарушения конфиденциальности может быть осуществлена разными способами, например взлом системы идентификации или изменение таблицы маршрутизации. Какой из этих двух способов будет оказывать наибольшее влияние на значение риска, а какой нет. Я это к тому, что хотелось бы увидеть на выходе риски по связке, например ресурс-способ НСД (атака)-угроза. 

2. Оценка рисков по модели анализа угроз и уязвимостей
Плюсы:
- в ходе оценки получается полная карта ресурсов (инвентаризация);
- существует собственный каталог угроз и уязвимостей (классификацию угроз можно посмотреть тут);
- вероятность угроз рассматривается в контексте их реализации через конкретную уязвимость;
- два режима оценки критичности ресурсов (ценности): в деньгах и в процентах, как следствие, два разных подхода к расчету рисков;
- отдельный расчет по угрозе нарушения доступности, с учетом максимального критического времени простоя ресурса в год.
Минусы:
- все минусы оценки рисков по модели информационных потоков справедливы и для настоящего подхода.

PS: Главное преимущество методики - ее реализация в виде экспертно-аналитической системы, полная капитализация и непрерывный процесс развития, например, Digital Security LCM System.

четверг, 21 июля 2011 г.

Оценка рисков нарушения ИБ (подход научный)

На досуге почитал труд, скорее всего, двух ученых: Радько Н.М. и Скобелев И.О. "Риск-модели информационно-телекоммуникационных систем (ИТКС) при реализации угроз удаленного и непосредственного доступа". Книгу можно купить тут.
Так как подход является научным и с первого раза можно не понять о чем идет речь, то я постараюсь перевести всем понятный язык. В книге есть много интересных моментов, начиная от классификации угроз и заканчивая возможностью управления рисками с помощью существующей нормативно-методической базы ФСТЭК России по защите конфиденциальной информации. Сферой моих интересов является оценка рисков ИБ поэтому только о ней я и буду говорить.

Что предлагают авторы:
1. Описание информационно-телекоммуникационной системы.
Фактически, необходимо выбрать к какому из предлагаемых авторами типов ИТКС относится Ваша система. Выделяют 5-ть типов ИТКС: изолированная - локальная сеть без выхода в сеть интернет и обрабатывающая данные "секретного" (вообще говоря секретная - это тип гос тайны ;), поэтому не совсем понял этот термин) характера; корпоративная государственная - обрабатывает гос тайну; корпоративная коммерческая - обрабатывает коммерческую тайну; управляющая - система удаленного управления технологическими процессами; справочная - система, которая обрабатывает пользовательские запросы. Каждый из пяти типов может иметь различную структуру: односегментную, многосегментную и распределенную. Не могу не отметить таблички "актуальные виды угроз для исследуемых типов ИТКС", например для изолированной ИТКС актуальной является только угроза конфиденциальности!? а как же угрозы непосредственного доступа внутренними нарушителями с изменением информации в целях скрыть или подменить результаты исследования (для примера с научно-исследовательскими центрами).

2. Определение угроз удаленного и непосредственного доступа.
Одной из составляющей угроз в предлагаемой модели является способ НСД (атака), поэтому в дальнейшем авторы проводят классификацию угроз в разрезе атак непосредственного и удаленного доступа. Из классификации можно четко выделить три класса атак непосредственного доступа (вредоносное ПО, взлом системы идентификации и аутентификации, повышение привилегий пользователя) и 7 классов угроз удаленного доступа (если Вы возьмете базовую модель угроз ПДн в ИСПДн ФСТЭК России, то все эти сетевые угрозы Вы там найдете, внедрение ложного объекта, ложного DNS, анирование и т.д.).

3. Определение видов ущерба от реализации атак.
Для меня, самый непонятный и сомнительный этап. Авторы, в своей модели, принимают за величину ущерба - количество успешно реализованных атак. Для систем в которых есть статистика по таким атакам проблем не возникнет, а вот если такой статистики нет или система  вновь создаваемая - что тогда? Ответа я не нашел :(.

4. Определение взаимосвязи между атаками и их отношения к видам ущерба.
Некоторые атаки могут быть одним из звеньев в крупномасштабной атаке, пример от авторов, сканирование портов не является атакой наносящей ущерб, но является важнейшей составляющей в реализации различных удаленных атак.

5. Определение вероятности реализации атак.
Вероятность реализации атаки зависит от интенсивности ее возникновения, т.е. среднего количества атак на интервале времени. Если есть статистика по атакам, то все рассчитывается хорошо, если нет статистики, то видимо, надо привлекать экспертов для оценки возможного количества атак данного типа в единицу времени (это мои соображения :), так как авторы об этом умолчали). Конечное значение интенсивности атаки авторы предлагают рассчитывать с учетом некого коэффициента активности злоумышленника, который определяется на основании таких характеристик как: опыт, навыки, знание об объекте и т.д. Шкалу такой активности я не нашел, видимо авторы оставляют ее разработку на усмотрение конкретной организации. В тех случаях когда атаки взаимосвязаны между собой, то итоговая интенсивность считается как интенсивность реализации атаки + сумма интенсивностей взаимосвязанных атак. 
Подводя итог, по формуле представленной в разделе 5 рассчитываем вероятность реализации атак на определенном временном интервале + авторы определяют закон распределения вероятности реализации атак и строят графики плотности распределения атак для различных примеров.

6. Расчет рисков реализации угроз непосредственного и удаленного доступа к элементам информационно-телекоммуникационной системы.
Представлены функции распределения ущерба для различных классов атак и в целом по угрозам нарушения конфиденциальности целостности и доступности. Смотрите графики и делайте выводы. Единственное, что меня смущает, что эта оценка для ИТКС без учета существующих средств защиты, а на практике таких к сожалению практически не бывает ;). Да и шкалы оценки полученных результатов риска нет, например риск 1,7 - количество успешно реализованных атак несанкционированного входа в систему с правами легального пользователя - 18. Возникает вопрос - это хорошо или плохо? А если количество успешных атак 5 или 10 или 30?! Все эти вопросы остаются за кадром.

7. Расчет рисков реализации угроз, наносящих различный ущерб.
Расчет рисков по этапу 7 основан на математическом подходе моделирования процессов сетей Петри-Маркова. Основной смысл закладываемый авторами в том, что существует три состояния атаки: действие атаки не началось, действие атаки началось и действие атаки закончилось. Далее, применяя теорию сетей, происходит моделирование и расчет рисков нарушения ИБ в ИТКС. 

Преимущества:
- приведена актуальная классификация угроз удаленного и непосредственного доступа;
- в процессе оценки рисков учитывается взаимосвязь между атаками;
- введен коэффициент активности нарушителя;
- используются математические методы моделирования процессов сетей Петри-Маркова.

Недостатки:
- оценка интенсивностей возникновения угроз, в случае отсутствия накопленной статистики невозможна, что делает настоящий подход не более чем грамотный теоретический материал;
- отсутствие шкалы для оценки коэффициента активности возлагает дополнительные требования к знаниям специалиста, работающего с настоящей методикой;
- хотелось бы увидеть настоящий подход в действие на реальном объекте и посмотреть на полученные результаты, это я к вопросу об адекватности модели :) (войти несанкционированно в систему 30 раз - это конечно сильно :));
- отсутствие автоматизированной системы, реализующей настоящий подход, существенно затрудняет его использование на практике;
- ущерб - это количество успешно реализованных атак!? Как-то это не вписывается в классическое понимание :).

PS: книга интересная и помимо подхода к оценки рисков включает довольно большое количество интересного материала с иллюстрациями и практическими примерами различных атак. Так же в книге есть раздел по выбору и оценки средств защиты, который заслуживает отдельного внимания ;). 

пятница, 8 июля 2011 г.

Ну что тут сказать, в ответ на письмо Вихорева С.В.

Открытое письмо Вихорева С.В. - тут. Для того, что бы понимать, кто это, нашел его краткую автобиографию тут.

В ответ на его письмо хочу сказать: "Пока мы будем применять методы и способы защиты информации, с характерными признаками "совка", то мы будем защищать непонятно что, непонятно от чего и непонятно как".

При всем моем уважении к господину Вихореву, хочу еще добавить:
1. Почувствуйте разницу - защищать информацию и защищать информацию сертифицированными средствами. По моему господин Вихорев не совсем понимает разницу и откровенно говоря лукавит когда говорит о том, что у большинства уже все защищено. Защищено, но не сертифицированными средствами. А сертифицированные средства - это финансовые затраты независимо от того что и чем вы там защищали ;).

2. Когда господин Вихорев говорит о том, что те кто подписался не хотят работать, видимо он совсем не знаком с этой группой специалистов, пусть посмотрит их блоги и подумает над тем, что все эти специалисты (каждый в соей области финансы, производство, социальная сфера) не просто группа взбунтовавшихся студентов, а уважаемые люди, среди которых есть и CISA и CISSP и CISM и специалисты с ученой степенью, которые по мимо своей текущей работы, стараются предлагать новые подходы к вопросам ИБ и в целом, ставить направление ИБ на инновационные рельсы.

3. По ст. 19 - надо ждать соответствующих ПП и тогда разговаривать, но если получиться так, что Правительство РФ поручит установить уровни защищенности ФСТЭК России, то документы останутся прежние, а про уровни защищенности по документам ФСТЭК России я уже писал тут и тут. Коротко: если мы будем оценивать защищенность ИСПДн по наличию многопользовательского режима доступа к ней, а не по существующей системе разграничения прав доступа и контроля действий пользователей, то извините меня, по меньшей мере это не корректно.

4. По п. 18-1 давайте не выделять жирным, а дочитывать до конца: ",если иное не предусмотрено настоящим Федеральным законом или другими Федеральными законами". Как раз в ФЗ № 152 и предусмотрено другое в следующем абзаце ;). Я буду очень рад, если при проверки Вашей организации регуляторы будут выделять жирным те же вырванные из контекста фразы.

Далее судите сами.

PS: Это на сколько нужно не уважать своих коллег по цеху, что бы писать "вы" с маленькой буквы ;).

Интересный подход к оценки рисков на химических объектах США

Однажды по каналу одной из рассылки (сейчас и не вспомню какой) мне пришло приглашение на обсуждения следующего документа: "Специальный отчет. Методы выявления уязвимости химических объектов США. Министерство юстиции США. 2002г.". Время было совсем мало и решил отложить изучение данного документа. Но как это потом бывает - совсем про него забыл. И вот на днях, я его обнаружил в своих архивах и приступил к его изучению. Подход к оценки рисков оказался довольно интересным и отличающимся от тех подходов которые я видел. Именно этому документу и его подходу я хочу посвятить сегодняшний пост, несмотря на то, что метод, направлен на химические объекты США ;).

Основные этапы, которые необходимо выполнить для оценки рисков:
1. Отбор необходимых объектов для оценки уязвимостей.
Отбор основан на определении следующих критериев: количестве химикатов на объекте; значимости объекта для государства и на количестве людских потерь при реализации худшего сценария развития угрозы. Есть даже шкала для предварительной оценки количества возможно пострадавших людей, например уровень 1 - более 100 000. Критерии вполне адекватные для объектов такой важности.

2. Определение проекта.
Определение проекта или создание рабочей группы. Вполне классические мероприятия, которые включают в себя процессы по выбору руководителя рабочей группы, состава, количества и компетентности специалистов, входящих в рабочую группу.

3. Характеристика объекта.
Описание характеристик объекта также является вполне понятным этапом, на котором собирается информация об его инфраструктуре, технологических процессах, количестве и качестве обрабатываемых химикатов. Есть пара таблиц, которая позволяет систематизировать процесс описания. Особое внимание хочу обратить на рекомендации по описанию технологического процесса и его контроля.

4. Установление уровней серьезности опасности.
Серьезность опасности определяется для каждого варианта чрезвычайной ситуации или реализации угрозы. Уровень серьезности определяется по качественной шкале, которая содержит четыре уровня. 1-уровень - смерть рабочих, смерть населения, сильное повреждение собственности, не способность объекта к производству более чем 1 месяц. 4-уровень - без ущерба к прилегающим территориям.

5. Оценка угроз.
Понравился подход, который четко говорит о том, чтобы определить угрозы необходимо описать предполагаемых нарушителей. Для нарушителей определяют 4-е параметра: тип, мотивация, действия и способности. Для примера есть табличка, в которой, например: тип - преступники, кол-во - 2, экипировка - бронежилеты, транспорт - грузовик либо 4 на 4, мотивация - шантаж, ограбление. В качестве угрозы выступает мотивация нарушителя. Далее при оценки угроз определяется вероятность атаки в соответствии с качественно шкалой, например, уровень 1 - угроза существует, допускается, имеет намерение или историю и нацелена на объект, уровень 2 - угроза существует, допускается, имеет намерение или историю, но не нацелена на объект и т.д.

6. Первоочередность угроз.
Фактически это процесс ранжирования вероятности реализации атаки и серьезности. В документе приведена таблица ранжирования. Естественно, что все возможные комбинации вероятности и серьезности с уровнем 1 необходимо оценивать в первую очередь :). Процесс вполне известный.

7. Подготовка к анализу физической безопасности объекта.
На этом этапе анализируется вся собранная информация на этапе 1 по функционированию системы физической безопасности объекта. Далее, существующей системе физической защиты присваивается один из четырех уровней защищенности (вероятность успеха в реализации атаки злоумышленником). Пример шкалы, уровень 1 - СФЗ неэффективная или нет защитных мер, ожидается чрезвычайная ситуация, уровень 3 - значительные защитные меры, чрезвычайная ситуация возможна и т.д. И в конечном итоге оценивается и ранжируется риск исходя из вероятности успеха противника и вероятности и серьезности атаки.  Оценка и ранжирование рисков проводится по таблице аналогичной в п.5. 

8. Осмотр объекта.
Для меня, наличие этого этапа в конце процедуры оценки является немного странным, но видимо для данной категории объектов лучше "сто раз проверить". Собственно комментарии к этапу складываются в два предложения, суть которых сводится к тому, что необходимо еще раз проверить всю информацию о критических местах объекта и ознакомить с ней всю рабочую группу.

9. Анализирование эффективности системы.
На мой взгляд, самый интересный этап. Необходимо составить возможные сценарии реализации атаки и определить вероятность успеха в их реализации с учетом п.6., например, противник перелезает через ограждение, входит в здание через поднятые шлюзовые двери, проходит к критическому объекту и уничтожает оборудование. Логично учитывать п.6. в таком анализе, так как на объекте уже существует система защиты которая снижает вероятность успеха в реализации атаки по приведенному сценарию. На выходе мы получаем только актуальные сценарии реализации атаки, с которым нам и предстоит в дальнейшем работ (формировать защитные меры). 

10. Анализирование рисков.
Как итог всего выше сделанного - это риск. Риск в данном методе определяется как функция от следующих переменных: а) серьезность последствий атаки; б) вероятность атаки противника; в) вероятность атаки противника и последствия; г) вероятность успеха противника в реализации атаки. В документе приведена блок схема анализа рисков и таблица для удобства формирования обобщенного уровня риска.

Преимущества:
- по каждому из этапов прописаны исчерпывающие рекомендации с конкретными шаблонами;
- присутствует этап по созданию сценариев атаки;
- риск учитывает четыре различных фактора влияющих на безопасность объекта;
- угрозы определяются, исходя из различных параметров нарушителя.

Недостатки:
- узконаправленный подход (физическая безопасность химических объектов), для применения в области ИБ необходимо дорабатывать;
- проскакивают качественные показатели оценки, типа "незначительные", "значительные" и т.д., для меня лично эти термины не понятны;
- последовательность этапов, на мой взгляд, не совсем логичная (я бы поменял местами этап 8 и 7, так как сначала строим сценарии, а потом уже оцениваем риски ;)).

Несмотря ни на что мне подход очень понравился, взял его на вооружение :). И естественно, данный документ появляется в колонке "нормативка ИБ" с названием Report NCJ195171.

среда, 6 июля 2011 г.

По обращению к Президенту

Уважаемые эксперты!

Чтобы повысить эффективность данного письма, ОЧЕНЬ ЖЕЛАТЕЛЬНО направить его ЛИЧНО от своего имени в адрес Президента через сайт kremlin.ru. Там необходимо ввести свои фамилию, имя и адрес электронной почты, и приложить файл с обращением в формате RTF - забирайте, замените "подписантов" на свое имя и отправляйте! Чем больше запросов будет в адрес Президента, тем больше шансов, что на письмо обратят внимание.

Я уже отправил такое обращение ;).

Открытое письмо Президенту по внесению поправок в ФЗ 152

Уважаемые читатели моего блога, хоть я и взял за принцип не обсуждать в своем блоге вопросы 152-ФЗ, но тем не менее "резкое" принятие необдуманных поправок в этом ФЗ не может меня оставить равнодушным. В связи с этим я подписываюсь под посланием сообщества экспертов по ИБ под открытым письмом Президенту. Хочу Вас попросить о том же. Сделать это можно оставив в блогах тут, тут, тут или тут комментарий со своим ФИО.


Текст открытого письма Президенту Российской Федерации Д.А. Медведеву

Уважаемый Дмитрий Анатольевич!

Мы, представители экспертного сообщества в области информационной безопасности, обращаем Ваше внимание на невыполнение вашего поручения №5, опубликованного 2 июня 2011 года на сайте kremlin.ru, а именно:5. Ускорить приведение законодательства Российской Федерации в соответствие с требованиями Конвенции Совета Европы «О защите физических лиц при автоматизированной обработке персональных данных», предусмотрев устранение необоснованных обременений для операторов персональных данных.Ответственные: Щёголев И.О., Бортников А.В., Нургалиев Р.Г.Срок – 1 августа 2011 г.Обладая определенным опытом работы в области защиты информации и в частности защиты персональных данных, а также являясь экспертами различных рабочих групп, занимающихся вопросами гармонизации российского законодательства в области персональных данных, мы заявляем, что вследствие принятия 5 июля 2011 года в третьем чтении Государственной Думой законопроекта № 282499-5 "О внесении изменений в Федеральный закон "О персональных данных" (далее - Законопроект) все существовавшие серьезные обременения для операторов не только сохранились, но и приумножились.Частью 1 статьи 20 Конвенции Совета Европы “О защите физических лиц при автоматизированной обработке персональных данных”, подписанной от имени РФ 07.11.2001 в г. Страссбург (далее - Конвенция) предусмотрена норма, согласно которой оператор персональных данных самостоятельно принимает решение о составе защитных мер, исходя из предполагаемого ущерба субъекту от их неправомерного использования. В случае утечки, ответственность ложится на оператора по всей строгости закона. Указанные в Законопроекте требования по защите данных носят обязательный характер, их состав жестко регламентирован и не зависит от предполагаемого ущерба субъекту. В тоже время, ответственность операторов за утечки Законопроектом не предусмотрена. Другими словами, Законопроект не соответствует духу Конвенции.Российским операторам персональных данных (почти всем юридическим лицам) Законопроект навязывает требования по защите данных, ранее содержавшиеся в подзаконных и ведомственных нормативных актах ФСТЭК и ФСБ, которые абсолютно не учитывают современные тенденции развития информационного общества. Слегка “подкорректированные” методы и способы защиты государственной тайны 20-летней давности стали обязательными для 7 миллионов операторов персональных данных. А среди них не только «богатые» банки или нефтяные компании, но и фермерские хозяйства, школы, поликлиники и даже индивидуальные предприниматели - все они обрабатывают персональные данные, как минимум, своих работников.Как следствие, принятый Законопроект обязывает операторов персональных данных тратить ресурсы на выполнение морально устаревших требований и покупку несоответствующих современным реалиям технических средств защиты информации. По оценкам Парламентских слушаний 20 октября 2009 года, на реализацию этих, неэффективных в деле защиты прав субъектов персональных данных, мероприятий, всеми хозяйствующими субъектами должна быть единовременно потрачена сумма около 6% ВВП РФ. Учитывая объемы затрат операторы, с очень большой вероятностью, переложат указанные расходы на субъектов - потребителей своих услуг, что неизбежно приведет к эскалации инфляционных процессов.Особо отмечаем, что Законопроект не проходил антикоррупционную экспертизу, а большие обременения, заложенные в Законопроекте, могут весьма существенным образом сказаться на развитии ИТ-инноваций в РФ, поскольку инвестиционный бюджет ИТ-стартапов весьма ограничен. Учитывая объемы затрат, наиболее востребованный экономикой инновационный вид бизнеса в РФ будет заведомо обречен на провал.Эти и другие факторы создают предпосылки для вывода существующих и создаваемых информационных систем за пределы России в страны Евросоюза, где требования к защите персональных данных учитывают современные тенденции и обеспечивают баланс интересов оператора и субъекта. Такие действия, по понятным причинам, могут нанести значительный ущерб безопасности России, и не способствуют соблюдению прав субъектов персональных данных, являющихся гражданами РФ.Просим Вас, принимая во внимание изложенные доводы, отклонить законопроект в существующем виде, и направить его на общественные слушания и соответствующую доработку с привлечением экспертного сообщества в области информационной безопасности и, в частности, защиты персональных данных.06.07.2011

Письмо подписали:


вторник, 28 июня 2011 г.

Оценка рисков нарушения ИБ (ISO 27005-2008)

Почитал подход к оценки рисков нарушения ИБ в международном стандарте ISO 27005-2008 "Управление рисками информационной безопасности" (знаю, что есть редакция от 2011г., но исходные тексты не получилось достать) он же британский стандарт  BS7799-3 в первоисточнике.

Оценка рисков нарушения ИБ проводится в соответствии со следующими этапами:
1. Идентификация активов (необходимо выделить конкретные активы (люди, информация, сервисы, техника), которые являются критичными в организации - ни чего нового :) ).
2. Идентификация нарушителей ИБ (необходимо построить "модель нарушителей", указав тип нарушителя, его мотивацию и возможные последствия от действий такого нарушителя, например тип нарушителя - "хакер", мотив - "самоутвердиться в определенном кругу лиц", последствия - "взлом веб-сервера организации и подмена главной страницы").
3. Идентификация существующих требований ИБ законодательства и партнеров (в процессе оценки рисков, необходимо учитывать как собственный опыт и статистику инцидентов ИБ в конкретной области, так и требования законодательства по ИБ и требования партнеров организации).
4. Идентификация угроз ИБ (в приложении C стандарта 27005 есть таблица с типовым перечнем угроз ИБ, например, тип - "отказ в обслуживании сервисов ", угроза - "отказ каналов связи", может быть - "преднамеренный" или "случайный" и т.д.).
5. Оценка вероятности реализации угроз ИБ (предлагает использовать качественную шкалу с ранжированием вероятности на низкую - "маловероятно, что угроза осуществится, так как не существует объективных предпосылок (инцидентов в прошлом, мотивов и статистики) к ее реализации, среднюю - "..." и высокую "...."").
6. Идентификация уязвимостей (в приложении D стандарта есть таблица с типовыми уязвимостями, например, уязвимость "аппаратных средств" - "неэффективное конфигурирование" - "в результате ошибки в использовании" и т.д. ).
7. Оценка уязвимостей (аналогичная трехуровневая качественная шкала вероятности использования уязвимости: очень вероятно - "уязвимость легко использовать, и существует слабая защита или защита вообще отсутствует"......).
8. Оценка стоимости актива ( шкалу оценки стоимости предлагается разработать самой организации с учетом специфики ее функционирования, но в примере предлагается использовать четыре значения от 0 до 4 без привязки к конкретной стоимости).
9. Вычисление рисков ИБ (риск вычисляется по таблице позиционирования значений вероятности угроз, вероятности использования уязвимости и стоимости актива. Значение риска может изменятся в диапазоне от 0 до 8. В результате, по каждому активу вы получите список угроз с различными значениями риска).
10. Ранжирование рисков ИБ или ранжирование угроз ИБ (для того чтобы определить каким рискам необходимо уделить внимание, а какие можно отложить, существует таблица и шкала ранжирования рисков. Ранги рисков - "низкий (0-2)", "средний (3-5)" и высокий(6-8). Либо можно отранжировать угрозы по значению риска, но для этого вероятность реализации угроз должна быть определена количественно. Основной принцип ранжирования заключается в присвоении высшего ранга той угрозе, по которой значение риска выше, и низшего ранга той угрозе, по которой значение риска меньше).

Преимущества подхода:
1. Наличие шаблона типовых нарушителей ИБ, из которых организация может выбрать актуальных для своей деятельности; наличие самого факта идентификации нарушителей ИБ :).
2. Наличие типовых угроз и уязвимостей, что позволяет специалистам сократить время на сбор и изучение информации о существующих уязвимостях.

Недостатки:
1. Пока что это стандарт ISO, а не ГОСТ Р ИСО/МЭК, хотя тут утверждают, что 01.12.2011 мы увидем "российскую" редакцию ;).
2. Если значение риска по 10-ти угрозам - одинаковое, что делать? Такой тривиальный подход к ранжированию не будет работать.

пятница, 24 июня 2011 г.

Оценка рисков нарушения ИБ (РС БР ИББС-2.2-2009)

Раз уж тема пошла про финансовый сектор, то стоит отдельно рассмотреть документ - рекомендации Банка России "Методика оценки рисков нарушения информационной безопасности" (РС БР ИББС-2.2-2009).

Оценку рисков предлагается проводить в соответствии со следующими процедурами:
1. Определение перечня типов информационных активов (к типам информационного актива относится конкретная информация, например информация о кредитуемых лицах, информация о вкладчиках, информация о стратегическом развитии организации и т.д., стоит отметить что в этой же процедуре предлагается определить какое свойство нарушения ИБ актуально для каждого типа информационного актива, т.е. нарушение конфиденциальности целостности, доступности, аутентичности и т.д.).
2. Определение типов объектов среды, соответствующих каждому из типов информационных активов (типы объектов среды определяются в стандарте СТО БР ИББС-1.0-2010 и включают в себя в себя такие типы как физический, уровень ОС, уровень СУБД и т.д. Довольно правильный подход с учетом того, что угрозы на уровне ОС и угрозы на уровне СУБД - различные).
3. Определение источников угроз для каждого из типов объекта среды (источники угроз определяются на основании модели угроз, получается что построение модели угроз выпадает из процесса оценки рисков :( ).
4. Оценка степени возможности реализации (СВР) угрозы ИБ (предлагается оценивать СВР по качественно-количественной шкале, т.е. "нереализуемая угроза" -0%, "средняя - от 21% до 50%" и т.д.).
5. Определение степени тяжести последствий для типов информационных активов (так же как и в п.4 предлагают оценивать с использованием качественно-количественной шкалы, т.е. "минимальное - 0,5% от величины капитала банка", "высокое - от 1,5% до 3% от величины капитала банка". Тут я и задумался!? А сколько это "в граммах"? На сайте http://www.cbr.ru/ нашел величину уставного капитала Сбербанка - 67 млрд., берем 0,5% получаем минимальное значение степени тяжести - 335 млн. У меня такое впечатление, что эта сумма "немного" завышена).
6. Оценка рисков нарушения ИБ (если оцениваем риск качественно, то используем обычную табличку соответствия степени тяжести и вероятности, а если хотим получить количественную оценку, то перемножаем вероятность на степень тяжести - ни чего нового :) ).

Преимущества:
1. Можно получить как качественные оценки, так и количественные оценки.
2. Наличие шаблонов, которые регламентирую результат работы каждой процедуры оценки рисков.

Недостатки:
1. Модель угроз формируется отдельно от процесса оценки,
2. Узкая направленность стандарта на банковский сектор, что не позволяет применить стандарт к другим областям деятельности (3% от уставного капитала среднестатистической компании составляет 300 руб. ;) ).
3. Некоторые аспекты проясняются только в приложениях к стандарту, например о необходимости определения защитных мер и способов реализации угрозы ИБ;
4. Методика направлена на оценку рисков только информационных активов, но не стоит забывать что в организации есть и физические активы и программные, которые также влияют на ИБ всей организации ;).

среда, 22 июня 2011 г.

Оценка рисков нарушения ИБ (ISO/ГОСТ Р 13569)

Расскажу об очередном "российском" стандарте ГОСТ Р ИСО/ТО 13569. Финансовые услуги. Рекомендации по информационной безопасности.
Процесс оценки рисков ИБ состоит из следующих трех этапов:
1. Оценка рисков потенциальных угроз для каждой зоны уязвимостей.
2. Присвоение комбинированного уровня риска каждой зоне уязвимости.
3. Определение подходящих политик ИБ и защитных мер.
Сразу и не поймешь, что нужно делать то!? И в памяти всплывает бородатый анекдот: "Американцы у русских купили самолет. Первый раз собирают - получается трактор, второй раз - трактор и третий раз - трактор. Пригласили русского Ваню. Он говорит: "дайте мне напильник и закройте в ангаре на сутки". Дали напильник. Приходят через сутки - стоит самолет. Американцы спрашивают - а как так получилось. Ваня отвечает - внимательно читайте инструкцию - после сборки тщательно обработать напильником".

Я вооружился "напильником" и вот что получилось. В процессе оценки рисков ИБ необходимо осуществить следующие действия:
1. Описать информационную систему (классический процесс, о нем писать не буду).
2. Идентифицировать уязвимости (в качестве уязвимостей стандарт предлагает рассматривать уязвимости персонала, помещений, оборудования, приложений и программные средства среды - если есть желание, то этот список можно расширить, но мне кажется он довольно исчерпывающий).
3. Идентифицировать угрозы ИБ (для каждой уязвимости, предлагается по четыре одинаковых угрозы ИБ, сразу скажу, что этого не достаточно для того что бы получить полную картину состояния ИБ организации и как следствие, придется перечень угроз расширять).
4. Определение вероятности реализации угрозы (экспертный подход с использованием комбинированной шкалы "качественно-количественной", хочу отметить что предлагаемая шкала является простой и привязана к такому параметру как возможность возникновения в интервале времени, например, "пренебрежимо мало - один раз в 1000 лет или реже", "возможна - один раз в 5-ть лет" и т.д., всего 9 границ градации).
5. Определение степени влияния угрозы на репутацию, финансовые показатели, качество обслуживания и т.д. (экспертный подход с использованием качественно-количественной шкалы, приведу только один пример так как остальные можно посмотреть в стандарте, "очень незначительное влияние - нападки на банковскую систему в местном радио и местной прессе и/или незначительное количество эксплуатационных проблем, не оказывающих влияние на качество обслуживания клиентов и/или правовые обязательства от участника клиринга не выполняются в установленные законом сроки и/или убытки в размере $1000" и т.д., всего 9 границ градации)
6. Оценить и проранжировать риск по каждой угрозе ИБ (классическая таблица позиционирования вероятности и влияния, по которой выбирается ранг риска).
7. Исходя из 4-го этапа, оценить обобщенный риск для уязвимости (не информативное действие, результат которого можно использовать только в качестве иллюстрации для топов при обосновании бюджета по ИБ).
8. Выбрать защитные меры для снижения уровня риска (об этом позже).
Вот как-то так получилось из трех этапов - 8 :).

Преимущества подхода:
1. Интуитивно понятную градацию в шкалах оценки вероятности и влияния угроз ИБ;
2. Применение подхода к ранжированию рисков, что дает представление о том, на какие риски нужно обратить внимание в первую очередь, а какими можно пренебречь в настоящий момент. Понравилось следующее выражение в стандарте: "Оцениваемые уровнем 5 (максимальным) риски, подлежат немедленному устранению, а не продолжению оценки рисков".
Недостатки:
1. Узкая направленность стандарта на финансовый сектор. Применять в чистом виде, например, шкалу влияния угроз для организаций других видов - не получится.

пятница, 17 июня 2011 г.

Требования к СЗПДн регуляторов vs серия 13335

Свои впечатления о базовой модели угроз ПДн от ФСТЭК я уже писал тут. А вот какой цикл в построение СЗИ предлагает серия стандартов 13335 - я и хочу рассказать в сегодняшнем посте.
Всего существует пять частей стандарта 13335 - Методы и средства обеспечения безопасности.
Часть 1 - Концепция и модели менеджмента безопасности информационных и телекоммуникационных технологий.
Часть 2 - Управление и планирование защиты ИТ - отменен. На замену ему пришел 13335 Часть 1. Логика не понятна!? Ну да ладно.
Часть 3 - Методы менеджмента безопасности информационных технологий.
Часть 4 - Выбор мер защиты.
Часть 5 - Руководство по менеджменту безопасности сети.
Есть информация, что готовят еще несколько частей, но будем рассматривать то, что есть в наличии :).

Особое внимание хочу уделить Части 3 и части 4 этого стандарта.
Про оценку рисков, на основании Части 3, я писал в предыдущем посте. Но это только вариант "Детального анализа рисков", а еще стандарт регламентирует возможность использования следующих вариантов оценки рисков нарушения ИБ:
1. Базовый подход (организация осуществляет выбор защитных мер из предлагаемого списка в части 4 в соответствии с некими характеристиками, присущими системе).
2. Неформальный подход (организация выбирает защитные меры основываясь на суждениях некого эксперта).
3. Комбинированный подход (организация выбирает защитные меры основываясь на детальном анализе рисков с привлечением экспертов для систем с высоким уровнем критичности, и основываясь на базовом подходе с привлечением экспертов для систем с низким уровнем критичности).

Хочу заострить внимание на построении СЗИ с помощью базового подхода.
Что предлагается сделать:
1. Идентифицировать тип системы:
1.1. автономная рабочая станция;
1.2. автономная рабочая станция без возможности коллективного использования и выходом в сеть интернет и т.д.
2. Идентифицировать физические условия и условия окружающей среды:
2.1.  Параметры территории и здания (параметры характеризующие безопасность, в п.7.2. Части 4 расписаны подробные параметры).
2.2. Управление доступом в здание и помещения (в п.7.2. Части 4 расписаны подробные параметры).
и т.д.
3. Оценка существующих/планируемых мер обеспечения безопасности.
Вам такие действия ни чего не напоминают? А вот мне напоминают оценку исходного уровня защищенности из базовой модели угроз безопасности ПДн от ФСТЭК. Только в этом варианте все детали продуманы гораздо лучше и учтены реальны факторы, влияющие на безопасность. В нашем же случае сам факт наличия распределенной ИСПДн говорит о том, что уровень исходной защищенности - низкий. А то что там стоит сертифицированная криптография - это поровну. 
Идем дальше, по результатам оценки у нас должна сложиться картинка о существующих организационных и технических мерах защиты информации и о существовании возможных уязвимостей. Дальше необходимо выбрать комплекс средств защиты, который и составит СЗИ.

Весь комплекс защитных мер распределяется на две составляющие:
1. Организационные и физические защитные меры.
1.1. Политика и управление безопасностью ИТ.
1.2. Проверка соответствия безопасности установленным требованиям.
1.3. Обработка инцидентов.
1.4. Физическая безопасность и т.д.
2. Специальные защитные меры систем ИТ.
2.1. Идентификация и аутентификация.
2.2. Логическое управление и аудит доступа и т.д.
Алгоритм выбора специальных защитных мер заключается в наличии табличке позиционирования защитных мер и типа информационной системы, организационные и физические меры определяются на основании наличия/отсутствия необходимой защитной меры.

Вот такой подход нужно было брать за основу нашим регуляторам. Тогда бы и появился смысл понятий "типовая ИСПДн" и "специальная ИСПДн". Для типовых, вполне достаточно было бы базового подхода к построению СЗИ, а для специальных - либо детальный, либо комбинированный. И признак отнесения к типовой и специальной нужно сменить, например, ИСПДн 4 и 3 являются типовыми, а 2 и 1 - специальными или 4,3,2 - типовые, а 1 специальные.

вторник, 14 июня 2011 г.

Оценка рисков нарушения ИБ (ISO/ГОСТ Р 13335-3)

Национальный стандарт Российской Федерации :). Методы и средства обеспечения безопасности. Часть 3. Методы менеджмента безопасности информационных технологий.

Основной подход к оценки рисков нарушения ИБ, заключается в последовательном выполнении следующих этапов:
1. Установление границ рассмотрения.
2. Идентификация активов.
3. Оценка активов.
4. Оценка угроз.
5. Оценка уязвимостей.
6. Идентификация существующих/планируемых мер защиты информации.
7. Расчет риска.

По сравнению с классическим подходом оценки рисков ИБ в предлагаемом подходе добавляется 5 и 6 этап.
Оценка уязвимостей подразумевает не только уязвимости программного обеспечения, но и уязвимости процедур, персонала, менеджмента и т.д. Это существенно, так как нужно четко осознавать, что понятие "уязвимости" гораздо шире чем "уязвимость программного обеспечения".
Идентификация существующих мер защиты - я бы поставил этот этап перед оценкой угроз, так как вероятность реализации угроз ИБ на прямую зависит от организационных, программно-аппаратных и технических средств защиты, установленных в информационной системе.

К расчету риска, в отличии от стандарта NIST 800-30 предлагается оценивать риск по трем факторам: РСИК = Pугр*Pуязв*Cактива, где новый компонент Pуязв - вероятность наличия уязвимости.
В качестве примера шкалы Pугр, Pуязв приведена качественная шкала: низкая, средняя, высокая. В качестве шкалы оценки Cактива - числовые значения в интервале от 0 до 4. Сопоставить им качественные значения предлагается организации.

Преимущества:
- при расчете риска учитываются и угрозы ИБ и уязвимости;
- угрозы оцениваются с учетом существующих и планируемых к применению средств защиты;
- стоимость активов предлагается оценивать владельцам информации;
- определяется необходимость учитывать возможность одновременного воздействия двух разных угроз ИБ на один актив.

Недостатки:
- экспертные оценки всех трех параметров риска;
- сложности в идентификации уязвимостей (так как "уязвимость" не равно "уязвимость ПО");
- проблемы связанные с объемами вычислений (помимо того что на один актив могут воздействовать разные угрозы сами по себе, так они могут воздействовать совместно в различных вариантах, например, в результате пожара, ноутбук с информацией может сгореть, а может быть украден, а может быть залит водой в ходе тушения пожара, а сколько таких вариаций может быть - боюсь даже представить).

четверг, 9 июня 2011 г.

Расчет риска нарушения ИБ (NIST 800-30)

Вот я и добрался до одного из ключевых этапов - "расчет значения риска нарушения ИБ". Существует большое количество формул, которые характеризуют различные подходы к оценки рисков, но я считаю, что все они, в той или иной степени, вышли из национального стандарта США Risk Management Guid for Information Technology Systems (NIST 800-30), разработанного департаментом финансов.
В стандарте предлагается, как уже принято говорить, классическая формула расчета риска нарушения ИБ: РИСК = Pугр * Cактива, где Pугр - вероятность реализации угрозы ИБ (применяется смесь качественной и количественной шкалы), а Cактива - степень влияния угрозы на актив (цена актива в качественной шкале и количественной). В итоге получаем значение риска в относительных единицах и ранжируем по степени значимости. Далее берем все это добро и думаем, что же с ним делать дальше.

Отвлеченно, почему Россия всегда так плохо копирует зарубежный опыт? Пример банальный, в большинстве российских стандартов применяется форму аналогичная NIST 800-30 за редким исключением. Cактива - выражается в 100000... руб или $. Таким образом РИСК у нас получается в руб. или $ или.... Отдаленно вспоминая университетский курс "Базы знаний", твердо знаю, что совершать операции с значениями из различных шкал (безразмерная величина * на размерную) - нельзя, ан нет можно ;).

среда, 8 июня 2011 г.

Идентификация угроз ИБ (о чем забыл написать)

Забыл написать о самом главном, что в результате идентификации угроз ИБ должна получиться модель угроз ИБ. Как ее сформировать и что в нее должно входить? Об этом мой сегодняшний пост.
Классически выделяют три основных угрозы ИБ: угроза нарушения конфиденциальности, целостности и доступности. Каждая из этих угроз может быть реализована определенным источником угроз, который применяет определенный способ несанкционированного доступа и совершает определенные несанкционированные действия с определенными активами.
Таким образом, модель угроз ИБ можно выстроить в виде совокупности следующих цепочек: "Источник угрозы"-"Способ НСД к активам"-"Уровень реализации угрозы ИБ"-"НСД с активами"-"Тип актива"-"Нарушение характеристики безопасности".
Никаких определений только примеры: 
Источники угроз - носители информации, нарушители и т.д.
Способ НСД к активам - взлом системы идентификации, внедрение вредоносного ПО, атака с использованием существующих привилегий пользователя и т.д.
Уровень реализации угрозы ИБ - уровень операционной системы, уровень СУБД, физический уровень и т.д.
НСД с активами - копирование, модификация, передача по каналам связи и т.д.
Тип актива - файл данных, база данных, программное обеспечение и т.д.
Нарушение характеристик безопасности - конфиденциальность, целостность и доступность.

Пример,
Внешний нарушитель (описание не привожу) - взлом системы идентификации и аутентификации - уровень ОС - копирование, изменение, удаление - файлы данных (планы стратегического развития организации) - конфиденциальность, целостность, доступность.
В этом описании содержится три угрозы ИБ, в частности внешний нарушитель, взломав систему идентификации и аутентификации получил доступ к файлам в операционной системе, что позволяет ему:
1 угроза: скопировать файл и тем самым нарушить их конфиденциальность;
2 угроза: внести изменения в файл и тем самым нарушить целостность;
3 угроза: удалить файл и тем самым нарушить его доступность.

Вот так и получается адекватная модель угроз :). На такие мысли меня натолкнули рекомендации Банка России "Методика оценки рисков нарушения информационной безопасности" РС БР ИББС-2.2-2009, который по законному праву появляется в моей колонке "Нормативка по ИБ".

вторник, 7 июня 2011 г.

Оценка ценности активов!?

Вероятность реализации угроз ИБ оценили? Тогда переходим дальше. А дальше необходимо оценить ценность активов. В информационной системе можно выделить три основных типа активов: информационные (информация в файлах и базах данных), технические (сервера, АРМ, маршрутизаторы, каналы связи и т.д.) и программные (системное и прикладного программное обеспечение).

Опять переходим к шкалам. Первый вариант - качественная шкала, например, легкое влияние угрозы ИБ на актив - очень низкое влияние на репутацию организации и очень низкие финансовые потери, умеренное влияние - ............. и т.д. Шкала вполне пригодная, но как всегда возникает вопрос: что значит "очень низкие финансовые потери? Это 1000 или это 100000. Для одной организации очень низкие потери в 1000, а для другой в 100000." Конечно, для каждой организации необходимо проработать индивидуальную шкалу оценки.
Второй вариант - количественная шкала, характеризующая стоимость конкретного актива. Если с программными и техническими активами все более менее понятно (стоимость сервера - 50000 за минусом амортизации = итоговая стоимость сервера), то с информационными активами все не так очевидно. 

Давайте рассмотрим несколько случаев:
1. Нам необходимо оценить стоимость информации, которая относится к коммерческой тайне, в частности план развития организации на 2011-2016гг (планы о расширении производства, получения дополнительной прибыли, развитие информационной инфраструктуры, ребрендинг продукции, выпуск новой продукции и т.д.), который хранится в конкретном файле Plan.doc. Для меня, очевидно, что стоимость такой информации равна совокупной планируемой прибыли в результате реализации этого плана. Почему так? Если организация-конкурент получит такую информацию, то приступит к реализации этих планов намного быстрее, чем организации разработчик. Что в итоге? В итоге мы получаем недополученную прибыль первой организации в результате реализации плана или пересмотр своей стратегии (на что требуются дополнительные затраты) и т.д. Основной вывод: стоимость коммерческой тайны = количеству прибыли, которую может получить ее владелец.
2. Нам необходимо оценить стоимость информации, которая содержится в правилах фильтрации межсетевых экранов, сертификатах закрытых ключей шифрования и ЭП. С помощью качественной шкалы и метода "палец в небо" можно что-то оценит, но нужна ли такая оценка - как по мне, так нет :). Оценить количественно стоимость информации в правилах фильтарации - практически невозможно. Если злоумышленник взломал наш межсетевой экран (пусть подобрал пароль к учетке админа) и изменил правила фильтрации, которые часть информационного потока (внутренней корпоративной почты или icq) перенаправляют ему. Чем это опасно? Сотрудники, общаясь внутри организации, передают большой поток информации ограниченного доступа, которую может получить например конкурент. Далее события развиваются по первому сценарию. Но какую информацию конкретно он перехватит - это не известно, что и не позволяет оценить ее стоимость. Как следствие, оценить стоимость информации в правилах фильтрации - невозможно.

В качестве коротенького заключения хочу сказать, что такое мнение у меня выработалось со временем, но я не исключаю того, что оно может измениться после прочтения книги "Оценка нематериальных активов" авторов Рейли и Шварца, о которой я узнал из совместной статьи А. Волкова и А. Бондаренко

вторник, 31 мая 2011 г.

Оценка вероятности реализации угрозы ИБ (математические подходы)

Второй подход оценки ВРУ основан на использовании различных математических аппаратов. Если посмотреть труды различных ученых, то с первого взгляда можно оценить все разнообразие таких подходов. Кто-то предлагает оценивать вероятность с использованием теории случайных процессов, кто-то с использованием нечеткой логики и нечетких множеств, кто-то теории надежности и.т.д. Авторефераты этих работ без проблем можно найти в интернете.
Но хочу заметить, что за множеством различных формул, терминов, например, "функции принадлежности", "фазификация", "функции и плотности распределения", "интегральные оценки", численными методами "монте-карло", "сети петри", "марковские цепи и процессы", "конечные автоматы" - скрываются все те же оценки экспертов, либо статистически накопленные данные.

Как и почему они там используются? Для того, что бы математическая модель начала работа необходимо что-то подать на вход этой модели. В качестве входных данных могут выступать такие значения как: количество произошедших угроз ИБ, интенсивность происходивших угроз ИБ, уязвимости программного обеспечения и средств защиты, степень выполнения требований ИБ (простая зависимость: если требования выполняются то ВРУ ниже) и т.д. А на выходе получается значение ВРУ. Достоверность полученных результатов зависит от достоверности входных данных.

Количество произошедших угроз может браться из собственной БД (если она конечно ведется :)) или из общедоступных источников. Откуда лучше брать информацию? Лучше брать накопленную информацию по угрозам ИБ и дополнять ее информацией из обще доступных источников. При этом необходимо обращать особое внимание на вид деятельности организаций для которых представлена статистика. Ведь вы не станете устанавливать в легковую машину двигатель от грузовой :). Вот и тут не надо на организацию здравоохранения или металлургический комбинат примерять статистику по угрозам ИБ от банковского сектора. 

Приимущества подхода:
- использование математических подходов приближает результат оценки ВРУ к объективной.
Недостатки:
- коммерциализация программных продуктов с использованием таких подходов очень низкая, я бы даже сказал практически 0, на сколько я знаю, всего два российских продукта, с определенными поправками, можно отнести к этой категории "АванГард" и "Digital Security Office".

вторник, 24 мая 2011 г.

Оценка вероятности реализации угрозы ИБ (экспертные оценки)

Список активов определен, перечень угроз составлен. Что дальше? Дальше следует оценить вероятность (возможность) реализации угроз ИБ (ВРУ). Какой подход выбрать и что в результате получится - именно об этом мой пост. 
Существует два основных подхода к оценки ВРУ:
1. Экспертный (ВРУ оценивает эксперт в области ИБ).
2. С  использованием различных математических подходов, основанных на статистических данных о произошедших угрозах ИБ в прошлом.

Первый подход применяется в том случае, если нет накопленной информации о произошедших угрозах в прошлом, например базы данных (БД) инцидентов ИБ. Организация приглашает эксперта или силами штатных сотрудников по ИБ проводит работы по оценки ВРУ. Если эксперт внешний, по отношению к организации, то у него уже есть заготовка шкалы оценки ВРУ, а если эксперт внутренний, то такую шкалу ему придется разработать самостоятельно или воспользоваться практикой зарубежных организаций. 
Шкала может быть двух видов - качественная и количественная. Банальный пример качественной шкалы приводится во многих методиках (низкая ВРУ, средняя ВРУ, высокая ВРУ). Что значит низкая, средняя и высокая - не совсем понятно. Расшифровать такую шкалу довольно просто, например, низкая ВРУ - угроза ИБ ни когда не реализуется; средняя ВРУ - угроза ИБ реализуется с вероятностью 50% и т.д. Не самый хороший вариант шкалы, но и не самый плохой ;).
Примеров с количественной шкалой не меньше чем с качественной, например, (0;0,25) - низкая ВРУ, [0,25;0,5) - средняя и т.д. Как эксперт будет определять количественное значение 0,25 или 0,27 и в чем разница - известно только ему, но он эту тайну ни за что не продаст ;).
Не стоит забывать и о компетентности эксперта (не имеет значение внутренний он или внешний), который будет оценивать значение ВРУ. Ведь оценка ВРУ специалистом по ИБ у которого от ИБ есть только диплом, а он уже лет пять работает администратором ИТ - вряд ли можно считать объективной. Процедуру оценки компетентности эксперта стоит продумать заранее. Одним из ключевых моментов в такой процедуре, являются критерии оценки, которые можно представить, например, в таком виде:
1. Наличие высшего образования по направлению ИБ (да-1, нет-0).
2. Наличие сертификатов по направлению ИБ (да-1, нет-0).
3. Прохождение последнего повышения квалификации (менее трех лет назад - 1, более трех лет назад -0)
4. Опыт работы
и т.д.
Далее нормируем значение оценки, что бы величина изменялась в пределах от 0 до 1.
На выходе Вы получаете некое значение компетентности эксперта которое в дальнейшем будет учитываться при определении ВРУ = компетентность * ВРУn. Например, эксперт проставил ВРУ1=0,25; ВРУ2=0,5, а значение оценки компетентности = 0,4, следовательно, ВРУ1= 0,1 и ВРУ2=0,2.

Основные недостатки подхода:
1. В конечном итоге, получаются субъективные оценки, даже не смотря на введеное значение коэффициента компетентности эксперта, которое безусловно приближает значение ВРУ к объективному.
2. Сложность в выборе количества интервалов качественной и количественной шкалы. Небольшое количество интервалов может привести к тому, что значение ВРУ актуальных угроз будет занижена. Большое количество интервалов сказывается на работе эксперта, в частности, проблема выбора интервала для определенной угрозы ИБ.
3. Значения ВРУ могут умышленно занижаться (внутренний эксперт) и завышаться (внешний эксперт).

К вопросу о втором подходе оценки ВРУ вернусь позже.