Методика комплексной оценки рисков утечки информации


         

в том, чтобы определить риск


Цель оценки риска состоит в том, чтобы определить риск для  корпоративной сети. Процесс оценки риска проводится в два шага. На первом шаге определяют границы сети  для анализа и детальная конфигурация корпоративной сети. На втором шаге проводится анализ риска. Анализ риска разбивается на идентификацию ценностей, угроз и уязвимых мест, оценку вероятностей, и измерение риска.

Цель минимизации риска состоит в том, чтобы применить эффективные меры защиты таким образом, чтобы остаточный риск в корпоративной сети стал приемлем. Минимизация риска состоит из трех частей: определения тех областей, где риск является недопустимо большим; принятие решения выбора наиболее эффективных  средств защиты;  внедрение и тестирование средств защиты.



Оценка риска.

             Детальная конфигурация КС.

             Идентификация  и оценка ценностей.

             Идентификация угроз и определение вероятности.

             Измерение риска.



Уменьшение риска.

2.1. Принятие решения в выборе средств защиты.

2.2. Внедрение и испытания средств защиты.

2.3. Проверка остаточного риска.

  Функциональная схема процесса управления риском в КС представлена на рисунке 1.



   Рисунок 1 - Функциональная схема процесса управления риском.

При проведении методики оценки рисков необходимо выделит группы людей на предприятии, которые будут участвовать в процессе проведения оценки. Как минимум, в организации защиты  должны принимать участие:



Администраторы сети

несут ответственность за функционирование сети. Администраторы сети могут обеспечить группу оценку риска информацией о корректных параметрах конфигурации сети, включая аппаратные средства ЭВМ, программное обеспечение, данные, и распределение функций сети по ее компонентам. Администраторы сети могут также указать непосредственные воздействия, которые могут произойти, если угроза  будет реализована.



Руководство организацией

отвечает за поддержку политики безопасности сети, обеспечивая финансирование требуемых служб безопасности и разрабатывая руководящие документы,  гарантирующие достижение целей политики безопасности. Руководство организацией отвечает за правильную оценку долгосрочных последствий для организации реализации угрозы .



Сотрудники службы безопасности отвечают за то, что политики  безопасности организации  разработаны  и  их придерживаются.

Владельцы данных и приложений отвечают за гарантии того, что их данные и приложения адекватно защищены и доступны уполномоченным пользователям.

Пользователи сети отвечают за предоставление точной информации относительно  используемых ими приложений, данных и ресурсов сети.

Этапы проведения оценки риска:

1.      Этап 1- Идентификация ценностей КС.

1.1.      Все информационные ресурсы КС предприятия разбиваются на объекты или ценности. Выделение ценностей осуществляется руководством и администраторами КС по определенным признакам (тематикам) информационных ресурсов.

1.2.      Выявленные ценности (объекты) заносятся  в таблицу ценностей (таблица 1.1). Каждому объекту присваивается уникальное имя.

1.3.      Идентифицированные ценности необходимо распределить по иерархической структуре (рисунок 1.1), чтобы выделить ценности, которые зависят от других ценностей.

Таблица 1.1 Ценности.

Ценности (объекты)

Описание, тематика

А

БД работников предприятия

В

Фалы договоров

С

Разработки предприятия

D

ПО и БД бухгалтерии

…..

….



Рисунок 1.1 –Иерархическая структура

2.      Этап 2 – Определение конфигурации КС.

Конфигурация должна описывать подключенные аппаратные средства КС, главные используемые приложения, важную информацию, обрабатываемую в КС, а также то, как  эта информация передается через КС. Степень знания конфигурации КС будет зависеть от используемой границы и степени детализации.



2.1. Определить аппаратную конфигурацию.

Конфигурация Аппаратных средств - включает серверы, автоматизированные рабочие места, ПК, периферийные устройства, соединения с глобальными сетями, схему кабельной системы, соединения с  мостами или шлюзами и т.д.

2.2. Определить конфигурацию программного обеспечения.

Конфигурация Программного обеспечения - включает операционные системы серверов, автоматизированных рабочих мест и операционные системы ПК, операционную систему КС, главное прикладное программное обеспечение, инструментальное программное обеспечение, средства управления КС, и программное обеспечение, находящееся в процессе разработки.

Конфигурация Программного обеспечения должна также включать местоположение программного обеспечения в КС и указание мест, откуда к нему осуществляется доступ.

2.3. Рассмотренные конфигурации КС заносятся в таблицы.

2.4. Определить функциональную схему взаимодействия ресурсов КС.

Важно  указать, откуда к выявленным ценностям (объектам) обращаются, какие типы пользователей имеют доступ, и где ценности (объекты)  хранятся и обрабатываются в КС.

Таблица 2.1 Аппаратные и программные средства.



Аппаратные средства

Операционная система

Программное обеспечение

Примечание

1

Сервер главный

UNIX

....

....

2

Рабочая станция 1

Windows 2000

1C Бухгалтерия, Office 2000, FAR

..









Таблица 2.2 Пользователи КС



Пользователь (ФИО)

Тип

Рабочее место

Примечание

1

….

Администратор сервера №1

Сервер№1 и сервер №2









….



Таблица 2.3 Взаимодействие объекта с пользователем.

Ценность (объект)

Место (где находится объект)

Пользователи

Примечание

А

Сервер1, Сервер2

№1 и №2









3.  Этап 3 - Оценка ценностей.

В ходе оценки ценностей выявляются и назначаются стоимости ценностям КС. Все части КС имеют стоимость, хотя некоторые ценности определенно более ценны, чем другие. Этот шаг дает первый признак тех областей, на которые нужно обратить особое внимание.



Для получения качественной оценки ценностей необходимо применить методологию экспертных оценок, которая  позволяет получить комплексную оценку ценностей обрабатываемых в корпоративной сети. В данной методике комплексная оценка ценностей получается путем ранжирования ценностей по качественной, порядковой пяти балльной шкале, которая представлена на рисунке 2.1. Шкала, по которой ведется ранжирование ценностей, представлена в терминах потенциальных потерь.



Рисунок 3.1 – Шкала.

Возможно, что руководство КС выберет другую методологию оценки ценностей, но комплексная оценка должна быть представлена по шкале определенной выше, потому что эта шкала применяется на всех этапах представленной методики.

3.1  Формирование экспертной группы.

Для реализации процедуры экспертного оценивания не­обходимо сформировать группу экспертов. Общим тре­бованием при формировании группы экспертов является эффективное решение проблемы экспертизы.

3.1.1. Составляется предварительный список экспертов, которые непосредственно связаны с выявленными ценностями КС. При составлении этого списка проводится анализ качеств экспертов. При оценке качеств учитывается мнение людей, хорошо знающих кандидатов в эксперты.

Составлением списка экспертов производится руководителем предприятия. При этом могут быть достигнуты следующие цели:

1.      Удается составить экспертную группу из специалистов, заинтересованных в проведении экспертизы и склонны к коллективному обсуждению.

2.      Руководитель может назначить авторитетных лиц.

3.1.2. В составленном списке экспертов выделяется группа экспертов для  каждой  ценности.

3.1.3. Составленные списки  экспертов  утверждаются  руководителем предприятия.

3.2.  Количественная оценка.

На этом этапе эксперты оценивают ценности в количественных терминах, а именно в рублях. Экспертам предлагается спрогнозировать, рассчитать, предположить стоимость ценности при ее потери, раскрытии искажении.  Количественная оценка ценностей складывается из следующих оценок:

стоимость замены ценности (восстановления);



стоимость последствий для предприятия;

стоимость  последствий при взаимосвязях с другими ценностями.

Оценка ценностей экспертами осуществляется от высших к низшим ценностям по иерархической структуре распределения ценностей КС (п.1.3).

3.2.1. Каждому эксперту предлагается формула расчета количественной оценки для каждой ценности.

Исходные данные:

1. Время простоя вследствие потери (искажения) ценности, tП (в часах)

2. Время восстановления узлов после атаки, tВ (в часах)

3. Время повторного ввода потерянной информации, tВИ (в часах)

4. Зарплата обслуживающего персонала (администраторов и т.д.), ZO

5. Зарплата сотрудников, которые будут восстанавливать ценность, ZC

6. Число обслуживающего персонала (администраторов и т.д.), NO

7. Число сотрудников, работающих с ценностью, NC

U- общая количественная оценка.

U = ППос + ПВ + ПВз, где

ППос = ПП + ПС

ПП =



ПС – субъективная оценка эксперта стоимости последствий для предприятия после раскрытия, уничтожения, модификация ценности, потерянная прибыль предприятия.

ПВ = ПВИ + ППВ

ПВИ - стоимость повторного ввода информации.

ППВ - стоимость восстановления узла (переустановка системы, конфигурация и т.д.).

 

ПВИ =



ППВ =



ПВз – оценка эксперта стоимости по взаимосвязям ценностей, одна потеря ценности ведет к невозможности использования (простоя) взаимосвязанными с ней ценностями.

3.2.2. Результаты работы экспертов заносятся в таблицу 3.2.

Таблица 3.2

Ценность 1

Ценность 2

Ценность 3

Ценность 4

Ценность 5

Эксперт1

U1

U2

U3

U4

U5

Эксперт2

U1

U2

U3

U4

U5

3.2.3. Обработка результатов экспертных оценок данного этапа.

3.2.3.1. Необходимо выяснить согласованность экспертных оценок по каждой ценности.

Представленный далее расчет проводится по каждой ценности.

Согласованность оценок определяется унимодальностью или полимодальностью функции (рисунок 3.2) плотности распределения, а также степенью рассеяния оценок.



 



Рисунок 3.2 - 1-унимодальное распределение, 2- полимодальное.

Появление полимодального распределения свидетельствует о наличии в экспертной группе подгрупп с существенно различными мнениями о значении ценности. Необходимо вновь получить экспертные оценки по данной ценности, где было выявлено полимодальное распределение, и лишь после достижения унимодальности переходить к дальнейшим операциям.

Пусть n экспертов дали оценку ценности. Обозначим оценку i-го эксперта xi, наименьшую их экспертных оценок xmin, а наибольшую xmax.

Необходимо рассчитать медиану Ме – это такое значение оцениваемой величины, слева от которой находится 50% все оценок. Если число экспертных оценок нечетное, то Ме совпадает с (n+1)/2 оценкой.

Первый квартиль q1-  это значение оцениваемой величины, слева от которой находится 25% всех экспертных оценок. Слева от третьего квартиля q3 находится 75% всех экспертных оценок.

 Рассчитываем :

Rq=q3-q1 – интерквартильный размах.

R=xmax-xmin – размах вариации.

Kv=Rq/2*Me*100% -  Коэффициент вариации (согласованности).

Согласованность оценок считается слабой, если Kv>50%.

Хорошо согласованны, если Kv<20%.

Заносим полученные результаты в таблицу 3.2.1

Таблица 3.2.1

            Ценность

R

Me

q1

q3

Rq

Kv

А





..

..

..

.

В

.

.

.

.

.

.

Если полученные результаты являются  слабо согласованными  по полученным характеристикам, то необходимо заново провести опрос экспертов по данной ценности. Перед проведением повторного опроса необходимо провести работу с экспертами, например, более детально обсудить проблему.

Если полученные результаты опроса экспертов являются согласованными, то значение стоимости ценности является полученное значение медианы (Ме).

3.2.4. Результаты заносятся в таблицу 3.2.4.1. 

Таблица 3.2.4.1

Ценность

Оценка (стоимость)

А

1324

 

3.3  Ранжирование по информационным типам.

На этом этапе эксперты ранжируют ценности по шкале информационных типов. Экспертам необходимо определить для каждой ценности свой тип (ранг).



Типы:

1.      Секретная (ранг 1).

2.      Строго конфиденциальная (ранг 2).

3.       Конфиденциальная (ранг 3).

4.      Общедоступная (ранг 4).

Ранжирования экспертами ценности осуществляется по признакам отнесения  ценности к тому или иному типу (рангу).

Признаки:

1.      Секретная.

            Информация, содержащая государственную тайну согласно закону «О государственной тайне».

            Финансовая информация о действии компании.

            Особо важная техническая информация.

2.      Строго конфиденциальная.

            Информация о личности (персональные данные).

            Коммерческая информация (тексты договоров и соглашения с партнерами).

            Техническая информация (тексты документов, ТЗ, продукты, ключи лицензирования и шифрования).

3.      Конфиденциальная.

            Внутренняя информация компании не подходящая к предыдущим типам.

4.      Общедоступная.

            Информация, опубликованная в средствах массовой информации.

3.3.1 Результаты ранжирования экспертами ценности заносятся в таблицу 3.3.1, ячейки содержат ранги, которые были присвоены экспертами ценностям.

Таблица 3.3.1

Ценность 1

Ценность 2

Ценность 3

Ценность 4

Ценность 5

Эксперт1

1

2

2

3

4

Эксперт2

1

1

2

2

2

3.3.2 Обработка результатов экспертных оценок.

Необходимо вычислить:



Коэффициент конкордации (согласованность)

W=12*K/m^2(n^3-n), K=(S1-Sc)^2+(Si-Sc)^2+...+(Sn-Sc)^2;

Si- сумма рангов полученным данным объектом во всех ранжировках.

Sc-средняя сумма рангов полученным данным объектом во всех ранжировках.

m – число экспертов.

n – число ранжировок.

Если W>0.8, то группа экспертов является согласованной, иначе несогласованной.

При несогласованности экспертов необходимо выявить причины и провести повторное ранжирование.

При согласованности экспертной группы проводится агрегация полученных ранжировок.

3.3.3  Агрегация.

Агрегация – это переход к обобщенной ранжировки.

Средняя ранжировка рассчитывается по формуле:

maxS(Rme,Ri)=min;

S – Разница рангов в двух соседних ранжировках по одной ценности.

Ri – i-ая ранжировка.

Rme – средняя (обобщенная) ранжировка.

Результат выявленной  ранжировки заносится в таблицу 3.3.3.

Таблица 3.3.3

Ценность

Ранг

А

1

B

2

3.4 Получение комплексная оценка ценностей.

На этом этапе эксперты ранжируют ценности по шкале потенциальных потерь представленной на рисунке 3.1. Ранжирования экспертами ценностей осуществляется на основе полученных результатов по оценки стоимости (таблица 3.2.4.1) и  оценки ранжирования по типу (таблица 3.3.3), которые являются факторами ранжирования.

3.4.1 Результаты ранжирования экспертами ценностей заносятся в таблицу 3.4.1, ячейки содержат ранги, которые были присвоены ценностям.

Таблица 3.4.1

Ценность 1

Ценность 2

Ценность 3

Ценность 4

Ценность 5

Эксперт1

1

2

2

3

5

Эксперт2

1

1

2

2

4

3.4.2 Обработка результатов проводится аналогично обработке в п 3.3.2.

3.4.3 Агрегация производится аналогично агрегации в п. 3.3.3.

В результате получаем комплексную оценку каждой ценности по шкале потенциальных потерь (рисунок 3.1), которую заносим в таблицу 3.4.2.

Таблица 3.4.2

Ценности

Комплексная оценка

A

1

B

4

C

5

После того, как пройдены все этапы идентификации, и оценки ценностей,  получаем адекватное  представление о том, из чего состоит КС и какие области  должны защищаться.



Методика комплексной оценки рисков утечки информации в корпоративной сети.

Для определения соответствующих мер защиты корпоративной сети должен использоваться системный подход. Решение, как  обеспечить защиту, где реализовать защиту в в корпоративной сети (КС), какими должны быть типы и мощность мер и средств защиты, требует значительных размышлений. Данная методология базируется на процессе управления риском:

оценки возможных потерь из-за использования или зависимости от технологии автоматизированной информационной системы;

анализа потенциальных угроз и уязвимых мест системы, которые влияют на оценки возможных потерь;

выбора оптимальных по цене мер и средств защиты, которые сокращают риск до приемлемого уровня.

Использование корпоративной сети связано с риском. Термин “управление риском” обычно используется для  обозначения процесса определения риска, применения мер и средств защиты для сокращения риска, и определения после этого, приемлем ли остаточный риск. Управление риском преследует две цели: измерение риска (оценка риска) и выбор соответствующих мер и средств защиты, сокращающих риск до приемлемого уровня (уменьшение риска). Проблемы, которые должны быть решены при оценке защищенности корпоративной сети, включают:

1.      Ценности - Что должно быть защищено?

2.      Угрозы - От чего необходимо защищать ценности и какова вероятность того, что угроза реализуется?

3.      Воздействия - Каковы будут непосредственные разрушения после реализации угрозы  (например, раскрытие информации, модификация данных)?

4.      Последствия - Каковы будут  долгосрочные результаты  реализации  угрозы (например, ущерб репутации организации, потеря бизнеса)?

5.      Меры защиты - Какие  эффективные меры защиты (службы безопасности и механизмы) требуются для защиты ценностей?

6.      Риск - После реализации мер защиты приемлем ли остаточный риск?