Для определения соответствующих мер защиты ЛВС должен использоваться систематический подход. Решение, как обеспечить защиту, где реализовать защиту в ЛВС, какими
должны быть типы и мощность мер и средств защиты, требует значительных
размышлений. Этот раздел будет посвящен проблемам, связанным с управлением
риском ЛВС. Элементы, которые являются общими для большинства организаций при
управлении риском, будут рассмотрены в терминах уникальных свойств ЛВС, которые
могут потребовать специального рассмотрения, которое приведет к отличию
управления риском для ЛВС от управления риском для многопользовательской
ЭВМ или приложения на ней. При представлении этой информации, будет
представлена простая методология управления риском, которая может
рассматриваться, как кандидат среди различных методологий и методов,
доступных в настоящее время.
Задачей читателя является определение
соответствующего уровня защиты, требуемой для его ЛВС. Это осуществляется
посредством управления риском. [KATZ92] определяет управление риском как
процесс:
- оценки возможных потерь из-за использования или зависимости от
технологии автоматизированной информационной системы,
- анализа потенциальных угроз и уязвимых мест системы, которые влияют
на оценки возможных потерь, и
- выбора оптимальных по цене мер и средств защиты, которые сокращают
риск до приемлемого уровня.
Имеется большое количество методологий
управления риском, которые может использовать организация. Однако все они должны
включать процесс, описанный выше.
3.1. Текущие подходы
Одним из
наиболее важных соображений при выборе методологии или техники является то, что
результаты, полученные из оценки риска, должны быть полезны при обеспечении
защиты ЛВС. Если методология очень сложна при ее использовании, если она требует
очень точных исходных данных , или если ее результаты слишком сложны для того,
чтобы сделать вывод, каким является реальный риск при использовании ЛВС ,
то эта методология не будет полезна и не поможет создать эффективную защиту ЛВС.
С другой стороны, если методология не позволяет добиться приемлемой точности при
определении значений таких переменных, как потери, вероятности и стоимости,
полученные результаты могут оказаться слишком простыми и не отражать истинного
риска использования ЛВС. Ответственные за безопасность в организации должны
использовать такой подход для оценки риска, который бы обеспечивал применение
методики, являющейся понятной, легко используемой, и приводящей к результатам,
которые помогают организации эффективно защищать ее ЛВС.
В 1979, NIST издал
FIPS 65 [FIPS65], который описал количественный метод для выполнения анализа
риска. Этот документ был выпущен как рекомендация, а не как стандарт. Поэтому
использование FIPS 65 не является обязательным при выполнении анализа риска.
[KATZ92] указывает на то, что он в основном предназначался для проведения
анализа риска в больших центрах обработки данных. [FIPS65] описывает, как можно
получить оценку риска (то есть ожидаемые ежегодные потери ) для каждого
файла данных приложений, оценив : (1) частоту возникновения вредного воздействия
(то есть разрушения, модификации, раскрытия или недоступности файла данных) и
(2) последствия (в долларах), которые могут возникнуть в результате каждого из
воздействий [KATZ92]. [KATZ92] объясняет, что «признавая отсутствие эмпирических
данных относительно частоты возникновения воздействий и связанных с ними
последствий, FIPS 65 предложил использовать
подход с применением
порядка величины для аппроксимации этих значений. То, что эта концепция
была не понята людьми, использовавшими это метод, иллюстрируется многочисленными
попытками получить слишком точные значения для исходных данных FIPS
65 и, как следствие, попытками интерпретировать результаты как имеющие большую
точность, чем есть на самом деле.» FIPS 65 может использоваться для оценки риска
ЛВС; однако организации могут выбрать другие методологии и методы, если
организация находит, что они будут более уместными и эффективными.
Имеется
ряд автоматизированных средств анализа риска, которые были специально
разработаны для анализа среды ЛВС. [GILB89] указывает на большое
количество преимуществ от использования автоматизированных средств анализа
риска. Однако возникает ряд проблем при использовании автоматизированных
инструментов анализа риска. Имеется большое количество методов для
вычисления риска. В то время как большинство из этих методов зависят от значений
потерь и значений вероятностей, представление значений этих
переменных, вычисления, производимые с этими переменными, и способ
интерпретации значения риска, не всегда доступны пользователю. Этот недостаток
усиливается из-за того, что в настоящее время не имеется стандартного метода или
согласованного подхода для выполнения анализа риска. В то время как для анализа
риска существует вариант стандартной схемы его проведения [KATZ92],
который дает разработчикам программ некоторые рекомендации по разработке
этих инструментов, нет согласия в отношении методов представления
переменных, необходимых для выполнения анализа риска, и в отношении методов для
вычисления риска на основе этих переменных. Из-за отсутствия
согласия среди специалистов по анализу риска, вкупе с специфичностью данных
инструментов, определение эффективности конкретного метода может быть
проблематичным. С другой стороны, если методология, используемая средством,
понятна и считается пользователем приемлемой, то средство может оказаться вполне
адекватным. Основной вопрос при определении того, будет ли инструмент эффективен
для специфической окружающей среды, должен звучать так: » Что измеряет данное
средство анализа риска, и полезны ли для обеспечения требуемой защиты
ЛВС результаты, полученные при помощи этого средства?» [GILB89]
обсуждает использование автоматизированных средств анализа риска, и указывает
критерии, которые могут использоваться в процессе выбора этих
автоматизированных средств.
Другой подход при выполнении анализа риска
состоит в разработке базовых наборов средств и мер защиты, необходимых для
заранее определенных стандартных уровней риска. Стандартные уровни риска могут
быть основаны на ценности ресурсов как таковых (например, данные считаются
критичными из-за политики организации или федерального закона), на последствиях,
которые могут последовать после потери ценности (например, организация не сможет
выполнить задачу) или на других факторах. Это позволяет владельцам данных и
ответственным за обеспечение безопасности ЛВС определять уровень риска для
определенных ценностей, следовать рекомендациям в отношении полученного
уровня риска и внедрять меры защиты, которые считаются адекватными.
Этот подход может быть полезен для организации из-за реализации
согласованной защиты для конкретных типов ценностей. Этот подход был реализован
в [DOE89], [HHS91], [NASA90]. Выгода этого подхода заключается в том, что
пользователя не только обеспечивают методологией анализа риска, но также
информацией, позволяющей понимать политику безопасности организации, основанную
на базовых наборах средств и мер защиты. В организациях, где ответственность за
безопасность несет кто-либо, кто не является специалистом по защите, этот подход
может дать достаточно информации, чтобы обеспечить действенную защиту.
Доступны другие методологии и подходы. Некоторые требуют ручной обработки;
другие реализованы программно. Какой бы метод анализа риска не был выбран
организацией, он должен оказывать эффективную помощь при реализации
надежной защиты ЛВС и при сокращении риска в ЛВС.
3.2. Участники
Защита ЛВС должна учитывать
интересы и потребности организации в целом. Эта цель может быть достигнута
только тогда, когда в решении задачи участвуют представители
соответствующих отделов организации. Как минимум, в организации защиты
должны принимать участие:
- Администраторы ЛВС несут ответственность за функционирование ЛВС.
Администраторы ЛВС могут обеспечить группу оценку риска информацией о
корректных параметрах конфигурации ЛВС, включая аппаратные средства ЭВМ,
программное обеспечение, данные, и распределение функций ЛВС по ее
компонентам. Администраторы ЛВС могут также указать непосредственные
воздействия, которые могут произойти, если угроза будет реализована.
- Руководство организацией отвечает за поддержку политики
безопасности ЛВС, обеспечивая финансирование требуемых служб безопасности и
разрабатывая руководящие документы, гарантирующие достижение целей
политики безопасности. Руководство организацией отвечает за правильную оценку
долгосрочных последствий для организации реализации угрозы .
- Сотрудники службы безопасности отвечают за то, что политики
безопасности организации разработаны и их придерживаются.
- Владельцы данных и приложений отвечают за гарантии того, что их
данные и приложения адекватно защищены и доступны уполномоченным
пользователям.
- Пользователи ЛВС отвечают за предоставление точной информации
относительно используемых ими приложений, данных и ресурсов ЛВС.
Вышеупомянутый список включает тех лиц, которые участвуют в анализе
риска для большинства компьютерных систем и приложений (за исключением
администраторов ЛВС, если не имеется никакой сети). Специфика формирования
группы оценки риска ЛВС заключается в том , что каждая группа, указанная
выше, может включать не одного человека, а такое их число, которое позволяло
бы учесть при анализе деятельность всех отделов организации, обслуживаемых
ЛВС, все приложения, которое работают в ЛВС, и все разнообразные
требования и указания, регламентирующие деятельность организации. Также должны
быть учтены требования «владельца ЛВС» помимо учета потребностей
всех владельцев данных и приложений.
Конечная цель эффективной полной защиты
ЛВС не может быть достигнута, если с самого начала в этой группе не будет
иметься сильный лидер. Например, организации, в которых отсутствует
сильное централизованное управление ЛВС, могут столкнуться с трудностями при
оценке потребностей в защите иерархическим способом, так как каждый местный
администратор или владелец приложения будет рассматривать свои потребности
как приоритетные по отношению к потребностям других администраторов и
владельцев приложений, независимо от того, что показывают результаты анализа
риска .
Первоначально, те люди в организации, которые отвечают за выполнение
анализа риска, должны сделать некоторые предположения относительно
предполагаемой глубины рассмотрения и границ анализа риска. На основе этой
информации могут быть определены необходимые участники процесса анализа риска.
3.3. Элементы управления
риском
Использование ЛВС связано с риском. Термин «
управление риском»
обычно используется для обозначения процесса определения риска, применения
мер и средств защиты для сокращения риска, и определения после этого, приемлем
ли остаточный риск . Управление риском преследует две цели: измерение риска
(оценка риска) и выбор соответствующих мер и средств защиты, сокращающих риск до
приемлемого уровня (уменьшение риска). Проблемы, которые должны быть решены при
оценке защищенности ЛВС, включают:
1. Ценности — Что должно быть защищено?
2. Угрозы — От чего необходимо защищать ценности и какова вероятность того,
что угроза реализуется?
3. Воздействия — Каковы будут непосредственные
разрушения после реализации угрозы (например, раскрытие информации,
модификация данных)?
4. Последствия — Каковы будут долгосрочные
результаты реализации угрозы (например, ущерб репутации организации,
потеря бизнеса)?
5. Меры защиты — Какие эффективные меры защиты
(службы безопасности и механизмы) требуются для защиты ценностей?
6. Риск —
После реализации мер защиты приемлем ли остаточный риск?
Цель оценки риска
состоит в том, чтобы определить риск для ЛВС. Процесс оценки риска
проводится в два шага. На первом шаге определяют границы ЛВС для
анализа, требуемую степень детализации описания ЛВС при оценке
и методологию, которая будет использоваться. На втором шаге проводится анализ
риска. Анализ риска может быть разбит на идентификацию ценностей, угроз и
уязвимых мест, оценку вероятностей, и измерение риска.
Цель минимизации
риска состоит в том, чтобы применить эффективные меры защиты таким образом,
чтобы остаточный риск в ЛВС стал приемлем. Минимизация риска состоит из трех
частей: определения тех областей, где риск является недопустимо большим; выбора
наиболее эффективных средств защиты; оценивания мер защиты и
определения , приемлем ли остаточный риск в ЛВС.
Организации могут выбирать
различные методологии управления риском. При этом организация должна выбрать
подход, наиболее действенный именно для нее. Методология, обсуждаемая здесь,
состоит из семи процессов (см. рис. 3.1).
Рис. 3.1 — Процесс управления
риском
Оценка риска
1. Определение степени детализации, границ анализа и
методологии.
2. Идентификация и оценка ценностей.
3. Идентификация
угроз и определение вероятности.
4. Измерение риска.
Уменьшение риска
5. Выбор соответствующих средств защиты.
6. Внедрение и испытания
средств защиты.
7. Проверка остаточного риска.
3.4. Оценка риска
3.4.1. Этап 1
— Определение степени детализации, границ и методологии
Этот процесс
определяет направление, в котором будут прилагаться усилия при управлении
риском. Он определяет, что из ЛВС (граница) и с какой детальностью (степень
детализации) должно рассматриваться в процессе управления риском. Граница будет
определять те части ЛВС, которые будут рассматриваться. Граница может включать
ЛВС в целом или части ЛВС, такие, как функции коммуникаций данных, функции
сервера, приложения, и т.д.. Факторами, которые будут определять положение
границы при анализе, могут быть границы владения ЛВС или управления ею.
Включение в анализ части ЛВС, управляемой из другого места, может привести
к необходимости совместного анализа, который может дать неточные результаты. Эта
проблема подчеркивает необходимость сотрудничества между организациями,
совместно владеющими или управляющими частями ЛВС, а также приложениями или
информацией, обрабатываемой в ней.
Также должна быть определена степень
детализации описания ЛВС при управлении риском. Степень детализации можно
представлять себе как сложность созданной логической модели всей ЛВС или
ее части, отражающую, в рамках заданной границы, глубину процесса управления
риском. Степень детализации будет отличаться для разных областей ЛВС (в пределах
заданной границы) и, как следствие, в ходе процесса управления риском будут
использоваться их описания различной детальности. Например, некоторые области
могут рассматриваться в общем, или менее детально, в то время как другие области
могут быть рассмотрены глубоко и очень детально. Для небольших ЛВС граница может
располагаться таким образом, что будет анализироваться вся ЛВС, и в таком случае
нужно определить согласованную степень детализации для всех частей ЛВС. Для
больших ЛВС организация может принять решение учитывать при анализе только
те области, которыми она управляет, и определить степень детализации таким
образом, чтобы учесть все области внутри границы. Однако в любом случае
может потребоваться детальное описание процесса передачи данных,
соединений с внешними сетями, и ряда приложений. Кроме того, на степень
детализации могут повлиять изменения в конфигурации ЛВС, появление новых внешних
связей, модернизация или обновление системных или прикладных программ в ЛВС.
Соответствующая методология управления риском для ЛВС может быть определена
до определения границы и степени детализации. Если методология уже была
определена, то может оказаться полезным перепроверить выбранную методологию с
точки зрения соответствия заданной границе и степени детализации. Если же
методология не выбрана, то граница и степень детализации могут оказаться
полезными в отборе методологии, которая производит наиболее эффективные
результаты.
3.4.2. Этап 2
— Идентификация и оценка ценностей
В ходе оценки ценностей выявляются и
назначаются стоимости ценностям ЛВС. Все части ЛВС имеют стоимость, хотя
некоторые ценности определенно более ценны, чем другие. Этот шаг дает первый
признак тех областей, на которые нужно обратить особое внимание. Для ЛВС, в
которых обрабатывается большое количество информации, которая не может быть
разумно проанализирована, может быть сделан начальный отбор ценностей.
Определение и оценка ценностей может позволить организации первоначально
разделить области на те, которые могут быть опущены на те, которые должны
рассматриваться как высокоприоритетные.
Различные методы могут
использоваться, чтобы идентифицировать и оценить ценности. Методология риска,
которую выбирает организация, может обеспечить руководство рекомендациями по
выделению ценностей и должна обеспечить его методикой оценки ценностей. Вообще
ценности могут быть оценены на основании воздействий и последствий для
организации. Оценка может включать не только стоимость замены ценности, но также
последствия для организации раскрытия, искажения, разрушения или порчи ценности.
Так как стоимость ценности должна быть основана не только на стоимости
замены, оценивание ценности по большей части — субъективный процесс. Однако,
если оценка ценности выполняется с учетом конечной цели процесса, то есть
определения ценностей в терминах иерархии важности или критичности,
относительное сопоставление ценностей становится более важным, чем
назначение им «правильной» стоимости.
Методология оценки риска должна
определить, в каком виде представляются стоимости ценностей. Чисто
количественные методологии типа FIPS 65 могут использовать долларовые стоимости.
Однако необходимость назначить долларовую стоимость некоторым из последствий,
которые могут происходить в современных вычислительных средах, может оказаться
достаточным основанием для формирования мнения, что управление риском является
глупостью.
Большое количество методологий оценки риска, используемых в наше
время, требует оценки ценности в более качественных терминах. В то время
как этот тип оценки может рассматриваться как более субъективный, чем
количественный подход, если шкала, используемая для оценки
ценностей, используется согласованно в течение всего процесса управления
риском, полученные результаты должны быть полезны. Рисунок 3.2 показывает один
из самых простых методов оценки ценностей.
В ходе обсуждения процесса
управления риском читателю будут представлены простая методика оценки ценностей
(как показано на рис 3.2), определение меры риска, оценка стоимости средств
защиты, и определение минимизации риска . Эта методика проста, но все же имеет
силу методики; она используется здесь, чтобы показать взаимосвязи между
процессами, входящими в управление риском. Методика не очень точна и может
не подходить для тех вычислительных сред, где затраты на замену, критичность
информации и стоимости последствий имеют большой разброс.
рис. 3.2 — Простая
Оценка Ценности
Стоимость ценности может быть представлена в терминах
потенциальных потерь. Эти потери могут быть основаны на стоимости
восстановления, потерях при непосредственном воздействии и последствий. Одна из
самых простых методик оценки потерь для ценности состоит в использовании
качественного ранжирования на высокие, средние и низкие потери. Назначение
чисел этим уровням (3 = высокие, 2 = средние, и 1 = низкие) может помочь в
процессе измерения риска.
Одним из косвенных результатов этого процесса
является то, что создается детальная конфигурация ЛВС и функциональная схема ее
использования. Эта конфигурация должна описывать подключенные аппаратные
средства ЭВМ, главные используемые приложения, важную информацию, обрабатываемую
в ЛВС, а также то, как эта информация передается через ЛВС. Степень знания
конфигурации ЛВС будет зависеть от использовавшихся границы и степени
детализации. Рис. 3.3 показывает на примере некоторые из областей, которые
должны быть включены.
Рис 3.3 — Определение конфигурации ЛВС
Конфигурация Аппаратных средств — включает серверы, автоматизированные
рабочие места, ПК, периферийные устройства, соединения с глобальными сетями,
схему кабельной системы, соединения с мостами или шлюзами и т.д..
Конфигурация Программного обеспечения — включает операционные системы
серверов, автоматизированных рабочих мест и операционные системы ПК,
операционную систему ЛВС, главное прикладное программное обеспечение,
инструментальное программное обеспечение, средства управления ЛВС, и программное
обеспечение, находящееся в процессе разработки. Она должна также включать
местоположение программного обеспечения в ЛВС и указание мест, откуда к нему
обычно осуществляется доступ.
Данные — включает разделение данных на
ряд типов(которое привязано к специфике задач: решаемых с помощью ЛВС),
обрабатываемых и передаваемых через ЛВС, а также типы
пользователей, получающих доступ к данным. Важно указать, откуда к
данным обращаются, и где они хранятся и обрабатываются в ЛВС. Должно также быть
уделено внимание критичности данных.
После того, как описание конфигурации
ЛВС закончено и ценности определены и оценены, организация должна получить
вполне адекватное представление о том, из чего состоит ЛВС и какие области
ЛВС должны защищаться.
3.4.3. Этап
3 — Идентификация угроз и определение их вероятности
Результатом этого
процесса должно быть явное указание враждебных действий, которые могли бы
повредить ЛВС, вероятности того, что эти действия могут произойти, и уязвимые
места ЛВС, которые могут использоваться для реализации этих враждебных
действий. Чтобы достигнуть этого результата, должны быть выявлены угрозы и
уязвимые места, и определены вероятности того, что эти угрозы могут
реализоваться.
Существует много информации относительно различных угроз и
уязвимых мест. Разделы
Литература и
Литература для дальнейшего чтения
этого документа обеспечивают некоторую информацию относительно угроз ЛВС и
уязвимых мест в ней. Некоторые методологии управления риском также содержат
информацию относительно потенциальных угроз и уязвимых мест. Опыт пользователей
и опыт по управлению ЛВС также позволяет выявить угрозы и уязвимые места.
Список угроз, которые будут рассматриваться, зависит от установленных границ
анализа риска и степени детализации описания ЛВС. Концептуальный анализ может
указать на абстрактные угрозы и уязвимые места; более детальный анализ может
связать угрозу с конкретной компонентой. Например, высокоуровневый анализ может
установить, что потеря конфиденциальности данных посредством раскрытия
информации в ЛВС приводит к слишком большому риску. Детальный анализ ЛВС
может установить, что раскрытие данных о сотрудниках при перехвате их при
передаче по ЛВС приводит к слишком большому риску. Более чем вероятно, что
абстрактность угроз, выявленных в результате концептуального анализа, в конечном
счете приведет к тому, что и рекомендации относительно средств защиты тоже будут
абстрактными. Это приемлемо, если проводится общая оценка риска. Более детальная
оценка риска даст рекомендации относительно средства защиты, которое должно
уменьшить конкретный риск, такой как раскрытие данных о сотрудниках.
Угрозы
и уязвимые места, обсужденные в разделе 2, могут использоваться как отправная
точка, наряду с другими источниками, там где это имеет смысл. Новые угрозы и
уязвимые места должны учитываться, когда они обнаруживаются. Любая ценность в
ЛВС, которая была определена как достаточно важная (то есть, не была
отфильтрована в процессе отбора) должна быть исследована, чтобы можно было
выявить те угрозы, которые могут потенциально повредить ей. Для более детальной
оценки особое внимание должно быть уделено детализации путей, с помощью которых
эти угрозы могли бы происходить. Например, методами нападения, которые приводят
к неавторизованному доступу, могут быть воспроизведение сеанса регистрации,
вскрытие пароля, подключение неправомочного оборудования к ЛВС, и т.д.. Эти
специфические особенности обеспечивают большее количество информации при
определении уязвимых мест ЛВС и будут обеспечивать большее количество информации
для предложения средств защиты.
Этот процесс может раскрыть некоторые
уязвимые места, которые могут быть немедленно исправлены путем улучшения
административного управления ЛВС и применения организационных мер. Эти
организационные меры будут обычно сокращать риск угроз до некоторой степени ,
пока не будут запланированы и осуществлены более полные меры и
средства защиты. Например, увеличение длины и изменение алфавита символов пароля
для аутентификации может быть одним из путей сокращения уязвимого места —
угадывания паролей. Использование более надежных паролей — мера, которая может
быть быстро осуществлена для увеличения безопасности ЛВС. Одновременно может
осуществляться планирование и внедрение более продвинутого механизма
аутентификации.
Рис. 3.4 Назначение Меры Вероятности
Вероятность
появления угрозы может быть нормализована как значение, которое меняется
от 1 до 3. 1 будет указывать низкую вероятность, 2 будет указывать
умеренную вероятность и 3 будет указывать высокую вероятность.
Существующие
средства и меры защиты в ЛВС должны быть проанализированы, чтобы можно было
определить, обеспечивают ли они в настоящее время адекватную защиту. Эти
средства и меры, могут быть техническими, процедурными, и т.д.. Если средство
защиты не обеспечивает адекватную защиту, это может рассматриваться как уязвимое
место. Например, операционная система ЛВС может обеспечить управление доступом
на уровне каталога, а не на уровне файла. Для некоторых пользователей
угроза компрометации информации может быть такой большой, что требовать защиты
на уровне отдельного файла. В этом примере недостаток степени точности при
управлении доступом может рассматриваться как уязвимое место.
После
того, как определенные угрозы и связанные с ними уязвимые места
идентифицированы, с каждой парой угроза/уязвимое место должна быть
связана вероятность(то есть Какова вероятность того, что угроза будет
реализована при условии, что используется данное уязвимое место?). Методология
риска, выбранная организацией, должна обеспечить возможность измерения
вероятности. Наряду с оценкой ценностей, назначение меры вероятности может также
быть субъективным процессом. Данные по угрозам для традиционных угроз (главным
образом физических угроз) существуют и могут помочь при определении вероятности.
Однако опыт относительно технических аспектов ЛВС и знание операционных аспектов
организации может оказаться более ценным при назначении вероятности. Рис. 3.4
определяет простую меру вероятности. Эта мера вероятности согласована с
мерой оценки ценности, определенной на Рис. 3.1. Хотя меры для оценка ценности и
вероятности, показанные в этом примере, кажутся одинаково взвешенными для каждой
пары угроза/уязвимое место, в течение процесса измерения риска
следует постоянно помнить, что именно за пользователем остается последнее слово
при назначении мер оценки и вероятности .
3.4.4. Этап 4 — Измерение
риска
В самом широком смысле мера риска может рассматриваться как описание
видов неблагоприятных действий, воздействию которых может подвергнуться система
или организация и вероятностей того, что эти действия могут произойти.
Результат этого процесса должен указать организации степень риска,
связанного с определенными ценностями. Этот результат важен, потому что он
является основой для выбора средств защиты и решений по минимизации риска.
Имеется большое количество способов измерения и представления риска.
[KATZ92] уточняет, что в зависимости от специфической методологии или подхода,
мера может быть определена в качественных терминах, количественных терминах,
одномерных, многомерных, или некоторой их комбинации. Процесс измерения риска
должен быть согласован с (и больше чем вероятно определен ) методологией оценки
риска, используемой организацией. Количественные подходы часто связаны с
измерением риска в терминах денежных потерь (например FIPS 65). Качественные
подходы часто связаны с измерением риска в качественных терминах, заданных с
помощью шкалы или ранжирования. Одномерные подходы рассматривают только
ограниченные компоненты (например риск = величина потери * частота потери).
Многомерные подходы рассматривают дополнительные компоненты в измерении риска,
такие как надежность, безопасность, или производительность. Одним из
наиболее важных аспектов меры риска является то, что представление должно
быть понятным и логичным для тех, кто должен выбирать средства защиты и решать
вопросы минимизации риска.
Рис. 3.5 обеспечивает пример одномерного подхода
для вычисления риска. В этом примере уровни риска нормализованы (то есть
низкий, средний и высокий) и могут использоваться для сравнения рисков,
связанных с каждой угрозой. Сравнение мер риска должно учитывать показатели
критичности компонент, используемых при определении меры риска. Для простых
методологий, которые учитывают только потерю и вероятность, мера риска, которая
получается на основе высокой потери и низкой вероятности, может оказаться
той же самой, что и мера риска, которая получается на основе низкой потери и
высокой вероятности. В этих случаях пользователь должен решить, какую меру риска
считать более критичной, даже если полученные меры риска равны. В данном случае
пользователь может решить, что мера риска, полученная для высоких потерь, более
критична, чем мера риска, полученная для высокой вероятности.
Рис. 3.5 —
Одномерный Подход Вычисления Риска
Риск, связанный с угрозой, может
рассматриваться как функция относительной вероятности, что угроза может
произойти, и ожидаемых потерь, которые будут понесены при реализации угрозы.
Риск рассчитывается следующим образом:
Риск = вероятность появления угрозы
(через определенное уязвимое место) * понесенная потеря
Стоимость
потерь определяется как число в интервале от 1 до 3. Поэтому
риск может быть рассчитан, как число в интервале от 1 до 9; значения риска
1 или 2 будут считаться низким риском, риск 3 или 4 будет умеренным
риском, и риск 6 или 9 будет высоким риском.
ВЕРОЯТ. |
ПОТЕРЯ |
РИСК |
1 |
1 |
1 НИЗКИЙ |
1 |
2 |
3 НИЗКИЙ |
1 |
3 |
3 СРЕДНИЙ |
2 |
1 |
2 НИЗКИЙ |
2 |
2 |
4 СРЕДНИЙ |
2 |
3 |
6 ВЫСОКИЙ |
3 |
1 |
3 СРЕДНИЙ |
3 |
2 |
6 ВЫСОКИЙ |
3 |
3 |
9 ВЫСОКИЙ |
По списку потенциальных угроз,
уязвимых мест и связанных с ними рисков может быть выполнена оценка
текущей ситуации с безопасностью для ЛВС. Области, которые имеют адекватную
защиту, не будут повышать риск ЛВС (так как адекватная защита должна вести к
низкой вероятности), в то же время те области, которые имеют более слабую
защиту, будут выявлены, как нуждающиеся в усилении защиты.
3.5. Уменьшение риска
3.5.1. Этап 5 —
Выбор подходящих мер и средств защиты
Цель этого процесса состоит в том,
чтобы выбрать соответствующие меры и средства защиты. Этот процесс может быть
выполнен с использованием проверки приемлемости риска.
Проверка приемлемости
риска описана в [KATZ92] как деятельность, которая сравнивает текущую меру риска
с критериями приемлемости и приводит к определению того, приемлем ли текущий
уровень риска. В то время как эффективность защиты и финансовые соображения
являются важными факторами, при принятии решения могут быть приняты во внимание
другие факторы, такие, как политика организации, законодательство и уставы,
безопасность и требования надежности, требования производительности и
технические требования.
Взаимосвязь между проверкой приемлемости риска и
выбором средств защиты может быть итеративной. Первоначально, организация должна
упорядочить уровни рисков, которые были определены в ходе оценки риска. Наряду с
этим, организация должна принять решение о количестве остаточного риска,
который желательно было бы принять после того, как выбранные меры и средства
защиты будут установлены. Эти начальные решения по принятию риска могут
быть внести поправки в уравнение выбора средств защиты. Когда свойства
предлагаемых мер и средств защиты известны, организация может повторно
провести проверку приемлемости риска и определить, достигнут ли остаточный
риск, или изменить решения относительно приемлемости риска, чтобы отразить
информацию о свойствах предлагаемых средств защиты. Например, могут иметься
риски, которые определены как слишком высокие. Однако после рассмотрения
доступных мер и средств защиты, может выясниться, что в настоящее время
предлагаемые решения очень дороги и не могут быть легко встроены в текущую
конфигурацию аппаратных средств и программного обеспечения сети. Это может
вынудить организацию либо пойти на дополнительные расходы ресурсов, чтобы
сократить риск, либо принять решение о приемлемости риска, потому что в
настоящее время снижение риска является слишком дорогостоящим.
Большое
количество источников содержит информацию относительно потенциальных мер и
средств защиты (См. разделы Литература и Литература для дальнейшего чтения).
Методология, рассмотренная здесь, определяет средства защиты в терминах служб
защиты и механизмов. Служба защиты — это система механизмов, процедур, и т.д.,
которые реализованы в ЛВС для обеспечения защиты. Службы защиты (и механизмы),
описанные в разделе 2, могут использоваться как отправная точка. Службы защиты
должны быть связаны с угрозами, выявленными в ходе оценки риска.
В
большинстве случаев потребность в определенной службе должна быть просто
очевидна. Если результаты проверки приемлемости риска показывают, что риск
приемлем, (то есть существующие механизмы адекватны), тогда не имеется никакой
потребности применять дополнительные механизмы в службе, которая уже существует.
После того, как необходимые службы защиты определены, рассматривают список
механизмов защиты для каждой службы. Для каждой отбираемой службы защиты
определяют механизмы — кандидаты, которые лучше всего обеспечили бы службу. При
использовании отношений угроза/уязвимое место/риск, выработанных в предыдущих
процессах, выбирают те механизмы, которые могли бы потенциально сократить или
устранить уязвимое место и таким образом сократить риск угрозы. Во многих
случаях отношению угроза/уязвимое место будет соответствовать более чем одного
механизма — кандидата. Например, риск от уязвимого места — использования слабых
паролей мог бы быть уменьшен использованием механизма генератора пароля,
использованием механизма смарт-карт и т.д.. Выбор механизма — кандидата является
субъективным процессом, который будет изменяться от одной реализации ЛВС к
другой. Не каждый механизм, представленный в разделе 2, подходит для
использования в каждой ЛВС. Для того, чтобы этот процесс был приносил пользу,
представляется необходимым некоторая фильтрация механизмов, которую
необходимо cделать в течение этого этапа.
Отбор соответствующих средств
защиты является также субъективным процессом. При рассмотрении меры стоимости
механизма важно, чтобы стоимость средства защиты была связана с мерой риска при
определении того, будет ли средство защиты рентабельным. Методология, выбранная
организацией, должна обеспечивать меру для представления стоимостей механизмов,
которая являлась бы согласованной с мерами, используемыми для представления
других переменных, определенных до сих пор. Рис. 3.6 показывает финансовую меру,
которая является согласованной с другими представленными примерами. Этот метод
измерения стоимости, хотя и учитывает лишь стоимость средства защиты, может
также учитывать и другие факторы.
Рис. 3.6 — Вычисление Меры Стоимости
В
этом примере меры стоимости стоимость средства защиты — сумма, необходимая для
покупки или разработки и реализации каждого из механизмов. Стоимость может быть
нормализована тем же самым способом, каким была нормализована стоимость
потенциальных понесенных потерь. 1 будет соответствовать механизму с низкой
ценой, 2 будет соответствовать механизму с умеренной стоимостью, и 3 —
механизму с высокой стоимостью.
Когда мера (или стоимость) назначена для
средства защиты, она может быть сопоставлена с другими мерами процесса. Мера
средства защиты может сравниваться с мерой риска (если она состоит из одного
числа, как показано в рис. 3.7) или компонентами меры риска. Имеются различные
пути сравнения меры средства защиты с мерой риска. Методология управления
риском, выбранная организацией, должна обеспечить метод для выбора эффективных
средств защиты, который бы сократил риск в ЛВС до приемлемого уровня.
Рис.
3.7 — Сравнение Риска и Стоимости
Для вычисления отношения риск / стоимость
используют меру риска и финансовую меру, связанную с каждым отношением угроза /
механизм и рассчитывают отношение риска к стоимости (то есть, риск / стоимость).
Отношение, которое меньше, чем 1, будет указывать, что стоимость механизма
большая, чем риск, связанный с угрозой. Это вообще не приемлемая ситуация (и,
может быть, сложная для оправдания), но она не должна автоматически отклоняться.
Предположим, что величина риска — функция меры потери и меры вероятности. Один
или оба этих аргумента могут представлять что — нибудь настолько критическое
относительно ценности, что дорогостоящий механизм будет оправдан. Эта ситуация
может иметь место при использовании простых методологий, таких, как приведенная
выше.
3.5.2. Этап 6
— Внедрение и тестирование средств защиты
Внедрение и тестирование средств
защиты должно быть выполнено структурированным способом. Цель этого процесса
состоит в том, чтобы гарантировать, что средства защиты реализованы правильно,
совместимы с другими функциональными возможностями ЛВС и средствами защиты, и
обеспечивают ожидаемую защиту.
Этот процесс начинается разработкой плана
внедрения средств защиты. Этот план должен учитывать факторы, такие как
доступный объем финансирования, уровень подготовки пользователей, и т.д..
График испытаний для каждого средства защиты также должен быть включен в этот
план. Этот график должен показывать, как каждое средство защиты взаимодействует
или влияет на другие средства защиты (или функциональные возможности ЛВС).
Ожидаемые результаты (или предположение об отсутствии конфликта) взаимодействия
должны быть детализированы. Должно признаваться, что не только важно, что
средство защиты исполняет свои функции как ожидается и обеспечивают ожидаемую
защиту, но и что средство защиты не увеличивает риск ЛВС из-за конфликта с
некоторым другим средством защиты или функциональной возможностью.
Каждое
средство должно сначала быть проверено независимо от других средств, чтобы
гарантировать, что оно обеспечивает ожидаемую защиту. Однако это
может оказаться неуместным, если средство предназначено для совместной
работы с другими средствами. После независимого испытания средства оно должно
быть проверено совместно с другими средствами, чтобы гарантировать,
что оно не нарушает нормального функционирования существующих средств.
План внедрения должен учесть все эти испытания и должен отразить любые проблемы
или специальные условия, возникшие в результате проведения испытания.
3.5.3. Этап 7 —
Одобрение остаточного риска
После того, как все средства защиты реализованы,
проверены и найдены приемлемыми, результаты проверки приемлемости риска должны
быть повторно изучены. Риск, связанный с отношениями угроза/уязвимое место,
должен теперь быть сокращен до приемлемого уровня или устранен. Если дело
обстоит не так, тогда решения, сделанные на предыдущих шагах, должны быть
пересмотрены, чтобы определить, каковы должны быть надлежащие меры защиты.
Приложение A. Политика
безопасности ЛВС
Компьютерная политика безопасности — краткое заявление
высшего руководства относительно его позиции по поводу ценности информации,
ответственности должностных лиц по ее защите и распределении организационных
обязанностей. Эта политика — один из ключевых компонентов общей программы защиты
компьютерных систем. Она является тем политическим заявлением, в котором могут
быть сформулированы начальные требования к защите ЛВС. Однако, может
оказаться уместным описать цели защиты ЛВС, обязанности, и т.д. в отдельной
политике, которую нужно использовать совместно с существующей более общей
политикой. В этом разделе обсуждается разработка политики безопасности,
которая могла бы быть применена к ЛВС. Также представлен один пример политики
безопасности ЛВС. Этот пример политики носит демонстрационный характер. Он не
предназначен для использования организацией в том виде, как есть. Цель этого
примера политики состоит в том, чтобы явно описать вопросы, которые должны быть
учтены при разработке политики безопасности ЛВС.
Политика безопасности ЛВС
должна быть разработана на соответствующем уровне руководства организацией, то
есть тем лицом в организации, кому напрямую подчиняются служащие, которых
касается эта политика. Политика должна быть создана группой лиц, которые
могут включать высшее управление, сотрудников отдела безопасности, и
администраторов ЛВС. Политика должна устанавливать:
- Значение информации- позицию руководства по вопросу ценности
информации;
- Ответственность — Кто отвечает за защиту информации в ЛВС;
- Обязательство — Обязательства организации по защите информации и
ЛВС;
- Область применения — Что включается в состав ЛВС и каких ее частей,
если таковые имеются, политика не касается.
Политика безопасности ЛВС
должна быть написана так, чтобы редко требовались ее модификации.
Потребность в изменениях может указывать на то, что она слишком конкретна.
Например, включение требования использовать определенный пакет для обнаружения
вирусов, включающего название пакета, в политику может быть слишком конкретным с
точки зрения высокого темпа разработки антивирусных программ. Может быть
более разумно будет просто заявить, что программное обеспечение обнаружения
вирусов должно находиться на ПК ЛВС, серверах, и т.д. и позволить
администраторам ЛВС самим определять конкретный используемый продукт.
Политика безопасности ЛВС должна ясно определить и установить
ответственность за защиту информации, которая обрабатывается, хранится и
передается в ЛВС, и самой ЛВС. Основная ответственность может быть
возложена на владельца данных, то есть, на менеджера отдела организации, который
создает данные, обрабатывает их и т.д.. Дополнительная ответственность
может быть, кроме того, возложена на пользователей и конечных
пользователей, то есть на тех лиц внутри организации, которым
предоставлен доступ к информации теми лицами, кто отвечает за нее в первую
очередь. Администраторы ЛВС должны ясно определить роль отдельных лиц,
ответственных за поддержание работоспособности ЛВС. Пример политики защиты ЛВС,
приведенный ниже, определяет обязанности функциональных менеджеров (тех, на кого
может быть возложена основная ответственность), пользователей (тех, на
кого может быть возложена дополнительная ответственность), администраторов ЛВС
(кто отвечает за внедрение и поддержание работоспособности защиты ЛВС и ее
самой), и местных администраторов (тех, кто отвечает за поддержание защиты в их
части ЛВС). Местные администраторы обычно отвечают за один или группу серверов и
автоматизированных рабочих мест в ЛВС. Эти обязанности были скомпилированы из
[OLDE92], [COMM91], [WACK91], и [X9F292].
