Анализ рисков информационной безопасности в организации с использованием матричного подхода

Данная методология связывает активы, уязвимости, угрозы и средства управления организацией и определяет важность различных средств управления, соответствующими активами организация Активы организации определены как вещи, имеющие значение. Активы могут быть материальными, такие как данные и сети и нематериальными, такие как репутация и доверие.

Уязвимость - слабости в информационном активе, которые могут использоваться угрозами, такими как база данных или веб-сервер. Угрозы -потенциальные причины нежелательных событий, которые могут привести к нанесению ущерба активам организации. Угрозы могут быть случайными или злонамеренными. Средства управления определены как меры, которые организация может принять, чтобы минимизировать воздействие угроз на один или более активов организации.

Методология, предложенная в данной статье, использует три отдельных матрицы: матрицу уязвимостей, матрицу угроз и матрицу контроля, чтобы собрать данные, которые требуются для анализа риска.

Матрица уязвимости (таблица 1) содержит связь между активами и уязвимостями в организациях, матрица угроз (таблица 2) так же содержит отношения между уязвимостями и угрозами, а матрица контроля (таблица 3) содержат связи между угрозами и средствами управления. Значение в каждой ячейке показывает ценность отношения между элементом строки и столбца таблицы (например, активом и уязвимостью). Использует одна из трех оценок ценности: низкая, средняя или высокая.

Таблица 1 - Матрица активов (связь между активами и уязвимостью)

Шкала 0 - нет воздействия 1 - слабое воздействие 3 - умеренное воздействие 9 - сильное воздействие     Уязвимость	Активы и Затраты	Торговые секреты	Конфиденциальная информация	Репутация (доверие)	Потерянный доход	Затраты на восстановление	Информация	Аппаратные средства	Программное обеспечение	Обслуживание	Коммуникации
Веб-сервер
Вычислительный сервер
Брандмауэр
Маршрутизатор
Клиентские узлы
Базы данных

При первоначальном анализе риска формируются списки активов, уязвимостей, угроз, и средств управления и добавляются к соответствующим таблицам. Матрицы заполняются путем добавления данных о связи элемента столбца матрица с элементом строки. Наконец, данные из матрицы уязвимости преобразуются с помощью формулы (1), а затем заносятся в таблицу 2. Таким же образом данные из матрицы угроз преобразуются с помощью формулы (2) и заносятся в таблицу. В результате формируется матрица контроля, которая содержит относительную важность различных средств управления.

Пусть есть m активов, относительная стоимость актива а _j   ϵ C_j (j = 1, n). Также пусть C_ij – это воздействие уязвимости v _j на актив а _i. Тогда совокупное воздействие уязвимости v_j на активы организации вычисляется по формуле:

                                                          (1)

 

Таблица 2 - Матрица активов (связь между угрозами и уязвимостями)

Шкала 0 - нет воздействия 1 - слабое воздействие 3 - умеренное воздействие 9 - сильное воздействие     Средства контроля	Угроза	Отказ в обслуживании (DoS)	Вредоносный код	Ошибки пользователя	Внутренние атаки	Спам	Физическое повреждение аппаратных средств
Отказ в обслуживании (DoS)
Вредоносный код
Ошибки пользователя
Внутренние атаки
Спам
Физическое повреждение аппаратных средств

Пусть имеется p угроз, которые действуют на i уязвимостей и d_ki – потенциал повреждения от угрозы t_k уязвимости v_i. Тогда относительное совокупное воздействие угрозы T_k:

                                               (2)

 

Таблица 3 - Матрица угроз (связь между средствами управления и угрозами)

Шкала 0 - нет воздействия 1 - слабое воздействие 3 - умеренное воздействие 9 - сильное воздействие     Средства контроля	Угроза	Отказ в обслуживании (DoS)	Вредоносный код	Ошибки пользователя	Внутренние атаки	Спам	Физическое повреждение аппаратных средств
Брандмауэр
Система обнаружения вторжений (IDS)
Обучение персонала
DMZ
Политика безопасности
Конфигурация архитектуры сети

Пусть есть q средств управления, которые могут смягчить p угроз, а e_lk – воздействие средства контроля z₀ на угрозу t_k. Тогда относительное совокупное воздействие средств контроля Z₀:

                                                (3)

Пример использования методологии

Исследование анализа риска по предложенной методологии проводилось в организации General Electric Energy. Она имеет фрагментированную организационную структуру, работает в нескольких странах, включая Испанию, Германию, США, Данию и Китай. Процессы и операции очень неоднородны. Кроме того, технические отделы не имеют общей сети. Информационная безопасность очень важна в данной организации.

Однородная информационная инфраструктура необходима для защиты новых технологий, данных о доходах, а также для улучшения коммуникации и увеличения производительности. Она соединяет связанные бизнес-процессы в единый монолитный процесс. Для того чтобы с самого начала запланировать систему безопасности в организации проводился анализ информационных рисков по предложенной методологии. Это исследование представляет собой всесторонний анализ рисков собственных активов, уязвимостей и угроз, порожденных бизнес-процессами. Три матрицы, которые связывают активы с уязвимостями, угрозами и средствами управления в организациях, представлены в таблицах 4, 5 и 6 соответственно.

Таблица 4 представляет собой матрицу уязвимостей, которая связывает уязвимость системы с воздействиями/активами организации. Для построения матрицы была вычислена относительная важность активов/воздействий. Например, успешность бизнеса зависит от его способности развить и защитить новые технологии; поэтому, они высоко оценивается. Основываясь на активах, была определена ключевая уязвимость, связанная с каждым активом/воздействием, и воздействие уязвимости на активах/воздействиях было добавлено к таблице.

Таблица 4 - Матрица уязвимостей для General Electric Energy

Ранжирование приоритета 1 и 2 не важный 3 - важный, но не ключевой 4 - важный, но находящийся под воздействием ключевого 5 - Ключевой	Активы/Воздействия	Контроль информации об экспорте	Репутация (Доверие)	IP контроль/управление	Конфиденциальные данные Клиентов	Потерянные Продажи/Доход	Информационная Целостность	Доступность сервисов	Коммуникации	Очистка затрат на старую и новую систему	Старые и новые программные средства	Старые и новые аппаратных средств	Всего	Разряд (Выше более существенный)
Уязвимости, приоритет ->		11	10	9	8	7	6	5	4	3	2	1
Брандмауэр	5	9	9	9	9	3	9	3	9	3	9	9	504	13
Передача данных	5	9	9	9	3	3	9	9	9	9	9	3	498	12
База данных	4	9	3	9	9	9	9	3	3	9	9	3	474	11
Архитектура приложений	4	9	9	9	3	3	3	3	1	9	9	9	406	10
Физическая безопасность	3	9	3	3	9	9	3	3	3	9	1	9	374	9
Ошибки конфигурации серверов интернет	2	9	1	9	9	1	3	9	3	3	9	1	372	8
Ошибки конфигурации серверов экстранет	4	1	9	9	9	1	3	9	3	3	9	1	364	7
Устойчивость паролей	3	9	9	3	9	1	3	1	3	1	9	1	352	6
Клиентские узлы (ПК и ноутбуки)	3	9	3	9	9	1	3	3	1	3	3	9	350	5
Аппаратные средства - Web-сервер, Маршрутизатор...	5	1	9	3	9	3	3	9	3	9	3	9	338	4
Ненадежное беспроводное соединение	2	9	3	9	9	1	3	3	1	3	1	1	338	4
Сервисы, основанные на Интернет (VPN)	1	9	1	3	3	1	1	3	1	3	3	1	208	2
Перерыв в подаче энергии	1	0	1	0	0	3	1	9	3	3	1	1	106	1

Данные в матрице уязвимости были соединены и сортированы для того, чтобы определить относительную важность уязвимости. Так как внешние хакеры должны проникнуть через брандмауэр, чтобы получить доступу к конфиденциальной информации, брандмауэр занимает первое место в матрице уязвимости. Кроме того, в General Electric Energy филиалы сильно распределены, поэтому передача данных, оцениваются высоко. Совокупные данные об уязвимостях были добавлены к матрице угроз наряду с угрозами, соответствующими уязвимостям. Матрица 5 выглядит следующим образом:

 

Таблица 5 - Матрица угрозы для General Electric Energy

Ранжирование приоритета 1 и 2 - не важный 3 - важный, но не ключевой 4 - важный, но находящийся под воздействием ключевого 5 - Ключевой	Активы/Воздействия	Брандмауэр	База данных	Архитектура приложений	Физическая безопасность	Ошибки конфигурации серверов интернет	Ошибки конфигурации серверов экстранет	Устойчивость паролей	Клиентские узлы (ПК и ноутбуки)	Клиентские узлы (ПК и ноутбуки)	Аппаратные средства - Web-сервер,	Ненадежное беспроводное соединение	Сервисы основанные на Интернет (VPN)	Перерыв в подаче энергии	Всего	Разряд (Выше более существенный)
Приоритет –> Уязвимости		13	12	11	10	9	8	7	6	5	4	3	2	1
Вторжения (Взламывание паролей)	5	9	3	3	9	9	1	9	3	9	9	9	3	1	170	11
Отказы Сервера	5	9	9	9	3	9	9	1	9	1	9	1	1	9	158	10
Физическое повреждение аппаратных средств	4	1	9	9	9	9	9	0	3	3	3	1	1	3	132	9
Вымогательство	4	1	3	3	3	9	3	3	3	9	9	3	3	1	122	8
Внутренние атаки	3	3	3	3	3	9	1	3	9	9	1	3	1	1	114	7
Spoofing & masquerading	2	1	9	1	3	1	1	1	9	9	9	9	1	1	110	6
Отказ в обслуживании	4	9	1	0	9	1	3	1	9	1	9	3	3	1	100	5
Ошибки пользователей	3	3	9	3	3	3	1	3	9	3	3	1	1	1	90	4
Нарушение экспортного контроля	3	1	0	1	1	9	1	1	1	9	1	3	1	1	76	3
Вредоносный код	5	1	1	1	1	9	1	1	1	9	1	1	1	1	74	2
Переполнение буфера	2	1	1	1	3	1	1	1	3	9	3	3	3	1	62	1

 

Таблица 6 показывает матрицу контроля, в которую были добавлены совокупные данные об угрозах из матрицы угрозы и соответствующие им средства управления. Относительное воздействие различных средств управления на угрозы было также определено, учитывая субъективные суждения, после чего данные были занесены в таблицу и расположены по приоритетам. Эта информация, вместе со стоимостью средств управления используется для планирования безопасности. Результаты этого анализа и совокупные данные из матриц будут использоваться во время интеграции производственных процессов и для выбора программного обеспечения и аппаратных средств.

 

Таблица 6 - Матрица средств контроля для General Electric Energy

Ранжирование приоритета 1 и 2 - не важный 3 - важный, но не ключевой 4 - важный, но находящийся под воздействием ключевого 5 - Ключевой	Угрозы	Вторжения (Взламывание паролей)	Отказы Сервера	Физическое повреждение аппаратных средств	Вымогательство	Внутренние атаки	Spoofing & masquerading	Отказ в обслуживании	Ошибки пользователей	Воровство компьютеров (ноутбуки/серверы)	Нарушение экспортного контроля	Вредоносный код	Переполнение буфера	Всего	Разряд (Выше более существенный)
Приоритет –> Ср-ва управления		12	11	10	9	8	7	6	5	4	3	2	1	436	12
Вторжения (Взламывание паролей)	5	9	1	1	9	9	9	9	9	3	3	3	9	422	11
Отказы Сервера	5	9	3	3	9	1	1	9	1	3	3	9	9	366	10
Физическое повреждение аппаратных средств	5	9	9	0	3	3	3	1	9	1	3	1	1	316	9
Вымогательство	4	1	9	1	3	1	1	3	1	9	1	1	1	308	8
Внутренние атаки	2	9	1	0	0	3	3	3	3	1	9	3	9	306	7
Spoofing & masquerading	4	3	9	1	0	1	1	3	9	1	3	3	1	240	6
Отказ в обслуживании	4	3	1	1	9	3	3	3	3	3	9	3	9	234	5
Ошибки пользователей	3	3	9	3	9	3	3	0	3	1	3	0	0	215	4
Нарушение экспортного контроля	3	1	1	0	3	9	9	3	9	1	1	1	3	201	3
Вредоносный код	3	3	1	1	3	3	3	9	3	0	0	1	9	145	2
Переполнение буфера	2	1	1	0	0	1	1	3	9	1	0	1	1	94	1

 

Порядок выполнения работы

1. Ознакомиться с теоретической частью.

2. Выберите объект исследования в соответствии с вариантом, указанным преподавателем:

· таможенное управление;

· коммерческий банк;

· налоговая полиция;

· учебное заведение;

· вычислительный центр предприятия;

· административный корпус предприятия;

· производственное предприятие.

3. Требуется оценить риски информационной безопасности в организации с использованием матричного подхода.

4. Проанализировать полученные результаты и изменения, которые следует ввести в ИС для снижения риска до приемлемого уровня.

Содержание отчета по лабораторной работе

Отчет по лабораторной работе должен содержать:

1. Задание, назначенное преподавателем.

2. Анализ информационных рисков рассматриваемого предприятия.

3. Выводы по проделанной работе.

 

ЛАБОРАТОРНАЯ РАБОТА 3