вторник, 13 октября 2009 г.

Анализ рисков информационной безопасности - методика OCTAVE

Анализ рисков – главный процесс при построении любой Системы управления информационной безопасности в организации. После проведения анализа рисков определяются механизмы и принципы защиты информации, необходимые для обеспечения снижения рисков, внедряются программные, аппаратно-технические и организационные методы защиты.

Начинаю серию статей по разным методикам анализа рисков. Первая - методика OCTAVE.

Operationally Critical Threat, Asset, and Vulnerability Evaluation (OCTAVE) – является методологией анализа рисков, которая включает выполнение всех фаз по определению и оценке критичных активов, угроз и уязвимостей для организации. Проведение анализа рисков с помощью метода OCTAVE разбивается на фазы и отдельные процессы.



Подготовительные мероприятия:

  • Поддержка руководства;
  • Выбор аналитической группы;
  • Выбор области деятельности (Scope) анализа;
  • Выбор участников анализа рисков (сотрудники из разных подразделений, которые содействуют процессу).

Фаза 1. Построение модели угроз, основанной на активах.

Аналитическая группа определяет критические активы для организации, и определяет внедренные методы защиты.

Процесс 1. Определение знаний высшего руководства.


  • определение важных активов – высшее руководство определяет, какие активы важны для организации. Расставляются приоритеты активов, для определения пяти самых важных;
  • описываются варианты реализации угроз – для пяти наиболее важных активов руководство описывает сценарии угроз для этих активов;
  • определение свойств безопасности для важных активов;
  • определение стратегий защиты и уязвимостей организации;
  • пересмотр выбранных менеджеров подразделений (участники опросов в подразделениях организации).



Активы делятся на такие категории:

  • Информация – в электронном виде и неэлектронном виде;
  • Системы;
  • Программное обеспечение;
  • Физическое оборудование;
  • Люди.


Источники угроз информации:

  • преднамеренные действия человека;
  • случайные действия человека;
  • системные проблемы (уязвимости ИТ структуры);
  • другие проблемы.


Последствия реализации угрозы

  • раскрытие (disclosure) - нарушение конфиденциальности чувствительной информации;
  • модификация (modification) - нарушение целостности чувствительной информации;
  • разрушение или потеря (loss, destruction) важной информации, оборудования, ПО;
  • прерывание в работе (interruption) - нарушение доступности важной информации, ПО, сервисов.


Свойства безопасности для активов. Свойства безопасности определяют свойство актива, которое является важным для защиты:

  • Конфиденциальность;
  • Целостность;
  • Доступность;


Для актива «Люди» определяется только Доступность.
Например, для актива определены такие свойства безопасности:

  • Доступность – доступ к активу можно получить 24/7;
  • Конфиденциальность – доступ на чтение имеют только авторизированные пользователи.

Процесс 2. Определение знаний менеджеров подразделений

Выбранные менеджеры подразделений определяют важные активы, угрозы, свойства безопасности для активов, текущие практики безопасности, уязвимости.


В результате процесса получаются все нужные данные от менеджеров подразделений.

Процесс 3: Определение знаний персонала

Выбранные сотрудники (ИТ-сотрудники и другие) организации определяют важные активы (для их работы), угрозы, свойства безопасности для активов, внедренные контроли безопасности, уязвимости.


Процесс 4. Создание модели угроз


Аналитическая группа анализирует полученную информацию после Процессов 1-3, выделяет критичные активы, уточняют относящиеся к ним свойства безопасности, определяет угрозы для активов, создается модель угроз.

Описание процесса:

  • Объединить информацию о активах на разных организационных уровнях (высшее руководство, подразделения, персонал );
  • Объединить свойства безопасности по активам и разным организационным уровням;
  • Объединить угрозы по активам и разным организационным уровням;
  • Выбрать критичные активы – документ «Профиль актива»;
  • Описать свойства безопасности для критичных активов;
  • Определить угрозы для критичных активов.


Документ «Группы активов» состоит из

  • Критических активов;
  • Причин, почему участники опросов отнесли актив к критическим;
  • Другие активы, которые были определены.


Создается документ «Профиль актива» для каждого выбранного критического актива. В нем собирается вся информация по конкретному активу, строиться модель угроз для актива.
Модель угроз определяет ряд угроз, которые могут оказывать воздействие на каждый критический актив. Модель включает в себя категории, которые сгруппированы по виду источника угрозы:

  • Воздействие человека, логический доступ (преднамеренное или случайное);
  • Воздействие человека, физический доступ;
  • Системные проблемы (дефекты оборудования, дефекты ПО, вирусы, злонамеренный код и т.д.);
  • Другие проблемы (вне контроля организации – природные катастрофы, проблемы электропитания, водоснабжения).


Дополнительно, для каждой угрозы определяются следующие данные:

  • Актив;
  • Нарушитель (кто или что нарушает свойства безопасности актива);
  • Мотив (необязательно – определяет преднамеренно или нет);
  • Доступ (необязательно – определяет, каким образом нарушитель получит доступ к активу – логический, физический);
  • Последствия реализации угрозы (раскрытие, модификация, разрушение или потеря, прерывание в работе).

Параметры «Мотив» и «Доступ» включаются только, когда угроза является действием человека.

В «Модели угроз» угрозы могут быть визуально представлены в древовидной структуре. Одно для каждой категории угрозы. Оно будет иметь вид дерева рисков, так как будет включать угрозу плюс результирующее воздействие этой угрозы.
Каждая угроза характеризуется разными вариантами реализации, которые отображаются в дереве. Выбираем варианты реализации угрозы для каждой угрозы и строим дерево.

Пример:
Вариант реализации угрозы: Пользователи случайно вводят неправильные данные в систему АВС. Результат: неправильные записи в системе.
Параметры угрозы:

  • Актив – информация системы АВС;
  • Нарушитель – инсайдер;
  • Мотив – непреднамеренно;
  • Доступ – логический;
  • Последствия реализации угрозы – модификация.

Получаем следующее дерево для этого варианта угрозы:


В результате, при учете всех вариантов реализации угроз для каждой категории угроз получаем такой граф.





Фаза 2: Определение уязвимостей инфраструктуры

Оценка информационной инфраструктуры. Аналитическая группа определяет ключевые уязвимые компоненты сети (технологическая уязвимость), которые могут привести к неавторизированным действиям с критическими активами.

Процесс 5. Определение ключевых компонентов

Определение ключевых информационных систем и компонентов для каждого критического актива.


Для каждой угрозы критического актива определяется «путь доступа» к активу (какие компоненты системы задействованы при реализации угрозы), на который воздействуют, для определения ключевых компонентов критического актива.
Классы ключевых компонентов:

  • Сервера;
  • Компоненты сети – коммутаторы, маршрутизаторы;
  • Компоненты защиты – файерволы, IDS;
  • Рабочие станции пользователей;
  • Домашние компьютеры пользователей;
  • Ноутбуки;
  • Устройства хранения данных;
  • Другое.


Определить информацию о вашей инфраструктуре можно с помощью:

  • Сканера архитектуры сети;
  • Диаграммы топологии сети;
  • Перечня компьютеров и оборудования, которым владеет организация (инвентаризация оборудования).


Проводиться оценка компонентов сети, для чего выбираются компоненты в документе «Выбранный подход для оценки каждого компонента инфраструктуры» определяется:

  • Имя выбранного компонента, включая IP адрес и host/DNS имя;
  • Причина выбора;
  • Подход к оценке каждого компонента - кто будет проводить оценку и с помощью какого средства нахождения уязвимости.


Типы средств нахождения уязвимостей:

  • Сканеры ОС;
  • Сканеры сетевой инфраструктуры;
  • Специальные, целевые или гибридные сканеры – сканируют разное ПО, БД, Веб-приложения;
  • Опросники – не автоматические;
  • Скрипты – тоже что и автоматические, имеющие только одну функцию.

Процесс 6: Оценка выбранных компонентов

Аналитическая группа проводит обследование ключевых компонентов на технологические недостатки. Используются средства обнаружения уязвимостей.
Состоит из таких этапов:

  • Запустить средство обнаружения уязвимостей на выбранных инфраструктурных компонентах, получить отчет с результатами;
  • Обсудить результаты обнаружения и определить какие из найденных уязвимостей должны быть исправлены немедленно (высокая критичность), скоро (средней критичности) или позже ( малокритичные ). Это зависит как от степени тяжести уязвимости, так и от критичности актива. Окончательный отчет отражается в «Профиле актива».


Средства обнаружения уязвимостей должны давать такую информацию по каждому компоненту:

  • Название уязвимости;
  • Описание;
  • Степень критичности;
  • Действия по устранению.

Каталог известных уязвимостей – Common Vulnerabilities and Exposures - http://cve.mitre.org/
Технологические уязвимости группируются в такие категории:

  • Уязвимости разработки – уязвимость, которая появилась при разработке оборудования или ПО;
  • Уязвимости внедрения;
  • Уязвимости конфигурации или администрирования.

Фаза 3: Разработка Стратегии защиты и планов

На этой фазе определяются риски для критических активов организации, и принимается решение по их защите.

Процесс 7: Проведение анализа рисков

Аналитическая группа определяет воздействие угрозы на критический актив, создает критерии оценки для этих рисков, и оценивает воздействия по этому критерию.
Процесс включает следующие действия:

  • Определение воздействия угрозы на критический актив – для каждого критического актива, определяется реальное воздействие на организацию (нап. – смерть пациента) для каждого последствия угрозы (нап. – модификация данных пациента). Комбинация угрозы и результирующего воздействия на организацию определяет риск для организации, который проставляем для каждого воздействия - высокий, средний, низкий (High, Medium, Low);
  • Создание критерия оценки рисков – Для множественных аспектов определены уровни качественной оценки – высокий, средний, низкий. Для каждой категории воздействия определяется, какие воздействия попали в высокую, среднюю или низкую шкалу риска;
  • Оценить воздействие на критические активы – базируясь на критерии оценки, каждое последствие каждой угрозы оценивается как высокое, среднее и низкое воздействие (дополняется граф угроз). Вся информация записывается в «Профиль актива».


Категории воздействия угрозы на организацию:

  • Репутация / доверие клиентов;
  • Жизнь / здоровье клиентов;
  • Штраф;
  • Финансовое.

Процесс 8: Разработка стратегии защиты

Делиться на два этапа:

Этап 1

Аналитическая группа разрабатывает стратегию защиты для организации и план по уменьшению риска для критических активов.
Этап делиться на такие действия:

  • Проанализировать результаты опросов, сделанных на начальных этапах. Создается сводная таблица опросов на всех уровнях организации (высшее руководство, подразделения, персонал). Выделить внедренные практики и организационные уязвимости, по мнению опрошенных;
  • Обзор информации – осуществляется обзор информации, полученной на предыдущих этапах. Включает в себя уязвимости, практики, информация о рисках, свойства безопасности критических активов;
  • Разработка стратегии защиты – которая построена на основе Каталога практик OCTAVE (рисунок ниже). Должны включаться те практики, которые аналитическая группа считает важными для внедрения на основе проведенного анализа, и те, которые уже существуют в организации;
  • Разработка плана по уменьшению рисков – для каждого актива создается такой план, который служит для предотвращения, обнаружения, восстановления актива от каждого риска и объясняет, как определять эффективность действий по уменьшению риска;
  • Разработка перечня действий – перечень срочных действий, включающий уязвимости, которые должны немедленно быть устранены. Это действия, которые возможно сделать без дополнительного обучения, изменения политик и т.д.



Разработка стратегии защиты
Вначале разрабатывается документ – Стратегия защиты для стратегических практик (Protection Strategy for Strategic Practices), который включает такие категории практик:

  • Security Awareness and Training – Обучение и осведомленность персонала;
  • Security Strategy – Стратегии ИБ;
  • Security Management – Управление ИБ;
  • Security Policies and Regulations – Правила и политики ИБ;
  • Collaborative Security Management – Совместное управление ИБ;
  • Contingency Planning/Disaster Recovery – План действий при аварийных ситуациях / План восстановления после бедствий.


Для каждой области должно включаться следующее:

  • Внедренные практики, которые компания должна продолжать использовать;
  • Новые практики, которые должны быть внедрены.
  • Далее должен быть разработан документ – Стратегия защиты для оперативных практик (Protection Strategy for Operational Practices), который включает такие категории практик:
  • Physical Security – Физическая защита;
  • Information Technology Security – IT защита;
  • Staff Security – Защита персонала.



Разработка плана по уменьшению рисков
План по уменьшению рисков фокусируется на:

  • Определение и детектирование угроз, при их возникновении;
  • Предотвращение угроз;
  • Восстановление после совершенной атаки на критический актив.

План по уменьшению рисков реализуется для каждой категории угроз критического актива, определяются конкретные административные, физические и технические практики для уменьшения риска.

Разработка перечня действий
При построении стратегии защиты и плана по уменьшению рисков, должно быть определено любое краткосрочное действие, которое поможет внедрить стратегии и планы.
Для каждого действия определяется ответственный сотрудник, дата выполнения и требуемые действия руководства.

Этап 2

Рассмотрение высшим руководством разработанной стратегии, уточнение, одобрение стратегии и планов.

  • Подготовка презентационного материала для высшего руководства – может быть необязательным, зависит от того каким образом проводиться презентация;
  • Обзор анализа рисков – аналитическая группа представляет всю информацию по критическим активам. Эта информация дает высшему руководству понимание, на чем основывался выбор стратегии защиты и планов защиты;
  • Обзор и детализация стратегии защиты, плана по уменьшению рисков, перечня краткосрочных действий – аналитическая группа представляет стратегии, планы и действия. Высшее руководство может вносить изменения, дополнения или удаления;
  • Разработка следующих шагов – высшее руководство решает, как внедрять стратегии, планы и действия. Определяется, что должно проводиться, кем и когда.



Профиль актива
Результирующим документом по анализу рисков является документ «Профиль актива», который должен включать такие разделы:


1. Информация про актив:


  • Имя актива;
  • Причина выбора актива как критического;
  • Краткое описание (кто контролирует актив, ответственный за актив, и т.д.).
2. Свойства безопасности актива – определяются какие именно свойства безопасности нужно учитывать для конкретного критического актива:


  • Конфиденциальности;
  • Целостность;
  • Доступность;
  • Другое.
3. Модель угроз для актива. Для каждой категории угроз отображается дерево возможных вариантов реализации угроз.
4. Ключевые компоненты системы, связанные в критическим активом:


  • Определение системы интереса для критического актива;
  • Определение конкретных ключевых компонентов.
5. Выбор компонентов для оценки на уязвимости – для каждой категории компонентов определяются конкретные компоненты для проверки.
6. Результаты проверки выбранных компонентов:


  • Класс уязвимости;
  • Воздействие на актив;
  • Действия и рекомендации по закрытию уязвимости.
7. Профиль риска. Для каждой категории последствий угрозы (раскрытие, модификация, разрушение или потеря, прерывание в работе) определено:


  • Набор конкретных воздействий на актив при реализации этой угрозы. При этом рассматриваются все категории воздействия;
  • Оценка этого воздействия.
Для категории воздействия распределить какие угрозы относятся к какому уровню критичности (High, Medium, Low).
8. Написание плана по уменьшению риска для каждой категории угрозы.

После оценки рисков

Организация должна внедрить выбранную стратегию защиты и план уменьшения рисков для улучшения состояния защиты информации в организации. Но сфера информационной защиты постоянно развивается, планы и практики, внедренные сегодня могут быть недостаточными через несколько месяцев. Информационные технологию будут продолжать развиваться с большой скоростью, и нарушители будут находить новые пути взлома безопасности вашей организации. Поэтому информационная безопасность организации должна постоянно усовершенствоваться.
Результат анализа рисков методом OCTAVE дает фундамент для процесса улучшения ИБ. Как только процесс анализа завершен, должны совершаться следующие действия:

  • Отслеживание процесса внедрения стратегий защиты и плана по уменьшению рисков;
  • Отслеживание рисков ИБ, поиск новых рисков, изменения в существующих;
  • Непрерывная проверка внедренных практик ИБ.

В помощь для дальнейших действий по развитию системы информационной безопасности OCTAVE предоставляет опросники (для проверки уже сделанных действий) и примеры действий после оценки (для помощи во внедрении и разработке документации).

Комментариев нет:

Отправить комментарий

Related Posts with Thumbnails