УДК 004.056.5
ББК 32.973.202
П30
П30
Петренко, Сергей Анатольевич.
Управление информационными рисками. Экономически оправданная
безопасность [Электронный ресурс] / С. А. Петренко, С. В. Симонов. —
2-е изд. (эл.). — Электрон. текстовые дан. (1 файл pdf : 396 с.). — М. : ДМК
Пресс, 2018. — (Информационные технологии для инженеров). — Систем.
требования: Adobe Reader XI либо Adobe Digital Editions 4.5 ; экран 10".
ISBN 978-5-93700-058-3
В книге подробно рассмотрены возможные постановки задач анализа информа
ционных рисков и управления ими при организации режима информационной бе
зопасности в отечественных компаниях. Рассмотрена международная концепция
обеспечения информационной безопасности, а также различные подходы и реко
мендации по решению задач анализа рисков и управления ими. Дан обзор основ
ных стандартов в области защиты информации и управления рисками: ISO 17799,
ISO 15408, BSI, NIST, MITRE.
В настоящем издании обсуждаются инструментальные средства для анализа рис
ков (COBRA, CRAMM, MethodWare, RiskWatch, Авангард). Даны рекомендации по
использованию указанных средств на практике для анализа рисков информационных
систем. Показана взаимосвязь задач анализа защищенности и обнаружения вторже
ний с задачей управления рисками. Предложены технологии оценки эффективнос
ти обеспечения информационной безопасности в отечественных компаниях.
Книга будет полезна руководителям служб автоматизации (CIO) и служб ин
формационной безопасности (CISO), внутренним и внешним аудиторам (CISA),
менеджерам высшего эшелона компаний, занимающимся оценкой информацион
ных рисков компании и их управлением, а также студентам и аспирантам соответ
ствующих технических специальностей.
УДК 004.056.5
ББК 32.973.202
Деривативное электронное издание на основе печатного издания: Управление
информационными рисками. Экономически оправданная безопасность /
С. А. Петренко, С. В. Симонов. — М. : ДМК Пресс, 2004. — 384 с. — ISBN
5-94074-246-7.
срВ соответствии со ст. 1299 и 1301 ГК РФ при устранении ограничений, установленных техническими
убытков или выплаты компенсации.едствами защиты авторских прав, правообладатель вправе требовать от нарушителя возмещения
ISBN 978-5-93700-058-3
© ДМК Пресс, 2004
Стр.3
СОДЕРЖАНИЕ
Предисловие...........................................................................................................................10
Глава 1
Анализ рисков в области защиты информации ............................................15
1.1. Информационная безопасность бизнеса .......................................................15
1.2. Развитие службы информационной безопасности .....................................19
1.3. Международная практика защиты информации ..........................................22
1.3.1. Модель Symantec LifeCycle Security...............................................................27
1.4. Постановка задачи анализа рисков ..................................................................30
1.4.1. Модель Gartner Group.....................................................................................30
1.4.2. Модель Carnegie Mellon University.................................................................30
1.4.3. Различные взгляды на защиту информации.................................................36
1.5. Национальные особенности защиты информации .....................................38
1.5.1. Особенности отечественных нормативных документов..........................38
1.5.2. Учет остаточных рисков....................................................................................40
Глава 2
Управление рисками и международные стандарты ...................................43
2.1. Международный стандарт ISO 17799 ..............................................................44
2.1.1. Обзор стандарта BS 7799...............................................................................44
2.1.2. Развитие стандарта ISO 17799......................................................................54
2.2. Германский стандарт BSI ........................................................................................57
2.2.1. Сравнение стандартов ISO 17799 и BSI......................................................60
2.3. Стандарт США NIST 80030 .................................................................................60
2.3.1. Алгоритм описания информационной системы..........................................62
2.3.2. Идентификация угроз и уязвимостей.............................................................63
2.3.3. Организация защиты информации...............................................................65
2.4. Ведомственные и корпоративные стандарты управления ИБ.................68
2.4.1. XBSSспецификации сервисов безопасности X/Open..............................68
2.4.2. Стандарт NASA «Безопасность информационных технологий»............73
2.4.3. Концепция управления рисками MITRE.........................................................73
Стр.4
4
Управление информационными рисками
Глава 3
Технологии анализа рисков.........................................................................................75
3.1. Вопросы анализа рисков и управления ими ...................................................75
3.1.1. Идентификация рисков.....................................................................................75
3.1.2. Оценивание рисков...........................................................................................76
3.1.3. Измерение рисков.............................................................................................78
3.1.4. Выбор допустимого уровня риска..................................................................87
3.1.5. Выбор контрмер и оценка их эффективности.............................................88
3.2. Разработка корпоративной методики анализа рисков ............................91
3.2.1. Постановка задачи............................................................................................91
3.2.2. Методы оценивания информационных рисков...........................................93
3.2.3. Табличные методы оценки рисков..................................................................94
3.2.4. Методика анализа рисков Microsoft.............................................................98
Глава 4
Инструментальные средства анализа рисков ............................................ 101
4.1. Инструментарий базового уровня .................................................................. 101
4.1.1. Справочные и методические материалы..................................................102
4.1.2. COBRA...............................................................................................................103
4.1.3. RA Software Tool..............................................................................................104
4.2. Средства полного анализа рисков ................................................................. 105
4.2.1. Метод CRAMM.................................................................................................105
4.2.2. Пример использования метода CRAMM...................................................108
4.2.3. Средства компании MethodWare...............................................................117
4.2.4. Экспертная система «АванГард»................................................................120
4.2.5. RiskWatch...........................................................................................................129
Глава 5
Аудит безопасности и анализ рисков ............................................................... 135
5.1. Актуальность аудита безопасности ................................................................ 135
5.2. Основные понятия и определения ................................................................... 138
5.3. Аудит безопасности в соответствии с BS 7799, часть 2 .......................... 141
5.3.1. Сертификация и аудит: организационные аспекты................................141
5.3.2. Методика проведения аудита......................................................................142
5.3.3. Варианты аудита безопасности..................................................................143
5.3.4. Организация проведения аудита................................................................146
5.4. Аудит информационной системы:
рекомендации COBIT 3rd Edition ..................................................................... 147
5.4.1. Этапы проведения аудита.............................................................................151
5.4.2. Пример аудита системы расчета зарплаты............................................. 155
Стр.5
Содержание
Глава 6
Анализ защищенности информационной системы ................................. 161
6.1. Исходные данные .................................................................................................... 162
6.1.1. Анализ конфигурации средств защиты
внешнего периметра ЛВС.............................................................................163
6.1.2. Методы тестирования системы защиты.....................................................164
6.2. Средства анализа защищенности ................................................................... 164
6.2.1. Спецификации Security Benchmarks............................................................166
6.2.2. Спецификация Windows 2000 Security Benchmark.................................167
6.3. Возможности сетевых сканеров ........................................................................ 169
6.3.1. Сканер Symantec NetRecon..........................................................................171
6.3.2. Сканер NESSUS...............................................................................................174
6.4. Средства контроля защищенности системного уровня ......................... 177
6.4.1. Система Symantec Enterprise Security Manager.......................................178
6.5. Перспективы развития ........................................................................................... 187
Глава 7
Обнаружение атак и управление рисками................................................... 189
7.1. Сетевые атаки ........................................................................................................... 190
7.2. Обнаружение атак как метод управления рисками ................................ 192
7.2.1. Оценка серьезности сетевой атаки...........................................................193
7.3. Ограничения межсетевых экранов .................................................................. 194
7.4. Анализ подозрительного трафика ................................................................... 195
7.4.1. Сигнатуры как основной механизм выявления атак...............................195
7.4.2. Анализ сетевого трафика и анализ контента..........................................196
7.4.3. Пример анализа подозрительного трафика............................................197
7.5. IDS как средство управления рисками ........................................................... 202
7.5.1. Типовая архитектура системы выявления атак........................................202
7.5.2.Стандарты, определяющие правила взаимодействия между
компонентами системы выявления атак.....................................................203
7.5.3. Форматы обмена данными...........................................................................204
7.5.4. CVE– тезаурус уязвимостей........................................................................204
7.5.5. CIDF.................................................................................................................... 205
7.5.6. Рабочая группа IDWG................................................................................... 206
7.6. Возможности коммерческих IDS ....................................................................... 208
7.6.1. Средства защиты информации компании Symantec..............................208
7.6.2. Symantec Intruder Alert...................................................................................208
7.6.3. Пример использования Symantec IDS........................................................214
7.7. Тенденции развития ................................................................................................ 216
5
Стр.6
6
Управление информационными рисками
Приложение 1
Исследование состояния информационной
безопасности в мире..................................................................................................... 217
Введение .............................................................................................................................. 217
Нарушения системы ИБ................................................................................................. 219
Вовлечение высшего руководства ............................................................................ 221
Степень вовлечения высшего руководства.......................................................... 222
Формальные критерии оценки функционирования системы ИБ ................. 224
Изменение эффективности работы системы ИБ.................................................225
Контроль и регистрация инцидентов в области ИБ ........................................... 226
Меры воздействия на нарушителей ИБ................................................................227
Программа внедрения ИБ ........................................................................................... 228
Численность персонала службы ИБ...................................................................... 228
Квалификация персонала службы ИБ................................................................... 229
Независимость службы информационной безопасности от ИТ..................... 230
Политика в области ИБ ................................................................................................. 230
Области, охваченные политикой ИБ.....................................................................233
Управление ИБ.................................................................................................................. 234
Делегирование функций ИБ внешним организациям ....................................... 234
Тестируют ли компании надежность системы ИБ?............................................. 236
Управление персоналом .............................................................................................. 237
Осведомленность в вопросах безопасности
за пределами организации ..................................................................................... 238
Кампании по повышению осведомленности в вопросах ИБ........................... 239
Защита технологической инфраструктуры
и обеспечение непрерывности ведения бизнеса ............................................... 239
Внедрение инфраструктуры открытых ключей (PKI)........................................... 239
Беспроводные сети.................................................................................................... 240
Защита портативных устройств.............................................................................. 241
Идентификация пользователей .............................................................................. 242
Удаленный доступ к корпоративным системам................................................... 242
Парольная защита..................................................................................................... 243
Система обнаружения вторжений (IDS)................................................................ 244
Отчетность о нарушениях........................................................................................ 245
Стр.7
Содержание
Приложение 2
Международное исследование
по вопросам информационной безопасности ........................................... 247
Цифры и факты .................................................................................................................. 247
Путеводитель по исследованию ................................................................................ 247
Резюме исследования .................................................................................................... 248
Насколько вы уверены в своем предприятии......................................................249
Управление безопасностью........................................................................................ 250
Результаты исследования.........................................................................................250
Что это может означать для вашего предприятия..............................................251
Что может предпринять руководство....................................................................252
Что можно сделать.....................................................................................................253
Как используется система информационной безопасности......................... 254
Результаты исследования.........................................................................................255
К каким последствиям для вашей компании это может привести...................256
Что можно сделать.....................................................................................................258
Доступность информационных технологий........................................................... 259
Выводы..........................................................................................................................259
Что это может означать для вашей компании.....................................................260
Что вы можете сделать..............................................................................................260
Что в будущем ................................................................................................................... 262
Выводы..........................................................................................................................262
Что это может означать для вашей компании.....................................................262
Что вы можете сделать..............................................................................................263
Что делать дальше ........................................................................................................... 264
Методология проведения исследования ................................................................ 265
«Эрнст энд Янг»– решение реальных проблем..................................................265
Приложение 3
Основные понятия и определения управления рисками ..................... 267
Терминология и определения в публикациях на русском языке ................... 267
Терминология и определения на английском языке
(определения взяты из глоссария [334] и даются в переводе) ...................... 268
7
Стр.8
8
Управление информационными рисками
Приложение 4
Каталоги угроз и контрмер IT Baseline ............................................................. 273
Каталоги угроз и контрмер, используемые
в Германском стандарте IT Baseline Protection Manual ................................... 273
Каталог угроз..............................................................................................................273
Каталог контрмер......................................................................................................281
Приложение 5
Классификация ресурсов, угроз и контрмер CRAMM........................... 299
Классификация ресурсов, угроз и контрмер
в методе CRAMM для профиля Commercial.
Классификация физических ресурсов ..................................................................... 299
Классы угроз ...................................................................................................................... 302
Классы контрмер .............................................................................................................. 303
Приложение 6
Оценка рисков экспертными методами ........................................................... 305
Оценка субъективной вероятности .......................................................................... 305
Классификация методов получения субъективной вероятности.....................306
Методы получения субъективной вероятности...................................................307
Методы оценок непрерывных распределений .................................................... 308
Метод изменяющегося интервала.........................................................................308
Метод фиксированного интервала.......................................................................309
Графический метод....................................................................................................310
Некоторые рекомендации....................................................................................... 310
Агрегирование субъективных вероятностей ........................................................ 311
Методы теории полезности..................................................................................... 312
Необходимые сведения из теории полезности...................................................313
Применение методов теории полезности............................................................313
Классификация функций полезности по склонности к риску...........................314
Многомерные функции полезности ......................................................................... 314
Методы построения многомерных функций полезности..................................315
Метод анализа иерархий........................................................................................322
Приложение 7
Оценка затрат (TCO) на информационную безопасность ............... 323
История вопроса ............................................................................................................. 323
Западный опыт – на вооружение .............................................................................. 325
Оценка текущего уровня ТСО................................................................................ 327
Аудит ИБ компании....................................................................................................327
Стр.9
Содержание
9
Формирование целевой модели ТСО..................................................................328
Пример оценки затрат на ИБ.................................................................................328
Специфика расчета ТСО в российских условиях ............................................... 334
Примерный перечень затрат на безопасность..................................................336
Затраты на ИБ и уровень достигаемой защищенности...................................340
Доля затрат на ИБ в обороте компании..............................................................342
Определение объема затрат..................................................................................344
База измерений..........................................................................................................348
Анализ затрат на ИБ ...................................................................................................... 351
Отчет по затратам на безопасность....................................................................351
Анализ затрат.............................................................................................................353
Принятие решений.....................................................................................................355
Внедрение системы учета затрат на ИБ...............................................................356
Резюме.................................................................................................................................. 356
Заключение .......................................................................................................................... 357
Литература........................................................................................................................... 360
Предметный указатель ................................................................................................. 382
Стр.10