Управление информационной безопасностью. Ч. 1. Анализ информационных рисков

СИБИРСКИЙ ГОСУДАРСТВЕННЫЙ 
АЭРОКОСМИЧЕСКИЙ УНИВЕРСИТЕТ 

ИМЕНИ АКАДЕМИКА М. Ф. РЕШЕТНЕВА

В. В. З о л о т а р е в  
Е. А. Д а н и л о в а

УПРАВЛЕНИЕ ИНФОРМАЦИОННОЙ 
БЕЗОПАСНОСТЬЮ

В / ЧАСТЯХ 

Часть 1

АНАЛИЗ ИНФОРМАЦИОННЫХ РИСКОВ

К р а с н о я р с к
2 0 1 0

Министерство образования и науки Российской Федерации 
Сибирский государственный аэрокосмический университет 
имени академика М. Ф. Решетнева

В. В. Золотарев 
Е. А. Данилова

УПРАВЛЕНИЕ ИНФОРМАЦИОННОЙ 
БЕЗОПАСНОСТЬЮ

В 3 частях 
Часть 1

АНАЛИЗ ИНФОРМАЦИОННЫХ РИСКОВ

Утверждено редакционно-издательским советом университета 
в качестве учебного пособия для студентов, обучающихся 
по специальностям «Комплексное обеспечение информационной 
безопасности автоматизированных систем», «Информационная 
безопасность телекоммуникационных систем», а также 
по магистерским программам направления «Информатика 
и вычислительная техника»

К р асн о яр ск  2010

УДК 004.056(075.8) 
ББК 32.973.26-018.2я7 
380

Рецензенты:
кандидат технических наук, доцент С . В. К а п у с т и н а  
(Сибирский федеральный университет); 
кандидат технических наук, доцент М. Н. Ж у к о в а  
(Сибирский государственный аэрокосмический университет 
имени академика М. Ф. Решетнева)

Золотарев, В. В.
380 
Управление информационной безопасностью : учеб. пособие : 
в 3 ч. Ч. 1. Анализ информационных рисков / В. В. Золотарев, Е. А. Данилова ; Сиб. гос. аэрокосмич. ун-т. -  Красноярск, 2010.- 144 с.

Пособие знакомит студентов с основными особенностями анализа и управления информационными рисками как базового уровня моделей и методов управления информационной безопасностью. Рассматриваются методы количественного и качественного измерения показателей, характеризующих информационный 
риск, приводятся базовые и новые модели риска, дается обзор основных методик 
и инструментальных средств управления риском. Приведены необходимые справочные данные.
Предназначено для студентов, обучающихся по специальностям 090105 «Комплексное обеспечение информационной безопасности автоматизированных систем», 090106 «Информационная безопасность телекоммуникационных систем» 
всех форм обучения, а также по направлению 230000 «Информатика и вычислительная техника» в рамках специализированных магистерских программ.
Учебное пособие издано в рамках ФЦП «Научные и научно-педагогические кадры инновационной России» на 2009-2013 гг.

УДК 004.056(075.8) 
ББК 32.973.26-018.2я7

©  Сибирский государственный аэрокосмический 
университет имени академика М. Ф. Решетнева, 2010 
© Золотарев В. В., Данилова Е. Л., 2010

О г л а в л е н и е

От авторов.................................................................................................................. 5

Предисловие..............................................................................................................  7

Глава 1. Основы анализа информационных рисков................................... 9
1.1. Понятие информационного риска........................................................... 9
1.2. Информационные риски и защита информации...................................12
1.3. Постановка задачи анализа информационных рисков........................16
1.4. Условия и о!раничения при анализе
информационного риска............................................................................20
1.5. Этапы оценки рисков.................................................................................. 23
1.6. Процесс анализа информационных рисков...........................................25
1.7. Качественная и количественная оценка
информационных рисков...........................................................................26
1.8. Анализ рисков в управлении информационной 
безопасностью.............................................................................................. 28
Контрольные вопросы и задания..................................................................... 31

Глава 2. Алгоритмы и методики анализа
информационных рисков................................... 
 
32
2.1. Анализ информационных рисков в структуре
оценки систем защиты информации.......................................................32
2.2. Модель процедуры экспертной оценки..................................................33
2.3. Обобщение подходов к экспертным оценкам
(базовые схемы)...........................................................................................37
2.4. Методика анализа угроз информационной
безопасности................................................................................................. 41
2.5. Анализ факторов информационного риска...........................................47
2.6. Алгоритмизация формирования автоматизированных
средств анализа информационных рисков............................................ 54
Контрольные вопросы и задания..................................................................... 59

Глава 3. Практически значимые подходы и инструментальные 
средства анализа информационных рисков...................................................60
3.1. Способы и средства анализа информационных рисков..................... 60
3.2. Методики анализа информационного риска
(практический аспект)...............................................................................63
3.3. Практическая реализация методов анализа рисков.............................75
3.4. Сравнение инструментальных средств
анализа риска................................................................................................ 87
Контрольные задания.........................................................................................90

3

Глава 4. Согласование базовых нормативных документов
при анализе информационных рисков.........................................................  91
4.1. Классификация электронных документов.......................................... 91
4.2. Методы автоматической классификации
текстовых электронных документов....................................................  92
4.3. Формулировка задачи и критериев классификации 
нормативных документов........................................................................ 93
4.4. Представление структуры нормативных документов...................... 95
4.5. Алгоритм автоматической классификации
нормативных документов в области защиты информации 
 
97
4.6. Управление информационными рисками
несоответствия требованиям нормативных документов.................. 100
Контрольные вопросы и задания...................................................................106

Заключение..............................................................................................................107

Библиографический список..............................................................................108

Библиографические ссылки..............................................................................110

Приложения.............................................................................................................115

От АВТОРОВ

Управление информационной безопасностью -  комплексный и достаточно сложный процесс, описание которого требует соблюдения принципа системности в изложении, но при этом необходимо выдержать и должный уровень декомпозиции. В настоящее время данный процесс принято 
рассматривать с точки зрения двух подходов:
-  подхода к управлению информационной безопасностью на основе 
технической и программно-технической систем обеспечения информационной безопасности со средствами реагирования на инциденты, выявления 
аномальног о поведения пользователей и элементов системы, обнаружения 
и предо твращения атак. Такой подход называется подходом «снизу вверх» 
и содержит, как правило, движение от базовых механизмов безопасности 
до требуемой функциональности исследуемой (защищаемой) системы и затем до общего функционала информационной системы организации;
-  подхода к управлению информационной безопасностью на основе 
анализа информационных рисков, подразумевающего оценку и анализ эффективности сочетаний, комплексов механизмов безопасности, связь этих 
механизмов с потерями (финансовыми, временными, техническими и другими), увязку действий в области информационной безопасности с общими 
целями и действиями руководства организации. Такой подход, называемый подходом «сверху вниз», подразумевает полное и многоуровневое 
моделирование, использование формальных методов и инструментальных 
средств оценки информационного риска.
На сегодняшний день эти подходы считаются равноправными, хотя 
второй подход имеет очевидное преимущество в плане системности и разумного сочетания управляющих воздействий на уровне организации 
с работой технических и программно-технических средств защиты информации.
В последнее десятилетие теоретические и практические подходы 
к управлению информационной безопасностью начали активно изучаться 
отечественными учеными, например в Институте системного анализа Российской академии наук, Московском инженерно-физическом институте 
(Национальном исследовательском ядерном университете), Южном федеральном университете, Томском государственном университете связи, 
управления и радиоэлектроники и др., однако основные практические руководства и теоретические издания в этой области были опубликованы 
за рубежом [66; 69; 72-75]. Это объясняется разрывом в исследовании вопросов информационной безопасности между США и Великобританией 
(с 1970-х гг.) и Россией (с 1997-2000 гг.), несовершенством стандартов 
и нормативной базы, выбором в качестве основной области деятельности 
отечественных ученых анализа технологического риска и предотвращения 
катастроф, в которой достигнуты выдающиеся результаты (см., например, 
работы [11; 33; 44 и др.]).

5

В данном издании, состоящем из трех частей, показаны и проанализированы оба подхода к управлению информационной безопасностью:
-  в первой части подробно рассматриваются методические и инструментальные средства анализа и управления информационными рисками, 
приводятся справочные сведения и подходы к сравнению различных способов анализа информационного риска;
-  во второй части внимание акцентируется на подходе «снизу 
вверх», рассмотрены методы и средства управления инцидентами информационной безопасности, начиная от организационных моментов и заканчивая применением интеллектуальных технологий в области анализа аномалий и обнаружения атак;
-  третья часть содержит базовый материал по методам и моделям 
обеспечения информационной безопасности, полезный как с теоретической, так и с методической точки для разработки собственной системы 
управления информационной безопасностью организации.
Авторы, сознавая недостаток специализированной литературы в данном направлении, надеются своим изданием дополнить ресурсы, доступные теоретикам и практикующим аналитикам в области информационной безопасности, как собственными разработками, так и систематизацией известных материалов. Кроме того, это издание может быть использовано студентами специальностей группы 090000 «Информационная безопасность» и магистрантами направлений 230100 «Информатика 
и вычислительная техника», 230200 «Информационные системы» и другим по программам подготовки, связанным с безопасностью и защитой 
информации.

П р е д и с л о в и е

Анализ и управление информационными рисками -  один из базовых 
процессов, от которых зависит эффективность обеспечения информационной 
безопасности. При организации системы, включающей не только технические, 
но и организационно-правовые, программные и другие меры, именно анализ 
рисков в его приложениях к задачам защиты информации определяет качество, 
эффективность функционирования, критерии выбора и оптимизации комплекса средств и методов обеспечения информационной безопасности.
Управление информационными рисками любой организации предполагает следующие элементы:
-  определение основных целей и задач защиты информационных активов организации;
-  создание эффективной системы оценки и управления информационными рисками;
-  расчет совокупности детализированных не только качественных, 
но и количественных оценок рисков, адекватных заявленным целям бизнеса;
-  применение специального инструментария оценки и управления 
рисками.
Важным моментом в описании задач анализа информационного риска 
является связь между обоснованием затрат на информационную безопасность, бизнес-процессами и бизнес-целями организации и непосредственными действиями специализирующихся на защите информации структур и систем. Заложенная в понятии информационного риска и реализованная в процессе управления и анализа информационных рисков, эта связь позволяет соединить цели и методы руководства организации и всех ее структур в области 
обеспечения информационной безопасности.
В данном учебном пособии рассмотрены проблемы анализа информационных рисков и управления рисками для различных типов систем. Подходы, 
методы и методики, представленные в нем, максимально универсальны и могут служить основой для разработки и сравнительного анализа собственных 
подходов и средств. При описании элементов процесса управления информационными рисками используются элементы отечественной и зарубежной нормативной базы по анализу информационных рисков и управления информационной безопасностью.
Пособие соответствует Государственному образовательному стандарту 
подготовки специалистов по специальностям 090105 «Комплексное обеспечение 
информационной безопасности автоматизированных систем», 090106 «Информационная безопасность телекоммуникационных систем», 230100 «Информатика и вычислительная техника» (в рамках магистерской программы «Безопасность и защита информации»), 230200 «Информационные системы» (в рамках 
магистерской программы «Безопасность информационных систем») всех форм 
обучения.
Оно предназначено для оказания помощи студентам в изучении курса 
«Анализ информационных рисков», задачей которого является подготовка бу7

дущих специалистов к проведению оценки информационных рисков для организаций различного типа, участию в теоретических исследованиях и разработке 
собственных методик и алгоритмов, инструментальных средств в области анализа информационных рисков. Полученные ими знания и практические навыки 
могут быть использованы при подготовке к занятиям по предметам специализации, лабораторным работам и итоговому контролю, а также к вступительным 
экзаменам и текущему контролю в период обучения по магистерским программам, написании научных работ и дальнейшей профессиональной деятельности.
В пособии описываются и сравниваются основные моменты процедур 
анализа информационных рисков (гл. 1): понятие информационного риска 
и основы постановки задач анализа риска, качественный и количественный 
анализ риска, место анализа риска в обеспечении информационной безопасности; методики и схемы, в том числе вопросы автоматизации анализа риска, 
создания опросных листов, экспертной оценки и анализа факторов риска (гл. 2); 
практические приложения (Digital Security Office, COBRA, RiskWatch, Авангард, Callio Secura, CORA) (гл. 3); рассматриваются дополнительные возможности методов согласования требований нормативных документов при 
оценке риска (гл. 4). Представлены конкретные средства анализа информационных рисков, вопросы согласования стандартов и нормативных актов при 
формировании базиса анализа информационных рисков и методики анализа 
рисков, которые были получены авторами и их коллегами в рамках работы 
проектной группы по исследованию информационных рисков, организованной 
при институте информатики и телекоммуникаций Сибирского государственного аэрокосмического университета имени академика М. Ф. Решетнева.
В каждой главе курсивом выделены основные положения, которые необходимо изучить, и даны контрольные вопросы и задания. В конце пособия приведены рекомендательный библиографический список, библиографические ссылки на использованные источники, а также приложения, в которых представлены 
словарь терминов, основные положения ГОСТ Р ИСО/МЭК 17799 «Информационная технология. Практические правила управления информационной безопасностью», примеры опросного листа и модели нарушителя.
Пособие не является курсом лекций, поэтому более полную информацию можно получить, используя литературу из рекомендательного библиографического списка и лекционный материал. Кроме того, издание не содержит сведений, относящихся к закрытым методикам оценки защищенности автоматизированных систем по руководящей документации (РД) Гостехкомис- 
сии России.
Авторы выражают благодарность Т. Чалкину, А. Хохоля, Н. Кашовар, 
К. Ткаченко, Н. Федоровой, Т. Малковой, Н. Заблоцкой, Н. Менынагиной, 
А. Золотареву, А. Селезинке. II. Гаврилснко и Е. Федоровой, в разное время 
принимавшим участие в работе проектной группы по исследованию информационных рисков, за помощь в подготовке пособия и подборе материала.
Учебное пособие издается в рамках ФЦП «Научные и научно-педагогические кадры инновационной России» на 2009-2013 гг.

Гпава 1

ОСНОВЫ АНАЛИЗА ИНФОРМАЦИОННЫХ РИСКОВ

Понятие информационного риска. -  Информационные риски 
и защита информации. -  Постановка задачи анализа 
информационных рисков. -  Условия и ограничения при анализе 
информационного риска. -  Этапы оценки риска. -  Процесс анализа 
информационных рисков. -  Качественная и количественная 
оценка информационных рисков. - Анализ рисков в управлении 
информационной безопасностью.

1.1. П о н я т и е  и н ф о р м а ц и о н н о г о  р и с к а

Начнем рассмотрение комплексной проблемы управления информационной безопасностью (ИЬ) с задач анализа информационных рисков.
В работах математиков XVII -  начала XX в. риск понимался как неопределенность, связанная с вероятностью благоприятного или неблагоприятного исхода, причем к негативным последствиям риска интерес 
по понятным причинам был намного выше. Большинство из этих работ основывалось на понятии риска и связанных с ним характеристиках системы. 
В разное время риск изучался как аспект игры (например, Б. Паскалем 
и X. Гюйгенсом) или как элемент задачи оценки в страховании (например, 
у Д. Бернулли). Были введены функции полезности, как количественно 
(в работах Д. Бернулли, Г. Госсена и позднее Дж. фон Неймана и О. Мор- 
генштерна), так и качественно (например, в работах В. Парето) описывавшие 
выбор определенного решения. Более того, риск сам по себе начал отделяться от понятия случайного события, поскольку являлся оценочной величиной, 
указывающей на возможные потери (начиная с работ Ф. Найта и др.). Понятие риска и сейчас задействовано в различных областях знания, причем 
уже наблюдаются тенденции как к интеграции и обобщению этого понятия, так и к его различным трактовкам в разных ситуациях.
Таким образом, прежде чем перейти к стандартизированным определениям риска, разберемся в сущности данного понятия и его необходимости для решения задачи обеспечения информационной безопасности.
Вероятно, основным определением и сущностью понятия риска, как 
и ранее, остается следующее: риск -  это сочетание вероятности и последствий наступления события. Такое определение в разных вариациях и уточнениях предлагается в различных работах: в [15; 31; 52 и др.] -  для экономического риска, в [43; 46; 53 и др.] -  для технических рисков, в [13; 73; 74 и др.] -  
для информационного риска. Для более полного понимания системы терминов и определений, используемых в данном учебном пособии, рекомендуем использовать прил. 1.

9