Управление информационными рисками. Экономически оправданная безопасность

С. А. Петренко, С. В. Симонов

Управление 
информационными 
рисками

Экономически оправданная безопасность

Информационные технологии для инженеров

Москва, 2018

2-е издание (электронное)

УДК 004.056.5 
ББК 32.973.202

П30

    Управление информационными рисками. Экономически оправданная 
безопасность [Электронный ресурс] / С. А. Петренко, С. В. Симонов. — 
2-е изд. (эл.). — Электрон. текстовые дан. (1 файл pdf : 396 с.). — М. : ДМК 
Пресс, 2018. — (Информационные технологии для инженеров). — Систем. 
требования: Adobe Reader XI либо Adobe Digital Editions 4.5 ; экран 10".

ISBN 978-5-93700-058-3

В книге подробно рассмотрены возможные постановки задач анализа информационных рисков и управления ими при организации режима информационной безопасности в отечественных компаниях. Рассмотрена международная концепция
обеспечения информационной безопасности, а также различные подходы и рекомендации по решению задач анализа рисков и управления ими. Дан обзор основных стандартов в области защиты информации и управления рисками: ISO 17799,
ISO 15408, BSI, NIST, MITRE.
В настоящем издании обсуждаются инструментальные средства для анализа рисков (COBRA, CRAMM, MethodWare, RiskWatch, Авангард). Даны рекомендации по
использованию указанных средств на практике для анализа рисков информационных
систем. Показана взаимосвязь задач анализа защищенности и обнаружения вторжений с задачей управления рисками. Предложены технологии оценки эффективности обеспечения информационной безопасности в отечественных компаниях.

Книга будет полезна руководителям служб автоматизации (CIO) и служб информационной безопасности (CISO), внутренним и внешним аудиторам (CISA), 
менеджерам высшего эшелона компаний, занимающимся оценкой информационных рисков компании и их управлением, а также студентам и аспирантам соответствующих технических специальностей.

© ДМК Пресс, 2004
ISBN 978-5-93700-058-3

П30

УДК 004.056.5 
ББК 32.973.202

Петренко, Сергей Анатольевич.

Деривативное электронное издание на основе печатного издания: Управление 
информационными рисками. Экономически оправданная безопасность / 
С. А. Петренко, С. В. Симонов. — М. : ДМК Пресс, 2004. — 384 с. — ISBN 
5-94074-246-7.

В соответствии со ст. 1299 и 1301 ГК РФ при устранении ограничений, установленных техническими 
средствами защиты авторских прав, правообладатель вправе требовать от нарушителя возмещения 
убытков или выплаты компенсации.

Предисловие
Предисловие
Предисловие
Предисловие
Предисловие...........................................................................................................................10

Глава 1
Глава 1
Глава 1
Глава 1
Глава 1
Анализ рисков в области защиты информации
Анализ рисков в области защиты информации
Анализ рисков в области защиты информации
Анализ рисков в области защиты информации
Анализ рисков в области защиты информации ............................................15

1.1. Информационная безопасность бизнеса .......................................................15
1.2. Развитие службы информационной безопасности.....................................19
1.3. Международная практика защиты информации ..........................................22

1.3.1. Модель Symantec LifeCycle Security ...............................................................27

1.4. Постановка задачи анализа рисков ..................................................................30

1.4.1. Модель Gartner Group .....................................................................................30
1.4.2. Модель Carnegie Mellon University.................................................................30
1.4.3. Различные взгляды на защиту информации .................................................36

1.5. Национальные особенности защиты информации .....................................38

1.5.1. Особенности отечественных нормативных документов ..........................38
1.5.2. Учет остаточных рисков ....................................................................................40

Глава 2
Глава 2
Глава 2
Глава 2
Глава 2
Управление рисками и международные стандарты
Управление рисками и международные стандарты
Управление рисками и международные стандарты
Управление рисками и международные стандарты
Управление рисками и международные стандарты ...................................43

2.1. Международный стандарт ISO 17799 ..............................................................44

2.1.1. Обзор стандарта BS 7799...............................................................................44
2.1.2. Развитие стандарта ISO 17799 ......................................................................54

2.2. Германский стандарт BSI ........................................................................................57

2.2.1. Сравнение стандартов ISO 17799 и BSI ......................................................60

2.3. Стандарт США NIST 80030 .................................................................................60

2.3.1. Алгоритм описания информационной системы ..........................................62
2.3.2. Идентификация угроз и уязвимостей.............................................................63
2.3.3. Организация защиты информации ...............................................................65

2.4. Ведомственные и корпоративные стандарты управления ИБ.................68

2.4.1. XBSSспецификации сервисов безопасности X/Open ..............................68
2.4.2. Стандарт NASA «Безопасность информационных технологий» ............73
2.4.3. Концепция управления рисками MITRE .........................................................73

СОДЕРЖАНИЕ

Управление информационными рисками

Глава 3
Глава 3
Глава 3
Глава 3
Глава 3
Технологии анализа рисков
Технологии анализа рисков
Технологии анализа рисков
Технологии анализа рисков
Технологии анализа рисков.........................................................................................75

3.1. Вопросы анализа рисков и управления ими ...................................................75

3.1.1. Идентификация рисков .....................................................................................75
3.1.2. Оценивание рисков...........................................................................................76
3.1.3. Измерение рисков .............................................................................................78
3.1.4. Выбор допустимого уровня риска..................................................................87
3.1.5. Выбор контрмер и оценка их эффективности .............................................88

3.2. Разработка корпоративной методики анализа рисков ............................91

3.2.1. Постановка задачи............................................................................................91
3.2.2. Методы оценивания информационных рисков ...........................................93
3.2.3. Табличные методы оценки рисков..................................................................94
3.2.4. Методика анализа рисков Microsoft .............................................................98

Глава 4
Глава 4
Глава 4
Глава 4
Глава 4
Инструментальные средства анализа рисков
Инструментальные средства анализа рисков
Инструментальные средства анализа рисков
Инструментальные средства анализа рисков
Инструментальные средства анализа рисков ............................................ 101

4.1. Инструментарий базового уровня .................................................................. 101

4.1.1. Справочные и методические материалы .................................................. 102
4.1.2. COBRA ............................................................................................................... 103
4.1.3. RA Software Tool .............................................................................................. 104

4.2. Средства полного анализа рисков ................................................................. 105

4.2.1. Метод CRAMM................................................................................................. 105
4.2.2. Пример использования метода CRAMM................................................... 108
4.2.3. Средства компании MethodWare ............................................................... 117
4.2.4. Экспертная система «АванГард» ................................................................ 120
4.2.5. RiskWatch........................................................................................................... 129

Глава 5
Глава 5
Глава 5
Глава 5
Глава 5
Аудит безопасности и анализ рисков
Аудит безопасности и анализ рисков
Аудит безопасности и анализ рисков
Аудит безопасности и анализ рисков
Аудит безопасности и анализ рисков ............................................................... 135

5.1. Актуальность аудита безопасности ................................................................ 135
5.2. Основные понятия и определения ................................................................... 138
5.3. Аудит безопасности в соответствии с BS 7799, часть 2.......................... 141

5.3.1. Сертификация и аудит: организационные аспекты ................................ 141
5.3.2. Методика проведения аудита ...................................................................... 142
5.3.3. Варианты аудита безопасности .................................................................. 143
5.3.4. Организация проведения аудита................................................................ 146

5.4. Аудит информационной системы:
рекомендации COBIT 3rd Edition ..................................................................... 147
5.4.1. Этапы проведения аудита ............................................................................. 151
5.4.2. Пример аудита системы расчета зарплаты ............................................. 155

Содержание

Глава 6
Глава 6
Глава 6
Глава 6
Глава 6
Анализ защищенности информационной системы
Анализ защищенности информационной системы
Анализ защищенности информационной системы
Анализ защищенности информационной системы
Анализ защищенности информационной системы ................................. 161

6.1. Исходные данные .................................................................................................... 162

6.1.1. Анализ конфигурации средств защиты
внешнего периметра ЛВС............................................................................. 163
6.1.2. Методы тестирования системы защиты ..................................................... 164

6.2. Средства анализа защищенности ................................................................... 164

6.2.1. Спецификации Security Benchmarks............................................................ 166
6.2.2. Спецификация Windows 2000 Security Benchmark ................................. 167

6.3. Возможности сетевых сканеров........................................................................ 169

6.3.1. Сканер Symantec NetRecon .......................................................................... 171
6.3.2. Сканер NESSUS ............................................................................................... 174

6.4. Средства контроля защищенности системного уровня ......................... 177

6.4.1. Система Symantec Enterprise Security Manager ....................................... 178

6.5. Перспективы развития........................................................................................... 187

Глава 7
Глава 7
Глава 7
Глава 7
Глава 7
Обнаружение атак и управление рисками
Обнаружение атак и управление рисками
Обнаружение атак и управление рисками
Обнаружение атак и управление рисками
Обнаружение атак и управление рисками................................................... 189

7.1. Сетевые атаки........................................................................................................... 190
7.2. Обнаружение атак как метод управления рисками ................................ 192

7.2.1. Оценка серьезности сетевой атаки ........................................................... 193

7.3. Ограничения межсетевых экранов .................................................................. 194
7.4. Анализ подозрительного трафика................................................................... 195

7.4.1. Сигнатуры как основной механизм выявления атак ............................... 195
7.4.2. Анализ сетевого трафика и анализ контента .......................................... 196
7.4.3. Пример анализа подозрительного трафика............................................ 197

7.5. IDS как средство управления рисками ........................................................... 202

7.5.1. Типовая архитектура системы выявления атак ........................................ 202
7.5.2. Стандарты, определяющие правила взаимодействия между
компонентами системы выявления атак..................................................... 203
7.5.3. Форматы обмена данными........................................................................... 204
7.5.4. CVE – тезаурус уязвимостей ........................................................................ 204
7.5.5. CIDF .................................................................................................................... 205
7.5.6. Рабочая группа IDWG ................................................................................... 206

7.6. Возможности коммерческих IDS ....................................................................... 208

7.6.1. Средства защиты информации компании Symantec .............................. 208
7.6.2. Symantec Intruder Alert ................................................................................... 208
7.6.3. Пример использования Symantec IDS ........................................................ 214

7.7. Тенденции развития ................................................................................................ 216

Управление информационными рисками

Приложение 1
Приложение 1
Приложение 1
Приложение 1
Приложение 1
Исследование состояния информационной
Исследование состояния информационной
Исследование состояния информационной
Исследование состояния информационной
Исследование состояния информационной
безопасности в мире
безопасности в мире
безопасности в мире
безопасности в мире
безопасности в мире ..................................................................................................... 217

Введение .............................................................................................................................. 217
Нарушения системы ИБ................................................................................................. 219
Вовлечение высшего руководства ............................................................................ 221

Степень вовлечения высшего руководства.......................................................... 222

Формальные критерии оценки функционирования системы ИБ ................. 224

Изменение эффективности работы системы ИБ................................................. 225

Контроль и регистрация инцидентов в области ИБ ........................................... 226

Меры воздействия на нарушителей ИБ ................................................................ 227

Программа внедрения ИБ ........................................................................................... 228

Численность персонала службы ИБ ...................................................................... 228
Квалификация персонала службы ИБ ................................................................... 229
Независимость службы информационной безопасности от ИТ..................... 230

Политика в области ИБ ................................................................................................. 230

Области, охваченные политикой ИБ ..................................................................... 233

Управление ИБ.................................................................................................................. 234

Делегирование функций ИБ внешним организациям ....................................... 234
Тестируют ли компании надежность системы ИБ? ............................................. 236

Управление персоналом .............................................................................................. 237

Осведомленность в вопросах безопасности
за пределами организации ..................................................................................... 238
Кампании по повышению осведомленности в вопросах ИБ ........................... 239

Защита технологической инфраструктуры
и обеспечение непрерывности ведения бизнеса ............................................... 239

Внедрение инфраструктуры открытых ключей (PKI) ........................................... 239
Беспроводные сети .................................................................................................... 240
Защита портативных устройств .............................................................................. 241
Идентификация пользователей .............................................................................. 242
Удаленный доступ к корпоративным системам................................................... 242
Парольная защита..................................................................................................... 243
Система обнаружения вторжений (IDS)................................................................ 244
Отчетность о нарушениях ........................................................................................ 245

Содержание

Приложение 2
Приложение 2
Приложение 2
Приложение 2
Приложение 2
Международное исследование
Международное исследование
Международное исследование
Международное исследование
Международное исследование
по вопросам информационной безопасности
по вопросам информационной безопасности
по вопросам информационной безопасности
по вопросам информационной безопасности
по вопросам информационной безопасности ........................................... 247

Цифры и факты .................................................................................................................. 247
Путеводитель по исследованию ................................................................................ 247
Резюме исследования .................................................................................................... 248

Насколько вы уверены в своем предприятии ...................................................... 249

Управление безопасностью........................................................................................ 250

Результаты исследования ......................................................................................... 250
Что это может означать для вашего предприятия .............................................. 251
Что может предпринять руководство .................................................................... 252
Что можно сделать ..................................................................................................... 253

Как используется система информационной безопасности......................... 254

Результаты исследования ......................................................................................... 255
К каким последствиям для вашей компании это может привести ................... 256
Что можно сделать ..................................................................................................... 258

Доступность информационных технологий........................................................... 259

Выводы .......................................................................................................................... 259
Что это может означать для вашей компании ..................................................... 260
Что вы можете сделать .............................................................................................. 260

Что в будущем ................................................................................................................... 262

Выводы .......................................................................................................................... 262
Что это может означать для вашей компании ..................................................... 262
Что вы можете сделать .............................................................................................. 263

Что делать дальше ........................................................................................................... 264
Методология проведения исследования................................................................ 265

«Эрнст энд Янг» – решение реальных проблем .................................................. 265

Приложение 3
Приложение 3
Приложение 3
Приложение 3
Приложение 3
Основные понятия и определения управления рисками
Основные понятия и определения управления рисками
Основные понятия и определения управления рисками
Основные понятия и определения управления рисками
Основные понятия и определения управления рисками ..................... 267

Терминология и определения в публикациях на русском языке ................... 267
Терминология и определения на английском языке
(определения взяты из глоссария [334] и даются в переводе) ...................... 268

Управление информационными рисками

Приложение 4
Приложение 4
Приложение 4
Приложение 4
Приложение 4
Каталоги угроз и контрмер IT Baseline
Каталоги угроз и контрмер IT Baseline
Каталоги угроз и контрмер IT Baseline
Каталоги угроз и контрмер IT Baseline
Каталоги угроз и контрмер IT Baseline ............................................................. 273

Каталоги угроз и контрмер, используемые
в Германском стандарте IT Baseline Protection Manual ................................... 273

Каталог угроз .............................................................................................................. 273
Каталог контрмер ...................................................................................................... 281

Приложение 5
Приложение 5
Приложение 5
Приложение 5
Приложение 5
Классификация ресурсов, угроз и контрмер CRAMM
Классификация ресурсов, угроз и контрмер CRAMM
Классификация ресурсов, угроз и контрмер CRAMM
Классификация ресурсов, угроз и контрмер CRAMM
Классификация ресурсов, угроз и контрмер CRAMM........................... 299

Классификация ресурсов, угроз и контрмер
в методе CRAMM для профиля Commercial.
Классификация физических ресурсов ..................................................................... 299
Классы угроз ...................................................................................................................... 302
Классы контрмер.............................................................................................................. 303

Приложение 6
Приложение 6
Приложение 6
Приложение 6
Приложение 6
Оценка рисков экспертными методами
Оценка рисков экспертными методами
Оценка рисков экспертными методами
Оценка рисков экспертными методами
Оценка рисков экспертными методами ........................................................... 305

Оценка субъективной вероятности.......................................................................... 305

Классификация методов получения субъективной вероятности..................... 306
Методы получения субъективной вероятности ................................................... 307

Методы оценок непрерывных распределений .................................................... 308

Метод изменяющегося интервала ......................................................................... 308
Метод фиксированного интервала ....................................................................... 309
Графический метод .................................................................................................... 310
Некоторые рекомендации ....................................................................................... 310

Агрегирование субъективных вероятностей ........................................................ 311

Методы теории полезности ..................................................................................... 312
Необходимые сведения из теории полезности ................................................... 313
Применение методов теории полезности............................................................ 313
Классификация функций полезности по склонности к риску ........................... 314

Многомерные функции полезности ......................................................................... 314

Методы построения многомерных функций полезности .................................. 315
Метод анализа иерархий ........................................................................................ 322

Приложение 7
Приложение 7
Приложение 7
Приложение 7
Приложение 7
Оценка затрат (TCO) на информационную безопасность
Оценка затрат (TCO) на информационную безопасность
Оценка затрат (TCO) на информационную безопасность
Оценка затрат (TCO) на информационную безопасность
Оценка затрат (TCO) на информационную безопасность ............... 323

История вопроса ............................................................................................................. 323
Западный опыт – на вооружение.............................................................................. 325

Оценка текущего уровня ТСО ................................................................................ 327
Аудит ИБ компании .................................................................................................... 327

Содержание

Формирование целевой модели ТСО .................................................................. 328
Пример оценки затрат на ИБ ................................................................................. 328

Специфика расчета ТСО в российских условиях ............................................... 334

Примерный перечень затрат на безопасность .................................................. 336
Затраты на ИБ и уровень достигаемой защищенности ................................... 340
Доля затрат на ИБ в обороте компании .............................................................. 342
Определение объема затрат.................................................................................. 344
База измерений .......................................................................................................... 348

Анализ затрат на ИБ ...................................................................................................... 351

Отчет по затратам на безопасность .................................................................... 351
Анализ затрат ............................................................................................................. 353
Принятие решений..................................................................................................... 355
Внедрение системы учета затрат на ИБ ............................................................... 356

Резюме.................................................................................................................................. 356

Заклю
Заклю
Заклю
Заклю
Заключччччение
ение
ение
ение
ение .......................................................................................................................... 357
Литература
Литература
Литература
Литература
Литература ........................................................................................................................... 360
Предметный указатель
Предметный указатель
Предметный указатель
Предметный указатель
Предметный указатель ................................................................................................. 382

ПРЕДИСЛОВИЕ

В настоящее время организация режима информационной безопасности становится критически важным стратегическим фактором развития любой отечественной
компании. При этом, как правило, основное внимание уделяется требованиям и
рекомендациям соответствующей российской нормативнометодической базы
в области защиты информации. Вместе с тем многие ведущие отечественные компании сегодня используют некоторые дополнительные инициативы, направленные
на обеспечение устойчивости и стабильности функционирования корпоративных
информационных систем для поддержания непрерывности бизнеса в целом. В чем
сущность этих инициатив и насколько они могут быть полезными для вашей компании? Давайте посмотрим вместе. Для этого сначала вспомним основные успехи
развития российской нормативнометодической базы в области защиты информации в 2001–2003 гг., а затем остановимся на некоторых инициативах ведущих отечественных компаний.
В 2002 году в рамках деятельности Гостехкомиссии при Президенте РФ подготовлены и согласованы специальные требования и рекомендации по защите конфиденциальной информации, а также соответствующие методики. Летом 2002 года
был утвержден ГОСТ Р ИСО/МЭК 154082002 (части 1, 2, 3) «Критерии оценки
безопасности информационных технологий» на основе прямого применения
международного стандарта ИСО/МЭК 1540899. Продолжается работа над следующими нормативными документами по стандартизации (РД Гостехкомиссии):

• Руководство по разработке профилей защиты и заданий по информационной
безопасности;
• Руководство по регистрации профилей защиты;
• Методика оценки профилей защиты и заданий по информационной безопасности;
• Автоматизированный комплекс разработки профилей защиты и заданий по
информационной безопасности.

Кроме того, разрабатывается шесть профилей защиты для конкретных систем
и средства информационных технологий, в том числе для некоторых операционных систем, межсетевых экранов и других компонент информационных технологий. В дальнейшем планируется создание более 20 профилей защиты.
В январе 2002 года в рамках деятельности ФАПСИ принят Федеральный закон «Об электронной цифровой подписи». С 1 июля 2002 года введена в действие
новая версия стандарта ЭЦП ГОСТ РЗИ.1001 на основе операций в группе точек
эллиптических кривых. Новый стандарт по своим характеристикам, например
криптостойкости и скорости, существенно превосходит предыдущий стандарт