Актуальные вопросы защиты информации

I НАУЧНАЯ МЫСЛЬ! СЕРИЯ ОСНОВАНА В 2008 ГОДУ

А.В. Бабаш, Е.К. Баранова




                АКТУАЛЬНЫЕ ВОПРОСЫ ЗАЩИТЫ ИНФОРМАЦИИ




            Монография



znanium.com

Москва РИОР ИНФРА-М

УДК 621.391
ББК 32.81
Б12

   ФЗ    Издание не подлежит маркировке  
№ 436-ФЗ в соответствии с п. 1 ч. 2 ст. 1

          Авторы:
          Бабаш Александр Владимирович — д-р физ.-мат. наук, профессор, кафедра информационной безопасности, Национальный исследовательский университет «Высшая школа экономики»;
          Баранова Елена Константиновна — доцент, кафедра информационной безопасности, Национальный исследовательский университет «Высшая школа экономики»
          Рецензенты:
          Баранов Александр Павлович — д-р физ.-мат. наук, академик Академии криптографии, профессор, Национальный исследовательский университет «Высшая школа экономики»;
          Алиев Физули Камилович — д-р физ.-мат. наук, ведущий советник Главного управления развития информационных и телекоммуникационных технологий Министерства обороны Российской Федерации;
          Хорев Павел Борисович — канд. техн. наук, профессор кафедры прикладной и бизнес-информатики ИМЭЭП НИУ МЭИ





       Бабаш А.В., Баранова Е.К.
Б12      Актуальные вопросы защиты информации : монография / А.В. Ба       баш, Е.К. Баранова. — Москва : РИОР : ИНФРА-М, 2023. — 111 с. — (Научная мысль). — https://doi.org/10.12737/monography_58dbc380aa3a4
          ISBN 978-5-369-01680-0 (РИОР)
          ISBN 978-5-16-012879-5 (ИНФРА-М, print)
          ISBN 978-5-16-106277-7 (ИНФРА-М, online)
          Монография посвящена рассмотрению избранных аспектов современной защиты информации, в частности анализу, оценке, обработке рисков и управлению инцидентами информационной безопасности в соответствии с линейкой стандартов ISO/IEC 27000, а также криптографическим и теоретико-автоматным аспектам современной защиты информации.
          Представленные материалы будут полезны бакалаврам и магистрантам высших учебных заведений, изучающим курсы «Информационная безопасность» и «Управление информационной безопасностью», а также аспирантам и специалистам, интересующимся вопросами защиты информации.
УДК 621.391
                                                          ББК 32.81



ISBN 978-5-369-01680-0 (РИОР)
ISBN 978-5-16-012879-5 (ИНФРА-М, print)
ISBN 978-5-16-106277-7 (ИНФРА-М, online)

© Бабаш А.В., Баранова Е.К.

ВВЕДЕНИЕ


     Предлагаемая вашему вниманию монография -попытка авторов собрать в одной книге свои разработки последних лет по актуальным вопросам защиты информации. Возможно, материал монографии покажется читателю недостаточно однородным, но авторы включили в книгу лишь избранные исследования в области современной защиты информации, представляющие наибольший интерес, как для авторов, так, мы надеемся, и для читателей.
     Первая глава монографии посвящена общим вопросам защиты информации, в частности, вопросам анализа, оценки и обработки рисков информационной безопасности (ИБ).
     В процессе оценки риска устанавливается значимость информационных активов, выявляются потенциальные угрозы и уязвимости, которые существуют или могут существовать; определяются существующие меры, средства контроля и управления, а также их воздействие на идентифицированные риски; определяются возможные ущербы от инцидентов информационной безопасности и, наконец, назначаются приоритеты установленным рискам, а также осуществляется их ранжирование по критериям оценки риска, зафиксированным при установлении контекста.
     Оценка риска часто проводится за две или более итерации. Сначала проводится высокоуровневая оценка для идентификации потенциально высоких рисков, служащих основанием для дальнейшей оценки. Следующая итерация может включать дальнейшее углубленное рассмотрение рисков информационной безопасности. В тех случаях, когда полученная информация недостаточна для оценки риска, проводится более детальный анализ, возможно, по отдельным сферам деятельности компании, и с использованием различных методов оценки.
     Выбор подхода к оценке риска, в зависимости от поставленных задач и целей, осуществляет руководство компании. Варианты обработки риска должны выбираться исходя из результатов оценки риска, предполагаемой стоимости реализации этих вариантов и их ожидаемой эффективности. Должны реализовываться такие варианты, при которых значительное снижение риска может быть достигнуто при оптимизации затрат на дополнительные средства защиты информации.
     Ущерб от неблагоприятных последствий рисков необходимо снижать до разумных пределов независимо от каких-либо абсолютных критериев. Редкие, но серьезные риски должны рассматриваться руководством. В таких случаях может возникнуть необходимость реализации затратных мер и средств контроля и управления (например, меры и средства контроля и управления непрерывностью бизнеса, для охвата высоких специфических рисков).
     Варианты обработки риска, предусмотренные ГОСТ Р ИСО/МЭК 27005-2010¹, не являются взаимоисключающими. В отдельных случаях

     ¹ ГОСТ Р ИСО/МЭК 27005-2010. Информационная технология. Методы и средства обеспечения безопасности. Менеджмент риска информационной безопасности.

3

компания может получить значительную выгоду от объединения вариантов, таких, как снижение риска, уменьшение последствий или перенос остаточного риска.
     План обработки риска должен четко определять порядок приоритетов, при соблюдении которого должна реализовываться обработка отдельного риска. Порядок приоритетов может устанавливаться с использованием различных методов, включая ранжирование рисков и анализ показателя «затраты-выгоды». В обязанности руководства входит принятие решения о балансе между затратами на реализацию мер и средств контроля и управления и бюджетными отчислениями. В России в последние годы принят ряд стандартов, регламентирующих деятельность по управлению рисками информационной безопасности, перечислим лишь некоторые из них.
     ГОСТ Р ИСО/МЭК 13335-1-2006. «Информационная технология. Методы и средства обеспечения безопасности. Концепция и модели менеджмента безопасности информационных и телекоммуникационных технологий». Данный документ представляет собой руководство по управлению безопасностью информационных и телекоммуникационных технологий (ИТТ), устанавливает концепцию и модели, лежащие в основе базового понимания безопасности ИТТ, и раскрывает общие вопросы управления, которые важны для успешного планирования, реализации и поддержки безопасности ИТТ.
     ГОСТ Р 51897-2011. «Менеджмент риска. Термины и определения». Содержит определения основных терминов в области менеджмента риска.
     Семейство ГОСТ Р ИСО/МЭК 27000, основанное и соответствующее семейству Международных Стандартов на системы управления информационной безопасностью ISO/IEC 27000. Эти стандарты определяют требования к системам управления информационной безопасностью, управлению рисками, метрики и измерения, а также руководство по внедрению.
     Появление новых и модернизация старых стандартов, утверждение в 2016 году новой Доктрины информационной безопасности РФ, побудили авторов рассмотреть некоторые вопросы соответствия рекомендуемых методик для анализа и оценки рисков ИБ, а также используемого для этой цели программного инструментария новым требованиям нормативных документов.
     В первой главе также рассматривается метод оценки защищенности, заключающийся в моделировании атаки злоумышленника с целью обнаружения уязвимостей в системе безопасности - тестирование на проникновение (англ. penetration testing, сокр. пентест). Данный метод является одним из наиболее активно применяемых на сегодня, поскольку он дает достаточно точную оценку безопасности информационной системы (ИС).
     Во второй главе монографии представлены материалы по управлению инцидентами информационной безопасности. Тема управления инцидентами информационной безопасности на сегодняшнии день является одной из наиболее обсуждаемых и актуальных для компаний. Это связанно с тем, что управление инцидентами ИБ является важнейшим процессом развития и

4

совершенствования всей системы управления информационной безопасностью (СУИБ). Именно процесс управления инцидентами ИБ позволяет определить конкретные уязвимости ИБ организации, обнаружить следы атак и вторжений в информационную среду компании, что, в свою очередь, дает информацию о слабостях в системе защиты информации. Таким образом, управление инцидентами ИБ позволяет оценить эффективность СУИБ, определить ключевые роли персонала в результате возникновения нештатных ситуаций и, главное, за минимальный промежуток времени принять необходимые меры для восстановления полноценной работы компании.
     Как показывает практика, необходимость своевременного выявления инцидентов и реагирования на них обусловлена тем, что на карту эффективного функционирования компании поставлены не только конфиденциальность, целостность и доступность информации, а, прежде всего, репутация и финансы, которых может лишиться компания, не идентифицировав инцидент, о котором сигнализировали средства защиты.
     Третья глава монографии посвящена отдельным аспектам криптографической защиты информации. Сюда включены подразделы, посвященные вопросам дальнейшего развития математической модели шифра Клода Шеннона, проблеме трактовки и расчету расстояния единственности шифра. В этой главе демонстрируется использование теоретико-автоматного языка и методов теории автоматов для оценки периодов выходных последовательностей генераторов псевдослучайных чисел (на примере генератора Indirection Addition, IA). Приводится расширение круга шифров, для которых применимы идеи дешифрования Мицуру Мацуи ширатора DES². Расширение границ применения идей Мацуи происходит за счет использования теоретико-автоматной модели блочных шифров, построенных на идеях Фейстеля³. Приводится алгоритм дешифрования с расчетом его трудоемкости и надежности.
     Авторы монографии полагают, что представленные материалы будут полезны бакалаврам и магистрам высших учебных заведений, изучающим курсы «Информационная безопасность» и «Управление информационной безопасностью», а также аспирантам и специалистам, интересующихся вопросами защиты информации.

     ² Matsui M. Linear Cryptanalysis Method for DES. Eurocrypt,1993. Р. 24-27

     ³ Horst Feistel. Cryptography and Computer Privacy, Scientific American, May 1973, Vol.228, No.5, P.15-23.

ГЛАВА 1. ВОПРОСЫ УПРАВЛЕНИЯ РИСКАМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

1.1. МЕТОДИКИ АНАЛИЗА И ОЦЕНКИ РИСКОВ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
     Риск информационной безопасности (information security risk) - «возможность того, что данная угроза сможет воспользоваться уязвимостью актива или группы активов и тем самым нанесет ущерб организации»⁴.
     В соответствии с ГОСТ Р 51897-2011 «Менеджмент риска. Термины и определения» и международным стандартом ISO 27001-2013 «Система управления информационной безопасностью» - процесс управления рисками представляет собой скоординированные действия по управлению и контролю организации в отношении риска информационной безопасности. Управление рисками включает в себя оценку риска, обработку риска, принятие риска и сообщение о риске.
   Цель процесса оценивания рисков состоит в определении характеристик рисков по отношению к информационной системе и ее ресурсам (активам). На основе полученных данных могут быть выбраны необходимые средства защиты. При оценивании рисков учитываются многие факторы: ценность ресурсов, оценки значимости угроз и уязвимостей, эффективность существующих и планируемых средств защиты и многое другое.
   Базовый уровень безопасности (baseline security) - обязательный минимальный уровень защищенности для ИС. В ряде стран существуют критерии для определения этого уровня. В качестве примера приведем критерии Великобритании - CCTA Baseline Security Survey, определяющие минимальные требования в области ИБ для государственных учреждений этой страны. В Германии эти критерии изложены в стандарте BSI.
   Существуют критерии ряда организаций - NASA, X/Open, ISACA и другие. В нашей стране это может быть класс защищенности в соответствии с требованиями ФСТЭК России, профиль защиты, разработанный в соответствии со стандартом ISO-15408, или какой-либо другой набор требований.
   Тогда критерий достижения базового уровня безопасности - это выполнение заданного набора требований.
   Базовый (baseline) анализ рисков - анализ рисков, проводимый в соответствии с требованиями базового уровня защищенности. Прикладные методы анализа рисков, ориентированные на данный уровень, обычно не рассматривают ценность ресурсов и не оценивают эффективность контрмер. Методы данного класса применяются в случаях, когда к информационной системе не предъявляется повышенных требований в области ИБ.
   Полный (full) анализ рисков - анализ рисков для информационных систем, предъявляющих повышенные требования в области ИБ. Включает в се

     ⁴ ГОСТ Р ИСО/МЭК 27005-2010. Информационная технология. Методы и средства обеспечения безопасности. Менеджмент риска информационной безопасности.

6

бя определение ценности информационных ресурсов, оценку угроз и уязвимостей, выбор адекватных контрмер, оценку их эффективности.
     Согласно ГОСТ Р ИСО/МЭК 27005-2010 процесс менеджмента ИБ
состоит из этапов, представленных на рис. 1.


Рис. 1. Процесс менеджмента риска информационной безопасности в соответствии с ГОСТ Р ИСО/МЭК 27005-2010

     Согласно ГОСТ Р ИСО/МЭК 27005-2010 процесс оценки риска состоит из анализа риска и собственно оценки риска.
     Анализ риска включает: идентификацию риска (определение активов, определение угроз, определение существующих мер и средств контроля и управления, выявление уязвимостей, определение последствий) и установление значения риска (оценка последствий, оценка вероятности инцидента, установление значений уровня рисков).
     Оценка рисков должна идентифицировать риски, определить количество и приоритеты рисков на основе критериев для принятия риска и целей, значимых для организации.


7

     Следуя рекомендациям ГОСТ Р ИСО/МЭК 27002-2012⁵ оценки рисков следует выполнять периодически, чтобы учитывать изменения в требованиях безопасности и в ситуации, связанной с риском, например, в отношении активов, угроз, уязвимостей, воздействий, оценивания рисков.
     Прежде чем рассмотреть обработку некоего риска, компания должна выбрать критерии определения приемлемости или неприемлемости рисков.
     В процессе оценки риска устанавливается ценность информационных активов, выявляются потенциальные угрозы и уязвимости, которые существуют или могут существовать, определяются существующие меры и средства контроля и управления и их воздействие на идентифицированные риски, определяются возможные последствия и, наконец, назначаются приоритеты установленным рискам, а также осуществляется их ранжирование по критериям оценки риска, зафиксированным при установлении контекста⁶.
     В результате оценки риска согласно ГОСТ Р ИСО/МЭК 27003-2012⁷ необходимо:
     -  определить угрозы и их источники;
     -  определить существующие и планируемые меры и средства контроля и управления;
     -  определить уязвимости, которые могут в случае угрозы нанести ущерб активам или организации;
     -  определить последствия потери конфиденциальности, сохранности, доступности, неотказуемости или нарушения других требований к безопасности для активов;
     -  оценить влияние на предприятие, которое может возникнуть в результате предполагаемых или фактических инцидентов информационной безопасности;
     -  оценить вероятность чрезвычайных сценариев;
     -  оценить уровень риска;
     -  сравнить уровни риска с критериями оценки и приемлемости рисков.
     Применяемая для оценки риска методология должна предусматривать действия, указанные ниже.
     1. Определение активов.
     2.  Определение угроз.
     3. Выявление уязвимостей.

    ⁵ ГОСТ Р ИСО/МЭК 27002-2012. Информационная технология. Методы и средства обеспечения безопасности. Свод норм и правил менеджмента информационной безопасности.

    ⁶ Баранова Е. К., Чернова М.В. Сравнительный анализ программного инструментария для анализа и оценки рисков информационной безопасности // Проблемы информационной безопасности. Компьютерные системы. - 2014. - № 4. - С.160-168.

    ⁷ ГОСТ Р ИСО/МЭК 27003-2012. Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Руководство по реализации системы менеджмента информационной безопасности.

8

     4.  Определение последствий.
     5.  Оценка вероятности инцидента.
     6.  Установление значений уровня рисков.
     7.  Соотнесение рисков с критериями.
     8.  Определение мер обработки риска.
     Схема деятельности по обработке риска показана на рис. 2.

Рис. 2. Деятельность по обработке риска в соответствии с ГОСТ Р ИСО/МЭК 27005-2010

     Помимо указанных действий в организации должен предусматриваться и мониторинг рисков.
     Должны подвергаться мониторингу и переоценке риски и их факторы (т.е. ценность активов, влияние, угрозы, уязвимости, вероятность возникновения) с целью определения любых изменений в контексте организации на ранней стадии, и должно поддерживаться общее представление о всей картине риска. Процесс менеджмента риска ИБ подлежит постоянному мониторингу, анализу и улучшению.
   При анализе рисков, ожидаемый ущерб, в случае реализации угроз, сравнивается с затратами на меры и средства защиты, после чего принимается решение в отношении оцениваемого риска, который может быть:


9

     -  снижен, например, за счет внедрения средств и механизмов защиты, уменьшающих вероятность реализации угрозы или коэффициент разрушительности;
     -  сохранен (принят), как приемлемый для рассматриваемого объекта оценки;
     -  предотвращен, за счет отказа от использования подверженного угрозе ресурса;
     -  перенесен, например, застрахован, в результате чего в случае реализации угрозы безопасности, потери будет нести страховая компания, а не владелец ресурса.
   Наиболее трудоемким является процесс оценки рисков, который условно можно разделить на следующие этапы: идентификация риска; анализ риска; оценивание риска⁸.
   На рис. 3 схематично изображен процесс оценки рисков информационной безопасности⁹. Идентификация риска заключается в составлении перечня и описании элементов риска: объектов защиты, угроз, уязвимостей.
   Принято выделять следующие типы объектов защиты: информационные активы; программное обеспечение; физические активы; сервисы; люди, а также их квалификации, навыки и опыт; нематериальные ресурсы, такие как репутация и имидж организации.
   Как правило, на практике рассматривают первые три группы. Остальные объекты защиты не рассматриваются в силу сложности их оценки.
   На этапе идентификации рисков так же выполняется идентификация угроз и уязвимостей.
   В качестве исходных данных для этого используются результаты аудитов; данные об инцидентах информационной безопасности; экспертные оценки пользователей, специалистов по информационной безопасности, ИТ-специалистов и внешних консультантов.
   Информация, полученная на этапе идентификации рисков, используется в процессе анализа рисков для определения:
     -  возможного ущерба, наносимого организации в результате нарушений безопасности активов;
     -  вероятности наступления такого нарушения;
     -  величины риска.
   Величина возможного ущерба формируется с учетом стоимости активов и тяжести последствий нарушения их безопасности.
   Второй составляющей, формирующей значение возможного ущерба, является тяжесть последствий нарушения безопасности активов. Учитываются

     ⁸ ГОСТ Р ИСО/МЭК 13335-1-2006. Информационная технология. Методы и средства обеспечения безопасности. Часть 1. Концепция и модели менеджмента безопасности информационных и телекоммуникационных технологий.

     ⁹ Баранова Е.К. Методики и программное обеспечение для оценки рисков в сфере информационной безопасности // Управление риском. - 2009. - № 1(49). - С.15-26.

10