- •А.П. Пархоменко а.Ф. Мешкова р.В. Менжулин основные проблемы и особенности защиты информации в банковских системах: модели нарушителей
- •1Воронеж 2008
- •2Воронеж 2008
- •Введение
- •1.Основные проблемы и особенности защиты информации в банковских системах.
- •1.1 Основные понятия, термины и определения.
- •1.1.1 Информация и информационные отношения в автоматизированных банковских системах. Субъекты информационных отношений, их безопасность в автоматизированных банковских системах.
- •1.1.2 Определение требований к защищенности информации в автоматизированных банковских системах.
- •1.2 Особенности автоматизированных банковских систем как объекта защиты информации.
- •1.2.1 Автоматизированные платежные системы.
- •1.2.2 Основные принципы и подходы к защите апбс.
- •1.2.3 Особенности платежных систем.
- •1.2.4 Автоматизированные информационные системы.
- •1.2.5 Основные принципы и подходы к защите автоматизированных информационных систем.
- •1.3 Особенности защиты информации в автоматизированных банковских системах.
- •1.3.1 Защита от физического доступа.
- •1.3.2 Защита резервных копий в автоматизированных банковских системах.
- •1.3.3 Защита от инсайдеров.
- •1.4 Основные проблемы защиты информации в автоматизированных банковских системах.
- •1.5 Проблемы правовой и организационно - технической защиты коммерческой и банковской тайны как видов конфиденциальной информации.
- •2. Модели нарушителей и риски в автоматизированных банковских системах.
- •2.1 Анализ проблем оценки и управления рисками информационной безопасности в автоматизированных банковских системах.
- •2.2 Анализ инструментальных средств оценки и управления рисками информационной безопасности.
- •2.3 Неформальная модель нарушителя в банковских системах
- •2.4 Модель нарушителя и эффективность защиты.
- •3. Оценки рисков информационной безопасности.
- •3.1 Оценка рисков информационной безопасности на основе алгоритма Мамдани.
- •Заключение
- •Список используемых информационных источников
- •394026 Воронеж, Московский просп., 14
2. Модели нарушителей и риски в автоматизированных банковских системах.
2.1 Анализ проблем оценки и управления рисками информационной безопасности в автоматизированных банковских системах.
Внедрение информационных технологий в банковскую сферу и управление современных банков стало объективной реальностью. Одновременно растет информационная инфраструктура отделов банка, которая по мере приобретения средств вычислительной техники часто разрастается «вширь», приобретая неструктурированный гетерогенный характер. Это, в свою очередь, приводит к неконтролируемому росту количества уязвимостей и увеличению возможностей доступа к информации со стороны внешних и внутренних нарушителей. Таким образом, информационные системы могут стать потенциально опасными и превратиться в своеобразную «бомбу замедленного действия».
Внедрение средств вычислительной техники в структуру управления современных банковских систем является, безусловно, прогрессивным процессом, поэтому вполне объяснимо, что некоторое время не возникает опасений, связанных с использованием информационных технологий. Однако со временем проблемы информационной безопасности, в том или ином виде, возникают, практически у всех. Очень быстро эти проблемы выходят на самый верхний уровень управления, поскольку неизбежно затрагивают функции защиты организации в автоматизированной системы в целом.
Появление и осознание проблем информационной безопасности приводит к необходимости измерения величины информационного риска. Только на основе оценки риска можно определить необходимую степень защиты, выбрать стратегию развития информационной структуры организации и поддерживать на должном уровне безопасность организации.
В настоящее время многие банковские системы, специализирующиеся на решении проблем информационной безопасности, предлагают (часто в качестве коммерческого продукта) различные методики оценки информационных рисков. Известные методики можно классифицировать по типу используемой в них процедуры принятия решения на одноэтапные, в которых оценки риска выполняется с помощью одноразовой решающей процедуры, и многоэтапные, с предварительным оцениванием ключевых параметров.
Одноэтапные методики, как правило, используются на начальной стадии развития информационной инфраструктуры банка, когда ключевые факторы, определяющие информационную безопасность, еще не выявлены. Используемые при этом программные средства фактически не содержат механизма вывода, а служат лишь для информационной поддержки приятия решения экспертом. Недостатком одноэтапных процедур является высокая степень «субъективного фактора» в оценке риска трудности их использования для анализа риска. На основе одноэтапных процедур построены электронные таблицы типа Risk Matrix, которые достаточно широко распространены на российском рынке 51.
Многоэтапные методики, с предварительным оцениванием ключевых параметров, являются более конструктивными. Примером многоэтапной методики является методика оценки риска, изложенная специальных рекомендациях 800-30 Национального института стандартов и технологий США (NIST), которая предполагает предварительное оценивание двух параметров: потенциального ущерба и вероятности реализации угрозы 52.
Рекомендации NIST разработаны для использования в федеральных организациях США, занимающихся обработкой конфиденциальной информации. При этом назначение системы управления рисками напрямую связывается с возможностью организации выполнять свои (основные бизнес - функции в условиях постоянного расширения сферы использования информационных технологий.
Методика оценки риска, изложенная в специальных рекомендациях 800-30, охватывает широкий круг вопросов, связанных со стратегией управления рисками, и является хорошей основой для разработки собственной системы управления рисками. Однако используемый механизм оценки риска представлен в виде таблицы, отражающей зависимость риска от двух исходных переменных: потенциального ущерба и вероятности возможного инцидента. При этом значение каждой переменной, включая риск, оценивается по трехуровневой шкале. Такой «жесткий» механизм получения оценок риска существенно ограничивает возможности всей методики в целом.
Можно говорить, что методика оценивания риска CRAMM по сравнению с методикой NIST является более конструктивной, поскольку она позволяет анализировать большее количество параметров по более точным шкалам. Однако, по существу, механизм вывода оценок рисков, представленный в CRAMM, остался табличным, то есть отражает только взаимосвязи между уровнями, определенными для шкал входных данных и величиной риска.
Для оценки степени риска при том или ином варианте воздействий применяются различные методики. В зарубежной литературе они получили название «анализ риска» (risk analysis).
Анализ риска – это процесс получения качественной или количественной оценки ущерба, который может быть причинен при реализации угроз безопасности БС, а также оценки возможности реализации угроз.
В настоящее время используются два подхода к анализу рисков — базовый и полный вариант. Выбор зависит от оценки собственниками ценности своих информационных ресурсов и возможных последствий нарушения режима информационной безопасности. В простейшем случае собственники информационных ресурсов могут не оценивать эти параметры. Подразумевается, что ценность ресурсов с точки зрения организации не является чрезмерно высокой. В этом случае анализ рисков производится по упрощенной схеме: рассматривается стандартный набор наиболее распространенных угроз без оценки их вероятности и обеспечивается минимальный или базовый уровень ИБ.
Полный вариант анализа рисков применяется в случае повышенных требований к ИБ. В отличие от базового варианта в том или ином виде оцениваются ресурсы, характеристики рисков и уязвимостей (как правило, при этом проводится анализ соотношения стоимость/эффективность нескольких вариантов защиты).
Таким образом, при проведении полного анализа рисков необходимо:
1.Определить ценность ресурсов;
2.Добавить к стандартному набору список угроз, актуальных для исследуемой информационной системы;
3.Оценить вероятность угроз;
4.Определить уязвимость ресурсов;
5.Предложить решение, обеспечивающее необходимый уровень ИБ и оценить остаточные риски.
В ходе анализа рисков проводится их оценка. Под оценкой рисков принято понимать процедуру, включающую в себя идентификацию рисков, выбор параметров для их описания и определение значений этих параметров для каждого риска 53. В зависимости от того, какие параметры используются для описания рисков, и уровня формализации процесса определения значений этих параметров применяются различные методы оценки, общая классификационная схема которых приведена на рисунке 2.1. Краткая характеристика этих методов сводится к следующему.
Особенностью экспертных методов является субъективизм оценок, зависимость результатов оценки от квалификации экспертов. Оценка проводится, как правило, на основе анкетирования (например, по методу «проверочного листа», когда эксперт отвечает на вопросы типа «что будет, если…?» с возможными вариантами ответов). Результаты представляются в вербальной форме, в виде определенным образом составленных таблиц.
При применении экспертных методов важную роль играет построение шкал оценок рисков. В настоящее время в разработанных за рубежом методиках применяются шкалы нечетких суждений, шкалы субъективных вероятностей и шкалы баллов. При этом, как правило, оценивается как уровень возможного ущерба, так и возможность такого ущерба.
В качестве примера в таблице 1 приведены показатели уровня риска с учетом качественных оценок вероятности реализации угрозы и тяжести последствий. Для оценки возможности реализации угрозы (негативных последствий) введена следующая шкала:
1.А – событие практически никогда не происходит (возможно, но исключительно редко);
2.В – событие происходит редко;
3.С – событие возможно в рассматриваемый период времени;
4.Д – событие скорее всего произойдет;
5.Е – событие почти обязательно произойдет.
Для оценки уровня ущерба применяется следующая шкала:
1.N (Negligible) – угрозой можно пренебречь, ущерб крайне мал;
2.Mi (Минор) – последствия легко устранимы, ущерб незначителен;
3.Mo (Moderato) – ущерб средней тяжести, не связан с крупными затратами;
4.S (Serious) – ущерб весьма велик, влияет на выполнение критически важных задач;
5.C (Critical) – ущерб неприемлем, приводит к срыву выполнения критически важных задач.
Таблица 1 – Оценка риска в зависимости от возможности возникновения и величины ущерба.
Оценка возможности возникновения |
Оценка величины ущерба |
||||
Negligible |
Minor |
Moderate |
Serious |
Critical |
|
A |
Низкий риск |
Низкий риск |
Низкий риск |
Средний риск |
Средний риск |
B |
Низкий риск |
Низкий риск |
Средний риск |
Средний риск |
Высокий риск |
C |
Низкий риск |
Средний риск |
Средний риск |
Средний риск |
Высокий риск |
D |
Средний риск |
Средний риск |
Средний риск |
Средний риск |
Высокий риск |
E |
Средний риск |
Высокий риск |
Высокий риск |
Высокий риск |
Высокий риск |
В случае, когда имеется статистика возникновения угроз, возможна количественная оценка возможности возникновения того или иного ущерба при оценке рисков (таблица 2.2). Чаще такую оценку заменяют субъективной вероятностью возникновения ущерба.
Наибольшее применение и популярность нашли балльные методы оценки. Именно этот подход реализован, например, в методе CRAMM 54. Суть его состоит в следующем.
Для каждого ответа эксперта на совокупность упорядоченных вопросов устанавливается определенной количество баллов, которые по окончании опроса суммируются. Далее по интервальному критерию, в соответствии с которым устанавливаются интервалы значений суммы баллов, которым ставится в соответствие определенный вывод (суждение) о возможном риске. Несомненным достоинство данного подхода является возможность учета множества косвенных факторов, определяющих последствия реализации угроз и уровень риска соответственно.
Недостатком данного подхода является зависимость не только от знаний эксперта, но и от сферы деятельности организации, что требует подстройки метода под конкретный объект, при этом пока отсутствует доказательство полноты выбранных факторов и правильности весовых коэффициентов (баллов) для каждого ответа.
Общий недостаток экспертных методов связан с затрудненностью их применения для анализа комбинаций событий, приводящих к ущербу.
Особенность расчетно-аналитических методов заключается в необходимости разработки математической модели оценки риска, основанной на расчете либо среднестатистических характеристик риска, либо вероятностей возникновения заданного уровня ущерба.
При статистическом подходе используется ряд статистических параметров, например, среднее значение ущерба, среднеквадратическое отклонение или дисперсия, размах вариации и коэффициент вариации.
Размахом вариации называют разность между максимальным и минимальным значениями признака ряда значений оцениваемого параметра х1, х2, х3, … , хn:
Этот показатель является абсолютным и его применение в сравнительном анализе весьма ограничено, поскольку его величина существенно зависит от крайних значений ранжированного ряда.
Дисперсия рассчитывается для ряда х1, х2, х3, … , хn обычным образом по формуле:
(2.1)
где ;
- среднеквадратическое отклонение.
Коэффициент вариации рассчитывается по формуле:
При рассмотрении некоторого изолированного события никаких особых проблем теоретического характера в принципе не возникает, а риск, связанный с этим событием, может быть оценен на основе набора статистических данных. Проблема состоит в наборе такой статистики, которая зачастую отсутствует для вновь развертываемых систем или для систем, на которых прошла модернизация. Иногда для парирования такой неопределенности применяют три варианта оценки: пессимистическую (kp), наиболее вероятную (kml) и оптимистическую (ko). Безусловно, число исходов может быть увеличено, однако степень разумной достоверности ожидаемых значений ущерба и вероятностей его осуществления при этом, естественно, снизится 55.
При вероятностном подходе рассчитываются различные меры риска, основанные на построении вероятностного распределения значений ущерба. Поскольку в большинстве случаев знания о таком распределении отсутствуют, то оценка основывается на декларированном распределении, например, на нормальном с определением возможных отклонений. В целом вероятностный и среднестатистический подходы равносильны.
Графоаналитические методы применяются для выявления причинно-следственных связей между событиями, приводящими к ущербу, и включат в себя методы анализа «деревьев отказов» и «деревьев событий» 56.
При анализе деревьев отказов (Fault Tree Analysis) выявляются комбинации отказов (неполадок) программно-аппаратных систем, ошибок персонала и внешних (антропогенных, техногенных, природных) воздействий, приводящих к основному событию (аварийной ситуации, ущербу). Метод используется для анализа возможных причин возникновения ситуации, приводящих к ущербу, и расчета частоты возникновения таких ситуаций.
Анализ дерева событий (АДС, Event Tree Analysis - ETA) алгоритм построения последовательности событий, исходящей из основного (исходного) события и приводящей к тому или иному ущербу (аварийной ситуации). Метод используется для анализа развития «аварийной ситуации». Частота каждого сценария развития аварийной ситуации рассчитывается путем умножения частоты основного события на вероятность конечного события (например, сбой в системе электропитания в зависимости от условий может привести только к простою в работе, а может привести к потере, нарушению целостности информации).
Методы «деревьев отказов и событий» - трудоемки и применяются, как правило, для анализа проектов или модернизации сложных технических систем и производств при наличии обширных статистических данных. Следует отметить, что графоаналитические методы фактически базируются на методах экспертных оценок и расчетно-аналитических методах.
Сводные данные по сравнительному анализу методов оценки рисков приведены в таблице 2
Таблица 2 – Результаты сравнительного анализа методов оценки рисков
Наименование группы методов |
Достоинства методов |
Недостатки методов |
Примечания |
Экспертные методы |
Простота и легкость освоения. Возможность адаптации под особенности информационной системы
|
Зависимость результатов от квалификации и знаний экспертов. Сложность формирования группы экспертов. Сложность оценки рисков для динамичных систем.
|
Находят наибольше применение на практике и постоянно развиваются и совершенствуются |
Продолжение таблицы 2
Наименование группы методов |
Достоинства методов |
Недостатки методов |
Примечания |
Расчетно-аналитические методы |
Позволяют количественно оценивать и сравнивать на количественной основе риски информационной безопасности |
Требуются большие объемы статистических данных, разработка достаточно сложных математических моделей расчета рисков |
Методы находят пока ограниченное применение из-за отсутствия адекватных математических моделей и статистики по ущербам, связанным с безопасностью информации |
Графоаналитические методы |
Позволяют строить и анализировать сценарии развития ситуаций, связанных с безопасностью информации и приводящих к ущербу |
Весьма трудоемки, требуют наличия обширных статистических данных |
Применяются, как правило, при анализе безопасности информации в проектируемых или модернизируемых сложных технических системах |
Анализ приведенных методов позволяет сделать следующие выводы:
1. Наибольшее применение для анализа и оценки рисков в настоящее время находят экспертные методы. Несмотря на получаемые с помощь этих методов ориентировочные результаты, их применение позволяет давать достаточно обоснованные прогнозы возможных ущербов от реализации угроз безопасности информации в банковской сфере, выбирать актуальные угрозы и осуществлять «управление рисками»;
2. В отечественной практике отсутствуют методики анализа и оценки рисков. В настоящее время только предпринимаются попытки разработки таких методик;
3. Ни в России, ни за рубежом пока не разработаны теоретические основы и единая методология анализа и оценки рисков. Разработанные и применяемые методики основаны на обобщении и анализе практического опыта обеспечения безопасности информации в банковской сфере;
4. Предложенные в ряде зарубежных стандартов по организации и проведению аудита организаций (в том числе в банковской сфере) подходы к анализу и оценки рисков целесообразно учесть при разработке отечественной методики анализа и оценки рисков нарушения безопасности информации в банковской сфере;
5. Опубликованные документы различных организаций, касающиеся управления рисками, не содержат ряда важных деталей, которые обязательно надо конкретизировать при разработке применяемых на практике методик. Конкретизация этих деталей зависит от уровня зрелости организации, специфики ее деятельности и некоторых других факторов.
6. Невозможно предложить единую, приемлемую для всех, универсальную методику, соответствующую некоторой концепции управления рисками.