- •1. Оценка рисков информационной безопасности для беспроводных телекоммуникационных сетей
- •1.1. Оценка рисков и международные стандарты
- •1.1.1. Стандарт iso/iec 17799:2000(e), iso/iec tr 13335-2
- •1.1.2. Стандарт nist 800-30
- •1.1.3. Стандарт СоbiТ
- •1.1.4. Стандарт score
- •1.1.5. Метод cramm
- •1.1.6. Стандарт SysTrust
- •1.2. Методика оценки рисков информационной безопасности беспроводных телекоммуникационных систем
- •1.3. Расчет риска отказа в обслуживании абонентов базовой станции беспроводной системы связи
- •2. Управление рисками информационной безопасности для беспроводных систем связи
- •2.1. Методика управления рисками информационной безопасности
- •2.2. Основные концепции управления рисками информационной безопасности
- •2.2.1. Концепция управления рисками octave
- •2.2.2. Концепция управления рисками сramm
- •2.2.3. Концепция управления рисками mitre
- •2.3. Инструментарий для управления рисками информационной безопасности
- •3. Методы и средства снижения рисков беспроводных систем связи
- •3.1. Аутентификация
- •3.1.1. Открытая аутентификация
- •3.1.2. Аутентификация с совместно используемым ключом
- •3.1.3. Аутентификация с использованием мас-адресов
- •3.2. Шифрование данных
- •3.2.1. Шифрование с применением статических wep-ключей
- •3.2.2. Шифрование с использованием протокола целостности временных ключей (tkip)
- •3.2.3. Улучшенный алгоритм шифрования (aes)
- •3.3. Виртуальные частные сети (vpn) как механизм защиты беспроводных систем связи
- •3.3.1. Топологии vpn с точки зрения беспроводной связи
- •3.3.2. Туннельные протоколы в vpn
- •3.3.3. Альтернативные реализации vpn
- •3.3.3.1. Протокол cIPe
- •3.3.3.2. Пакет OpenVpn
- •3.3.3.3. Пакет vTun
- •3.3.3.4. Обзор протокола ipSec
- •3.4. Системы обнаружения атак (ids)
- •Вопросы для самоконтроля
- •394026 Воронеж, Московский просп., 14
2.2. Основные концепции управления рисками информационной безопасности
Управление рисками ИБ – это бизнес-задача, инициируемая руководством организации в силу своей информированности и степени осознания проблем ИБ. Смысл этой задачи заключается в защите предприятия от реально существующих угроз ИБ. По степени осознания прослеживаются несколько уровней зрелости организаций, которые в определенной степени соотносятся с уровнями зрелости, определяемыми в COBIT и других стандартах.
На начальном уровне осознание как таковое отсутствует, в организации предпринимаются фрагментарные меры по обеспечению ИБ, инициируемые и реализуемые ИТ специалистами под свою ответственность.
На втором уровне в организации определена ответственность за ИБ, делаются попытки применения интегрированных решений с централизованным управлением и внедрения отдельных процессов управления ИБ.
Третий уровень характеризуется применением процессного подхода к управлению ИБ, описанного в стандартах. Система управления ИБ становится настолько значимой для организации, что рассматривается как необходимый составной элемент системы управления организацией. Однако полноценной системы управления ИБ еще не существует, т.к. отсутствует базовый элемент этой системы – процессы управления рисками.
Процессная модель управления рисками. Британский стандарт BS 7799-3 определяет процессы оценки и управления рисками как составной элемент системы управления организации, используя ту же процессную модель, что и другие стандарты управления, которая включает в себя четыре группы процессов: планирование, реализация, проверка, действия (ПРПД), которые отражают стандартный процессуальный цикл любого управления. В то время как ISO 27001 описывает общий непрерывный цикл управления безопасностью, в BS 7799-3 содержится его проекция на процессы управления рисками ИБ.
В системе управления рисками ИБ на этапе планирования определяются политика и методология, а также выполняется оценка рисков, включающая в себя инвентаризацию активов, составление профилей угроз и уязвимостей, оценку эффективности контрмер и потенциального ущерба, определение допустимого уровня остаточных рисков.
На этапе реализации производится обработка рисков и внедрение механизмов контроля, предназначенных для их минимизации. Руководством организации принимается одно из четырех решений по каждому идентифицированному риску: проигнорировать, избежать, передать внешней стороне или минимизировать. После этого разрабатывается и внедряется план обработки рисков.
На процессе проверки отслеживается функционирование механизмов контроля, проверяются изменения факторов риска (активов, угроз, уязвимостей), проводятся аудиты и выполняются различные дополнительные процедуры.
На стадии действия по результатам непрерывного мониторинга и проводимых проверок выполняется необходимая коррекция, которая может включать в себя, в частности, переоценку величины рисков, частичное изменение политики и методологии управления рисками, а также плана их обработки [14].
2.2.1. Концепция управления рисками octave
Существует достаточное количество хорошо себя зарекомендовавших и широко используемых методов оценки и управления рисками. Одним из таких методов является OCTAVE, разработанный в университете Карнеги-Мелон для внутреннего применения в организации. OCTAVE – Оценка критичных угроз, активов и уязвимостей (Operationally Critical Threat, Asset, and Vulnerability Evaluation) имеет ряд модификаций, рассчитанных на организации разного размера и области деятельности. Сущность этого метода заключается в том, что для оценки рисков используется последовательность соответствующим образом организованных внутренних семинаров. Оценка рисков осуществляется в три этапа, которым предшествует набор подготовительных мероприятий, включающих в себя согласования графика семинаров, назначения ролей, планирование, координация действий участников проектной группы.
Для принятия сбалансированного решения по обработке рисков, сотрудник, занимающийся этим вопросом, должен иметь всеобъемлющую информацию о проблеме
На первом этапе, в ходе практических семинаров, осуществляется разработка профилей угроз, включающих в себя инвентаризацию и оценку ценности активов, идентификация применимых требований законодательства и нормативной базы, осмысление угроз и оценку их вероятности, а также определение системы организационных мер по поддержанию режима ИБ.
Затем производится технический анализ уязвимостей информационных систем организации в отношении угроз, профили которых были разработаны на предыдущем этапе. Он включает в себя идентификацию имеющихся уязвимостей информационных систем организации и оценку их величины.
На третьей стадии производится оценка и обработка рисков ИБ. Здесь производится определение величины и вероятности причинения ущерба в результате осуществления угроз безопасности с использованием уязвимостей, которые были идентифицированы на предыдущих этапах, определение стратегии защиты, а также выбор вариантов и принятие решений по обработке рисков. Величина риска определяется как усредненная величина годовых потерь организации в результате реализации угроз безопасности [25].