Материал: Информационная компьютерная безопасность

Методика CRAMM

Это одна из первых методик анализа рисков в сфере ИБ - работа над ней была начата в середине 80-х гг. центральным агентством по компьютерам и телекоммуникациям (CCTA) Великобритании.

В основе метода CRAMM лежит комплексный подход к оценке рисков, сочетающий количественные и качественные методы анализа. Метод является универсальным и подходит как для крупных, так и для малых организаций, как правительственного, так и коммерческого сектора. Версии программного обеспечения CRAMM, ориентированные на разные типы организаций, отличаются друг от друга своими базами знаний (profiles). Для коммерческих организаций имеется Коммерческий профиль (Commercial Profile), для правительственных организаций - Правительственный профиль (Government profile). Правительственный вариант профиля, также позволяет проводить аудит на соответствие требованиям американского стандарта ITSEC ("Оранжевая книга").

Исследование ИБ системы с помощью СRAMM проводится в три стадии.

На первой стадии анализируется все, что касается идентификации и определения ценности ресурсов системы. Она начинается с решения задачи определения границ исследуемой системы: собираются сведения о конфигурации системы и о том, кто отвечает за физические и программные ресурсы, кто входит в число пользователей системы, как они ее применяют или будут применять.

Проводится идентификация ресурсов: физических, программных и информационных, содержащихся внутри границ системы. Каждый ресурс необходимо отнести к одному из предопределенных классов. Затем строится модель информационной системы с позиции ИБ. Для каждого информационного процесса, имеющего, по мнению пользователя, самостоятельное значение и называемого пользовательским сервисом, строится дерево связей используемых ресурсов. Построенная модель позволяет выделить критичные элементы.

Ценность физических ресурсов в CRAMM определяется стоимостью их восстановления в случае разрушения.

Ценность данных и программного обеспечения определяется в следующих ситуациях:

·              недоступность ресурса в течение определенного периода времени;

·              разрушение ресурса - потеря информации, полученной со времени последнего резервного копирования, или ее полное разрушение;

·              нарушение конфиденциальности в случаях несанкционированного доступа штатных сотрудников или посторонних лиц;

·              модификация - рассматривается для случаев мелких ошибок персонала (ошибки ввода), программных ошибок, преднамеренных ошибок;

·              ошибки, связанные с передачей информации: отказ от доставки, недоставка информации, доставка по неверному адресу.

Для оценки возможного ущерба CRAMM рекомендует использовать следующие параметры:

·              ущерб репутации организации;

·              нарушение действующего законодательства;

·              ущерб для здоровья персонала;

·              ущерб, связанный с разглашением персональных данных отдельных лиц;

·              финансовые потери от разглашения информации;

·              финансовые потери, связанные с восстановлением ресурсов;

·              потери, связанные с невозможностью выполнения обязательств;

·              дезорганизация деятельности.

Для данных и программного обеспечения выбираются применимые к данной ИС критерии, дается оценка ущерба по шкале со значениями от 1 до 10.

В описаниях CRAMM в качестве примера приводится такая шкала оценки по критерию "Финансовые потери, связанные с восстановлением ресурсов":

·              2 балла - менее $1000;

·              6 баллов - от $1000 до $10 000;

·              8 баллов - от $10 000 до $100 000;

·              10 баллов - свыше $100 000.

При низкой оценке по всем используемым критериям (3 балла и ниже) считается, что рассматриваемая система требует базового уровня защиты (для этого уровня не требуется подробной оценки угроз ИБ) и вторая стадия исследования пропускается.

На второй стадии рассматривается все, что относится к идентификации и оценке уровней угроз для групп ресурсов и их уязвимостей. В конце стадии заказчик получает идентифицированные и оцененные уровни рисков для своей системы. На этой стадии оцениваются зависимость пользовательских сервисов от определенных групп ресурсов и существующий уровень угроз и уязвимостей, вычисляются уровни рисков и анализируются результаты.

Ресурсы группируются по типам угроз и уязвимостей. Например, в случае существования угрозы пожара или кражи в качестве группы ресурсов разумно рассмотреть все ресурсы, находящиеся в одном месте (серверный зал, комната средств связи и т.д.). Оценка уровней угроз и уязвимостей производится на основе исследования косвенных факторов.

Программное обеспечение CRAMM для каждой группы ресурсов и каждого из 36 типов угроз генерирует список вопросов, допускающих однозначный ответ. Уровень угроз оценивается, в зависимости от ответов, как очень высокий, высокий, средний, низкий и очень низкий. Уровень уязвимости оценивается, в зависимости от ответов, как высокий, средний и низкий.

На основе этой информации рассчитываются уровни рисков в дискретной шкале с градациями от 1 до 7. Полученные уровни угроз, уязвимостей и рисков анализируются и согласовываются с заказчиком.

Исходя из оценок стоимости ресурсов защищаемой ИС, оценок угроз и уязвимостей, определяются "ожидаемые годовые потери

Значения ожидаемых годовых потерь (англ. Annual Loss of Expectancy) переводятся в CRAMM в баллы, показывающие уровень риска, согласно шкале, представленной на рис.4 (в этом примере размер потерь приводится в фунтах стерлингов).

Рис. 4. Шкала оценки уровня рисков

В соответствии с приведенной ниже матрицей, выводится оценка риска (рис.5)

Рис. 5. Матрица оценки риска

Третья стадия исследования заключается в поиске адекватных контрмер. По существу, это поиск варианта системы безопасности, наилучшим образом удовлетворяющей требованиям заказчика.

На этой стадии CRAMM генерирует несколько вариантов мер противодействия, адекватных выявленным рискам и их уровням. Контрмеры можно объединить в три категории: около 300 рекомендаций общего плана; более 1000 конкретных рекомендаций; около 900 примеров того, как можно организовать защиту в данной ситуации.

Таким образом, CRAMM - пример методики расчета, при которой первоначальные оценки даются на качественном уровне, и потом производится переход к количественной оценке (в баллах).

Методика OCTAVE.(Operationally Critical Threat, Asset, and Vulnerability Evaluation) - методика поведения оценки рисков в организации, разрабатываемая институтом Software Engineering Institute (SEI) при университете Карнеги Меллон (Carnegie Mellon University).

Особенность данной методики заключается в том, что весь процесс анализа производится силами сотрудников организации, без привлечения внешних консультантов. Для этого создается смешанная группа, включающая как технических специалистов, так и руководителей разного уровня, что позволяет всесторонне оценить последствия для бизнеса возможных инцидентов в области безопасности и разработать контрмеры.предполагает три фазы анализа:

1.      разработка профиля угроз, связанных с активом;

2.      идентификация инфраструктурных уязвимостей;

.        разработка стратегии и планов безопасности.

Профиль угрозы включает в себя указания на актив (asset), тип доступа к активу (access), источник угрозы (actor), тип нарушения или мотив (motive), результат (outcome) и ссылки на описания угрозы в общедоступных каталогах. По типу источника, угрозы в OCTAVE делятся на:

1.      угрозы, исходящие от человека-нарушителя, действующего через сеть передачи данных;

2.      угрозы, исходящие от человека-нарушителя, использующего физический доступ;

.        угрозы, связанные со сбоями в работе системы;

.        прочие.

Результат может быть раскрытие (disclosure), изменение (modification), потеря или разрушение (loss/destruction) информационного ресурса или разрыв подключения. Отказ в обслуживании (interruption).

Методика OCTAVE предлагает при описании профиля использовать "деревья вариантов", пример подобного дерева для угроз класса 1) приведен на рис.  <#"896547.files/image006.gif"> <#"896547.files/image007.jpg">

Рисунок 6 - Схема подписанного сообщения

Поле «Текст», показанное на данном рисунке и дополняющее поле «Цифровая подпись», может, например, содержать идентификаторы субъекта, подписавшего сообщение, и/или метку времени. Установленная в настоящем стандарте схема цифровой подписи должна быть реализована с использованием операций группы точек эллиптической кривой, определённой над конечным простым полем, а также хэш-функции. Криптографическая стойкость данной схемы цифровой подписи основывается на сложности решения задачи дискретного логарифмирования в группе точек эллиптической кривой, а также на стойкости используемой хэш-функции. Алгоритмы вычисления хэш-функции установлены в ГОСТ Р 34.11-2012. ГОСТ Р 34.10-2012. В настоящем стандарте предусмотрена возможность выбора одного из двух вариантов требований к параметрам. Настоящий стандарт не определяет процесс генерации параметров схемы цифровой подписи. Конкретный алгоритм (способ) реализации данного процесса определяется субъектами схемы цифровой подписи исходя из требований к аппаратно-программным средствам, реализующим электронный документооборот. Цифровая подпись, представленная в виде двоичного вектора длиной 512 или 1024 бита, должна вычисляться с помощью определенного набора правил. Набор правил, позволяющих принять либо отвергнуть цифровую подпись под полученным сообщением.

Заключение

За двадцать лет существования стандартов информационной безопасности в результате естественного отбора остались только основополагающие, которые до сих пор претерпевают постоянные изменения. Рынок ИБ России только начинает оправляться от «влияния гостайны», и в области стандартизации - это особенно заметно.

В России исторически все началось в начале 90-х годов с написания своих оригинальных стандартов в области ИБ, ориентированных, прежде всего на защиту гостайны. Эта российская особенность стандартизации являлась серьезным недостатком для бизнеса, так как подходы к защите гостайны и бизнес информации кардинально отличаются.

Основные недостатки такого подхода для бизнеса (а, скорее, полная его неприменимость) состояли в том, что в российских стандартах не учитывались такие важные угрозы бизнеса как доступность, не применялся подход к построению системы защиты на основе анализа рисков, отсутствовало само понятие и принципы функционирования системы управления ИБ.

При этом важно отметить, что данные стандарты изначально и не предназначались для бизнеса. Просто на момент их создания не было понимания, что, во-первых, они нужны российскому бизнес сообществу, а, во-вторых, как именно должен выглядеть бизнес ориентированный стандарт; а других стандартов в РФ не было. В отличие же от российских, известные нам западные стандарты, были, прежде всего, ориентированы на защиту бизнес информации, поэтому широко применялись на практике западным бизнес сообществом.

Исторически в РФ область информационной безопасности регулировалась государственными регуляторами и спецслужбами. С течением времени стало очевидно, что проблема ИБ - это не только проблема государственных органов, но и бизнеса, который в государстве с рыночной экономикой играет важнейшую роль. Это привело к тому, что последние годы государством взят курс как на либерализацию рынка ИБ, так и на использование лучших бизнес ориентированных западных стандартов.

В любом случае принятие и, что крайне важно, - использование на практике лучших западных стандартов (особенно ISO 27001/17799) благотворно скажется на защищенности как государственных объектов, так и бизнеса, так как сегодня вопрос обеспечения безопасности бизнеса часто становятся вопросом обеспечения безопасности государства. Например, отток вкладчиков какого-либо крупного банка, вызванный информацией об успешной хакерской атаке, может привести к цепной реакции и временными проблемами для платежной системы всей страны.

Этот процесс должен привести как к повышению общего профессионального уровня в РФ в области обеспечения ИБ, так и к повышению уровня защищенности и управляемости информационных систем государственных и бизнес структур, что не может не радовать.

безопасность компьютерный стандартизация программа

Список литературы и источников

1.      Шаньгин В. Ф. «Информационная безопасность и защита информации» -  М.: ДМК Пресс, 2014. - 702 с.: ил.

.        Сычев Ю.Н. «Основы информационной безопасности: учебно-методический комплекс» Ю.Н. Сычев. - М.: ЕАОИ, 2012. -342 с.

.        Голиков А.М. «Основы информационной безопасности: учебное пособие» А.М. Голиков. - Томск: Томск. гос. ун-т систем упр. и радиоэлектроники, 2007. - 288 с.

.        Чуянов А.Г., Симаков А.А. «Обеспечение информационной безопасности в компьютерных системах. Учебное пособие» Чуянов А.Г., Симаков А.А. Омская академия МВД России

.        Малюк А.А., Горбатов В.С., Королев В.И. «Введение в информационную безопасность» Учебное пособие. Горячая линия - Телеком. 2011г. Москва.

.        Парошин А.А. «Нормативно-правовые аспекты защиты информации: Учебное пособие» А.А. Парошин. Владивосток: Издательство Дальневосточный федеральный унта, 2010. 116 с.

.        http://specremont.su/ «КРИПТОГРАФИЧЕСКАЯ ЗАЩИТА ИНФОРМАЦИИ. Процессы формирования и проверки электронной цифровой подписи»

.        http://docs.cntd.ru/ «ГОСТ Р ИСО/МЭК 13335-1-2006. Информационная технология. Методы и средства обеспечения безопасности»

.        http://www.ecm-journal.ru/ «Стандарты информационной безопасности: Россия и Мир»

.        http://www.center-bereg.ru/ «Информационная безопасность в России: особенности или уникальность?»