Книжная полка Сохранить
Размер шрифта:
А
А
А
|  Шрифт:
Arial
Times
|  Интервал:
Стандартный
Средний
Большой
|  Цвет сайта:
Ц
Ц
Ц
Ц
Ц

Управление информационной безопасностью. Ч. 1. Анализ информационных рисков

Покупка
Основная коллекция
Артикул: 619323.01.99
Пособие знакомит студентов с основными особенностями анализа и управления информационными рисками как базового уровня моделей и методов управления информационной безопасностью. Рассматриваются методы количественного и качественного измерения показателей, характеризующих информационный риск, приводятся базовые и новые модели риска, дается обзор основных методик и инструментальных средств управления риском. Приведены необходимые справочные данные.
Золотарев, В. В. Управление информационной безопасностью. Ч. 1: Анализ информационных рисков : учебное пособие / В. В. Золотарев, Е. А. Данилова. - Красноярск : Сиб. гос. аэрокосмич. ун-т, 2010. - 144 с. - Текст : электронный. - URL: https://znanium.com/catalog/product/463037 (дата обращения: 28.03.2024). – Режим доступа: по подписке.
Фрагмент текстового слоя документа размещен для индексирующих роботов. Для полноценной работы с документом, пожалуйста, перейдите в ридер.
СИБИРСКИЙ ГОСУДАРСТВЕННЫЙ 
АЭРОКОСМИЧЕСКИЙ УНИВЕРСИТЕТ 

ИМЕНИ АКАДЕМИКА М. Ф. РЕШЕТНЕВА

В. В. З о л о т а р е в  
Е. А. Д а н и л о в а

УПРАВЛЕНИЕ ИНФОРМАЦИОННОЙ 
БЕЗОПАСНОСТЬЮ

В / ЧАСТЯХ 

Часть 1

АНАЛИЗ ИНФОРМАЦИОННЫХ РИСКОВ

К р а с н о я р с к
2 0 1 0

Министерство образования и науки Российской Федерации 
Сибирский государственный аэрокосмический университет 
имени академика М. Ф. Решетнева

В. В. Золотарев 
Е. А. Данилова

УПРАВЛЕНИЕ ИНФОРМАЦИОННОЙ 
БЕЗОПАСНОСТЬЮ

В 3 частях 
Часть 1

АНАЛИЗ ИНФОРМАЦИОННЫХ РИСКОВ

Утверждено редакционно-издательским советом университета 
в качестве учебного пособия для студентов, обучающихся 
по специальностям «Комплексное обеспечение информационной 
безопасности автоматизированных систем», «Информационная 
безопасность телекоммуникационных систем», а также 
по магистерским программам направления «Информатика 
и вычислительная техника»

К р асн о яр ск  2010

УДК 004.056(075.8) 
ББК 32.973.26-018.2я7 
380

Рецензенты:
кандидат технических наук, доцент С . В. К а п у с т и н а  
(Сибирский федеральный университет); 
кандидат технических наук, доцент М. Н. Ж у к о в а  
(Сибирский государственный аэрокосмический университет 
имени академика М. Ф. Решетнева)

Золотарев, В. В.
380 
Управление информационной безопасностью : учеб. пособие : 
в 3 ч. Ч. 1. Анализ информационных рисков / В. В. Золотарев, Е. А. Данилова ; Сиб. гос. аэрокосмич. ун-т. -  Красноярск, 2010.- 144 с.

Пособие знакомит студентов с основными особенностями анализа и управления информационными рисками как базового уровня моделей и методов управления информационной безопасностью. Рассматриваются методы количественного и качественного измерения показателей, характеризующих информационный 
риск, приводятся базовые и новые модели риска, дается обзор основных методик 
и инструментальных средств управления риском. Приведены необходимые справочные данные.
Предназначено для студентов, обучающихся по специальностям 090105 «Комплексное обеспечение информационной безопасности автоматизированных систем», 090106 «Информационная безопасность телекоммуникационных систем» 
всех форм обучения, а также по направлению 230000 «Информатика и вычислительная техника» в рамках специализированных магистерских программ.
Учебное пособие издано в рамках ФЦП «Научные и научно-педагогические кадры инновационной России» на 2009-2013 гг.

УДК 004.056(075.8) 
ББК 32.973.26-018.2я7

©  Сибирский государственный аэрокосмический 
университет имени академика М. Ф. Решетнева, 2010 
© Золотарев В. В., Данилова Е. Л., 2010

О г л а в л е н и е

От авторов.................................................................................................................. 5

Предисловие..............................................................................................................  7

Глава 1. Основы анализа информационных рисков................................... 9
1.1. Понятие информационного риска........................................................... 9
1.2. Информационные риски и защита информации...................................12
1.3. Постановка задачи анализа информационных рисков........................16
1.4. Условия и о!раничения при анализе
информационного риска............................................................................20
1.5. Этапы оценки рисков.................................................................................. 23
1.6. Процесс анализа информационных рисков...........................................25
1.7. Качественная и количественная оценка
информационных рисков...........................................................................26
1.8. Анализ рисков в управлении информационной 
безопасностью.............................................................................................. 28
Контрольные вопросы и задания..................................................................... 31

Глава 2. Алгоритмы и методики анализа
информационных рисков................................... 
 
32
2.1. Анализ информационных рисков в структуре
оценки систем защиты информации.......................................................32
2.2. Модель процедуры экспертной оценки..................................................33
2.3. Обобщение подходов к экспертным оценкам
(базовые схемы)...........................................................................................37
2.4. Методика анализа угроз информационной
безопасности................................................................................................. 41
2.5. Анализ факторов информационного риска...........................................47
2.6. Алгоритмизация формирования автоматизированных
средств анализа информационных рисков............................................ 54
Контрольные вопросы и задания..................................................................... 59

Глава 3. Практически значимые подходы и инструментальные 
средства анализа информационных рисков...................................................60
3.1. Способы и средства анализа информационных рисков..................... 60
3.2. Методики анализа информационного риска
(практический аспект)...............................................................................63
3.3. Практическая реализация методов анализа рисков.............................75
3.4. Сравнение инструментальных средств
анализа риска................................................................................................ 87
Контрольные задания.........................................................................................90

3

Глава 4. Согласование базовых нормативных документов
при анализе информационных рисков.........................................................  91
4.1. Классификация электронных документов.......................................... 91
4.2. Методы автоматической классификации
текстовых электронных документов....................................................  92
4.3. Формулировка задачи и критериев классификации 
нормативных документов........................................................................ 93
4.4. Представление структуры нормативных документов...................... 95
4.5. Алгоритм автоматической классификации
нормативных документов в области защиты информации 
 
97
4.6. Управление информационными рисками
несоответствия требованиям нормативных документов.................. 100
Контрольные вопросы и задания...................................................................106

Заключение..............................................................................................................107

Библиографический список..............................................................................108

Библиографические ссылки..............................................................................110

Приложения.............................................................................................................115

От АВТОРОВ

Управление информационной безопасностью -  комплексный и достаточно сложный процесс, описание которого требует соблюдения принципа системности в изложении, но при этом необходимо выдержать и должный уровень декомпозиции. В настоящее время данный процесс принято 
рассматривать с точки зрения двух подходов:
-  подхода к управлению информационной безопасностью на основе 
технической и программно-технической систем обеспечения информационной безопасности со средствами реагирования на инциденты, выявления 
аномальног о поведения пользователей и элементов системы, обнаружения 
и предо твращения атак. Такой подход называется подходом «снизу вверх» 
и содержит, как правило, движение от базовых механизмов безопасности 
до требуемой функциональности исследуемой (защищаемой) системы и затем до общего функционала информационной системы организации;
-  подхода к управлению информационной безопасностью на основе 
анализа информационных рисков, подразумевающего оценку и анализ эффективности сочетаний, комплексов механизмов безопасности, связь этих 
механизмов с потерями (финансовыми, временными, техническими и другими), увязку действий в области информационной безопасности с общими 
целями и действиями руководства организации. Такой подход, называемый подходом «сверху вниз», подразумевает полное и многоуровневое 
моделирование, использование формальных методов и инструментальных 
средств оценки информационного риска.
На сегодняшний день эти подходы считаются равноправными, хотя 
второй подход имеет очевидное преимущество в плане системности и разумного сочетания управляющих воздействий на уровне организации 
с работой технических и программно-технических средств защиты информации.
В последнее десятилетие теоретические и практические подходы 
к управлению информационной безопасностью начали активно изучаться 
отечественными учеными, например в Институте системного анализа Российской академии наук, Московском инженерно-физическом институте 
(Национальном исследовательском ядерном университете), Южном федеральном университете, Томском государственном университете связи, 
управления и радиоэлектроники и др., однако основные практические руководства и теоретические издания в этой области были опубликованы 
за рубежом [66; 69; 72-75]. Это объясняется разрывом в исследовании вопросов информационной безопасности между США и Великобританией 
(с 1970-х гг.) и Россией (с 1997-2000 гг.), несовершенством стандартов 
и нормативной базы, выбором в качестве основной области деятельности 
отечественных ученых анализа технологического риска и предотвращения 
катастроф, в которой достигнуты выдающиеся результаты (см., например, 
работы [11; 33; 44 и др.]).

5

В данном издании, состоящем из трех частей, показаны и проанализированы оба подхода к управлению информационной безопасностью:
-  в первой части подробно рассматриваются методические и инструментальные средства анализа и управления информационными рисками, 
приводятся справочные сведения и подходы к сравнению различных способов анализа информационного риска;
-  во второй части внимание акцентируется на подходе «снизу 
вверх», рассмотрены методы и средства управления инцидентами информационной безопасности, начиная от организационных моментов и заканчивая применением интеллектуальных технологий в области анализа аномалий и обнаружения атак;
-  третья часть содержит базовый материал по методам и моделям 
обеспечения информационной безопасности, полезный как с теоретической, так и с методической точки для разработки собственной системы 
управления информационной безопасностью организации.
Авторы, сознавая недостаток специализированной литературы в данном направлении, надеются своим изданием дополнить ресурсы, доступные теоретикам и практикующим аналитикам в области информационной безопасности, как собственными разработками, так и систематизацией известных материалов. Кроме того, это издание может быть использовано студентами специальностей группы 090000 «Информационная безопасность» и магистрантами направлений 230100 «Информатика 
и вычислительная техника», 230200 «Информационные системы» и другим по программам подготовки, связанным с безопасностью и защитой 
информации.

П р е д и с л о в и е

Анализ и управление информационными рисками -  один из базовых 
процессов, от которых зависит эффективность обеспечения информационной 
безопасности. При организации системы, включающей не только технические, 
но и организационно-правовые, программные и другие меры, именно анализ 
рисков в его приложениях к задачам защиты информации определяет качество, 
эффективность функционирования, критерии выбора и оптимизации комплекса средств и методов обеспечения информационной безопасности.
Управление информационными рисками любой организации предполагает следующие элементы:
-  определение основных целей и задач защиты информационных активов организации;
-  создание эффективной системы оценки и управления информационными рисками;
-  расчет совокупности детализированных не только качественных, 
но и количественных оценок рисков, адекватных заявленным целям бизнеса;
-  применение специального инструментария оценки и управления 
рисками.
Важным моментом в описании задач анализа информационного риска 
является связь между обоснованием затрат на информационную безопасность, бизнес-процессами и бизнес-целями организации и непосредственными действиями специализирующихся на защите информации структур и систем. Заложенная в понятии информационного риска и реализованная в процессе управления и анализа информационных рисков, эта связь позволяет соединить цели и методы руководства организации и всех ее структур в области 
обеспечения информационной безопасности.
В данном учебном пособии рассмотрены проблемы анализа информационных рисков и управления рисками для различных типов систем. Подходы, 
методы и методики, представленные в нем, максимально универсальны и могут служить основой для разработки и сравнительного анализа собственных 
подходов и средств. При описании элементов процесса управления информационными рисками используются элементы отечественной и зарубежной нормативной базы по анализу информационных рисков и управления информационной безопасностью.
Пособие соответствует Государственному образовательному стандарту 
подготовки специалистов по специальностям 090105 «Комплексное обеспечение 
информационной безопасности автоматизированных систем», 090106 «Информационная безопасность телекоммуникационных систем», 230100 «Информатика и вычислительная техника» (в рамках магистерской программы «Безопасность и защита информации»), 230200 «Информационные системы» (в рамках 
магистерской программы «Безопасность информационных систем») всех форм 
обучения.
Оно предназначено для оказания помощи студентам в изучении курса 
«Анализ информационных рисков», задачей которого является подготовка бу7

дущих специалистов к проведению оценки информационных рисков для организаций различного типа, участию в теоретических исследованиях и разработке 
собственных методик и алгоритмов, инструментальных средств в области анализа информационных рисков. Полученные ими знания и практические навыки 
могут быть использованы при подготовке к занятиям по предметам специализации, лабораторным работам и итоговому контролю, а также к вступительным 
экзаменам и текущему контролю в период обучения по магистерским программам, написании научных работ и дальнейшей профессиональной деятельности.
В пособии описываются и сравниваются основные моменты процедур 
анализа информационных рисков (гл. 1): понятие информационного риска 
и основы постановки задач анализа риска, качественный и количественный 
анализ риска, место анализа риска в обеспечении информационной безопасности; методики и схемы, в том числе вопросы автоматизации анализа риска, 
создания опросных листов, экспертной оценки и анализа факторов риска (гл. 2); 
практические приложения (Digital Security Office, COBRA, RiskWatch, Авангард, Callio Secura, CORA) (гл. 3); рассматриваются дополнительные возможности методов согласования требований нормативных документов при 
оценке риска (гл. 4). Представлены конкретные средства анализа информационных рисков, вопросы согласования стандартов и нормативных актов при 
формировании базиса анализа информационных рисков и методики анализа 
рисков, которые были получены авторами и их коллегами в рамках работы 
проектной группы по исследованию информационных рисков, организованной 
при институте информатики и телекоммуникаций Сибирского государственного аэрокосмического университета имени академика М. Ф. Решетнева.
В каждой главе курсивом выделены основные положения, которые необходимо изучить, и даны контрольные вопросы и задания. В конце пособия приведены рекомендательный библиографический список, библиографические ссылки на использованные источники, а также приложения, в которых представлены 
словарь терминов, основные положения ГОСТ Р ИСО/МЭК 17799 «Информационная технология. Практические правила управления информационной безопасностью», примеры опросного листа и модели нарушителя.
Пособие не является курсом лекций, поэтому более полную информацию можно получить, используя литературу из рекомендательного библиографического списка и лекционный материал. Кроме того, издание не содержит сведений, относящихся к закрытым методикам оценки защищенности автоматизированных систем по руководящей документации (РД) Гостехкомис- 
сии России.
Авторы выражают благодарность Т. Чалкину, А. Хохоля, Н. Кашовар, 
К. Ткаченко, Н. Федоровой, Т. Малковой, Н. Заблоцкой, Н. Менынагиной, 
А. Золотареву, А. Селезинке. II. Гаврилснко и Е. Федоровой, в разное время 
принимавшим участие в работе проектной группы по исследованию информационных рисков, за помощь в подготовке пособия и подборе материала.
Учебное пособие издается в рамках ФЦП «Научные и научно-педагогические кадры инновационной России» на 2009-2013 гг.

Гпава 1

ОСНОВЫ АНАЛИЗА ИНФОРМАЦИОННЫХ РИСКОВ

Понятие информационного риска. -  Информационные риски 
и защита информации. -  Постановка задачи анализа 
информационных рисков. -  Условия и ограничения при анализе 
информационного риска. -  Этапы оценки риска. -  Процесс анализа 
информационных рисков. -  Качественная и количественная 
оценка информационных рисков. - Анализ рисков в управлении 
информационной безопасностью.

1.1. П о н я т и е  и н ф о р м а ц и о н н о г о  р и с к а

Начнем рассмотрение комплексной проблемы управления информационной безопасностью (ИЬ) с задач анализа информационных рисков.
В работах математиков XVII -  начала XX в. риск понимался как неопределенность, связанная с вероятностью благоприятного или неблагоприятного исхода, причем к негативным последствиям риска интерес 
по понятным причинам был намного выше. Большинство из этих работ основывалось на понятии риска и связанных с ним характеристиках системы. 
В разное время риск изучался как аспект игры (например, Б. Паскалем 
и X. Гюйгенсом) или как элемент задачи оценки в страховании (например, 
у Д. Бернулли). Были введены функции полезности, как количественно 
(в работах Д. Бернулли, Г. Госсена и позднее Дж. фон Неймана и О. Мор- 
генштерна), так и качественно (например, в работах В. Парето) описывавшие 
выбор определенного решения. Более того, риск сам по себе начал отделяться от понятия случайного события, поскольку являлся оценочной величиной, 
указывающей на возможные потери (начиная с работ Ф. Найта и др.). Понятие риска и сейчас задействовано в различных областях знания, причем 
уже наблюдаются тенденции как к интеграции и обобщению этого понятия, так и к его различным трактовкам в разных ситуациях.
Таким образом, прежде чем перейти к стандартизированным определениям риска, разберемся в сущности данного понятия и его необходимости для решения задачи обеспечения информационной безопасности.
Вероятно, основным определением и сущностью понятия риска, как 
и ранее, остается следующее: риск -  это сочетание вероятности и последствий наступления события. Такое определение в разных вариациях и уточнениях предлагается в различных работах: в [15; 31; 52 и др.] -  для экономического риска, в [43; 46; 53 и др.] -  для технических рисков, в [13; 73; 74 и др.] -  
для информационного риска. Для более полного понимания системы терминов и определений, используемых в данном учебном пособии, рекомендуем использовать прил. 1.

9

Вместе с тем в области информационного риска наблюдается 
стандартный подход к его определению, который связывает в единую 
величину три составляющих: вероятность существования уязвимости, 
вероятность угрозы безопасности и вероятность негативного воздействия [5; 7; 66; 69; 74 и др.]. Очевидно, что в этом случае происходит 
уточнение (декомпозиция) первого компонента риска -  вероятности 
осуществления негативного события. Эта декомпозиция может быть 
более детальной (например, как в работе [34]) или сводимой к простому вычислению вероятности из известного закона распределения случайной величины (например, в [44]).
Для того чтобы оценить вероятность возникновения ситуаций, угрожающих обследуемой информационной системе (ИС), можно использовать количественную или качественную оценку возможных рисков. 
Количественная оценка риска определяется либо аналитически (и для 
ее точного расчета требуется большой объем исходных данных, что вызывает скептическое отношение к таким оценкам ряда специалистов 
по анализу риска, ориентированных на практические задачи [13; 42 и др.]), 
либо графически, с построением в заданном пространстве зависимости 
потерь от вероятности реализации угроз. К сожалению, ввиду того что 
прогнозирование отдельных параметров с приемлемой точностью является трудоемкой задачей, получить их точную количественную оценку 
сложно.
В то же время для пользователя неважно, каким образом -  количественно или качественно -  определена оценка рисков, так как при правильном выставлении границ легко перейти от качественного подсчета вероятности рисков к количественному, а следовательно пользователь может рассчитать оптимальное соотношение вероятных потерь и затрат на организацию системы защиты информации. Как применяется данное понятие в реальных задачах, рассмотрим на примере.

Пример 1.1. Понятие информационного риска.
Г рафик зависимости вероятности реализации угроз от размера ущерба (рис. 1.1) получен в результате анализа статистических данных крупного производителя средств связи по регистрируемым случаям угроз.
На этом графике представлены зоны, где потери наиболее вероятны. 
Буквенными обозначениями показаны следующие границы: Ра -  1раница, 
показывающая максимальную вероятность реализации угроз, которые возникают в результате функционирования исследуемой системы; Рс -  граница, определяющая средний уровень угроз; Рм -  граница зоны верхнего предела маловероятных угроз; Рц -  (ранина, характеризующая верхний предел 
области, где у1розы практически не реализуются; Р0 -  граница верхнего 
предела области, где угрозы вообще отсутствуют; Ов -  граница наибольших потерь; Dc -  граница, показывающая средний уровень потерь; £)н -  
граница зоны, где потери наиболее маловероятны.

10

Анализ графика позволяет сделать вывод, что наибольшую угрозу 
в настоящий момент представляют потери, находящиеся в зоне £>н~ Dc> 
гак как количество вероятных угроз, которые вызывают наиболее высокие потери, как правило, невелико и данные направления уже обеспечены 
разнообразными средствами защиты информации, а устанавливать средства защиты в зоне £>o-DH нецелесообразно, поскольку здесь нарушен 
принцип адекватности, т. е. возможные потери намного ниже стоимости 
систем защиты.

Р

Рис. 1.1. График зависимости потерь от вероятности реализации угроз

Таким образом, потери и вероятность их осуществления определяют 
тактику обеспечения информационной безопасности: они формируют область так называемых актуальных угроз безопасности.

Итак, ключевыми для определения понятия риска являются способ 
измерения показателей, используемых как компоненты риска, собранная 
статистика (или информация об объекте исследования) и способ перехода 
от количественных показателей к качественным. Понятие информационного риска дополняется уточняющими элементами тогда, когда это необходимо и возможно. В некоторых случаях из-за высокой начальной неопределенности решаемой задачи или по другой причине единственная возможность заключена в использовании только математического ожидания 
потерь как меры риска, тогда как в других случаях, используя дополнительные данные, можно провести декомпозицию как показателя вероятности негативного события, так и показателя, характеризующего возможные потери.

11