Управление информационными рисками. Экономически оправданная безопасность

С. А. Петренко, С. В. Симонов

Управление 
информационными 
рисками

Экономически оправданная безопасность

Информационные технологии для инженеров

Москва, 2018

2-е издание (электронное)

УДК 004.056.5 
ББК 32.973.202

П30

    Управление информационными рисками. Экономически оправданная 
безопасность [Электронный ресурс] / С. А. Петренко, С. В. Симонов. — 
2-е изд. (эл.). — Электрон. текстовые дан. (1 файл pdf : 396 с.). — М. : ДМК 
Пресс, 2018. — (Информационные технологии для инженеров). — Систем. 
требования: Adobe Reader XI либо Adobe Digital Editions 4.5 ; экран 10".

ISBN 978-5-93700-058-3

В книге подробно рассмотрены возможные постановки задач анализа информационных рисков и управления ими при организации режима информационной безопасности в отечественных компаниях. Рассмотрена международная концепция
обеспечения информационной безопасности, а также различные подходы и рекомендации по решению задач анализа рисков и управления ими. Дан обзор основных стандартов в области защиты информации и управления рисками: ISO 17799,
ISO 15408, BSI, NIST, MITRE.
В настоящем издании обсуждаются инструментальные средства для анализа рисков (COBRA, CRAMM, MethodWare, RiskWatch, Авангард). Даны рекомендации по
использованию указанных средств на практике для анализа рисков информационных
систем. Показана взаимосвязь задач анализа защищенности и обнаружения вторжений с задачей управления рисками. Предложены технологии оценки эффективности обеспечения информационной безопасности в отечественных компаниях.

Книга будет полезна руководителям служб автоматизации (CIO) и служб информационной безопасности (CISO), внутренним и внешним аудиторам (CISA), 
менеджерам высшего эшелона компаний, занимающимся оценкой информационных рисков компании и их управлением, а также студентам и аспирантам соответствующих технических специальностей.

© ДМК Пресс, 2004
ISBN 978-5-93700-058-3

П30

УДК 004.056.5 
ББК 32.973.202

Петренко, Сергей Анатольевич.

Деривативное электронное издание на основе печатного издания: Управление 
информационными рисками. Экономически оправданная безопасность / 
С. А. Петренко, С. В. Симонов. — М. : ДМК Пресс, 2004. — 384 с. — ISBN 
5-94074-246-7.

В соответствии со ст. 1299 и 1301 ГК РФ при устранении ограничений, установленных техническими 
средствами защиты авторских прав, правообладатель вправе требовать от нарушителя возмещения 
убытков или выплаты компенсации.

Предисловие
Предисловие
Предисловие
Предисловие
Предисловие...........................................................................................................................10

Глава 1
Глава 1
Глава 1
Глава 1
Глава 1
Анализ рисков в области защиты информации
Анализ рисков в области защиты информации
Анализ рисков в области защиты информации
Анализ рисков в области защиты информации
Анализ рисков в области защиты информации ............................................15

1.1. Информационная безопасность бизнеса .......................................................15
1.2. Развитие службы информационной безопасности.....................................19
1.3. Международная практика защиты информации ..........................................22

1.3.1. Модель Symantec LifeCycle Security ...............................................................27

1.4. Постановка задачи анализа рисков ..................................................................30

1.4.1. Модель Gartner Group .....................................................................................30
1.4.2. Модель Carnegie Mellon University.................................................................30
1.4.3. Различные взгляды на защиту информации .................................................36

1.5. Национальные особенности защиты информации .....................................38

1.5.1. Особенности отечественных нормативных документов ..........................38
1.5.2. Учет остаточных рисков ....................................................................................40

Глава 2
Глава 2
Глава 2
Глава 2
Глава 2
Управление рисками и международные стандарты
Управление рисками и международные стандарты
Управление рисками и международные стандарты
Управление рисками и международные стандарты
Управление рисками и международные стандарты ...................................43

2.1. Международный стандарт ISO 17799 ..............................................................44

2.1.1. Обзор стандарта BS 7799...............................................................................44
2.1.2. Развитие стандарта ISO 17799 ......................................................................54

2.2. Германский стандарт BSI ........................................................................................57

2.2.1. Сравнение стандартов ISO 17799 и BSI ......................................................60

2.3. Стандарт США NIST 80030 .................................................................................60

2.3.1. Алгоритм описания информационной системы ..........................................62
2.3.2. Идентификация угроз и уязвимостей.............................................................63
2.3.3. Организация защиты информации ...............................................................65

2.4. Ведомственные и корпоративные стандарты управления ИБ.................68

2.4.1. XBSSспецификации сервисов безопасности X/Open ..............................68
2.4.2. Стандарт NASA «Безопасность информационных технологий» ............73
2.4.3. Концепция управления рисками MITRE .........................................................73

СОДЕРЖАНИЕ

Управление информационными рисками

Глава 3
Глава 3
Глава 3
Глава 3
Глава 3
Технологии анализа рисков
Технологии анализа рисков
Технологии анализа рисков
Технологии анализа рисков
Технологии анализа рисков.........................................................................................75

3.1. Вопросы анализа рисков и управления ими ...................................................75

3.1.1. Идентификация рисков .....................................................................................75
3.1.2. Оценивание рисков...........................................................................................76
3.1.3. Измерение рисков .............................................................................................78
3.1.4. Выбор допустимого уровня риска..................................................................87
3.1.5. Выбор контрмер и оценка их эффективности .............................................88

3.2. Разработка корпоративной методики анализа рисков ............................91

3.2.1. Постановка задачи............................................................................................91
3.2.2. Методы оценивания информационных рисков ...........................................93
3.2.3. Табличные методы оценки рисков..................................................................94
3.2.4. Методика анализа рисков Microsoft .............................................................98

Глава 4
Глава 4
Глава 4
Глава 4
Глава 4
Инструментальные средства анализа рисков
Инструментальные средства анализа рисков
Инструментальные средства анализа рисков
Инструментальные средства анализа рисков
Инструментальные средства анализа рисков ............................................ 101

4.1. Инструментарий базового уровня .................................................................. 101

4.1.1. Справочные и методические материалы .................................................. 102
4.1.2. COBRA ............................................................................................................... 103
4.1.3. RA Software Tool .............................................................................................. 104

4.2. Средства полного анализа рисков ................................................................. 105

4.2.1. Метод CRAMM................................................................................................. 105
4.2.2. Пример использования метода CRAMM................................................... 108
4.2.3. Средства компании MethodWare ............................................................... 117
4.2.4. Экспертная система «АванГард» ................................................................ 120
4.2.5. RiskWatch........................................................................................................... 129

Глава 5
Глава 5
Глава 5
Глава 5
Глава 5
Аудит безопасности и анализ рисков
Аудит безопасности и анализ рисков
Аудит безопасности и анализ рисков
Аудит безопасности и анализ рисков
Аудит безопасности и анализ рисков ............................................................... 135

5.1. Актуальность аудита безопасности ................................................................ 135
5.2. Основные понятия и определения ................................................................... 138
5.3. Аудит безопасности в соответствии с BS 7799, часть 2.......................... 141

5.3.1. Сертификация и аудит: организационные аспекты ................................ 141
5.3.2. Методика проведения аудита ...................................................................... 142
5.3.3. Варианты аудита безопасности .................................................................. 143
5.3.4. Организация проведения аудита................................................................ 146

5.4. Аудит информационной системы:
рекомендации COBIT 3rd Edition ..................................................................... 147
5.4.1. Этапы проведения аудита ............................................................................. 151
5.4.2. Пример аудита системы расчета зарплаты ............................................. 155

Содержание

Глава 6
Глава 6
Глава 6
Глава 6
Глава 6
Анализ защищенности информационной системы
Анализ защищенности информационной системы
Анализ защищенности информационной системы
Анализ защищенности информационной системы
Анализ защищенности информационной системы ................................. 161

6.1. Исходные данные .................................................................................................... 162

6.1.1. Анализ конфигурации средств защиты
внешнего периметра ЛВС............................................................................. 163
6.1.2. Методы тестирования системы защиты ..................................................... 164

6.2. Средства анализа защищенности ................................................................... 164

6.2.1. Спецификации Security Benchmarks............................................................ 166
6.2.2. Спецификация Windows 2000 Security Benchmark ................................. 167

6.3. Возможности сетевых сканеров........................................................................ 169

6.3.1. Сканер Symantec NetRecon .......................................................................... 171
6.3.2. Сканер NESSUS ............................................................................................... 174

6.4. Средства контроля защищенности системного уровня ......................... 177

6.4.1. Система Symantec Enterprise Security Manager ....................................... 178

6.5. Перспективы развития........................................................................................... 187

Глава 7
Глава 7
Глава 7
Глава 7
Глава 7
Обнаружение атак и управление рисками
Обнаружение атак и управление рисками
Обнаружение атак и управление рисками
Обнаружение атак и управление рисками
Обнаружение атак и управление рисками................................................... 189

7.1. Сетевые атаки........................................................................................................... 190
7.2. Обнаружение атак как метод управления рисками ................................ 192

7.2.1. Оценка серьезности сетевой атаки ........................................................... 193

7.3. Ограничения межсетевых экранов .................................................................. 194
7.4. Анализ подозрительного трафика................................................................... 195

7.4.1. Сигнатуры как основной механизм выявления атак ............................... 195
7.4.2. Анализ сетевого трафика и анализ контента .......................................... 196
7.4.3. Пример анализа подозрительного трафика............................................ 197

7.5. IDS как средство управления рисками ........................................................... 202

7.5.1. Типовая архитектура системы выявления атак ........................................ 202
7.5.2. Стандарты, определяющие правила взаимодействия между
компонентами системы выявления атак..................................................... 203
7.5.3. Форматы обмена данными........................................................................... 204
7.5.4. CVE – тезаурус уязвимостей ........................................................................ 204
7.5.5. CIDF .................................................................................................................... 205
7.5.6. Рабочая группа IDWG ................................................................................... 206

7.6. Возможности коммерческих IDS ....................................................................... 208

7.6.1. Средства защиты информации компании Symantec .............................. 208
7.6.2. Symantec Intruder Alert ................................................................................... 208
7.6.3. Пример использования Symantec IDS ........................................................ 214

7.7. Тенденции развития ................................................................................................ 216

Управление информационными рисками

Приложение 1
Приложение 1
Приложение 1
Приложение 1
Приложение 1
Исследование состояния информационной
Исследование состояния информационной
Исследование состояния информационной
Исследование состояния информационной
Исследование состояния информационной
безопасности в мире
безопасности в мире
безопасности в мире
безопасности в мире
безопасности в мире ..................................................................................................... 217

Введение .............................................................................................................................. 217
Нарушения системы ИБ................................................................................................. 219
Вовлечение высшего руководства ............................................................................ 221

Степень вовлечения высшего руководства.......................................................... 222

Формальные критерии оценки функционирования системы ИБ ................. 224

Изменение эффективности работы системы ИБ................................................. 225

Контроль и регистрация инцидентов в области ИБ ........................................... 226

Меры воздействия на нарушителей ИБ ................................................................ 227

Программа внедрения ИБ ........................................................................................... 228

Численность персонала службы ИБ ...................................................................... 228
Квалификация персонала службы ИБ ................................................................... 229
Независимость службы информационной безопасности от ИТ..................... 230

Политика в области ИБ ................................................................................................. 230

Области, охваченные политикой ИБ ..................................................................... 233

Управление ИБ.................................................................................................................. 234

Делегирование функций ИБ внешним организациям ....................................... 234
Тестируют ли компании надежность системы ИБ? ............................................. 236

Управление персоналом .............................................................................................. 237

Осведомленность в вопросах безопасности
за пределами организации ..................................................................................... 238
Кампании по повышению осведомленности в вопросах ИБ ........................... 239

Защита технологической инфраструктуры
и обеспечение непрерывности ведения бизнеса ............................................... 239

Внедрение инфраструктуры открытых ключей (PKI) ........................................... 239
Беспроводные сети .................................................................................................... 240
Защита портативных устройств .............................................................................. 241
Идентификация пользователей .............................................................................. 242
Удаленный доступ к корпоративным системам................................................... 242
Парольная защита..................................................................................................... 243
Система обнаружения вторжений (IDS)................................................................ 244
Отчетность о нарушениях ........................................................................................ 245

Содержание

Приложение 2
Приложение 2
Приложение 2
Приложение 2
Приложение 2
Международное исследование
Международное исследование
Международное исследование
Международное исследование
Международное исследование
по вопросам информационной безопасности
по вопросам информационной безопасности
по вопросам информационной безопасности
по вопросам информационной безопасности
по вопросам информационной безопасности ........................................... 247

Цифры и факты .................................................................................................................. 247
Путеводитель по исследованию ................................................................................ 247
Резюме исследования .................................................................................................... 248

Насколько вы уверены в своем предприятии ...................................................... 249

Управление безопасностью........................................................................................ 250

Результаты исследования ......................................................................................... 250
Что это может означать для вашего предприятия .............................................. 251
Что может предпринять руководство .................................................................... 252
Что можно сделать ..................................................................................................... 253

Как используется система информационной безопасности......................... 254

Результаты исследования ......................................................................................... 255
К каким последствиям для вашей компании это может привести ................... 256
Что можно сделать ..................................................................................................... 258

Доступность информационных технологий........................................................... 259

Выводы .......................................................................................................................... 259
Что это может означать для вашей компании ..................................................... 260
Что вы можете сделать .............................................................................................. 260

Что в будущем ................................................................................................................... 262

Выводы .......................................................................................................................... 262
Что это может означать для вашей компании ..................................................... 262
Что вы можете сделать .............................................................................................. 263

Что делать дальше ........................................................................................................... 264
Методология проведения исследования................................................................ 265

«Эрнст энд Янг» – решение реальных проблем .................................................. 265

Приложение 3
Приложение 3
Приложение 3
Приложение 3
Приложение 3
Основные понятия и определения управления рисками
Основные понятия и определения управления рисками
Основные понятия и определения управления рисками
Основные понятия и определения управления рисками
Основные понятия и определения управления рисками ..................... 267

Терминология и определения в публикациях на русском языке ................... 267
Терминология и определения на английском языке
(определения взяты из глоссария [334] и даются в переводе) ...................... 268

Управление информационными рисками

Приложение 4
Приложение 4
Приложение 4
Приложение 4
Приложение 4
Каталоги угроз и контрмер IT Baseline
Каталоги угроз и контрмер IT Baseline
Каталоги угроз и контрмер IT Baseline
Каталоги угроз и контрмер IT Baseline
Каталоги угроз и контрмер IT Baseline ............................................................. 273

Каталоги угроз и контрмер, используемые
в Германском стандарте IT Baseline Protection Manual ................................... 273

Каталог угроз .............................................................................................................. 273
Каталог контрмер ...................................................................................................... 281

Приложение 5
Приложение 5
Приложение 5
Приложение 5
Приложение 5
Классификация ресурсов, угроз и контрмер CRAMM
Классификация ресурсов, угроз и контрмер CRAMM
Классификация ресурсов, угроз и контрмер CRAMM
Классификация ресурсов, угроз и контрмер CRAMM
Классификация ресурсов, угроз и контрмер CRAMM........................... 299

Классификация ресурсов, угроз и контрмер
в методе CRAMM для профиля Commercial.
Классификация физических ресурсов ..................................................................... 299
Классы угроз ...................................................................................................................... 302
Классы контрмер.............................................................................................................. 303

Приложение 6
Приложение 6
Приложение 6
Приложение 6
Приложение 6
Оценка рисков экспертными методами
Оценка рисков экспертными методами
Оценка рисков экспертными методами
Оценка рисков экспертными методами
Оценка рисков экспертными методами ........................................................... 305

Оценка субъективной вероятности.......................................................................... 305

Классификация методов получения субъективной вероятности..................... 306
Методы получения субъективной вероятности ................................................... 307

Методы оценок непрерывных распределений .................................................... 308

Метод изменяющегося интервала ......................................................................... 308
Метод фиксированного интервала ....................................................................... 309
Графический метод .................................................................................................... 310
Некоторые рекомендации ....................................................................................... 310

Агрегирование субъективных вероятностей ........................................................ 311

Методы теории полезности ..................................................................................... 312
Необходимые сведения из теории полезности ................................................... 313
Применение методов теории полезности............................................................ 313
Классификация функций полезности по склонности к риску ........................... 314

Многомерные функции полезности ......................................................................... 314

Методы построения многомерных функций полезности .................................. 315
Метод анализа иерархий ........................................................................................ 322

Приложение 7
Приложение 7
Приложение 7
Приложение 7
Приложение 7
Оценка затрат (TCO) на информационную безопасность
Оценка затрат (TCO) на информационную безопасность
Оценка затрат (TCO) на информационную безопасность
Оценка затрат (TCO) на информационную безопасность
Оценка затрат (TCO) на информационную безопасность ............... 323

История вопроса ............................................................................................................. 323
Западный опыт – на вооружение.............................................................................. 325

Оценка текущего уровня ТСО ................................................................................ 327
Аудит ИБ компании .................................................................................................... 327

Содержание

Формирование целевой модели ТСО .................................................................. 328
Пример оценки затрат на ИБ ................................................................................. 328

Специфика расчета ТСО в российских условиях ............................................... 334

Примерный перечень затрат на безопасность .................................................. 336
Затраты на ИБ и уровень достигаемой защищенности ................................... 340
Доля затрат на ИБ в обороте компании .............................................................. 342
Определение объема затрат.................................................................................. 344
База измерений .......................................................................................................... 348

Анализ затрат на ИБ ...................................................................................................... 351

Отчет по затратам на безопасность .................................................................... 351
Анализ затрат ............................................................................................................. 353
Принятие решений..................................................................................................... 355
Внедрение системы учета затрат на ИБ ............................................................... 356

Резюме.................................................................................................................................. 356

Заклю
Заклю
Заклю
Заклю
Заключччччение
ение
ение
ение
ение .......................................................................................................................... 357
Литература
Литература
Литература
Литература
Литература ........................................................................................................................... 360
Предметный указатель
Предметный указатель
Предметный указатель
Предметный указатель
Предметный указатель ................................................................................................. 382

ПРЕДИСЛОВИЕ

В настоящее время организация режима информационной безопасности становится критически важным стратегическим фактором развития любой отечественной
компании. При этом, как правило, основное внимание уделяется требованиям и
рекомендациям соответствующей российской нормативнометодической базы
в области защиты информации. Вместе с тем многие ведущие отечественные компании сегодня используют некоторые дополнительные инициативы, направленные
на обеспечение устойчивости и стабильности функционирования корпоративных
информационных систем для поддержания непрерывности бизнеса в целом. В чем
сущность этих инициатив и насколько они могут быть полезными для вашей компании? Давайте посмотрим вместе. Для этого сначала вспомним основные успехи
развития российской нормативнометодической базы в области защиты информации в 2001–2003 гг., а затем остановимся на некоторых инициативах ведущих отечественных компаний.
В 2002 году в рамках деятельности Гостехкомиссии при Президенте РФ подготовлены и согласованы специальные требования и рекомендации по защите конфиденциальной информации, а также соответствующие методики. Летом 2002 года
был утвержден ГОСТ Р ИСО/МЭК 154082002 (части 1, 2, 3) «Критерии оценки
безопасности информационных технологий» на основе прямого применения
международного стандарта ИСО/МЭК 1540899. Продолжается работа над следующими нормативными документами по стандартизации (РД Гостехкомиссии):

• Руководство по разработке профилей защиты и заданий по информационной
безопасности;
• Руководство по регистрации профилей защиты;
• Методика оценки профилей защиты и заданий по информационной безопасности;
• Автоматизированный комплекс разработки профилей защиты и заданий по
информационной безопасности.

Кроме того, разрабатывается шесть профилей защиты для конкретных систем
и средства информационных технологий, в том числе для некоторых операционных систем, межсетевых экранов и других компонент информационных технологий. В дальнейшем планируется создание более 20 профилей защиты.
В январе 2002 года в рамках деятельности ФАПСИ принят Федеральный закон «Об электронной цифровой подписи». С 1 июля 2002 года введена в действие
новая версия стандарта ЭЦП ГОСТ РЗИ.1001 на основе операций в группе точек
эллиптических кривых. Новый стандарт по своим характеристикам, например
криптостойкости и скорости, существенно превосходит предыдущий стандарт

Предисловие

ЭЦП. Продолжается подготовка отечественных нормативных документов для создания национальной инфраструктуры с открытым распределением ключей
(Public Key Infrastructure – PKI) и национальной иерархической системы удостоверяющих центров.
Дополнительные инициативы отечественных компаний в области защиты конфиденциальной информации обусловлены ростом интереса со стороны директоров служб автоматизации (CIO), служб безопасности (CISO), а также исполнительных директоров (CEO) ведущих отечественных компаний к постановке
и решению следующих задач:

• анализа информационных рисков компании и управления ими;
• оценки непрерывности бизнеса организации;
• оценки экономической эффективности корпоративных систем защиты информации;
• оценки совокупной стоимости владения (ТСО) системы защиты информации;
• оценки возврата инвестиций (ROI) компании в информационную безопасность (ИБ);
• планирования и управления бюджетом на ИБ.

Основной из перечисленных задач является анализ и управление информационными рисками. Действительно, большинство руководителей, ответственных за
организацию режима информационной безопасности, наверняка задавалось вопросом: «Как оценить уровень безопасности корпоративной информационной системы нашего предприятия для управления им в целом и определения перспектив
его развития?». Темпы развития современных информационных технологий значительно опережают темпы разработки рекомендательной и нормативноправовой
базы руководящих документов, действующих на территории Российской Федерации. Поэтому выбор методов оценки уровня безопасности корпоративной информационной системы обязательно требует ответа на следующие вопросы: в соответствии с какими критериями и показателями производить оценку эффективности
системы защиты информации, и в том числе – как оценить и/или переоценить
информационные риски предприятия? Вот почему в дополнение к имеющимся
требованиям, рекомендациям и руководящим документам Гостехкомисии при
Президенте РФ и ФАПСИ приходится адаптировать к российским условиям и
применять на практике методики международных стандартов (ISO 17799, ISO
9001, ISO 15408, BSI и пр.), а также использовать внутренние корпоративные методики количественного анализа информационных рисков и оценивания экономической эффективности инвестиций в защиту информации, например, методики
совокупной стоимости владения (ТСО) и возврата инвестиций (ROI).
Современные технологии анализа рисков позволяют оценить существующий
уровень остаточных информационных рисков в отечественных компаниях. Подобная оценка особенно важна в тех случаях, когда к информационной системе предприятия предъявляются повышенные требования в области информационной безопасности. Сегодня есть ряд методик анализа информационных рисков, в том числе
с привлечением CASEсредств, адаптированных к применению в отечественных

Управление информационными рисками
12

условиях. Существенно, что квалифицированно выполненный анализ информационных рисков позволяет:

• провести сравнительную оценку по критерию «эффективность–стоимость»
различных вариантов защиты информации;
• выбрать адекватные контрмеры для защиты информации;
• оценить уровень остаточных информационных рисков компании.

Кроме того, инструментальные средства анализа рисков, основанные на современных базах данных и знаний в области защиты информации, дают возможность
построить:

• структурные и объектноориентированные модели современных корпоративных информационных систем;
• модели угроз и модели рисков, связанных с отдельными составляющими элементами КИС, и таким образом выявлять те сегменты и объекты информационных систем, риск нарушения безопасности которых является критическим,
то есть неприемлемым;
• различные модели защиты информационных систем, а также сравнивать между собой по критерию «эффективность–стоимость» варианты мер по защите
(контрмер) и также вести контроль выполнения требований к организации
режима информационной безопасности на предприятии.

По мнению авторов, настоящая книга является первым полным русскоязычным
практическим руководством по вопросам анализа информационных рисков и управления ими. Основное отличие этой книги от других источников, преимущественно
изданных за рубежом, заключается в том, что в ней последовательно изложены все
основные идеи, методы и способы практического решения задач анализа информационных рисков и управления ими в различных государственных и коммерческих организациях и структурах.
Эта книга может быть полезна следующим основным группам читателей:

• руководителям служб автоматизации (CIO) и служб информационной безопасности (CISO), ответственным за организацию режима информационной
безопасности, адекватного текущим целям и задачам бизнеса компании;
• внутренним и внешним аудиторам (CISA), которым приходится комплексно
оценивать текущее состояние организации режима информационной безопасности компании на соответствие некоторым требованиям корпоративных,
национальных и международных стандартов, например ISO 15408, ISO 17799,
BSI, COBIT и пр.;
• менеджерам высшего эшелона управления компанией (ТОРменеджерам), занимающимся оценкой информационных рисков компании и их управлением.

Книгу могут также использовать в качестве учебного пособия студенты и аспиранты соответствующих технических специальностей, тем более что материалы
многих глав основаны на опыте преподавания авторов в Московском и СанктПетербургском госуниверситетах.

Предисловие

Книга состоит из семи глав:

• Анализ рисков в области защиты информации;
• Управление рисками и международные стандарты;
• Технологии анализа рисков;
• Инструментальные средства анализа рисков;
• Аудит безопасности и анализ рисков;
• Анализ защищенности информационной системы;
• Выявление атак и управление рисками.

В первой главе показана роль и задачи анализа рисков и управления ими при
организации режима информационной безопасности российских компаний. Подробно рассмотрена международная концепция обеспечения информационной безопасности компаний, а также различные подходы и рекомендации по решению
задач анализа рисков и управления ими.
Во второй главе приведен обзор основных стандартов в области защиты информации и управления рисками: ISO 17799, ISO 15408, BSI, NIST, MITRE. Отмечены главные достоинства и недостатки существующих подходов к анализу информационных рисков и управлению ими.
Третья глава содержит описание основных технологий анализа рисков, возможных проблем и их решений, а также примеры разработки корпоративных методик
анализа рисков. Кроме того, здесь представлен положительный практический
опыт работы в данной предметной области.
В четвертой главе обсуждаются инструментальные средства для анализа рисков
(COBRA, CRAMM, MethodWare, RiskWatch, Авангард). Даны рекомендации по
использованию указанных средств при анализе рисков информационных систем.
Пятая, шестая и седьмая главы посвящены практике решения задач анализа
защищенности и выявления атак. Показана взаимосвязь с задачей анализа рисков
и управления ими, а также роль «активного аудита» и обнаружения вторжений
для оптимизации рисков. Рассмотрены технология работ аудита безопасности
и оценки эффективности обеспечения информационной безопасности в отечественных компаниях. Имеется пример построения корпоративной системы защиты информации на основе решений Symantec.
Книга написана кандидатом технических наук Петренко С. А. (CISO) и кандидатом технических наук Симоновым С. В., за исключением следующих ее частей:

• раздел 1.1 – совместно с Березиным А. С. (Элвис+);
• раздел 1.2 – совместно с Муравьевой И. В. (Конфидент);
• разделы 1.3.1, 3.2.4 – совместно с Нестеровым С. А. (СПбПГУ);
• раздел 3.2 – совместно со Шпак В. Ф. (СЗО РАН);
• главы 6 и 7 – соавтор Астахов А. (CISA, Вимм–Билль–Данн);
• приложение 1 – © KPMG, Российский член KPMG International, Швейцарская ассоциация, перевод 2002 г.;
• приложение 2 – © Эрнст энд Янг (СНГ) Лимитед, перевод 2002 г.;
• приложение 7 – совместно с Кисловым Р. И. (Конфидент) и Поповым Ю. И.
(компания АйТи).

Управление информационными рисками
14

Авторы выражают особую благодарность докторам технических наук профессорам А. Д. Хомоненко, Ю. И. Рыжикову, В. Н. Кустову, Б. Н. Соколову, А. Г. Ломако
и кандидату технических наук профессору В. В. Ковалеву за ценные советы и замечания по рукописи, которые помогли улучшить ее качество. Авторы благодарят
кандидата технических наук А. А. Кононова за предоставленные материалы по экспертной системе «Авангард» и активное обсуждение глав книги.
Благодарим также центр GIAC и институт SANS в лице Стивена Нортката
(Stephen Northcutt)) и Эрикa Коула (Eric Cole), общество ISC 2 в лице CISSP
Дмитрия Шепелявого, CISSP Чарльза Крессона Вуда (Charles Cresson Wood)
и CISSP Шон Харрис (Shon Harris), ассоциацию ISACA в лице президента Лондонского отделения CISA Чарльза Мансура (Charles Mansour), CISA Андрея
Дроздова (KPMG) и CISA Александрa Астаховa, a также компании «Эрнст энд
Янг» (СНГ) в лице Мишель Мур и Cisco Systems в лице CCIE Максимa Мамаевa,
CCIE Михаилa Кадера, CCIE Мерике Кэо (Merike Kaeo).
Будем признательны всем читателям, которые готовы сообщить свое мнение
о данной книге. Вы можете направлять письма в компанию АйТи по адресу:
itpress@it.ru.

ГГГГГЛАВА
ЛАВА
ЛАВА
ЛАВА
ЛАВА 1
 1
 1
 1
 1

АНАЛИЗ РИСКОВ

В ОБЛАСТИ ЗАЩИТЫ ИНФОРМАЦИИ

1.1. Информационная безопасность бизнеса

В настоящее время проблемы обеспечения информационной безопасности корпоративных информационных систем (КИС) все чаще и чаще обсуждаются на страницах различных компьютерных изданий. При этом, как правило, значительное
внимание уделяется описанию различных технических решений, анализу преимуществ и недостатков известных аппаратных и программных средств и технологий
защиты информации. В меньшей степени затрагиваются вопросы и меры организационного обеспечения ИБ компании – стратегия и тактика защиты информации, концепция и политика безопасности, планы защиты информационных ресурсов компании в штатных и внештатных условиях функционирования КИС. При
этом считается само собой разумеющимся, что данная проблема безусловно актуальна для представителей отечественного бизнеса. Однако за кадром остается вопрос: а каковы, собственно, интересы представителей отечественного бизнеса в решении этой проблемы? Ведь стандартных слов о том, что критичная для бизнеса
информация должна быть доступной, целостной и конфиденциальной, здесь явно
недостаточно, поскольку информация – понятие достаточно абстрактное; угрозы
ее безопасности носят вероятностный характер (как известно, пока гром не грянет, никто ничего делать не будет), к тому же технические и организационные
решения по безопасности стоят немалых денег!
Видимо, объяснение указанному явлению кроется в том, что обсуждается данная проблема в основном в среде технических специалистов или специалистов,
имеющих явные «технические корни». Однако с уровня бизнесуправления компанией существование потенциальных угроз для информационных ресурсов компании и наличие критичных технических уязвимостей КИС «не видны», поэтому
проблема обеспечения информационной безопасности КИС представляется весьма туманной. Зато вполне понятна такая постановка проблемы: стоит ли тратить
деньги на корпоративную систему защиты информации, полезность которой для
бизнеса далеко не очевидна? Более того, часто можно услышать такой вопрос:
«А зачем нам вообще нужна информационная безопасность? На этом же нельзя заработать!» Или, если говорить на языке бизнеса, – зачем нам создавать еще один затратный центр? Их у нас и так слишком много! И с этими аргументами достаточно

Анализ рисков в области защиты информации
16

трудно спорить. Особенно, если не владеть контраргументами, понятными для
представителей отечественного бизнеса. К сожалению, часто российские директора и начальники служб автоматизации (CIO), исполнительные директора (CEO),
начальники служб информационной безопасности (CISO) таких контраргументов
не имеют, хотя интуитивно абсолютно уверены в необходимости решения данной
задачи. Итак, что же нужно сделать, чтобы информационная безопасность воспринималась как один из корпоративных бизнеспроцессов? Другими словами, как
представить ИБ с точки зрения бизнеса?
Очевидно, для этого надо сначала попробовать определить бизнесзадачу ИБ.
Одним из основных двигателей рынка автоматизации бизнеса является стремление самого бизнеса стать более эффективным и конкурентоспособным за счет использования современных информационных технологий и совершенствования
своей собственной модели. Такое стремление вполне понятно: не так уж много
осталось реальных механизмов повышения конкурентоспособности, и все они
в основном уже исчерпаны, а информационные технологии предлагают поистине
неограниченные возможности. В том, что в автоматизации бизнеса заложен огромный потенциал для его динамического развития, не сомневается сегодня, наверное, уже никто. Достаточно сравнить эффективность и оперативность работы, например, корпоративной электронной почты с эффективностью и оперативностью
многочисленной армии секретарей и машинисток, качество и сроки разработки
сложных технических систем посредством CAD/CAM/CAEсистем и с помощью
традиционного кульмана и др. Можно сказать, что бизнесзадача КИС, как и любой другой технической системы, состоит в том, чтобы упростить, ускорить или
сделать более удобными ранее рутинные и потому медленные и изобилующие
ошибками бизнеспроцессы. Или, если говорить более строго, любая действующая
в интересах бизнеса техническая система в принципе должна предоставлять бизнесу какойто тип сервиса. Сервис может быть самым разнообразным: доменная
печь «оказывает услуги», выплавляя сталь, транспортный цех – транспортируя
грузы, заводская столовая – обеспечивая питание сотрудников и т.д. Также
и КИС, будучи сугубо технической системой, предлагает бизнесу свой тип сервиса – в данном случае сервис информационный. И этот сервис заключается в предоставлении бизнесу необходимой для принятия решений информации нужного
качества, в нужное время и в нужном месте, то есть информации для управления
самим бизнесом.
По своей сути информация постепенно становится одним из ключевых элементов бизнеса. Ведь что такое информация с точки зрения бизнеса? В сущности, это
не что иное, как некий набор формализованных (в смысле структурированных,
разложенных по полочкам и имеющих средства для поиска и представления) знаний бизнеса о самом себе. При этом под информацией можно понимать не только
какието статичные информационные ресурсы, например бухгалтерский баланс за
прошедший год или текущие настройки какоголибо оборудования, но и динамические информационные процессы обработки знаний в виде запрограммированной бизнеслогики работы компании в среде таких популярных приложений, как
электронный документооборот, ERP, CRM, службы каталогов и др.

Времена Генри Форда, когда управляющий компанией самостоятельно привинчивал гайки на конвейере, давно миновали. Сегодня высшее руководство
любой компании по существу имеет дело только с информацией – и на ее основе
принимает решения. Понятно, что эту самую информацию готовят множество нижестоящих слоев достаточно сложной организационной системы, которая называется современным предприятием. И нижние слои этой системы вообще могут
не иметь понятия о том, что они производят не только какуюто продукцию или
услугу, но и информацию для руководства. По нашему мнению, глубинный смысл
автоматизации бизнеса заключается как раз в том, чтобы ускорить и упорядочить
информационные потоки между функциональными уровнями и слоями этой системы и представить руководству компании лишь самую необходимую, достоверную и структурированную в удобной для принятия решения форме информацию.
Заметим, информацию достоверную! Отсюда нетрудно сделать вывод, что ключевой бизнесзадачей корпоративной системы ИБ является обеспечение гарантий
достоверности информации, или, говоря другими словами, гарантий доверительности информационного сервиса КИС.
Попробуем спросить любого представителя отечественного бизнеса, готов ли он
потратить, скажем, сто тысяч долларов на закупку, например, пяти межсетевых
экранов и ста лицензий на антивирусное ПО. А потом зададим тот же самый вопрос подругому: готов ли он потратить сто тысяч долларов на защиту информации
о самом себе и на защиту сервиса, на котором основано управление компанией?
Скорее всего, ответ в первом случае будет таким: либо традиционное для России
«Денег нет», либо, как в Одессе, вопросом на вопрос: «А зачем?». Во втором случае вариантов ответов больше: «В какие сроки управимся? А где вы были раньше?». И даже: «А почему так мало? Разве мой бизнес так мало стоит?».
Кроме того, по всей видимости, здесь последует другой интересный вопрос:
«А почему именно сто тысяч, а не пятьдесят или, скажем, четыреста семьдесят
пять?». И в таком случае CIO, CEO, CISO просто необходимо предоставить понятный для бизнеса ответ, аргументированный соответствующими экономическими выкладками. То есть по сути предложить обоснование стоимости системы
ИБ для бизнеса.
Можно ли провести такой анализ и обосновать стоимость корпоративной системы защиты информации? Внимательный читатель, наверное, уже заметил, что
в последнее время в печати все чаще и чаще появляются новые для ИБ темы: анализ угроз ИБ, анализ информационных рисков, оценка совокупной стоимости
владения системой безопасности, оценка возврата инвестиций от такой системы
и т.д. Все это в виде метрики и меры информационной безопасности представляет
собой некий экономический инструментарий, преломленный в область ИБ, который и позволяет ответить на вопрос: «А почему сто тысяч?». И еще – это яркий
показатель того, что наиболее «продвинутые» российские CIO, CEO, CISO уже
пытаются на него ответить.
Посмотрим, как можно обосновать стоимость корпоративной системы защиты
информации. По нашему мнению, таких подходов как минимум два.

Информационная безопасность бизнеса