Одокієнко Сергій
Олегович
Київський національний
університет технологій та дизайну
Дослідження методів оцінки
захищеності інформаційних ресурсів інформаційно-телекомунікаційних систем
З появою телекомунікаційних систем з’явилась низка
проблем, одна з яких - проблема безпечної обробки й передачі даних. Нині над
проблемою оцінювання рівня захищеності переданої інформації працює велика
кількість вітчизняних та зарубіжних науковців, серед яких:
Яциковська У.О., Трембач Р.Б., Тискина Е.О., Орленко В.С., Касянчук М.М., Конахович Г.Ф. [1]
Вивчення й аналіз наукових праць переконує, що в
основному увага науковців зосереджена на визначенні оцінки рівня захищеності
будь-якої інформації.
На різних етапах життєвого циклу
інформаційно-телекомунікаційної системи (ІТС) неминуче постає задача оцінювання
її рівня захищеності (РЗ) від методів несанкціонованого доступу до інформації.
Реалізація процедури оцінювання РЗ завжди пов’язана із вибором відповідного
методу або методики оцінювання. Значна кількість таких методів і методик
потребує їх детального наукового дослідження щодо адаптації до конкретної
конфігурації ІТС. Тому, тема дослідження є актуальною, а визначений напрям
наукових досліджень пріоритетним.
Метою роботи є дослідження ІТС та методів оцінки
рівня їх захищеності від несанкціонованого доступу до інформації. Це сукупність
заходів щодо виявлення в ІТС
існуючих загроз, що створюють передумови для порушення конфіденційності,
цілісності та доступності інформації, яка в них обробляється.
Детально розглянемо процедуру оцінювання РЗ, яка
базується на основі методів аналізу ризиків, які поділяються на дві групи.
-
Перша група методів дозволяє оцінювати РЗ шляхом визначення
ступеня відповідності поточного рівня ризику певному набору вимог, що
висуваються до забезпечення інформаційної безпеки. В якості джерела таких вимог
як правило, виступають:
-
рекомендації міжнародних стандартів - ISO 15408;
-
вимоги чинного законодавства ‑ керівні документи Служби спеціального
зв’язку та захисту інформації України та ін.;
-
нормативно-правові документи
підприємства, що стосуються питань інформаційної безпеки;
-
рекомендації
компаній-виробників програмного і апаратного забезпечення тощо.
Методи даної групи базуються на принципі системності,
що закладено в стандарти безпеки.
Друга група методів базується на визначенні
ймовірності реалізації атак, а також рівня збитку, який завдається ними. У
даному випадку значення ризику обчислюється окремо для кожної атаки і, в
загальному випадку, представляється добутком ймовірності проведення атаки на
величину можливого збитку від цієї атаки. Таким чином, чим більший ризик – тим
менший РЗ ІТС.
Методи як першої, так і другої групи зводяться до
процедури управління ризиками, які і визначають відповідний РЗ ІТС.
Найбільш відомими системами аналізу ризиків є: RiskWatch (США), СRAMM (Великобританія), ГРИФ 2006 (Росія) [2].
RiskWatch являє собою сімейство програмних продуктів, побудованих
на загальному програмному ядрі, які призначені для управління різними видами
ризиків та підтримки великого різновиду стандартів. У RiskWatch в якості критеріїв для оцінки та управління ризиками
використовуються очікувані річні втрати (Annual Loss Expectancy, ALE) та оцінка повернення інвестицій (Return on Investment, ROI). RiskWatch орієнтована на точну кількісну оцінку співвідношення втрат
від загроз безпеки і затрат на створення системи захисту.
Метод CRAMM досить складно
використовувати без CRAMM інструменту. У інструмента такаж назва, як і у
методу - CRAMM. В основі методу
CRAMM лежить комплексний підхід до оцінки ризиків, поєднуючи кількісні та
якісні методи аналізу. Метод є універсальним і підходить як для великих, так і
для дрібних організацій, як урядового, так і комерційного сектора. Грамотне
використання методу CRAMM дозволяє отримувати дуже хороші результати, найбільш
важливим з яких є можливість економічного обгрунтування витрат організації на
забезпечення інформаційної безпеки та безперервності бізнесу. Економічно
обгрунтована стратегія управління ризиками дозволяє, в кінцевому підсумку,
заощаджувати кошти, уникаючи невиправданих витрат.
ГРИФ 2006 - потужний і зручний інструмент для аналізу
захищеності ресурсів інформаційної системи та ефективного управління ризиками. Дозволяє провести повний
аналіз ризиків - отримати повну картину всіх загроз, актуальних для
інформаційної системи, оцінити, наскільки критичні уразливості і до яких втрат
вони можуть привести. Крім аналізу ризиків, є можливість управління ризиками.
Алгоритм системи «ГРИФ 2006» аналізує побудовану модель і генерує звіт, який
містить значення ризику для кожного ресурсу. Конфігурація звіту може бути
практично будь-якою,
таким чином, дозволяючи створювати як короткі звіти для керівництва, так і
детальні звіти для подальшої роботи з результатами.
В Україні
можна виділити методику оцінювання захищеності інформаційних систем за
допомогою системи управління інформаційною безпекою «Матриця» яку розробив Домарєв В. В.. Власне процедура
пропонованої методики складається з первинного опитування клієнта, визначення
активів, визначення важливості активів за словесною шкалою, пошуку вразливостей
визначених активів, визначення загроз, що походять від знайдених вразливостей,
визначення ступеня небезпеки знайдених загроз за словесною шкалою, переводу
важливості активів та ступеня небезпеки загроз у кількісні оцінки, підрахування
оцінок ризиків, ранжування за сумарними оцінкам ризиків, визначення найбільш
вразливих активів та найбільш небезпечних загроз, ранжування вразливостей
кожного активу, cкладання рекомендацій щодо усунення вразливостей, оформлення
звіту. Для практичної реалізації пропонованої методики застосовано систему
управління інформаційною безпекою «Матриця».
Висновки
Таким чином, аналіз
відомих методів оцінювання РЗ ІТС дає змогу зробити наступні висновки, що у багатьох випадках окремо кожний метод аналізу ризиків не може дати
однозначних рекомендацій, тому у процесі розробки рішень необхідно
застосовувати комплекс методів, що дасть змогу перевірити та доповнити дані,
отримані за допомогою одного методу, результатами інших.
Для того щоб провести ефективний комплексний аналіз
ризиків необхідно зібрати та систематизувати достовірну інформацію про
діяльність підприємства, зовнішнє середовище, використовувати різні методи
кількісної оцінки, щоб враховувати особливості різних видів ризиків, які
виявлені шляхом якісного аналізу, а також велике значення має терміновість та
технічні можливості проведення аналізу.
Список використаної літератури
1. Конахович Г. Ф., Климчук
В. П., Паук С. М., Потапов В.Г. К338 Защита информации в телекоммуникационных
системах.— К.: "МК-Пресс", 2005. — 288 с, ил.
2. Управление
информационными рисками. Экономически оправданная безопасность / Петренко С.
А., Симонов С. В. - М.: Компания АйТи ; ДМК Пресс, 2004. - 384 с.: ил. -
(Информационные технологии для инженеров).
3. Ленков С.В. Методы и средства защиты информации: в 2-х т / С.В. Ленков,
Д.А. Перегудов, В.А. Хорошко – К. : Арий, 2008. – 464 с.