среда, 2 ноября 2011 г.

Практика ИБ \ FAIR - методология анализа рисков (Часть 3)

В этой части рассмотрены следующие вопросы:
  • Компоненты ландшафта рисков
  • Угрозы
    • Источники угроз
    • Сообщества угроз
    • Характеристики угрозы
  • Активы
  • Компания
  • Внешняя среда


Прежде чем мы сможем приступить к анализу любого сценария риска, мы должны понять компоненты, из которых состоит ландшафт риска. FAIR включает в себя четыре основных компонента – угрозы, активы, сама компания и внешняя среда. Все элементы сценария попадают в одну из этих категорий, все они имеют свои характеристики (или факторы), которые увеличивают или уменьшают риск.

В этом разделе мы посвятим большую часть времени компоненту "угроза", т.к.правильный результат даже самого простого анализа по методике FAIR зависит от четкого понимания аналитиком угроз.


Как было сказано ранее, угроза – это что-то (например, объект, вещество, человек и т.д.), что способно действовать против актива таким образом, который может нанести ему вред. Например, угрозой является торнадо, наводнение или хакер. Ключевым моментом здесь является то, что угроза применяет некоторую силу (вода, ветер, вредоносный код и т.д.) в отношении актива, что может привести к возникновению ущерба.

По мере изучения этого документа, мы увидим, что фактор "угроза" играет важную роль при оценке вероятности ущерба. Проблема состоит в том, что мы не можем знать, кто будет следующей жертвой злоумышленника, точно так же, как мы не знаем, выпадет ли "решка", когда мы в следующий раз бросим монету. Однако, понимая основные характеристики монеты и броска, мы можем разумно предположить, что при следующих 500 бросках в 50% случаев выпадет "решка" (но это только вероятность, мы не можем сказать точно). Таким же образом мы можем определить и охарактеризовать угрозу, а затем обоснованно оценить вероятность в отношении частоты и характера атак.


Источник угрозы (threat agent) - отдельный представитель совокупности угроз. Практически кто или что угодно может, при определенных обстоятельствах, быть источником угрозы – например, неопытный пользователь компьютера, который, не желая навредить, просто по незнанию останавливает работу всей компании, введя неправильную команду. Другим примером может быть представитель надзорного органа, выполняющий проверку компании, или мышь, грызущая кабель, по которому передаются данные.


Сообщество угроз (threat community) - подмножество в совокупности источников угроз, которое объединяют общие ключевые характеристики. Понятие сообщества угроз является мощным инструментом для понимания, кому или чему мы противостоим, пытаясь управлять риском. Например, рассмотрим следующий профиль сообщества угроз:
  • Мотив: идеология
  • Основная цель: повреждение / уничтожение
  • Поддержка: неофициальная
  • Предпочтительные основные характеристики цели: объекты или люди, которые придерживаются иной (конфликтующей) идеологии
  • Предпочтительные дополнительные характеристики цели: высокая значимость, высокая заметность
  • Предпочтительные цели: люди, инфраструктура (здания, коммуникации, энергоснабжение и т.д.)
  • Возможности: изменяются в зависимости от вектора атаки (технологичность: средняя)
  • Личная толерантность к риску: высокая
  • Беспокойство о сопутствующем ущербе: низкое
Источник угрозы, имеющий такие характеристики, очевидно попадает в сообщество террористических угроз.

Вероятность того, что ваша компания станет объектом атаки со стороны террористического сообщества, во многом зависит от ее особенностей, имеющих отношение к мотивам, намерениям и возможностям террористов. Связана ли ваша компания с идеологией, конфликтующей с известными идеологиями активных террористических групп? Имеет ли ваша компания высокую значимость, высокое влияние? Является ли ваша компания уязвимой целью? Как ваша компания выглядит по сравнению с другими потенциальными объектами террористической угрозы? Если атака будет все-таки направлена против вашей компании, какие объекты вероятнее всего будут ее целью? Например, какова вероятность того, что террористическая атака будет направлена на информацию или информационные системы вашей компании?

Следующие сообщества угроз, с которыми сталкиваются многие компании, являются примерами угроз, исходящих от вредоносных действий человека:
  • Внутренние
    • Сотрудники
    • Подрядчики (и поставщики)
    • Партнеры
  • Внешние
    • Кибер-преступники (профессиональные хакеры)
    • Шпионы
    • Непрофессиональные хакеры
    • Активисты
    • Спецслужбы государственного уровня (например, организации, подобные ЦРУ и т.п.)
    • Авторы вредоносных программ (вирусов, червей и т.д.)
Обратите внимание, что вы можете разделить сообщество угроз по более детальным (или по иным) характеристикам, в зависимости от ваших потребностей. Например, при анализе рисков часто имеет смысл разделить сотрудников на тех, кто обладает повышенными привилегиями доступа и большими техническими знаниями (например, системные и сетевые администраторы), и тех, кто не имеет повышенных привилегий и технических знаний (большинство сотрудников компании). Когда вы разделяете сообщества или определяете новые сообщества, очень важно, чтобы вы четко понимали, что является отличительными характеристиками одного сообщества от другого, новых сообществ - от уже существующих.

Также важно понимать, что членство в сообществе угроз не является взаимоисключающим. Иными словами, источник угрозы может входить более чем в одно сообщество. Например, непрофессиональный хакер может являться сотрудником компании или ее подрядчиком. Кроме того, характеристики отдельного источника угрозы не всегда можно однозначно отнести к какому-либо сообществу. Отдельные характеристики источника угрозы могут не совпадать с аналогичными характеристиками остального сообщества. К примеру, отдельный "террорист" может иметь низкий уровень толерантности к личным рискам. Помните, что перед вами не стоит задача разработать идеальные характеристики ландшафта угроз - это невозможно. Ваша задача состоит в том, чтобы разработать обоснованный и понятный ландшафт угроз. Это позволит вам более точно оценивать вероятности и находить наиболее эффективные решения по управлению рисками.


Мы можем выделить любое количество разнообразных характеристик источника угрозы для составления профиля сообщества угроз. Однако в большинстве случаев, действительно существенных характеристик сравнительно немного. А слишком большое количество характеристик в нашем анализе значительно усложняет использование модели, давая при этом относительно небольшое улучшение результатов. Это говорит о том, что при моделировании рисков очень важно найти правильный баланс между точностьюи практичностью.

Существует четыре основных компонента, на которых основана систематизация рисков для определения характеристик источников угроз:
  • Частота, с которой источники угрозы вступают в контакт с нашей компанией или ее активами
  • Вероятность того, что источники угрозы будут действовать против нашей компании или ее активов
  • Вероятность того, что действия источника угрозы будут успешны, и он сможет преодолеть реализованные защитные меры
  • Вероятный характер (тип и степень тяжести) воздействия на активы компании
Для нас очень важно понять факторы, влияющие на эти отличительные характеристики, чтобы иметь возможность эффективно оценивать вероятность атаки и, в случае атаки, вероятный характер, цель атаки и ее последствия. Чуть позже мы рассмотрим эти факторы более подробно.


В рамках ландшафта информационных рисков, мы можем определить Актив (asset), как некие данные, устройство или другой компонент среды, обеспечивающий или поддерживающий зависящую от информации деятельность компании, и на который может быть оказано воздействие, приводящее в итоге к потерям. Активы имеют характеристики, представляющие собой факторы риска, связанные с ценностью актива, обязательствами в отношении него, а также силой защитных мер, реализованных для обеспечения его безопасности.

Актив подвержен потенциальной возможности потерь только в том случае, если он имеет одну или несколько характеристик, представляющих собой ценность или устанавливающих обязательства. Например, от определенного актива может зависеть работоспособность компании. Нанесение вреда этому активу может остановить работу компании. Кроме того, независимо от ценности актива, компания может иметь правовые (законодательные или договорные) обязательства по защите этого актива, и нанесение вреда этому активу потенциально может привести к юридической ответственности компании.

Чтобы учесть это в FAIR, мы разделим ценность активов и относящиеся к ним обязательства на три категории:
  • Критичность (criticality) – характеристика актива, которая связана с влиянием актива на работу компании. Например, повреждение основной базы данных компании приведет к тому, что компания лишится прибыли.
  • Стоимость (cost) – расходы, связанные с заменой актива, который был украден или уничтожен. Примером могут быть расходы на замену украденного ноутбука или восстановление поврежденного взрывом здания.
  • Чувствительность (sensitivity) – последствия, связанные с разглашением или неправильным использованием конфиденциальной информации.


Сама природа любого бизнеса несет в себе риски. Нанесение вреда активам компании может воздействовать на все или только отдельные планы компании (подробнее об этом позже). Компания может потерять свои ресурсы и способность функционировать. Некоторые особенности компании могут служить дополнительным фактором, привлекающим внимание отдельных сообществ угроз, что может увеличить частоту инцидентов.


Среда, в которой компания осуществляет свою деятельность, играет важную роль в оценке риска. Различные внешние характеристики, такие как нормативно-правовое регулирование, уровень конкуренции в отрасли и т.п., могут повышать вероятность потерь. В следующих разделах мы более подробно рассмотрим организационные факторы и факторы внешней среды.

Комментариев нет: