Литература
[1].
Алексеев А. Управление рисками. Метод CRAMM / А. Алексеев // IT Expert.
– Электрон. дан. – М. : ЗАО “ИТ Эксперт”, 2010. – Режим доступа:
202
WorldWideWeb. –
URL:
http://www.itexpert.ru/rus/ITEMS/ITEMS_CRAMM.pdf. –
Загл. с экрана
(просмотрено 19 декабря 2014).
[2].
Ахметов Б.С., Корченко А.Г., Казмирчук С.В., Жекамбаева М.Б. Кортежная
модель базовых характеристика риска / Вестник КазНТУ – 2015. – №6.
[3].
Корченко А.Г. Построение систем защиты информации на нечетких
множествах. Теория и практические решения / Корченко А.Г. – К. : «МК-
Пресс», 2006. – 320с.
[4].
Современные методы и средства анализа и контроля рисков
информационных систем компаний CRAMM, RiskWatch и ГРИФ
[Электронный ресурс] / И. С. Медведовский // SecurityLab. Электрон. дан. –
Мн. : SecurityLab, 2004. – Режим доступа: WorldWideWeb. – URL:
http://www.ixbt.com/cm/informationsystem-risks012004.shtml.
[5].
Security Risk Analysis & Assessment, and ISO 17799 / BS7799 Compliance:
COBRA. [Electronic resource] / Security Risk Analysis & Assessment, and ISO
27000 Compliance –Electronic data – Macclesfield : The Leading Security Risk ,
2010– Access mode: World Wide Web. – URL: http://www.riskworld.net/.
Корченко А.Г.
1
, Казмирчук С.В.
1
, Ахметова С.Т.
2
, Жекамбаева М.Б.
2
ПРОГРАММНОЕ СРЕДСТВО ОЦЕНИВАНИЯ РИСКОВ
ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ CRAMM
1
Национальный авиационный университет, Киев, Украина,
2
Казахский национальный исследовательский университет имени
К.И. Сатпаева, Алматы, Республика Казахстан
Существует множество инструментальных средств анализа и оценивания
риска (САОР). В работе [2] осуществлен анализ понятия риска, в различных
предметных областях человеческой деятельности, для последующей его
интерпретаций в области информационной безопасности (ИБ). Также в [2] была
203
предложена кортежная модель базовых характеристик риска (КМР). Такой
подход дает возможность относительно КМР унифицировать процесс
исследования
соответствующих
САОР
и
повысить
эффективность
осуществления их выбора.
В связи с этим, целью данной работы является проведение исследования
САОР (с использованием предложенного в [2] подхода) CRAMM для
определения набора характеристик. Это повысит эффективность решения задач
в области ИБ.
Метод CRAMM (CCTA Risk Analysis and Management Method,
разработчик – Центральное агентство по компьютерам и телекоммуникациям
(ССТА – Central Computer and Telecommunications Agency, Великобритания )
реализован фирмой Insight Consulting Limited в одноименном программном
продукте, в котором предусматривается поэтапный и строгий подход к анализу
и оценивания риска, охватывающий аспекты безопасности как технического
(например, ИТ-оборудование и программное обеспечение), так и
нетехнического характера (например, физического и человеческого) [4]. В
дальнейшем будем рассматривать программное инструментальное средство
CRAMM, в котором процесс оценивания реализуется в три этапа. На первом –
проводится идентификация физических, программных и информационных
ресурсов, содержащихся внутри границ системы. Ценность физических
ресурсов в CRAMM определяется стоимостью их восстановления в случае
разрушения. Для данных и ПО выбираются применимые к данной ИС
критерии, дается оценка ущерба по шкале со значениями от 1 до 10. Например,
шкала оценки по критерию «Финансовые потери, связанные с восстановлением
ресурсов» отображается через следующие значения [1, 4]: 2 балла – менее
$1000; 6 баллов – от $1000 до $10 000; 10 баллов – свыше $100 000 и т.д.
На втором этапе рассматривается все, что относится к идентификации и
оценке уровней угроз для групп ресурсов и их уязвимостей. Оценивается
зависимость пользовательских сервисов от определенных групп ресурсов и
204
существующий уровень угроз и уязвимостей, а также вычисляются уровни
рисков и анализируются результаты. Ресурсы группируются по типам угроз и
уязвимостей. Программное средство CRAMM для каждой группы ресурсов (и
каждого из 36 типов угроз) генерирует список запросов, для которых после
инициализации данных оценка уровней осуществляется, например, как очень
высокий, высокий, средний, низкий, очень низкий (для угрозы), и как высокий,
средний и низкий (для уязвимости). Рассмотрим пример запроса для « оценки
угрозы»: «Сколько раз за последние три года сотрудники организации
пытались получить несанкционированный доступ к хранящейся в ИС
информации с использованием прав других пользователей?» Также, для
дальнейшей обработки, предлагаются варианты инициализации данных запросу
посредством присваивания определенного количества балов: a) ни разу (0
балов); … d) в среднем чаще одного раза в год (30 балов) и т.д. На основе этой
информации рассчитываются уровни рисков (риск определяется как
возможность потерь в результате какого-либо действия или события,
способного нанести ущерб [1]) в дискретной шкале с градациями от 1 до 7.
Программное средство CRAMM объединяет угрозы и уязвимости в матрице
риска, а для создания шкал, например, используются данные из табл. 1 (для
уровней угроз и уязвимостей).
Таблица 1. Шкалы для уровней угроз и уязвимостей
Шкалы
Описание
Значение
Шкала
оценки
уровней
угрозы
(частота
возникновения)
Инцидент происходит в среднем, не чаще, чем каждые 10
лет
очень
низкий
Инцидент происходит в среднем один раз в 3 года
низкий
Инцидент происходит в среднем раз в год
средний
Инцидент происходит в среднем один раз в четыре месяца высокий
Инцидент происходит в среднем раз в месяц
очень
высокий
Шкала
оценки В случае возникновения инцидента, вероятность развития низкий
205
Анализ риска проводится на первом и втором этапах, после чего
осуществляется его оценивание. Во время анализа предлагается проставить
коэффициенты для каждого ресурса с точки зрения частоты возникновения
угрозы и вероятности реализации угрозы, в связи с этим с учетом [2] здесь
можно выделить компоненты BC
5
и BC
3
.
Исходя из оценок стоимости ресурсов защищаемой ИС, угроз и
уязвимостей, определяются «ожидаемые годовые потери». На рис. 1 приведен
пример матрицы оценки ожидаемых потерь [1], где второй столбец слева
содержит значения стоимости ресурса, верхняя строка заголовка таблицы –
оценку частоты возникновения угрозы в течение года (уровня угрозы), нижняя
строка заголовка – оценку вероятности успеха реализации угрозы (уровня
уязвимости).
Значения ожидаемых годовых потерь (Annual Loss of Expectancy)
переводятся в баллы, показывающие уровень риска, согласно шкалы,
представленной на рис. 2 (в этом примере размер потерь приводится в фунтах
стерлингах) и далее в соответствии с матрицей (рис. 3) выводится оценка риска.
Здесь, с учетом [2], годовые потери можно отразить через компонент BC
6
.
уровня уязвимости
(вероятность
успешной
реализации
угрозы)
событий по наихудшему сценарию меньше 0,33
В случае возникновения инцидента, вероятность развития
событий по наихудшему сценарию от 0,33 до 0,66
средний
В случае возникновения инцидента, вероятность развития
событий по наихудшему сценарию выше 0,66
высокий
В случае возникновения инцидента, вероятность развития
событий по наихудшему сценарию меньше 0,33
низкий
Рис. 1. Матрица ожидаемых годовых потерь
206
Третий этап исследования
заключается
в
поиске
адекватных
контрмер.
Здесь
CRAMM генерирует несколько
вариантов мер противодействия,
адекватных выявленным рискам и их уровням. Относительно представления
КМР для CRAMM (аналогично методике COBRA) можно определить значения:
BC
1
,
*
2
BC
. Компонент BC
1
отображается действием, которое привело к
нарушению характеристик ИБ, что можно показать на примере «оценки
угрозы», а именно BC
12
= «Несанкционированный доступ» может привести к
BC
21
= «Нарушение конфиденциальности (НК)».
После прохождения всех
этапов в результате имеем
полное описание ИС. Оценка
угроз
и
уязвимостей
осуществляется
на
основе
оценки риска по двум факторам – риск рассматривается как комбинация
вероятности реализации угрозы и уязвимости, а также ущерба [1, 4]. В процессе
оценивания угрозы и уязвимости все балы суммируются и полученное значение
относительно определенного диапазона, отображает их степень. Например,
если сумма балов для угрозы равна 25, то она определяется как средняя, при
этом используемая шкала для степени угрозы следующая: до 9 балов – очень
низкая; от 20 до 29 – средняя; 40 и более – очень высокая. Аналогично для
уязвимости. Эта методика подходит для уже существующих систем и
малопригодна на стадиях их разработки, поскольку для качественной оценки
риска требуется полное описание ИС компании. После проведенного анализа с
учетом [2] составим КМР для данного метода: <BC
1
,
*
2
BC
, BC
3
, BC
5
, BC
6
>.
Таким образом, в работе с учетом предложенного в [2] подхода, проведено
исследование САОР в виде соответствующего ПО и определен набор базовых
Рис. 2. Шкала оценки
Рис. 3. Матрица оценки риска
207
характеристик, наиболее подходящие для решения определенного класса задач
ЗИ.
Литература
[1].
Алексеев А. Управление рисками. Метод CRAMM / А. Алексеев // IT Expert.
– Электрон. дан. – М. : ЗАО “ИТ Эксперт”, 2010. – Режим доступа:
WorldWideWeb. –
URL:
http://www.itexpert.ru/rus/ITEMS/ITEMS_CRAMM.pdf. –
Загл. с экрана
(просмотрено 19 декабря 2014).
[2].
Ахметов Б.С., Корченко А.Г., Казмирчук С.В., Жекамбаева М.Б. Кортежная
модель базовых характеристика риска / Вестник КазНТУ – 2015. – №6.
[3].
Корченко А.Г. Построение систем защиты информации на нечетких
множествах. Теория и практические решения / Корченко А.Г. – К. : «МК-
Пресс», 2006. – 320с.
[4].
Современные методы и средства анализа и контроля рисков
информационных систем компаний CRAMM, RiskWatch и ГРИФ
[Электронный ресурс] / И. С. Медведовский // SecurityLab. Электрон. дан. –
Мн. : SecurityLab, 2004. – Режим доступа: WorldWideWeb. – URL:
http://www.ixbt.com/cm/informationsystem-risks012004.shtml.
[5].
Security Risk Analysis & Assessment, and ISO 17799 / BS7799 Compliance:
COBRA. [Electronic resource] / Security Risk Analysis & Assessment, and ISO
27000 Compliance –Electronic data – Macclesfield : The Leading Security Risk ,
2010– Access mode: World Wide Web. – URL: http://www.riskworld.net/.
Куламбаева К.К.
НЕКОТОРЫЕ ГУМАНИТАРНЫЕ АСПЕКТЫ
ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
Национальный университет обороны имени Первого Президента Республики
Казахстан – Лидера нации, г. Астана, Республика Казахстан
208
Закон Республики Казахстан «О национальной безопасности Республики
Казахстан» гласит «информационная безопасность - состояние защищенности
информационного пространства Республики Казахстан, а также прав и
интересов человека и гражданина, общества и государства в информационной
сфере от реальных и потенциальных угроз, при котором обеспечивается
устойчивое развитие и информационная независимость страны»
[1].
Следовательно, безопасность определяется как «… положение, при котором не
угрожает опасность кому-либо или чему-либо…» [2, 38].
Предлагаем при проведении исследований указанной нами темы
рассматривать существующие в отечественной и зарубежной науке
определения безопасности, в том числе и данные Викторовым А.Ш. в работе
«Введение в социологию безопасности» [3].
В ней автор разбивает определения безопасности на три группы:
- безопасность как отсутствие опасностей (на основе принципа дихотомии,
т.е. некое целое, которое состоит из двух противоположных частей, в данном
случае, это целое - существование человека);
- безопасность - это определенная деятельность по обеспечению или по
предупреждению каких-либо угроз, опасностей (т.е. это деятельностный
подход, связанный с уровнем развития общественного производства, благодаря
которому и создаются те или иные защитные (предупреждающие) действия;
- безопасность - это осознанная потребность, ценность, интерес, так или
иначе связанные с тем или иным целеполаганием.
Для нас актуален вывод Викторова А.Ш. сделанный в данной работе о том,
что безопасность всегда связана с определенной исторической практикой
обеспечения жизнедеятельности человека или его существования.
Потому как, если любое состояние безопасности есть взаимосвязанное
единство тех или иных действий конкретного субъекта, благодаря которому
достигается тот или иной результат, то закономерно, что полученные результаты
209
субъекта будут определять гуманитарную сторону его деятельности по
обеспечению информационной безопасности.
Средства
и
методы
деятельности
субъекта
по
обеспечению
информационной безопасности это рефлексивные гуманитарные методы и
средства: понимание, объяснение, интерпретация сущности потребностей и
интересов всех субъектов информационных отношений, а также и субъектов
информационных угроз (личности, общества, государства).
А так как общеизвестно, что деятельность имеет в своей структуре ряд
компонентов: цель, субъект, объект, процессы, средства, методы и результаты,
то исследователям логично рассмотреть в рамках изучения данной темы среди
других работ монографию доктора педагогических наук профессора Л.В.
Астаховой «Информационная безопасность: герменевтический подход» [4].
Мнение автора во многом схожи с нашим мнением, что деятельность по
обеспечению информационной безопасности состояния защищенности
субъекта, выражающееся в безопасности информации субъекта и его
информационно-психологической безопасности обеспечивают существование,
и развитие субъекта как человека, наивысшей ценности государства.
Осуществляется
гуманитарная
информационно-психологическая
безопасность субъекта при оперировании с содержанием информации и с ее
формой, создании, передаче, представлении, получении, обработке, хранении
информации [4, 5-25.].
Однако в реализации гуманитарных аспектов информационной
безопасности имеются проблемы, потому, что деятельности субъекта в стадии
своего формирования всегда проходит преобразования: институционализацию,
профессионализацию, технологизацию, социализацию.
Астахова Л.В. раскрывает эти преобразования следующим образом:
институционализация это формирование системы специализированных
учреждений, служб, подразделений в составе различных организаций,
ведомств.
Профессионализация
-
формирование
профессионального
210
сообщества и системы профессиональных коммуникаций кадров, определение
основных каналов миграции специалистов из смежных отраслей, выработка
основных квалификационных требований к профессии, поиска решений в
области профессионального образования. Технологизация - формирование
технологий и методов деятельности. Социализация - становление и признание
значимости отрасли в глазах общественности (появление ученых, которые
путем пропаганды и популяризации доносят до внимания общественности
актуальность вопросов отрасли) [4, 25-50].
Дорохов В.Э., Моисеев А.В. [5] акцентируют свое внимание на том,
насколько реализован нормативно-правовой компонент информационной
безопасности, который для нас это является одним из основных гуманитарных
аспектов информационной безопасности, так как в нем раскрывается
нацеленность на человека и его безопасности.
Авторы считая, что формирование нормативно-правового компонента,
начинается с момента осознания обществом необходимости создания особых
защитных механизмов от воздействия реальных и потенциальных угроз и
опасностей, снижения риска их проявления [5, 106-110] позволяют нам сделать
вывод, что регулирование отношений и взаимодействий в сфере
информационной безопасности это определение ее приоритетов, целей и
направлений.
Немало важны и другие компоненты информационной безопасности –
организационный, так как он представлен государственными органами власти и
управления, в функциональные задачи и компетенцию которых входят вопросы
информационной безопасности, социально-культурный компонент (культура
информационной
безопасности
личности),
который
необходим
для
формирования адекватной среды - сферы информационной безопасности.
Шерстюк
В.П.
[6]
раскрывает,
что
когнитивный
компонент
информационной безопасности при выработке гуманитарных критериев
информационной безопасности, определении ее целей и приоритетов,
211
представляют собой большую область современного научного поиска потому,
что сама природа экономики информационного общества выдвигает сегодня на
первое место человека, его личность.
В настоящее время сложилась система подготовки специалистов по защите
информации. Развивается система профессиональных коммуникаций. Накоплен
значительный объем научной и учебной профильной литературы, что оказывает
свое
влияние
на
профессионализацию,
потому
как
процесс
институционализации
информационной
безопасности
(ИБ)
всегда
сопровождался и подкреплялся профессионализацией.
Технологии защиты информации постоянно совершенствуются, что
связано с развитием новых информационных технологий (технологическими
знаниями, методикой и инструментарием данной деятельности) [7, 101-113].
К их числу относятся организационные и управленческие технологии в
сфере информационной безопасности, технологии документационного
обеспечения защиты информации, технологии формирования и развития
культуры информационной безопасности и др.
Изобретение печатного станка и книгопечатания, электрические средства
связи (телефон, телеграф, радио, телевидение), компьютерная техника и
технологии, положившие начало экранной, цифровой культуре привело к
увеличению скорости передачи информации, а, следовательно - и ускорению
процесса распространения информации по миру.
Процесс распространения информации ведет нас к активному
исследованию гуманитарных аспектов информационной безопасности, как на
содержательном уровне, так и на представительном уровне при создании,
передачи, представления, получения, обработки, хранения информации.
Повышение статуса информационной безопасности актуализирует
изучение проблем гуманитарных аспектов состояния защищенности
информационного пространства, а также вопросов защиты и обеспечения прав,
интересов человека и гражданина, общества и государства в информационной
212
сфере от реальных и потенциальных угроз, что будет темой последующих
исследований.
Литература
1 Закон Республики Казахстан от 6 января 2012 года № 527-IV «О
национальной безопасности Республики Казахстан».
2 Ожегов С.И. Словарь русского языка / С.И. Ожегов. - М.: Русский язык,
1986. - 478 с.
3 Викторов А.Ш. Введение в социологию безопасности / А.Ш. Викторов, -
М.: Канон, 2008. - 568 с.
4 Астахова Л.В. Информационная безопасность: герменевтический подход:
монография / Л.В. Астахова. - М.: РАН, 2010. - 185 с
5 Дорохов В.Э., Моисеев А.В. Обзор нормативно-правовых актов
Российской Федерации в области информационной безопасности //
Безопасность информационных технологий, 2013. - № 3. - С. 106-110.
6 Шерстюк В.П. МГУ: научные исследования в области информационной
безопасности / В.П. Шерстюк // Информационное общество. - 2005. - Вып. 1. -
С. 48-53.
7 Советов Б.Я. Технологии защиты информации / Советов Б.Я.
Информационные технологии: учебник - 6-е изд. - М.: Издательство Юрайт,
2012 - 263 с.
Кулатаев С.А.
Достарыңызбен бөлісу: |