Анализ и оценка уязвимости информации в кредитных организациях

На данный момент проблеме, связанной с анализом рисков информационной безопасности отводится большое внимание. Причины следующие. Во-первых, это не-прекращающийся рост различных технологий, которыми пользуются современные компании. Во-вторых, повышается ценность информации, которая появляется и используется во время работы организации.

Среди различных видов организаций следует выделить особое место банковской сфере. Причиной этому является то, что информация, которая генерируется и обрабатывается в этой сфере, имеет особую ценность. Эта ценность достигается за счет того, что огромный пласт всех данных, которыми оперируют кредитные организации – это персональные данные клиентов. Если не обеспечить достойную защиту персональных данных возникает риск возможного доступа злоумышленников к финансовым ресурсам клиента. Помимо риска, связанного с уязвимостью денежных средств, существует банковская тайна [1]. Основная суть этого понятия состоит в том, чтобы не разглашать сведения о счетах и вкладах своих клиентов, а также сведения о банковских операциях по счетам и сделках в интересах клиентов, разглашение которых может разрушить право последних на неприкосновенность частной жизни (ФЗ «О банках и банковской деятельности») [2].

Несмотря на важность и ценность данных, которыми оперируют кредитные организации, на данный момент не существует стандартизированной методики для анализа уязвимости информации, оценки рисков, которая была бы обязательной к использованию всеми банками РФ [3].

Существующие методики анализа и оценки рисков информационной безопасности

CCTA Risk Analysis and Management Method (CRAMM). Эту методику можно считать одной из первых на рынке анализа уязвимостей. В ее основе заложены процедуры определения как качественного анализа рисков, так и количественного. В данной методике имеется два способа проведения оценки анализа рисков. Это обеспечение базового уровня информационной безопасности и полный анализ рисков. В зависимости от того, какая задача стоит, определяется способ оценки рисков ИБ.

Facilitated Risk Analysis Process (FRAP) представляет собой методику для качественной оценки рисков. Поиск и анализ уязвимостей, согласно методике FRAP, состоит из пяти этапов.

• 1.    На первом шаге с помощью технической документации, различного анализа

• 2.    На втором шаге происходит идентификация угроз.

• 3.    На третьем этапе, когда уже определен перечень потенциальных угроз, необходимо провести анализ для каждого риска. Под анализом имеется ввиду частота возникновения риска, а также масштаб ущерба, который понесет организация в случае реализации этого риска. Таким образом вероятность возникновения угрозы может принимать значения: High Probability, Medium Probability, Low Probability. Ущерб принимает значения: High Impact, Medium Impact, Low Impact. На основе этих параметров, задается матрица определения уровня риска [5].

сетей определяется список активов, которые являются наиболее уязвимыми.

Risk Advisor – ПО, представленное компанией MethodWare. Данная методика состоит из пяти этапов.

• 1.    Описание контекста. Первым делом нужно описать общее взаимодействие, как внутреннее, так и внешнее, организации. Необходимо описать это взаимодействие с различных сторон. Основными параметрами, которые необходимо учитывать для построения модели, являются стратегические, организационные, бизнес цели.

• 3.    Описание рисков. Для стандартизации процедуры принятия решений, которые связаны с рисками, нужно стандартизировать информацию, которая по ним имеется. Во многих моделях, которые уже были рассмотрены в работе, используется матрица рисков. В данной модели применяется схожая матрица, однако, в ней также учитывается связь каждого элемента системы с другими составляющими.

• 4.    Описание угроз. Составляется список угроз, после чего происходит классификация согласно качественной шкале. После чего происходит сопоставление угрозы с риском ее реализации.

• 5.    Оценка ущерба. На этом этапе происходит описание событий, которые связаны с различными возможными инцидентами в ИБ. После чего происходит оценка рисков и оценка ущерба, который вызвали эти события.

• 6.    Анализ проделанной работы. Это завершающий этап методики, на котором

формируется детализированный отчет, составляется граф рисков [6].

RiskWatch – решение, представленное американской кампанией RiskWatch. В методике реализовано четыре этапа:

• 1.    Подготовительный этап. На первом шаге происходит определение предмета исследования.

• 2.    Детальное описание. На втором шаге происходит детальное описание всех составляющих системы. Под детальным описанием понимается определение ресурсов, типов угроз, потерь при реализации тех или иных рисков

• 3.    Количественная оценка рисков. Для количественной оценки необходимо сопоставить угрозы и уязвимости с возможными потерями. Для каждого риска необходимо рассчитать математическое ожидание потерь за год.

• 4.    Составление отчетности. Это заключительный этап, на котором происходит сбор информации, полученной на первом, втором и третьем шаге. Генерируются отчеты, в которых указаны защищаемые ресурсы, возможные угрозы, а также ожидаемые убытки, в случае реализации этих угроз [7].

ГРИФ представляет собой средство для комплексного анализа уязвимостей и выявления рисков. Данное программное обеспечение разработано компанией Digital Security. В основе данной методики лежит два различных приема, позволяющих оценивать риски ИБ: «модель угроз и уязвимостей» и «модель информационных потоков».

Как и все методики, посвященные анализу уязвимостей и оценке риска ИБ, программный комплекс ГРИФ имеет несколько этапов. На начальном этапе происходит подробное описание информационной системы. Определяются элементы системы, которые оперируют ценной информацией, а также защитные средства и группы пользователей с различными правами доступа. Собрав всю необходимую информацию, можно построить подробную архитектурную модель ИС компании. На основе этой модели уже можно проводить анализ уязвимости информации и составлять оценку рисков [8].

Анализ уязвимостей и оценка рисков информационной безопасности кредитной организации

Для определения оценки рисков информационной безопасности будут использованы такие методики, как RiskWatch, CRAMM и ГРИФ.

Комплексный анализ и оценка рисков даже небольшой части информационной системы банка – это крайне сложная и ответственная задача. В данной работе будет проведена качественная и количественная оценка риска от реализации двух угроз, связанных с получением доступа к ресурсу. При расчете будем использовать метод анализа угроз и уязвимостей.

Первый этап – подготовительный. Определяем критерии принятия риска. Риск является допустимым, если на этапе качественной оценки риска ему будет присвоена оценка 1 или 2 по шкале от 1 до 7.

Определяем границы исследуемой системы. В связи с тем, что мы ограничены в информации обо всей ИС банка, рассмотрим в качестве исследуемой системы рабочее место сотрудника.

Второй этап – более подробное описание исследуемой системы. В силу того, что мы рассматривает исследуемую ИС с позиции рабочего места сотрудника, выделим самые значительные ресурсы и наиболее ценную информацию в них.

Таблица 1. Главные ресурсы организации

Класс ресурса	Ресурс	Информация	Критичность ресурса, D
Аппаратный	Рабочая станция	Финансовая отчетность	Dc = 10
		Конфиденциальная информация о работе отдела
			Da = 2
		Персональные данные клиентов
			Di = 5
		Инф. о счетах
		Инф. о транзакциях
		Корпоративная электронная почта
Программный	SAS Enterprise Guide	Персональные данные клиентов	Dc = 10
			Da = 3
		Инф. о счетах	Di = 4
		Инф. о транзакциях
	Lotus Notes	Корпоративная электронная почта	Dc = 10
			Da = 7
			Di = 4
	MyClient	Персональные данные клиентов	Dc = 10
			Da = 9
		Финансовая отчетность	Di = 7

Далее составим перечень угроз и уязвимостей, через которые могут быть реализованы данные угрозы (табл. 2).

Таблица 2. Уязвимости ресурса «Рабочая станция»

Угроза	Уязвимость	Критичность реализации угрозы, ER	Вероятность реализации угрозы, P(V)
Халатность сотрудника: покинул рабочее место без выхода из системы.	Автоматический выход из системы происходит только через 10 минут бездействия пользователя	ERc = 70%	P(V)c = 4%
		ERa = 10%	P(V)a = 1%
		ERi = 50%	P(V)i = 1%
Получение обслуживающим	Недостатки организационных мер защиты: сотрудник хранит логин и	ERc = 70%	P(V)c = 2%
		ERa = 10%	P(V)a = 1%
персоналом логина и пароля сотрудника Результат: открыт доступ к информации	пароль под клавиатурой	ERi = 50%	P(V)i = 1%
	Недостатки организационных мер защиты: обслуживающий персонал работает в то же время, когда и основные сотрудни-	ERc = 70%	P(V)c = 1%
		ERa = 10%	P(V)a = 1%
		ERi = 50%	P(V)i = 1%

Третий этап – оценка рисков. Определя-      Переводим показатели ER и P(V) из ем уровень риска качественным методом:     процентов в качественные показатели следующим образом:

Таблица 3. Перевод показателей из количественных в качественные величины

ER		P(V)
0 – 20%	Очень низкий	0 – 33%	Низкий
21 – 40%	Низкий
		34 – 66%	Средний
41 – 60%	Средний
61 – 80%	Высокий
		67 – 100%	Высокий
81 – 100%	Очень высокий

По матрице оценки рисков методики   определенную уязвимость. Результат ка-

CRAMM смотрим, какому уровню соот-   чественной оценки показан в таблице 4.

ветствует риск реализации угрозы через

Таблица 4. Результаты качественной оценки рисков

Угроза	Уязвимость	Критичность реализации угрозы, ER	Вероятность реализации угрозы, P(V)	Качественная оценка
Халатность сотрудника: покинул рабочее место без выхода из системы. Результат: открыт доступ к информации	Автоматический выход из системы происходит только через 10 минут бездействия пользователя	ERc -"высокий"	P(V)c - "низкий"	6
		ERa - "очень низкий"	P(V)a - "низкий"	5
		ERi - "средний"	P(V)i - "низкий"	6
Получение обслуживающим персоналом логина и пароля сотрудника Результат: открыт доступ к информации	Недостатки организационных мер защиты: сотрудник хранит логин и пароль под клавиатурой	ERc -"высокий"	P(V)c - "низкий"	6
		ERa - "очень низкий"	P(V)a - "низкий"	5
		ERi - "средний"	P(V)i - "низкий"	6
	Недостатки организационных мер защиты: обслуживающий персонал работает в то же время, когда и основные сотрудники – есть возможность подсмотреть логин и пароль при вводе	ERc -"высокий"	P(V)c - "низкий"	6
		ERa - "очень низкий"	P(V)a - "низкий"	5
		ERi - "средний"	P(V)i - "низкий"	6

Таким образом, качественный анализ в ходе исследования дает понять, что ни один риск не является приемлемым. Поэтому на этом этапе необходимо провести количественную оценку. Входные данные для количественной оценки приведены в таблице 4. Для начала произведем расчет уровня угроз по каждой базовой уязвимости:

Тһ=     ×2 ^{( v}- ⁾ ,                    (1)

100    100                      v 7

Тһ1 =    ×    = 0.028,

,

Тһ1 =    ×    = 0.001,

,

Тһ1 =    ×    = 0.005,

,

Тһ2,1_c =    ×    = 0.014 ,

Тһ2,1 a ^{=    ×}     = 0.001 ,

Тһ2,1 =    ×    = 0.005 ,

Тһ2,2 =    ×    = 0.007 ,

Тһ2,2 a ^{=    ×}     = 0.001 ,

Тһ2,2 =    ×    = 0.005, где ER – критичность реализации угрозы в процентах;

P(V) – вероятность реализации угрозы в процентах;

Тһ1 – параметр, определяющий реализацию первой угрозы (табл. 2);

Тһ2,1 – параметр, определяющий реализацию второй угрозы по первой уязвимости (табл. 2);

Тһ2,2 – параметр, определяющий реализацию второй угрозы по второй уязвимости (табл. 2);

индексы c, i, a показывают, на каком из базовых уровней проводился анализ угрозы: конфиденциальность целостность или доступность.

Теперь необходимо рассчитать уровень угрозы по всем уязвимостям:

СТһ=1-∏k=l(1-Тһк ) ,       (2)

СТһ2 =1-(1-0.014)×(1-0.007)=

0.021 ,

СТһ2 =1-(1-0.001)×(1-0.001)=

0.002 ,

СТһ2 i =1-(1-0.005)×(1-0.005)=0.01, где Тһ – угроза по одной уязвимости;

СTh – значение уровня угрозы по всем уязвимостям.

Индексы c, i, a показывают, на каком из базовых уровней проводился анализ угрозы: конфиденциальность целостность или доступность. Первая угроза может быть реализована лишь через одну уязвимость, поэтому расчет проводился только для второй.

Теперь необходимо рассчитать уровень угроз для ресурса в целом для каждой из трех базовых угроз:

CThR=1-∏k=l(1-СТһк),      (3)

CThR =1-(1-0.028)×(1-0.021)= 0.048,

CThR =1-(1-0.001)×(1-0.002)= 0.003,

CThRi=1-(1-0.005)×(1-0.01)=0.015, где СTh – значение уровня угрозы по всем уязвимостям;

СThR – значение уровня угрозы в рамках всего ресурса.

Индексы c, i, a показывают, на каком из базовых уровней проводился анализ угрозы: конфиденциальность целостность или доступность.

Рассчитаем риск для ресурса по каждой из базовых угроз:

R=CThR ×D,        (4)

^R total = 1-((1- ioo) ^×(1- 100) ×(1- ioo))^×100 ,  (5)

R = 0.048 ×10=0.48 ,

R = 0.003 ×2=0.006 ,

R = 0.015 ×5=0.075 ,

D          I 1       1     0.48\     fl     0.075\

R = 1-  1- 100 / ×  1- 100 / ×

1- 0.006100×100=0.56, где Ra, Rb, Rc – риск по каждой базовой угрозе;

R total – итоговое значение риска по всем трем базовым угрозам.

Для оценки критичности ресурса по каждой из трех базовых угроз в методике используется ранжирование по уровням от

1 до 10. Такое решение было принято для того, чтобы сделать методику более гибкой. Для оценки финансовой составляющей каждому из уровней необходимо сопоставить денежный эквивалент и на последнем шаге просто просуммировать значения по каждой из базовых угроз.

Выводы

В ходе данной работы был проведен анализ уязвимостей информации и осуществлена оценка рисков информационной безопасности кредитной организации. Расчет качественной и количественной оценки рисков производился по комбинированной методике, основные принципы которой были заимствованы из ГРИФ и CRAMM. В качестве объекта исследова- ния был выбран такой ресурс, как рабочая станция сотрудника кредитного отдела, по которому были получены следующие значения общий уровень угроз по ресурсу для каждого из трех базовых типов угроз:

R c = 0.48;

R a = 0.006;

R i = 0.075;

где R c, a, i – риск по ресурсу для каждого из трех базовых типов угроз.

Самый высокий показатель общего уровня угроз – показатель конфиденциальности. Это объясняется критичностью реализации угрозы выбранного ресурса.