3.6 Описание пошаговой методики
Оценка защищенности с учетом приведенных выше расчетных формул и выбор оптимального варианта системы защиты (необходимого набора механизмов защиты) осуществляется следующим образом:
1. Расчет параметров Сi, li, рi. для оценки защищенности по исходным данным, полученным статистическим или, в случае недостатка статистики, одним из приведенных выше способов (оптимистически-пессимистический подход, метод экспертной оценки).
2. Расчет критериев защищенности D, ЦС3И ,ПСЗИ (dПСЗИ) для каждого варианта системы защиты (набора механизмов защиты).
3. Выбор системы защиты (набора механизмов защиты при разработке системы) с максимальным коэффициентом защищенности D, удовлетворяющей ограничениям по стоимости ЦС3И и производительности ПС3И.
4. Анализ изменения коэффициента защищенности dDпри задании приращений для критериев ЦС3И и dПСЗИ методом последовательного выбора уступок с оценкой целесообразности выбора системы, удовлетворяющей новым ограничениям.
Для получения более точных данных приближенных к реальности и в большей степени соответствующих специфике организации, на первом этапе (подготовительном), предшествующем этапу расчета параметров, требуется провести тщательное описание системы. Этот пункт является неотъемлемой частью многих международных стандартов в области информационной безопасности. Его значимость очевидна, т.к. чем лучше специалист знает объект который ему предстоит защищать, тем более точную оценку он сможет получить[8].
На данном шаге описываются цели создания информационной системы, ее границы, информационные ресурсы, требования в области ИБ и компонентов управления информационной системой и режимом ИБ.
Описание информационной системы рекомендуется выполнять в соответствии со следующим планом:
· аппаратные средства ИС, их конфигурация;
· используемое ПО;
· интерфейсы системы, то есть внешние и внутренние связи с позиции информационной технологии;
· типы данных и информации;
· персонал, работающий в данной ИС (обязанности);
· миссия данной ИС (основные цели);
· критичные типы данных и информационные процессы;
· функциональные требования к ИС;
· категории пользователей системы и обслуживающего персонала;
· формальные требования в области ИБ, применимые к данной ИС (законодательство, ведомственные стандарты и т.д.);
· архитектура подсистемы ИБ;
· топология локальной сети;
· программно-технические средства обеспечения ИБ;
· входные и выходные потоки данных;
· система управления в данной ИС (должностные инструкции, система планирования в сфере обеспечения ИБ);
· существующая система управления в области ИБ (резервное копирование, процедуры реагирования на нештатные ситуации, инструкции по ИБ, контроль поддержания режима ИБ и т.д.).
· организация физической безопасности;
· управление и контроль внешней по отношению к ИС средой (климатическими параметрами, электропитанием, защитой от затоплений, агрессивной среды и т.д.).
· На втором шаге методике при оценке стоимости СЗИ может использоваться 2 подхода:
1. Первый подход - назовем его наукообразным - заключается в том, чтобы освоить, а затем применить на практике необходимый инструментарий получения метрики и меры безопасности, а для этого привлечь руководство компании (как ее собственника) к оценке стоимости защищаемой информации, определению вероятностей потенциальных угроз и уязвимостей, а также потенциального ущерба. Если информация не стоит ничего, существенных угроз для информационных активов компании нет, а потенциальный ущерб минимален - и руководство это подтверждает - проблемой ИБ можно, наверное, не заниматься. Если же информация стоит определенных денег, угрозы и потенциальный ущерб ясны, то понятны и рамки бюджета на корпоративную систему ИБ. Существенно, что при этом становится возможным привлечь руководство компании к осознанию проблем ИБ и построению корпоративной системы защиты информации и заручиться его поддержкой. В качестве такого подхода для оценки стоимости системы защиты может использоваться данная методика без введения ограничений на параметр ЦСЗИ, а ориентироваться только на требуемый уровень защищенности [5].
2. Второй подход (назовем его практическим) состоит в следующем: можно попробовать найти инвариант разумной стоимости корпоративной системы защиты информации. Ведь существуют аналогичные инварианты в других областях, где значимые для бизнеса события носят вероятностный характер. Поэтому эксперты-практики в области защиты информации нашли некий оптимум, позволяющий чувствовать себя относительно уверенно, - стоимость системы ИБ должна составлять примерно 10-20% от стоимости КИС - в зависимости от уровня конфиденциальности информации. Это и есть та самая оценка на основе практического опыта (bestpractice), на которую можно положиться. Очевидно, что второй подход не лишен недостатков. Здесь, скорее всего, не удастся заставить руководство глубоко осознать проблемы ИБ. Но зато можно смело прогнозировать объем бюджета на ИБ и существенно сэкономить на услугах внешних консультантов[4].
В данном разделе была описана пошаговая методика оценки средств СЗИ. Описаны параметры, с которыми оперирует методика, методы их получения и оценки. Также был описан принцип оценки рисков, положенный в основу методики и выведена формула для получения количественной оценки уровня защищенности, обеспечиваемого СЗИ.
4.1 Описание защищаемой корпоративной системы
Разработанная нами методика позволяет оценить уровень защищенности КИС при определенном наборе средств СЗИ и, соответственно, оценить эффективность средств СЗИ. Относительно КИС проведем оценку СЗИ по данной методике именно в аспекте сетевой защиты. Так как эта область ИБ является очень динамичной и требует к себе особого внимания.
Уровень защищенности и эффективность средств защиты будем оценивать для сети представленной на рисунке 4.1. Этот пример отражает в себе корпоративную сеть небольшого предприятия, с несколькими филиалами и сотрудниками, работающими на дому с возможностью удаленного подключения к сети.
Рисунок 4.1. Пример КИС небольшого предприятия
Система состоит из следующих элементов:
· точка доступа VPN для удаленного подключения к КИС сотрудников предприятия либо удаленных офисов;
· межсетевой экран с поддержкой proxy и NAT;
· IDS –система обнаружения вторжений;
· сервер обновлений ПО, клиентских ОС;
· сервер антивирусной защиты;
· почтовый корпоративный сервер smtp и pop3.
· внутренняя локальная сеть с рабочими станциями сотрудников отделов.
· файл-сервер на котором хранятся документы отделов и информация общего пользования. Данный сервер одновременно является контроллером домена WindowsNT.
На компьютерах сотрудников установлена операционная система MSWindows 2000 SP4 с последним набором обновлений и стандартным ПО от Microsoft.входящим в комплект поставки ОС. На контроллере домена установлена ОС Windows 2003 Server.
Для данной сети защищаемая информация хранится как на локальных компьютерах пользователей по отделам, так и на файл-сервере. Причем с этими данными пользователи должны иметь возможность работать как в локальной сети, так и удаленно из дома или из другого филиала предприятия. Для оценки уровня критичности данного сервиса отметим сделаем предположение, что 30 процентов персонала компании, имеющие доступ к защищаемой информации работают удаленно. Это обусловлено повышенной мобильностью персонала, частыми командировками, а также с целью повышения общей продуктивности персонала многие сотрудники работают на дому.
Как уже говорилось в первом разделе, в данном примере определения уровня защищенности КИС будет определяться только в сетевом аспекте, с защитой как от внешнего так и о внутреннего злоумышленника.
4.2 Определение списка угроз для данной КИС
В первую очередь нам нужно оценить информационные угрозы, вероятности их отражения СЗИ, а также величину потерь в результате реализации угроз. Для этого получения точных оценок требуется наиболее полное перечислений угроз сетевой безопасности для описанной сети. Важно выявить и идентифицировать полный список угроз, так как именно в этом случае будет получена точная оценка. Для перечня угроз можно использовать как стандарты в области безопасности, которые содержат в себе списки угроз и контрмер по защите от них, так и личный опыт по защите в данной области. В большинстве случаев стандарты дают только общий список угроз, берущийся за основу и достаточный для базового уровня защищенности. Для обеспечения более высоких требований к информационной безопасности этот список должен быть дополнен [5].
Применительно к конкретной системе этот список может дополняться пунктами, характеризующими данную систему и составленных на основе её специфики, области ее деятельности предприятия, специфической модели нарушителя, и стоимости информации.
За основу списка взят список угроз из германского стандарта BSI [9]. Этот стандарт появился в Германии в 1998 г. как «Руководство по защите информационных технологий для базового уровня защищенности». Можно выделить следующие блоки этого документа:
· методология управления ИБ (организация менеджмента в области ИБ, методология использования руководства);
· компоненты информационных технологий:
- основные компоненты (организационный уровень ИБ, процедурный уровень, организация защиты данных, планирование действий в чрезвычайных ситуациях);
- инфраструктура (здания, помещения, кабельные сети, организация удаленного доступа);