1 октября 2021
Методика OCTAVE
Глава 2. Управление рисками
Содержание статьи
Методика OCTAVE «Оценка критичных угроз, активов и уязвимостей» (Operationally Critical Threat, Asset, and Vulnerability Evaluation) разработана в 2001 году институтом Software Engineering Institute (SEI) при университете Карнеги Меллон (Carnegie Mellon University).
Методика предлагает формализованную процедуру оценки рисков, представленную в виде четкой последовательности шагов с ясно определенными целями. Для каждого шага определена структура исходных сведений, необходимых на данном этапе, а также структура данных, которые должны быть получены в результате. Особенность этой методики состоит в том, что для решения задачи оценки рисков она предлагает использовать только сотрудников тестируемого предприятия, без привлечения сторонних консультантов. Утверждается, что они более информированы о том, как функционирует их предприятие, знают его слабости и внутренние резервы.
Привлекательность методики OCTAVE заключается также в том, что вся поддерживающая ее документация: комплект руководств, методические рекомендации, специально разработанные формы для заполнения в ходе исследования системы и протоколирования результатов обсуждений – все это общедоступно и бесплатно.
В соответствие с методикой OCTAVE для оценки рисков на предприятии создаются небольшие, по 3-5 человек, группы сотрудников предприятия, имеющих различную специализацию и относящихся к разным уровням служебной иерархии. Эти команды проводят серию рабочих совещаний, на которых фокусируются на трех (в общем-то достаточно типичных для задачи оценки рисков) проблемах:
Методика предлагает формализованную процедуру оценки рисков, представленную в виде четкой последовательности шагов с ясно определенными целями. Для каждого шага определена структура исходных сведений, необходимых на данном этапе, а также структура данных, которые должны быть получены в результате. Особенность этой методики состоит в том, что для решения задачи оценки рисков она предлагает использовать только сотрудников тестируемого предприятия, без привлечения сторонних консультантов. Утверждается, что они более информированы о том, как функционирует их предприятие, знают его слабости и внутренние резервы.
Привлекательность методики OCTAVE заключается также в том, что вся поддерживающая ее документация: комплект руководств, методические рекомендации, специально разработанные формы для заполнения в ходе исследования системы и протоколирования результатов обсуждений – все это общедоступно и бесплатно.
В соответствие с методикой OCTAVE для оценки рисков на предприятии создаются небольшие, по 3-5 человек, группы сотрудников предприятия, имеющих различную специализацию и относящихся к разным уровням служебной иерархии. Эти команды проводят серию рабочих совещаний, на которых фокусируются на трех (в общем-то достаточно типичных для задачи оценки рисков) проблемах:
- Первый этап. Определение профилей угрозы для критически важных активов предприятия;
- Второй этап. Идентификация уязвимостей инфраструктуры, как организационных, так и технологических;
- Третий этап. Разработка стратегии безопасности и планов снижения рисков, направленных на поддержку основных целей бизнеса.
Определение профилей угрозы для ключевых активов
Работа на данном этапе начинается с определения списка наиболее важных активов, оценки их стоимости, и определения требований безопасности для них.
Для того, чтобы сформулировать требования безопасности к каждому ключевому активу, команда аналитиков должна выяснить следующие вопросы:
В результате этих исследований для каждого актива формулируются требования безопасности в терминах конфиденциальности, целостности, доступности.
Далее для каждого из ключевых активов создается, так называемый профиль угрозы, то есть набор характеристик возможного нежелательного события, связанного с данным активом. Методика предусматривает выполнения ряда шагов, прежде, чем с каждым активом будет связан набор угроз.
В методике используется понятие типового (generic) профиля угрозы. Существует три типовых профиля, отличающихся типом источника угрозы и типовым набором последствий, к которым может привести реализация данной угрозы:
Для того, чтобы сформулировать требования безопасности к каждому ключевому активу, команда аналитиков должна выяснить следующие вопросы:
- Является ли информация, составляющая этот актив, чувствительной? Содержит ли она персональные данные? Должен ли доступ к ней быть ограничен для кого-либо?
- Насколько необходимо гарантировать для данного информационного ресурса аутентичность, полноту и точность?
- Является ли доступность обязательным требованием?
- Могут ли быть предъявлены к данному активу какие-либо другие требования, касающиеся безопасности?
В результате этих исследований для каждого актива формулируются требования безопасности в терминах конфиденциальности, целостности, доступности.
Далее для каждого из ключевых активов создается, так называемый профиль угрозы, то есть набор характеристик возможного нежелательного события, связанного с данным активом. Методика предусматривает выполнения ряда шагов, прежде, чем с каждым активом будет связан набор угроз.
В методике используется понятие типового (generic) профиля угрозы. Существует три типовых профиля, отличающихся типом источника угрозы и типовым набором последствий, к которым может привести реализация данной угрозы:
- Профиль угрозы, исходящей от человека-нарушителя, получающего доступ к активу либо через сеть (умышленный или неумышленный) либо с использованием физического доступа (умышленный или неумышленный)
- Профиль угрозы, вызванной техническими проблемами информационной системы (ошибки аппаратуры, ошибки программного обеспечения, вирусы, вредоносные программы и т.п.)
- Профиль угрозы, вызванной прочими угрозами (природные катаклизмы, террористические атаки, перерывы в электроснабжении и др.)
Таблица 2.3
Каждый параметр имеет несколько возможных значений. Все возможные комбинации значений параметров типового профиля могут быть графически представлены в виде дерева (рис. 2.4.). На рисунке изображена часть дерева, которая соответствует физическому способу проникновения, она симметрично повторяет профиль угрозы, возникающей из-за доступа нарушителя через сеть.
Рис. 2.4.
Типовой профиль угрозы, порождаемой человеком при физическом доступе
Типовой профиль угрозы, порождаемой человеком при физическом доступе
На рис. 2.5. показан еще один типовой профиль – профиль угроз, вызванных системными техническими проблемами.
Методика предусматривает возможность «подгонки» типовых профилей под особенности предприятия. Этот процесс может включать добавление новых - и исключение не применимых в данных условиях типов угроз. Например, профиль угрозы, вызванной человеком-нарушителем, может быть расширен за счет более тонкой дифференциации источника угрозы: вместо простой классификации на инсайдера и внешнего нарушителя, могут быть дополнительные виды лиц-нарушителей - шпионы, конкуренты, вандалы и другие категории.
Методика предусматривает возможность «подгонки» типовых профилей под особенности предприятия. Этот процесс может включать добавление новых - и исключение не применимых в данных условиях типов угроз. Например, профиль угрозы, вызванной человеком-нарушителем, может быть расширен за счет более тонкой дифференциации источника угрозы: вместо простой классификации на инсайдера и внешнего нарушителя, могут быть дополнительные виды лиц-нарушителей - шпионы, конкуренты, вандалы и другие категории.
Рис. 2.5.
Профиль угроз. вызванных техническими проблемами
Профиль угроз. вызванных техническими проблемами
Руководствуясь типовыми профилями, команда специалистов, проводящих оценку рисков, должна составить реальные профили угроз для каждого важного актива. Рассмотрим пример, в котором в качестве актива выступает архив проектной документации на разрабатываемое компанией программное обеспечение (спецификации, исходные и объектные коды, инструкции по инсталляции и т.п.)
Пусть этот архив хранится на сервере в виде простой файловой структуры. В результате обсуждений на рабочих совещаниях были сформулированы три сценария возможных нарушений по отношению к этому активу
Пусть этот архив хранится на сервере в виде простой файловой структуры. В результате обсуждений на рабочих совещаниях были сформулированы три сценария возможных нарушений по отношению к этому активу
Таблица 2.4.
Затем было сделано отображение всех трех сценариев нарушений на типовой профиль угроз с участием человека нарушителя (рис. 2.6..). Толстые линии показывают существующие угрозы активу (всего было установлено 4 угрозы), а тонкие – угрозы, которые не были установлены.
Рис. 2.6.
Отображение сценариев нарушений на типовой профиль
Отображение сценариев нарушений на типовой профиль
Заметим, что в нашем примере (для простоты) все угрозы связаны с человеком-нарушителем, получающим доступ через сеть. В реальности же вполне возможна ситуация, когда по отношению к данному активу – архиву документации – действуют и другие типы угроз, например, сбои дискового накопителя, перебои источника питания или внедрение вируса. Команда аналитиков должна отобразить все возможные сценарии нарушений на соответствующие типовые профили.
Выполнив подобные действия по отношению ко всем важным активам и всем возможным сценариям нарушений, специалисты по оценке рисков должны установить, все ли угрозы, существующие в системе в данный момент, учтены, например, не может ли внешний злоумышленник в третьем сценарии не только раскрыть и модифицировать информацию из архива, но и удалить (разрушить) данные или даже вызвать отказ в обслуживании. В результате такого анализа на дереве профиля угроз могут появится новые толстые линии.
Таким образом, результатами первого этапа анализа является связывание каждого актива с относящимися к нему угрозами, а также собранная и структурированная информация об этих угрозах (значения параметров профилей безопасности).
Выполнив подобные действия по отношению ко всем важным активам и всем возможным сценариям нарушений, специалисты по оценке рисков должны установить, все ли угрозы, существующие в системе в данный момент, учтены, например, не может ли внешний злоумышленник в третьем сценарии не только раскрыть и модифицировать информацию из архива, но и удалить (разрушить) данные или даже вызвать отказ в обслуживании. В результате такого анализа на дереве профиля угроз могут появится новые толстые линии.
Таким образом, результатами первого этапа анализа является связывание каждого актива с относящимися к нему угрозами, а также собранная и структурированная информация об этих угрозах (значения параметров профилей безопасности).
Идентификация уязвимостей инфраструктуры
На втором этапе основное внимание уделяется определению инфраструктурных уязвимостей, то есть уязвимостей программных и аппаратных компонентов вычислительной системы, поддерживающих существование каждого из выделенных активов. Например, для архива документации, в число таких компонентов входят файловый сервер (компьютер и ОС), рабочие станции сотрудников, обращающихся к архиву документации, сетевое оборудование (коммутаторы, маршрутизаторы) того сегмента сети, в котором работают указанные сервер и рабочие станции, сервер удаленного доступа, который используют сотрудники-телекомьютеры для работы из дома, их домашние компьютеры и др.
Для всех этих компонентов инфраструктуры проводится тщательный анализ уязвимостей, с применением стандартных методик, специальных сканеров, а также каталога уязвимостей для разных программных и аппаратных компонентов инфраструктуры, который предусматривается методикой в числе других вспомогательных материалов.
Идентифицированные уязвимости подразделяются на три класса: уязвимости, подлежащие немедленному устранению, уязвимости, которые надлежит устранить в ближайшее время, и уязвимости не требующие особого внимания. Результаты этой работы должны быть представленные в виде предварительного отчёта об уязвимостях ключевых элементов инфраструктуры. Этот отчёт будет использован на третьем этапе при создании профилей рисков.
Для всех этих компонентов инфраструктуры проводится тщательный анализ уязвимостей, с применением стандартных методик, специальных сканеров, а также каталога уязвимостей для разных программных и аппаратных компонентов инфраструктуры, который предусматривается методикой в числе других вспомогательных материалов.
Идентифицированные уязвимости подразделяются на три класса: уязвимости, подлежащие немедленному устранению, уязвимости, которые надлежит устранить в ближайшее время, и уязвимости не требующие особого внимания. Результаты этой работы должны быть представленные в виде предварительного отчёта об уязвимостях ключевых элементов инфраструктуры. Этот отчёт будет использован на третьем этапе при создании профилей рисков.
Разработка стратегии безопасности и планов снижения рисков
На третьем этапе вырабатывается стратегия обеспечения безопасности и планы снижения рисков, для чего решаются следующие задачи:
Методика OCTAVE не требует обязательной оценки вероятности осуществления угрозы, самым главным в оценке рисков здесь считается определение возможного ущерб. Если все же было решено привлечь вероятности для оценки рисков, то команда аналитиков прежде всего должна прийти к согласию, какую вероятность в числовом выражении они считают высокой, средней и низкой. Затем на основе этой универсальной шкалы качественных оценок должны быть определены вероятности атак. Полученные данные о вероятностях могут быть привлечены позже (на 6 шаге - корректировка стратегии) во время пересмотра приоритетов нарушений.
Следующей задачей является определение критериев оценки риска/ущерба выраженных в категориях здравого смысла. Для этого команда аналитиков должна прийти к согласию о том, что в их понимании означает «большой», «средний» или «незначительный» ущерб для их предприятия. Так, например, для одной организации простой корпоративного почтового сервера в течение часа является незначительным ущербом, а для другой – большим. В результате обсуждений создается универсальная шкала качественных оценок, применимая ко всем видам ущерба: репутационному, физической безопасности, финансовому, правовому, ущербу производительности.
Собственно оценка рисков/ущерба сводится к анализу дескрипторов ущерба, сгенерированных ранее, и приписыванию им соответствующей качественной оценки по шкале «большой- средний- незначительный». В результате для каждого актива создается профиль риска, включающий следующие данные:
Из каталога выбираются решения в наибольшей мере соответствующие нуждам предприятия, например, те из них, которые используют средства безопасности, уже используемые на предприятии, или направлены на устранение тех угроз, которые в условиях данного предприятия отнесены к высокоприоритетным, или касаются именно тех уязвимостей, которые были обнаружены в компонентах инфраструктуры предприятия.
Полученная в результате стратегия безопасности представляет собой набор предложений, адресуемых командой аналитиков руководству предприятия. Предложения в основном имеют характер долговременных инициатив, действующих в масштабе всего предприятия.
Следующим шагом является разработка планов по уменьшению рисков. Эта работа выполняется на основе всей собранной ранее информации. На этом шаге для каждого ключевого актива необходимо выяснить следующее:
Результатом данного этапа должны стать конкретные планы действий по смягчению последствий атак на критически важные ресурсы предприятия. Эти планы адресуются административному персоналу предприятия.
Далее руководство компании совместно с командой аналитиков изучает представленную стратегию безопасности и планы по уменьшению рисков и при необходимости вносит в них свои коррективы. Основаниями для внесения исправлений в представленные документы могут оказаться финансовые и организационные ограничения, а также перспективы развития предприятия.
Данный этап важен не только тем, что в разработку стратегии и планов свой вклад внесли бизнес-руководители, имеющие более точное представление ресурсах, которыми располагает предприятие, но и тем, что команда специалистов-«безопасников» получила поддержку бизнеса, столь необходимую для проведения в жизнь важного проекта.
Последнее, что предусмотрено в методике OCTAVE – это определение руководством предприятия своих следующих шагов в направлении реализации стратегии безопасности и планов по снижению рисков.
В результате анализа рисков совместными усилиями специалистов по безопасности и руководителей предприятия формируется политика безопасности(security policy) — совокупность документированных управленческих решений, руководящих принципов, правил, процедур и практических приёмов, направленных на защиту информации и поддерживающей ее инфраструктуры.
Политика безопасности определяет стратегические направления информационной защиты предприятия, а именно, очерчивает круг критически важных информационных ресурсов предприятия, защита которых представляет наивысший приоритет, предлагает меры, которые могут быть предприняты для устранения или уменьшения связанных с этими ресурсами рисков. На основе найденной стратегии разрабатывается программа обеспечения безопасности ИС, планируется совокупный бюджет, необходимый для выполнения программы, назначаются руководители и очерчивается зона их ответственности.
- Идентифицируются риски для активов
- Разрабатываются критерии оценки рисков
- Проводится оценка рисков
- Разрабатывается стратегия защиты
- Разрабатываются планы уменьшения рисков
- Выполняется корректировка стратегии и планов защиты руководством компании
- Определяются следующие шаги
- Какой ущерб репутации компании может быть нанесён данным нарушением?
- Насколько может снизится доверие клиентов?
- Возможен ли ущерб здоровью клиентов?
- Скажется ли это нарушение на производительности предприятия?
- Может ли это нарушение привести к штрафным санкциям?
- К какому финансовому ущербу может привести данное нарушение?
Методика OCTAVE не требует обязательной оценки вероятности осуществления угрозы, самым главным в оценке рисков здесь считается определение возможного ущерб. Если все же было решено привлечь вероятности для оценки рисков, то команда аналитиков прежде всего должна прийти к согласию, какую вероятность в числовом выражении они считают высокой, средней и низкой. Затем на основе этой универсальной шкалы качественных оценок должны быть определены вероятности атак. Полученные данные о вероятностях могут быть привлечены позже (на 6 шаге - корректировка стратегии) во время пересмотра приоритетов нарушений.
Следующей задачей является определение критериев оценки риска/ущерба выраженных в категориях здравого смысла. Для этого команда аналитиков должна прийти к согласию о том, что в их понимании означает «большой», «средний» или «незначительный» ущерб для их предприятия. Так, например, для одной организации простой корпоративного почтового сервера в течение часа является незначительным ущербом, а для другой – большим. В результате обсуждений создается универсальная шкала качественных оценок, применимая ко всем видам ущерба: репутационному, физической безопасности, финансовому, правовому, ущербу производительности.
Собственно оценка рисков/ущерба сводится к анализу дескрипторов ущерба, сгенерированных ранее, и приписыванию им соответствующей качественной оценки по шкале «большой- средний- незначительный». В результате для каждого актива создается профиль риска, включающий следующие данные:
- Профиль угрозы
- Требования безопасности
- Дескриптор ущерба
- Качественная оценка ущерба
- Перечень инфраструктурных компонентов, относящиеся к данному активу, и отчет об уязвимостях
- Характеристики вероятности угрозы (опционально)
- Какие меры, направленные на обучение и тренинг персонала, могли бы усовершенствовать безопасность предприятия?
- Что могло бы способствовать интеграции вопросов безопасности в бизнес-стратегию предприятия?
- Что может гарантировать понимание всеми членами коллектива их роли и ответственности в деле поддержания безопасности?
- Какой уровень расходов на обеспечение безопасности предприятия можно считать достаточным?
- Являются ли принципы и процедуры обеспечения безопасности, принятые на предприятии (в том числе в сфере работы с внешними организациями) удовлетворительными? Если нет, то как их можно улучшить?
- Что нужно сделать, чтобы гарантировать непрерывность функционирования предприятия и готовность персонала к работе в режиме восстановления после природных и техногенных катастроф?
Из каталога выбираются решения в наибольшей мере соответствующие нуждам предприятия, например, те из них, которые используют средства безопасности, уже используемые на предприятии, или направлены на устранение тех угроз, которые в условиях данного предприятия отнесены к высокоприоритетным, или касаются именно тех уязвимостей, которые были обнаружены в компонентах инфраструктуры предприятия.
Полученная в результате стратегия безопасности представляет собой набор предложений, адресуемых командой аналитиков руководству предприятия. Предложения в основном имеют характер долговременных инициатив, действующих в масштабе всего предприятия.
Следующим шагом является разработка планов по уменьшению рисков. Эта работа выполняется на основе всей собранной ранее информации. На этом шаге для каждого ключевого актива необходимо выяснить следующее:
- Какие типы угроз могут вызвать наибольший ущерб для бизнес-целей предприятия?
- Какие действия могут быть предприняты для распознавания этого типа угроз, когда они возникают?
- Какие действия могут быть предприняты для предотвращения или повышения устойчивости к данному типу угроз ?
- Какие действия могут способствовать восстановлению после реализации угроз этого типа?
- Какие риски следует всеми силами уменьшать, а какие можно принять, не предпринимая никаких действий по их смягчению?
- Какие меры могут быть использованы для подтверждения эффективности предлагаемых планов по уменьшению рисков?
Результатом данного этапа должны стать конкретные планы действий по смягчению последствий атак на критически важные ресурсы предприятия. Эти планы адресуются административному персоналу предприятия.
Далее руководство компании совместно с командой аналитиков изучает представленную стратегию безопасности и планы по уменьшению рисков и при необходимости вносит в них свои коррективы. Основаниями для внесения исправлений в представленные документы могут оказаться финансовые и организационные ограничения, а также перспективы развития предприятия.
Данный этап важен не только тем, что в разработку стратегии и планов свой вклад внесли бизнес-руководители, имеющие более точное представление ресурсах, которыми располагает предприятие, но и тем, что команда специалистов-«безопасников» получила поддержку бизнеса, столь необходимую для проведения в жизнь важного проекта.
Последнее, что предусмотрено в методике OCTAVE – это определение руководством предприятия своих следующих шагов в направлении реализации стратегии безопасности и планов по снижению рисков.
В результате анализа рисков совместными усилиями специалистов по безопасности и руководителей предприятия формируется политика безопасности(security policy) — совокупность документированных управленческих решений, руководящих принципов, правил, процедур и практических приёмов, направленных на защиту информации и поддерживающей ее инфраструктуры.
Политика безопасности определяет стратегические направления информационной защиты предприятия, а именно, очерчивает круг критически важных информационных ресурсов предприятия, защита которых представляет наивысший приоритет, предлагает меры, которые могут быть предприняты для устранения или уменьшения связанных с этими ресурсами рисков. На основе найденной стратегии разрабатывается программа обеспечения безопасности ИС, планируется совокупный бюджет, необходимый для выполнения программы, назначаются руководители и очерчивается зона их ответственности.
