Вопросы анализа рисков ИБ при построении системы защиты конфиденциальной информации

Александр Атаманов
генеральный директор ООО “ТСС"

Российские требования к анализу и управлению рисками информационной безопасности

В Российской Федерации вопрос защиты информации и обеспечения информационной безопасности затрагивается в целом ряде нормативных, методических и нормативно-методических документов. При этом информация в зависимости от категории доступа к ней подразделяется на общедоступную информацию, а также на информацию, доступ к которой ограничен федеральными законами (информация ограниченного доступа).

В соответствии с этим на сегодняшний день к информации ограниченного доступа, в частности, относятся: сведения, составляющие государственную тайну, и персональные данные.

Вопросы построения комплексной системы защиты информации отражены в руководящих и методических документах ФСТЭК России. В частности, в "СТР-К" три стадии создания системы защиты информации, в которых обследование объекта информатизации осуществляется только на предпроектной стадии. На стадии обследования объекта информатизации рекомендуется уточнить перечень угроз информации и модель вероятного нарушителя. Кроме того, руководящий документ ФСТЭК России "Концепция защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа к информации" говорит о том, что разработка мероприятий по защите должна проводиться одновременно с разработкой СВТ и АС и выполняться за счет финансовых и материально-технических средств (ресурсов), выделенных на разработку СВТ и АС.

Данные положения являются частью концепции комплексного подхода к построению системы защиты. Тем не менее их недостаточно для полноценной безусловной реализации этого подхода. Руководящие и методические документы, которые были изданы до недавнего времени, не содержат существенных требований к системе управления ИБ, мониторингу и аудиту. Они не предполагают постоянного контроля эффективности мер по защите информации (предусмотрен только регулярный контроль уполномоченными организациями), и методик создания систем защиты конфиденциальной информации в уже существующих и работающих автоматизированных системах.

Особую актуальность эта проблема приобрела с выходом 27 июля 2006 г. ФЗ "О персональных данных". Закон был принят в соответствии с Конвенцией Совета Европы "О защите физических лиц при автоматизированной обработке персональных данных" (ETS № 108, 1981 г.), которую Россия ратифицировала в 2005 г. Главной целью закона является обеспечение защиты прав и свобод человека и гражданина при обработке его ПДн. С принятием закона операторы персональных данных (то есть практически все государственные и коммерческие организации) стали обязаны привести свои информационные системы персональных данных (ИСПДн) в соответствие с предъявляемыми требованиями не позднее 1 января 2010 г.

Принятие этого закона выявило целый ряд проблем в области защиты информации в России, и несовершенство нормативных и методических документов являлось лишь одной из этих проблем. Стало очевидно практическое отсутствие технических средств защиты информации, обладающих необходимой функциональностью для защиты сложных гетерогенных автоматизированных систем, сетевых ресурсов, баз данных.

Констатируя фактическую невозможность исполнения требований закона подавляющим большинством операторов, а также несовершенство созданных в ходе подготовки к вступлению закона в силу нормативных и методических документов, крайний срок приведения ИСПДн в соответствие с требованиями закона был продлен до 1 января 2011 г.

В начале 2010 г. был подписан приказ № 58 от 5 февраля 2010 г. об утверждении "Положения о методах и способах защиты информации в информационных системах персональных данных", а также отменены некоторые ранее действующие документы.

Таким образом, ключевым документом при реализации системы защиты ПДн является модель угроз безопасности. При этом спецификой при защите ИСПДн в большинстве случаев является необходимость защиты уже существующих информационных систем, которые строились без учета требований по безопасности информации и существующих технологий защиты, что практически невозможно без внедрения комплексных систем защиты гетерогенных сетей, удовлетворяющих требованиям адаптивности, универсальности и совместимости.

Для составления модели угроз информационной безопасности была разработана "Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных".

В соответствии с данной моделью актуальной считается угроза, которая может быть реализована в ИСПДн и представляет опасность для ПДн. Подход к составлению перечня актуальных угроз состоит в следующем. Для оценки возможности реализации угрозы применяются два показателя: уровень исходной защищенности ИСПДн и частота (вероятность) реализации рассматриваемой угрозы. Под уровнем исходной защищенности ИСПДн понимается обобщенный показатель, зависящий от технических и эксплуатационных характеристик ИСПДн. Стоит отметить, что данная методика носит качественный характер.

Таким образом, при определении актуальных угроз в ИСПДн предлагается применять качественные методологии анализа рисков информационной безопасности. Кроме того, в нормативных и методических документах не приводится обоснования применения той или иной методики выявления актуальных угроз. В то же время в ходе проведения оценки рисков ИБ при построении комплексной системы защиты информации на объекте информатизации возникает задача агрегации экспертных оценок и имеющихся количественных данных. Оценка рисков усложняется также необходимостью учитывать ряд факторов: постоянное появление новых угроз информационной безопасности, ускорение темпов внедрения новых технологий автоматизации деятельности предприятия, возможную потерю актуальности данных, полученных в ходе анализа рисков.

Динамическая итеративная оценка риска как часть системы непрерывного аудита

При проведении оценки рисков информационной безопасности между началом исследования системы и выпуском итогового отчета проходит существенный период времени. Это значительно уменьшает ценность некоторых данных и может приводить к снижению уровня решения задач информационной безопасности по обеспечению конфиденциальности, целостности или доступности информации.

В связи с этим в последние годы активно разрабатывается концепция непрерывного аудита. Непрерывный аудит определяется как среда, позволяющая внутреннему или внешнему аудитору выносить суждения по значимым вопросам, основываясь на серии созданных одновременно или с небольшим промежутком отчетов. Возможность отслеживать снижение эффективности системы защиты в реальном (или максимально близком к реальному) времени дает возможность заметно повысить уровень решения задач информационной безопасности и позволяет оперативно реагировать на появление новых угроз информационной безопасности.

Следовательно, являются актуальными проблема получения количественных оценок параметров информационной системы и проблема управления рисками информационной безопасности в автоматизированной системе с учетом возможностей:

• агрегации разнородных данных;
• обучения в процессе работы и уточнения оценок, полученных на предыдущих этапах анализа;
• использования неточных данных;
• автоматизации большинства процессов принятия решений.

Таким образом, необходимо синтезировать подход к получению количественной оценки и управлению рисками информационной безопасности в автоматизированной системе, учитывая вышеуказанные возможности.

Для создания такой среды необходимо построение модели автоматизированной системы, что само по себе является сложной задачей, требующей, как правило, существенных упрощений.

В целях решения данных задач необходимо синтезировать автоматическую систему, позволяющую полностью или частично автоматизировать процесс описания среды функционирования и вывода значений рисков.

В задаче анализа рисков априорная вероятностная информация о реализации угроз может быть изменена после получения новых экспертных оценок или в результате наблюдения соответствующих событий, связанных с состояниями и подтверждающих или опровергающих априорную информацию. Многие статистические задачи, независимо от методов их решения, обладают общим свойством: до того как получен конкретный набор данных, в качестве потенциально приемлемых для изучаемой ситуации должны рассматриваться несколько вероятностных моделей. После того как получены данные, возникает выраженное в некотором виде знание об относительной приемлемости этих моделей. Одним из способов "пересмотра" относительной приемлемости вероятностных моделей является байесовский подход, основой которого выступает теорема Байеса. Практическое применение данного подхода затруднено отсутствием данных об условных вероятностях событий. В связи с этим особо актуально развитие существующих методик оценки рисков информационной безопасности, а также создание новых подходов, позволяющих обеспечить оценку риска информационной безопасности в реальных условиях эксплуатации автоматизированных систем.