Методика RiskWatch. 
Информационная безопасность

Компания RiskWatch разработала собственную методику анализа рисков и семейство программных средств, в которых она в той либо иной мере реализуется [19, 28, 29, 30J.

В семейство RiskWatch входят программные продукты для проведения различных видов аудита безопасности:

• — RiskWatch for Physical Security — для анализа физической защиты ИС;
• — RiskWatch for Information Systems — для информационных рисков:
• — HIPAA-WATCH for Healthcare Industry — для оценки соответствия требованиям стандарта HIPAA (от англ. «US Healthcare Insurance Portability and Accountability Act»), актуальным в основном для медицинских учреждений, работающих на территории США;
• — RiskWatch RW17799 for ISO 17 799 — для оценки соответствия ИС требованиям международного стандарта ISO 17 799.

В методе RiskWatch в качестве критериев для оценки и управления рисками используются ожидаемые годовые потери (англ. «Annual Loss Expectancy», ALE) и оценка возврата инвестиций (англ. «Return on Investment», ROI). RiskWatch ориентирована на точную количественную оценку соотношения потерь от угроз безопасности и затрат на создание системы защиты. В основе продукта RiskWatch находится методика анализа рисков, которая состоит из четырех этапов.

Первый этап — определение предмета исследования. Здесь описываются такие параметры, как тип организации, состав исследуемой системы (в общих чертах), базовые требования в области безопасности. Для облегчения работы аналитика в шаблонах, соответствующих типу организации («коммерческая информационная система», «государственная/военная информационная система» и т. д.), есть списки категорий защищаемых ресурсов, потерь, угроз, уязвимостей и мер защиты. Из них нужно выбрать те, что реально присутствуют в организации (рис. 4.11).

Рис. 4.11. Определение категорий защищаемых ресурсов.

Например, категории потерь:

• — задержки и отказ в обслуживании;
• — раскрытие информации;
• — прямые потери (например, от уничтожения оборудования огнем);
• — жизнь и здоровье (персонала, заказчиков и т. д.);
• — изменение данных;
• — косвенные потери (например, затраты на восстановление);
• — репутация.

Второй этап — ввод данных, описывающих конкретные характеристики системы. Данные могут вводиться вручную или импортироваться из отчетов, созданных инструментальными средствами исследования уязвимости компьютерных сетей. На этом этапе, в частности, подробно описываются ресурсы, потери и классы инцидентов. Классы инцидентов получаются путем сопоставления категории потерь и категории ресурсов.

Для выявления возможных уязвимостей используется вопросник, база которого содержит более 600 вопросов. Вопросы связаны с категориями ресурсов.

Также задается частота возникновения каждой из выделенных угроз, степень уязвимости и ценность ресурсов. Если для выбранного класса угроз в системе есть среднегодовые оценки возникновения (LAFE и SAFE), то используются они. Все это используется в дальнейшем для расчета эффекта от внедрения средств защиты.

Третий этап — количественная оценка риска. На этом этапе рассчитывается профиль рисков, и выбираются меры обеспечения безопасности. Сначала устанавливаются связи между ресурсами, потерями, угрозами и уязвимостями, выделенными на предыдущих шагах исследования. По сути, риск оценивается с помощью математического ожидания потерь за год. Например, если стоимость сервера $ 150 000, а вероятность того, что он будет уничтожен пожаром в течение года, равна 0,01, то ожидаемые потери составят $ 1500.

Формула расчета (m = p*v, где ш — математическое ожидание, р — вероятность возникновения угрозы, v — стоимость ресурса) претерпела некоторые изменения в связи с тем, что RiskWatch использует определенные американским институтом стандартов NIST оценки, называемые LAFE и SAFE. LAFE (от англ. «Local Annual Frequency Estimate») показывает, сколько раз в год в среднем данная угроза реализуется в данном месте (например, в городе). SAFE (от англ. «Standard Annual Frequency Estimate») показывает, сколько раз в год в среднем данная угроза реализуется в этой «части мира» (например, в Северной Америке). Вводится также поправочный коэффициент, который позволяет учесть, что в результате реализации угрозы защищаемый ресурс может быть уничтожен не полностью, а только частично.

Формулы (4.3) и (4.4) показывают варианты расчета показателя.

ALE.

где Asset Value — стоимость рассматриваемого актива (данных, программ, аппаратуры и т. д.);

Exposure Factor — коэффициент воздействия — показывает, какая часть (в процентах) от стоимости актива подвергается риску; Frequency — частота возникновения нежелательного события;

ALE — это оценка ожидаемых годовых потерь для одного конкретного актива от реализации одной угрозы.

Когда все активы и воздействия идентифицированы и собраны вместе, то появляется возможность оценить общий риск для ИС, как сумму всех частных значений.

Можно ввести показатели «ожидаемая годовая частота происшествия» (англ. «Annualized Rale of Occurrence» — ARO) и «ожидаемый единичный ущерб» (англ. «Single Loss Expectancy» — SLE), который может рассчитываться как разница первоначальной стоимости актива и его остаточной стоимости после происшествия (хотя подобный способ оценки применим не во всех случаях, например, он не подходит для оценки рисков, связанных с нарушением конфиденциальности информации). Тогда для отдельно взятого сочетания угрозаресурс применима формула (4.4):

Дополнительно рассматриваются сценарии «что если:», которые позволяют описать аналогичные ситуации при условии внедрения средств защиты. Сравнивая ожидаемые потери при условии внедрения защитных мер и без них можно оценить эффект от таких мероприятий.

RiskWatch включает в себя базы с оценками LAFE и SAFE, а также с обобщенным описанием различных типов средств защиты.

Эффект от внедрения средств защиты количественно описывается с помощью показателя ROI (Return on Investment — возврат инвестиций), который показывает отдачу от сделанных инвестиций за определенный период времени. Рассчитывается он по формуле:

где Costsj — затраты на внедрение и поддержание у-меры защиты; BenefitSi — оценка той пользы (т. е. ожидаемого снижения потерь), которую приносит внедрение данной меры защиты; NPV (Net Present Value) — чистая текущая стоимость.

ROI.

Рис. 4.12. Пример графика показателя ROI для различных мер защиты.

Четвертый этап — генерация отчетов. Типы отчетов:

• — краткие итоги;
• — полные и краткие отчеты об элементах, описанных на стадиях 1 и
• 2;
• — отчет от стоимости защищаемых ресурсов и ожидаемых потерях от реализации угроз;
• — отчет об угрозах и мерах противодействия;
• — отчет о ROI (фрагмент приведен на рис. 4.12);
• — отчет о результатах аудита безопасности.

Таким образом, рассматриваемое средство позволяет оценить не только те риски, которые сейчас существуют у предприятия, но и ту выгоду, которую может принести внедрение физических, технических, программных и прочих средств и механизмов защиты. Подготовленные отчеты и графики дают материал, достаточный для принятия решений об изменении системы обеспечения безопасности предприятия.