ARIS модель процесу вироблення стратегії захисту інформації OCTAVE
На сучасному стані інформатизації діяльності підприємств, організацій та відомств з’явилася потреба стратегічного погляду на шлях розвитку систем забезпечення безпеки інформації, які забезпечать стан зростання рівня безпеки інформації у довгостроковій перспективі. У зв’язку з цим в практиці управлінської діяльності захисту інформації пропонується застосувати методологію стратегічного управляння… Читати ще >
ARIS модель процесу вироблення стратегії захисту інформації OCTAVE (реферат, курсова, диплом, контрольна)
МАГІСТЕРСЬКА АТЕСТАЦІЙНА РОБОТА
ARIS модель процесу вироблення стратегії захисту інформації OCTAVE
ЗМІСТ
- ПЕРЕЛІК УМОВНИХ СКОРОЧЕНЬ
- ВСТУП
- 1. ХАРАКТЕРИСТИКА ЗАГАЛЬНОГО ПІДХОДУ OCTAVE
- 1.1 Основні положення підходу
- 1.2 Короткий опис фаз підходу
- 1.3 Місце процесів оцінки в загальному циклі Керування безпекою інформації (ризиками)
- 2. АРХІТЕКТУРА ІНТЕГРОВАНИХ ІНФОРМАЦІЙНИХ СИСТЕМ
- 2.1 Введення в АRIS
- 2.2 Моделі ARIS
- 2.3 Концепція архітектури інтегрованих інформаційних систем
- 3. ЗМІСТ ВХІДНИХ І ВИХІДНИХ ІНФОРМАЦІЙНИХ ОБ'ЄКТІВ
- 4 СТРУКТУРА КРИТЕРІЇВ OCTAVE
- 4.1 Принципи
- 4.2 Атрибути процесу оцінювання
- 4.3 Ісходи
- 5. ПРОЦЕСИ (ФУНКЦІЇ) ОЦІНКИ
- 5.1 Процес 1: Побудова профілю погроз безпеки
- 5.2 Процес 2: Ідентифікація вразливостей
- 5.3 Процес 3: Розробка стратегії безпеки й планів захисту
- 6. ОПИС ДІЙ ПО ОЦІНЦІ РИЗИКІВ
- 7. МОДЕЛЮВАННЯ В ARIS 5.0
- 7.1 Опис програми
- 7.2 Модель дерева функцій (Function Tree)
- 7.3 Модель ланцюжка доданої вартості (Value-Added chaіn Dіagram)
- 7.4 Модель подійно-керованого процесу (еEPC)78
- 8. ПОБУДОВА МОДЕЛЕЙ ПРОЦЕСУ ВИРОБЛЕННЯ СТРАТЕГІЇ ЗАХИСТУ ІНФОРМАЦІЇ OCTAVE
- 8.1 Модель Functional Tree
- 8.2 Модель VAD
- 8.3 Модель еЕРС
- ВИСНОВОК
- СПИСОК ВИКОРИСТАНОЇ ЛІТЕРАТУРИ
ПЕРЕЛІК УМОВНИХ СКОРОЧЕНЬ
OCTAVE — The Operationally Critical Threat, Asset, and Vulnerability Evaluation
ІТС — інформаційно-телекомунікаційна система
БІ - безпека інформації
ІТІ - інформаційно-телекомунікаційна інфраструктура
ІБ — інформаційна безпека
АГ — аналітична група
ГА — група аналізу
FT — Function Tree
VAD — ValueAdded chaіn Diagram
eEPC — Extended event driven process chain
ВСТУП
На сучасному стані інформатизації діяльності підприємств, організацій та відомств з’явилася потреба стратегічного погляду на шлях розвитку систем забезпечення безпеки інформації, які забезпечать стан зростання рівня безпеки інформації у довгостроковій перспективі. У зв’язку з цим в практиці управлінської діяльності захисту інформації пропонується застосувати методологію стратегічного управляння безпекою. Необхідність уведення в практику захисту інформації такого поняття та інструменту, як стратегія захисту інформації з метою чіткого обґрунтування принципових підходів до забезпечення безпеки інформації вказують роботи російських фахівців, а також у міжнародному стандарті ISO/IES13335. Але у відомій літературі ці поняття глибоко не проаналізовані, не визначено їх роль у практичній діяльності та в управлінні безпекою не розглядається питання розроблення стратегій захисту та ефективного застосування стратегічного управління безпекою за допомогою моделювання. Таким чином актуальним стає задача розробка стратегії захисту інформацій, яка буде адекватна реальному рівню загроз безпеці інформації.
Складність полягає в тому, що необхідно сформувати єдиний підхід до забезпечення безпеки інформації на адміністративному рівні або на рівні керування організацією. У цьому випадку необхідно розглядати проблему інформаційної безпеки з погляду інфраструктури організації та добре представляти інфраструктурну сутність цієї проблеми.
АРІС (АРхітектура Інтегрованих Систем) являє собою цілісний підхід до розробки й аналізу моделей бізнес-процесів. Структурний аналіз як сукупність моделей складних систем внаслідок великої розмірності розв’язуваних завдань повинен опиратися на потужні засоби комп’ютерної підтримки, що забезпечує автоматизацію праці системних аналітиків. У роботі для моделювання стратегії БІ обраний програмний продукт ARІS 5.0. Мета моделювання полягає в перетворенні загальних, розпливчастих знань про вихідну предметну область (стратегію захисту інформації OCTAVE) у точні моделі, що описують різні підсистеми.
1. ХАРАКТЕРИСТИКА ЗАГАЛЬНОГО ПІДХОДУ OCTAVE
На сьогоднішній день відсутні комплексні системні методики й методи, формального або неформального характеру, які дозволяють на систематичній основі вирішувати задачі по розробці концепції ІБ або корпоративної політики безпеки у великих організаціях. Найбільш конструктивним щодо цього підходом є підхід OCTAVE, розроблений Software Engineering Institute і Carnegie Mellon University. Він має достатню спільність, що дозволяє розробити практичні методи й системні методики для вирішення перерахованих вище задач. Підхід OCTAVE був узятий за основу для створення системної методики й відповідного науково-методичного апарата, що дозволяє формалізувати процеси розробки стратегії забезпечення безпеки інформації організації.
Метод Оперативної оцінки критичних ресурсів, погроз, активів і уразливостей (Operatіonally Crіtіcal Threat, Asset, and Vulnerabіlіty EvaluatіonSM (OCTAVE®)) — це підхід, що визначає стратегію оцінки й планування дій по забезпеченню безпеки інформації на основі оцінки ризиків (rіsk-based).
1.1 Основні положення підходу
OCTAVE є загальним підходом по оцінці погроз, ресурсів, і вразливостей на рівні організації в цілому. Основною посилкою (передумовою) є те, що ефективна оцінка ризиків повинна розглядатися як з організаційної так і технологічних точок зору, відображати те, як співробітники організації використовують інформаційно-телекомунікаційну інфраструктуру у своїй щоденній діяльності.
Оцінка ризиків є життєво важливим елементом для прийняття рішень по забезпеченню безпеки інформації. Саме результати оцінки ризиків дозволяють сформувати єдину системну позицію керівництва організації на ризики безпеки, а також формують основу для формування й реалізації стратегії безпеки.
Розглянутий підхід є стратегією оцінки й планування захисту інформації, що опирається на концепцію ризиків і забезпечення БІ. Принциповим моментом підходу є принцип внутрішнього керування процесами оцінки (принцип самоврядування), що означає, що в процесах вироблення корпоративної стратегії безпеки особисту участь приймають співробітники організації. Опираючись на свої знання співробітники дають реальну оцінку стану практичної діяльності по забезпеченню безпеки інформації (практики безпеки). Виявлені при цьому ризики для найбільш критичних активів (ресурсів) організації використовуються для визначення пріоритетних напрямків забезпечення безпеки інформації й загальної стратегії безпеки організації.
Більшість існуючих методик аналізу ризиків орієнтуються на технологічні ризики й на тактичні проблеми (захист інформації в конкретній системі або мережі). При цьому упускаються стратегічні цілі організації. У такий спосіб часте рішення завдань захисту інформації стає видно в мережі (системі). Рішення приймаються не залежно від реальних потреб у забезпеченні безпеки інформації й від реальних потреб організації в таких задачах. Це порушує основні принципи забезпечення безпеки інформації: про єдність цілей організації й цілей захисту інформації. Саме тому, особливо у великих компаніях, необхідно мати ефективні методики, які дозволять погоджувати задачі організації й завдання захисту інформації. Підхід OCTAVE орієнтований на організаційні ризики і в якості свого фокуса розглядає стратегічні проблеми інформаційної безпеки, пов’язані з організацією практичної діяльності по забезпеченню безпеки інформації. На інфраструктурному рівні при виробленні рішень необхідно забезпечити баланс між трьома ключовими аспектами: операційні ризики, практика безпеки й технології (рис. 1.1).
Рисунок 1.1 — Тривимірна модель взаємодії
При роботі на рівні організації переважаючу роль грає два аспекти ризик і практика безпеки (площина операційного ризику). Технологія розглядається тільки у зв’язку з реалізацією практики безпеки, що дозволяє організації уточнити своє бачення поточної практики безпеки, що утворилася в організації. Таким чином, чим нижче рівень (якість, ефективність, культура) практичної діяльності по забезпеченню безпеки, тим вище операційний ризик.
Опираючись на підхід OCTAVE, можна розробити системну методику, що дозволяє організації виробити рішення по забезпеченню безпеки інформації, засноване на ризиках конфіденційності, цілісності й доступності критичних інформаційних активів і пов’язаних з ними інших ресурсів організації. Всі аспекти ризиків (активи, погрози, уразливості несприятливі для організації наслідку (збиток) є основними факторами, що мають вплив на прийняття рішень, і дозволяють організації виробити практично значиму стратегію захисту від цих ризиків безпеки.
Поняття ризику містить у собі три основних компоненти: актив (ресурс) — об'єкт ризику, погрози й уразливість. Таким чином, при оцінці ризиків як мінімум необхідно розглядати ці три компоненти. Загальний підхід повинен бути орієнтований на ресурси, що підлягають захисту. Саме тому група аналітиків повинна як мінімум:
1) ідентифікувати інформаційні активи й пов’язані з ними ресурси, які являють цінність для організації й важливі для успішного функціонування організації;
2) основну увага приділити процесам аналізу ризиків для тих активів, які є найбільш критичними для організації;
3) таким чином група аналітиків повинна розглядати взаємозв'язки між критичними активами, погрозами для цих активів і уразливостями (як організаційними, так і технологічними), які дають можливість реалізувати погрози. Отже оцінка ризиків повинна здійснюватися в операційному контексті.
Іншими словами даний підхід залежить від того, як ті або інші системи (інформаційно-телекомунікаційні системи) використовуються для досягнення бізнесі-цілей організації, підтримки її діяльності й оскільки ці системи піддаються ризикам — безпека.
Реалізація підходу дозволить сформувати стратегію безпеки організації (у вигляді концепції) і план (плани) зниження ризиків (планів захисту інформації) для практичних ресурсів організації. Таким чином підхід OCTAVE дозволяє об'єднати стратегічну й тактичну точки зору.
Організаційний, технологічний і аналітичний аспекти оцінки ризиків безпеки інформації реалізуються шляхом виділення трьох основних фаз (рисунок 1.2). Це дозволяє скласти повну картину потреб організації в забезпеченні безпеки інформації.
1.2 Короткий опис фаз підходу
Перша фаза: Побудова профілю погроз безпеки.
Перша фаза відображує організаційний аспект. По суті на цій фазі здійснюється оцінка практики безпеки організації. Група аналітиків у взаємодії з керівництвом компанії визначає які ресурси важливі для організації і яким образом у даний момент організований захист цих ресурсів. Потім здійснюється вибір тих ресурсів, які є найбільш критичними й важливими для організації й формулюються вимоги безпеки до кожного ресурсу (у термінах конфіденційності, цілісності й доступності). Нарешті, здійснюється ідентифікація погроз до кожного критичного ресурсу й створюється профіль погроз.
Друга фаза: Ідентифікація вразливостей інформаційно-телекомунікаційної інфраструктури.
Дана фаза відображує технологічний аспект підходу. Об'єктом аналізу виступає інформаційно-телекомунікаційна інфраструктура організації. Група аналітиків розглядає шляхи доступу до критичних ресурсів, ідентифікує класи виробів інформаційних технологій, пов’язаних з якістю практичних ресурсів. Потім здійснюється аналіз стійкості цих компонентів до різних видів атак.
Третя фаза: Розробка стратегії безпеки й планів захисту.
Третя фаза відображує аналітичний аспект підходу. Група аналітиків ідентифікує ризики для критичних ресурсів і розробляє рішення щодо усунення цих ризиків. Опираючись на зібрану інформації., формують стратегію безпеки організації й розробляють плани усунення ризиків критичним активам.
На рисунку 1.2 Представлена структурна схема підходу.
Рисунок 1.2 — Фази загального підходу
1.3 Місце процесів оцінки в загальному циклі Керування безпекою інформації (ризиками)
З загальної моделі керування безпекою інформації видно, що в організації реалізується безперервний цикл керування. Методики, які базуються на OCTAVE, формують загальну (на рівні організації в цілому) точку зору на поточні ризики безпеки інформації. Це знімок, зріз у часі й основа для подальших дій по поліпшенню стану питань забезпечення безпеки інформації. З погляду задач керування безпекою в ході реалізації підходу група аналітиків здійснює:
— ідентифікацію ризиків інформаційної безпеки організації;
— аналіз ризиків з метою визначення пріоритетів;
— планування дій по забезпеченню безпеки інформації шляхом розробки стратегії безпеки й планів захисту зі зменшенням ризиків.
Реалізація цих планів уже не є об'єктом OCTAVE. Після розробки стратегії й планів захисту в загальному випадку необхідно:
— розробити робочий план дій по реалізації стратегії безпеки. Ці дії повинні включати докладний аналіз економічної доцільності стратегії;
— реалізувати план дій;
— відслідковувати виконання планів з метою розподілу ресурсів і оцінки їхньої ефективності; це також включає відстеження (моніторинг) будь-яких вимірів ризиків;
— контроль змін у виконанні планів шляхом виконання коригувальних (коректованих) дій.
Таким чином оцінка ризиків ІБ є елементом керування ризиками на якому базується керування безпекою. Якщо керування ризиками безперервний процес, то оцінка — процес кінцевий. Періодично організація повинна переглядати результати оцінки ризиків. Такий перегляд повинен здійснюватися, наприклад, щорічно або у встановлених випадках (наприклад, при реорганізації, модифікації інформаційно-телекомунікаційної інфраструктури й т.п.).
Кожна організація з метою досягнення своїх цілей реалізує унікальний набір ділових, управлінських і виробничих процесів або практик.
При рішенні завдань захисту інформації й у ході вироблення стратегії безпеки важливо не загубити зв’язок між організаційними або діловими завданнями й технологічними завданнями. Інформація, що буде отримана в ході реалізації загального підходу й рекомендації, сформульовані на основі цієї інформації, повинні в кінцевому підсумку впізнавати вплив на загальні виробничі й інші процеси в організації.
2. АРХІТЕКТУРА ІНТЕГРОВАНИХ ІНФОРМАЦІЙНИХ СИСТЕМ
2.1 Введення в АRIS
Моделювання реальних ситуацій у роботі організації й відпрацьовування комплексних бізнес-процесів стали темою усе більше широких обговорень. Поява зовсім різних методів моделювання підсилює цю тенденцію, а їхня величезна множина приводить до ще більших ускладнень і плутанини. У наслідок цього вживають спроби створити стандартизовані концепції (архітектури)для процесу розробки інформаційних систем і методів моделювання.
Однієї з таких з є - Архітектура Інтегрованих Інформаційних Систем — ARІS (Archіtecture of Іntegrated Іnformatіon Systems), розроблена професором А.В. Шеєром. Ця концепція має дві основних переваги:
" дозволяє вибрати методи й інтегрувати їх, опираючись на основні особливості об'єкта, який моделюємо;
" служить базою для керування складними проектами, оскільки завдяки структурним елементам містить побудовані моделі процедур для розробки інтегрованих інформаційних систем.
Така архітектура дає можливість вводити в застосовувані методи елементи стандартизації. Нові методи моделювання, а також ті, в основі яких лежить концепція ARІS, були інтегровані в рамках архітектури, що дозволило створити комплексний метод моделювання бізнес-процесів.
Інструментарій ARІS дозволяє проводити побудову, аналіз і оцінку робочих процесів організації в термінах методології організації бізнес-процесів. Крім того, ARІS надає досить прості засоби для документування й моделювання процесів.
2.2 Моделі ARIS
Для забезпечення структури, всі моделі розділені на п’ять категорій:
Організаційні моделі - статичні моделі, структури організації. Містять у собі організаційні ланки й людські ресурси, представлені в ієрархічних організаційних діаграмах
Інформаційні моделі - статичні моделі інформації бізнесу. Містять у собі моделі даних, структури знань і навичок, інформаційних носіїв і баз даних.
Функціональні моделі - статичні моделі дій процесів. Містять у собі ієрархію функцій, цілей, прикладних систем.
Модель товарів і послуг — статичні моделі товарів і послуг, преобразованих і отриманих у результаті бізнес-діяльності компанії.
Процесні моделі - динамічні моделі, які показують поводження процесів і як вони залежать від ресурсів, даних і функцій оточення бізнесу. Містять у собі подійно-керовані моделі (eEPC), моделі оточення функції (FAD), модель доданої вартості (VAD).
Перші чотири категорії концентруються на структурі організації, тим часом як процесні моделі концентруються на поведінці процесів у часі.
Всі п’ять категорій з'єднуються в так називане «будинок» АРИС, що допомагає наочно представити відносини між статичними й динамічними моделями:
Рисунок 2.1 — Відношення між моделями
Проект моделювання бізнес-діяльності організації включає наступні фази:
визначення цілей: навіщо, що, хто й коли
збір вимог моделювання
концепція моделювання
детальне моделювання
реалізація
верифікація й перевірка адекватності
2.3 Концепція архітектури інтегрованих інформаційних систем
Концепція ARІS заснована на ідеї інтеграції, що є складовою частиною комплексного аналізу бізнес-процесів. Перший крок при створенні архітектури складається в розробці моделі бізнесу-процесу, що описує всі його основні функції. Отримана в такий спосіб надзвичайно складна модель розділиться на підмоделі, або типи моделей, відповідно до типів представлення. Це дозволяє істотно знизити ступінь її складності. Зміст типів моделей може бути описаний методами, призначеними для конкретного типу представлення. Численні взаємозв'язки між типами моделей при цьому не враховуються. Згодом ці взаємозв'язки інкорпоруються в загальну модель для аналізу всього.
Другим підходом, що зменшує складність моделі бізнесу-процесу, є аналіз кожного типу моделей на різних рівнях. Відповідно до концепції моделі життєвого циклу різні методи опису інформаційних систем диференціюються по ступені їхньої близькості до інформаційних технологій. Це гарантує цілісність опису на всіх етапах, починаючи від проблем керування бізнесом до технічної реалізації інформаційної системи.
Архітектура ARІS створює основу для розробки й оптимізації інтегрованих інформаційних систем, а також для опису їхньої реалізації. Вибір рівнів і типів описів формує архітектуру ARІS, що використається як модель для побудови процесів, пов’язаних з керуванням бізнесом, їхнього аналізу й оцінки.
3. ЗМІСТ ВХІДНИХ І ВИХІДНИХ ІНФОРМАЦІЙНИХ ОБ'ЄКТІВ
1. Неформалізовані знання співробітників організації містять у собі колективні знання, уміння, навички й здатності співробітників організації, які сприяють більш глибокому розумінню ресурсів, поточних вимог безпеки й процедурних уразливостей. Носіями знань є співробітники з різних підрозділів організації - керуючі, інженерно-технічний склад і т.п., а також керівники різних рівнів управління.
2. Неформалізовані знання членів групи аналізу містять у собі колективні знання, уміння, навички й здатності членів групи аналізу та будь-яких інших осіб, які додатково залучаються до роботи для виконання окремих дії.
3. Неформалізовані знання інженерно-технічного складу ІТ-підрозділів — спеціальні колективні знання, уміння, навички й здатності співробітників ІТ-підрозділи, які беруть ключову участь при виконанні дій 2-й фази. Ці особи мають глибоке розуміння ІТІ організації, а також проблем забезпечення безпеки інформації в ІТС.
4. Ресурси (ОР 1.11)
{Ресурси}={інформація}{системи}{програмне забезпечення}{апаратне забезпечення}{люди}
" Ресурси" - перелік інформаційних активів, а також пов’язаних з ними інших ресурсів організації. Активи — це щось, що представляє цінність для організації. Визначимо наступні категорії активів.
Інформація — задокументовані дані в електронному або паперовому виді або інтелектуальні активи, які використовуються для досягнення місії (стратегічної мети) організації.
Системи — ІТС призначені для обробки й зберігання інформації. Система є сукупністю інформаційних об'єктів (активів), програмного й апаратного забезпечення. Любий хост, клієнт або сервер може бути розглянутий як система.
Програмне забезпечення — програмні додатки й послуги (служби) (ОС, СУБД, мережні ПО, офісні додатки, додатки користувачів й т.д.)
Апаратне забезпечення — фізичні пристрої інформаційних технологій (робочі станції, сервера, мережне обладнання й т.д.)
Люди — співробітники організації, включаючи їх знання, уміння, навички й досвід.
5. Дані про організації - дані які включають:
— структуру організації;
— задокументовану політику й процедури забезпечення безпеки інформації в організації.
6. Нормативні й правові вимоги — закони й інші нормативно-правові акти, документи, які визначають законні зобов’язання організації відносно безпеки.
7. Еталонна модель практики безпеки — модель практичної діяльності по забезпеченню безпеки інформації на основі якої формується нормативна модель практики безпеки.
8. Нормативна модель практики безпеки — модель формування шляхом модифікації еталонної моделі, і в відповідність якої здійснюється оцінка поточного стану практичної діяльності по забезпеченню безпеки інформації в організації.
9. Поточні стани практики безпеки — оцінка поточного стану практичної діяльності по забезпеченню БІ в організації. Містить у собі процеси й процедури по забезпеченню БІ, які в даний момент представлені, реалізовані й підтримуються в організації.
10. Поточні процедурні уразливості - недоліки в організації проведення заходів (робіт) по забезпеченню БІ, наявність яких сприяє реалізації неавторизованих дій. Уразливості вказують або на відсутність, або на неадекватність заходів безпеки.
11. Критичні активи — активи, які прийнято вважати найбільш важливими активами для організації (добавився новий атрибут — критичності). Організації може бути нанесений значний збиток якщо властивості безпеки (або вимоги безпеки) даних активів будуть порушені.
12. Вимоги безпеки для критичних активів — вимоги безпеки для критичних активів підкреслюють якість їх, які є важливими для організації. Вимоги безпеки звичайно включають: конфіденційність, цілісність, доступність.
13. Еталонний профіль погроз — еталонний профіль погроз визначає діапазон загальних погроз, які повинні бути розглянуті для кожного критичного ресурсу.
14. Профіль погроз для критичного активу — визначає діапазон погроз, які можуть вплинути на критичний актив. Профіль погроз містить категорії, які згруповані відповідно до джерел погроз. Атрибут погроз:
{Погроза}={актив}{доступ}{фактор}{мотив}{результат}
15. Поточна топологія мережі - документи, що відбивають логічну й фізичну схему мережі й визначають взаємозв'язок системних і мережних компонентів.
16.Технологічна інформація — докладна інформація про ІТІ організації:
— сервери;
— компоненти безпеки;
— доменна структура;
— автоматизовані функції, завдання;
— і т.д.
17. Компоненти ІТІ, які підлягають обстеженню — компоненти, які обрані для обстеження й оцінки. Дані компоненти оцінюються на наявність технологічних уразливостей.
18. Обрані підходи для оцінки кожного компонента ІТІ - підходи, які вибрані для оцінки компонентів ІТІ й установлюють вимоги для обсягу оцінки уразливостей. Підхід повинен обов’язково встановлювати:
— хто буде виконувати оцінку;
— які засоби аналізу й оцінки уразливостей будуть використовуватися.
19. Ключові класи компонентів — типи пристроїв, які відіграють важливу роль при обробці, зберіганні й передачі критичної інформації. Ресурси пов’язані із критичними активами. Визначимо наступні типові класи:
— сервера — хости усередині ІТІ організації, які надають ІТ-служби в організації;
— мережні компоненти — пристрої важливі для мережі організації;
— засобу захисту — пристрої, які в якості основної функції має яку-небудь функцію безпеки (наприклад файервол);
— робочі станції - хости в мережі організації, які співробітники використовують для виконання своїх службових обов’язків;
— домашні комп’ютери — домашні ПК, які співробітники організації можуть використовувати для віддаленого доступу до мережі організації й інформаційних ресурсів;
— мобільні комп’ютери — комп’ютери, які співробітники організації можуть використовувати для віддаленого доступу до інформації через мережу організації;
— пристрої зберігання — пристрої на яких забезпечується зберігання інформації з метою резервування;
— бездротові компоненти — пристрої, які співробітники організації можуть використовувати для доступу до інформації (наприклад електронна пошта);
— інші - будь-які інші типи пристроїв, які можуть бути частиною сценарію погроз, але не ввійшли в перераховані вище класи.
20. Каталог уразливостей — множина уразливостей різних платформ і додатків, розміщених у спеціальній базі. Він використовується для оцінки технологічних уразливостей ІТІ організації.
21. Технологічні уразливості - слабості (недоліки) у системах, які безпосередньо ведуть до реалізації неавторизованих дій. Технологічні уразливості представляються й застосовуються до мережних служб, архітектурі, операційним системам і додаткам. Типи уразливостей: конструкції, реалізації, конфігурації.
22. Попередні пропозиції по технологічним уразливостям. Підсумкові пропозиції містять наступну інформацію з кожного оцінюваного компонента ІТІ:
— кількість уразливостей, які підлягають негайному усуненню (високий рівень);
— кількість уразливостей, які підлягають усунення найближчим часом (середній рівень):
— кількість уразливостей, які підлягають усунення в останню чергу (низький рівень).
23. Підсумкові пропозиції щодо технологічних уразливостей. Додатково до інформації, що втримується в попередніх пропозиціях, підсумкові пропозиції містять специфічні дії про рекомендації з усунення виявлених уразливостей.
24. Відновлення профілю погроз для критичних ресурсів.
25. Опис збитку від реалізації погроз критичним ресурсам — опис збитку визначає ефект (результат, наслідки) реалізації погроз для місії організації й цілей (завдань) організації.
26. Імовірнісні характеристики погроз критичним ресурсам — описують мотиви, засоби й умови для людини, що використовують або мережний або фізичний доступ; поєднують будь-яку «історію» всіх типів погроз; ураховує будь-які незвичні поточні умови, які можуть вплинути на погрози.
27. Критерії оцінки збитку — множина якісних (кількісних) мір (показників) відповідно до яких здійснюється оцінка ризиків. Критерії визначають високий, середній і низький рівні збитку для організації. Звичайно розробляються критерії для наступних сфер:
— репутація/довіра споживачів;
— безпека/здоров'я;
— штрафи/санкції;
— фінансовий збиток;
— ефективність.
28. Критерії оцінки ймовірності - множина мір (показників) відповідно до яких здійснюється оцінка ризику. Критерії визначають зміст високої, середній і низький імовірності для погроз критичним ресурсам.
29. Величина збитку від погроз для критичних активів — якісна оцінка (низького, середнього або високий) збитку, що може бути нанесений організації в результаті реалізації погрози.
30. Значення ймовірності погроз — кількісна оцінка (низький, середній, високий) імовірності настання загрозливої події.
31. Ризик-профіль для критичних ресурсів — визначає діапазон ризиків, які можуть вплинути на ресурс. Основними складовими ризику-профілю є:
— профіль погроз для критичних ресурсів;
— вимоги безпеки для критичних ресурсів;
— опис збитку від реалізації погрози із профілю погроз;
— величина збитку від реалізації погрози;
— компоненти ІТІ, які підлягають обстеженню;
— підсумковий результат по технологічним уразливостям для кожного дослідженого компонента.
Крім того:
— імовірнісні характеристики погроз;
— значення ймовірності погроз.
32. Проект стратегії безпеки (концепції й політики безпеки). Проект визначає основні напрямки діяльності організації для організації реалізації й підтримки робіт із забезпечення БІ. Проект містить пропозиції групи аналізу для керівництва організації.
33. Проекти планів усунення ризиків (або захисту). Проект містить дії по усуненню виявлених ризиків з метою зменшення ризиків критичним ресурсам організації. Проект містить пропозиції групи аналізу для керівництва організації. Плани мають тенденцію до інтегрування з діями або контрзаходами, розробленими для запобігання конкретних погроз. Дії визначаються відповідно до нормативної моделі практичної діяльності.
34. Стратегія (концепція й політика) безпеки — визначає основні напрямки й стратегію, що реалізує організація для забезпечення безпеки організації. (Затверджені керівництвом.)
35. Плани усунення ризиків (план захисту) — містить конкретні дії спрямовані на зниження ризиків критичним ресурсам.
36. Наступні дії - визначають, що збирається робити організація в плані реалізації результатів оцінки. Звичайно даний інформаційний об'єкт включає:
— що збирається виконувати організація для реалізації результатів оцінки;
— що збирається робити старші керівники для поліпшення безпеки в організації;
— чи існують які-небудь подальші дії для поліпшення безпеки, які необхідно розглянути;
— які підходи буде застосовувати організація в майбутньому для процесів оцінки.
4. СТРУКТУРА КРИТЕРІЇВ OCTAVE
Під критеріями в OCTAVE розуміють сукупність принципів, атрибутів і виходів.
Для моделювання в АРІС фази методу позначимо як функції (процеси), вихід це товар або послуга, що забезпечує досягнення мети (це для функції вхід, якщо стрілка направлена на функцію та результат, якщо навпаки). Будемо використовувати події, які являють собою зміну в навколишньому світі в результаті виконання процесу.
Принципи це фундаментальні концептуальні точки зору, які визначають природу оцінки. Вони визначають філософію процесів оцінювання.
Вимоги до оцінки відображуються в атрибутах і результатах. Під атрибутами розуміють різні якісні ознаки або характеристики процесів оцінки. По суті атрибути визначають базові елементи підходу й визначають, що необхідно виконати для успішної оцінки. Атрибути визначаються принципами.
Вихід це потрібний результат по кожній функції процесу оцінювання. Вони визначають кінцевий результат, що повинен бути отриманий аналітиками по кожній функції.
4.1 Принципи
Оцінка ґрунтується на наступних принципах, які можна розбити на три групи:
— Принцип оцінки ризиків безпеки інформації;
— Принцип керування ризиками;
— Принцип корпоративної культури
Оцінка ризиків безпеки інформації здійснюється у відповідності з наступними принципами.
Принцип внутрішнього керування.
Сутність принципу внутрішнього керування (або самоврядування) полягає в тім, що оцінка ризиків організації здійснюється безпосередньо співробітниками організації. Ці співробітники несуть повну відповідальність за якість оцінки, організацію процесів оцінки й прийняття рішень щодо рівня безпеки інформації в організації. Даний принцип вимагає:
— прийняття відповідальності за забезпечення безпеки інформації шляхом організації й безпосереднього керівництва процесами оцінювання ризиків безпеки інформації й керування процесами оцінки;
— ухвалення остаточного рішення щодо зусиль організації по забезпеченню безпеки інформації, включаючи визначення напрямків робіт з поліпшення стану по забезпеченню безпеки інформації в організації;
Принцип адаптації.
Гнучкі процеси оцінки можуть бути легко адаптовані до швидко змінюваних технологій і вдосконалень інформаційно-телекомунікаційних систем організації. У таких умовах організація повинна мати набір (шкалу) параметрів (показників, метрик і т.п.), які можуть бути оцінені не залежно від обстановки, що змінилася. Даний принцип вимагає:
— мати інформаційні каталоги, які містять (визначають) набір базових практик безпеки, відомі джерела погроз і відомі технологічні уразливості;
— використати процеси оцінки, які пристосовані до будь-яких змін в інформаційних каталогах.
Принцип визначеності процесів
Суть принципу полягає в тому, що оцінка здійснюється на основі чітко визначених і стандартизованих процедур. Застосування стандартизованих процесів забезпечує їх інституалізацію, певний рівень повноти і самостійності. Даний принцип вимагає:
— призначення конкретних осіб, які відповідають за оцінку;
— чіткого визначення всіх процедур, робіт та дій по оцінці;
— специфікація всіх інструментів, робочих таблиць (форм) і інформаційних каталогів, необхідних для оцінювання;
— розробку й створення єдиних форматів для документування й подання результатів оцінки.
Принцип опори на безперервний процес.
Організація повинна реалізовувати практичну стратегію безпеки й плани захисту на основі безперервних процесів забезпечення безпеки інформації. Результати оцінки ризиків безпеки інформації забезпечують основу для безперервного поліпшення практичної діяльності по забезпеченню безпеки інформації. Принцип висуває наступні вимоги:
— ідентифікація ризиків БІ повинна здійснюватися на основі використання строго визначених процесів;
— реалізація результатів оцінки ризиків БІ;
— забезпечення можливості безперервного керування ризиками БІ;
— реалізація стратегії безпеки й планів захисту таким чином, щоб забезпечити застосування найкращих практичних підходів до забезпечення безпеки інформації.
Принцип керування ризиками.
Принцип керування ризиками є більше широким по сфері дії й опирається на базові принципи забезпечення БІ.
Принцип перспективної точки зору.
Даний принцип вимагає від співробітників організації стати вище поточних проблем і сфокусувати свою увага на ризики найбільш критичні для ресурсів організації. Основним завданням повинне бути керування невизначеністю через використання взаємозв'язків між активами, погрозами й уразливостями, через точну оцінку збитку, що може бути нанесений місії й задачам організації. Даний принцип вимагає:
— думати про завтрашній день, концентрувати свою увагу на зниженні невизначеності, що обумовлена безліччю ризиків;
— управляти ресурсами й роботами.
Принцип концентрації на критичних активах.
Даний принцип вимагає від організації сконцентрувати свою увагу на найбільш критичних проблемах забезпечення безпеки інформації. Перед будь-якою організацією стоїть безліч проблем, у тому числі й у сфері забезпечення безпеки інформації. Таким чином організація повинна забезпечити ефективний розподіл і використання своїх ресурсів для рішення цих проблем, у тому числі й задач оцінки ризиків. Для цього дуже важливо визначити головне в цих проблемах. З даного принципу треба:
— необхідність використання методів цільового збору інформації про ризики безпеки;
— ідентифікація найбільш критичних для організації активів і вибір тих практик безпеки, які забезпечать захист саме цих активів.
Принцип єдності керування
Даний принцип потребує, щоб політика й стратегія безпеки були сумісні з корпоративною бізнес-політикою й стратегією. Менеджмент організації повинен оцінити й розглянути всі залежності між бізнес-проблемами й проблемами безпеки, забезпечити баланс між цілями захисту й загальних цілями організації. Принцип вимагає:
— інтеграції завдань по забезпеченню безпеки інформації в бізнес-процесах організації;
— розгляд бізнес-стратегії й цілей під час розробки й перегляду стратегії та політики безпеки.
Немаловажну роль при проведенні робіт з розробки стратегії безпеки грає корпоративна культура організації. Сьогодні вплив корпоративної культури на всі сфери діяльності організації не можна заперечувати. Фахівці в області захисту інформації також вважають, що забезпечення безпеки інформації повинно бути справою кожного співробітника організації.
Розглянемо принципи, які лежать в основі формування корпоративної культури й безпосередньо впливають на ефективність керування ризиками.
Принцип відкритості (комунікації)
Керування ризиками безпеки інформації не може бути успішним без відкритого й всебічного обговорення питань, пов’язаних із забезпеченням безпеки інформації. Фундаментальним і концептуальним підходом, що забезпечує найбільшу ймовірність успіху реалізації програми керування ризиками, є формування корпоративної культури, яка підтримує відкритість обговорення ризиків. З даного принципу випливають наступні вимоги:
— реалізація процесів (робіт) по оцінці, які будуються на кооперації різних фахівців (тобто виконуються в складі робочих груп);
— організація ефективного обміну інформацією про стан безпеки й рівень ризиків між різними рівнями керування організації;
— застосування процесів, побудованих на базі принципів консенсусу прийняття рішень.
Принцип глобальної перспективи.
Даний принцип вимагає у співробітників організації формувати загальний погляд щодо того, що є цінним для організації. Окремі, приватні перспективи, що відносяться до ризиків безпеки інформації поєднуються й формують загальну картину ризиків безпеки інформації на рівні організації в цілому. З даного протоколу треба:
— необхідність ідентифікації безлічі перспектив ризиків БІ, які існують в організації;
— розгляду ризиків БІ в рамках загального контексту місії організації й загальних задачах, що стоять перед організацією.
Принцип групової роботи
Окремий (один) фахівець не здатний усвідомити й зрозуміти сутність і зміст усієї різноманітності існуючих ризиків БІ, з якими зіштовхується організація. Керування ризиками БІ вимагає міждисциплінарного підходу. Сутність міждисциплінарного підходу полягає в тому, що на різних етапах аналізу й оцінки ризиків, у виробленні й прийнятті рішень беруть участь фахівці різних підрозділів організації. Обов’язковим є участь фахівців підрозділів, що забезпечують впровадження інформаційних технологій, фахівців основних підрозділів організації (бізнес-підрозділів) і співробітників служби захисту інформації. Таким чином керування ризиками має на увазі колективне прийняття рішень. Даний принцип вимагає:
— формування міждисциплінарної робочої групи для організації й проведення оцінки;
— знати, коли необхідно включати додаткові перспективи в процеси оцінки;
— здійснення робот у кооперації;
— максимального використання творчих способів, навичок і знань членів робочої групи й інших співробітників.
4.2 Атрибути процесу оцінювання
Під атрибутом, у цьому випадку, розуміємо відміні якості або характеристику процесу оцінювання. Атрибут визначається через дві сутності:
— вимог, тобто істотних елементів (якісні відміні сутності, вимірні показники й т.п.) атрибута.
— обґрунтування важливості атрибута для процесу оцінювання.
По суті атрибути визначають вимоги, яким повинні задовольняти процес (роботи) оцінки або сутності, які необхідні для досягнення успіху оцінки.
Атрибути процесу оцінювання будемо позначати RA. X, де Х — порядковий номер атрибута.
RA.1 — Група аналізу.
Вимоги:
— група аналізу комплектується зі складу штатних співробітників організації й забезпечує керівництво роботами по оцінці;
— група аналізу повинна бути сформована на основі міждисциплінарного підходу й включати співробітників основних підрозділів інформаційних технологій і захисту інформації;
— група аналізу повинна управляти й направляти оцінку ризиків БІ своєї організації й відповідає за прийняття рішень, які основані на інформації, зібраної в ході процесу оцінки.
Важливість: Важливість атрибута визначається необхідністю встановлення однозначної відповідальності за здійснення оцінки ризиків, що покладається на членів групи аналізу, сформованої зі співробітників організації. Формування такої групи забезпечить те, що:
— для поліпшення стану безпеки інформації в організації будуть притягнуті особи, які добре розуміють бізнес-процеси й задачі інформатизації цих процесів, які працюють спільно;
— методи послідовно застосовуються на всіх рівнях керування організацією;
— співробітники організації відчувають особисту відповідальність за результати оцінки, що в остаточному підсумку сприяє успішній реалізації сформованих стратегій і класів.
RA.2 Кваліфікація групи аналізу
Вимоги: Процес оцінки повинен передбачати можливість підвищення кваліфікації групи аналізу шляхом залучення осіб, що володіють специфічними навичками й знаннями, які потрібні для проведення тих або інших видів робіт або експертиз. Дозволяється додаткове залучення осіб з різних підрозділів організації або зовнішніх експертів.
Важливість: Група аналізу безпосередньо відповідає за аналіз інформації й прийнятті рішень у ході проведення оцінки. Однак ядро групи (основні члени групи) можуть не мати достатній обсяг знань або навичок, необхідних для проведення тих або інших робота в ході оцінки. У будь-якій контрольній точці процесу оцінки, члени групи аналізу можуть прийняти рішення про залучення додаткових фахівців або зовнішніх експертів, якщо вони будуть вважати, що у них недостатній рівень знань або навичок. Важливість атрибута визначається тим, що забезпечується необхідний рівень кваліфікації (знань і вмінь) групи аналізу для досягнення успіху оцінки ризиків. Атрибут дає можливість організації виконати оцінку ризиків БІ в тому випадку, якщо вона не має співробітників необхідної кваліфікації для формування групи аналізу. Таким чином це забезпечує можливість здійснення оцінки через залучення зовнішньої організації.
RA.3 Модель практичної діяльності по забезпеченню безпеки інформації (Еталонна модель практики безпеки).
Вимоги: У ході процесу оцінки повинна бути отримана оцінка ефективності поточної практики безпеки організації в різних сферах (напрямках) забезпечення безпеки інформації. Звідси повинна бути визначена модель практичної діяльності по забезпеченню безпеки інформації й спосіб оцінки ефективності цієї діяльності.
Модель повинна бути сумісна із чинним законодавством, нормативно-правовими документами й стандартами відповідно до вимог яких здійснюється захист інформації в організації.
Важливість: Використання моделі практичної діяльності по забезпеченню безпеки інформації є важливим тому, що це дозволяє організації здійснювати самооцінку системи захисту інформації на відповідність вимогам нормативних документів і на основі добре відомих і загальноприйнятих показників. Це допоможе організації усвідомити, що в цей момент виконується й на якому рівні, і які уразливості існують. Модель також формує структуру стратегії безпеки організації й нарешті є основою для визначення конкретних дій, які включаються в план захисту.
RA.4 Загальна модель погроз
Вимоги: Процес оцінки повинен дати оцінку погроз критичним активам організації в широкому діапазоні потенційних джерел погроз, які формально визначені в загальній моделі погроз.
— Модель повинна представити зручний спосіб надання потенційних погроз і забезпечити вичерпну інформацію про погрози критичним активам.
— Модель повинна надати простий спосіб захисту й обміну інформацією про погрози.
Важливість: Застосування загальної моделі погроз дозволить організації ідентифікувати погрози своїм критичним активам.
RA.5 Модель (каталог) вразливостей
Вимоги: Процес оцінювання повинен оцінити технологічні слабості (уразливості) у ключових компонентах інформаційно-телекомунікаційній інфраструктурі організації шляхом розгляду широкого діапазону технологічних вразливостей на основі застосування сучасних методів виявлення й аналізу вразливостей. Застосовуваний інструментарій (ПО, контрольні місця й т.д.) повинні перевірити компоненти інфраструктури на наявність вразливостей, які втримуються в загальнодоступних каталогах (базах), наприклад CERT Knowledgebase або Common Vulnerabіlіtіes and Exploіts (CVE).
Важливість: Застосування каталогу є важливим оскільки це дозволить організації оцінювати свої технології з погляду відсутності відомих вразливостей. Визначення того, які уразливості існують у ключових компонентах дозволяє одержати інформацію про уразливість інформаційно-телекомунікаційної інфраструктури організації в цілому.
RA.6 Визначення функцій по оцінки
Вимоги: Всі процедури для виконання будь-яких функцій по оцінці й артефакти, використовувані під час виконання будь-якої функції повинні бути чітко й однозначно визначені й задокументовані. Це припускає:
— визначення процедур по підготовці й проведенню оцінки;
— визначення процедур оцінки;
— визначення процедур для завершення кожної функції;
— специфікація всіх інструментів і робочих таблиць (форм), необхідних для проведення оцінки;
— специфікація всіх інформаційних каталогів (моделей), які визначають практику безпеки, відомі погрози безпеки, відомі вразливості (слабості).
Важливість: Застосування певних функцій по оцінці дозволяє інституалізувати процеси оцінки в організації й забезпечити при цьому деякий рівень сумісності процесів. Це також формує основу для адаптації функцій під потреби конкретних підрозділів або базис груп.
RA.7 Документування результатів оцінки
Вимоги: Організація повинна документувати результати оцінки в паперовому або електронному виді. Як мінімум підлягає документуванню й архівації інформація наступного типу:
— ризики критичним активам організації;
— стратегія безпеки й плани захисту.
Важливість: Важливо забезпечити постійне бачення записів результатів оцінки. Інформаційна база надалі служитиме вихідним матеріалом для виконання послідовних функцій оцінки й будучи корисною для планів і функцій, виконуваних після оцінки. Інформація також може використовуватися з метою навчання й інформування співробітників.
RA.8 Обсяг оцінки
Вимоги: Повинні бути визначені границі оцінки. Процес оцінки повинен включати рекомендації, які дозволяють організації прийняти рішення які сфери діяльності (або підрозділів) повинні бути включені для оцінювання.
Важливість: Установка обсягу оцінки важлива тому, що це забезпечує максимальну потужність результату для організації. Якщо границя оцінки дуже широка, то це приведе до істотних труднощів при аналізі отриманої інформації. Визначення прийнятного обсягу оцінки зменшить розміри оцінки, робить цей процес більше легким для адміністрування й виконання різних дій. Крім того, необхідно відранжирувати сфери діяльності організації для виконання оцінювання.
RA.9 Наступні кроки
Вимоги: Процес оцінки повинен включати функції, коли співробітники організації визначають наступні кроки, необхідні для реалізації стратегії безпеки й планів захисту. Ці функції дуже часто вимагають активної підтримки й участі вищого керівництва організації. Наступні кроки звичайно визначають:
— що організація збирається будувати на підставі результатів оцінки ризиків;
— хто буде притягнутий для реалізації стратегії безпеки й планів захисту;
— плани щодо майбутніх дій по оцінці ризиків безпеки інформації.
Важливість: Визначення наступних кроків, які повинні виконати співробітники організації для реалізації стратегії безпеки й планів усунення ризиків є істотним для поліпшення стану по забезпеченню безпеки інформації. Співробітникам організації необхідно планувати й здійснювати свою діяльність опираючись на результати оцінки. Одержання підтримки з боку вищого керівництва є першим важливим і критичним кроком на шляху до успіху такої діяльності.
RA.10 Фокуси на ризик
Вимоги: Процес оцінки повинен бути сфокусований на оцінку ризиків безпеки інформації організації через облік взаємозв'язків між ресурсами, погрозами й ресурсами, і уразливостями (включає організаційні і технологічні слабості).
Важливість: Важливість даного атрибута обумовлена тим, що він вимагає від співробітників організації концентрувати свою увагу на проблемах безпеки й на його вплив на бізнес-цілі й задачі організації. Співробітники повинні розглядати насамперед організаційні недоліки й технологічні уразливості, які в даний момент мають місце в організації й перевіряти яким чином ці слабості пов’язані із критичними ресурсами організації, а також виявляти погрози цим ресурсам.
RA.11 Цілеспрямованість функцій
Вимоги: Процес оцінки повинен включати рекомендації по забезпеченню цілеспрямованості функцій. Наприклад:
— колективні методи, які забезпечують ефективне одержання інформації пов’язаної із забезпеченням безпеки інформації від керівників різного рівня;
— методи аналізу, які на основі використання інформації про ресурси забезпечують фокус на функції по визначенню погроз і ризиків;
— методи аналізу, які використовують інформацію про ресурси й погрози для визначення обсягу оцінки вразливостей ІТІ;
— планування функцій, що забезпечують ранжирування ризиків на основі його показників.
RA.12 Організаційні й технологічні проблеми.
Вимоги: Процес оцінки повинен розглядати як організаційні, так і технологічні проблеми. Оцінка ризиків безпеки інформації повинна включати:
— відомості про поточний стан практики безпеки;
— відсутність або неадекватність практики безпеки (або організаційні (процедурні) уразливості);
— технологічні слабості представлення в ключових системах і компонентах інформаційних технологій.
Важливість: Оскільки безпека містить у собі й організаційний і технологічний компоненти, важливо, щоб у ході оцінки були розглянуті як організаційні, так і технологічні проблеми. Група аналізу повинна проаналізувати обидва типи проблем у взаємозв'язку з місією й бізнес-задачами організації (при розробці стратегії безпеки й планів захисту). Виконавши це, аналітики будуть здатні сформувати загальну картину щодо ризиків безпеки інформації, які насправді мають місце в організації.
RA.13 Участь співробітників основних (базис-) підрозділів і ІТ-підрозділів
Вимоги: Процес оцінки повинен припускати участь представників як від основних (базисних) підрозділів так і департаменту інформаційних технологій, а також служби безпеки. Це забезпечує міждисциплінарний характер групи аналізу. Необхідність участі співробітників із ключових сфер діяльності організації обумовлена вимогою інтеграції різних точок зору на проблеми забезпечення безпеки інформації. До роботи також можуть залучатися співробітники, що представляють різні рівні керування організації (вище керівництво, середній рівень керівництва, рядові співробітники).
Важливість: Об'єднання різних точок зору і бачення є істотним оскільки необхідно розглянути широкий діапазон факторів ризику. Співробітники, які працюють у лінійних підрозділах організації добре розуміють важливість ділових процесів і операцій, а також систем і інформацію, яка підтримує ці операції. Вони краще розуміють суть несприятливих наслідків (збитку), які можуть наступити в результаті порушень у роботі різних систем. Співробітники ІТ-підрозділів, включаючи експертів по захисту інформації, краще розуміють архітектуру існуючих систем і збиток, можливих при використанні технологічних вразливостей. Вони перебувають у кращій позиції щодо оцінки впливу злочинних дій на працездатність систем.