Предварительная оценка рисков удалённой аутентификации. Часть 1
<br>Статья Алексея Сабанова, заместителя генерального директора компании "Аладдин Р.Д."
Введение
Без предварительной оценки рисков невозможно корректное решение задач информационной безопасности. Переход к облачным вычислениям актуализирует задачи обеспечения надёжности и качества удалённого доступа при электронном взаимодействии. В основе создания систем управления доступом лежит решение задач идентификации и аутентификации пользователей [1]. В работах [2], [3] показано, что удалённая аутентификация является сложным процессом, состоящим из четырёх основных и последовательно выполняемых этапов: регистрации пользователя в информационной системе, защищённого обмена взаимодействующих сторон, валидации электронного удостоверения претендента на успешное прохождение процедуры аутентификации и принятие решение о доступе. Для проведения анализа защищённости системы взаимодействия и выбора моделей для проведения оценок надёжности выполнения указанных этапов процесса аутентификации необходимо провести оценку рисков. Сложность решения данной задачи обусловлена рядом факторов. Во-первых, тем, что существующие стандарты и методы анализа рисков разработаны для оценки в денежном выражении рисков конкретных активов, находящихся в информационной системе, а также для определения вероятности наступления рисков и последствий от наступления этих рисков. Для синтеза методики оценки рисков не какого-либо актива, а сложного информационного процесса требуются подходы, основанные на глубоком анализе существующих методов. Во-вторых, исследование процесса аутентификации необходимо проводить для малоизученной области знаний – облачных вычислений, для которой в настоящее время не разработано стандартов, а все имеющиеся нормативные документы имеют статус рекомендаций.
Целью данной работы является разработка методики оценки рисков удалённой аутентификации как процесса. Для решения данной задачи сначала рассмотрим существующие методы оценки рисков, затем опишем объект исследования и представим предложенный подход к оценке рисков.
Стандарты по анализу рисков
Безусловно, международные стандарты сыграли ведущую роль в развитии методов и инструментов относительно молодой и развивающейся всего около 20 лет науки - анализа рисков. Анализ методов оценки рисков показывает, что из более 100 международных и более 50 отечественных стандартов, касающихся проблем оценки рисков, можно выделить несколько основополагающих документов. Так, одними из основных источников методик и инструментов анализа рисков являются британский стандарт [4] и рекомендации по управлению рисками американского института НИСТ [5]. Существенное влияние на разработку методов анализа рисков сыграли также такие международные стандарты, как [6] – [12]. В Российской Федерации вопросы стандартизации и обеспечения безопасности информационных систем определяется основными положениями №184-ФЗ "О техническом регулировании" [13] с изменениями [14], [15], а также переводными международными стандартами [16] - [19] и разработанными отраслевыми документами, такими, как методика Банка России [20] и стандарт для железнодорожного транспорта на основе не только международного, но и отечественного опыта [21].
Краткий обзор методов анализа рисков
Основные этапы оценки риска можно выразить в схеме, представленной на рис.1
Рис.1 Схема проведения анализа рисков
Анализ риска обеспечивает информацию, необходимую для окончательной оценки риска, которая, в свою очередь, позволяет сделать вывод о безопасности продукции или услуги.
Эта схема несколько раз уточнялась в последующих документах. Например, в работе [16] общий процесс анализа риска и оценивания риска представлен в виде, показанном на рис.2
Рис.2 Уточнённая схема анализа рисков
Видно, что ГОСТ Р 51901.1-2002 уточняет понятия оценки риска и часто употребляемым в настоящее время понятием менеджмента рисков. Данная схема нашла дальнейшее уточнение в ряде документов, например, в стандарте [19] для исследования конкретных информационных систем предприятия. Поскольку в данной работе рассматривается более общий случай, нам достаточно приведенной информации.
Попробуем систематизировать методы оценки рисков с целью предоставления аналитического материала для выбора той или иной методики применительно к конкретным случаям. При выборе методики необходимо предварительно сформулировать требования к ней.
Методики оценки рисков можно классифицировать по типу получаемых с их помощью результатов:
- качественные;
- количественные;
- смешанные (гибридные).
Качественные методики достаточно популярны и относительно просты. Как правило, с их помощью можно получить оценку рисков в соответствии с простой шкалой уровней рисков, например: низкий, средний, высокий. В качестве известных примеров качественных методик можно назвать методику и соответствующий инструментарий COBRA (первая версия разработана компанией C&A Systems Security Ltd в 1997г. на основе стандарта [4]), методику и одноименное инструментальное средство качественной оценки рисков RA Software Tool, которая разработана на требованиях [4], [5] (части 3, 4), а также с использованием некоторых руководств Британского национального института стандартов BSI. К категории качественных методик можно также отнести пакет FRAP (Facilitated Risk Analysis Process), представленный в работе [22].
Количественные методы необходимы в случаях, когда предполагаемый ущерб велик. Количественные методы также применяются для того, чтобы оценить альтернативные меры по обеспечению безопасности с целью выбора наилучшей защиты.
Методики оценки рисков можно классифицировать по типу процедуры принятия решений:
- одноэтапные, которые, как правило, используются на начальной стадии развития инфраструктуры организации, когда ещё не выявлены ключевые факторы, влияющие на ИБ;
- многоэтапные с предварительной оценкой ключевых параметров.
Ключевые параметры, известные по методикам и принятые к рассмотрению:
- потенциальный ущерб [5];
- вероятность реализации угрозы [5] или степень возможности реализации угроз ИБ [20];
- степень тяжести последствий от реализации угроз [20].
Следует заметить, что оценка рисков должна рассматриваться не как самоцель, а определенный шаг на пути к выработке требований ИБ. Оценка риска в соответствии с международными стандартами является итеративным процессом. То есть общая оценка риска должна позволять сделать вывод о том, достигнут ли допустимый риск. В случае, если допустимый риск не достигнут после применения мер безопасности (защитных мер), процесс оценки риска должен быть повторён. И так до тех пор, пока не будет достигнут допустимый уровень риска. Согласно [19] в случае, если риск не может быть снижен до необходимого уровня, производится обработка риска информационной безопасности, т.е. производятся процедуры:
- снижения риска,
- сохранения риска,
- предотвращения риска,
- перенос риска, например, путем страхования.
Первым этапом оценки риска является идентификация факторов опасности. Существует несколько методов анализа факторов опасности. Все их можно разделить на два вида: дедуктивный и индуктивный. В дедуктивном методе предполагается конечное событие, а затем отбираются события, которые могли бы его вызвать. В индуктивном методе предполагается отказ компонента, а последующий анализ обеспечивает идентификацию событий, которые этот отказ могли бы вызвать.
Среди дедуктивных методов можно выделить метод MOSAR (Method Organized Analysis of Risks – метод системного анализа рисков). Данный метод состоит из десяти этапов. Анализируемая система рассматривается как некоторое количество подсистем, которые взаимодействуют. Используется таблица, чтобы идентифицировать факторы опасности, опасные ситуации и опасные события. Адекватность мер по обеспечению безопасности изучается по второй таблице, и по третьей таблице, принимающей во внимание их взаимозависимость. Изучение подчеркивает возможные опасные отказы. Это позволяет разработать сценарии несчастных случаев. Сценарии сортируются по степени серьезности. В следующей таблице эта серьезность связывается с целями, которые будут преследоваться мерами по обеспечению безопасности, и определяются уровни эффективности технических и организационных мер. Затем меры по обеспечению безопасности включаются в логические деревья, а остаточные риски анализируются по таблице допустимости.
Другим дедуктивным методом является FTA (Fault Tree Analysis – анализ дерева неисправностей), подробно рассмотренный в ГОСТ 51901.1-2002. В данном методе исходят из события, рассматриваемого как нежелательное. Такой метод даёт возможность пользователю этого метода найти целый набор критических вариантов, которые приводят к нежелательному событию. Опасные или итоговые события сначала идентифицируются, затем все сочетания отдельных отказов показываются в логическом формате дерева неисправности. Оценивая вероятности отдельных отказов, а затем, используя соответствующие арифметические операции, можно рассчитать вероятность итогового события. Влияние изменения системы на вероятность итогового события можно легко оценить. Поэтому метод FTA обеспечивает простую возможность исследовать воздействие альтернативных мер по обеспечению безопасности. Метод впервые был определен в стандарте МЭК 61025.
Технологический прогноз, основанный на методе Дельфи [23], — это попытка предсказать развитие той или иной технологии на длительную перспективу (20-30 лет). Разработанная впервые в 50-х годах RAND Corp., техника метода Дельфи была использована впервые для целей национального и отраслевого технологического прогнозирования Японией, а впоследствии, и в значительной степени по японскому образцу, Германией, Францией, Великобританией, Испанией, Австрией, Южной Кореей.
Большая группа экспертов опрашивается в несколько этапов, затем результат предыдущего этапа вместе с дополнительной информацией сообщается всем участникам. Во время третьего или четвёртого этапа, анонимный опрос концентрируется на тех аспектах, по которым пока не достигнуто никакого соглашения.
Среди индуктивных методов анализа факторов опасности и оценки риска следует отметить предварительный анализ факторов опасности, метод "что, если", анализ состояния и результатов отказа, моделирование неисправности в системах управления.
Назначение такого метода как предварительный анализ факторов опасности (Preliminary Hazard Analysis) состоит в том, чтобы идентифицировать для всех этапов эксплуатационного периода факторы опасности, опасные ситуации и опасные события, которые могли бы привести к несчастному случаю. После идентификации возможности несчастного случая даются предложения о мерах по обеспечению безопасности и результат их применения.
Метод "что, если" применяется для относительно простых приложений, рассматривается проектирование, действие и использование оборудования. На каждом этапе задаются вопросы "что, если" и на них даются ответы, чтобы оценить влияние отказов компонентов или методических ошибок на возникновение факторов опасности в механизме.
Цель анализа состояния и результатов отказа FMEA (Failure Mode and Effects Analysis) – оценить частоту и последствия отказа компонента. Этот метод требует более длительного времени, чем использование дерева дефектов, потому что для каждого компонента рассматривается каждый вид отказа. Метод определен в стандарте МЭК 60812, также рассмотрен в [16].
При методе моделирования неисправности в системах управления методики испытаний основаны на двух критериях: технология и сложность системы управления.
После идентификации факторов опасности должна быть выполнена оценка риска для каждого фактора опасности путём определения элементов риска.
Риск, связанный с конкретной ситуацией или техническим процессом, складывается из сочетания следующих элементов (рис.3):
- серьезность ущерба;
- вероятность нанесения ущерба, которая зависит от частоты и продолжительности воздействия на людей факторов опасности, вероятности наступления опасного события, возможности избежать или ограничить ущерб, связанной с техническим или человеческим фактором.
Рис.3 Риск, связанный с конкретным фактором
Рассмотрим каждый из элементов риска.
Серьезность можно оценить учитывая:
- характер объекта, который должен быть защищён - люди, собственность или окружающая среда;
- серьезность повреждений или причинения вреда здоровью - небольшая (обычно обратимый вред), значительная (обычно необратимый вред), смерть;
- степень ущерба (для каждой единицы оборудования) - один человек, несколько человек.
Вероятность нанесения ущерба оценивается при учёте частоты и продолжительности воздействия; вероятности наступления опасного события; возможности для предотвращения или ограничения ущерба.
Человеческий фактор практически во всех случаях может влиять на риск и должен приниматься во внимания при оценке риска. Сюда включается взаимодействие с оборудованием; взаимодействие между людьми; психологические аспекты; эргономические эффекты; способность людей осознавать риск в данной ситуации в зависимости от уровня их опыта и квалификации. ИСО 14121 рекомендует принимать во внимание при оценке риска возможность отмены мер по обеспечению безопасности или действий в обход их.
Попробуем применить результаты проведённого краткого анализа методов оценки рисков к исследованию процесса удалённой аутентификации. В качестве первого шага опишем объект исследования.
Продолжение следует
Литература
- Сарбуков А., Грушо А. Аутентификация в компьютерных системах // Системы безопасности. – 2003. - №5 (53).
- Сабанов А.Г. Аутентификация как составляющая Единого пространства доверия // Электросвязь. – 2012. - №8.
- Сабанов А.Г. Методы исследования надёжности удалённой аутентификации // Электросвязь. – 2012. - №10.
- ISO 17799-2002.
- NIST SP 800-30. July 2002.
- AZ/NZS 4360 Risk Management Standard с обновлениями 1999 и 2004г.
- ISO 17799-2002
- ISO 13335.
- ISO 31000:2009 Risk Management – Principles and Guidelines.
- ISO 20000.
- BS 25999.
- ISO 22301.
- Федеральный закон от 27декабря 2002г. №184-ФЗ "О техническом регулировании".
- Федеральный закон от 21 июля 2011г. №255-ФЗ "О внесении изменений в Федеральный закон "О техническом регулировании".
- Федеральный закон от 30 ноября 2011г. №347-ФЗ "О внесении изменений в Федеральный закон "О техническом регулировании".
- ГОСТ Р 51901.1-2002.
- ГОСТ Р ИСО/МЭК 15408.
- ГОСТ Р 50992-2006.
- ГОСТ Р ИСО/МЭК 27005-2010.
- Методика оценки рисков нарушения ИБ, принятая Банком России от 11.11.2009 №Р-1190.
- ГОСТ Р 54505-2011 "Управление рисками на железнодорожном транспорте".
- Thomas R. Peltier. Information Security Risk Analysis. January 2001. 296p.
- Moghissi A. A., Narland R. E., Congel F. J. Eckerman K. F. Methodology for environmental human exposure and health risk assessment. - Dyn.Exposure and Hazard Assessment Toxic chem. Ann Arbor.Michigan, USA 1980 p. 471-489.
- Зубов А.Ю. Математика кодов аутентификации. – М.: Гелиос АРВ, 2007.
- ISO/IEC 27002:2005 Информационные технологии. Свод правил по управлению защитой информации.
- http://www.emc.com/about/news/press/2013/20130226-01.htm