Анализ методики RiskWatch

Компания RiskWatch разработала собственную методику анализа рисков и семейство программный средств, в которых она в той либо иной мере реализуется. Семейство RiskWatch состоит из программных продуктов:

- RiskWatch for Physical Security - для анализа физической защиты ИС;

- RiskWatch for Information Systems - для информационных рисков;

- HIPAA-WATCH for Healthcare Industry - для оценки соответствия требованиям стандарта HIPAA (US Healthcare Insurance Portability and Accountability Act), актуальных в основном для медицинских учреждений, работающих на территории США;

- RiskWatch RW17799 for ISO 17799 - для оценки соответствия ИС требованиям стандарта международного стандарта ISO 17799.

В RiskWatch в качестве критериев для оценки и управления рисками используются ожидаемые годовые потери (Annual Loss Expectancy, ALE) и оценка возврата инвестиций (Return on Investment, ROI). RiskWatch ориентирована на точную количественную оценку соотношения потерь от угроз безопасности и затрат на создание системы защиты. В основе продукта RiskWatch находится методика анализа рисков, которая состоит из четырех этапов[8].

Первый этап - определение предмета исследования. Здесь описываются параметры: тип организации, состав исследуемой системы (в общих чертах), базовые требования в области безопасности. Для облегчения работы аналитика, в шаблонах, соответствующих типу организации («коммерческая информационная система», «государственная / военная информационная система» и т.д.), есть списки категорий защищаемых ресурсов, потерь, угроз, уязвимостей и мер защиты. И выбираются категории потерь, присутствующие в организации:

- задержки и отказ в обслуживании;

- раскрытие информации;

- прямые потери (например, от уничтожения оборудования огнем);

- жизнь и здоровье (персонала, заказчиков и т.д.);

- изменение данных;

- косвенные потери (например, затраты на восстановление);

- репутация.

Второй этап - ввод данных, описывающих конкретные характеристики системы. Данные могут вводиться вручную или импортироваться из отчетов, созданных инструментальными средствами исследования уязвимости компьютерных сетей. Подробнейшим образом описываются ресурсы, потери и классы инцидентов. Классы инцидентов получаются путем сопоставления категории потерь и категории ресурсов.

Также задается частота возникновения каждой из выделенных угроз, степень уязвимости и ценность ресурсов. Если для выбранного класса угроз в системе есть среднегодовые оценки возникновения (LAFE и SAFE), то используются они. Все это используется в дальнейшем для расчета эффекта от внедрения средств защиты.

Третий этап - количественная оценка риска. На этом этапе рассчитывается профиль рисков, и выбираются меры обеспечения безопасности. Сначала устанавливаются связи между ресурсами, потерями, угрозами и уязвимостями, выделенными на предыдущих шагах исследования. SAFE (Standard Annual Frequency Estimate) - показывает, сколько раз в год в среднем данная угроза реализуется в этой «части мира» (например, в Северной Америке). Вводится также поправочный коэффициент, который позволяет учесть, что в результате реализации угрозы защищаемый ресурс может быть уничтожен не полностью, а только частично.

Формула (1) показывает варианты расчета показателя ALE:

(1)

оценка риск информационный корпоративный

где:

- Asset Value - стоимость рассматриваемого актива (данных, программ, аппаратуры и т.д.);

- Exposure Factor - коэффициент воздействия - показывает, какая часть (в процентах) от стоимости актива, подвергается риску;

- Frequency - частота возникновения нежелательного события;

- ALE - это оценка ожидаемых годовых потерь для одного конкретного актива от реализации одной угрозы.

Когда все активы и воздействия идентифицированы и собраны вместе, то появляется возможность оценить общий риск для ИС, как сумму всех частных значений.

Можно ввести показатели «ожидаемая годовая частота происшествия» (Annualized Rate of Occurrence - ARO) и «ожидаемый единичный ущерб» (Single Loss Expectancy - SLE), который может рассчитываться как разница первоначальной стоимости актива и его остаточной стоимости после происшествия (хотя подобный способ оценки применим не во всех случаях, например, он не подходит для оценки рисков, связанных с нарушением конфиденциальности информации). Тогда, для отдельно взятого сочетания угроза-ресурс, применима формула (2):

(2)

Четвертый этап - генерация отчетов. Типы отчетов:

- краткие итоги;

- полные и краткие отчеты об элементах, описанных на стадиях 1 и 2;

- отчет о стоимости защищаемых ресурсов и ожидаемых потерях от реализации угроз;

- отчет об угрозах и мерах противодействия;

- отчет о ROI;

- отчет о результатах аудита безопасности.

Таким образом, рассматриваемое средство позволяет оценить не только те риски, которые сейчас существуют у предприятия, но и ту выгоду, которую может принести внедрение физических, технических, программных и прочих средств и механизмов защиты. Подготовленные отчеты и графики дают материал, достаточный для принятия решений об изменении системы обеспечения безопасности предприятия [4, 8].

Недостатки методики RiskWatch:

– методика RiskWatch подходит, если требуется провести анализ рисков на программно-техническом уровне защиты, без учета организационных и административных факторов;

– полученные оценки рисков (математическое ожидание потерь) далеко не исчерпывают понимание риска с системных позиций - метод не учитывает комплексный подход к информационной безопасности;

– программное обеспечение RiskWatch существует только на английском языке;

– высокая стоимость лицензии (от 15000 долл. за одно рабочее место для небольшой компании; от 125000 долл. за корпоративную лицензию).

Методика RiskWatch позволяет разделить информационные системы на несколько профилей и уже использовать конкретизированную систему для учета рисков информационной безопасности предприятия, что очень удобно в современное время. Различные организации используют однотипные модели для оценки рисков, что не очень позволяет просчитать тот или иной ущерб при возникновении угрозы. Методика позволяет вживую в цифрах увидеть оценку ожидаемых потерь за год от бездействия со стороны предприятия к угрозе из-за направленного отсутствия финансирования для обеспечения безопасности предприятия.