ОЦЕНКА  РИСКОВ В  КОМПЬЮТЕРНЫХ  СЕТЯХ КРИТИЧЕСКИХ  ИНФРАСТРУКТУР

Котенко  Игорь  Витальевич

д-р  техн.  наук,  профессор,

  зав.  лабораторией  проблем  компьютерной  безопасности

  Санкт-Петербургского  института  информатики  и  автоматизации 

РАН  (СПИИРАН),

  г.  Санкт-Петербург 

E-mail:  ivkote@comsec.spb.ru

Саенко  Игорь  Борисович

д-р  техн.  наук,  профессор,

  вед.  науч.  сотр.  лаборатории  проблем  компьютерной  безопасности

  Санкт-Петербургского  института  информатики  и  автоматизации 

РАН  (  СПИИРАН),  г.  Санкт-Петербург

E-mail:  ibsaen@comsec.spb.ru

Дойникова  Елена  Владимировна

аспирант  лаборатории  проблем  компьютерной  безопасности  Санкт-Петербургского  института  информатики  и  автоматизации  РАН  (СПИИРАН),

  г.  Санкт-Петербург

E-mail:  doynikova@comsec.spb.ru

RISK  ASSESSMENT  IN  COMPUTER NETWORKS  OF  CRITICAL  INFRASTRUCTURES

Igor  Kotenko 

Ph.D.,  Professor,  Head  of  Laboratory  of  Computer  Security  Problems,  St.  Petersburg  Institute  for  Informatics  and  Automation  of  RAS  (SPIIRAS),  St.  Petersburg

Igor  Saenko 

Ph.D.,  Professor,  Leading  research  scientist  of  Laboratory  of  Computer  Security  Problems,  St.  Petersburg  Institute  for  Informatics  and  Automation  of  RAS  (SPIIRAS),  St.  Petersburg

Elena  Doynikova 

Postgraduate  Student  of  Laboratory  of  Computer  Security  Problems,  St.  Petersburg  Institute  for  Informatics  and  Automation  of  RAS  (SPIIRAS),  St.  Petersburg

Работа  выполняется  при  финансовой  поддержке  РФФИ,  программы  фундаментальных  исследований  ОНИТ  РАН,  Минис­терства  образования  и  науки  Российской  Федерации  (государст-венный  контракт  11.519.11.4008),  при  частичной  финансовой  поддержке,  осуществляемой  в  рамках  проектов  Евросоюза  SecFutur  и  MASSIF,  а  также  в  рамках  других  проектов.

АННОТАЦИЯ

В  статье  рассматривается  проблема  оценки  рисков  в  компью­терных  сетях,  свойственных  критическим  инфраструктурам.  Показано  место  процесса  оценки  рисков  в  более  общем  процессе  управления  рисками,  а  также  его  цели,  содержание,  задачи  и  определяющие  их  руководящие  документы.  Приводится  предлагаемая  для  оценки  рисков  в  компьютерных  сетях  критических  инфраструктур  система  показателей  безопасности.  Рассматриваются  этапы  разработанной  методики  on-line  оценки  рисков,  позволяющей  определить  уровень  безопасности  системы  на  основе  анализа  графа  атак.

ABSTRACT

The  paper  describes  the  problem  of  risk  assessing  in  computer  networks  of  critical  infrastructures.  The  place  of  risk  assessment  process  in  a  more  general  process  of  risk  management,  as  well  as  its  objectives,  content,  tasks  and  defining  their  guidance  documents  are  shown.  The  system  of  security  metrics,  which  is  proposed  for  risk  assessment  in  computer  networks  of  critical  infrastructures,  is  provided.  The  stages  of  the  developed  method  of  on-line  risk  assessment  to  determine  the  level  of  security  system  by  analyzing  the  graph  of  attacks  are  discussed. 

Ключевые  слова:  компьютерная  сеть;  защита  информации;  критически  инфраструктура;  оценка  рисков.

Keywords:  computer  network;  information  security;  critical  infrastructure;  risk  assessment.

В  современных  критических  инфраструктурах,  к  числу  которых  относятся  системы  связи  и  управления  политических,  государственно-административных  и  силовых,  а  также  многих  промышленно-экономических,  научно-технических,  и  образовательных  структур  и  организаций,  безопасность  компьютерных  сетей  имеет  исключи­тельную  важность.  В  этой  связи  задача  оценки  риска  в  компьютерных  сетях  критических  инфраструктур,  целью  которой  является  определение  возможных  потерь,  вызванных  атаками  на  компьютерную  сеть,  является  актуальной  и  требующей  усовершенствованных  методик  для  своего  решения.

Оценка  рисков  является  частью  управления  рисками,  которое  позволяет  взвешивать  различные  стратегии  рисков  и  принимать  решения  по  наиболее  приемлемым  рискам  [9].  В  управление  рисками,  помимо  оценки  рисков,  входит  также  процесс  ликвидации  рисков.  Оценка  рисков  является  обобщенным  процессом,  включающим  анализ  рисков  и  оценивание  рисков,  в  ходе  которого  риски  должны  быть  выявлены,  описаны  качественно  или  количественно  и  расположены  по  приоритетам  согласно  критерию  оценки  рисков  и  целям  функционирования  организации.  Под  анализом  рисков  понимается  систематическое  использование  информации  в  целях  идентификации  источников  рисков  и  оценивания  рисков.  Идентификация  рисков  включает  идентификацию  активов,  угроз,  уязвимостей  и  возможных  воздействий.  В  процессе  оценивания  рисков  определяются  вероят­ности  рисков.  На  этом  этапе  используются  метрики  безопасности.  Оценивание  рисков,  таким  образом,  является  процессом  сравнения  рассчитанного  риска  с  заданными  критериями  риска,  чтобы  опреде­лить  значительность  риска  [9]. 

Возможные  методы  количественной  оценки  рисков  приводятся  в  [8]:  «мозговой  штурм»,  структурированные  опросы,  метод  Дельфи,  контрольные  листы,  оценка  экологического  риска,  анализ  сценариев,  анализ  дерева  неисправностей,  анализ  дерева  событий,  причинно-следственный  анализ,  анализ  причинно-следственных  связей,  анализ  уровней  надежности  средств  защиты,  анализ  дерева  решений,  анализ  диаграммы  «галстук-бабочка»,  анализ  паразитных  цепей,  анализ  цепей  Маркова,  метод  Монте-Карло,  Байесова  статистика  и  сети  Байеса,  FN-кривые,  индексы  риска,  матрица  последствий  и  вероятностей,  многокритериальный  анализ  решений  и  некоторые  другие.

В  России  основным  нормативным  документом  в  области  верификации  политик  безопасности  является  Руководящий  документ  ФСТЭК  [1],  являющийся,  по  сути,  русским  переводом  международного  стандарта  ISO/IEC  15408:1999. 

Существуют  различные  подходы  различных  организаций  в  этой  области,  которые  можно  разделить  на  следующие  категории  [7]:  1)  системы  показателей,  предназначенные  для  оценки  уровня  риска;  2)  подходы  к  оценке  риска,  основанные  на  вычислении  некоторого  интегрального  показателя;  3)  подходы,  представляющие  из  себя  полноценную  платформу  для  управления  рисками;  4)  протоколы  управления  данными  по  безопасности.  Однако  для  компьютерных  сетей  критических  инфраструктур  необходимо  уточнение  системы  метрик  безопасности  и  разработка  методик  оценки  рисков,  которые  были  бы  способны  работать  не  только  в  режиме  off-line,  но  и  в  режиме  on-line.

В  СПИИРАН  ведутся  активные  исследования  в  области  метрик  безопасности  для  компьютерных  сетей  критических  инфра­структур  [2—4].  Полученные  в  них  результаты  применяются  для  построения  систем  мониторинга  и  управления  безопасностью  нового  поколения,  основанных  на  технологии  «управления  информацией  и  событиями  безопасности»  [5,  6].  Предлагаемая  для  таких  сетей  система  метрик  безопасности  включает  четыре  группы  показателей:  1)  топологические;  2)  оценки  нарушителя;  3)  оценки  атак  (воздействий);  4)  системные.

К  числу  топологических  метрик  безопасности  относятся: 

·           критичность  хостов/активов  (относительная  критичность  или  монетарная  стоимость);

·           уязвимость  хостов  к  известным  атакам  и  атакам  «нулевого  дня»;

·           значимость  (severity)  уязвимостей  и  сложность  доступа. 

Для  оценки  нарушителя  предлагаются  следующие  метрики:

·           текущий  уровень  подготовки  и  привилегий; 

·           местоположение  нарушителя.

В  группу  показателей  оценки  атак  включаются:

·           вероятность  атаки;

·           потенциал  атаки;

·           степень  реализации  угрозы;

·           уровень  угрозы.

Наконец,  к  системным  показателям  относятся  такие  показатели  как  поверхность  атаки  и  уровень  безопасности  системы.

Предлагаемая  методика  оценки  рисков  в  компьютерных  сетях  критических  инфраструктур,  позволяющая  проводить  эту  оценку  в  режиме  on-line,  включает  три  этапа.  На  первом  этапе  рассчитываются  метрики  для  объектов  графов  атак  (критичность,  значимость,  сложность  доступа,  реализация  угрозы).  На  втором  этапе  на  основе  расчетов,  выполненных  на  первом  этапе,  рассчитывается  количест­венный  уровень  для  всех  возможных  угроз.  Наконец,  на  последнем  этапе  на  основе  уровней  угроз  определяется  итоговый  уровень  безопасности  системы. 

Список  литературы:

1. Гостехкомиссия  России.  Руководящий  документ.  Безопасность  информа­ционных  технологий.  Критерии  оценки  безопасности  информационных  технологий.  —  2002.
2. Котенко  И.В,  Степашкин  М.В.,  Дойникова  Е.В.  Анализ  защищенности  автоматизированных  систем  с  учетом  социо-инженерных  атак  //  Проблемы  информационной  безопасности.  Компьютерные  системы.  —  2011.  —  №  3.  —  С.  40—57.
3. Котенко  И.В.,  Степашкин  М.В.  Оценка  защищенности  компьютерных  сетей  на  основе  анализа  графов  атак  //  Проблемы  управления  рисками  и  безопасностью.  Труды  Института  системного  анализа  Российской  академии  наук  (ИСА  РАН).  Москва,  URSS.  —  2007.  —  Т.  31.  —  С.  126—207.
4. Котенко  И.В.,  Степашкин  М.В.,  Богданов  В.С.  Анализ  защищенности  компьютерных  сетей  на  различных  этапах  их  жизненного  цикла  //  Изв.  вузов.  Приборостроение.  —  2006.  —  Т.  49,  №  5.  —  С.  3—8.
5. Котенко  И.В.,  Саенко  И.Б.,  Полубелова  О.В.,  Чечулин  А.А.  Применение  технологии  управления  информацией  и  событиями  безопасности  для  защиты  информации  в  критически  важных  инфраструктурах  //  Труды  СПИИРАН.  —2012.  —  Вып.1  (20).  —  C.  27—56.
6. Котенко  И.В.,  Саенко  И.Б.,  Полубелова  О.В.,  Чечулин  А.А.  Технологии  управления  информацией  и  событиями  безопасности  для  защиты  компьютерных  сетей  //  Проблемы  информационной  безопасности.  Компьютерные  системы.  —  2012.  —  №  2.  —  C.  57—68.
7. Barabanov  R.  Information  Security  Metrics.  State  of  the  Art.  DSV  Report  series  No  11-007.  March  2011.
8. ISO/IEC  31010.  Risk  management.  Risk  assessment  techniques.  —  2009.  —  92  p.
9. ISO/IEC  Guide  73.  Risk  Management.  Vocabulary.  Guidelines.  —  2002.  —  16  p.