Оценка рисков ИБ. Определяем источники и перечень событий ИБ
Этот пост является вторым в серии из трех постов об оценке рисков информационной безопасности (ИБ) и посвящен методологии определения источников событий ИБ, а также перечня событий ИБ, подлежащих регистрации.
Ни для кого не секрет, что в каждой организации функционирует большое количество активов (АРМы, сервера, сетевое оборудование, средства защиты информации, общесистемное прикладное программное и аппаратное обеспечение и т.д.), которые порождают еще большее количество событий ИБ. И определение перечня событий ИБ, подлежащих регистрации, а также определение источников событий ИБ является не простой, но важной задачей.
На практике для решения этой задачи используют риск-ориентированный подход.
Схематично взаимосвязь процесса оценки рисков ИБ и процесса определения событий ИБ, подлежащих регистрации, а также источников событий ИБ, можно отобразить следующим образом:
Из приведенной схемы следует, что:
- Эксплуатация источником угрозы уязвимости(ей) актива приводит к риску ИБ, при этом защитные меры, функционирующие в организации, могут понижать вероятность реализации данного риска ИБ (угрозы).
- В соответствие с выбранной методикой оценки рассчитывается вероятность реализации угрозы и определяется перечень неприемлемых рисков ИБ, которые необходимо своевременно обработать.
- На основании перечня неприемлемых рисков ИБ воспроизводится перечень инцидентов ИБ, которые могут привести к реализации неприемлемых рисков;
- На основании перечня инцидентов ИБ воспроизводится перечень событий ИБ, корреляция которых позволит своевременно детектировать инциденты ИБ, что, в свою очередь, позволит избежать ущерба от реализации неприемлемых рисков;
- На основании перечня событий ИБ определяется перечень источников событий ИБ.
Приведу практический пример применения риск-ориентированного подхода для определения перечня событий ИБ, подлежащих регистрации, а также источников событий ИБ.
- По результатам оценки рисков ИБ были определены неприемлемые риски, один из которых – «Внесение несанкционированных изменений путем доступа к информационной системе «1С: Предприятие» за счет подбора внешними нарушителями (хактивисты, спецслужбы иностранных государств, преступные группировки) аутентификационных данных легитимных пользователей».
Здесь:-
- Источник угрозы – внешние нарушители (хактивисты, спецслужбы иностранных государств, преступные группировки);
- Уязвимости – использование персоналом организации простых паролей (отсутствие парольной политики и контроля за ее выполнением), передача учетных записей (логинов и паролей) по каналам связи в открытом/незащищенном виде (в т.ч. через сеть Интернет), наличие у персонала возможности удаленного доступа к информационной системе «1С: Предприятие» через сеть Интернет;
- Актив – информационная система «1С: Предприятие».
-
- Далее для выбранного риска был воспроизведен перечень инцидентов ИБ, которые могут привести к его реализации. Один из таких инцидентов ИБ – атака типа «Перебор пароля»;
- Далее был определен перечень событий ИБ, корреляция которых позволит своевременно детектировать инцидент «Перебор пароля». В данном примере это:
-
- События аутентификации доменных пользователей в информационной системе «1С: Предприятие»;
- События аутентификации локальных пользователей в информационной системе «1С: Предприятие».
-
- На основании перечня событий ИБ, подлежащих регистрации, был определен перечень источников событий ИБ:
-
- Для событий аутентификации доменных пользователей в информационной системе «1С: Предприятие» – система активных каталогов Active Directory;
- Для событий аутентификации локальных пользователей в информационной системе «1С: Предприятие» – журналы информационной системы «1С: Предприятие».
-
Важно понимать, что определение перечня событий ИБ, подлежащих регистрации, а также определение источников событий ИБ – это постоянный процесс, требующий от специалистов по информационной безопасности регулярной актуализации данных об активах (ведь ИТ-инфраструктура – это динамическая сущность, которая постоянно меняется).
При этом риск-ориентированный подход является фундаментом, на котором можно строить систему своевременного детектирования инцидентов ИБ и реагирования на них с целью минимизации ущерба, который кибератака может нанести организации.
Часть 1: Оценка рисков информационной безопасности. Алгоритм.