Основные термины и определения:
- Угроза безопасности — это возможное происшествие, которое может оказать воздействие на информацию в системе.
- Уязвимость — это неудачная характеристика системы, которая делает возможным возникновение угрозы.
- Атака — это действие по использованию уязвимости; атака — это реализация угрозы.
- Угроза конфиденциальности — угроза раскрытия информации.
- Угроза целостности — угроза изменения информации.
- Угроза доступности — угроза нарушения работоспособности системы при доступе к информации.
- Ущерб — это стоимость потерь, которые понесет компания в случае реализации угроз конфиденциальности, целостности, доступности по каждому виду ценной информации. Ущерб зависит только от стоимости информации, которая обрабатывается в автоматизированной системе. Ущерб является характеристикой информационной системы и не зависит от ее защищенности.
- Риск — это вероятный ущерб, который зависит от защищенности системы. По определению риск всегда измеряется в деньгах.
1. Виды систем анализа информационных рисков
Ни для кого не секрет, что анализ информационных рисков является актуальной задачей для современного бизнеса — последние годы в России на каждой конференции по информационной безопасности можно услышать серьезные доклады на данную тему. При этом часто ускользают сами основы: что именно представляет собой задача анализа рисков, какие существуют способы ее решения, а также, какие проблемы возникают при выборе метода решения.
Анализ информационных рисков — это процесс комплексной оценки защищенности информационной системы с переходом к количественным или качественным показателям рисков. При этом риск — это вероятный ущерб, который зависит от защищенности системы. Итак, из определения следует, что на выходе алгоритма анализа риска можно получить либо количественную оценку рисков (риск измеряется в деньгах), либо — качественную (уровни риска; обычно: высокий, средний, низкий).
Кроме того, анализ рисков также отличается по используемому подходу; обычно условно выделяют два уровня анализа рисков: базовый и полный. Для базового анализа рисков достаточно проверить риск невыполнения требований общепринятого стандарта безопасности (обычно ISO 17799) с получением на выходе качественной оценки уровня рисков (высокий, средний, низкий). Система КОНДОР является ярким примером реализации подобного подхода к анализу рисков.
О полном анализе информационных рисков мы поговорим подробно. Собственно, именно на нем скрещиваются копья большинства специалистов, так как с базовым анализом рисков больших вопросов обычно не возникает. Почему же полный анализ рисков вызывает столь много вопросов и настолько неоднозначен в плане применяющихся подходов? Почему в мире существует так мало систем анализа и управления информационными рисками полного уровня? Попробуем найти ответы на данные вопросы.
Итак, основное отличие полного анализа рисков от базового состоит в необходимости построения полной модели анализируемой информационной системы. Модель должна включать: виды ценной информации, объекты ее хранения; группы пользователей и виды доступа к информации; средства защиты (включая политику безопасности), виды угроз. 
Обратим внимание, что данное системное моделирование представляет существенную алгоритмическую сложность для разработчиков.
Далее, после моделирования необходимо перейти к этапу анализа защищенности построенной полной модели информационной системы. Здесь мы попадаем в целый пласт теоретических и практических проблем, с которыми сталкиваются разработчики алгоритмов полного анализа рисков. Прежде всего, как алгоритмически (без эксперта) оценить защищенность информационной системы (заметим, что речь не идет о сканировании конкретных уязвимостей в конкретном применяемом программном обеспечении — таких систем анализа риска не существует)? Следующая проблема — как алгоритмически определить все классы уязвимостей в системе защиты анализируемой системы? Как оценить ущерб от всех существующих в системе угроз безопасности и как добиться адекватной оценки совокупного ущерба по всем классам угроз (необходимо избежать избыточного суммирования ущербов)? И самая сложная проблема: риск категория сугубо вероятностная — как оценить вероятность реализации множества угроз информационной системы?
Весь вышеуказанный комплекс проблем необходимо решать при создании современного алгоритма анализа рисков.
2. Особенности алгоритмов анализа информационных рисков на примере ГРИФ
В мире существует не так много алгоритмов полного анализа информационных рисков. На западе это британский CRAMM и американский RiskWatch; в России — это ГРИФ. О первых двух алгоритмах написано уже достаточно много, в этом материале мы более подробно рассмотрим специфику решения задачи анализа ИТ-рисков на примере алгоритма ГРИФ и сравним его с американским RiskWatch.
Отметим, что при разработке алгоритма ГРИФ стояла задача учесть недостатки существующих систем и сделать сам алгоритм удобным при работе пользователя в системе.
2.1. Алгоритмический анализ технологических особенностей защищенности ИС
Первая задача, решаемая уникальным алгоритмом ГРИФ: на основе построенной полной модели информационной системы оценить ее защищенность. При решении этой задачи активно применялся опыт экспертов. Отметим ряд некоторых особенностей алгоритма, основанных на практических аспектах анализа защищенности ИС. Основными принципами, использующимися в алгоритме ГРИФ, являются следующие:
- принцип передачи свойств объекта другим объектам данного множества;
- принцип выбора уровня защищенности объектов одного множества по уровню наименее защищенного объекта множества;
- принцип оценки уровня защищенности взаимодействия между субъектом и объектом по наименее защищенному:
- при оценке уровня защищенности взаимодействия между субъектом (пользователем) и объектом (информация на объекте) выбирался наименее защищенный объект взаимодействия;
- при оценке защищенности видов информации (объекта взаимодействия), расположенных на одном из объектов информационной системы, итоговый уровень защищенности каждого вида информации выбирается по наименее защищенному;
- при оценке защищенности объектов взаимодействия, находящихся физически в одном сегменте, итоговый уровень защищенности выбирался по наименее защищенному объекту.
При этом на итоговую оценку защищенности информационной системы существенным образом влияют организационные аспекты: вопросы реализации требований политики безопасности согласно ISO 17799, что также учитывается алгоритмом ГРИФ.
2.2. Оценка ущерба от угроз безопасности
Одной из классических проблем алгоритмов анализа информационных рисков является выбор методики анализа и определения угроз безопасности информации.
Часть существующих алгоритмов, в частности американский RiskWatch, использует следующий подход: пользователь указывает полный список угроз безопасности, характерных для данной системы, а также оценку ущерба по каждому виду угроз. Данный подход является алгоритмически тупиковым путем, так как конечный элемент защиты — это информация, и ущерб определяется именно по информации. Определение ущерба по конкретным, специфичным для данной системы угрозам приводит к тому, что данный ущерб в итоге оценивается выше, чем реальный ущерб по видам информации, что неверно. 
Дело в том, что на один и тот же вид информации может быть реально направлено сразу несколько угроз, что и приведет к тому, что суммарный ущерб, подсчитанный по угрозам, будет неадекватен реальному, подсчитанному по информации. С учетом того, что как конечным элементом защиты, так и конечным элементом оценки ущерба является информация, алгоритм анализа рисков должен отталкиваться не от частных угроз и ущербов по ним, а от информации и от ущерба по информации.
Для решения этого алгоритмического противоречия в алгоритме ГРИФ применяется новый метод классического непересекающегося поля угроз информации: угроз конфиденциальности, целостности и доступности. Данный алгоритм требует от пользователя внести размер ущерба по всем трем видам угроз по каждому виду ценной информации. Этот метод позволяет, во-первых, абстрагироваться на этапе моделирования системы от конкретных угроз безопасности (дело в том, что каждая конкретная угроза распадается на эти три классических непересекающихся вида угроз), во-вторых, избежать избыточного суммирования по ущербу, так как это поле непересекающихся угроз. И, в-третьих, метод даёт возможность разбить процесс анализа защищенности информационной системы на множество элементарных ситуаций, когда алгоритм анализирует возможность реализации данных классических угроз безопасности по каждому виду информации на каждом ресурсе и не привязывается на этапе анализа к конкретным реализациям угроз. 
2.3. Оценка вероятностей реализации обнаруженных угроз
Фундаментальной проблемой любого алгоритма анализа рисков является определение вероятности реализации специфичной для данной системы угрозы. В случае применения подхода, аналогичного RiskWatch (условно, подхода от частных угроз), пользователю на этапе моделирования необходимо или ввести вероятность реализации конкретной угрозы (что превращает сам «алгоритм» в простую формулу: Вероятность*УЩЕРБ, тем самым, выхолащивая до нуля процесс анализа защищенности — его здесь просто нет) или оценить ее уровень. Алгоритм ГРИФ не предусматривает введения пользователем вероятности реализации угроз. В ГРИФ моделируются доступы всех групп пользователей ко всем видам информации, и в зависимости от вида доступа и вида ресурса рассматривается конечное множество очевидных элементарных ситуаций, где начальную вероятность реализации угрозы можно определить достаточно просто и точно. Далее анализируется множество опять же элементарных факторов (идет анализ комплексной защищенности объекта), которые так или иначе влияют на защищенность, и затем делается вывод об итоговых рисках. Таким образом, в алгоритме ГРИФ применяется типовой алгоритмический подход, когда решение большой сложной задачи разбивается на множество небольших простых задач.
3. Вывод
Анализ информационных рисков является, безусловно, труднейшей практической задачей. Подходы к ее реализации могут быть самыми разными: от достаточно простых, но удобных и мощных «риск калькуляторов» (RiskWatch) до очень сложных в работе систем (CRAMM). Метод CRAMM, также как и RiskWatch, оперирует с конкретными видами угроз, но идет дальше, выстраивая сложную модель информационной системы. Метод ГРИФ, где применяется метод классических видов угроз безопасности, основывается на целом комплексе параметров, которые определяются, прежде всего, защищенностью исследуемого объекта. Анализируются как технологические аспекты защищенности (включая учет требований стандартов Good Practice, ISO 15408 и др. и таких важных с точки зрения реального проникновения моментов, как нахождение в одном сегменте, действия хакера через наименее защищенный объект взаимодействия и т. д.), так и вопросы комплексной безопасности, согласно ISO 17799 (организация, управление, администрирование, физ. безопасность и т. д.). При этом подход ГРИФ обладает универсальностью, гибкостью и удобством для пользователя.
Какой подход из вышеизложенных наиболее адекватно отражает существующую проблематику анализа ИТ-рисков? Какой подход выбрать пользователю? Все алгоритмы по-разному, но совершенно адекватно решают поставленную задачу в рамках, которые предусмотрел их разработчик. Но мне кажется, что вопрос алгоритма представляет скорее научный интерес, так как на практике пользователь выбирает не алгоритм, а непосредственно продукт. А потребительские качества продуктов анализа и управления ИТ-рисков, построенных на базе алгоритмов ГРИФ, CRAMM, RiskWatch, — это уже совсем другая тема.
Ознакомиться с продуктами и получить их демо-версии можно по следующим ссылкам:
