CC BY
58
УДК" UU4./
МЕТОДИКА ОЦЕНКИ РИСКОВ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ БИЗНЕС-ПРОиЕССОВ
В М. Белов2. А. И üecrynoD1. Т. М. Пестуном1, 'Новосибирский государстваыый университет экономики иуг.равз&тя, с. Новосибирск, Россия
'«Сибирский 2осудорстеаю4ый университет телеколтун:/каций и информатикиv, г. Новосибирск, Россия
Анисшс,иия - В стать« развивается подход авторов к сценке рисков информационней безопасности (ja.iee - lib) н.« основе ани.шкн би ¿нес-ироиессов (ддлее - БП]. lip еде i иконных ь формальных нишииих. Приведен анализ сущшихющш. ¿íeiojuK оценки рисков с выявлением их неаос1Л1ков в кон i екс i е аыа-лнчэ К ТТ. Предложена мнмпнка нпенкн ршкик, учи1ыкаанцим крш ичнип ч БП, i и([н|н-ртпирпк;1 нниг i к •сн .14 и мое i и аклмнон in HIHH le.ibHO БГТ. а шкже клминие mo\ihhi:i реал и мцни ткммжныл \iput h.i ihi-r.iPifTRiia 1ля lili п гк(плнногп с чтими последствиями ущерм.
Клтчгкыг пита : бичнег-щшиегг, iihi|iiijim:iiiiiiihh.im бешпагнпп к, ригкн Гииниг-щшцис.!, jihi kii информационной безопасности.
1. всезыпо:
Постсновка задач информационной безопасности в козгскстс бизнес-процсссоз позволяет cootkccih ясиск-гы бсзопгсностн с результатами онзнсс-процсссов. п значит. и с целями деятельности организации [1-7]. Бизнес процессы оргашпашш и предприятий не являются статичными. Их шментгаость обусловлена многими причина? ni в частности. слиянием фирм, оптимизацией организационных структур, ьпедрешгем аотоматизнро ванньпе технологии н т.п.. что требует отражег-шя происходящих изменений в системе обеспечения ИБ. При этом шмеиення могут касаться всех элементов системы ИБ: от концептуальных документов. шгетрукций и ре гламеитов до состава и конф:пураапн программно техшгчеемгх решепзш
В данной работе предлагаются способы оценки рисков ИБ. направленные на обеспечение ИБ организаций в рамках непрерывности бизнес процессов.
Анализ моделей бизнес-процессов дает возможность отследить влияние происходящих изменений на многие аспекты ИБ. В частности, з "1. 2] н ряде последующих работ авторами был предложен автоматизированный подход к управлению правами доступа на основе анализа ЕРС-модели [?]. В ¡7] представлена обобщенная схема взаимодействия бнзнес-процессов п среды в контексте которой рассматривается управление ИБ, опираясь на jHcicxibj комплексной HBioMaiHдс*1 tfjibtiOC.ru кредириягия. 2vLtjepuaiKi ¿аиубеллых источников [3,4,5,9] показывают, что анализ бизнес-процессов организации имеет большое шачекие для определения рисков ИБ. а также для построения CHCiexnj управления ИБ. В частности, в [10, 11] предлагается метод расширения но1ацки BPMN [12] для управлении рисками ¡-[Б. В [13] авюр предлагав! улучшенную ьерешо нидадин ЕРС, коюрую обозначаем, как «Sec mil у - Oueuled ЕРС» Данная версия была получена иукм расширения языхг ЕРС и пи конструкций г iK-JihK соиоггакпгним данных с модглыо ТЯЯКМ [14] дли о к-нки рискон ИБ
II 11 ОСТАНОВКА ЗАДАЧИ
Рассмотрим ряд ЯЛЖЧЪТХ pfTC Х-ОрИирсИЛFHKTX ЛГПГКТОР мо дг.тгирпв лкия билигс-иропгссоя с дглью гогучг-
ния данных XIя дальнейшей опенки рисков lib. Во-первых, это критичность Í важность) Ьнзнес-проэссса К С-Ы где Ы1- сизнее-процесс. Важность процесса определяется степенью его вклада в достижение стратегических Г1СЛГЙ ОрТЛНИЧЛТТИИ ПигН1Ч"-пропг.-с Ху.ИТИНИПСТЬ к.-тторого РТЛСОКЛ И СЯЯ ОННЫГ Г НИМ ЛКТИЯЫ ДО.ХА-КтГ
иметь болыпни приоритет прп обеспечении осзопасностн. нежели бизнес-процессы с более низкой критичностью (при прсчих ргвкых параметрах)
Во-вторых, следует обратить внимание на ценность актива относительно конкретного бнзнес-процсссп Ц (А. Ы1). где А-актнв. используемый в oil. В оргпнн-зацнн ценность одного и того же актива 'информации, ресурса) может быть различна в коитексте разных БГТ
В-третьих, реализация всех ляпов каждого БП требует определенного времени, а сам БП может носить ите-рлтттиный хлрлктгр Пргм» итгрлции, ттргдтюляглгмое или рл.-считлнчос нл понокг ргаттккой гитулдни - нормл-тнвнос время прохождения вссх > галс в БП от первого дснетвня до получения результата. достижения цели БП. Изменение времени возможно нз-за ошибок или злоумышленных преднамеренных действий исполнителя, не-
н;1;цгж;и11.г| о питшиним ¡кчургпк наруи м-ин гкпе-нргмгннопи нходл иршкчч'и. излишних «при г -^к-мг-ни иг-ислнпгслей на реализацию предусмотренных процессом работ, несогласованности действий исполнителен и тп Последствиями для организации в данном случае могут быть срыв сроков выполнения, неполное достижение 11Г-1ГЙ чадгржья ЩИ1ЦГ1Ч.И, KCIIHIIIHH* Ц1Л1И pri yiK CIH (фиННН(Ч)КЫХ МЛГС{1ИИ.1КНК1Х ЧГЛПКСЧП'НИх) При :<Ш1М
для различных БП сушсс1вуст ргзлнчный уровень критичности изменения времени нтсраинн. т.е. нисколько крнттгшо для организации в контексте ущерба будет изменение Бремени дсстнжештя цели БП. Если каждую итерацию БП рассматривать как ограниченную во времени совокупность взаимосвязанных работ (например, от поступления пчгргдн.-то до ггг» игполнгния) то для оценки дгттустктлктх ГДИИТОР ОЧОНЧЛНИЯ КЛЖДОГО ЭТЛ-
па БП в пределах итерации молаю использовать методы управления проектыми рискам!:, в частности методы сетевого планирования с выделением критических путей н расч?том наиболее поздних моментов начала-
ОЧОНИЛКИЯ >—1TTlTR ОТНОГИТГЛЬИР мпмтл ИЛИЛЛЛ и-грлгик прогтгггл Утг.грб ОТ ИК1ТИДГНТЛ ПОКЛМСПТГГО НЛр)ТПГ-
ннс некоторого актива. может завассгь от момента Ерсмснн этого инцидент относительно начала-окончания БП В частности, возможны случаи, когда ннпндент. связанный, например, с нарушением целостности актива,
МОАП 11]»!КСЧ-ГИ k Gtuihllirvy JlUqifiy, ГЧЛИ ОН ИрОИГ.ХОДИГ tUIHJU* К ОКОНЧАНИЮ И I Г] К! I |И И БП I г Гыи*.г К ДСК'ГИ-
жению цели. При высокой критичности поонсссг относительно сдвига срокоз завершения нтсрапнн может не хватить времени для восстановления нормального режима исполнения процесса, либо это восстановление потребует привлечения значительных дополнительных ресурсов и работа б мобилизационном режиме. В резуль-тлтг ущгрЬ пт игеогтподгкия тргЬоялний Uli (V) можно пргдетлиип. в иидг ттлрлмгтричегтгой фунтг-тпи V (Ы | А Ит). где БП бизнес процесс: Л - актив, нснользуемын в БП: Iii потенциально возможгсын ппщщеегг в момент времени Т.
Ш. ОПИСАНИЕ ПРЕ^ТЛГЛЕМО^ МЕТОДИКИ В нашей работе для оценки критичности БП использован подход [15]. согласно которому первым шагом опргдглгни* критиниогти ЯЯЛЯГТГЯ РЫЯЯГГКИГ критиигских флкторор З'ГГГХЛ ПОД VOTOpb-VIH юничг лютей
наиболее значимые показатели, определяющие достижимость бнзнсс-цсясй. Полутпются в результате декомпозиции стратегических целей. Из всех целей выбираются N наиболее важных, которые и называют КФУ. Для опенки отепенн достижения данных целей используются количественные и качественные показатели.
Определение критичности (важности) Ы1 является результатом его сопоставления е КФУ. Основная суть сопоставления сводится к тому, что по каждому БП необходимо отвешть па вопрос: «Какие КФУ поддержнва ютея данным БП*». При определении важности БП. помимо сопоставления каждому БП множества КФУ. необходимо соеерпзггь ооратиый проход. при котором для каждого КФУ определяются педаерживаюшие его Ь.1
Таким образом, может быть построена матрицу сопоставлештя БП и КФУ. па основе которой определяется критичность (или обратная величина - некритичное ть ) каждого БП по формуле:
где Кщ ~~ козффкцке-чт критчн.'С lk БП. НКсп - 1_(_иффиии^Н1 неприличное im БП. Кдоу — холичесчмо КФУ. oi-носяпшхся кLJ1: (Дк*у - оошее количество КФУ
На этапе оценки цепиосги актива (информации, ресурса) необходимо составить перечень активов для каж дого БП отдельно, а также определить ценность активов. Важно понимать, что ценность одного и того же актива з контексте различных Ы1 может изменяться. Опенка производится хтя каждого актива (А-1. А-2.....A-N)
относительно конкретного БП (БП J. БП 2.....БП N; пс качественной шкале для каждого аспекта безопасно
ети (конфиденциальность, целостность, доступность). Шкала содержит пять уровней оценки (очень высокий, кысокий. грглннй ниетгий лчгнъ низкий), котгрыг огргдглжтотгж уровнем возможного ущгрЬп. тгалуненного организацией при нарушении аспекта осзоиасности актива в каждом Ы1. УшсрЬ определяется в kohickctc влияния инцидента инфермациопной безопасности па параметры БП. от которых завнет дрешжееше соогоет сгвудощих КФУ. Такке müaci рассмшршдегьсх цивтипгние пенни«, .и ак1и±» и.л один и ш два уриинх в «деиси-мосги от временного фактора (насколько близко к началу-окончанию итерации bli пкткв используется).
Учет фактора времени проводится по дп^м составляющим: коэффициенту критичности сроков (для БП), ко эффициенгу к.шлнил на срок (дял yipu ju ИБ). Кол_>фици<гы xf>HiH4HuciH ериков определяемся длм БП
по качественной шкале. Основным критерием опенки является финансовый упггро или соизмеримые ему иные
последствия для организации (репутацпонные рнскн. затраты человеческих ресурсов) при изменении времени итераинн БП. Коэффициент влияпия на срок рассчитывается для каждой угрозы. Следует отметить, что каждая угроза влияет на БП по-разному, в том числе и на зременной фактор, в нашем случае на изменение времени итерации БП. Отсюда, для каждой угрозы коэффициент влияния на срок (независимости от срока) можно представить D виде формулы:
Кос = < Н^бс = 1 ~ KflO (2)
где Кзс - коэффициент влияния на срок БП; НКВС - коэффициент независимости от срока БП: Ти - время выполнения одной итерации БП: Тли — фактическое время выполнения одной итерации БП в условиях реализации угрозы. Если резулысте инцидента Т^и = Тц (Кес =1) или не превышает резерва Бремени, допускаемого для данного БП, то БП можно считать устойчивым к соответствующим угрозе внешним (внутренним) воздействиям. Теоретически К« может возрастать неограниченно, но на практике для каждого Ы1 могут Ььпь определены шичгния мим имилкнп дштчимом» едктл i-рокок. <и и|1гдглими Koitipoic цгль Г» и чип- промчи гчигаги 5« нг-достигнутой.
Коэффициент критичности сроков определяют следующим осразом:
Кат = Кес * (3)
где Кч: коэффициент влияния на срок: К., i коэффициент критичности Ы1: Кк< коэффициент критичности
С|Х)КОН
Определение параметров входящих в формулы (1) — (3) является базовым для разработанной нами методики. так как в дальнейшем с ни будут использованы при расчете итоговых значений величин рисков К:
R = Кых * * К£у * ГЪ * СА. (4)
где К% Ккс уже были введены выше: коэффициент возникновения угрозы ИЬ. РИу простота исполь-
.'ШКИНИХ уЯЧКИАМКТГИ. Гд-ЦГНН1*ТкЙ||И1И
Ценность активов определяли о использованием качественной шкалы, взвешивая оценки следующим образом: очень высокий уровень - 1: высокий уровень - 0.8 средний уровень - 0.5: низкий уровень - 0.2: актив не актуален - 0.
При гзахождешш коэффициента возникновения угрозы применяем качественную шкалу вица: 0 - волшкно в сенс угрозы невозможно в данных обстоятельствах: 0.2 - вероятность возникновения угрозы за одну итерацию бизнес-процесса: 1 — за одну итерацию бизнес-процесса происходит один инцидент
Коэффициент, учитывающий простоту нспользовашм уязшсмостен. рассматривали как суммарную характе
]»ис гику П])ГДС IV1K.IHKJIII.VK: сойки гумму ИГХ yi'JIOHHMX tKULIMK, НМС1ИШ1ГННМХ при ÍM IiqUHOM омгникании lio
балльным шкалам различных параметров уяззнмостей (время, необходимое для использования уязвнмостен; уровень квалификации, необходимый для использования уязвпмоетей: уровень знании об объекте опенки, нс-оПхо.шымй дм исиолччоклнич уххкиких'ггй, ктх-мх дос1у1м к обыщу оценки нгобчодимиг дли нс.шшквжання уязвимостеи: программы о-аппаратные н иные ресурсы (оборудование), необходимое для использования уязви-
мостсй;.
ТПкИЛИЦЮЮШИГ Рцу ПрОКОДИЛОГЬ IIO ИН rr¡l№iJlhHOH I 1КН.1Г КПД* КМСОКИИ уроНГНК — 10-17 ПиЛ.ЮК — 1 С"]1ГДНИЙ
уровень - 18-24 балла = 0.6 низкий уровень - больше 24 баллов = 0,2.
TV Выводы и з аключрнир Таким образом, в статье разитается подход Гб. 161 к оцетже рисков ИБ па основе формальных моделей БП. Проведен анализ существующих методик опенки рисков с выявлением их недостатков в контексте анализа БП. Предложена методика оценки рисков, учитывающая критичность БП, дифференцированность значимости активов относительно БП, а гакл<е вл:1япне момента реализации возмолашх угроз па последствия для БП и связан него с этими последствиями ушербл. Для расчета этих параметров на основе моделей Бизнес- процессов, представленных в стандартных нотациях (в частности. ЕРС) разработано ирогралсшое приложение, дополняющие информацию о БП, представленные d ЕРС. необходимыми дашдлмп для расчёта рнсков.
СПИСОК ЛКТНРАГУРЫ
1. Пестунова Т.М. Информационная система управления правами доступа на основе анализа бизнес-процессов ! Т.М. Пестунова. З.В. Родионова // Досады ТУСУРа. 23J0 № 2 (22), ч. 2. С. 253-256.
2. Рох-юнова 3.D. Управление процессом предоставления прав доступа на основе анализа бизнес-процессов / З.В. Родионова. Т. М. Пестунова Прикладная дискретная математика. 200$ № 2. С 91-55.
3. Taubenberger S., Jiirjens J. ГТ Security' Risk Analysis based, mi Business Process Models enhanced, with Security Requirements. InstituteofComputerScience. UimersityofTartu
4. Rodriguez A.. Fernandez-Medina E.. Piattuii M. A BPMN Extension for the Modeling of Security Requirements in Business Process«. ГЕ1СЕ - Transactions on Information and Systems, Volume E90-D Issue 4 March 2007. Pages 745-752
5. Altuhhova O., Matulevicius R. Security Risk Management using Business Process Modeling Notations. // Institute of Computer Science. University of Tartu. [ Электронный ресурс]. Режим доступа: littp //courses. cs ill ее/2015/SSDv spriiig'MaiivReaditigs
6. Пестунова T.M . Родионова 3.B . Горннова С.Д. Анализ аспектов информационной безопасности на основе формальных моделей бизнес-процессов. Доклады ТУСУРп. № 2 (32), нюнь 2014. С. 88-92.
7. Ефимов Е.Н . Лапицкая Г.М Информационная безопасность н бизнес-процессы компании Н Известия ЮФУ. Техшгт науки, № 2(149). Таганрог: ЮФУ, 2013. С. 45^8
8. Нотация ЕРС. [электронный ресурс - 17 09 2014] - hllji //www lm.siix\s4studK> iu/witi/ckx:s/v4/ doku.php' nv'c sdeslgnljpniodeling/epc notation.
9 Bradford L . Dumas M. Getting Started with YAWL Technical Paper, YAWL Foundation. 2007
10. Altuhhova O. An Extension of Business Process Model and Notation for Security Risk Management, Institute of Computer Science, University of Tartu. 2012. [Электроннынресурс]. Режнмдоступа: littp :./courses. cs .ut. ee/MT AT.03.246/ 2014_spring,,uploa ds-'Maiivbpmn pdf
11. Altuhhova O. Developing System Security through Business Process Modelling. Institute of Computer Science. University of Tartu. [Электронныйресурс]. Режнмдоступа: http:,7courses.cs.ut ee.'MTAT.03.246/2014_ spring''upload-s.'Ma m/bpnm.pdf.
12. Object Management Group Business Process Model and Notation. [Электронный ресурс — 15.12.2014]. littp ://www.bpmn. org/_
13. Turan Y. Extension and Apphcation of Event-driven Process Chain for Information System Security Risk Management. Institute of Computer Science, University of Tartu. Tartu. 2012. 114 c.
14. Cliowdhury M. Modeling Security Bisks at the System Design Stage. Master in Security and Mobile Computing. 2011
15. Ковалёв C.M. Выбор бизнес-процессов для оптимизации: // С.М.Ковалёв. В.М.Ковалёв. / "Консультант директора". 2005, № 5 (232) : [Электронный ресурс]. Режим доступа: http://www.betec.m'iudexprint.php? id=6&sid=40
16. Пестунова. Т. М. Оценка рисков информационной безопасности на основе анализа моделей бизнес-процессов /Т. М Пестунова, М. С. Кондратьев И Информационное противодействие угрозам терроризма. 2015. №24. С 44-51.
