ВЫБОР МЕТРИК ОЦЕНКИ БЕЗОПАСНОСТИ ERP СИСТЕМ
Проснеков С.А.
Аспирант кафедры вычислительных систем и программирования, Санкт-Петербургский государственный экономический университет, г. Санкт-Петербург, Российская Федерация
ВЫБОР МЕТРИК ОЦЕНКИ БЕЗОПАСНОСТИ ERP СИСТЕМ
Аннотация
В данной статье рассмотрены стандарты регламентирующий выбор метрик информационной безопасности системы. Приведены примеры метрик информационной безопасности для критических бизнес-систем. Рассмотрены базовые свойства метрик и приведен алгоритм выбор метрик, целостность данных системы безопасности для ERP-систем. Проведен анализ данных метрик и сделаны выводы, о том, что выбор данных метрик позволяет подходить к вложениям в безопасность ERP систем более осознано, анализируя свои «плюсы и минусы».
Ключевые слова: метрики безопасности, ERP-системы, информационная безопасность.
Prosnekov S.A.
Postgraduate Student of Computer Systems and Programming Chair, St. Petersburg State Economic University
CHOICE OF METRICS FORSECURITY ASSESSMENT OF ERP SYSTEMS
Abstract
This article discusses standards which regulate the choice of metrics of information security systems. Examples of information security metrics for critical business systems are given. Basic properties of metrics are considered and the algorithm for choosing metrics and the integrity of security system data for ERP-systems are provided. The analysis of these metrics is carried out. It was concluded that the choice of these metrics allows treating investment in the security of ERP systems with greater awareness by analyzing all “pros and cons.”
Keywords: security metrics, ERP-systems, information security.
Масштабный рост количества внедренных ERP систем, а также общее усложнение их структуры и полный охват всех бизнес-процессов в организации привело к ситуации, когда безопасность ERP системы – вопрос не столько стабильности работы, сколько в целом выживания организации. В связи с этим вопрос информационной безопасности ERP систем встал как никогда остро. Но менеджмент организаций столкнулся с проблемой выбора средств и методов защиты. Т.к. каждая из ERP систем – строго индивидуальна (фактически ERP система — это только каркас, на основе которого каждая организация выстраивает свою бизнес-логику) то применения каких-либо стандартизированных средств и методов защиты – крайне малоэффективно. Второй момент, который необходимо отметить это специфика инвестиций в безопасность, т.к. такие инвестиции не приносят прямой прибыли – возникает ситуация при которой очень сложно оценить и эффективность и обосновать их перед вышестоящим руководством.
Постановка задачи
Для оценки эффективности инвестиций в информационную безопасность ERP систем необходимо определить набор метрик, которые будут отражать изменения в состоянии информационной безопасности системы.
Метрики являются инструментами, которые предназначены для облегчения процесса принятия решений и повышения эффективности и подотчетности путем сбора, анализа и представления соответствующих данных – из определения NIST [1].
Метрики безопасности можно рассматривать как стандарт (или систему) используемую для количественного измерения уровня безопасности организации.
Правильно определенные метрики могут помочь ответить на следующие вопросы:
- Есть ли уязвимости в системе? Уровень их критичности.
- Какой компонент был или будет скомпрометирован
- Как можно измерить потенциальный риск?
- Как предотвратить атаку?
- Прервется ли выполнения бизнес-задачи?
Рассмотрим архитектуру наиболее распространенных ERP систем (рис.1, рис.2).
Рис. 1 – Архитектура Oracle E-Business Suite [2]
Рис. 2 – Архитектура SAP R3 [3]
На приведенных выше логических структурах, четко прослеживается модульная система построения ERP систем, это значит, что можно провести декомпозицию ERP системы исходя из требований ситуации (можно рассматривать как ERP систему в целом, так и отдельные ее составные части, любого необходимого размера). Важно определить минимально необходимый и при этом полный набор метрик, который будет применим на всех уровнях декомпозиции.
В настоящее время основным документом, описывающим использование и выбор метрик информационной безопасности, является ГОСТ Р ИСО/МЭК 27004-2011 «Информационная технология. Методы и средства обеспечения безопасности. Менеджмент информационной безопасности. Измерения» [8]. В стандарте описаны рекомендации по разработке и использованию измерений и мер измерений для оценки эффективности реализованной системы управления информационной безопасностью, но при этом не приводится никаких практических образцов, которые можно было бы использовать для контроля.
Также правилом хорошего тона считается использование методики «S.M.A.R.T.» [9]. Суть методики заключается в том, что каждая метрика должна соответствовать определенным параметрам, чтобы в конечном итоге измерения были доступны пониманию руководителей и эффективны с точки зрения бизнеса. Т.е. метрики должны быть конкретными (Specific), измеримыми (Measurable), применимыми на практике (Actionable), уместными (Relevant) и своевременными (Timely).
Различные авторы, в своих исследованиях приводят совершенно различные набор метрик, исходя из конкретных задач оценки [4]. Например,
Топологические метрики:
Метрики, характеризующие элементы и их связность:
- Незащищенность (доступность элемента, простота эксплуатации уязвимостей)
- Критичность элемента (ценность для бизнеса)
- Риск
- Нисходящий риск (риск компрометации других элементов системы, в случае компрометации рассматриваемого элемента)
Метрики, с точки зрения приложений
- Количество приложений
- Процент критичных приложений
Метрики, учитывающие информацию об уязвимостях
- Процент элементов без известных критических уязвимостей
- Среднее время на устранения уязвимости
- Количество известных уязвимостей
Метрики, учитывающие информацию об атаках
- Критичность уязвимости и сложность доступа к уязвимости, позволяющие вычислить вероятность атаки
Метрики нарушителя
- Уровень навыков нарушителя, определяемы на основе вероятностей и исторических данных (статический подход) и (или) на основе событий, происходящих в системе (динамический подход)
Метрики атак и контрмер
- Потенциал атаки, показывает, как близко находится нарушитель к своей цели
- Влияние (ущерб от) атаки – может быть определен для каждого узла на графе атак статистически или динамически на основе зависимостей
Метрики, связанные с контрмерами
- Эффективность реагирования или выигрыш при реагировании. Побочные процессы при реагировании
Интегральные метрики (метрики уровня системы)
- Поверхность атаки – определяется на основе отношения потенциала разрушений к затратам
- Уровень риска
Анализ стоимости выигрыша
- Общий выигрыш и ожидаемы годовые потери, возврат инвестиций от реагирования на атаку (ROI)
Анализ уязвимостей нулевого дня
- Вероятностная мера уязвимости, показывающая насколько вероятно возникновение уязвимости нулевого дня за определенный период времени
- K-безопасность нулевого дня, показатель определяющий устойчивость сети к уязвимостям нулевого дня
Из представленных в других работах метрик видно, что в зависимости от задачи оценки можно варьировать как глубину декомпозиции системы, так и выбор метрик, изменение, которых будет говорить о состоянии защищенности системы. Следует понимать, что ERP система, как комплексный объект, может иметь несколько наборов метрик, отражающих как состояние системы в целом, так и состояние отдельных ее элементов и чем более простыми и привязанными к реальным измеримым показателям они будут – тем лучше.
Также при выборе метрик, необходимо быть уверенным в том, что все метрики соответствуют базовым свойствам:
- Метрики должны быть измеримы (значения метрик должны иметь объективное числовое выражение)
- Метрики должны быть значимы (любые изменения в подсистеме безопасности ERP должны вызывать изменение значения тех или иных метрик)
Это позволит создать минимальный и при этом достаточный набор метрик. Что крайне важно при построении системы мониторинга безопасности, т.к. слишком большое количество метрик, приведет к излишним временным и денежным затратам на сбор и обработку информации, а слишком малое не отразит всех изменений в системе.
Обобщенный алгоритм выбора метрик безопасности ERP системы, можно описать в несколько шагов:
- Определить цели и средства их достижения. Цели должны быть зафиксированы и реализовываться на всех уровнях управления
- Определить, базовые свойства необходимых для оценки метрик. Метрики должны быть простыми, измеримыми. Их не должно быть слишком много, они должны отражать объективную и востребованную информацию. Например, для руководства организации, 2 метрики, отражающие количество известных уязвимостей и вероятность их реализации, может иметь меньший вес, чем одна метрика отражающая математическое ожидание потерь, выраженное в реальных денежных единицах, в то же время для специалиста по безопасности может быть наоборот. Важно понимать, что для разных уровней управления, нужны разные метрики
- Описать стратегии получения данных, назначить ответственных и описать, процесс, метод, частоту получения данных.
- Описать, как полученные метрики отражают достижение установленных целей
- Разработать план внедрения, отражающий все необходимые изменения в системе, сроки, конкретные задачи и ответственных лиц
- Приступить к реализации
Вопрос стандартизации и регламентирования подходов к обеспечению безопасности ERP систем, долгое время оставался только в ведении производителей ERP систем и не рассматривался отдельно в рамках стандартов. На данный момент вопрос разработки стандартизированных решений стоит достаточно остро. Выделенные метрики безопасности ERP систем, позволяют определить состояние защищенности системы в конкретный момент времени, а, следовательно, опираясь на эти метрики, появляется возможность оценивать все изменения в ERP системе с точки зрения их влияния на безопасность. Это в свою очередь, открывает возможность, подходить к вложениям в безопасность ERP систем осознано, правильно оценивая все риски и эффективность таких вложений в целом.
Список литературы / References
- NIST Security Measurement NIST SP 800-55 Revision 1 [Электронный ресурс] / National Institute of Standards and Technology. – 2008. – С.9-19. – URL: http://nvlpubs.nist.gov/nistpubs/Legacy/SP/nistspecialpublication800-55r1.pdf (дата обращения: 23.04.2017)
- Oracle E-Business Suite Concepts, Release 12.1, Part Number E12841-04 [Электронный ресурс] / Oracle. – 2010. – C. 3-32. –URL: https://docs.oracle.com/cd/E18727_01/doc.121/e12841.pdf (дата обращения: 23.04.2017)
- Sap R3 architecture introduction [Электронный ресурс] / SAP Brains Online. - 2008. -URL:http://sapbrainsonline.com/help/sap-r3-architecture-introduction.html (дата обращения: 28.04.2017)
- Котенко И.В. Вычисление, визуализация и анализ метрик защищенности мониторинга безопасности [Электронный ресурс] / И.В. Котенко / - Материал конференции PHD 2015 (СПИИРАН): - 2015. -URL: https://www.slideshare.net/phdays/siem-49114720 (дата обращения: 30.04.2017)
- Приказ Министерства экономического развития и торговли Российской Федерации (Минэкономразвития России) от 20 июля 2007 г. N 256 г. Москва "Об утверждении федерального стандарта оценки "Общие понятия оценки, подходы к оценке и требования к проведению оценки (ФСО N 1)"
- Патушинский С.Г. Влияние ERP систем на эффективность управления строительной компании / Патушинский С.Г. - Российское предпринимательство, 2010, №3(1)
- Миславский Ф.Б. Роль и место erp-систем в современном бизнесе [Электронный ресурс] / Миславский Ф.Б. / - 2013. -URL: https://sjes.esrae.ru/pdf/2013/2/32.pdf (дата обращения: 01.05.2017)
- ГОСТ Р ИСО/МЭК 27004-2011 «Информационная технология. Методы и средства обеспечения безопасности. Менеджмент информационной безопасности. Измерения».
- James R. Haustein Successful Metrics [Электронный ресурс] / James R. Haustein/ Cornell University - 2012. -URL: https://confluence.cornell.edu/display/metrics/Successful+Metrics (дата обращения: 01.05.2017)
Список литературы на английском языке / References in English
- NIST Security Measurement NIST SP 800-55 Revision 1 [Electronic resource] / National Institute of Standards and Technology. - 2008. - P. 9-19. - URL: http://nvlpubs.nist.gov/nistpubs/Legacy/SP/nistspecialpublication800-55r1.pdf (accessed: 23.04.2017) [in Germany]
- Oracle E-Business Suite Concepts, Release 12.1, [Electronic resource] / Oracle. - 2010. - P. 3-32. -URL: https://docs.oracle.com/cd/E18727_01/doc.121/e12841.pdf (accessed: 23.04.2017) [in Germany]
- Sap R3 architecture introduction [Electronic resource] / SAP Brains Online. - 2008. -URL: http://sapbrainsonline.com/help/sap-r3-architecture-introduction.html (accessed: 28.04.2017)
- Kotenko I.V. Vychislenie, vizualizacija i analiz metrik zashhishhennosti monitoringa bezopasnosti [Calculation, visualization and analysis of metrics security monitoring security] [Electronic resource] / I.V. Kotenko / - Materials of conference PHD 2015 (SPIIRAN) [Material PHD conference 2015 (SPIIRAS)]: - 2015. -URL: https://www.slideshare.net/phdays/siem-49114720 (accessed: 30.04.2017) [in Russian]
- Prikaz Ministerstva jekonomicheskogo razvitija i torgovli Rossijskoj Federacii (Minjekonomrazvitija Rossii) ot 20 ijulja 2007 g. N 256 g. Moskva "Ob utverzhdenii federal'nogo standarta ocenki "Obshhie ponjatija ocenki, podhody k ocenke i trebovanija k provedeniju ocenki (FSO N 1)" [Order of the Ministry of economic development and trade of the Russian Federation (Mineconomrazvitiya of Russia) from July 20, 2007 N 256 Moscow "About the statement of the Federal valuation standard "General concepts of evaluation, approaches to evaluation and requirements evaluation (FSO N 1)"] [in Russian]
- Patushinskij S.G. Vlijanie ERP sistem na jeffektivnost' upravlenija stroitel'noj kompanii [The impact of ERP systems on management effectiveness of construction company] / Patushinskij S.G. - Rossijskoe predprinimatel'stvo [Journal of Russian entrepreneurship], 2010, №3(1) [in Russian]
- Mislavskij F.B. Rol' i mesto erp-sistem v sovremennom biznese [The place and role of erp systems in modern business] [Electronic resource] / Mislavskij F.B. / -2013.- URL: https://sjes.esrae.ru/pdf/2013/2/32.pdf (accessed: 01.05.2017) [in Russian]
- GOST R ISO/MJeK 27004-2011 «Informacionnaja tehnologija. Metody i sredstva obespechenija bezopasnosti. Menedzhment informacionnoj bezopasnosti. Izmerenija» ["Information technology. Methods and means of security. Management of information security. Measurement"]. [in Russian]
- James R. Haustein Successful Metrics [Electronic resource] / James R. Haustein / Cornell University - 2012. - URL: https://confluence.cornell.edu/display/metrics/Successful+Metrics (accessed: 01.05.2017)