Файл: Основыинформационнойбезопасности.pdf

182
Р
ис
. 4
.1 7.
При ме р пере чня р
ис ко в на о
бобще нн ом ур ов не

183
Формирование перечня рисков на уровне детализации является последней задачей процесса оценки рисков. В этом перечне каждому риску в итоге сопоставляется оценка в числовой (денежной) форме.
Вновь определяются:
- величина влияния и подверженности воздействию;
- текущие элементы контроля;
- вероятности влияния;
- уровень риска.
Уровень подверженности воздействию оценивается по пяти- балльной шкале. Шкала для угрозы целостности и конфиденциально- сти приведена на рис. 4.18, а для угрозы отказа в обслуживании — на рис. 4.19. В качестве итогового уровня подверженности воздействию предлагается выбрать максимальное значение.
Рис. 4.18. Уровни подверженности воздействию для угроз конфиденциальности и целостности
Рис. 4.19. Уровни подверженности воздействию для доступности

184
После определения уровня подверженности воздействию произ- водится оценка величины влияния. Каждому уровню подверженности воздействию сопоставляется значение в процентах, отражающее ве- личину ущерба, причиненного активу, и называемое фактором под- верженности воздействию. Майкрософт рекомендует использовать линейную шкалу подверженности воздействию от 100 до 20 %, кото- рая может изменяться в соответствии с требованиями организации.
Кроме того, каждой величине влияния сопоставляется качественная оценка: высокая, средняя или низкая. На рис. 4.20 показаны возмож- ные значения для каждого класса влияния.
Рис. 4.20. Определение величин влияния
Далее описываются «элементы контроля», используемые в ор- ганизации для снижения вероятностей угроз и уязвимостей, опреде- ленных в формулировке влияния.
Следующая задача — определение вероятности влияния. Ре- зультирующий уровень вероятности определяется на основании двух значений. Первое значение определяет вероятность существования уязвимости в текущей среде. Второе значение определяет вероятность существования уязвимости, исходя из эффективности текущих эле- ментов контроля. Каждое значение изменяется в диапазоне от 1 до 5.
Определение оценки проводится на основе ответов на вопросы, пере- чень которых представлен на рис. 4.21, с последующим переходом к результирующей оценке (рис. 4.22).

185
Рис. 4.21. Оценка уязвимости
Рис. 4.22. Оценка уровня вероятности
При этом разработчики руководства указывают, что оценка ве- роятности взлома имеет субъективный характер, и предлагают при проведении оценки уточнять приведенный перечень.
Рис. 4.23. Оценка эффективности текущего контроля

186
На рис. 4.23 приведена шкала оценки эффективности текущих мер и средств защиты. Меньший результат означает большую эффектив- ность элементов контроля и их способность уменьшать вероятность взлома.
Полученные значения суммируются и заносятся в шаблон для уровня детализации. Пример заполненного шаблона представлен на рис. 4.24 (на рисунке в предпоследнем столбце первой строки следует читать «Уязвимость: 5, Контроль: 1», в предпоследнем столбце вто- рой строки — «Уязвимость: 5, Контроль: 5»).
Рис. 4.25. Результирующее качественное ранжирование
На рис. 4.24 показаны уровни риска и соответствующие элемен- ты данных. Уровень риска определяется как произведение оценок уровня влияния (со значением от 1 до 10) и уровня вероятности (со значением от 0 до 10). В результате уровень риска может принимать значения от 0 до 100. Переход от числовой оценки к оценке по шкале
«высокий», «средний» или «низкий» можно сделать в соответствии с таблицей, представленной на рис. 4.25.

187
Ри с.
4
.2 4
П
ер ече нь р
ис ко в на у ро вне де тал изац ии

188
В заключение процедуры оценки рисков проводится количе- ственный анализ. Чтобы определить количественные характеристики, необходимо выполнить следующие задачи:
- сопоставить каждому классу активов в организации денежную стоимость;
- определить стоимость актива для каждого риска;
- определить величину ожидаемого разового ущерба (англ. «single loss expectancy» — SLE);
- определить ежегодную частоту возникновения (англ. «annual rate of occurrence» — ARO);
- определить ожидаемый годовой ущерб (англ. «annual loss expectancy» — ALE).
Количественную оценку предлагается начать с активов, соответ- ствующих описанию класса ВВБ. Для каждого актива определяется денежная стоимость с точки зрения его материальной и нематериаль- ной ценности для организации. Также учитываются:
- стоимость замены;
- затраты на обслуживание и поддержание работоспособности;
- затраты на обеспечение избыточности и доступности;
- влияние на репутацию организации;
- влияние на эффективность работы организации;
- годовой доход;
- конкурентное преимущество;
- внутренняя эффективность эксплуатации;
- правовая и регулятивная ответственность.
Процесс повторяется для каждого актива в классах СВБ и НВБ.
Каждому классу активов сопоставляется одно денежное значе- ние, которое будет представлять ценность класса активов. Например, наименьшее среди активов данного класса. Данный подход уменьша- ет затраты времени на обсуждение стоимости конкретных активов.
После определения стоимостей классов активов необходимо определить и выбрать стоимость каждого риска.

189
Следующей задачей является определение степени ущерба, ко- торый может быть причинен активу. Для расчетов предлагается ис- пользовать ранее определенный уровень подверженности воздей- ствию, на основе которого определяется фактор подверженности воз- действию (рекомендуемая формула пересчета — умножение значения уровня в баллах на 20 %, см. рис. 4.26).
Рис. 4.26. Количественная оценка ожидаемого разового ущерба
Последний шаг состоит в получении количественной оценки влияния путем умножения стоимости актива на фактор подверженно- сти воздействию. В классической количественной модели оценки рисков это значение называется величиной ожидаемого разового ущерба (SLE). На рис. 4.27 приведен пример реализации такого под- хода.
Рис. 4.27. Пример определения ожидаемого разового ущерба
(в примере суммы указаны в миллионах долларов)
Далее делается оценка ежегодной частоты возникновения
(ARO). В процессе оценки ARO используются ранее полученные ка- чественные оценки рис. 4.28.

190
Рис. 4.28. Количественная оценка ежегодной частоты возникновения
Для определения ожидаемого годового ущерба (ALE) значения
SLE и ARO перемножаются:
ALE= SLE × ARO.
(4.5)
Величина ALE характеризует потенциальные годовые убытки от риска. Хотя данный показатель может помочь в оценке ущерба заин- тересованным лицам, имеющим финансовую подготовку, группа управления рисками безопасности должна напомнить, что влияние на организацию не ограничивается величиной годовых издержек — воз- никновение риска может повлечь за собой причинение ущерба в пол- ном объеме.
Подводя итог, можно еще раз отметить, что процесс управления рисками безопасности, предлагаемый корпорацией Майкрософт, ис- пользует комбинированный подход, включающий оценку рисков на качественном уровне на начальном этапе и количественную оценку
— на заключительном.
4.5.6. Анализ существующих подходов
Подводя итог обзору методик, перечислим те преимущества, ко- торые дает проведение анализа рисков в сфере ИБ:
- выявление проблем в сфере безопасности (не только уязвимо- стей компонент системы, но и недостатков политик безопасно- сти и т. д.);
- анализ рисков позволяет нетехническим специалистам (в част- ности, руководству организации) оценить выгоды от внедрения средств и механизмов защиты и принять участие в процессе определения требуемого уровня защищенности КС;

191
- проведение оценки рисков добавляет обоснованность рекомен- дациям по безопасности;
- ранжирование рисков по приоритетам позволяет выделить наиболее приоритетные направления для внедрения новых СЗИ, мер и процедур обеспечения ИБ;
- подробно описанные методики анализа рисков позволяет лю- дям, не являющимся экспертами в данной области, воспользо- ваться аккумулированными в методике знаниями, чтобы полу- чить заслуживающие доверия результаты анализа.
В то же время необходимо отметить, что оценка рисков на каче- ственном уровне не позволяет однозначно сравнить затраты на обес- печение ИБ и получаемую от них отдачу (в виде снижения суммарно- го риска). Поэтому более предпочтительными представляются коли- чественные методики. Но они требуют наличия оценок вероятности возникновения для каждой из рассматриваемых угроз безопасности.
Кроме того, использование интегральных показателей, таких как
ALE, опасно тем, что неправильная оценка вероятности угрозы в от- ношении очень дорогостоящего актива может кардинально изменить оцениваемое значение суммарной стоимости рисков.
Представляется более обоснованным формирование не единой, скалярной оценки стоимости риска, а векторной. Каждый элемент вектора оценки соответствует обобщенной угрозе безопасности (под- множеству угроз, сходных по способу реализации и оказываемому на систему воздействию).
Также предлагается проводить оценку риска, исходя из анализа модели конфликта интересов владельца системы и нарушителя ее безопасности. Данная модель должна строиться с использованием ма- тематического аппарата, допускающего отсутствие статистики отно- сительно частоты возникновения угроз безопасности. Подобная мо- дель описывается в следующем разделе пособия.

192
4.6. ВЫБОР ПРОЕКТА СИСТЕМЫ ОБЕСПЕЧЕНИЯ
ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ. ИГРОВАЯ МОДЕЛЬ
КОНФЛИКТА «ЗАЩИТНИК-НАРУШИТЕЛЬ»
Будем предполагать, что в ходе предварительного исследования было сформировано множество проектов подсистемы защиты инфор- мации, отвечающих предъявляемым функциональным требованиям и стоимостным ограничениям. И теперь необходимо выбрать из этих проектов наилучший по соотношению затрат и получаемого эффекта.
Рассмотрим один из возможных подходов к решению данной задачи.
Выбор предлагается проводить с помощью математического ап- парата теории игр, а если точнее — используя одношаговые конечные игры двух игроков (матричные игры) [31]. Использование данного класса моделей определяется следующими свойствами решаемой за- дачи и допущениями относительно ее характера:
- имеется конфликт двух участников: в качестве первого игрока будем рассматривать владельца или защитника системы, в каче- стве второго — условный источник всех угроз, как преднаме- ренных, так и непреднамеренного характера;
- присутствует фактор неопределенности и отсутствует достовер- ная статистика (заранее неизвестно, какие угрозы будут реали- зованы, и как часто будут происходить нежелательные собы- тия);
- у каждого участника имеется конечное множество альтернатив
(чтобы выполнить это требование, множество угроз безопасно- сти предлагается разбить на подмножества, именуемые обоб- щенными угрозами);
- можно количественно оценить каждый исход игры;
- действия сторон являются однократными или могут быть сведе- ны к суммарному однократному воздействию (выбор проекта производится только один раз).
Рассмотрим задание игры. Стратегии игрока I («защитника») за- ключаются во внедрении в ИС одного из проектов защиты или отказе

193 от каких-либо действий. Обозначим множество проектов подсистемы защиты ИС через C, а текущее состояние системы как C

. Тогда «за- щитник» будет выбирать стратегии, соответствующие элементам множества C

{
C

}.
Обозначим через U конечное множество обобщенных угроз ин- формационной безопасности защищаемой ИС. Обобщенная угроза — это подмножество угроз ИБ, сходных по оказываемому на ИС воздей- ствию и причиняемому ущербу. Подобное разбиение множества угроз
ИБ формируется на базе экспертных оценок. Тогда игровая стратегия
«нарушителя» (игрока II) — выбор элемента из U

{U

}, где
U

— от- каз от реализации угроз ИБ. В данной модели «нарушитель» рассмат- ривается как источник всех угроз безопасности: и преднамеренных, и случайных. Конечная одношаговая антагонистическая игра (матрич- ная игра) задается в виде:
Г = <X, Y , H>,
(4.6) где X — множество стратегий «защитника», X = C

{
C

};