Опубликован: 03.08.2009 | Уровень: специалист | Доступ: платный | ВУЗ: Санкт-Петербургский государственный политехнический университет
Лекция 4:

Методики и программные продукты для оценки рисков

Пример заполненного шаблона представлен на рис. 4.20.

Прим. Рисунок взят из перевода описания [8], в который закралась неточность - в предпоследнем столбце первой строки следует читать "Уязвимость: 5, Контроль: 1", в предпоследнем столбце второй строки - "Уязвимость: 5, Контроль: 5".

Перечень рисков на уровне детализации (SRMGTool3)

увеличить изображение
Рис. 4.20. Перечень рисков на уровне детализации (SRMGTool3)

На приведенном выше рисунке показаны уровни риска и соответствующие элементы данных. Уровень риска определяется как произведение оценок уровня влияния (со значением от 1 до 10) и уровня вероятности (со значением от 0 до 10). В результате уровень риска может принимать значения от 0 до 100. Переход от числовой оценки к оценке по шкале "высокий", "средний" или "низкий" можно сделать в соответствии с таблицей, представленной на рис. 4.21

Результирующее качественное ранжирование

Рис. 4.21. Результирующее качественное ранжирование

В заключение процедуры оценки рисков, проводится количественный анализ. Чтобы определить количественные характеристики, необходимо выполнить следующие задачи.

  • Сопоставить каждому классу активов в организации денежную стоимость.
  • Определить стоимость актива для каждого риска.
  • Определить величину ожидаемого разового ущерба (single loss expectancy - SLE ).
  • Определить ежегодную частоту возникновения (annual rate of occurrence - ARO ).
  • Определить ожидаемый годовой ущерб (annual loss expectancy - ALE ).

Количественную оценку предлагается начать с активов, соответствующих описанию класса ВВБ. Для каждого актива определяется денежная стоимость с точки зрения его материальной и нематериальной ценности для организации. Также учитывается:

  • Стоимость замены.
  • Затраты на обслуживание и поддержание работоспособности.
  • Затраты на обеспечение избыточности и доступности.
  • Влияние на репутацию организации.
  • Влияние на эффективность работы организации.
  • Годовой доход.
  • Конкурентное преимущество.
  • Внутренняя эффективность эксплуатации.
  • Правовая и регулятивная ответственность.

Процесс повторяется для каждого актива в классах СВБ и НВБ.

Каждому классу активов сопоставляется одно денежное значение, которое будет представлять ценность класса активов. Например, наименьшее среди активов данного класса. Данный подход уменьшает затраты времени на обсуждение стоимости конкретных активов.

После определения стоимостей классов активов необходимо определить и выбрать стоимость каждого риска.

Следующей задачей является определение степени ущерба, который может быть причинен активу. Для расчетов предлагается использовать ранее определенный уровень подверженности воздействию, на основе которого определяется фактор подверженности воздействию (рекомендуемая формула пересчета - умножение значения уровня (в баллах) на 20%).

Последний шаг состоит в получении количественной оценки влияния путем умножения стоимости актива на фактор подверженности воздействию. В классической количественной модели оценки рисков это значение называется величиной ожидаемого разового ущерба (SLE). На рис. 4.22 приведен пример реализации такого подхода.

Количественная оценка ожидаемого разового ущерба

Рис. 4.22. Количественная оценка ожидаемого разового ущерба
Пример определения ожидаемого разового ущерба (суммы указаны в миллионах долларов)

увеличить изображение
Рис. 4.23. Пример определения ожидаемого разового ущерба (суммы указаны в миллионах долларов)

Далее делается оценка ежегодной частоты возникновения ( ARO ). В процессе оценки ARO используются ранее полученные качественные оценки рис. 4.24

Количественная оценка ежегодной частоты возникновения

Рис. 4.24. Количественная оценка ежегодной частоты возникновения

Для определения ожидаемого годового ущерба ( ALE ) значения SLE и ARO перемножаются.

ALE = SLE \times ARO

Величина ALE характеризует потенциальные годовые убытки от риска. Хотя данный показатель может помочь в оценке ущерба заинтересованным лицам, имеющим финансовую подготовку, группа управления рисками безопасности должна напомнить, что влияние на организацию не ограничивается величиной годовых издержек - возникновение риска может повлечь за собой причинение ущерба в полном объеме.

Подводя итог, можно еще раз отметить, что процесс управления рисками безопасности, предлагаемый корпорацией Майкрософт, использует комбинированный подход включающий оценку рисков на качественном уровне на начальном этапе и количественную оценку - на заключительном.

Анализ существующих подходов

Подводя итог, перечислим те преимущества, которые дает проведение анализа рисков в сфере ИБ:

  • выявление проблем в сфере безопасности (не только уязвимостей компонент системы, но и недостатков политик безопасности и т.д.);
  • анализ рисков позволяет нетехническим специалистам (в частности, руководству организации) оценить выгоды от внедрения средств и механизмов защиты и принять участие в процессе определения требуемого уровня защищенности КС;
  • проведение оценки рисков добавляет обоснованность рекомендациям по безопасности;
  • ранжирование рисков по приоритетам позволяет выделить наиболее приоритетные направления для внедрения новых СЗИ, мер и процедур обеспечения ИБ;
  • подробно описанные методики анализа рисков позволяет людям, не являющимся экспертами в данной области, воспользоваться аккумулированными в методике знаниями, чтобы получить заслуживающие доверия результаты анализа.

В то же время, необходимо отметить, что оценка рисков на качественном уровне не позволяет однозначно сравнить затраты на обеспечение ИБ и получаемую от них отдачу (в виде снижения суммарного риска). Поэтому более предпочтительными представляются количественные методики. Но они требуют наличия оценок вероятности возникновения для каждой из рассматриваемых угроз безопасности. Кроме того, использование интегральных показателей, таких как ALE, опасно тем, что неправильная оценка вероятности угрозы в отношении очень дорогостоящего актива может кардинально изменить оцениваемое значение суммарной стоимости рисков.

Роман Попов
Роман Попов

После прохождения курса Стандарты инфрмационной безопасности мне предложено получение Удостоверения о повышении квалификации от НИУ ВШЭ по программе Менеджмент информационной безопасности. Программа включает в себя ряд курсов которые я уже ранее проходил. Какой порядок действий в данном случае? Как прозводится перезачет результатов? И какие экщамены мне надо еще доздать чтобы получить удостоверение?

Татьяна Гусельникова
Татьяна Гусельникова
Роман Боев
Роман Боев
Россия
Жангожа Замадинов
Жангожа Замадинов
Казахстан, Almaty