Опубликован: 01.02.2012 | Уровень: для всех | Доступ: платный
Лекция 7:

Классификация угроз и объектов защиты

< Лекция 6 || Лекция 7: 12 || Лекция 8 >

7.2. Методы оценки опасности угроз

При определении угроз на конкретном объекте защиты важно понимать, что нельзя учесть абсолютно все угрозы, а тем более защититься от них. Здесь уместно говорить о принципе разумности и достаточности. При идентификации угрозы необходимо установить все возможные источники этой угрозы, так как зачастую угроза возникает вследствие наличия определенной уязвимости и может быть устранена с помощью механизма защиты (например, механизм аутентификации). К идентификации угроз можно подходить двумя путями – по уязвимостям, повлекшим за собой появление угрозы, или по источникам угроз.

Опасность угрозы определяется риском в случае ее успешной реализации. Риск – потенциально возможный ущерб. Допустимость риска означает, что ущерб в случае реализации угрозы не приведет к серьезным негативным последствиям для владельца информации. Ущерб подразделяется на опосредованный и непосредственный. Непосредственный связан с причинением материального, морального, финансового , физического вреда владельцу информации. Опосредованный (косвенный) ущерб связан с причинением вреда государству или обществу, но не владельцу информации.

Для оценки рисков целесообразно привлекать экспертов - специалистов в области информационной безопасности, которые должны обладать:

  • знаниями законодательства РФ, международных и национальных стандартов в области обеспечения информационной безопасности;
  • знаниями нормативных актов и предписаний регулирующих и надзорных органов в области обеспечения информационной безопасности;
  • знаниями внутренних документов организации, регламентирующих деятельность в области обеспечения информационной безопасности;
  • знаниями о современных средствах вычислительной и телекоммуникационной техники, операционных системах, системах управления базами данных, а также о конкретных способах обеспечения информационной безопасности в них;
  • знаниями о возможных источниках угроз ИБ, способах реализации угроз ИБ, частоте реализации угроз ИБ в прошлом;
  • пониманием различных подходов к обеспечению информационной безопасности, знания защитных мер, свойственных им ограничений.

Существуют различные методы оценки риска, образующие два взаимодополняющих друг друга вида – количественный и качественный.

Целью количественной оценки риска является получение числовых значений потенциального ущерба для каждой конкретной угрозы и для совокупности угроз на защищаемом объекте, а также выгоды от применения средств защиты. Основным недостатком данного подхода является невозможность получения конкретных значений в некоторых случаях. Например, если в результате реализации угрозы наносится ущерб имиджу организации, непонятно, как количественно оценить подобный ущерб.

Рассмотрим количественный подход боле подробно на примере метода оценки рисков, предлагаемого компанией Microsoft.При количественной оценке рисков необходимо определить характеристики и факторы, указанные ниже.

Стоимость активов. Для каждого актива организации, подлежащего защите, вычисляется его денежная стоимость. Активами считается все, что представляет ценность для организации, включая как материальные активы (например, физическую инфраструктуру), так и нематериальные (например, репутацию организации и цифровую информацию). Часто именно стоимость актива используется для того, чтобы определить меры безопасности для конкретного актива. Для назначения стоимости конкретному активу необходимо определить следующее:

  • общая стоимость актива для организации. Например, веб-сервер, обрабатывающий заказы покупателей в Интернет-магазине. Пусть он при работе круглый год и круглосуточно приносит в среднем 2000 рублей в час, тогда в год - 17 520 000 рублей.
  • ущерб в случае потери актива (в частности, выхода из строя). Допустим, рассматриваемый выше веб-сервер вышел из строя на 7 часов. При расчете делается допущение, что каждый час он приносит одинаковую прибыль, тогда за 7 часов простоя (например, в случае успешной DoS-атаки) убыток составит 7000 рублей.
  • косвенный ущерб в случае потери актива. В описанном выше случае компания, которая владеет Интернет-магазином, может потерпеть убытки в результате негативного отношения покупателей к выходу из строя веб-сервера. Естественно, расчет косвенных убытков является наиболее трудной задачей и почти никогда не бывает точным. Допустим, чтобы восстановить репутацию, компания должна потратить 100 000 на рекламу Интернет-магазина и ожидает, что годовой объем продаж упадет на 0.5 процентов, то есть на 87 600 рублей. Сложив две полученные величины, получим косвенный ущерб в виде 187 600 рублей.

Ожидаемый разовый ущерб – ущерб, полученный в результате разовой реализации одной угрозы. Другими словами, это денежная величина, сопоставленная одиночному событию и характеризующая потенциальный ущерб, который понесет компания, если конкретная угроза сможет использовать уязвимость. Вычисляется умножением стоимости актива на величину фактора подверженности воздействию. Последний выражает в процентах величину ущерба от реализации угрозы конкретному активу. Кажется сложным, но на примере всё более понятно. Допустим, стоимость актива 35 000 рублей и в результате пожара ущерб составит 25% от его стоимости, соответственно, ожидаемый разовый ущерб будет равен 8750рублей.

Ежегодная частота возникновения ( по-простому вероятность) – ожидаемое число проявления угрозы в течение года. Понятно, что величина может меняться от 0 до 100 процентов и не может быть определена точно. В идеальном случае определяется на основе статистики.

Общий годовой ущерб – величина, характеризующая общие потенциальные потери организации в течение одного года. Это произведение ежегодной величины возникновения на ожидаемый разовый ущерб от реализации угрозы. Например, вероятность пожара статистически равна 0,1, тогда ущерб будет 0.1*8750 рублей=875 рублей. После расчета этого показателя организация может принять меры по уменьшению риска, то есть если речь идет о безопасности, использовать средства защиты информации. В частности от пожара можно применить резервное копирование информации и тогда потери в случае сгорания компьютера будут исчисляться только стоимостью оборудования.

Результатом проведения количественного анализа является:

  1. перечень активов (ресурсов) организации, подлежащих защите;
  2. перечень существующих угроз;
  3. вероятность успешной реализации угроз;
  4. потенциальный ущерб для организации от реализации угроз в годовой период.

Понятно, что рассмотренные выше показатели рассчитываются преимущественно на основе субъективных мнений экспертов в области безопасности, руководства организации или других лиц, выполняющих оценку, следовательно, несмотря на кажущуюся точность данного подхода он не менее "расплывчат", чем качественный анализ рисков.

Качественная оценка рисков оперирует не численными значениями, а качественными характеристиками угроз. Как правило, анализ рисков выполняется путем заполнения опросных листов и проведения совместных обсуждений с участием представителей различных групп организации, таких как эксперты по информационной безопасности, менеджеры и сотрудники ИТ-подразделений, владельцы и пользователи бизнес-активов.

В общем случае риск от реализации угрозы определяется на основании следующих качественных оценок:

вероятности реализации угрозы;

величины ущерба в случае реализации угрозы.

Каждой угрозе присваивается ранг, отображающий вероятность ее возникновения. Можно использовать трехбалльную шкалу (низкая=1, средняя=2, высокая=3 вероятность). Основными факторами при оценке вероятности являются:

  • расположение источника угрозы;
  • мотивация источника угрозы (если угроза не случайная);
  • предположения о квалификации и (или) ресурсах источника угрозы;
  • статистические данные о частоте реализации угрозы ее источником в прошлом;
  • информация о способах реализации угроз ИБ;
  • информация о сложности обнаружения реализации угрозы рассматриваемым источником;
  • наличие контрмер.

Если для оценки угрозы привлекаются несколько экспертов и их оценки различаются, рекомендуется в качестве итоговой брать наибольшую оценку вероятности реализации угрозы.

Так как при оценке потенциального ущерба необходимо учитывать не только материальные факторы, но и такие, как потеря репутации, потеря конкурентоспособности, кража производственных идей и пр. Естественно, оценить ущерб точно в том или ином случае очень сложно, вот почему чаще всего потенциальный ущерб ранжируется по аналогии с вероятностью возникновения, например, по трехбалльной шкале. К основным факторам для оценки потенциального ущерба относятся:

  • степень влияния на непрерывность работы;
  • степень влияния на деловую репутацию;
  • объем финансовых и материальных потерь;
  • объем финансовых, людских и временных затрат на восстановление системы после атаки.

Для оценки риска можно применить банальное умножение вероятности угрозы на потенциальный ущерб. Если в обоих случаях использовалась трехбалльная шкала, то получится в итоге шесть значений: 1,2, 3,4,6,9. Первые два результата можно отнести к низкому риску, вторые два – к среднему, третий и четвертый – к высокому. Таким образом, получим опять трехбалльную шкалу , по которой можно оценить опасность той или иной угрозы.

Совокупный риск вычисляется по простой формуле:

R=Сумма_i(B_i*Y_i), где:

i – порядковый номер угрозы;

В – вероятность реализации i-й угрозы;

У- потенциальный ущерб от i-й угрозы.

При этом можно пренебречь угрозами, вероятность которых очень мала. Например, землетрясение. Несмотря на то, что ущерб от него может быть очень велик, вероятность возникновения в рассматриваемый интервал времени стремится к нулю.

Подход по сути очень похож на количественный, за исключением того, что активам присваивается относительная стоимость и участникам оценки не приходится тратить много времени на расчет конкретных показателей. Следовательно, достоинством метода является быстрота расчета и ,соответственно, принятия контрмер и снижения риска. Недостатком является неоднозначность получаемых результатов и сложность расчета эффективности и разумности применения тех или иных мер защиты.

Каждый из рассмотренных подходов имеет свои достоинства и недостатки. Сравнение двух подходов представлено в таблице 7.1.

Таблица 7.1.
Количественный Качественный
Достоинства
  • Приоритеты рисков определяются на основе финансового влияния; приоритеты активов определяются на основе финансовых стоимостей.
  • Результаты упрощают управление рисками, обеспечивая возврат инвестиций в безопасность.
  • Результаты могут быть сформулированы с использованием управленческой терминологии (например, с помощью финансовых показателей и вероятности, выраженной в процентах).
  • Точность результатов увеличивается по мере накопления организацией статистических данных в процессе работы.
  • Обеспечивает наглядность и упрощает понимание процесса ранжирования рисков.
  • Проще найти удовлетворяющее всех решение.
  • Не требуется количественная оценка частоты возникновения угроз.
  • Не нужно определять финансовые стоимости активов.
  • Упрощается вовлечение в процесс сотрудников, не имеющих подготовки в области безопасности или компьютеров.
Недостатки
  • Сопоставленные рискам величины влияния основываются на субъективном мнении участников.
  • Поиск решения, удовлетворяющего всех участников, и получение достоверных результатов занимают очень много времени.
  • Расчеты являются очень сложными и требуют значительных затрат времени.
  • Результаты представляются только в денежном выражении, а их интерпретация может вызывать трудности у сотрудников, не имеющих технической подготовки.
  • Процесс требует глубоких знаний, что затрудняет подготовку участников.
  • Недостаточное различие между существенными рисками.
  • Трудности с определением размера инвестиций в реализацию контроля вследствие отсутствия данных для анализа выгод и затрат.
  • Результаты зависят от квалификации созданной группы управления рисками.

Проанализировав таблицу можно сделать вывод о том, что для маленьких организаций целесообразней использовать качественный подход, для больших – количественный. Оценка риска производится для какого-то заданного промежутка времени, что обусловлено динамичностью современных информационных систем. Рассматриваемый период должен быть достаточно велик для учета наиболее распространенных угроз и в то же время не превышать величину, по истечению которой система так меняется, что оценка теряет какой-либо смысл. Обычно интервал составляет 1-5 лет.

< Лекция 6 || Лекция 7: 12 || Лекция 8 >
Роман Скобин
Роман Скобин
Евгений Надбитов
Евгений Надбитов
Юлия Тычинская
Юлия Тычинская
Россия
Владимир Цапко
Владимир Цапко
Россия, Псков