апрель    2024

Пн	Вт	Ср	Чт	Пт	Сб	Вс
1	2	3	4	5	6	7
8	9	10	11	12	13	14
15	16	17	18	19	20	21
22	23	24	25	26	27	28
29	30

показать все 

22.04.2024

Сообщество цифровых управленцев «я-ИТ-ы» проводит ЗАКРЫТУЮ встречу в рамках выставки «Связь-2024»!

Читать далее 

18.04.2024

Ассоциация разработчиков «Отечественный софт» отметила 15-летие

Читать далее 

17.04.2024

РДТЕХ представил Технологическую карту российского ПО 2023

Читать далее 

16.04.2024

RAMAX Group получила партнерский статус уровня Gold по продукту Tarantool

Читать далее 

показать все 

18.04.2024

5 способов повысить безопасность электронной подписи

Читать далее 

18.04.2024

Как искусственный интеллект изменит экономику

Читать далее 

18.04.2024

Неочевидный САПР: выход ПО за рамки конструкторской деятельности

Читать далее 

18.04.2024

Скоро некому будет делать сайты и заниматься версткой

Читать далее 

18.04.2024

Цифровая трансформация в энергетике: как запустить проект с максимальным финансовым эффектом?

Читать далее 

05.04.2024

Мотивируй, не то проиграешь!

Читать далее 

22.03.2024

В 2024 году в России и мире вырастут объемы применения AR/VR 

Читать далее 

25.02.2024

Цифровые технологии: надежды и риски

Читать далее 

05.02.2024

Будут ли востребованы услуги технической поддержки софта Oracle в России в ближайшие годы?  

Читать далее 

31.01.2024

Здания с признаками интеллекта. Как Сергей Провалихин автоматизирует дома и производства

Читать далее 

показать все 

Главная / Архив номеров / 2018 / Выпуск №03 (76) / Метод методу – рознь

Рубрика: Тема номера /  Информационная безопасность

Анна Бучнева, Финансовый университет при Правительстве РФ

Метод методу – рознь

Существует несколько методик для оценки рисков ИБ в компаниях. Выберите свою

Глобальная компьютеризация и информатизация общества обострили проблему обеспечения необходимых условий для информационной безопасности. Согласно отчету Kaspersky security bulletin [1], в 2016 году веб-атакам вредоносных объектов хотя бы раз подверглись 31,9% компьютеров пользователей интернета. При этом, по последним данным, количество пользователей интернета равно 2,405 млрд человек. Следовательно, более 760 тысяч человек столкнулись с киберугрозой. И это только то, что касается рисков информационной безопасности со стороны интернета.

Но существует множество других способов нарушения безопасности информации, например по причине преступной халатности сотрудников или намеренного деяния, нарушающего информационную безопасность компании.

При этом стандарты в области информационной безопасности и ее управления не дают четких и детальных указаний по выбору алгоритмов расчета оценок рисков, что предоставляет исследователям широкую свободу в выборе методов оценки риска [2, 3].

Существуют различные методики оценки рисков информационной безопасности, применяющиеся в коммерческих организациях. Рассмотрим основные из них.

Метод ALE

Метод ALE (Annualized Loss Expectancy), разработанный компанией RiskWatch, базируется на вычислении потерь от нарушений политики безопасности и их сравнении с инвестициями в безопасность [4, 5].

Вот примерный список потерь, которые могут произойти из-за нарушения информационной безопасности коммерческих организаций:

• Потери, связанные с простоем и выходом из строя сетевого оборудования.
• Нанесение ущерба имиджу и репутации компании.
• Оплата работы специалистов, которые осуществляли восстановление данных, систем, выполняли ремонт и оказывали юридическую помощь.
• Оплата ремонта физических повреждений от виртуальных атак.
• Судебные издержки при подаче искового заявления о виртуальных преступлениях и нарушениях политики безопасности.

Для уменьшения ожидаемых потерь компании необходимо инвестировать средства в безопасность. Единовременными затратами будут: покупка лицензий антивирусного ПО, аппаратных средств, оплата консультаций экспертов. Кроме того, возможны и периодические затраты: техническая поддержка, техническое сопровождение, заработная плата ИТ-персонала, исследование угроз нарушений безопасности и т.д.

После выявления возможных потерь и затрат на их предотвращение вычисляются метрики уровня риска и эффективности затрат.

Финансовая выгода приобретается с помощью средств, которые компания экономит, если после внедрения системы информационной безопасности исчезают потери из-за нарушения ИБ.

Для расчета финансовой выгоды затрат, произведенных на снижение риска, применяется следующая формула:

AS = ALE*E-AC,

где:

• AS – ежегодные сбережения (Annual Saving),
• ALE – показатель ожидаемых потерь (Annualized Loss Expectancy),
• E – эффективность системы защиты (около 85%),
• AC – ежегодные затраты на безопасность (Annual Cost).

Для расчета риска необходимы три параметра:

• ценность ресурса (Asset Value, AV),
• мера уязвимости ресурса к угрозе (Exposure Factor, EF),
• оценка вероятности реализации угрозы (Annual Rate of Occurrence, ARO).

На основании полученных данных выводится оценка ожидаемых потерь: оценка ожидаемого возможного ущерба от единичной реализации угрозы:

SLE = AV*EF

и итоговые ожидаемые потери от угрозы за период времени: 

ALE = SLE*ARO [4, 5].

Использование этих показателей чревато тем, что при некорректной оценке вероятности реализации угрозы касательно актива с высокой стоимостью может кардинально измениться оцениваемое значение суммарной стоимости рисков. Так как определение ожидаемых потерь основано на опыте организаций, ошибочная оценка вероятности угрозы может привести к огромным убыткам из-за того, что были взяты неверные статистические данные, приняты некоторые допущения или взята статистика из опыта другой организации.

Преимуществом данного метода является охват количественных и качественных потерь (например, потери прибыли и потеря репутации компании). Кроме того, в отличие от остальных этот метод предлагает метрику для оценки финансовой выгоды затрат на снижение риска.

Метод анализа иерархий

Метод анализа иерархий (МАИ) состоит в построении иерархии элементов, определяющих проблему. Метод заключается в постепенной декомпозиции проблемы на простые составляющие и последующей обработке. При обработке опрашиваются лица, принимающие решения, и в результате сила взаимодействия элементов между собой выражается в численной форме. Затем все влияющие элементы распределяются по уровням исходя из силы их влияния [4].

В нашем случае верхней точкой в иерархии будет являться реализация опасности – осуществление угрозы нарушения информационной безопасности. Затем на следующем уровне будут идти события с примерно равным уровнем значимости, которые могут привести к реализации угрозы:

• возможность физического доступа к информационным ресурсам;
• уровень знаний и подготовки нарушителя;
• «привлекательность» информационного ресурса;
• уровень подготовки системы и персонала к угрозам;
• опыт отражения угроз в прошлом и т.д.

Далее, на следующем уровне иерархии, расположены факторы, влияющие, соответственно, на события второго уровня иерархии. Например, для угрозы «возможность физического доступа к информационным ресурсам» факторами будут: низкий уровень защиты предприятия, некомпетентность сотрудников, нарушение протоколов безопасности.

Уровней может быть любое количество, необходимое для достаточной детализации факторов опасности.

Когда иерархия построена, для каждой вершины оцениваются весовые коэффициенты, которые определяют степень влияния вершин более низкого уровня.

Данный подход к решению проблемы выбора основывается на черте людей думать логически и творчески, так как именно люди определяют события и устанавливают отношения между ними. Это является и отличительной особенностью метода, и потенциальным источником ошибок при проведении оценки риска, так как большое влияние субъективного человеческого фактора может привести к неверной интерпретации текущей ситуации на предприятии и установке некорректных связей между факторами.

Преимуществом данной методики является выявление многоуровневых взаимосвязей между факторами, которые могут привести к реализации опасности.

Методика эффективна для больших компаний со сложной структурой, она позволит выявить неочевидные с первого взгляда факторы, которые могут привести к реализации угрозы.

Метод компании IBM

Специалисты компании IBM предложили оценку зависимости ожидаемых потерь от i-й угрозы безопасности как

R_i = 10^Si+Vi-4,

где

• S_i – коэффициент, характеризующий возможную частоту возникновения угрозы,
• V_i – коэффициент возможного ущерба при ее возникновении.

Для вычисления значений используются специальные таблицы, где:

• S_i ранжируется от 0 до 7, где 0 – это коэффициент угрозы, которая почти никогда не случается, а 7 означает, что угроза реализуется до 1000 раз в год (3 раза в день).
• V_i ранжируется от 0 до 4, где 0 – это убыток в размере 1 доллара США, а 4 – 10 000 долларов США.

Суммарная стоимость потерь определяется как сумма потерь от всех угроз [4].

Таким образом, если частота возникновения угрозы крайне мала, то есть ее коэффициент равен 0, а убыток достигает 10 000 долларов, то есть коэффициент возможного ущерба равен 4, то в результате подсчета оценки ожидаемых потерь от угрозы будут равны 10^0+4-4 = 10.

В другом случае если частота возникновения угрозы равна 1 раз в 10 лет (S_i = 3) и возможный ущерб достигает только 10 долларов (V_i = 1), то оценка ожидаемых потерь реализации угрозы также будет равна 10. Но если частота возникновения угрозы – 1 раз в месяц (S_i = 5), а убыток достигает 1000 долларов (V_i = 3), то оценка ожидаемых потерь реализации угрозы будет равна 10 000. Следовательно, чем меньше оценка, тем менее эта угроза опасна для нас – либо она маловероятна, либо имеет небольшие убытки. Но если оценка велика, то данная угроза с достаточной вероятностью приведет к большим убыткам субъекта риска.

Достоинством данного метода является его простота, так как для его осуществления не нужно иметь дополнительных навыков и высчитывать множество параметров и метрик, а необходимо только определить ущерб от угрозы и частоту возникновения угрозы, согласно таблице определить их коэффициенты и на их основании высчитать уровень ожидаемых потерь.

Недостатком данного подхода, как и в случае с методом ALE, является необходимость использования статистики, отражающей частоту возникновения тех или иных угроз. Если компания относительно молодая и еще не имеет достаточной статистики, ей придется использовать статистику других предприятий, что ведет к появлению большого количества потенциальных ошибок, так как при таком заимствовании статистики не учитываются специфика и особенности бизнес-процессов конкретной компании. Поэтому данный метод может быть эффективным для небольших компаний с простой структурой и несложными бизнес-процессами.

В другом случае для больших организаций вычитывания одной метрики, разумеется, будет недостаточно для полного и подробного анализа риска угрозы информационной безопасности, что приведет к необходимости использования и других методов оценки.

Метод компании Microsoft

Этот метод выявляет три этапа оценки рисков: планирование, координированный сбор данных и приоритизация рисков (ранжирование выявленных рисков).

Для правильного проведения процесса оценки рисков необходимо наличие данных об активах организации, угрозах безопасности, уязвимостях, текущей среде контроля, предлагаемых элементах контроля. Активы подразделяются по качеству влияния на бизнес: высокое, среднее и низкое влияние. Угрозы подразделяются по уровню воздействия: физический уровень, уровень сети, хоста, приложения, данных.

Затем происходит создание упорядоченного по приоритетам списка рисков. Уровень риска определяется влиянием риска и частоты его возникновения. Поэтому по каждому виду риска необходимо сопоставить оценку и величину влияния.

Результат, являющийся вероятностью, определяется через вероятность существования уязвимости в текущем состоянии среды и вероятность существования уязвимости с применением текущих элементов контроля. Уровень риска рассчитывается через произведение уровня влияния и уровня вероятности.

По завершении оценки рисков проводится их количественный анализ. Количественную оценку рекомендуется начать с активов, которые оказывают высокое влияние на бизнес. В процессе количественной оценки активов для всех активов определяется денежная стоимость с точки зрения его материальной и нематериальной ценности для организации.

Для определения степени ущерба, которая может быть причинена активу, используется выявленный на предыдущем этапе уровень подверженности воздействию. Результирующая количественная оценка получается через умножение стоимости актива на фактор подверженности воздействию [5].

Преимуществом данного метода является получение списка угроз не только с вероятностными значениями их наступления, но и с ранжированием по уровню их влияния на функционирование бизнеса. Но кроме таких качественных оценок проводятся и количественные оценки в денежных единицах.

Недостатком данного метода является то, что он неэффективен для первоначальной оценки рисков информационной безопасности в организации, у которой еще не имеется текущего элемента контроля и опыта для ранжирования угроз.

//Исходя из вышеперечисленных преимуществ и недостатков каждого метода составлена таблица 1 со сравнением их параметров и свойств: какой тип оценки они предоставляют, рекомендуемые условия их использования, необходимость статистических данных или экспертных оценок для проведения оценки.

Таблица 1. Сравнение методик оценки рисков информационной безопасности

Данную таблицу можно использовать в коммерческих организациях при выборе оптимальной методики оценки рисков информационной безопасности. При необходимости возможна комбинация методик для более полного рассмотрения всех сторон и факторов, влияющих на риск нарушения информационной безопасности.

1. Дэвид Эмм, Роман Унучек, Кирилл Круглов. Kaspersky Security Bulletin 2016.
2. ГОСТ Р ИСО/МЭК 17799-2005. Практические правила управления информационной безопасностью
3. Васильева Т.Н., Львова А.В. Применение оценок рисков в управлении информационной безопасностью. // «Прикладная информатика», № 5, 2009 г. – С. 68-76.
4. Кутузов Д.В., Белозеров В.Н., Ларченко Р.О. Методы оценки рисков, связанных с нарушением информационной безопасности предприятия. // «Прикаспийский журнал: управление и высокие технологии», № 1, 2010 г. – С. 19-25.
5. Пугин В.В., Губарева О.Ю. Обзор методик анализа рисков информационной безопасности информационной системы предприятия // T-Comm: Телекоммуникации и транспорт. 2012. Т. 6. № 6. – С. 54-57.
6. ГОСТ Р 50922-2006. Защита информации. Основные термины и определения.

В начало⇑

Комментарии отсутствуют

Комментарии могут отставлять только зарегистрированные пользователи