Метод методу – рознь::БИТ 03.2018
 
                 
Поиск по сайту
 bit.samag.ru     Web
Рассылка Subscribe.ru
подписаться письмом
Вход в систему
 Запомнить меня
Регистрация
Забыли пароль?

Календарь мероприятий
ноябрь    2018
Пн
Вт
Ср
Чт
Пт
Сб
Вс
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30

показать все 

Новости партнеров

21.11.2018

Сформирована программа EE DNS FORUM 2018

Читать далее 

20.11.2018

Российский софт для хранения данных: определен план опережения импорта и развития в составе цифровой экономики страны

Читать далее 

20.11.2018

Huawei выбрала лучших молодых ИКТ-специалистов России

Читать далее 

20.11.2018

В Москве пройдет World Smart Energy Summit Russia

Читать далее 

20.11.2018

В «Экспофоруме» обсудят управление недвижимостью корпораций

Читать далее 

20.11.2018

Медицинская технологическая экосистема Robomed Network на базе собственного блокчейна запускает первую версию своей платформы и открывает её для всего рынка

Читать далее 

19.11.2018

В рамках Всемирной недели предпринимательства в Москве прошли бесплатные образовательные мероприятия для бизнесменов от ГБУ «Малый бизнес Москвы»

Читать далее 

показать все 

Статьи

14.11.2018

Трубка мира для студентов, преподавателей и работодателей

Читать далее 

14.11.2018

Правовые риски свободных программ. Чем юристы пугают ваших инвесторов

Читать далее 

14.11.2018

Опрос. Люди и роботы: союз или конкуренция?

Читать далее 

14.11.2018

Опрос. СПО для бизнеса

Читать далее 

25.06.2018

Посетить или пропустить?

Читать далее 

21.04.2017

Язык цифр или внутренний голос?

Читать далее 

16.04.2017

Планы – ничто, планирование – все. Только 22% компаний довольны своими инструментами для бизнес-планирования

Читать далее 

16.04.2017

Цифровизация экономики

Читать далее 

23.03.2017

Сервисная компания – фея или Золушка?

Читать далее 

17.02.2017

Информационные технологии-2017

Читать далее 

показать все 

Метод методу – рознь

Главная / Архив номеров / 2018 / Выпуск №03 (76) / Метод методу – рознь

Рубрика: Тема номера /  Безопасность


Анна БучневаФинансовый университет при Правительстве РФ

Метод методу – рознь

Существует несколько методик для оценки рисков ИБ в компаниях. Выберите свою

Глобальная компьютеризация и информатизация общества обострили проблему обеспечения необходимых условий для информационной безопасности. Согласно отчету Kaspersky security bulletin [1], в 2016 году веб-атакам вредоносных объектов хотя бы раз подверглись 31,9% компьютеров пользователей интернета. При этом, по последним данным, количество пользователей интернета равно 2,405 млрд человек. Следовательно, более 760 тысяч человек столкнулись с киберугрозой. И это только то, что касается рисков информационной безопасности со стороны интернета.

Но существует множество других способов нарушения безопасности информации, например по причине преступной халатности сотрудников или намеренного деяния, нарушающего информационную безопасность компании.

При этом стандарты в области информационной безопасности и ее управления не дают четких и детальных указаний по выбору алгоритмов расчета оценок рисков, что предоставляет исследователям широкую свободу в выборе методов оценки риска [2, 3].

Существуют различные методики оценки рисков информационной безопасности, применяющиеся в коммерческих организациях. Рассмотрим основные из них.

Метод ALE

Метод ALE (Annualized Loss Expectancy), разработанный компанией RiskWatch, базируется на вычислении потерь от нарушений политики безопасности и их сравнении с инвестициями в безопасность [4, 5].

Вот примерный список потерь, которые могут произойти из-за нарушения информационной безопасности коммерческих организаций:

  • Потери, связанные с простоем и выходом из строя сетевого оборудования.
  • Нанесение ущерба имиджу и репутации компании.
  • Оплата работы специалистов, которые осуществляли восстановление данных, систем, выполняли ремонт и оказывали юридическую помощь.
  • Оплата ремонта физических повреждений от виртуальных атак.
  • Судебные издержки при подаче искового заявления о виртуальных преступлениях и нарушениях политики безопасности.

Для уменьшения ожидаемых потерь компании необходимо инвестировать средства в безопасность. Единовременными затратами будут: покупка лицензий антивирусного ПО, аппаратных средств, оплата консультаций экспертов. Кроме того, возможны и периодические затраты: техническая поддержка, техническое сопровождение, заработная плата ИТ-персонала, исследование угроз нарушений безопасности и т.д.

После выявления возможных потерь и затрат на их предотвращение вычисляются метрики уровня риска и эффективности затрат.

Финансовая выгода приобретается с помощью средств, которые компания экономит, если после внедрения системы информационной безопасности исчезают потери из-за нарушения ИБ.

Для расчета финансовой выгоды затрат, произведенных на снижение риска, применяется следующая формула:

AS = ALE*E-AC,

где:

  • AS – ежегодные сбережения (Annual Saving),
  • ALE – показатель ожидаемых потерь (Annualized Loss Expectancy),
  • E – эффективность системы защиты (около 85%),
  • AC – ежегодные затраты на безопасность (Annual Cost).

Для расчета риска необходимы три параметра:

  • ценность ресурса (Asset Value, AV),
  • мера уязвимости ресурса к угрозе (Exposure Factor, EF),
  • оценка вероятности реализации угрозы (Annual Rate of Occurrence, ARO).

На основании полученных данных выводится оценка ожидаемых потерь: оценка ожидаемого возможного ущерба от единичной реализации угрозы:

SLE = AV*EF

и итоговые ожидаемые потери от угрозы за период времени: 

ALE = SLE*ARO [4, 5].

Использование этих показателей чревато тем, что при некорректной оценке вероятности реализации угрозы касательно актива с высокой стоимостью может кардинально измениться оцениваемое значение суммарной стоимости рисков. Так как определение ожидаемых потерь основано на опыте организаций, ошибочная оценка вероятности угрозы может привести к огромным убыткам из-за того, что были взяты неверные статистические данные, приняты некоторые допущения или взята статистика из опыта другой организации.

Если компания относительно молодая и еще не имеет достаточной статистики, ей придется использовать статистику других предприятий, что ведет к появлению большого количества потенциальных ошибок

Преимуществом данного метода является охват количественных и качественных потерь (например, потери прибыли и потеря репутации компании). Кроме того, в отличие от остальных этот метод предлагает метрику для оценки финансовой выгоды затрат на снижение риска.

Метод анализа иерархий

Метод анализа иерархий (МАИ) состоит в построении иерархии элементов, определяющих проблему. Метод заключается в постепенной декомпозиции проблемы на простые составляющие и последующей обработке. При обработке опрашиваются лица, принимающие решения, и в результате сила взаимодействия элементов между собой выражается в численной форме. Затем все влияющие элементы распределяются по уровням исходя из силы их влияния [4].

В нашем случае верхней точкой в иерархии будет являться реализация опасности – осуществление угрозы нарушения информационной безопасности. Затем на следующем уровне будут идти события с примерно равным уровнем значимости, которые могут привести к реализации угрозы:

  • возможность физического доступа к информационным ресурсам;
  • уровень знаний и подготовки нарушителя;
  • «привлекательность» информационного ресурса;
  • уровень подготовки системы и персонала к угрозам;
  • опыт отражения угроз в прошлом и т.д.

Далее, на следующем уровне иерархии, расположены факторы, влияющие, соответственно, на события второго уровня иерархии. Например, для угрозы «возможность физического доступа к информационным ресурсам» факторами будут: низкий уровень защиты предприятия, некомпетентность сотрудников, нарушение протоколов безопасности.

Уровней может быть любое количество, необходимое для достаточной детализации факторов опасности.

Когда иерархия построена, для каждой вершины оцениваются весовые коэффициенты, которые определяют степень влияния вершин более низкого уровня.

Данный подход к решению проблемы выбора основывается на черте людей думать логически и творчески, так как именно люди определяют события и устанавливают отношения между ними. Это является и отличительной особенностью метода, и потенциальным источником ошибок при проведении оценки риска, так как большое влияние субъективного человеческого фактора может привести к неверной интерпретации текущей ситуации на предприятии и установке некорректных связей между факторами.

Преимуществом данной методики является выявление многоуровневых взаимосвязей между факторами, которые могут привести к реализации опасности.

Методика эффективна для больших компаний со сложной структурой, она позволит выявить неочевидные с первого взгляда факторы, которые могут привести к реализации угрозы.

Метод компании IBM

Специалисты компании IBM предложили оценку зависимости ожидаемых потерь от i-й угрозы безопасности как

Ri = 10Si+Vi-4,

где

  • Si – коэффициент, характеризующий возможную частоту возникновения угрозы,
  • Vi – коэффициент возможного ущерба при ее возникновении.

Для вычисления значений используются специальные таблицы, где:

  • Si ранжируется от 0 до 7, где 0 – это коэффициент угрозы, которая почти никогда не случается, а 7 означает, что угроза реализуется до 1000 раз в год (3 раза в день).
  • Vi ранжируется от 0 до 4, где 0 – это убыток в размере 1 доллара США, а 4 – 10 000 долларов США.

Суммарная стоимость потерь определяется как сумма потерь от всех угроз [4].

Таким образом, если частота возникновения угрозы крайне мала, то есть ее коэффициент равен 0, а убыток достигает 10 000 долларов, то есть коэффициент возможного ущерба равен 4, то в результате подсчета оценки ожидаемых потерь от угрозы будут равны 100+4-4 = 10.

В другом случае если частота возникновения угрозы равна 1 раз в 10 лет (Si = 3) и возможный ущерб достигает только 10 долларов (Vi = 1), то оценка ожидаемых потерь реализации угрозы также будет равна 10. Но если частота возникновения угрозы – 1 раз в месяц (Si = 5), а убыток достигает 1000 долларов (Vi = 3), то оценка ожидаемых потерь реализации угрозы будет равна 10 000. Следовательно, чем меньше оценка, тем менее эта угроза опасна для нас – либо она маловероятна, либо имеет небольшие убытки. Но если оценка велика, то данная угроза с достаточной вероятностью приведет к большим убыткам субъекта риска.

Достоинством данного метода является его простота, так как для его осуществления не нужно иметь дополнительных навыков и высчитывать множество параметров и метрик, а необходимо только определить ущерб от угрозы и частоту возникновения угрозы, согласно таблице определить их коэффициенты и на их основании высчитать уровень ожидаемых потерь.

Недостатком данного подхода, как и в случае с методом ALE, является необходимость использования статистики, отражающей частоту возникновения тех или иных угроз. Если компания относительно молодая и еще не имеет достаточной статистики, ей придется использовать статистику других предприятий, что ведет к появлению большого количества потенциальных ошибок, так как при таком заимствовании статистики не учитываются специфика и особенности бизнес-процессов конкретной компании. Поэтому данный метод может быть эффективным для небольших компаний с простой структурой и несложными бизнес-процессами.

В другом случае для больших организаций вычитывания одной метрики, разумеется, будет недостаточно для полного и подробного анализа риска угрозы информационной безопасности, что приведет к необходимости использования и других методов оценки.

Метод компании Microsoft

Этот метод выявляет три этапа оценки рисков: планирование, координированный сбор данных и приоритизация рисков (ранжирование выявленных рисков).

Для правильного проведения процесса оценки рисков необходимо наличие данных об активах организации, угрозах безопасности, уязвимостях, текущей среде контроля, предлагаемых элементах контроля. Активы подразделяются по качеству влияния на бизнес: высокое, среднее и низкое влияние. Угрозы подразделяются по уровню воздействия: физический уровень, уровень сети, хоста, приложения, данных.

Затем происходит создание упорядоченного по приоритетам списка рисков. Уровень риска определяется влиянием риска и частоты его возникновения. Поэтому по каждому виду риска необходимо сопоставить оценку и величину влияния.

Результат, являющийся вероятностью, определяется через вероятность существования уязвимости в текущем состоянии среды и вероятность существования уязвимости с применением текущих элементов контроля. Уровень риска рассчитывается через произведение уровня влияния и уровня вероятности.

По завершении оценки рисков проводится их количественный анализ. Количественную оценку рекомендуется начать с активов, которые оказывают высокое влияние на бизнес. В процессе количественной оценки активов для всех активов определяется денежная стоимость с точки зрения его материальной и нематериальной ценности для организации.

Для определения степени ущерба, которая может быть причинена активу, используется выявленный на предыдущем этапе уровень подверженности воздействию. Результирующая количественная оценка получается через умножение стоимости актива на фактор подверженности воздействию [5].

Преимуществом данного метода является получение списка угроз не только с вероятностными значениями их наступления, но и с ранжированием по уровню их влияния на функционирование бизнеса. Но кроме таких качественных оценок проводятся и количественные оценки в денежных единицах.

Недостатком данного метода является то, что он неэффективен для первоначальной оценки рисков информационной безопасности в организации, у которой еще не имеется текущего элемента контроля и опыта для ранжирования угроз.

//Исходя из вышеперечисленных преимуществ и недостатков каждого метода составлена таблица 1 со сравнением их параметров и свойств: какой тип оценки они предоставляют, рекомендуемые условия их использования, необходимость статистических данных или экспертных оценок для проведения оценки.

Таблица 1. Сравнение методик оценки рисков информационной безопасности

  ALE МАИ IBM Мicrosoft
Количественная оценка Да Да Да Да
Качественная оценка Да Да Нет Да
Оценка эффективности затрат Да Нет Нет Да
Рекомендуемые условия использования Нет особенных Большие организации со сложной структурой Небольшие организации Организации с опытом управлением рисками ИБ
Статистические данные Да Не обязательно Да Да
Экспертные оценки Нет Да Не обязательно Да

Данную таблицу можно использовать в коммерческих организациях при выборе оптимальной методики оценки рисков информационной безопасности. При необходимости возможна комбинация методик для более полного рассмотрения всех сторон и факторов, влияющих на риск нарушения информационной безопасности.

  1. Дэвид Эмм, Роман Унучек, Кирилл Круглов. Kaspersky Security Bulletin 2016.
  2. ГОСТ Р ИСО/МЭК 17799-2005. Практические правила управления информационной безопасностью
  3. Васильева Т.Н., Львова А.В. Применение оценок рисков в управлении информационной безопасностью. // «Прикладная информатика», № 5, 2009 г. – С. 68-76.
  4. Кутузов Д.В., Белозеров В.Н., Ларченко Р.О. Методы оценки рисков, связанных с нарушением информационной безопасности предприятия. // «Прикаспийский журнал: управление и высокие технологии», № 1, 2010 г. – С. 19-25.
  5. Пугин В.В., Губарева О.Ю. Обзор методик анализа рисков информационной безопасности информационной системы предприятия // T-Comm: Телекоммуникации и транспорт. 2012. Т. 6. № 6. – С. 54-57.
  6. ГОСТ Р 50922-2006. Защита информации. Основные термины и определения.

В начало⇑

 

Комментарии отсутствуют

Комментарии могут отставлять только зарегистрированные пользователи

Выпуск №09 (82) 2018г.
Выпуск №08 (81) 2018г. Выпуск №07 (80) 2018г. Выпуск №06 (79) 2018г. Выпуск №05 (78) 2018г. Выпуск №04 (77) 2018г. Выпуск №03 (76) 2018г. Выпуск №02 (75) 2018г. Выпуск №01 (74) 2018г.
Вакансии на сайте Jooble

           

Tel.: (499) 277-12-41  Fax: (499) 277-12-45  E-mail: sa@samag.ru

 

Copyright © Системный администратор

  Яндекс.Метрика