Технология оценки угроз и уязвимостей
Обычно для оценки угроз и уязвимостей используются различные методы, в основе которых могут лежать:
Статистические данные.
Экспертные оценки.
1) Один из возможных подходов к разработке подобных методик – накопление статистических данных о реально случившихся происшествиях, анализ и классификация их причин, выявление факторов, от которых они зависят. На основе этой информации можно оценить угрозы и уязвимости в других информационных системах.
Практические сложности в реализации этого подхода следующие:
Во-первых, должен быть собран весьма обширный материал о происшествиях в этой области.
Во-вторых, применение данного подхода оправдано далеко не всегда. Если информационная система достаточно крупная (содержит много элементов, расположена на обширной территории), имеет давнюю историю, то подобный подход, скорее всего, применим. Если система сравнительно невелика, использует новейшие элементы технологии (для которых пока нет достоверной статистики), оценки угроз и уязвимостей могут оказаться недостоверными.
2) Наиболее распространенным в настоящее время является подход, основанный на учете различных факторов, влияющих на уровни угроз и уязвимостей (экспертная оценка). Такой подход позволяет абстрагироваться от малосущественных технических деталей, учесть не только программно-технические, но и иные аспекты.
Оценивая размер ущерба, необходимо иметь в виду не только непосредственные расходы на замену оборудования или восстановление информации, но и более отдаленные, такие как подрыв репутации, ослабление позиций на рынке и т.п., т.е. и такие, которые нельзя измерить. Оценивая вероятность осуществления угроз, целесообразно исходить не только из среднестатистических данных, но учитывать также специфику конкретных информационных систем.
4. Оценивание рисков. После идентификации угрозы необходимо оценить вероятность ее осуществления.
После того, как накоплены исходные данные и оценена степень неопределенности, можно переходить к обработке информации, то есть собственно к качественной оценке рисков. Количественная оценка будет рассмотрена при рассмотрении экономических аспектов ИБ. Вполне допустимо применить такой простой метод, как умножение вероятности осуществления угрозы на предполагаемый ущерб.
Если для вероятности и величины ущерба использовать трехбалльную шкалу, то возможных произведений будет шесть: 1, 2, 3, 4, 6 и 9. Первые два результата можно отнести к низкому риску, третий и четвертый - к среднему, два последних - к высокому, после чего появляется возможность снова привести их к трехбалльной шкале. По этой шкале и следует оценивать приемлемость рисков. Правда, граничные случаи, когда вычисленная величина совпала с приемлемой, целесообразно рассматривать более тщательно из-за приближенного характера результата.
Сегодня существует ряд подходов к измерению рисков. Давайте рассмотрим наиболее распространенные подходы, а именно оценку рисков по двум и по трем факторам.
Оценка рисков по двум факторам. В простейшем случае используется оценка двух факторов: вероятность происшествия и тяжесть возможных последствий – осуществляется оценка вероятности причинения вреда с учетом тяжести этого вреда. Обычно считается, что риск тем больше, чем больше вероятность происшествия и тяжесть последствий. Общая идея может быть выражена формулой:
РИСК = P происшествия * Ц потери
Если переменные являются количественными величинами, то риск — это оценка математического ожидания потерь.
Если переменные являются качественными величинами, то метрическая операция умножения не определена. Таким образом, в явном виде эта формула использоваться не должна. Рассмотрим вариант использования качественных величин (наиболее часто встречающаяся ситуация). Вначале должны быть определены шкалы.
Определяется субъективная шкала вероятностей событий, например:
1 - Событие случается редко 2 - Вероятность события за рассматриваемый промежуток времени – около 0.5 3 - Событие почти обязательно произойдет
Кроме того, определяется субъективная шкала серьезности происшествий (ущерб), например:
1 – Незначительное происшествие: последствия легко устранимы, затраты на ликвидацию последствий невелики, воздействие на информационную технологию – незначительно.
2 – Происшествие с умеренными результатами: ликвидация последствий не связана с крупными затратами, воздействие на информационную технологию невелико и не затрагивает критически важные задачи.
3 – Происшествие приводит к невозможности решения критически важных задач.
Для оценки рисков определяется шкала из трех значений:
Низкий риск (1,2)
Средний риск (3,4)
Высокий риск (6,9)
Риск, связанный с определенным событием, зависит от двух факторов и может быть определен так:
Вероятн Ущерб |
1 |
2 |
3 |
1 |
1 Низкий риск |
2 Низкий риск |
3 Средний риск |
2 |
2 Низкий риск |
4 Средний риск |
6 Высокий риск |
3 |
3 Средний риск |
6 Высокий риск |
9 Высокий риск |
Шкалы факторов риска и сама таблица могут быть определены иначе, иметь другое число градаций. Подобный подход к оценке рисков достаточно распространен.
Задание: составить таблицу для 5 градаций риска и 5 градаций ущерба.
Оценка рисков по трем факторам. В зарубежных методиках, рассчитанных на более высокие требования, чем базовый уровень, используется модель оценки риска с тремя факторами: вероятность возникновения угрозы, вероятность уязвимость, цена потери.
Вероятность происшествия, которая в данном подходе может быть объективной либо субъективной величиной, зависит от уровней (вероятностей) угроз и уязвимостей:
Р происшествия = Р угрозы * Р уязвимости
Соответственно, риск определяется следующим образом:
РИСК = P угрозы * Р уязвимости * Ц потери
Данное выражение можно рассматривать как математическую формулу, если используются количественные шкалы, либо как формулировку общей идеи, если хотя бы одна из шкал – качественная. В последнем случае используются различного рода табличные методы для определения риска в зависимости от трех факторов.
Например, показатель риска измеряется в шкале от 1 до 9 со следующими определениями уровней риска:
1 — риск практически отсутствует. Теоретически возможны ситуации, при которых событие наступает, но на практике это случается редко, а потенциальный ущерб сравнительно невелик.
2 — риск очень мал. События подобного рода случались достаточно редко, кроме того, негативные последствия сравнительно невелики.
......
9 — риск очень велик. Событие скорее всего наступит, и последствия будут чрезвычайно тяжелыми.
При этом риск в зависимости от трех факторов может быть определен следующим образом:
Степень серьезности происшествия (цена потери) |
Уровень угрозы |
||||||||
Низкий |
Средний |
Высокий |
|||||||
Уровни уязвимостей |
Уровни уязвимостей |
Уровни уязвимостей |
|||||||
Н |
С |
В |
Н |
С |
В |
Н |
С |
В |
|
1 |
1 |
2 |
3 |
2 |
3 |
4 |
3 |
4 |
5 |
2 |
2 |
3 |
4 |
3 |
4 |
5 |
4 |
5 |
6 |
3 |
3 |
4 |
5 |
4 |
5 |
6 |
5 |
6 |
7 |
4 |
4 |
5 |
6 |
5 |
6 |
7 |
6 |
7 |
8 |
5 |
5 |
6 |
7 |
6 |
7 |
8 |
7 |
8 |
9 |
Если какие-либо риски оказались недопустимо высокими, необходимо их нейтрализовать, реализовав дополнительные меры защиты. Как правило, для ликвидации или нейтрализации уязвимого места, сделавшего угрозу реальной, существует несколько механизмов безопасности, различных по эффективности и стоимости. Например, если велика вероятность нелегального входа в систему, можно потребовать, чтобы пользователи выбирали длинные пароли (скажем, не менее восьми символов), задействовать программу генерации паролей или закупить интегрированную систему аутентификации на основе интеллектуальных карт. Если есть вероятность умышленного повреждения сервера баз данных, что может иметь серьезные последствия, можно врезать замок в дверь серверной комнаты или поставить около каждого сервера по охраннику.