ДЕРЖАВНИЙ УНІВЕРСИТЕТ

ІНФОРМАЦІЙНО-КОМУНІКАЦІЙНИХ ТЕХНОЛОГІЙ

НАЧАЛЬНО-НАУКОВИЙ ІНСТИТУТ ЗАОЧНОГО ТА ДИСТАНЦІЙНОГО НАВЧАННЯ

Курсова робота

з дисципліни «Теорія ризиків»

на тему: «Прорахувати ризиків у Callio Secura 17799»

3 курс

Група: УБЗ-31

Спеціальність: Управління інформаційною безпекою

Студент Лапонога М. С.

КИЇВ - 2013

План

Вступ

Поняття ризику

Оцінка ризику

Підходи до управління ризиками

Визначення критеріїв прийняття ризику.

Вимоги до програмного продукту для оцінки ризиків.

Callio Secura 17799

Висновки

Література

Вступ

Ризик — атрибут прийняття рішення у ситуації невизначеності. Наявний у більшості господарських операцій, економічній політиці. Про реальність ризику свідчить функціонування потужного ринку його купівлі-продажу — страхування та грального бізнесу.

Необхідними передумовами виникнення ризику є: зацікавленість особи, що приймає рішення, в його результатах; наявність невизначеності. Діада "ризик — невизначеність" є важливою для розуміння ризику. Невизначеність — широке поняття, що означає неоднозначність, відсутність повного знання про результати та умови рішення.

Поняття невизначеності запроваджене В.Гейзенбергом (1927) через відоме співвідношення невизначеностей для фізики мікрочастинок. Згідно з цим співвідношенням неможливо абсолютно точно визначити пару параметрів (наприклад, координату і швидкість) мікрочастинки. Точніше визначення одного з параметрів позначається на точності іншого.

Отже, невизначеність у природничих науках стала фундаментальним фактором. Існує думка, що невизначеність також має фундаментальне значення для розуміння економічних процесів, що передусім пов'язано з природою людини та невизначеністю, непередбачуваністю результатів наукового прогресу, який визначає обличчя суспільства. Важливе джерело невизначеності — ймовірнісний характер кон'юнктури ринку, врожайності сільськогосподарських культур, запасів корисних копалин та ін.

Теорія ризику у сучасному вигляді була започаткована працями Дж. Неймана та О.Моргенштерна. Вони запропонували конструкцію, просту лотерею, яку можна трактувати як атом ризику. Згідно з їхньою концепцією проста лотерея — ситуація з двома наслідками, кожен з яких настає з певною ймовірністю. Результатом простої лотереї може бути тільки один наслідок. Позначення простої лотереї є таким: L(x, p, у), де х, у — наслідки лотереї; р — імовірність наслідку у, звідси — ймовірність наслідку у — 1-р.

У найпростішому випадку наслідки лотереї можуть бути виражені у грошовій формі, наприклад, певного прибутку чи доходу. Хоча запропонована теорія передбачає оперування зі складнішими об'єктами, які часом навіть не мають числового вираження, як, наприклад, проживання у певній місцевості. На підставі простої лотереї можна числово ранжувати ступінь привабливості для конкретної особи довільного варіанта життєдіяльності г, який є кращим від х та гіршим від у.

Таке ранжування здійснюють за допомогою корисності за Нейманом—Моргенштерном, що визначається як імовірність и(г), за якої отримання варіанта z для особи еквівалентне участі в лотереї L(x, u(z), у). Функція и(г) є функцією корисності за Нейманом—Моргенштерном.

Систематичний огляд результатів, що розвивають ідеї теорії корисності Неймана—Моргенштерна, здійснив А.Маршалл. Теорія очікуваної корисності тісно пов'язана з концепцією суб'єктивної ймовірності, яку використовують за відсутності повторюваності подій і неможливості інтерпретації ймовірності як частоти.

Розглядається подія Е. Якщо вона настає, то особа, яка приймає рішення, отримує виграш W, якщо не настає — не отримує. Розглядається лотерея L (О, Е, W), в якій особа отримує виграш W за настання події Е. Якщо особа, яка приймає рішення, виявляє байдужість до вибору лотереї L (О, РЕ, W) та лотереї L (О, Е, W), то число Р(Е) є суб'єктивною ймовірністю події Е. Принциповий момент концепції суб'єктивної ймовірності — визначення ймовірностей через поведінку людей. Основну формулу теорії сподіваної корисності використовують, якщо в ній наявні суб'єктивні ймовірності.

Основи теорії ризику закладено повсякденною діяльністю людей протягом століть. Лихварі брали вищий відсоток за ризикованіші позички, банкіри фінансували ризиковані заморські подорожі, сподіваючись на значну винагороду, яка відшкодовувала б не лише фактичні витрати, а й багатомісячне очікування. Спробу наукового оформлення цього досвіду зробив у XIX ст. академік Петербурзької Академії наук Д.Бернуллі, який у математичній формі відобразив той факт, що для поміркованої людини привабливішим є гарантоване отримання в азартній грі 10 тис. дукатів, ніж гра в "орлянку", в якій можна отримати 20 тис. дукатів або не отримати нічого з однаковою ймовірністю.

Аналізуючи "петербурзький парадокс", Бернуллі дійшов висновку, що в ризикованих операціях слід максимізувати не сподіваний виграш, а сподівання корисності виграшу. Його ідеї випередили час, і до їх системного опрацювання науковці звернулися у XX ст. Наступний етап розвитку теорії сподіваної корисності почався в 1931 і пов'язаний з ім'ям ученого Ф.Рамсея, який заклав основу аксіом для сподіваної корисності, що базувалася на суб'єктивній імовірності. Вагомим внеском у розвиток ідей суб'єктивної ймовірності е праця Фінетті (1937).

Паралельно розвивалася теорія корисності для детермінованих ситуацій, розроблена в XIX ст. Джевонсом, Менгером, Вальрасом й доповнена на початку 20-х XX ст. Еджуортом, Фішером, Парето і українським економістом Слуцьким. Це, а також піонерні роботи Рамсея та Фінетті створили живильне середовище для строгого наукового обґрунтування ідеї сподіваної корисності Бернуллі завдяки класичній праці Неймана і Моргенштерна. Ідеї суб'єктивної ймовірності та сподіваної корисності були синтезовані Л.Севіджем.

Розвиток теорії сподіваної корисності сприяв становленню міждисциплінарної науки — теорії прийняття рішень. Сам термін пов'язують із діяльністю групи вчених Гарвардської школи бізнесу в 70-х XX ст., які систематично використовували у практиці надбання цієї теорії. Аксіоматика теорії прийняття рішень істотно використовує аксіоматику теорії сподіваної корисності та суб'єктивної ймовірності. Сфера застосування теорії прийняття рішень необмежена.

Поняття ризику

Перш за все необхідно максимально повно і точно визначити поняття ризику. У BS 7799-3 дається найбільш широке визначення ризику як комбінації ймовірності події та її наслідків. На відміну від спекулятивних ризиків, коли подія може носити як позитивний характер (наприклад, виграш у казино або на біржі), так і негативний (наприклад, програш), події інформаційної безпеки завжди носять негативний характер. Це дозволяє віднести ризики інформаційної безпеки до категорії неспекулятивних ризиків.

ISO 27005 конкретизує поняття інформаційного ризику, розкладаючи його на активи, загрози, вразливості і збиток. Згідно ISO 27005: «Ризик інформаційної безпеки - це потенційна можливість використання вразливостей активу або групи активів конкретною загрозою для заподіяння шкоди організації».

Різні визначення поняття «інформаційний ризик»:

Ризик - комбінація імовірності події і його наслідків (BS 7799-3:2006).

Ризик інформаційної безпеки - потенційна можливість використання вразливостей активу або групи активів конкретною загрозою для заподіяння шкоди організації (ISO / IEC 27005:2008).

Ризик - невизначеність, що припускає можливість втрат (збитку) (СТО БР Іббс).

Ризик - потенційна проблема.

Ризик - ймовірні втрати організації в результаті інцидентів.

Поняття ризику, дане в ISO 27005, мабуть, є найбільш повним. Однак можна оперувати і більш простими й легко запам'ятовуються визначеннями. Наприклад, ризик можна розглядати просто як потенційну проблему або як ймовірні втрати організації в результаті інцидентів. У стандарті Банку Росії СТО БР Іббс ризик визначається як «невизначеність, що припускає можливість втрат».

Таким чином, ризик є комплексною величиною, завжди визначається через комбінацію ряду інших величин. Це обумовлює помилки у визначенні й описі конкретних ризиків, нерідко допускаються навіть фахівцями, що викликає труднощі при оцінці ризиків.Опис факторів ризику, таких як погрози, інциденти, уразливості і види шкоди, окремо не є описом ризику. Про ризик можна говорити тільки в тому випадку, якщо всі фактори ризику розглядаються в сукупності. Тільки комбінація оцінних значень для погроз, вразливостей і збитку дозволяє отримати оцінку ризику.

Так, всупереч рекламним заявам деяких розробників засобів захисту інформації, мережеві сканери безпеки, інші засоби аналізу захищеності інформаційних систем, так само як і засоби контролю відповідності вимогам, включаючи засоби аналізу розбіжностей (аналіз пробілів), не є засобами оцінки або управління ризиками. Такі продукти лише дозволяють виявляти й аналізувати певні категорії технічних та організаційних вразливостей, а також у ряді випадків ідентифікувати певні класи інформаційних активів, що, безумовно, є важливою частиною процесу оцінки ризиків, який, однак, включає в себе, крім цього, ще багато інших елементів.

Оцінка ризику

Оцінка ризику полягає у визначенні його рівня (якісної або кількісної величини) і порівнянні цього рівня з максимально допустимим (прийнятним) рівнем, а також з рівнем інших ризиків.Рівень ризику визначається шляхом комбінування двох величин: ймовірності події та розмірів його наслідків. Подія полягає в реалізації загрози, що використовує уразливість активу для впливу на цей актив і порушення його безпеки.

Під безпекою інформаційного активу розуміються такі властивості інформації, як конфіденційність (захист від несанкціонованого ознайомлення), цілісність (актуальність і несуперечність інформації, її захищеність від руйнування і несанкціонованого зміни) і доступність (можливість за прийнятний час отримати необхідну інформаційну послугу). Для спрощення подальшого викладу будемо розглядати тільки цю класичну тріаду інформаційної безпеки, хоча до інформаційної безпеки відносять також, принаймні, ще автентичність (можливість підтвердження автентичності та достовірності документів) та неспростовності (неможливість заперечення скоєних дій стосовно до інформаційних активів).

Додаткові «вимірювання» інформаційної безпеки необхідні для встановлення підзвітності (відповідальності) користувачів за дії, що здійснюються ними в інформаційних системах. Наприклад, деякі зловмисні чи помилкові дії, що здійснюються у фінансовій сфері, можуть бути безпосередньо не пов'язані з порушенням конфіденційності, цілісності або доступності якої інформації. Користувач системи або банківський службовець може перевести гроші з одного рахунку на інший, в подальшому заявивши про свою непричетність до даного діяння. Безпека будь-яких інформаційних активів в даному випадку не порушується, при цьому однією із сторін наноситься прямий фінансовий збиток допомогою маніпулювання з інформаційними активами і системами. Для уникнення подібних ситуацій і потрібна підзвітність.

Порушення безпеки активу зазвичай завдає шкоди організації. Величина цього збитку визначає цінність активу для організації. 

Оцінка ризику включає ідентифікацію та оцінку цінності активів, наслідків для бізнесу, ідентифікацію та оцінку загроз і вразливостей, а також комбінування цих факторів для визначення рівня ризику в кількісних і якісних величинах.

В будь-якому якісному рівню, що виражається числовими значеннями або словами «низький», «середній», «високий» і т.п., повинні відповідати певні діапазони оціночних кількісних величин. Без такого зіставлення використання якісних шкал для оцінки ризиків, звичайно, можливо, проте в цьому випадку оцінка ризиків втрачає економічний сенс.

Тому на практиці кількісний підхід завжди перетворюється на якісний і навпаки, у зв'язку з чим протиставлення якісних і кількісних методів оцінки ризиків є, взагалі кажучи, заняттям досить безглуздим.

Кількісно величину ризику, пов'язаного із здійсненням конкретної загрози безпеки щодо конкретного активу, можна виразити за допомогою наступної простої математичної формули:.

[Величина ризику] = [Імовірність події] × [Розмір збитку]

де:[Імовірність події] = [Імовірність загрози] × [Величина уразливості]. 

В цих формулах:ймовірність події Імовірність успішної реалізації загрози відносно активу з використанням уразливості і заподіяння шкоди організації

Імовірність загрози

Імовірність того, що загроза щодо активу буде реалізовуватися (успішність або неуспішність реалізації загрози визначається величиною уразливості). На практиці для обчислення ризику використовується не математична ймовірність загрози, а очікувана кількість спроб реалізації загрози за певний період часу. Спеціально, щоб не було плутанини в стандартах, замість математичного терміна ймовірності використовується поняття ймовірності. Цей термін, хоча і перекладається на російську так само, як «імовірність», на практиці означає можливість реалізації загрози, що характеризується зразковою частотою її реалізації за певний період часу

Величина уразливості

Імовірність того, що в разі реалізації загрози відносно активу ця погроза буде реалізована успішно з використанням даної уразливості, тобто безпеку активу в результаті буде порушена і організація понесе певний збиток

Для визначення величини ризику використовуються оціночні кількісні значення, отримані шляхом експертних оцінок, прогнозування, а також на підставі статистичних даних. Розмір шкоди як правило виражається в грошових одиницях, величина вразливості приймає значення в діапазоні від 0 до 1, а ймовірність загрози є цілим позитивним числом, що визначає очікувану кількість спроб реалізації загрози за певний період часу.

Кількісне визначення величини ризику:

[Величина ризику] = [Імовірність загрози] × [Величина уразливості] × [Розмір збитку].

Для обчислення ризиків зручно використовувати період часу, рівний одному року. У цьому випадку величина ризику відповідає прогнозованим середньорічним втрат організації в результаті інцидентів безпеки (щорічна очікувана втрата - ALE). Цю величину зручно використовувати для співвіднесення витрат на безпеку з величиною ризику і для оцінки повернення інвестицій, що досягається за рахунок зменшення величини ризику, що відповідає певному скороченню середньорічних втрат організації.

Величина ризику = Середньорічні втрати організації в результаті здійснення загрози відносно активу з використанням уразливості (ALE - Щорічний очікувані збитки).

Це найбільш прагматичний і повсюдно використовуваний спосіб визначення величини ризиків. Втрати організації виражаються в певному грошовому еквіваленті, адже гроші - це найбільш універсальний інструмент для вимірювання цінності, застосовуваний у сучасному суспільстві. Яким би не був збиток, матеріальну чи нематеріальну, прямий або непрямий, бажано його зіставити певної грошової величиною. Інакше, що це за шкоду такий, якщо він ламаного гроша не варта?

На практиці оцінка ризиків завжди проводиться на певному рівні деталізації. Всі складові ризику можуть бути розкладені на більш дрібні складові елементи, що дозволяє одержати більш точні і деталізовані оцінки ризиків, і, навпаки, фактори ризику можуть бути згруповані для отримання більш загальних оцінок.Тому формула для обчислення ризику приймає наступний вигляд:

[Величина групи ризиків] = [Очікувана кількість спроб реалізації групи загроз протягом року] × [Сумарна величина групи вразливостей] × [Розмір сумарного збитку].

Практична формула для визначення величина ризиків:

[Величина групи ризиків] = [Очікувана кількість спроб реалізації групи загроз протягом року] × [Сумарна величина групи вразливостей] × [Розмір сумарного збитку].

Залежно від рівня деталізації для однієї організації можуть розглядатися від декількох десятків до декількох сотень і навіть тисяч ризиків інформаційної безпеки. Завжди слід починати з високорівневої оцінки ризиків, якій відповідає найбільш низький рівень деталізації, підвищуючи деталізацію по мірі необхідності. Приводом для проведення більш низькорівневої (більш деталізованою) оцінки ризиків може служити те, що проведена Високорівнева оцінка не надає достатньої інформації для прийняття керівництвом організації обгрунтованих рішень з обробки ризиків.