Глава 14
Методики оценки рисков
В этой главе будут рассмотрены три методики оценки рисков: модель качественной оценки;
традиционная (для Запада) методика под условным названием Количе-ственная модель рисков (англ. Quantafive Risk Model— QRM);
именная методика Модель обобщенного стоимостного результата Миоры (англ. Miora Generalized Cost Consequence Model).
Модель качественной оценки
Качественная оценка обычно сводится к построению таблицы следующего вида (рис. 14.1).
Таблица заполняется экземплярами информационных активов или отдельными системами на основе интуитивного представления заполняющего о той или иной информации, или на основе заполнения подготовленных вопросников, анкет для компетентных сотрудников организации. Решение принимается в зависимости от конкретной организации для объектов, лежащих в черной зоне либо в черной и серой зонах.
Возможен еще более упрощенный подход под названием основная линия (англ. Baseline), который заключается в том, что организация анализирует обсшовку с построением систем безопасности, сложившуюся в отрасли (воз-можно, в организациях, схожих по профилю), и сравнивает со схемой безо-Ёпасности, построенной в самой компании. Если обнаруживаются отставания, ресурсы направляются на приведение ситуации к уровню, близкому к сред-яему в отрасли. Скажем, если все компании по электронной торговле затра-
тили средства на приобретение цифрового сертификата, то данной конкрет-ной компании можно принять решение о приобретении сертификата без сложных расчетов целесообразности его приобретения. Однако, если крупная компания приобрела систему обнаружения атак, распределенную по всем сегментам своей сети, то, возможно, более мелкой компании не стоит расхо-довать такие значительные средства, ограничившись защитой сегмента, на
котором размещены серверы компании. Это уже вопрос управления рисками. Положительные стороны оценки риска по качественной модели заключают-ся к следующему:
О вычисления ускоряются и упрощаются;
нет необходимости присваивать денежную стоимость активу;
нет необходимости вычислять частоту проявления угрозы и точный раз- мер ущерба;
не нужно вычислять соответствия эффективности предполагаемых мер угрозам.
Отрицательные стороны заключаются в основном в субъективности подхода
к оценке и отсутствии возможности установить точное соответствие затрат
угрозам.
Количественная модель рисков Общая методика
Количественная модель рисков оперирует такими понятиями, как:
годовая частота происшествия (англ. Annualiied Rate of Occurrence — ARO), иначе говоря, вероятность появления ущерба;
ожидаемый единичный ущерб (англ. Single Loss Expectancy — SLE), т.е. стоимость ущерба от одной успешной атаки;
ожидаемый годовой ущерб (англ. Annualized Loss Expectancy — ALE), величина, равная произведению ARO на SLE.
ALE = ARO x SLE,
где ARO — это частота появления события, приносящего ущерб на годовой основе, т. е., если событие происходит раз в 5 лет, то величина ARO равна 1/5
или 0,2, а если событие происходит 3 раза в год, то ARO равно 3. Как видим, эта величина отлична от математической вероятности, которая не может быть больше 1. Величина ARO не ограничена сверху. Если в организации из 100 человек 50 ежедневно эксплуатируют информационную систему, при этом 5 из них, обладая высокими правами, но низкой квалификацией, могут ежемесячно допускать серьезные ошибки, приводящие к нарушениям в работе системы, то ARO для этой системы по данному событию будет равна 5 х 12 = 60. SLE рассчитывается как произведение количественного (стоимостного) значения актива (англ. Asset Value — AV) на фактор воздействия (англ. Exposure Factor— EF). Фактор воздействия— это размер ущерба или влияния на значение актива (от 0 до 100%), т. е. часть значения, которую актив потеряет в результате события.
SLE= AV* EF
Рассмотрим пример. Предположим, имеется здание с внутренней инфраструктурой обшей стоимостью 10000000 долларов. Пожар может нанести ущерб с фактором воздействия 30% (здание и часть инфраструктуры сохра-нится). Пожар может случиться раз в 10 лет. Тогда:
SLE= 10 000 000 х 0,3 = 300 000
ALE = 300000x0,1 = 30000
Таким образом, если организация будет тратить до 30 000 долларов в год на предотвращение риска пожара, то предпринимаемые меры будут эффективными с точки зрения управления рисками.