6.4. Подходы к оценке ущерба от нарушений иб
Результатом реализации угроз информации может быть ее утрата (разрушение, уничтожение), утечка (разглашение, извлечение, копирование), искажение (модификация, подделка) или блокирование. Возможную совокупность и результаты реализации всех видов угроз нанесения ущерба для конкретного предприятия определить заранее трудно, поэтому модель потенциальных угроз нанесения ущерба должна создаваться на этапах разработки и создания КСЗИ и уточняться в ходе ее эксплуатации.
Количественная оценка ценности информации имеет особенности и связана с большими трудностями, поэтому наиболее характерна экспертная (качественная) оценка ценности объекта ИБ. Пример такой оценки приведен в табл. 6.2.
При реализации угрозы в отношении конкретного объекта ИБ можно говорить об ущербе этому объекту. Традиционно под ущербом понимаются материальные потери, оцениваемые в количественном или стоимостном исчислении, но при этом, как правило, игнорируются иные отрицательные результаты, которые присутствуют при реализации угроз. По этой причине более корректно выделение не только «материального», но и «нематериального» ущерба. Нематериальным ущербом можно считать ущерб, нанесенный имиджу, репутации, конкурентным и другим преимуществам предприятия. Расчет нематериального ущерба очень сложен, поскольку нематериальные потери оцениваются экспертно на основе субъективных показателей. Например, вводится показатель «величина ущерба» и для нет определяются лингвистические значения, как это показано в табл. 6.3 [24].
Таблица 6.2. Пример оценки ценности объекта ИБ
Ценность объекта ИБ |
Семантическая характеристика ценности объекта ИБ' |
Малоценный |
От объекта И Б не зависят критически важные задачи. При нанесении ущерба объекту ИБ на восстановление, не требуется больших затрат времени и средств |
Средняя |
От объекта И Б зависит ряд важных задач. При нанесении ущерба объекту ИБ время и стоимость восстановления находятся в допустимых пределах |
Ценный |
От объекта И Б зависят критически важные задачи. При нанесении ущерба объекту ИБ время и стоимость восстановления превышают допустимые значения |
Таблица 6.3. Пример оценки ущерба
Лингвистические значения показателя «величина ущерба» |
Семантическая характеристика значения показателя «величина ущерба» |
|||
Ничтожный |
Ущербом (угрозой) можно пренебречь |
|||
Незначительн ый |
Ущерб легко устраним, затраты на ликвидацию последствий реализации угрозы невелики. Финансовые операции не ведутся некоторое время. Положение на рынке и количество клиентов меняются незначительно |
|||
Умеренный |
Ликвидация последствий реализации угрозы не связана с крупными затратами и не затрагивает критически важные задачи. Положение на рынке ухудшается. Потеря части клиентов |
|||
Серьезный |
Затрудняется выполнение критически важных задач. Утрата на длительный период (например, до года) положения на рынке. Ликвидация последствий реализации угрозы связана со значительными финансовыми инвестициями, в том числе займами. |
|||
Критический |
Реализация угрозы приводит к невозможности решения критически важных задач. Организация прекращает существование |
|||
Таблица 6.4 Пример оценки вероятности угрозы.
|
||||
Частота решшзашш угрозы |
Значение вероятности |
Семантическая характеристика вероятности реализации угрозы |
|
|
— |
Около нуля |
Угроза практически никогда не реализуется |
|
|
1 раз за несколько лет |
Очень низкая |
Угроза реализуется редко |
|
|
1 раз за год |
Низкая |
Скорее всего, угроза не реализуется |
|
|
1 раз в месяц |
Средняя |
Скорее всего, угроза реализуется |
|
|
1 раз в неделю |
Выше средней |
Угроза почти обязательно реализуется |
|
|
1 раз за день |
Высокая |
Шансов на положительный исход нет |
|
|
Частоту реализации угрозы за определенный период времени также можно определить семантически (табл. 6.4) [24].
Деятельность предприятия, сопряженная с вероятностным появлением ущерба, считается рисковой. Риск обычно представляют произведением вероятности наступления ущерба на величину этого ущерба. Рисками необходимо управлять. Суть работы по управлению рисками состоит в том, чтобы оценить их размер, выработать меры по уменьшению этого размера и затем убедиться, что риски заключены в приемлемые рамки. Таким образом, управление рисками включает два вида деятельности [5]: оценку (измерение) рисков; выбор эффективных и экономичных защитных регуляторов.
Процесс управления рисками можно подразделить на следующие этапы [41]:
1. Определение среды, границ и идентификация активов автоматизированной системы. При определении среды и границ ИТ фиксируются:
границы контролируемой зоны объекта эксплуатации, ИТ;
меры и средства физической зашиты;
организационные меры обеспечения безопасности;
пользователи ИТ;
внешние интерфейсы ИТ, потоки информации;
внешняя среда ИТ.
В состав активов ИТ включаются:
аппаратные средства;
программное обеспечение;
информация;
средства обеспечения безопасности.
2. Анализ мер и средств обеспечения безопасности и идентификация уязвимостей. Целью анализа является определение уязвимостей, связанных с активами и средой ИТ, использование которых может привести к нарушению безопасности ИТ.
Для определения состава уязвимостей используются следующие источники:
результаты анализа соответствия используемых мер и средств обеспечения безопасности установленным требованиям безопасности ИТ;
печатные и электронные источники, содержащие известные» уязвимости средств обеспечения безопасности ИТ;
результаты работы автоматизированных средств выявления* уязвимостей;
результаты тестирования средств обеспечения безопасности ИТ;
3. Идентификация угроз безопасности. При идентификаций угроз безопасности должны быть выявлены все имеющиеся и потенциально возможные угрозы безопасности ИТ следующих категорий:
объективные и субъективные;
внутренние и внешние;
случайные и преднамеренные. Описание угрозы безопасности должно содержать: » источник угрозы;
способ (метод) реализации угрозы;
используемая уязвимость;
вид защищаемых активов, на которые воздействует угроза;
вид воздействия на активы;
нарушаемое свойство безопасности активов.
Описание источника угрозы должно содержать:
тип;
мотивацию;
компетентность;
используемые ресурсы.
4. Определение вероятности реализации угрозы. При определении вероятности реализации угрозы должны быть учтены:
мотивация, компетентность источника угрозы и используе-: мые им ресурсы;
имеющиеся уязвимости;
наличие и эффективность мер и средств обеспечения безопасности ИТ.
5. Оценка уровня ущерба. Уровень ущерба от реализации угрозы определяется как максимальный уровень ущерба для нарушаемых в результате реализации угрозы характеристик безопасности информации, обрабатываемой в ИТ, в соответствии с порядком, определенным в Приложении Б Специального технического регламента «О безопасности информационных технологий» |41].
6. Оценка риска. Значение риска от реализации угрозы определяется как функция вероятности возникновения ущерба жизни или здоровью граждан, имуществу физических или юридических лиц, государственному или муниципальному имуществу, который может быть нанесен в результате невыполнения функций, возлагаемых на ИТ, и нарушения условий ее эксплуатации. Значение риска нарушения безопасности ИТ определяется как максимальное значение риска из рисков для всех рассмотренных угроз безопасности ИТ.
Оценка рисков может быть выполнена различными способами в зависимости от выбранной методологии оценки. Целью опенки является получение ответа на два вопроса: приемлемы ли существующие риски и, если нет, то какие защитные средства экономически выгодно использовать. Значит, оценка должна быть количественной, допускающей сопоставление с заранее выбранными границами допустимости и расходами на реализацию новых регуляторов безопасности.
Так, в целях оценки рисков часто используются табличные методы [24]. В простейшем случае используется субъективная оценка двух факторов: вероятности угрозы и величины ущерба. Двух-факторная оценка моделирует ситуацию отсутствия у предприятия какой-либо КСЗИ. В этом случае реализованная угроза ведет к нанесению ущерба объекту ИБ.
При наличии КСЗИ модель риска должна учитывать способность системы противодействовать реализации угрозы. Для этого модель может быть дополнена фактором уязвимости КСЗИ, а риск должен учитывать вероятность преодоления КСЗИ при реализации угрозы. Поэтому вероятность нанесения ущерба уже не равна вероятности реализации угрозы и может быть определена по формуле: Руш = РугрРу,, где Рущ, Ругр, Ру — соответственно вероятности ущерба, угрозы и уязвимости. Тогда риск R определяется по формуле: R=РутрРу,U, где U — величина ущерба.
Рассмотренный ранее экспертно-лингвистический подход к оценке рисков нарушения ИБ сопряжен с рядом трудностей практической реализации: малочисленностью экспертов соответствующей квалификации, значительной нечеткостью оценок и др. Вследствие этого весьма интересен экспертно-аналитический метод, понижающий требования к квалификации экспертов, а также нечеткость и трудоемкость оценок. В соответствии с этим методом относительным показателем величины ущерба является фактор подверженности воздействию (ФП) — процент потери, который может нанести конкретному активу реализованная угроза.
Наличие значений ценности актива и ФП позволяет определить величину ущерба, который может быть нанесен объекту при реализации конкретной угрозы. В качестве показателя ущерба можно использовать ожидание единичной потери (ОЕП), которое представляется выражением: ОЕП = ЦА • ФП, где ЦА — ценность актива; ФП — фактор подверженности воздействию определенной угрозы.
Ожидаемые за год финансовые потери актива от одной определенной угрозы характеризуются показателем «ожидание ежегодной потери» (ОГП). Для определения ОГП также используется понятие «частота реализации угрозы» (ЧР) — ожидаемое число реализаций j-й угрозы по отношению к i-у объекту ИБ. Тогда ОГП = ОЕП • ЧР. Из этой формулы видно, что понятие «ожидание ежегодной потери» близко к понятию «риск».
При проведении оценок необходимо учитывать следующие, обстоятельства. Рисковые события имеют разную частоту проявления: некоторые случаи могут происходить раз в несколько лёт или десятилетий, а другие — ежедневно или много раз в день. Естественно, такими временными интервалами трудно оперировать. Например, в табл. 6.4 оцениваемый период имеет значения: неделя, месяц и т.д. Удобнее работать с временными интервалами, кратными 10. Тогда три года, можно считать, приближенно равны 1 000 дням. Это позволяет оценивать события как с низкой, так и высокой вероятностью возникновения.
Кроме того, при анализе риска точное знание частоты реализации угрозы не принципиально (восемь или двенадцать случаев в год). Поэтому для упрощения анализа достаточно иметь оценку с точностью до порядка, т.е. частоту fj представлять численно кратной 10. Тогда при оценке частоты возникновения 1 раз в 300 лет, можно считать fj = 1. Иные значения установленной зависимости; представлены в табл. 6.5.
Аналогичные рассуждения можно привести в отношении ущерба: не существенна разница при оценке ущерба между величинами 1 100000 руб. или 1200000 руб. Поэтому можно полагать, что при величине ущерба 100 руб. Uij = 1. Иные значения этого логического правила представлены в табл. 6.6.
Таблица 6.5. Возможная шкала частоты угроз
Частота |
1/300 лет |
1/30 лет |
1/3 года |
1/100 дней |
1/10 дней |
1Д лень |
10/1 день |
100/1 день |
f |
1 |
2 |
3 |
4 |
5 |
6 |
7 |
8 |
Таблица 6.6. Возможная шкала ущерба
Руб. |
100 |
1 000 |
10000 |
100000 |
1000000 |
10000000 |
100000000 |
1000000000 |
U |
1 |
2 |
3 |
4 |
5 |
6 |
7 |
8 |
Как было показано, ожидание ежегодной потери (ОГП) — результат реализации угрозы и частоты ее возникновения. Исходя из значений f и i, значение ОГП можно определить по следующей формуле:
Необходимо отметить, что опенку ущерба при реализации угрозы «наиболее квалифицированно может провести руководство предприятия или пользователь информации. Оценку вероятности реализации угрозы целесообразно проводить силами специалистов по ИБ или ИТ-персонала.
Ранжирование рисков производится для формирования решений по противодействию угрозам, причем целесообразно оценить степень опасности каждой угрозы. Эту задачу удобно решать на основе таблицы рисков, которая представляет собой матрицу угроз и поставленных им в соответствие рисков.
Множество количественно оцененных рисков позволяет построить стек (последовательность убывающих значений) рисков. Таблица и стек рисков могут быть использованы для анализа с целью выявления угроз (уязвимостей), которые обеспечивают наибольший вклад в значение интегрального риска. Именно на эти угрозы направляется в первую очередь риск-менеджмент.
Выбор допустимого уровня риска связан с затратами на реализацию КСЗИ. Вследствие этого кроме метода уменьшения максимального риска на 25 — 30 % могут быть использованы иные подходы, в частности обеспечение так называемого базового и повышенного уровней ИБ.
При идентификации активов, т.е. тех ценностей, которые организация пытается защитить, следует, конечно, учитывать не только компоненты информационной системы, но и поддерживающую инфраструктуру, персонал, а также нематериальные ценности, такие как репутация компании. Тем не менее одним из главных результатов процесса идентификации активов является получение детальной информационной структуры организации и способов ее (структуры) использования.
Этапы, предшествующие анализу угроз, можно считать подготовительными, поскольку, строго говоря, они впрямую не связаны с рисками. Риск появляется там, где есть угрозы [5]. Краткий перечень наиболее распространенных угроз был приведен выше. Как правило, наличие той или иной угрозы является следствием слабостей в защите информационной системы, которые в свою очередь объясняются отсутствием некоторых сервисов безопасности или недостатками в реализующих их защитных механизмах.
Первый шаг в анализе угроз — их идентификация. Анализируемые виды угроз следует выбрать из соображений здравого смысла (оставив вне поля зрения, например, землетрясения или захват организации террористами), но в пределах выбранных видов провести максимально полное рассмотрение.
Целесообразно выявлять не только сами угрозы, но и источники их возникновения, что поможет в выборе дополнительных средств защиты. Например, нелегальный вход в систему может стать следствием воспроизведения начального диалога, подбора пароля или подключения к сети неавторизованного оборудования. Очевидно, для противодействия каждому из перечисленных способов нелегального входа нужны свои механизмы безопасности.
После идентификации угрозы необходимо оценить вероятность ее осуществления. Допустимо использовать при этом трехбалльную шкалу: 1 — низкая, 2 — средняя, 3 — высокая вероятность. Кроме вероятности осуществления важен размер потенциального ущерба. Например, пожары бывают нечасто, но ущербу от каждого из них, как правило, велик. Тяжесть ущерба также можно оценить по трехбалльной шкале.
Если какие-либо риски оказались недопустимо высокими, не обходимо реализовать дополнительные защитные меры. Оценивая стоимость защитных мер, следует учитывать не только прямые расходы на закупку оборудования и/или программ, но и расходы на внедрение новинки, в частности, на обучение и переполи готовку персонала.
Когда намеченные меры приняты, надо проверить их действенность, т.е. убедиться, что остаточные риски стали приемлемыми. Если это на самом деле так, значит, все в порядке и можно спокойно намечать дату ближайшей переоценки. В противном случае придется проанализировать допущенные ошибки и немедленно провести повторный сеанс управления рисками [5].