Обработка риска информационной безопасности

Варианты обработки риска должны выбираться, исходя из результатов оценки риска, предполагаемой стоимости реализации этих вариантов и их ожидаемой эффективности. На рисунке 2 показаны варианты обработки риска.

Рисунок 2 – Деятельность по обработке риска

в рамках процесса менеджмента риска ИБ

Таким образом, для обработки риска имеется четыре варианта:

1 Снижение риска: уровень риска должен быть снижен путем выбора меры и средства контроля и управления так, чтобы остаточный риск мог быть повторно оценен как допустимый.

При этом должны быть выбраны соответствующие и обоснованные меры и средства контроля и управления, чтобы удовлетворять требованиям, определенным путем оценки и обработки рисков. Такой выбор должен учитывать критерии принятия рисков, а также законодательные, нормативные и договорные требования.

Следует отметить, что при реализации снижения риска должны учитываться различные ограничения:

– временные ограничения;

– финансовые ограничения;

– технические ограничения;

– операционные ограничения;

– культурные ограничения;

– этические ограничения;

– ограничения, связанные с окружающей средой;

– юридические ограничения;

– ограничения, связанные с простотой использования;

– кадровые ограничения;

– ограничения, касающиеся интеграции новых и существующих мер и средств контроля и управления.

2 Сохранение риска: если уровень риска соответствует критериям принятия риска, то нет необходимости реализовывать дополнительные меры и средства контроля и управления, и риск может быть сохранен.

3 Предотвращение риска: если идентифицированные риски считаются слишком высокими или расходы на реализацию других вариантов обработки риска превышают выгоду, может быть принято решение о полном предотвращении риска путем отказа от планируемой или существующей деятельности, или их совокупности, или изменения условий, при которых осуществляется деятельность. Например, в отношении рисков, вызываемых природными факторами, наиболее экономически выгодной альтернативой может быть физическое перемещение средств обработки информации туда, где этого риска не существует или он контролируется.

4 Перенос риска: включает в себя решение разделить определенные риски с внешними сторонами. Риск должен быть перенесен на сторону, которая может наиболее эффективно осуществлять менеджмент конкретного риска, в зависимости от оценки риска.

Важно отметить, что перенос риска может создавать новые риски или модифицировать существующие идентифицированные риски, поэтому может быть необходима дополнительная обработка риска.

Перенос может быть осуществлен путем страхования, которое будет поддерживать последствия, или путем заключения договора субподряда с партнером, чья роль будет заключаться в проведении мониторинга информационной системы и осуществлении незамедлительных действий по прекращению атаки, прежде чем она приведет к определенному уровню ущерба.

Аддитивная оценка ценности информационных ресурсов

Рассмотрим аддитивную модель оценки ценности информации.

Чтобы защитить информацию, необходимо затратить определенные ресурсы (финансовые, материальные, трудовые и пр.), что потребует денежные средства. При этом важно, чтобы эти денежные средства не превышали величину возможного ущерба от действий злоумышленника; в противном случае использование системы защиты информации является нецелесообразным.

Предположим, что информация на некотором предприятии разбита на непересекающиеся элементы (информационные объекты) и необходимо оценить ее суммарную стоимость в денежных единицах. Оценка строится на основе экспертных оценок отдельных объектов, и если денежные оценки объективны, то сумма дает искомую величину. Однако количественная оценка компонент не всегда объективна даже при квалифицированной экспертизе. Это связано с неоднородностью компонент в целом, поэтому делают единую относительную иерархическую шкалу (линейный порядок, который позволяет сравнивать отдельные компоненты по ценности относительно друг друга). Единая шкала означает равенство цены всех компонент, имеющих одну и ту же порядковую оценку.

Например, если для трех объектов О₁, О₂ и О₃ известен вектор относительных ценностей этих объектов {V₁, V₂, V₃} = {2, 1, 5} по относительной иерархической шкале 1 < … < 5, то зная стоимость хотя бы одного объекта С’₁ = 8 ден. ед., можно найти стоимость всех других следующим образом, вычислив стоимость одного балла для объекта О₁:

λ = 8 / 2 = 4 ден. ед..

Затем определим стоимость всех других объектов:

С’₂ = λ × V₂ = 4 × 1 = 4 ден. ед.;

С’₃ = λ × V₃ = 4 × 5 = 20 ден. ед.

Следовательно, общая стоимость всех объектов:

С’ = С’₁ + С’₂ + С’₃ = 8 + 4 +20 = 32 ден. ед.

Пусть в рамках аддитивной модели проведена оценка информационных объектов предприятия. Оценка возможных потерь строится на основе полученных стоимостей компонент исходя из прогноза возможных угроз этим компонентам. Возможности угроз оцениваются вероятностями соответствующих событий, а потери считываются как математическое ожидание потери компоненты данной стоимости по распределению возможных угроз. Если для рассмотренного выше примера ущерб одному объекту не снижает цены других, и известны вероятности нанесения ущерба объектам {Q₁, Q₂, Q₃} = {0.7, 0.2, 0.1} и функция потерь ущерба для i-ого объекта:

(1)

тогда ожидаемые потери (общий риск) равны:

(2)

где n – количество объектов, Q_i – вероятность нанесения ущерба i-му объекту, С’_i × Q_i – ущерб для i-ого объекта.

Путем подстановки в формулу (2) соответствующих значений получаем:

(3)

Рассмотрим экспоненциальное (показательное) распределение, которое характеризуется вероятностью безотказной работы за время t:

(4)

где λ – параметр распределения.

Экспоненциальное распределение выделяется среди других распределений свойством «отсутствия памяти». Это означает, что система, проработавшая время t, имеет такое же распределение, что и новая, только что начавшая работу.

Рассмотрим нормальное распределение (распределение Гаусса, или Гаусса-Лапласа), для которого функция надежности вычисляется по формуле:

(5)

где m и σ – параметры распределения (m – математическое ожидание, σ – среднее квадратическое отклонение времени безотказной работы системы), – функция Лапласа.

Согласно закону больших чисел, распределение всегда подчиняется нормальному закону, если на изменение случайной величины оказывают влияние многие примерно равнозначные факторы.

Усеченное нормальное распределение получается из нормального при ограничении интервала изменения случайной величины на интервал времени [0, +∞). Функция надежности вычисляется по формуле:

(6)

где m₀ и σ₀ – параметры распределения (m₀ – мода).

Коэффициент c определяется по формуле:

(7)

Надежность в случае распределения Вейбулла равна:

(8)

где α и β – параметры распределения (α – параметр формы, β – параметр масштаба).

Универсальность распределения Вейбулла объясняется следующим:

– при α = 1 распределение переходит в экспоненциальное;

– при α < 1 функции плотности и интенсивности отказов убывающие;

– при α > 1 интенсивность отказов возрастающая;

– при α = 2 функция λ(t) линейная и распределение Вейбулла переходит в распределение Рэлея, функция надежности которого задается выражением:

(9)

где λ – параметр распределения.

Для гамма-распределения вероятность безотказной работы системы выражается через интеграл

(10)

где α и β – параметры распределения, I(α, t/β) – неполная гамма-функция.

Неполная гамма-функция для параметров α, t определяется по формуле:

(11)

где Г(α) – гамма-функция.

Гамма-функция равна:

(12)

Параметр α, характеризующий асимметрию гамма-распределения, определяет вид характеристик надежности:

– при α > 1 интенсивность отказов системы возрастает;

– при α < 1 интенсивность отказов системы убывает;

– при α = 1 интенсивность отказов системы становится постоянной, т.е. гамма-распределение переходит в экспоненциальное.