- •Введение
- •Математические основы множеств
- •1.1. Понятие «множества»
- •1.2. Теория нечетких множеств
- •1.2.1. Характеристики нечеткого множества
- •2. Многомодовость нечеткого множества.
- •3. Ошибка центра масс нечеткого множества
- •4. Сложности определения нечеткого множества для сложных понятий
- •1.2.2. Операции над нечеткими множествами
- •1.3. Применение теории множеств в информационной безопасности
- •2. Понятие «система» и его применение в сфере информационной безопасности
- •2.1. Понятие системы
- •2.2. Классификация систем
- •2.3. Цели системы, показатели и критерии
- •2.4. Структура системы
- •2.5. Функции системы
- •3. Математическое описание системы
- •3.1. Общие понятия теории систем
- •3.1.1. Общая системы, глобальные состояния и глобальная реакция системы
- •3.1.2. Абстрактные линейные системы
- •3.2. Общие временные и динамические системы
- •3.2.1. Общие временные системы
- •3.2.2. Общие динамические системы
- •4. Методы представления систем
- •4.1. Классификации методов формализованного представления систем
- •4.2. Статистический подход к описанию систем
- •4.3. Теоретико-множественный подход к описанию систем
- •4.4. Графический подход к описанию систем
- •5. Критерии оценки систем
- •5.1. Виды критериев качества
- •Критерий пригодности
- •Критерий оптимальности
- •Критерий превосходства
- •5.2. Показатели и критерии оценки эффективности систем
- •6. Социтехнические системы.
- •6.1. Анализ подходов к определению понятия «социотехническая система»
- •6.2. Общесистемные закономерности в информационном аспекте функционирования социотехнических систем
- •7. Понятие «риск» в контексте безопасности систем
- •7.1. Оценка рисков
- •7.1.1. Оценка рисков по двум факторам
- •7.1.2. Оценка рисков по трем факторам
- •7.1.3. Разделение рисков на приемлемые и неприемлемые
- •7.2. Оценка эффективности управления рисками
- •7.3. Стратегии управления рисками систем
- •8. Опасности социотехнических систем
- •8.1. Опасности в информационно-психологическом пространстве
- •8.2. Опасности в информационно-кибернетическом пространстве
- •8.3. Безопасность социотехнических систем
- •9. Конфликты в социотехнических системах
- •9.1. Формализация описания информационных конфликтов социотехнических систем
- •9.2. Классификация конфликтов
- •9.3. Структурно-параметрическая модель конфликта
- •10. Специфика реализации информационных операций и атак в социотехнических системах
- •10.1. Понятие информационных операций и атак
- •10.2 Стратегии реализации информационных операций и атак
- •10.3. Тактики реализации информационных операций и атак
- •10.4. Простейшие информационные операции, реализуемые в социотехнических системах
- •10.4.1. Простейшие информационно-кибернетические операции
- •10.5. Специфика применения информационного оружия
- •10.5.1. Средства информационного оружия
- •10.5.2. Субъекты применения информационного оружия
- •10.5.3. Объекты назначения информационного оружия
- •10.5.4. Предметы воздействия информационного оружия
- •10.6. Типология, виды и сценарии информационных операций и атак
- •1. Операции, направленные против центров управления.
- •2. Операции, направленные на компрометацию, причинение вреда конкурентам.
- •3. Операции, направленные на политическую (экономическую) дестабилизацию.
- •Заключение
- •Библиографический список
- •Оглавление
- •394026 Воронеж, Московский просп., 14
7. Понятие «риск» в контексте безопасности систем
Анализ рисков является неотъемлемой составляющей процесса управления рисками систем, в том числе и информационными. Это объясняется тем, что анализ риска позволяет более эффективно управлять безопасностью, а также своевременно определять, что именно подлежит защите в системе, воздействию каких угроз она подвержена, и выработать рекомендации по практике защиты. В процессе качественного анализа может быть выведена обширная группа, или несколько групп рисков, при этом вероятность каждого типа риска различна, также как и объёмы ущербов, которые они могут вызвать. Качественная оценка вероятности наступления отдельных рисков и ущербов позволяет выделить наиболее вероятные по возникновению и весомые по величине потерь риски, которые будут являться объектами дальнейшего анализа для принятия мер по их пресечению
Анализ информационных рисков — процесс комплексной оценки защищенности информационной системы с переходом к количественным или качественным показателям рисков. При этом риск — это вероятность возникновения ущерба определенной величины, т.е вероятный ущерб, который зависит от защищенности системы. Под управлением рисками понимается процесс идентификации и уменьшения рисков, которые могут воздействовать на информационную систему. Результаты анализа используются при выборе средств защиты, оценке эффективности существующих и проектируемых подсистем СЗИ.
Рассмотрим типичные вопросы, возникающие при реализации концепции управления рисками, и возможные подходы к их решению.
7.1. Оценка рисков
Для измерения какого-либо свойства необходимо выбрать шкалу.
В качестве примера рассмотрим варианты выбора шкалы для измерения характеристического свойства «ценность информационного ресурса».
Для измерения рисков не существует абсолютной шкалы. Риски можно оценивать по объективным либо субъективным критериям. Для оценки данным методом обычно разрабатывается ранговая шкала с несколькими градациями, например: низкий, средний, высокий уровни.
Существует ряд подходов к измерению рисков. Рассмотрим наиболее распространенные: оценка по двум факторам и оценка по трем факторам.
7.1.1. Оценка рисков по двум факторам
В простейшем случае используется оценка двух факторов: вероятность происшествия и тяжесть возможных последствий. Обычно считается, что риск тем больше, чем больше вероятность происшествия и тяжесть последствий. Общая идея может быть выражена формулой:
РИСК = Pущерба * ЦЕНА УЩЕРБА.
Если переменные являются количественными величинами, риск — это оценка математического ожидания потерь.
Если переменные являются качественными величинами, то операция умножения не определена. Таким образом, в явном виде эта формула использоваться не должна. Рассмотрим вариант использования качественных величин (наиболее часто встречающаяся ситуация).
Сначала должны быть определены значения лингвистической переменной вероятности событий, например такой шкалы:
А — событие практически никогда не происходит;
В — событие случается редко;
С — вероятность события за рассматриваемый промежуток времени — около 0,5;
D — скорее всего, событие произойдет;
Е — событие почти обязательно произойдет.
Кроме того, определяется лингвистическая переменная серьезности происшествий, например:
N (Negligible) — воздействием можно пренебречь.
Mi (Minor) — незначительное происшествие: последствия легкоустранимы, затраты на ликвидацию последствий невелики, воздействие на информационную технологию незначительно;
— Mo (Moderate) — происшествие с умеренными результатами: ликвидация последствий не связана с крупными затратами, воздействие на информационную технологию невелико и не затрагивает критически важные задачи;
S (Serious) — происшествие с серьезными последствиями: ликвидация последствий связана со значительными затратами, воздействие на информационные технологии ощутимо, воздействует на выполнение критически важных задач;
С (Critical) — происшествие приводит к невозможности решения критически важных задач.
Для оценки рисков определяется переменная из трех значений: низкий риск, средний риск, высокий риск.
Риск, связанный с определенным событием, зависит от двух факторов и может быть определен как показано в табл. 7.1
Шкалы факторов риска и сама таблица могут быть определены иначе, иметь другое число градаций.
Таблица 7.1
Определение риска в зависимости от двух факторов
|
Воздействием можно пренебречь |
Незначительное происшествие |
Происшествия с умеренными результатами |
Происшествия с серьезными последствиями |
Происшествия с критическими последствиями |
Событие практически никогда не происходит (А) |
Низкий риск |
Низкий риск |
Низкий риск |
Средний риск |
Средний риск |
событие случается редко (В) |
Низкий риск |
Низкий риск |
Средний риск |
Средний риск |
Высокий риск |
вероятность события за рассматриваемый промежуток времени — около 0,5(С) |
Низкий риск |
Средний риск |
Средний риск |
Средний риск |
Высокий риск |
скорее всего, событие произойдет (D) |
Средний риск |
Средний риск |
Средний риск |
Средний риск |
Высокий риск |
событие почти обязательно произойдет (Е) |
Средний риск |
Высокий риск |
Высокий риск |
Высокий риск |
Высокий риск |
Подобный подход к оценке рисков достаточно распространен. При разработке (использовании) методик оценки рисков необходимо учитывать следующие особенности:
значения шкал должны быть четко определены (словесное описание) и пониматься одинаково всеми участниками процедуры экспертной оценки;
требуются обоснования выбранной таблицы. Необходимо убедиться, что разные инциденты, характеризующиеся одинаковыми сочетаниями факторов риска, имеют с точки зрения экспертов одинаковый уровень рисков.
Подобные методики широко применяются при проведении анализа рисков базового уровня.