Yazov_ITKS

321

Окончание табл. 3.13

322

3.8.3. Методический подход к количественной оценке опасности угроз

Одной из кардинальных проблем теории защиты информации является развитие количественных методов оценки опасности угроз безопасности информации. Необходимость этого обусловлена не только требованиями повышения обоснованности решений по защите информации, но и перспективами формализации процессов защиты информации на объектах информатизации, создания автоматизированных систем поддержки принятия решений по защите информации, оперативного управления защитой и т.д. Опасность угроз определяется величиной ущерба от их реализации и возможностью нанесения этого ущерба. Разнообразные виды ущерба оцениваются как в количественных, так и в качественных шкалах. В настоящее время пока отсутствует единая классификация шкал. Так, Девидсоном в его книге «Многомерное шкалирование», предложена система шкал, основанная на понятиях эмпирической операции и математической структуры, при этом рассматриваются четыре вида шкал: наименований, порядка, интер-

Если f - монотонная функция, то соответствующая шка-

то соответствующая шкала – это шкала интервалов; если

f определяет преобразование подобия, то соответствующая шкала – шкала отношений.

Наиболее приемлемы для количественной оценки ущерба или опасности угроз являются так называемые оппозиционные (полярные) шкалы. Оппозиционные шкалы

323

основаны на установлении, по крайней мере, двух противоположных (в этом смысле полярных) точек на шкале, определяющих крайние противоположные результаты оценки ущерба (например, отсутствие ущерба и неприемлемый ущерб). На таких шкалах могут рассматриваться несколько типов оценок: точечные количественные, интервальные, вербальные (лингвистические), при этом могут применяться метрические или порядковые шкалы. Для всех остальных шкал, как правило, предполагается построение либо эталонных описаний, либо проведение только попарных сравнений, либо формирование специальных функций уверенности или полезности по определенным аспектам, которые так или иначе необходимо сводить к единой шкале оценок. Применение таких шкал не позволяет переходить к комплексным оценкам ущерба от реализации разнородных угроз.

Если в качестве максимального элемента решетки ввести максимально возможный или неприемлемый ущерб, а в качестве минимального – отсутствие такого ущерба или незаметный ущерб, то можно построить метрическую шкалу для оценки ущерба.

Особенность такой шкалы заключается, прежде всего, в ее универсальности относительно видов ущерба. Кроме того, она является условной, поскольку ее верхняя граница обусловлена суждением о неприемлемости ущерба для данного конкретного обладателя. Последняя особенность очень характерна для ИТКС, поскольку для разных ИТКС один и тот же по размеру ущерб может оцениваться по-разному.

Важным аспектом построения таких шкал для разнородных ущербов является отсутствие непосредственной возможности применения даже таких простейших операторов, как операторы сравнения и сложения разнородных

324

ущербов. Для этого требуется определить процедуры приведения шкал для разнородных ущербов к единой (базовой) шкале оценок, например, шкале финансового ущерба. Однако сегодня практически отсутствуют такие процедуры пересчета ущерба в какую-либо единую числовую шкалу оценок. В этих условиях возможен следующий подход. Первоначально в качестве базовой можно взять лингвистическую (вербальную) полярную шкалу. Наиболее часто при построении такой шкалы используют семь градаций оценок. Формально указанная шкала формируется путем

двумя оценками, ослабленными с помощью модификатора

После построения базовой вербальной шкалы устанавливается ее соответствие каждой из шкал оценок разнородных ущербов. Это позволяет перевести оценки разнородных ущербов в единую шкалу оценок. Затем базовой вербальной шкале ставится в соответствие нормированная решетка L , то есть замкнутый отрезок [0,1], на который проецируется вербальная шкала, пример проекции приведен на рис. 3.25.

325

При этом возможно введение коэффициентов (в том числе в виде функций от значений ущерба на вербальной шкале), отражающих при необходимости сравнительную важность для организации или пользователя того или иного вида ущерба. Такая проекция одновременно корректно вводит операцию сравнения разных ущербов, при этом аксиоматически вводится на шкале операция сложения разнородных ущербов как обычная операция сложения по модулю 1 чисел, соответствующих оценкам разнородного ущерба. Суммарный ущерб в этом случае определяется из соотношения:

Для оценки величины ущерба от выполнения несанкционированного действия при реализации конкретной угрозы учитывается, относительно какого информационного ресурса может оно выполнено и для какого ресурса ущерб будет максимальным. При этом используется отношение величины ущерба (максимального относительно всех информационных ресурсов, для которых может быть выполнено данное несанкционированное действие) к предельно допустимой его величине. Данный показатель называется коэффициентом опасности деструктивного действия:

Для оценки опасности угрозы используется показатель – коэффициент опасности угрозы Kthu , который рас-

327

считывается путем свертки коэффициента опасности несанкционированного действия и вероятности реализации Pthu (t) данной угрозы:

полярной шкале оценок. Характерно, что предельное значение ущерба является условным, так как его верхняя граница обусловлена суждением о неприемлемости ущерба для данного конкретного потребителя и конкретного вида ущерба.

3.8.4. Балльный метод оценки опасности угроз

Балльный метод оценки опасности угроз основывается на экспертном опросе специалистов, обработке результатов опроса и выдаче их в виде баллов, а затем интерпретации полученной балльной оценки в виде суждений об опасности [47].

Этот метод реализован в целом ряде международных стандартов и программных продуктов, таких как стандарт ISO 1779919 и его инструментарий, например, программный продукт COBRA или программный продукт, ре-

ализующий метод СRAMM (CCTA20 Risk Analysis & Management Method - метод ССТА анализа и контроля рисков), программный продукт RiskWatch и др. Наиболее

19Стандарт ISO/IES 17799 стандарт по информационной безопасности, опубликованный в 2005 г. организациями ISO и IEC. В 2013 г. сменил название на ISO/IEC 27002:2005 "Информационные технологии. Методы обеспечения безопасности. Практические правила управления информационной безопасностью"

20ССТА (Central Computer and Telecommunications Agency) - Цен-

тральное агентство по компьютерам и телекоммуникациям Великобритании

328

широко в настоящее время используется метод СRAMM, поэтому на его примере ниже характеризуется балльный метод оценки.

В этом методе в первую очередь оценивается ценность ресурсов в ситуациях:

недоступности ресурса в течение определенного периода времени;

разрушения ресурса – потери информации, полученной со времени последнего резервного копирования, или ее утрата (полное разрушение);

нарушение конфиденциальности в случаях НСД;

модификации данных из-за мелких ошибок ввода, программных ошибок, преднамеренных действий;

наличие ошибок, связанных с передачей информации, в том числе с отказом в обслуживании, со сбоем в доставке информации, с доставкой по

неверному адресу.

В качестве возможных ущербов в коммерческой версии продукта рассматриваются:

ущерб репутации организации;

нарушение действующего законодательства;

ущерб для здоровья персонала;

ущерб, связанный с разглашением персональных данных;

финансовые потери от разглашения информации;

финансовые потери, связанные с восстановлением ресурсов;

дезорганизация деятельности и др.

Далее формируются балльные шкалы оценки ущерба в интервале значений 0 – 10 (табл. 3.14).

329