3.4. Построение математической модели оценки рисков

реализации угроз безопасности

В настоящее время под риском реализации угрозы безопасности объекту защиты целесообразно понимать вероятность события, ведущего к нарушению режима его функционирования и экономическому ущербу.

Значение риска рассматривается как совокупность потенциальной вероятности реализации угрозы и тяжести возможных последствий [19].

В каждом конкретном случае риск можно определить по совокупности нескольких факторов [20]:

1. Человеческий фактор.

Человеческий фактор нарушает состояние защищенности системы в связи с «неадекватной» деятельностью персонала, которая является результатом:

• невозможности выполнения человеком возложенного на него объема работ;

• преднамеренных действий сотрудника, нарушающих установленные правила функционирования системы, которые являются результатом адаптации человека к условиям среды (экономический показатель) или его убеждений (социально-политический показатель);

• некомпетентности сотрудника.

Если один сотрудник в среднем выполняет некоторый объем работы x , то N сотрудников выполнят объем работы xN . Если для полного выполнения работы необходимо N₀ человек, то объем невыполненной работы будет пропорционален (N — N₀). В результате риск по этому и остальным двум показателям можно выразить следующей формулой:

(7)

k — коэффициент важности рассматриваемой организационной структуры;

N₀ — минимально необходимое число людей, необходимых для реализации организацией своих функций;

N — число сотрудников;

v_n — важность занимаемой человеком должности, по возможности влияния на процессы в организации, а также уровень его информированности о процессах организации;

p_n — вероятность «неадекватного» поведения сотрудника, которая характеризуется качеством подбора персонала, морально-этической работой и организационно-правовыми мерами.

Величину p_n , кроме теоретического метода, можно оценить и эмпирическим путем по числу инцидентов.

2. Технический (программно-аппаратный) фактор:

(8)

где k —коэффициент важности рассматриваемой организационной структуры;

N — общее число автоматизированных систем (АС);

v_j— важность АС в общей организационной структуре по количеству обрабатываемой информации и ее значимости;

p_j— вероятность реализации НСД к АС.

Найти p_j можно на основе следующих показателей:

• прочность многоуровневой защиты;

• прочность многозвенной защиты;

• вероятность отказа оборудования.

Прочность многозвенной защиты оценивается по формуле:

(9)

где P_СЗИ — прочность i -й преграды;

P_обх — вероятность обхода преграды по k-му пути.

Вероятность отказа оборудования:

(10)

где λ– интенсивность отказов группы технических средств;

t — рассматриваемый интервал времени.

Прочность многоуровневой защиты находится как произведение вероятностей обхода защиты каждого из уровней по формуле (3.11):

где n — число уровней защиты.

3. Фактор среды - риск реализации угрозы (R_c):

(11)

.

Данный риск характеризует возможность реализации угрозы, а также эффективности проведения всех остальных угроз, как преобладание экономического показателя (f_э) и объема информационной инфраструктуры (f_инф) субъекта-агрессора над управляющим устройством. Произведение в числителе и знаменателе взято по следующим соображениям:

- если один из показателей (f_эилиf_инф) равен нулю, то в результате эффективность информационного противоборства субъекта равна нулю;

- сложение показателей не имеет смысла из-за разных размерностей.

Изменение состояния безопасности объекта защиты можно оценить по скорости изменения рисков и тем самым определить эффективность применяемой политики безопасности (V_эф):

(12)

.