6.4 Подходы к оценке ущерба от нарушений иб
Результатом реализации угроз информации может быть ее утрата (разрушение, уничтожение), утечка (разглашение, извлечение, копирование), искажение (модификация, подделка) или блокирование.
Возможную совокупность и результаты реализации всех видов угроз нанесения ущерба для конкретного предприятия определить заранее трудно. Поэтому модель потенциальных угроз нанесения ущерба должна создаваться на этапах разработки и создания КСЗИ и уточняться в ходе ее эксплуатации.
Количественная оценка ценности информации имеет особенности и связана с большими трудностями. Поэтому наиболее характерна экспертная (качественная) оценка ценности объекта ИБ. Пример такой оценки приведен в табл. 6.2.
Табл. 6.2
Ценность объекта ИБ |
Семантическая характеристика ценности объекта ИБ |
Малоценный |
От объекта ИБ не зависят критически важные задачи. При нанесении ущерба объекту ИБ на восстановление не требуются больших затрат времени и средств |
Средняя |
От объекта ИБ зависит ряд важных задач. При нанесении ущерба объекту ИБ время и стоимость восстановления находятся в допустимых пределах |
Ценный |
От объекта ИБ зависят критически важные задачи. При нанесении ущерба объекту ИБ время и стоимость восстановления превышают допустимые значения |
Категории ущерба. При реализации угрозы в отношении конкретного объекта ИБ можно говорить об ущербе этому объекту. Традиционно под ущербом понимаются материальные потери, оцениваемые в количественном или стоимостном исчислении. Но при этом, как правило, игнорируются иные отрицательные результаты, которые присутствуют при реализации угроз. Поэтому более корректно выделение не только "материального", но и "нематериального" ущерба.
Нематериальным ущербом можно считать ущерб, нанесенный имиджу, репутации, конкурентным и др. преимуществам предприятия. Расчет нематериального ущерба очень сложен, поскольку нематериальные потери оцениваются экспертно на основе субъективных показателей. Например, вводится показатель “Величина ущерба” и для него определяются лингвистические значения, как это показано в табл. 6.3 [16].
Табл. 6.3
Лингвистические значения показателя “Величина ущерба” |
Семантическая характеристика значения показателя “Величина ущерба” |
Ничтожный |
Ущербом (угрозой) можно пренебречь |
Незначительный |
Ущерб легко устраним, затраты на ликвидацию последствий реализации угрозы невелики. Финансовые операции не ведутся некоторое время. Положение на рынке и количество клиентов меняются незначительно |
Умеренный |
Ликвидация последствий реализации угрозы не связана с крупными затратами и не затрагивает критически важные задачи. Положение на рынке ухудшается. Потеря части клиентов |
Серьезный |
Затрудняется выполнение критически важных задач. Утрата на длительный период (например, до года) положения на рынке. Ликвидация последствий реализации угрозы связана со значительными финансовыми инвестициями, в т.ч. займами |
Критический |
Реализации угрозы приводит к невозможности решения критически важных задач. Организация прекращает существование |
Частоту реализации угрозы за определенный период времени также можно определить семантически (табл. 6.4) [16].
Табл. 6.4
Частота реализации угрозы |
Значение вероятности |
Семантическая характеристика вероятности реализации угрозы |
- |
Около нуля |
Угроза практически никогда не реализуется |
1 раз за несколько лет |
Очень низкая |
Угроза реализуется редко |
1 раз за год |
Низкая |
Скорее всего, угроза не реализуется |
1 раз в месяц |
Средняя |
Скорее всего, угроза реализуется |
1 раз в неделю |
Выше средней |
Угроза почти обязательно реализуется |
1 раз за день |
Высокая |
Шансов на положительный исход нет |
Деятельность предприятия, сопряженная с вероятным появлением ущерба, считается рисковой. Риск обычно представляют произведением вероятности наступления ущерба на величину этого ущерба. Рисками необходимо управлять.
Суть работы по управлению рисками состоит в том, чтобы оценить их размер, выработать меры по уменьшению этого размера и затем убедиться, что риски заключены в приемлемые рамки. Таким образом, управление рисками включает в себя два вида деятельности [17]:
оценку (измерение) рисков;
выбор эффективных и экономичных защитных регуляторов.
Процесс управления рисками можно подразделить на следующие этапы [19]:
1. Определение среды, границ и идентификация активов автоматизированной системы
При определении среды и границ ИТ фиксируются:
границы контролируемой зоны объекта эксплуатации, ИТ;
меры и средства физической защиты;
организационные меры обеспечения безопасности;
пользователи ИТ;
внешние интерфейсы ИТ, потоки информации;
внешняя среда ИТ.
В состав активов ИТ включаются:
аппаратные средства;
программное обеспечение;
информация;
средства обеспечения безопасности.
2. Анализ мер и средств обеспечения безопасности и идентификация уязвимостей
Целью анализа является определение уязвимостей, связанных с активами и средой ИТ, использование которых может привести к нарушению безопасности ИТ.
Для определения состава уязвимостей используются следующие источники:
результаты анализа соответствия используемых мер и средств обеспечения безопасности установленным требованиям безопасности ИТ;
печатные и электронные источники, содержащие известные уязвимости средств обеспечения безопасности ИТ;
результаты работы автоматизированных средств выявления уязвимостей;
результаты тестирования средств обеспечения безопасности ИТ.
3. Идентификация угроз безопасности
При идентификации угроз безопасности должны быть выявлены все имеющиеся и потенциально возможные угрозы безопасности ИТ следующих категорий:
объективные и субъективные;
внутренние и внешние;
случайные и преднамеренные.
Описание угрозы безопасности должно содержать:
источник угрозы;
способ (метод) реализации угрозы;
используемая уязвимость;
вид защищаемых активов, на которые воздействует угроза;
вид воздействия на активы;
нарушаемое свойство безопасности активов.
Описание источника угрозы должно содержать:
тип;
мотивацию;
компетентность;
используемые ресурсы.
4. Определение вероятности реализации угрозы
При определении вероятности реализации угрозы должны быть учтены:
мотивация, компетентность источника угрозы и используемые им ресурсы;
имеющиеся уязвимости;
наличие и эффективность мер и средств обеспечения безопасности ИТ.
5. Оценка уровня ущерба
Уровень ущерба от реализации угрозы определяется как максимальный уровень ущерба для нарушаемых в результате реализации угрозы характеристик безопасности информации, обрабатываемой в ИТ, в соответствии с порядком, определенным в Приложении Б регламента.
6. Оценка риска
Значение риска от реализации угрозы определяется как функция вероятности возникновения ущерба жизни или здоровью граждан, имуществу физических или юридических лиц, государственному или муниципальному имуществу, который может быть нанесен в результате невыполнения функций, возлагаемых на ИТ и нарушения условий ее эксплуатации.
Значение риска нарушения безопасности ИТ определяется как максимальное значение риска из рисков для всех рассмотренных угроз безопасности ИТ.
Оценка рисков может быть выполнена различными способами, в зависимости от выбранной методологии оценки. Целью оценки является получение ответа на два вопроса: приемлемы ли существующие риски, и если нет, то какие защитные средства экономически выгодно использовать. Значит, оценка должна быть количественной, допускающей сопоставление с заранее выбранными границами допустимости и расходами на реализацию новых регуляторов безопасности.
Так, в целях оценки рисков часто используются табличные методы [16]. В простейшем случае используется субъективная оценка двух факторов: вероятности угрозы и величины ущерба. Двухфакторная оценка моделирует ситуацию отсутствия у предприятия какой либо КСЗИ. В этом случае реализованная угроза ведет к нанесению ущерба объекту ИБ.
При наличии КСЗИ модель риска должна учитывать способность системы противодействовать реализации угрозы. Для этого модель может быть дополнена фактором уязвимости КСЗИ, а риск должен учитывать вероятность преодоления КСЗИ при реализации угрозы. Поэтому вероятность нанесения ущерба уже не равна вероятности реализации угрозы и может быть определена по формуле: Pущ = Pугр x Pу, где Pущ, Pугр, Pу – соответственно вероятности ущерба, угрозы и уязвимости. Тогда риск определяется: R = Pугр x Pу x U.
Рассмотренный выше экспертно-лингвистический подход к оценке рисков нарушения ИБ сопряжен со следующими трудностями практической реализации: малочисленность экспертов соответствующей квалификации, значительная нечеткость оценок и др. Поэтому весьма интересен экспертно-аналитический метод, понижающий требования к квалификации экспертов, а также нечеткость и трудоемкость оценок.
В соответствии с этим методом относительным показателем величины ущерба является фактор подверженности воздействию (ФП) - процент потери, который может нанести конкретному активу реализованная угроза.
Наличие значений ценности актива и ФП позволяет определить величину ущерба, который может быть нанесен объекту при реализации конкретной угрозы. В качестве показателя ущерба можно использовать ожидание единичной потери (ОЕП), которое представляется выражением: ОЕП = ЦА x ФП, где ЦА – ценность актива; ФП – фактор подверженности воздействию определенной угрозы.
Ожидаемые за год финансовые потери актива от одной определенной угрозы характеризуются показателем “ожидание ежегодной потери“ (ОГП). Для определения ОГП также используется понятие “частота реализации угрозы” (ЧР) - ожидаемое число реализаций j-ой угрозы по отношению к i-му объекту ИБ. Тогда ОГП = ОЕП x ЧР. Из этой формулы видно, что понятие “ежегодное ожидание потери” близко к понятию “риск”.
При проведении оценок необходимо учитывать следующие обстоятельства. Рисковые события имеют разную частоту проявления: некоторые случаи могут происходить раз в несколько лет или десятилетий, а другие – ежедневно или много раз в день. Естественно, такими временными интервалами трудно оперировать. Например, в табл. 3 оцениваемый период имеет значения: “неделя”, “месяц” и т.д.
Удобнее работать с временными интервалами кратными 10. Тогда три года, можно считать, приближенно равны 1000 дням. Это позволяет оценивать события, как с низкой, так и высокой вероятностью возникновения.
Кроме того, при анализе риска точное знание частоты реализации угрозы не принципиально (восемь или двенадцать случаев в год). Поэтому для упрощения анализа достаточно иметь оценку с точностью до порядка, т.е. частоту (fj) представлять численно кратной 10. Тогда при оценке частоты возникновения 1 раз в 300 лет, можно считать fj = 1. Иные значения установленной зависимости представлены в табл. 6.5.
Табл. 6.5
Частота |
1/300 лет |
1/30 лет |
1/3 года |
1/100 дней |
1/10 дней |
1/1 день |
10/1 день |
100/1 день |
F |
1 |
2 |
3 |
4 |
5 |
6 |
7 |
8 |
Аналогичные рассуждения можно привести в отношении ущерба: не существенна разница при оценке ущерба между величинами $ 110000 или $ 130000. Поэтому можно полагать, при величине ущерба $10, uij = 1. Иные значения этого логического правила представлены в табл. 6.6.
Табл. 6.6
$ |
10 |
100 |
1.000 |
10.000 |
100.000 |
1.000000 |
10.000.000 |
100.000.000 |
U |
1 |
2 |
3 |
4 |
5 |
6 |
7 |
8 |
Как
было показано, ежегодное ожидание потерь
(ОГП) - результат реализации угрозы и
частоты ее возникновения. Поэтому,
исходя из значений f и i, значение ОГП
может быть определено по формуле ОГП =
.
Необходимо отметить, что оценку ущерба при реализации угрозы наиболее квалифицированно может провести руководство предприятия или пользователь информации. Оценку вероятности реализации угрозы целесообразно проводить силами специалистов по ИБ или ИТ-персонала.
Ранжирование рисков. Для формирования решений по противодействию угрозам целесообразно оценить степень опасности каждой угрозы и, используя эти данные, произвести их ранжирование. Эту задачу удобно решать на основе таблицы рисков, которая представляет собой матрицу угроз и поставленных им в соответствие рисков.
Множество количественно оцененных рисков позволяет построить стек (последовательность убывающих значений) рисков. Таблица и стек рисков могут быть использованы для анализа с целью выявления угроз (уязвимостей), которые обеспечивают наибольший вклад в значение интегрального риска. Именно на эти угрозы направляется в первую очередь риск-менеджмент.
Выбор допустимого уровня риска. Выбор допустимого уровня риска связан с затратами на реализацию КСЗИ. Поэтому кроме метода уменьшения максимального риска на 25-30% могут быть использованы иные подходы, в частности обеспечение так называемого базового и повышенного уровней ИБ.
При идентификации активов, то есть тех ценностей, которые организация пытается защитить, следует, конечно, учитывать не только компоненты информационной системы, но и поддерживающую инфраструктуру, персонал, а также нематериальные ценности, такие как репутация компании. Тем не менее, одним из главных результатов процесса идентификации активов является получение детальной информационной структуры организации и способов ее (структуры) использования.
Этапы, предшествующие анализу угроз, можно считать подготовительными, поскольку, строго говоря, они впрямую не связаны с рисками. Риск появляется там, где есть угрозы [17].
Краткий перечень наиболее распространенных угроз был приведен выше. Как правило, наличие той или иной угрозы является следствием слабостей в защите информационной системы, которые, в свою очередь, объясняются отсутствием некоторых сервисов безопасности или недостатками в реализующих их защитных механизмах.
Первый шаг в анализе угроз — их идентификация. Анализируемые виды угроз следует выбрать из соображений здравого смысла (оставив вне поля зрения, например, землетрясения или захват организации террористами), но в пределах выбранных видов провести максимально полное рассмотрение.
Целесообразно выявлять не только сами угрозы, но и источники их возникновения — это поможет в выборе дополнительных средств защиты. Например, нелегальный вход в систему может стать следствием воспроизведения начального диалога, подбора пароля или подключения к сети неавторизованного оборудования. Очевидно, для противодействия каждому из перечисленных способов нелегального входа нужны свои механизмы безопасности.
После идентификации угрозы необходимо оценить вероятность ее осуществления. Допустимо использовать при этом трехбалльную шкалу (низкая (1), средняя (2) и высокая (3) вероятность).
Кроме вероятности осуществления, важен размер потенциального ущерба. Например, пожары бывают нечасто, но ущерб от каждого из них, как правило, велик. Тяжесть ущерба также можно оценить по трехбалльной шкале.
Если какие-либо риски оказались недопустимо высокими, необходимо реализовать дополнительные защитные меры.
Оценивая стоимость защитных мер, необходимо учитывать не только прямые расходы на закупку оборудования и/или программ, но и расходы на внедрение новинки и, в частности, на обучение и переподготовку персонала.
Когда намеченные меры приняты, необходимо проверить их действенность, то есть убедиться, что остаточные риски стали приемлемыми. Если это на самом деле так, значит, все в порядке и можно спокойно намечать дату ближайшей переоценки. В противном случае придется проанализировать допущенные ошибки и провести повторный сеанс управления рисками немедленно [17].