НОУ ІНТУЇТ | лекція | Класифікація загроз і об'єктів захисту
7.2. Методи оцінки небезпеки загроз
При визначенні загроз на конкретному об'єкті захисту важливо розуміти, що не можна врахувати абсолютно все загрози, а тим більше захиститися від них. Тут доречно говорити про принцип розумності та достатності. При ідентифікації загрози необхідно встановити всі можливі джерела цієї загрози, так як часто загроза виникає внаслідок наявності певної уразливості і може бути усунена за допомогою механізму захисту (наприклад, механізм аутентифікації). До ідентифікації загроз можна підходити двома шляхами - по уязвимостям, що спричинило за собою появу загрози, або за джерелами загроз.
Небезпека загрози визначається ризиком в разі її успішної реалізації. Ризик - потенційно можливий збиток. Допустимість ризику означає, що збиток в разі реалізації загрози не призведе до серйозних негативних наслідків для власника інформації. Збиток підрозділяється на опосередкований і безпосередній. Безпосередній пов'язаний із заподіянням матеріального, морального, фінансового, фізичного шкоди власнику інформації. Опосередкований (непрямий) збиток пов'язаний із заподіянням шкоди державі чи суспільству, але не власнику інформації.
Для оцінки ризиків доцільно залучати експертів - фахівців в області інформаційної безпеки, які повинні володіти:
- знаннями законодавства РФ, міжнародних і національних стандартів у сфері забезпечення інформаційної безпеки;
- знаннями нормативних актів і розпоряджень регулюючих і наглядових органів в області забезпечення інформаційної безпеки;
- знаннями внутрішніх документів організації, що регламентують діяльність в області забезпечення інформаційної безпеки;
- знаннями про сучасні засоби обчислювальної та телекомунікаційної техніки, операційних системах, системах управління базами даних, а також про конкретні способи забезпечення інформаційної безпеки в них;
- знаннями про можливі джерела загроз ІБ, способах реалізації загроз ІБ, частоті реалізації загроз ІБ в минулому;
- розумінням різних підходів до забезпечення інформаційної безпеки, знання захисних заходів, властивих їм обмежень.
Існують різні методи оцінки ризику, що утворюють два взаємодоповнюючих один одного виду - кількісний і якісний.
Метою кількісної оцінки ризику є отримання числових значень потенційної шкоди для кожної конкретної загрози і для сукупності загроз на об'єкті, що підлягає, а також вигоди від застосування засобів захисту. Основним недоліком даного підходу є неможливість отримання конкретних значень в деяких випадках. Наприклад, якщо в результаті реалізації загрози наноситься шкоди іміджу організації, незрозуміло, як кількісно оцінити подібний збиток.
Розглянемо кількісний підхід більш докладно на прикладі методу оцінки ризиків, пропонованого компанією Microsoft.Прі кількісній оцінці ризиків необхідно визначити характеристики і фактори, зазначені нижче.
Вартість активів. Для кожного активу організації, що підлягає захисту, обчислюється його грошова вартість. Активами вважається все, що представляє цінність для організації, включаючи як матеріальні активи (наприклад, фізичну інфраструктуру), так і нематеріальні (наприклад, репутацію організації та цифрову інформацію). Часто саме вартість активу використовується для того, щоб визначити заходи безпеки для конкретного активу. Для призначення вартості конкретного активу необхідно визначити наступне:
- загальна вартість активу для організації. Наприклад, веб-сервер, що обробляє замовлення покупців в Інтернет-магазині. Нехай він при роботі цілий рік і цілодобово приносить в середньому 2000 рублів за годину, тоді в рік - 17 520 000 рублей.
- збиток в разі втрати активу (зокрема, виходу з ладу). Припустимо, що розглядається вище веб-сервер вийшов з ладу на 7 годин. При розрахунку робиться припущення, що кожну годину він приносить однаковий прибуток, тоді за 7 годин простою (наприклад, в разі успішної DoS-атаки) збиток складе 7000 рублів.
- непрямий збиток в разі втрати активу. В описаному вище випадку компанія, яка володіє Інтернет-магазином, може зазнати збитків в результаті негативного ставлення покупців до виходу з ладу веб-сервера. Природно, розрахунок непрямих збитків є найбільш важким завданням і майже ніколи не буває точним. Припустимо, щоб відновити репутацію, компанія повинна витратити 100 000 на рекламу Інтернет-магазину і очікує, що річний обсяг продажів впаде на 0.5 відсотків, тобто на 87 600 рублів. Склавши дві отримані величини, отримаємо непрямі збитки у вигляді 187 600 рублів.
Очікуваний разовий збиток - збиток, отриманий в результаті разової реалізації однієї загрози. Іншими словами, це грошова величина, зіставлена одиночному події і характеризує потенційний збиток, який понесе компанія, якщо конкретна загроза зможе використовувати уразливість. Обчислюється множенням вартості активу на величину фактора схильності впливу. Останній висловлює у відсотках величину збитку від реалізації погрози конкретному активу. Здається складним, але на прикладі все більш зрозуміло. Припустимо, вартість активу 35 000 рублів і в результаті пожежі збиток складе 25% від його вартості, відповідно, очікуваний разовий збиток дорівнюватиме 8750рублей.
Щорічна частота виникнення (по-простому ймовірність) - очікуване число прояви загрози протягом року. Зрозуміло, що величина може змінюватися від 0 до 100 відсотків і не може бути визначена точно. В ідеальному випадку визначається на основі статистики.
Загальний річний збиток - величина, що характеризує загальні потенційні втрати організації протягом одного року. Цей твір щорічної величини виникнення на очікуваний разовий збиток від реалізації загрози. Наприклад, ймовірність пожежі статистично дорівнює 0,1, тоді збиток буде 0.1 * 8750 рублів = 875 рублів. Після розрахунку цього показника організація може вжити заходів щодо зменшення ризику, тобто якщо мова йде про безпеку, використовувати засоби захисту інформації. Зокрема від пожежі можна застосувати резервне копіювання інформації і тоді втрати в разі згоряння комп'ютера будуть обчислюватися тільки вартістю обладнання.
Результатом проведення кількісного аналізу є:
- перелік активів (ресурсів) організації, які підлягають захисту;
- перелік існуючих загроз;
- ймовірність успішної реалізації загроз;
- потенційний збиток для організації від реалізації загроз в річний період.
Зрозуміло, що розглянуті вище показники розраховуються переважно на основі суб'єктивних думок експертів в області безпеки, керівництва організації або інших осіб, які виконують оцінку, отже, незважаючи на гадану точність даного підходу він не менш "розпливчастий", ніж якісний аналіз ризиків.
Якісна оцінка ризиків оперує не чисельними значеннями, а якісними характеристиками загроз. Як правило, аналіз ризиків виконується шляхом заповнення опитувальних листів і проведення спільних обговорень за участю представників різних груп організації, таких як експерти з інформаційної безпеки, менеджери і співробітники ІТ-підрозділів, власники і користувачі бізнес-активів.
У загальному випадку ризик від реалізації загрози визначається на підставі наступних якісних оцінок:
ймовірності реалізації загрози;
величини збитку в разі реалізації загрози.
Кожній загрозу присвоюється ранг, що відображає ймовірність її виникнення. Можна використовувати трибальну шкалу (низька = 1, середня = 2, висока = 3 вірогідність). Основними факторами при оцінці ймовірності є:
- розташування джерела загрози;
- мотивація джерела загрози (якщо загроза не випадкова);
- припущення про кваліфікацію та (або) ресурсах джерела загрози;
- статистичні дані про частоту реалізації загрози її джерелом в минулому;
- інформація про способи реалізації загроз ІБ;
- інформація про складність виявлення реалізації загрози розглядаються джерелом;
- наявність контрзаходів.
Якщо для оцінки загрози залучаються кілька експертів і їх оцінки різняться, рекомендується в якості підсумкової брати найбільшу оцінку ймовірності реалізації загрози.
Так як при оцінці потенційної шкоди необхідно враховувати не тільки матеріальні чинники, але і такі, як втрата репутації, втрата конкурентоспроможності, крадіжка виробничих ідей та ін. Природно, оцінити збиток точно в тому чи іншому випадку дуже складно, ось чому найчастіше потенційний збиток ранжируется за аналогією з ймовірністю виникнення, наприклад, за трибальною шкалою. До основних факторів для оцінки потенційної шкоди відносяться:
- ступінь впливу на безперервність роботи;
- ступінь впливу на ділову репутацію;
- обсяг фінансових і матеріальних втрат;
- обсяг фінансових, людських і часових витрат на відновлення системи після атаки.
Для оцінки ризику можна застосувати банальне множення ймовірності загрози на потенційну шкоду. Якщо в обох випадках використовувалася трибальна шкала, то вийде в підсумку шість значень: 1,2, 3,4,6,9. Перші два результату можна віднести до низького ризику, другі два - до середнього, третій і четвертий - до високого. Таким чином, отримаємо знову трибальну шкалу, по якій можна оцінити небезпеку тієї чи іншої загрози.
Сукупний ризик обчислюється за простою формулою:
- порядковий номер загрози;
- ймовірність реалізації i-й загрози;
- потенційний збиток від i-й загрози.
При цьому можна знехтувати погрозами, ймовірність яких дуже мала. Наприклад, землетрус. Незважаючи на те, що збиток від нього може бути дуже великий, ймовірність виникнення у розглянутий інтервал часу прагне до нуля.
Підхід по суті дуже схожий на кількісний, за винятком того, що активам присвоюється відносна вартість і учасникам оцінки не доводиться витрачати багато часу на розрахунок конкретних показників. Отже, перевагою методу є швидкість розрахунку і, відповідно, прийняття контрзаходів і зниження ризику. Недоліком є неоднозначність отриманих результатів і складність розрахунку ефективності і розумності застосування тих чи інших заходів захисту.
Кожен з розглянутих підходів має свої достоїнства і недоліки. Порівняння двох підходів представлено в таблиці 7.1.
Таблиця 7.1. Кількісний Якісний Переваги
- Пріоритети ризиків визначаються на основі фінансового впливу; пріоритети активів визначаються на основі фінансових вартостей.
- Результати спрощують управління ризиками, забезпечуючи повернення інвестицій в безпеку.
- Результати можуть бути сформульовані з використанням управлінської термінології (наприклад, за допомогою фінансових показників і ймовірності, вираженої в відсотках).
- Точність результатів збільшується в міру накопичення організацією статистичних даних в процесі роботи.
- Забезпечує наочність і спрощує розуміння процесу ранжирування ризиків.
- Простіше знайти задовольняє всіх рішення.
- Не потрібно кількісна оцінка частоти виникнення загроз.
- Не потрібно визначати фінансові вартості активів.
- Спрощується залучення до процесу співробітників, які не мають підготовки в області безпеки або комп'ютерів.
недоліки
- Зіставлені ризиків величини впливу ґрунтуються на суб'єктивній думці учасників.
- Пошук рішення, що задовольняє всіх учасників, і отримання достовірних результатів займають дуже багато часу.
- Розрахунки є дуже складними і вимагають значних витрат часу.
- Результати представляються тільки в грошовому вираженні, а їх інтерпретація може викликати труднощі у співробітників, які не мають технічної підготовки.
- Процес вимагає глибоких знань, що ускладнює підготовку учасників.
- Недостатнє відмінність між істотними ризиками.
- Труднощі з визначенням розміру інвестицій в реалізацію контролю внаслідок відсутності даних для аналізу вигод і витрат.
- Результати залежать від кваліфікації створеної групи управління ризиками.
Проаналізувавши таблицю можна зробити висновок про те, що для маленьких організацій доцільніше використовувати якісний підхід, для великих - кількісний. Оцінка ризику проводиться для якогось заданого проміжку часу, що обумовлено динамічністю сучасних інформаційних систем. Даний період повинен бути досить великий для обліку найбільш поширених загроз і в той же час не перевищувати величину, по закінченню якої система так змінюється, що оцінка втрачає будь-який сенс. Зазвичай інтервал становить 1-5 років.