Особенности алгоритмов систем анализа информационных рисков
к.т.н. Илья Медведовский
Источник:http://www.ixbt.com/cm/total-it-risks092004.shtml
Основные термины и определения:
Угроза безопасности — это возможное происшествие, которое может оказать воздействие на информацию в системе.
Уязвимость — это неудачная характеристика системы, которая делает возможным возникновение угрозы.
Атака — это действие по использованию уязвимости; атака — это реализация угрозы.
Угроза конфиденциальности — угроза раскрытия информации.
Угроза целостности — угроза изменения информации.
Угроза доступности — угроза нарушения работоспособности системы при доступе к информации.
Ущерб — это стоимость потерь, которые понесет компания в случае реализации угроз конфиденциальности, целостности, доступности по каждому виду ценной информации. Ущерб зависит только от стоимости информации, которая обрабатывается в автоматизированной системе. Ущерб является характеристикой информационной системы и не зависит от ее защищенности.
Риск — это вероятный ущерб, который зависит от защищенности системы. По определению риск всегда измеряется в деньгах.
Оценка ущерба от угроз безопасности Одной из классических проблем алгоритмов анализа информационных рисков является выбор методики анализа и определения угроз безопасности информации. Часть существующих алгоритмов, в частности американский RiskWatch, использует следующий подход: пользователь указывает полный список угроз безопасности, характерных для данной системы, а также оценку ущерба по каждому виду угроз. Данный подход является алгоритмически тупиковым путем, так как конечный элемент защиты — это информация, и ущерб определяется именно по информации. Определение ущерба по конкретным, специфичным для данной системы угрозам приводит к тому, что данный ущерб в итоге оценивается выше, чем реальный ущерб по видам информации, что неверно.
Дело в том, что на один и тот же вид информации может быть реально направлено сразу несколько угроз, что и приведет к тому, что суммарный ущерб, подсчитанный по угрозам, будет неадекватен реальному, подсчитанному по информации. С учетом того, что как конечным элементом защиты, так и конечным элементом оценки ущерба является информация, алгоритм анализа рисков должен отталкиваться не от частных угроз и ущербов по ним, а от информации и от ущерба по информации. Для решения этого алгоритмического противоречия в алгоритме ГРИФ применяется новый метод классического непересекающегося поля угроз информации: угроз конфиденциальности, целостности и доступности. Данный алгоритм требует от пользователя внести размер ущерба по всем трем видам угроз по каждому виду ценной информации. Этот метод позволяет, во-первых, абстрагироваться на этапе моделирования системы от конкретных угроз безопасности (дело в том, что каждая конкретная угроза распадается на эти три классических непересекающихся вида угроз), во-вторых, избежать избыточного суммирования по ущербу, так как это поле непересекающихся угроз. И, в-третьих, метод даёт возможность разбить процесс анализа защищенности информационной системы на множество элементарных ситуаций, когда алгоритм анализирует возможность реализации данных классических угроз безопасности по каждому виду информации на каждом ресурсе и не привязывается на этапе анализа к конкретным реализациям угроз.
