Оценка рисков информационной безопасности корпоративной информационной системы

Автор: В.М. Нечунаев

Актуальность и необходимость применения процедур оценки и управления рисками информационной безопасности неуклонно возрастает в связи с повышением роли информационных технологий в процессах функционирования организаций как хозяйствующих субъектов.

Корпоративная информационная система (КИС) пределяется как система, состоящая из персонала, информации и комплекса средств автоматизации, реализующая информационную технологию установленных функций. Исходя из определения, в КИС можно выделить три основных компонента:

КИС является частным случаем социотехнической системы (СЦС). В связи с природой СЦС ее функционирование характеризуется некоторым уровнем неопределенности. Поэтому вопросы оценки уровня безопасности и оценки рисков отличаются для технических и социотехнических систем.

Существующий подход к оценке рисков формулируется следующим образом: риск есть функция от трех входных переменных (вероятности угрозы, уязвимости, ущерба). Рассмотрим данный подход применительно к КИС как СЦС.

Анализ источников угроз, воздействующих на типовую КИС, позволяет выделить четыре типа источников угроз:

Природный тип источника угрозы можно рассматривать в рамках математической вероятностной модели. Для данного типа источника угроз имеется достаточная статистическая база, которая ведется на государственном уровне.

Техногенный тип источника угрозы также можно рассматривать в рамках математической вероятностной модели (поток отказов как инциденты информационной безопасности). Однако не для всех видов технических средств возможно формирование моделей надежности. К примеру, для программных средств сложно формировать модели, определяющие надежность функционирования.

Человеческий преднамеренный тип источника угрозы нельзя рассматривать в рамках вероятностной модели. У данного типа угроз обязательно имеется мотивация для деструктивных действий, и поэтому такие действия нельзя рассматривать как случайные. Для оценки данного вида угроз используются игровые модели. Другим вариантом оценки угрозы является использование экспертных оценок на основе косвенных факторов, отражающих потенциальную заинтересованность данного типа источника угрозы в нанесении ущерба активам.

Человеческий непреднамеренный тип источника угрозы, с одной стороны, носит случайный характер, с другой стороны, действия данного типа источника угрозы характеризуются высоким уровнем неопределенности. Оценка угрозы производится с использованием методов анализа надежности человеческого фактора.

Таким образом, в ходе анализа источников угроз установлено, что не все угрозы КИС носят вероятностный характер. Поэтому понятие риска как функции от вероятности угрозы требует переосмысления.

Рассмотрим понятия уровень угрозы, уровень уязвимости, уровень ущерба, уровень риска.

  1. Уровень угрозы – мера актуальности угрозы.
  2. Уровень уязвимости – мера простоты использования уязвимости.
  3. Уровень ущерба – мера значимости актива для организации.
  4. Уровень риска – есть функция   f   (уровень угрозы, уровень уязвимости, уровень ущерба).

Уровень угрозы определяет меру активности источника угрозы по отношению к КИС/элементам КИС. В связи с различной природой источников угроз информация об их активности может быть представлена количественными либо качественными значениями.

Уровень уязвимости отражает простоту использования уязвимости (необходимые ресурсы источника угрозы) и слабости в защитных мерах. Данный параметр задается по качественной шкале. Использование количественных шкал не представляется возможным ввиду отсутствия или сложности составления математических моделей уязвимостей.

Уровень ущерба определяет возможные последствия для организации/миссии организации в случае наступления инцидента ИБ и является многокритериальной величиной (ущерб репутации, финансовый ущерб, невозможность выполнения миссии организации и т.п.). Интегрированный показатель уровня ущерба определяется по качественной шкале как максимальное значение из критериев, полученное в результате сравнения данных критериев методом анализа иерархий.

Алгоритм оценки риска основывается на методах нечеткой логики и теории нечетких множеств, что позволяет учесть неопределенности, присущие КИС. Общие положения алгоритма оценки рисков:

  1. определяются наборы лингвистических термов, характеризующих значения входных параметров (уровень угрозы УУ1, уровень уязвимости УУ2, уровень ущерба УУ3) и выходного параметра (уровень риска УР);
  2. задается набор входных параметров YY1i (i = 1…M), определяющих уровни угроз. Входные параметры имеют количественные значения [0…1] или качественные значения, выраженные в термах лингвистических переменных;
  3. задается набор входных параметров YY2i (i = 1…N), определяющих уровни уязвимостей. Входные параметры имеют качественные значения, выраженные в термах лингвистических переменных;
  4. задается набор входных параметров YY3i (i = 1…K), определяющих уровни ущерба. Входные параметры имеют количественные значения [0…1] или качественные значения, выраженные в термах лингвистических переменных;
  5. находится выходной параметр УР, определяющий уровень риска;
  6. формируется набор продукционных правил вида ЕСЛИ, …, ТО, отражающих взаимосвязи входных параметров с выходным;
  7. производится фазификация входных параметров – нахождение значений функций принадлежности, соответствующих полученным значениям оценок входных переменных;
  8. производится агрегирование – определение степени истинности условий по каждому из продукционных правил;
  9. производится аккумулирование заключений – нахождение функции принадлежности выходного параметра с учетом агрегирования;
  10. производится дефазификация выходного параметра.

Таким образом, представленный подход к оценке рисков информационной безопасности позволяет:

Литература

  1. ГОСТ Р 51901.5–2005. Менеджмент риска. Руководство по применению методов анализа надежности. – М.: Стандартинформ, 2005. – 71 с.
  2. Зырянова Т.Ю. Модель системы управления информационной безопасностью в условиях неопределенности воздействия дестабилизирующих факторов: автореф. дис. – канд. техн. наук. – Томск, 2008. – 25 с.
  3. Шумский А.А., Системный анализ в защите информации / А.А. Шумский, А.А. Шелупанов. – М.: Гелиос АРВ, 2005. – 224 с.