Быть довольным в жизни - это приобретение большее, чем BugattiVeyron. Потому что, кто приобрел BugattiVeyron, все равно остался недоволен. © Александр Дьяков 1085 - | 856 - или читать все...
Обратная связь Пожаловаться на материал

Методы оценки опасности угроз


⇐ ПредыдущаяСтр 4 из 4

(См. Д.А.Скрипник. Общие вопросы технической защиты информации. http://www.intuit.ru/department/security/techproi/7/2.html )

 

Существуют две группы методов оценки опасности угроз: количественные и качественные. Количественные методы являются предпочтительными, т.к. они позволяют получить численное значение потенциального ущерба для каждой конкретной угрозы и для совокупности угроз, а также выгоды от применения средств защиты. К сожалению, не во всех случаях можно количественно оценить значение ожидаемого ущерба (например: моральный ущерб владельца информации). В этих случаях могут применяться методы качественной оценки опасности угроз.

Количественный подход рассмотрим на примере метода оценки рисков, предлагаемого компанией Microsoft. При количественной оценке рисков необходимо определить следующие характеристики и факторы:

1. Стоимость активов. Для каждого актива организации, подлежащего защите, вычисляется его денежная стоимость. Активами считается все, что представляет ценность для организации, включая как материальные активы (например, физическую инфраструктуру), так и нематериальные (например, репутацию организации и цифровую информацию). Часто именно стоимость актива используется для того, чтобы определить меры безопасности для конкретного актива. Для назначения стоимости конкретному активу необходимо определить следующее:

  • общая стоимость актива для организации. Например, веб-сервер, обрабатывающий заказы покупателей в Интернет-магазине. Пусть он при работе круглый год и круглосуточно приносит в среднем 500 рублей в час, тогда в год - 4 380 000 рублей.
  • ущерб в случае потери актива (в частности, выхода из строя). Допустим, рассматриваемый выше веб-сервер вышел из строя на 7 часов. При расчете делается допущение, что каждый час он приносит одинаковую прибыль, тогда за 7 часов простоя (например, в случае успешной DoS-атаки) убыток составит 3500 рублей.
  • косвенный ущерб в случае потери актива. В описанном выше случае компания, которая владеет Интернет-магазином, может потерпеть убытки в результате негативного отношения покупателей к выходу из строя веб-сервера. Естественно, расчет косвенных убытков является наиболее трудной задачей и почти никогда не бывает точным. Допустим, чтобы восстановить репутацию, компания должна потратить 50 000 на рекламу Интернет-магазина и ожидает, что годовой объем продаж упадет на 2%, то есть на 87 600 рублей. Сложив две полученные величины, получим косвенный ущерб в виде 137 600 рублей.

2. Ожидаемый разовый ущерб. Ущерб, полученный в результате разовой реализации одной угрозы. Другими словами, это денежная величина, сопоставленная одиночному событию и характеризующая потенциальный ущерб, который понесет компания, если конкретная угроза сможет использовать уязвимость. Рассчитывается умножением стоимости актива на величину ущерба от реализации угрозы этому активу, выраженной в процентах.  Допустим, стоимость актива (информации, хранящейся на жестком диске) составляет 500 000 рублей и в случае выхода из строя этого диска ущерб составит 25% от его стоимости. В этом случае ожидаемый разовый ущерб будет равен 125 000 рублей.

3. Ежегодная частота возникновения. Ожидаемое число проявления угрозы в течение года. Диапазон изменения данной величины:  от 0 до 100 процентов. К сожалению, она не может быть определена точно. В идеальном случае определяется на основе статистики.

4. Общий годовой ущерб. Величина, характеризующая общие потенциальные потери организации в течение одного года. Вычисляется как произведение ежегодной величины возникновения на ожидаемый разовый ущерб от реализации угрозы. Например, вероятность поломки жесткого диска статистически равна 0,1%, тогда ущерб будет 0.001*125000 рублей=125 рублей. После расчета этого показателя организация может принять меры по уменьшению риска, связанного с потерей информации - использовать средства защиты информации. В частности для рассмотренного примера можно применить резервное копирование информации и тогда потери в случае выхода из строя жесткого диска будут исчисляться только стоимостью оборудования.

Результатом проведения количественного анализа является:

1. перечень активов (ресурсов) организации, подлежащих защите;

2. перечень существующих угроз;

3. вероятность успешной реализации угроз;

4. потенциальный ущерб для организации от реализации угроз в годовой период.

Следует отметить, что не всегда удается получить точные значения показателей, приведенных в рассмотренном примере. В этом случае приходится прибегать к мнению экспертов и, как следствие, получение субъективной итоговой оценки. И таким образом, мы переходим от количественной оценки к качественной.

Качественный подход к оценке рисков оперирует не численными значениями, а качественными характеристиками угроз. Как правило, анализ рисков выполняется путем заполнения опросных листов и проведения совместных обсуждений с участием представителей различных групп организации, таких как эксперты по информационной безопасности, менеджеры и сотрудники ИТ-подразделений, владельцы и пользователи бизнес-активов. В общем случае риск от реализации угрозы определяется на основании следующих качественных оценок:

· вероятности реализации угрозы;

· величины ущерба в случае реализации угрозы.

Каждой угрозе присваивается ранг, отображающий вероятность ее возникновения. Можно использовать трехбалльную шкалу (низкая=1, средняя=2, высокая=3 вероятность) или другую. Основными факторами при оценке вероятности являются:

· расположение источника угрозы;

· мотивация источника угрозы (если угроза не случайная);

· предположения о квалификации и (или) ресурсах источника угрозы;

· статистические данные о частоте реализации угрозы ее источником в прошлом;

· информация о способах реализации угроз ИБ;

· информация о сложности обнаружения реализации угрозы рассматриваемым источником;

· наличие контрмер.

Если для оценки угрозы привлекаются несколько экспертов и их оценки различаются, рекомендуется в качестве итоговой брать наибольшую оценку вероятности реализации угрозы.

Так как при оценке потенциального ущерба необходимо учитывать не только материальные факторы, но и такие, как потеря репутации, потеря конкурентоспособности, кража производственных идей и пр. Естественно, оценить ущерб точно в том или ином случае очень сложно, вот почему чаще всего потенциальный ущерб ранжируется по аналогии с вероятностью возникновения, например, по трехбалльной шкале. К основным факторам для оценки потенциального ущерба относятся:

· степень влияния на непрерывность работы;

· степень влияния на деловую репутацию;

· объем финансовых и материальных потерь;

· объем финансовых, людских и временных затрат на восстановление системы после атаки.

Для оценки риска можно применить банальное умножение вероятности угрозы на потенциальный ущерб. Если в обоих случаях использовалась трехбалльная шкала, то получится в итоге шесть значений: 1,2, 3,4,6,9. Первые два результата можно отнести к низкому риску, вторые два – к среднему, два последних – к высокому. Таким образом, получим опять трехбалльную шкалу, по которой можно оценить опасность той или иной угрозы.

Совокупный риск вычисляется по простой формуле:

– порядковый номер угрозы;

– вероятность реализации i-й угрозы;

- потенциальный ущерб от i-й угрозы.

При этом можно пренебречь угрозами, вероятность которых очень мала. Например, землетрясение. Несмотря на то, что ущерб от него может быть очень велик, вероятность возникновения в рассматриваемый интервал времени стремится к нулю.

Подход по сути очень похож на количественный, за исключением того, что активам присваивается относительная стоимость и участникам оценки не приходится тратить много времени на расчет конкретных показателей. Следовательно, достоинством метода является быстрота расчета и, соответственно, принятия контрмер и снижения риска. Недостатком является неоднозначность получаемых результатов и сложность расчета эффективности и разумности применения тех или иных мер защиты.

Каждый из рассмотренных подходов имеет свои достоинства и недостатки. Сравнение двух подходов представлено в таблице:

Подход к оценке Количественный Качественный
Достоинства · Приоритеты рисков определяются на основе финансового влияния; приоритеты активов определяются на основе финансовых стоимостей; · Результаты упрощают управление рисками, обеспечивая возврат инвестиций в безопасность; · Результаты могут быть сформулированы с использованием управленческой терминологии (например, с помощью финансовых показателей и вероятности, выраженной в процентах); · Точность результатов увеличивается по мере накопления организацией статистических данных в процессе работы. · Обеспечивает наглядность и упрощает понимание процесса ранжирования рисков; · Проще найти удовлетворяющее всех решение; · Не требуется количественная оценка частоты возникновения угроз; · Не нужно определять финансовые стоимости активов; · Упрощается вовлечение в процесс сотрудников, не имеющих подготовки в области безопасности или компьютеров.
Недостатки · Сопоставленные рискам величины влияния основываются на субъективном мнении участников; · Поиск решения, удовлетворяющего всех участников, и получение достоверных результатов занимают очень много времени; · Расчеты являются очень сложными и требуют значительных затрат времени; · Результаты представляются только в денежном выражении, а их интерпретация может вызывать трудности у сотрудников, не имеющих технической подготовки; · Процесс требует глубоких знаний, что затрудняет подготовку участников. · Недостаточное различие между существенными рисками; · Трудности с определением размера инвестиций в реализацию контроля вследствие отсутствия данных для анализа выгод и затрат; · Результаты зависят от квалификации созданной группы управления рисками.

Проанализировав таблицу можно сделать вывод о том, что для маленьких организаций целесообразней использовать качественный подход, для больших – количественный. Оценка риска производится для какого-то заданного промежутка времени, что обусловлено динамичностью современных информационных систем. Рассматриваемый период должен быть достаточно велик для учета наиболее распространенных угроз и в то же время не превышать величину, по истечению которой система так меняется, что оценка теряет какой-либо смысл. Обычно интервал составляет 1-5 лет.

 

Дата добавления: 2022-01-22; просмотров: 29; Мы поможем в написании вашей работы!

Поделиться с друзьями:


⇐ Предыдущая1234


Мы поможем в написании ваших работ!
.
.
© 2014-2024 — Студопедия.Нет — Информационный студенческий ресурс. Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав (0.016)