АНАЛИЗ  МЕТОДОВ  ОЦЕНКИ  ВЕРОЯТНОСТИ  РИСКА  В  СФЕРЕ  ИНФОРМАЦИОННОЙ  БЕЗОПАСНОСТИ

Любичев  Андрей  Максивович

студент,  кафедра  «Информационная  безопасность»,  НИУ  «МИЭТ»,  РФ,  г.  Москва,  г.  Зеленоград

E -mail: 

Малёжин  Олег  Борисович

научный  руководитель,  канд.  техн.  наук,  доцент,  кафедра  «Информационная  безопасность»,  НИУ  «МИЭТ»,  РФ,  г.  Москва,  г.  Зеленоград

В  современном  мире  в  сфере  информационной  безопасности  очень  велико  многообразие  определений  слова  «риск».  Но  практически  во  всех  дефинициях  слова  «риск»  ключевыми  являются  слова  «вероятность»  и  «последствия»  (или  «ущерб»).  Например,  ГОСТ  Р  51901.1-2002  «Менеджмент  риска.  Анализ  риска  технологических  систем»  даёт  определение  риска  как  «сочетание  вероятности  события  и  его  последствий»  [2].  Ещё  один  пример  —  в  стандарте  ГОСТ  Р  ИСО/МЭК  13335-1-2006  «Информационная  технология.  Методы  и  средства  обеспечения  безопасности.  Часть  1.  Концепция  и  модели  менеджмента  безопасности  информационных  и  телекоммуникационных  технологий»  приводится  вот  такая  дефиниция  —  «риск  (risk):  потенциальная  опасность  нанесения  ущерба  организации  в  результате  реализации  некоторой  угрозы  с  использованием  уязвимостей  актива  или  группы  активов»  [3].  Таким  образом,  хоть  все  трактовки  и  отличаются  между  собой,  но,  при  этом,  имеют  практически  одинаковый  смысл.  Если  попробовать  обобщить  и  объединить  все  существующие  определения,  то  получается,  что  «риск  —  это  сочетание  вероятности  осуществления  определённого  события  и  негативных  последствий  (то  есть  нанесение  потенциального  или  реального  ущерба  активу  или  группе  активов),  связанных  с  этим  событием».

Если  разложить  риск  на  компоненты,  то  основными  его  составляющими  будут  являться  тяжесть  возможного  ущерба  (последствия)  и  вероятность  нанесения  ущерба  (которая  состоит  из  частоты  и  продолжительности  воздействия  угрозы,  вероятности  возникновения  угрозы  и  возможности  избегания  угрозы  или  ограничения  ущерба  от  неё).  Стоит  отметить,  что  эффективность  управления  рисками  напрямую  зависит  от  того,  насколько  правильно  и  корректно  будут  оценены  эти  элементы.

Необходимо  правильно  оценивать  вероятность  того  или  иного  риска,  чтобы  грамотно  и  эффективно  управлять  рисками.  Существует  несколько  подходов  измерения  вероятности  риска.  Первый  из  них  —  это  собственная  статистика  того,  кто  оценивает  вероятность  риска.  Это  один  из  самых  эффективных  методов,  где  главным  условием  является  постоянность  (неизменность)  среды  оценки.  Статистическая  (историческая)  оценка  позволяет  прогнозировать  будущее  на  основании  информации,  полученной  за  прошлые  (прошедшие)  периоды  времени.  Для  успешной  реализации  данного  метода  требуется  мониторинг  и  сбор  данных  на  протяжении  определённого  периода  времени  (срок  каждый  раз  варьируется  в  зависимости  от  конкретной  ситуации).  Стоит  отметить,  что  при  отсутствии  адекватных  инструментальных  средств  данный  процесс  является  довольно  ресурсоёмким  —  необходим  сбор,  нормализация,  хранение  и  анализ  данных.

Ко  второму  способу  измерения  вероятности  риска  можно  отнести  анализ  отчётов  и  использование  статистики  сторонних  организаций  (которые  специализируются  в  данной  сфере).  Например,  при  таком  подходе  можно  анализировать  и  извлекать  полезную  информацию  из  отчётов  таких  организаций  как  Computer  Security  Institute  (CSI),  Federal  Bureau  of  Investigation  (FBI),  KPMG,  PricewaterhouseCoopers  (PwC),  Ernst  &  Young  (EY),  МВД,  Perimetrix,  Infowatch  и  других.  Но  при  использовании  данного  метода  стоит  отметить,  что  не  всегда  можно  полагаться  на  такую  статистику.  Во  многих  случаях  специалисты,  использующие  такой  подход  для  измерения  вероятности  риска,  не  знают  всех  условий,  при  которых  была  реализована  та  или  иная  угроза  информационной  безопасности,  представленная  в  отчёте,  или  то  каким  образом  произошёл  определённый  инцидент,  приведённый  в  статистике.  Также  обычно  неизвестны  все  детали  и  методы  сбора,  нормализации,  анализа  и  обработки  данных,  которые  применяет  организация  в  своих  исследованиях.  Собираемая  статистика  во  многом  зависит  от  применяемых  способов  опроса,  аудитории,  желания  респондентов  сообщать  точные  данные,  а  также  от  масштаба  опроса.  Не  стоит  забывать,  что  следует  делать  поправку  на  тип  организации  для  которой  применяется  данная  статистика  —  это  тоже  немаловажный  аспект  при  измерении  вероятности  риска.

К  третьему  способу  относят  самостоятельный  подсчёт  вероятности  риска.  Схематично  данный  метод  представлен  ниже  (рис.  1).

Рисунок  1.  Самостоятельный  подсчёт  вероятности  риска

Здесь  следует  отметить,  что  для  подсчёта  вероятности  риска  следует  произвести  оценку  вероятности  эксплуатации  той  или  иной  уязвимости  (вероятность  определяется  силой  защитной  меры,  направленной  на  защиту  того  или  иного  актива,  и  возможностями,  которыми  обладает  нарушитель),  а  также  подсчёт  вероятности  реализации  какой-либо  угрозы  (которая  зависит  от  наличия  или  отсутствия  доступа  у  атакующего,  а  также  от  действий,  которые  нарушитель  предпринимает). 

К  четвёртому  способу  относят  сравнение  (сопоставление)  риска  с  другими  аналогичными  рисками.  При  сравнении  рисков  следует  учитывать  несколько  факторов.  Такой  метод  возможен  только  на  аналогичных  решениях  по  информационной  безопасности  и  когда:

·     установлены  аналогичные  средства  безопасности;

·     назначение  систем  и  технологии  у  двух  сторон  сравнимы;

·     угрозы  и  компоненты  риска  могут  быть  сопоставимы;

·     технические  условия  сравнимы;

·     условия  использования  сравнимы.

Также  при  таком  подходе  необходимо  иметь  в  виду  вспомогательные  условия  (например,  потенциал  нарушителя  и  вид  защищаемой  информации)  [4].

Пятый  способ  представляет  собой  прогнозирование,  которое  можно  осуществлять  с  помощью  аналитических  методов,  таких  как:

·     «Дерево  неисправностей»  (Fault  Tree  Analysis)  —  диаграмма  всех  возможных  последствий  инцидента  в  системе;

·     «Дерево  событий»  (Event  Tree  Analysis)  —  диаграмма  всех  возможных  последствий  данного  события;

·     имитационное  моделирование  отказов  или  инцидентов.

Данный  подход  в  сфере  информационной  безопасности  не  используется  или  практически  не  используется  (применяется  только  в  критических  областях).

Шестой  способ  —  подсчёт  бинарной  вероятности  риска.  В  данном  случае  вероятность  считается  равной  1  в  том  случае,  если  угроза  реализуема,  и  0  —  если  нет  (при  отсутствии  средств  защиты).  Данный  подход  можно  рассматривать  при  оценке  вероятности  только  для  узкого  круга  систем  (так  как  он  весьма  ресурсоёмкий)  или  для  очень  распространённых  угроз.  Этот  метод  используется  в  методиках  ФСТЭК  и  ФСБ.

Для  определения  риска  информационной  безопасности  различные  методы  могут  использовать  количественные  или  качественные  шкалы.  В  первом  варианте  все  компоненты  риска  и  сам  риск  измеряются  в  числовых  значениях.  При  применении  количественных  шкал  вероятность  атаки  может  измеряться  числом  в  интервале,  ущерб  —  в  виде  денежного  эквивалента  материальных  потерь,  которые  возникают  у  организации,  если  атака  успешно  реализована.  При  использовании  качественных  шкал  числовые  значения  меняются  на  эквивалентные  им  понятийные  уровни.  В  этом  случае  каждому  понятийному  уровню  будет  соответствовать  определённый  интервал  количественной  шкалы  оценки.  Число  уровней  может  быть  различным  в  зависимости  от  используемых  методик  оценки  вероятности  риска  [1]. 

При  этом  стоит  отметить,  что  количественная  оценка  не  всегда  применима  из-за:

·     ехватки  данных  о  системе;

·     ехватки  данных  о  деятельности,  которая  подвергается  оценке;

·     тсутствия  или  недостатка  информации  об  инциденте  (инцидентах);

·     ависимости  от  человеческого  фактора;

·     ого,  что  зачастую  такие  измерения  риска  требуют  значительных  затрат  ресурсов.

Также  стоит  уточнить,  что  для  качественной  оценки  необходимо:

·     чёткое  объяснение  всех  терминов,  которые  используются  (должна  быть  определена  дефиниционная  база);

·     обоснование  всех  классификаций  частот  и  последствий;

·     понимание  всех  преимуществ  и  недостатков  качественной  (или  экспертной)  оценки  и  психологии  восприятия  риска.

Последний  рассматриваемый  (и  наиболее  распространённый)  способ  измерения  вероятности  риска  в  данной  статье  —  это  экспертная  оценка.  Частично  она  была  описана  выше.  Стоит  отметить,  что  при  отсутствии  статистических  (исторических)  данных  экспертная  оценка  является  единственным  методом  определения  частоты  (вероятности)  реализации  угрозы  (или  угроз).  При  данном  подходе  эксперты  ранжируют  вероятность  возникновения  того  или  иного  события,  опираясь  на  свой  опыт  и  знание  анализируемой  системы.  К  достоинствам  такого  метода  стоит  отнести  простоту  его  реализации,  а  к  недостаткам  (ограничениям)  —  возможность  воздействия  заинтересованных  лиц  на  экспертное  мнение,  невозможность  применения  общих  моделей  для  оценки  всех  рисков  (всегда  существуют  случайные  события,  которые  невозможно  предугадать  с  помощью  экспертной  оценки),  необходимость  наличия  достаточного  количества  экспертов,  а  также  соответствующей  квалификации  каждого  эксперта,  психология  восприятия  риска  [5]. 

Все  способы  и  методы,  рассмотренные  в  этой  статье,  применимы  для  различных  частных  случаев  подсчёта  вероятности  риска.  Специалист,  занимающийся  построением  системы  управления  рисками  информационной  безопасности,  должен  чётко  осознавать,  когда  следует  использовать  тот  или  иной  способ.  При  этом  стоит  отметить,  что  построение  системы  управления  рисками  информационной  безопасностью  —  это  более  сложная  задача,  чем  выбор  способа  подсчёта  вероятности  риска  и  требует  хорошей  теоретической  подготовки,  а  также  опыта  проектирования  и  внедрения  таких  систем. 

Список  литературы :

1.Аудит  информационной  безопасности  —  основа  эффективной  защиты  предприятия  [Электронный  ресурс].  —  Режим  доступа.  —  URL:  http://www.dialognauka.ru/press-center/article/4753/

2.ГОСТ  Р  51901.1-2002  Менеджмент  риска.  Анализ  риска  технологических  систем  [Электронный  ресурс].  —  Режим  доступа.  —  URL:  http://vsegost.com/Catalog/62/6283.shtml

3.ГОСТ  Р  ИСО/МЭК  13335-1-2006  Информационная  технология.  Методы  и  средства  обеспечения  безопасности.  Часть  1.  Концепция  и  модели  менеджмента  безопасности  информационных  и  телекоммуникационных  технологий  [Электронный  ресурс].  —  Режим  доступа.  —  URL:  http://vsegost.com/Catalog/27/271.shtml

4.ГОСТ  Р  51901.13-2005  (МЭК  61025:1990)  Менеджмент  риска.  Анализ  дерева  неисправностей  [Электронный  ресурс].  —  Режим  доступа.  —  URL:  http://docs.pravo.ru/document/view/20841595/19930857/

5.Как  считать  риски?  Личный  блог  Лукацкого  А.В.  [Электронный  ресурс].  —  Режим  доступа.  —  URL:  http://lukatsky.blogspot.ru/2012/04/blog-post_18.html