Табличные методы оценки рисков

В настоящее время известно множество табличных методов оценки информационных рисков компании. Важно, чтобы компания выбрала для себя подходящий метод, который обеспечивал бы корректные и достоверные воспроизводимые результаты. Рассмотрим несколько примеров подобных методов, рекомендованных стандартами в области информационной безопасности [209, 291], и методические рекомендации к ним [189, 200, 210, 284, 285]. Важно, что в этих методах количественные показатели имеющихся или предлагаемых физических ресурсов компании оцениваются с точки зрения стоимости их замены или восстановления работоспособности ресурса. А существующие или предполагаемые программные ресурсы оцениваются так же, как и физические, то есть путем определения затрат на их приобретение или восстановление. Если обнаружится, что к какому-либо прикладному программному обеспечению предъявляются особые требования к конфиденциальности или целостности, например исходный текст ПО обладает высокой коммерческой ценностью, то оценка этого ресурса производится в стоимостном выражении по той же схеме, что и для информационных ресурсов.

Количественные показатели информационных ресурсов рекомендуется оценивать по результатам опросов сотрудников компании - владельцев информации, то есть должностных лиц компании, которые в состоянии определить ценность информации, ее характеристики и степень критичности исходя из фактического положения дел. На основе результатов опроса оцениваются показатели и степень критичности информационных ресурсов в случае несанкционированного ознакомления с конфиденциальной информацией, нарушения ее целостности или доступности.

Пример оценки рисков по двум факторам

В таблице можно наглядно отразить связь факторов негативного воздействия (показателей ресурсов) и вероятностей реализации угрозы с учетом показателей уязвимостей.

На первом шаге оценивается негативное воздействие по заранее определенной шкале, например от 1 до 5, для каждого ресурса, которому угрожает опасность (колонка В в табл. 3.4).

На втором шаге по заданной шкале, например от 1 до 5, оценивается вероятность реализации каждой угрозы.

На третьем шаге вычисляется показатель риска. В простейшем варианте методики это делается путем умножения (В × С). Необходимо помнить, что операция умножения определена для количественных шкал. Для ранговых (качественных) шкал измерения показатель риска, соответствующий ситуации В = 1, С = 3, совсем не обязательно эквивалентен случаю В = 3, С = 1. Соответственно, должна быть разработана методика оценивания показателей рисков применительно к конкретной организации.

На четвертом шаге угрозы ранжируются по значениям их фактора риска.

В рассматриваемом примере для наименьшего негативного воздействия и для наименьшей возможности реализации угрозы выбран показатель 1.

Таблица 3.4. Ранжирование рисков

Дескриптор угрозы Показатель Возможность негативного воздействия (ресурса) Показатель риска реализации угрозы (субъективная оценка) Ранг риска
Угроза А
Угроза В
Угроза С
Угроза D
Угроза Е
Угроза F

Данная процедура позволяет сравнивать и ранжировать угрозы с различными негативными воздействиями и вероятностями реализации. В случае необходимости дополнительно могут приниматься во внимание стоимостные показатели.

Разделение рисков на приемлемые и неприемлемые

Другой способ оценивания рисков состоит в разделении их только на приемлемые и неприемлемые риски. Подход основывается на том, что количественные показатели рисков служат лишь для того, чтобы их упорядочить и определить, какие действия необходимы в первую очередь. Но этого можно достичь и с меньшими затратами.

Матрица, используемая в данном подходе, содержит не числа, а только символы Д (риск допустим) и Н (риск недопустим). Например, матрица может иметь вид табл. 3.5.

Таблица 3.5. Разделение рисков на приемлемые и неприемлемые

Показатель ценности ресурса Показатель возможности реализации угрозы
Д Д Д Д Н
Д Д Д Н Н
Д Д Н Н Н
Д Н Н Н Н
Н Н Н Н Н
                     

Вопрос о том, как провести границу между приемлемыми и неприемлемыми рисками, остается на усмотрение аналитика, подготавливающего данную таблицу, и руководящих специалистов в области информационной безопасности.

Пример оценки рисков по трем факторам

По каждой группе ресурсов, связанной с данной угрозой, оценивается уровень угрозы (вероятность реализации) и уровень уязвимости (степень легкости, с которой реализованная угроза способна привести к негативному воздействию). Оценивание производится в качественных шкалах.

Сначала определим уровни угроз, уязвимостей, тяжести последствий и рисков. Уровни угроз:

– низкий (Н) - реализация данной угрозы маловероятна, за последние два года подобных случаев не зафиксировано;

– средний (С) - угроза может реализоваться в течение одного года с вероятностью около 0,3;

– высокий (В) - угроза, скорее всего, реализуется в течение года и, возможно, не один раз.

Уровни уязвимостей:

– низкий (Н) - защищенность системы очень высока, реализация угроз почти никогда не приводит к происшествию;

– средний (С) - защищенность системы средняя, реализация около 30% угроз приводит к происшествию;

– высокий (В) - защищенность системы низкая, реализация угрозы практически всегда приводит к происшествию.

Показатель негативного воздействия (тяжесть последствий)

Используем введенную в главе 2 классификацию последствий:

1) Negligible (менее $100).

2) Minor (менее $1000).

3) Moderate (менее $10 000).

4) Serious (существенное негативное влияние на бизнес).

5) Critical (катастрофическое воздействие, возможно прекращение функционирования системы).

Уровни рисков

Показатель риска измеряется по шкале от 0 до 8, уровни риска определяются следующим образом:

1 - риск пренебрежимо мал. Ситуации, при которых событие наступает, практически исключены, а последствия незначительны, потери менее 100 долларов;

2 - риск незначителен. Событие наступает редко, последствия (потери) находятся в допустимых пределах (не более 1000 долларов);

8 - риск очень высок. Событие, скорее всего, наступит, и последствия будут катастрофическими (возможно полное прекращение деятельности организации).

Примером таблицы, с помощью которой задается значение уровня риска в зависимости от уровней угроз и уязвимостей при фиксированной стоимости потерь (Moderate), является табл. 3.6.

Таблица 3.6. Определение уровня риска в зависимости от уровней угроз и уязвимостей

Уровень угрозы
низкий средний высокий
Уровни уязвимости Уровни уязвимости Уровни уязвимости
Н С В Н С В Н С В
                     

Далее строится таблица для различных уровней потерь. Пример такой таблицы (табл. 3.2) был представлен ранее.