XII Международная студенческая научная конференция Студенческий научный форум - 2020

Процесс анализа рисков информационной безопасности.Сущность любого подхода к управлению рисками заключается в анализе факторов риска и принятии адекватных решений по обработке рисков. Факторы риска - это те основные параметры, которыми оперируют при оценке рисков

Актив (Asset).

Ущерб (Loss).

Угроза (Threat).

Уязвимость (Vulnerability).

Механизм контроля (Control).

(ALE).

Возврат инвестиций (ROI)

Способы анализа и оценки этих параметров определяются используемой в организации методологией оценки рисков.

Процедура анализа рисков информационной безопасности в целом заключается в 3-х этапах:

Подготовка к проведению анализа рисков информационной безопасности.

Анализ сценариев возможных инцидентов информационной безопасности.

Определение степени риска информационной безопасности и подбор рекомендаций по управлению рисками информационной безопасности.

На первом этапе эксперт собирает сведения об информационной системе. Основные шаги первого этапа анализа информационных рисков представлены на рис.1.

На втором этапе специалист составляет сценарии вероятных конфликтов информационной безопасности, также анализирует их. Основные шаги второго этапа анализа рисков информационной безопасности представлены на рис.2.

Количественные методы анализа рисков информационной безопасности.

При использовании методов количественного анализа риска вычисляются числовые значения величин отдельных рисков и риска объекта в целом, выявляется возможный ущерб и дается стоимостная оценка от проявления риска. Результатом должна стать система мероприятий по снижению рисков и расчет их стоимостного эквивалента.

Количественный анализ возможно формализовать, с целью чего же применяется инструментарий теории вероятностей, математической статистики, теории исследования операций.

Рис.1. Подготовка к проведению анализа рисков информационной безопасности

Рис.2. Анализ сценариев возможных инцидентов информационной безопасности

Табличный метод анализа рисков.

Одним из наиболее распространенных количественных методов анализа рисков является табличный метод. Этот метод опирается на таблицу, определяющую схему связей между угрозами, уязвимостями и ресурсами. Количественные показатели информационных ресурсов, как правило, оцениваются с помощью опроса сотрудников компании - владельцев информации, которые могут определить ценность информации, её характеристики и степень критичности отталкиваясь от фактического положения дел. Согласно итогам выборочного опроса выполняется оценивание показателей и степени критичности информационных ресурсов для наихудшего варианта развития событий, рассматриваются потенциальные воздействия на деятельность компании при возможном несанкционированном ознакомлении с конфиденциальной информацией, нарушении её целостности и доступности. В случаях, когда количественные оценки по ряду причин затруднены, допускается использование качественных оценок. Количественные и качественные показатели оцениваются при помощи фиксированных балльных шкал. К примеру, для количественных характеристик возможна шкала от 1 до 10, для качественных характеристик возможна шкала «высокий - низкий». Довольно зачастую процедура получения количественных, а также качественных характеристик дополняются методиками оценки иных критичных характеристик, предусматривающих, к примеру, требования по соблюдению законодательства, коммерческие и общественные отношения и т.д.

Анализ иерархий.

Использование иного способа - анализа иерархий - объединяет изучение практически любых трудных концепций к последовательности попарных сопоставлений элементов данных концепций. Иерархические структуры, которые применяются в сфере информационной безопасности, имеют все шансы иметь отношение к разным классам иерархий, к примеру, физические иерархии (временные, пространственные, должностные и т.д.), специализированные иерархии (программные, аппаратно-технические, прав доступа и т.д.), исследовательские (структур данных, критериев, объектов и т.д.).

Модель обязана содержать в себе и разрешать измерять все без исключения важные количественные и качественные факторы. Однако метод работает лишь в том случае, когда практически все эти факторы измерены объективно и результаты задач принятия решений однозначны и отвечают мнению специалиста. По другому можно ожидать возникновения систематических и случайных погрешностей в оценках.

Метод анализа рисков информационной безопасности на основе экспертных оценок.

Этот метод предполагает собою совокупность логических и математико-статических методов и процедур по обрабатыванию итогов выборочного опроса группы специалистов в сфере информационной безопасности, при этом итоги выборочного опроса считаются основным источником информации. В основе метода находится концепция декомпозиции непростой и слабо поддающейся формализации задачи на последовательность наиболее простых подзадач, соответствующих конкретному числу элементарных экспертиз. Оценка характеристик входит в число более известных элементарных экспертиз. Как правило, под оценкой нечисловой информации подразумевается присвоение нечисловым характеристикам количественных или качественных значений по выбранной шкале измерений.

В общем случае оценка состоит в назначении вероятностей совершения событий, реализации угрозы, дат событий или весов. Установление весовых коэффициентов рисков применяется с целью их упорядочения также установления первоочередных действий по защите. Потом с целью установления уровня безопасности системы на основании ранее определённых характеристик применяется линейный способ взвешивания и подсчетов.

Метод анализа рисков информационной безопасности на основе оценки ожидаемых потерь и возврата от инвестиций. Данный метод был предложен Национальным Бюро Стандартов США в федеральном стандарте FIPS 65 “GuidelineforAutomaticDataProcessingRiskAnalysis”.

В соответствии с ним, оценка ожидаемого вероятного ущерба от единичной реализации определённой угрозы (SingleLossExposure, SLE) рассчитывается по формуле

SLE = AVXEF, (1)

где AV - стоимость ресурса (AssetValue); величина в фиксированном диапазоне, характеризующая ценность ресурса;

EF - мера уязвимости ресурса к угрозе; величина в фиксированном диапазоне, характеризующая степень уязвимости ресурса к данной угрозе.

Оценка годовых ожидаемых потерь (ALE, AnnualLossExpectancy) рассчитывается по формуле

ALE = SLEXARO, (2)

ARO – оценка вероятности реализации угрозы (AnnualRateofOccurrence); величина в фиксированном диапазоне, характеризующая насколько вероятна реализация данной угрозы в течение определённого периода времени.

Оценка возврата от инвестиций в информационную безопасность (ROSI, ReturnonSecurityInvestment) рассчитывается по формуле

ROSI = ALE - CCC, (3)

CCC - инвестиции в СЗИ, защищающие от данной угрозы. В случае, если величина ROSI является положительной (или, по крайней мере, неотрицательной), можно говорить о том, что инвестиции в СЗИ оправданы.

Недостатки количественных методов анализа рисков информационной безопасности. Количественные методы анализа рисков информационной безопасности обладают серьёзными недостатками.

Существуют составляющие риска, которые никак не учитываются в количественных методах анализа рисков:

♦ убыток в результате простоя бизнес-процесса;

♦ затраты на создание информации;

♦ приобретение активов;

♦ восстановительная стоимость;

♦ будущая стоимость;

♦ оплата сверхурочного труда работников;

♦ судебные издержки и некоторые другие составляющие.

Можно допустить существование математического метода, представляющего эти составляющие в виде некоторых численных показателей. Однако для этого необходимо проанализировать большое количество разнородных параметров состояния бизнеса в этом случае получить вряд ли возможно, поскольку за время, необходимое для его получения, обстановка внутри и вне бизнеса может значительно измениться. Исчерпывающее и актуальное количественное представление состояния бизнеса в данном случае приобрести маловероятно допустимо, так как за период, нужное с целью его получения, атмосфера изнутри также за пределами бизнеса способна существенно поменяться. В том числе и в случае подобного отображения оно способно демонстрировать собою большой объём информации, требующий большого количества времени с целью обработки и осознания.

Помимо этого, есть элементы риска никак не поддающиеся подсчету:

♦ репутация компании или организации;

♦ престиж и ценность торговой марки;

♦ нанесённый моральный ущерб;

♦ влияние риска на сотрудников;

♦влияние риска на акционеров или владельцев бизнеса;

♦ влияние риска на потребителей;

♦ влияние риска в поставщиков и партнёров;

♦ воздействие риска на агентства кредитных рейтингов и другие финансовые структуры.

В частности, если реализация угрозы скажется на моральное положение работников, последствия имеют все шансы проявиться в утрате производительности, ухаживании высококвалифицированных сотрудников и сдерживании притока новых сотрудников, производственным конфликтам.

Реализация угрозы может вызвать потерю доверия и отток потребителей, которые будут обеспокоены плохой репутацией бизнеса и неспособностью бизнеса защитить персональные данные потребителей.

Агентства кредитных рейтингов могут снизить показатели кредитоспособности пострадавшего от угрозы бизнеса, а поставщики товаров - сократить объёмы, то что в дальнейшем помешает пострадавшему бизнесу заинтересовать новейшие капиталовложения также возобновить собственное состояние на рынке.

Очевидно, недополучение прибыли от удара по престижу и снижения репутации может быть в определенных случаях значительно превзойти расходы в формирование системы информационной безопасности.

Анализ рисков информационной безопасности, основанный на аудите информационной безопасности. Количественный анализ рисков информационной безопасности способен быть соединен с аудитом на соответствие политики информационной безопасности рекомендациям, отражающим более эффективную практику управления информационной безопасностью. Данные советы рассказаны в специально созданных международных и национальных стандартах:

♦ISO/IECFDIS 17799:2005 и основанный на нём ГОСТ Р ИСО/МЭК 177992005;

♦ стандарты Банка России СТО БР ИББС-1.0-2008, СТО БР ИББС-1.1-2007 и СТО БР ИББС-1.2-2009;

♦ (PCIDSS);

♦ прочие национальные и правительственные стандарты.

Стандарты управления информационной безопасностью включают только рекомендации (либо условия) согласно использованию конкретных мер защиты, в большей степени технических. Стандарты предусмотрены в первую очередь в целом с целью формальной сертификации информационной системы и системы управления информационной безопасностью. Использование стандартов с целью анализа рисков информационной безопасности базируется в последующем дозволении: можно утверждать, то что риски информационной безопасности отсутствуют, в случае если информационная система сертифицирована на соответствие требованиям стандарта.

При этом требования стандартов никак не принимают во внимание целого ряда элементов информационного риска, упомянутых в предыдущем подразделе. Более того, формальное соответствие требованиям стандарта также удачное освоение сертификации совсем никак не обозначает присутствия действующей и эффективной системы управления информационной безопасностью.

Доказательством этому может быть утечка данных в платёжной системе HeartlandPaymentSystems, Inc., выявленная в январе 2009 г. также повлёкшая за собой компрометацию миллионов транзакций согласно банковским картам. В результате утечки преступникам стали известны номера банковских карт, даты завершения действия карт и имена владельцев карт. Данной информации достаточно для создания поддельных банковских карт и совершения нелегитимных транзакций от имени легитимных владельцев карт.

Компания Неarland миновала сертификацию на соотношение требованиям стандарта безопасности данных промышленности платёжных систем РCIDSS. Cертификация была выполнена компанией Trustwave, грамотным оценщиком безопасности, надёжность которого никак не побуждает сомнений. Предпосылки утечки данных в Неartland никак не разглашаются, однако подчёркивается, то что они никак не объединены с невыполнением требований стандарта PCIDSS.

С учётом данного факта инцидент с Неartland формирует серьезный факт, ставящий под сомнение результативность формальной сертификации в соотношение требованиям стандартов управления информационной безопасностью.

Качественный анализ рисков информационной безопасности.Альтернативой рассмотренным методам является качественный метод анализа рисков информационной безопасности - это процесс оценивания рисков, основанный на сценариях инцидентов информационной безопасности и определении влияния инцидента на активы

При проведении качественного анализа рисков эксперт составляет краткое описание сценариев возможных инцидентов информационной безопасности, которые затем разрабатываются и исследуются для поиска областей деятельности и активов компании, которые имеют все шансы являться затронутыми инцидентом, также с целью установления рамок ущерба, нанесённого абсолютно всем допустимым областям деятельности и активам. Вместо численной интерпретации понятия риска, свойственной количественным методам анализа рисков, выполняется классификация рисков информационной безопасности в соответствии с затрагиваемыми областями деятельности и активами.

Основываясь на сведениях о внешней среде бизнеса, эксперт в области информационной безопасности определяет возможные инциденты информационной безопасности в виде сценариев. Открывая план и меняя переменные сценария, оказывающие большое влияние на события, специалист определяет сферы деятельности и активы бизнеса, вероятно упомянутые инцидентом и устанавливает влияние на данную сферу либо актив в виде категории естественного языка: «воздействие выше среднего», «ушерб неприемлем», «низкий ущерб» и т.п.

Основное достоинство этих категорий заключается в том, что они не требуют дополнительной интерпретации и интуитивно понятны как специалисту в области информационной безопасности, как и неспециалистам, причастных в построении системы безопасности (акционерам, совету директоров т.п.). Специалист интуитивно из сценария рисковой ситуации и собственного профессионального навыка, осознает, какая категория естественного языка лучшим способом представляет тот или иной параметр сценария рисковой ситуации.

Помимо этого, специалист способен формировать наиболее непростые категории с поддержкой конкретных синтаксических правил, к примеру, «не очень высокая возможность возникновения угрозы», «степень риска ближе к высокой, чем к средней», «данная рекомендация по риску скорее уместна, чем нет». Сложные группы или включают определенный оттенок, видоизменение смысла исходной категории, или считаются объединением либо пересечением двух и более исходных категорий. Сложные категории используются во этих вариантах, если тот или иной параметр сценария рисковой ситуации невозможно конкретно отнести к одной из исходных категорий.

Без использования сложных категорий анализ риска сводится к выявлению линейной зависимости оценок риска и уместности рекомендаций по риску от показателей ценности ресурса, величины ущерба,возможности угроз и уязвимостей. Категории, описывающие степень риска и уместности рекомендаций согласно риску, в данном случае формируются простой суммой баллов, приобретенных за конкретные значения характеристик рисковых обстановок, а шкала, состоящая из категорий естественного языка, при этом ничем никак не отличается от шкалы, имеющей от трёх до пяти численных значений.

В настоящее время не существует метода анализа рисков информационной безопасности, позволяющего производить оценку степень риска также целесообразность рекомендации согласно этому риску с поддержкой категорий естественного языка и оттенков категорий, который мог бы лечь в базу системы поддержки принятия решений при управлении рисками информационной безопасности. Такого рода метод может быть основан на нечёткой логике и нечётных множествах, в частности, на основе нечётких предикатов также нечёткого логичного заключения, позволяющего систематизировать риски и извлекать оптимальные рекомендации по рискам с поддержкой категорий естественного языка, а также с учётом оттенков категорий.

Было проведено исследование возможных нечётких импликаций, обладающих свойством настройки оттенка заключения в зависимости от изменения оттенка посылки и пригодных для решения задач классификации рисков и выработки наилучших рекомендаций по рискам, а также исследование их возможностей. Анализ результатов экспериментов показал следующее.

Наиболее удобные для интерпретации заключения получены с помощью импликаций GainesandRescher, Godel, Goguen (при всех композициях), а также с помощью почти всех импликаций при композициях Max-Bounded и Max-Drastic. Заключения, отображающие всевозможные изменения посылок, можно приобрести при помощи импликации Goguen при композициях Мах-Мin и Мах-Prod. Bсе импликации предоставляют заключение «неизвестно», в случае если оказываются не в состоянии установить верный вывод (иными словами, если наблюдение считается отрицанием или дополнением посылки нечёткого правила). Импликация Goguen обладает качеством настройки оттенка заключения в зависимости от изменения оттенка посылки. Для решения задач классификации рисков и выработки наилучших рекомендаций по рискам подобрана нечёткая импликация Goguen.

Список использованных источников

https://cyberleninka.ru/article/n/analiz-riskov-informatsionnoy-bezopasnosti

https://cyberleninka.ru/article/n/klassifikatsiya-riskov-informatsionnoy-bezopasnosti

https://knowledge.allbest.ru/bank/3c0b65635b2ac69a5d53b88521206c26_0.html

http://masters.donntu.org/2009/fvti/khimka/library/article7.pdf

Код для цитирования: Скопировать