 |
Оценка характеристик факторов риска
|
|
|
|
Ресурсы должны быть проанализированы с точки зрения оценки воздействия возможных атак (спланированных действий внутренних или внешних злоумышленников) и различных нежелательных событий естественного происхождения. Такие потенциально возможные события будем называть угрозами безопасности.
Кроме того, необходимо идентифицировать уязвимости — слабости в системе защиты, которые делают возможным реализацию угроз.
Для того чтобы конкретизировать вероятность реализации угрозы, рассматривается некоторый отрезок времени, в течение которого предполагается защищать ресурс. Вероятность того, что угроза реализуется, определяется следующими факторами:
· привлекательностью ресурса (этот показатель учитывается при рассмотрении угрозы умышленного воздействия со стороны человека);
· возможностью использования ресурса для получения дохода (показатель учитывается при рассмотрении угрозы умышленного воздействия со стороны человека);
· простотой использования уязвимости при проведении атаки.
В настоящее время известно множество методов оценивания угроз, большинство из которых построены на использовании таблиц. Такие методы сравнительно просты в использовании и достаточно эффективны. Однако не стоит говорить о «лучшем» методе, так как в различных случаях они будут разными. Важно из имеющегося многообразия методов выбрать именно тот, который обеспечивал бы воспроизводимые результаты для данной организации (рис.7.3).
Рис.7.3. Схема этапов анализа риска
Ранжирование угроз
В матрице или таблице можно наглядно отразить связь факторов негативного воздействия (показателей ресурсов) и вероятностей реализации угрозы с учетом показателей уязвимостей (табл. 7.1).
|
|
|
Таблица 7.1. Показатели уязвимости
| Дескриптор угрозы (а) | Показатель негативного воздействия (ресурса)(b) | Вероятность реализации угрозы (с) | Показатель риска (d) | Ранг угрозы (е) |
| Угроза A | ||||
| Угроза B | ||||
| Угроза C | ||||
| Угроза D | ||||
| Угроза E | ||||
| Угроза F |
На первом шаге оценивается негативное воздействие (показатель ресурса) по заранее определенной шкале, например от 1 до 5, для каждого ресурса, которому угрожает опасность (колонка b в таблице).
На втором — по заранее заданной шкале, например от 1 до 5, оценивается вероятность реализации каждой угрозы.
На третьем шаге вычисляется показатель риска. В простейшем варианте методики это делается путем умножения (b · c). Однако необходимо помнить, что операция умножения определена для количественных шкал. Для ранговых (качественных) шкал измерения, каковыми являются показатель негативного воздействия и вероятность реализации угрозы, к примеру, совсем не обязательно, что показатель риска, соответствующий ситуации b=1, c=3, будет эквивалентен b=3, c=1. Соответственно, должна быть разработана методика оценивания показателей рисков применительно к конкретной организации.
На четвертом шаге угрозы ранжируются по значениям их фактора риска.
В рассматриваемом примере для обозначения наименьшего негативного воздействия и наименьшей вероятности реализации выбран показатель 1.
Данная процедура позволяет сравнивать и ранжировать по приоритету угрозы с различными негативными воздействиями и вероятностями реализации.
Оценивание показателей частоты повторяемости
И возможного ущерба от риска
Рассмотрим пример оценки негативного воздействия от нежелательных происшествий.
Каждому ресурсу присваивается определенное значение, соответствующее потенциальному ущербу от воздействия угрозы. Такие показатели присваиваются ресурсу по отношению ко всем возможным угрозам.
|
|
|
Далее оценивается показатель частоты повторяемости. Частота зависит от вероятности возникновения угрозы и простоты использования уязвимости. Показатель частоты является субъективной мерой возможности реализации угрозы и оценивается, как правило, в качественных шкалах. Примером является табл. 7.2, где заданы субъективные частоты реализации события в шкале 0 (крайне редко) — 4 (очень часто) для разных уровней угроз и уязвимостей (Н, С, В — низкий, средний, высокий уровень уязвимости). Далее определяется субъективная шкала рисков в зависимости от показателя ценности ресурса и частоты, пример приведен в табл. 7.3 (0 — минимальный риск, 8 — максимальный риск). Эти значения должны отражать позицию организации по отношению к рассматриваемым рискам.
Таблица 7.2. Уровни угрозы
| Уровень угрозы | ||||||||
| Низкий | Средний | Высокий | ||||||
| Уровни уязвимости | Уровни уязвимости | Уровни уязвимости | ||||||
| Н | С | В | Н | С | В | Н | С | В |
Таблица 7.3. Субъективные частоты
| Показатель ресурса | Показатель частоты | ||||
|
|
|
