В простейшем случае используется оценка двух факторов: вероятность происшествия и тяжесть возможных последствий. Обычно считается, что риск тем больше, чем больше вероятность происшествия и тяжесть последствий. Общая идея может быть выражена формулой: РИСК = Pпроисшествия * ЦЕНА ПОТЕРИ.
Если переменные являются количественными величинами – риск это оценка математического ожидания потерь.
Если переменные являются качественными величинами, то операция умножения не определена. Таким образом, в явном виде эта формула использоваться не должна. Рассмотрим вариант использования качественных величин (наиболее часто встречающаяся ситуация).
Сначала должны быть определены значения лингвистической переменной вероятности событий, например такой шкалы:
§ A – событие практически никогда не происходит;
§ B – событие случается редко;
§ C – вероятность события за рассматриваемый промежуток времени – около 0,5;
§ D – скорее всего событие произойдет;
§ E – событие почти обязательно произойдет.
Кроме того, определяется лингвистическая переменная серьезности происшествий, например:
§ N (Negligible) – Воздействием можно пренебречь.
§ Mi (Minor) – Незначительное происшествие: последствия легко устранимы, затраты на ликвидацию последствий не велики, воздействие на информационную технологию незначительно.
§ Mo (Moderate) – Происшествие с умеренными результатами: ликвидация последствий не связана с крупными затратами, воздействие на информационную технологию не велико и не затрагивает критически важные задачи.
§ S (Serious) – Происшествие с серьезными последствиями: ликвидация последствий связана со значительными затратами, воздействие на информационные технологии ощутимо, воздействует на выполнение критически важных задач.
§ C (Critical) – Происшествие приводит к невозможности решения критически важных задач.
Для оценки рисков определяется переменная из трех значений: низкий риск, средний риск, высокий риск.
Риск, связанный с определенным событием, зависит от двух факторов и может быть определен, как это показано в табл. 2.
Таблица 2 - Определение риска в зависимости от двух факторов
Negligible
Minor
Moderate
Serious
Critical
A
Низкий риск
Низкий риск
Низкий риск
Средний риск
Средний риск
B
Низкий риск
Низкий риск
Средний риск
Средний риск
Высокий риск
C
Низкий риск
Средний риск
Средний риск
Средний риск
Высокий риск
D
Средний риск
Средний риск
Средний риск
Средний риск
Высокий риск
E
Средний риск
Высокий риск
Высокий риск
Высокий риск
Высокий риск
Шкалы факторов риска и сама таблица могут быть определены иначе, иметь другое число градаций.
Подобный подход к оценке рисков достаточно распространен. При разработке (использовании) методик оценки рисков необходимо учитывать следующие особенности:
§ Значения шкал должны быть четко определены (словесное описание) и пониматься одинаково всеми участниками процедуры экспертной оценки.
§ Требуются обоснования выбранной таблицы. Необходимо убедиться, что разные инциденты, характеризующиеся одинаковыми сочетаниями факторов риска, имеют с точки зрения экспертов одинаковый уровень рисков.
Подобные методики широко применяются при проведении анализа рисков базового уровня.
Оценка рисков по трем факторам
В большинстве методик, рассчитанных на более высокие требования чем базовый уровень, используется модель оценки риска с тремя факторами: угроза, уязвимость, цена потери. Угроза и уязвимость определяются следующим образом:
Угроза – совокупность условий и факторов, которые могут стать причиной нарушения целостности, доступности, конфиденциальности информации.
Уязвимость – слабость в системе защиты, которая делает возможным реализацию угрозы.
Цена потери – это качественная или количественная оценка степени серьезности происшествия.
Вероятность происшествия, которая в данном подходе может быть объективной либо субъективной величиной, зависит от уровней (вероятностей) угроз и уязвимостей:
Рпроисшествия = Ругрозы * Руязвимости.
Соответственно риск определяется следующим образом:
РИСК = Pугрозы * Руязвимости * ЦЕНА ПОТЕРИ.
Данное выражение можно рассматривать как математическую формулу, если используются количественные шкалы, либо как формулировку общей идеи, если хотя бы одна из шкал – качественная. В последнем случае используются различного рода табличные методы для определения риска в зависимости от трех факторов.
Например, показатель риска измеряется в шкале от 0 до 8 со следующими определениями уровней риска:
1 – риск практически отсутствует. Теоретически возможны ситуации, при которых событие наступает, но на практике это случается редко, а потенциальный ущерб сравнительно невелик;
2 – риск очень мал. События подобного рода случались достаточно редко, кроме того, негативные последствия сравнительно невелики;
...
8 - риск очень велик. Событие скорее всего наступит, и последствия будут чрезвычайно тяжелыми.
Матрица может быть определена следующим образом (табл. 3). В данной таблице уровни уязвимости Н, С, В означают соответственно: низкий, средний, высокий уровни.
Таблица 3 - Определение риска в зависимости от трех факторов
Степень серьезности происшествия
(цена потери)
Уровень угрозы
Низкий
Средний
Высокий
Уровни уязвимостей
Уровни уязвимостей
Уровни уязвимостей
Н
С
В
Н
С
В
Н
С
В
Незначительная
0
1
2
1
2
3
2
3
4
Несущественная
1
2
3
2
3
4
3
4
5
Умеренная
2
3
4
3
4
5
4
5
6
Серьезная
3
4
5
4
5
6
5
6
7
Критическая
4
5
6
5
6
7
6
7
8
Подобные таблицы используются как в «бумажных» вариантах методик оценки исков, так и в различного рода инструментальных средствах анализа рисков.
Практические сложности в реализации этого подхода следующие:
§ Во-первых, должен быть собран весьма обширный материал о происшествиях в этой области.
§ Во-вторых, применение этого подхода оправдано далеко не всегда. Если информационная система достаточно крупная (содержит много элементов, расположена на обширной территории), имеет давнюю историю, то подобный подход, скорее всего, применим. Если система сравнительно невелика, использует новейшие элементы технологии (для которых пока нет достоверной статистики), оценки угроз и уязвимостей могут оказаться недостоверными.
Характеристика угроз
В современной литературе во внешней среде системы выделяют следующие виды угроз информации:
§ нарушение физической целостности (уничтожение, разрушение элементов);
§ нарушение логической целостности (разрушение логических связей);
§ модификация содержания (изменение блоков информации, внешнее навязывание ложной информации);
§ нарушение конфиденциальности (разрушение защиты, уменьшение степени защищенности информации);
§ нарушение прав собственности на информацию (несанкционированное копирование, использование).
Выделяют два основных признака происхождения угроз:
§ умышленного происхождения: хищение носителей информации, подключение к каналам связи; перехват ЭМИ, несанкционированный доступ, разглашение информации, копирование данных и т. д.;
§ естественного происхождения: несчастные случаи (пожары, аварии, взрывы); стихийные бедствия (ураганы, наводнения, землетрясения); ошибки в процессе обработки информации (ошибки пользователя, оператора, сбои аппаратуры) и т. д.
Общая схема воздействий на информацию приведена на рис. 43. В модели выделяются внутренние (предотвращение угроз, исходящих из внутренних источников) и внешние (предотвращение угроз, исходящих извне) средства защиты информации.
Источниками угроз во внешней среде являются:
§ естественные системы – астрокосмические, планетарные, физические, химические, биологические;
§ искусственные системы – организационно-экономические и технические системы, а также имеющие смешанный характер (например, биотехнические);
§ абстрактные системы – символические (модели, алгоритмы, программы, технологические карты и т. д.) и описательные (например, в виде учений религиозного или этнического характера).
Источниками угроз внутри систем являются ее подсистемы и элементы:
§ люди;
§ технические устройства и системы;
§ технологические схемы обработки;
§ применяемые в системах обработки данных модели, алгоритмы, программы.
Рисунок 11 - Схема воздействия на информацию
Предпосылки возникновения угроз делятся на:
§ объективные (количественная или качественная недостаточность элементов системы) – причины, не связанные непосредственно с деятельностью людей и вызываемые случайными по характеру происхождения угрозами;
§ субъективные – причины, непосредственно связанные с деятельностью человека и вызывающие как преднамеренные (деятельность разведок иностранных государств, промышленный шпионаж, деятельность уголовных элементов и недобросовестных сотрудников), так и непреднамеренные (плохое психофизиологическое состояние, недостаточная подготовка, низкий уровень знаний) угрозы информации.
Среди субъективных причин выделяют:
§ Несанкционированный доступ – получение лицами в обход системы защиты с помощью программных, технических и других средств, а также в силу случайных обстоятельств доступа к обрабатываемой и хранимой на объекте информации.
§ Разглашение информации ее обладателем - умышленное или неосторожное действие должностных лиц и граждан, которым соответствующие сведения в установленном порядке были доверены по работе, приведшее к не вызванному служебной необходимостью оглашению охраняемых сведений; а также передача таких сведений по открытым техническим каналам или обработка на некатегорированных ЭВМ.
Рассмотрим относительно полное множество каналов несанкционированного получения информации, сформированного на основе такого показателя, как степень взаимодействия злоумышленника с информационными подсистемами:
§ К первому классу относятся каналы от источника информации при несанкционированном доступе (НСД) к нему: хищение носителей информации; копирование информации с носителей (материально-вещественных, магнитных и т. д.); установка закладных устройств в помещение и съем информации с их помощью; выведывание информации обслуживающего персонала на объекте; фотографирование или видеосъемка носителей информации внутри помещения.
§ Ко второму классу относятся каналы со средств обработки информации при НСД к ним – снятие информации с устройств электронной памяти; установка закладных устройств в системы обработки информации; ввод программных продуктов, позволяющих злоумышленнику получать информацию; копирование информации с технических устройств отображения (фотографирование с мониторов и др.);
§ К третьему классу относятся каналы от источника информации без НСД к нему – получение информации по акустическим каналам (в системах вентиляции, теплоснабжения, а также с помощью направленных микрофонов); получение информации по виброакустическим каналам (с использованием акустических датчиков, лазерных устройств); использование технических средств оптической разведки (биноклей, подзорных труб и т. д.); использование технических средств оптико-электронной разведки (внешних телекамер, приборов ночного видения и т. д.); осмотр отходов и мусора; выведывание информации у обслуживающего персонала за пределами объекта; изучение выходящей за пределы объекта открытой информации (публикаций, рекламных проспектов и т. д.).
§ К четвертому классу относятся каналы со средств обработки информации без НСД к ним – электромагнитные излучения системы обработки информации (паразитные электромагнитные излучения (ПЭМИ), паразитная генерация усилительных каскадов, паразитная модуляция высокочастотных генераторов низкочастотным сигналом, содержащим конфиденциальную информацию); электромагнитные излучения линий связи, подключения к линиям связи; снятие наводок электрических сигналов с линий связи; снятие наводок с системы питания; снятие наводок с системы заземления; снятие наводок с системы теплоснабжения; использование высокочастотного навязывания; снятие с линий, выходящих за пределы объекта, сигналов, образованных на технических средствах за счет акустоэлектрических преобразований; снятие излучений оптоволоконных линий связи; подключение к базам данных и ПЭВМ по компьютерным сетям.
Полное устранение перечисленных угроз безопасности функционирования критических ИС принципиально невозможно. При системном проектировании основной акцент ставится на выявление факторов, от которых зависят угрозы, на проектирование и реализацию методов и средств СИЗ, уменьшающих их потенциальное влияние на безопасность ИС, а также в эффективное распределение ресурсов для средств защиты.
