Компьютеры, периферийные устройства, коммуникационные линии, сетевое оборудование и их составные части
Программное обеспечение
Исходные, объектные и загрузочные модули операционных систем, вспомогательных системных и коммуникационных программ, инструментальных средств разработки, прикладных программных пакетов
Информационное обеспечение
Вводимые и обрабатываемые, хранимые, передаваемые и резервные (сохранные копии) данные и метаданные
Персонал
Обслуживающий персонал и пользователи
Документация
Конструкторская, техническая, пользовательская и иная документация
Расходные материалы
Бумага, магнитные носители, картриджи и т.д.
Для каждого класса должна существовать своя методика оценки ценности элементов.
Для оценки ценности ресурсов выбирается подходящая система критериев. Критерии должны позволять описать потенциальный ущерб, связанный с нарушением конфиденциальности, целостности. Ценность физических ресурсов оценивается с точки зрения стоимости их замены или восстановления работоспособности. Программные ресурсы оцениваются аналогично физическим. Затем эти стоимостные величины преобразуются в качественную шкалу, которая используется также для информационных ресурсов.
Оценка характеристик факторов риска. Ресурсы должны быть проанализированы с точки зрения оценки воздействия возможных атак (спланированных действий внутренних или внешних нарушителей) и различных нежелательных событий естественного происхождения (наводнение, землетрясение и т.п.). В настоящее время известно множество методов оценивания угроз, большинство из которых построены на использовании таблиц. Такие методы сравнительно просты в использовании и достаточно эффективны.
Ранжирование угроз. В матрице или таблице можно наглядно отразить связь факторов негативного воздействия (показателей ресурсов) и вероятностей реализации угрозы с учетом показателей уязвимостей (Табл.1.1).
Таблица 1.1
Дескриптор угрозы (а)
Показатель негативного воздействия (ресурса) (в)
Вероятность реализации
угрозы (с)
Показатель риска (d)
Ранг
угрозы (е)
Угроза А
Угроза В
Угроза С
Угроза D
Угроза E
Угроза F
На первом шаге оценивается негативное воздействие (показатель ресурса) по заранее определенной шкале, например, от 1 до 5, для каждого ресурса, которому угрожает опасность (колонка В в таблице).
На втором – по заранее заданной шкале, например, от 1 до 5, оценивается вероятность реализации каждой угрозы.
На третьем шаге вычисляется показатель риска. В простейшем случае это делается путем умножения ВхС. Но правильнее всего разработать методику оценивания показателей рисков применительно к конкретному варианту информационной системы.
На четвертом шаге угрозы ранжируются по значениям их фактора риска. Данная процедура позволяет сравнивать и ранжировать по приоритету угрозы с различными негативными воздействиями и вероятностями реализации.
Оценивание показателей частоты повторяемости и возможного ущерба от риска. Каждому ресурсу, соответствующему потенциальному ущербу от воздействия угрозы, присваивается определенное значение. Такие показатели присваиваются ресурсу ко всем возможным угрозам. Далее оценивается показатель частоты повторяемости. Частота зависит от вероятности возникновения угрозы и простоты использования уязвимости. Показатель частоты является субъективной мерой возможности реализации угрозы и оценивается, как правило, в качественных шкалах. Примером данного этапа является таблица 1.2.
Таблица 1.2.
Уровень угрозы
низкий
средний
высокий
уровни уязвимости
уровни уязвимости
уровни уязвимости
Н
С
В
Н
С
В
Н
С
В
О
В таблице заданы субъективные частоты реализации события в шкале «0» (крайне редко); «4» (очень часто) для разных уровней угроз и уязвимостей. Далее определяется субъективная шкала рисков в зависимости от показателей ценности ресурса и частоты, примером является таблица 1.3, где 0 – минимальный риск, 8 – максимальный риск.
Таблица 1.3.
Показатель ресурса
Показатель частоты
Оценивание уровней рисков. Данная операция основана на построении таблиц, учитывающих ценность физических и информационных ресурсов.
Ценность физических ресурсов оценивается сточки зрения стоимости их замены или восстановления работоспособности (то есть количественных показателей). Эти стоимостные величины затем преобразуются в качественную шкалу, которая используется также для информационных ресурсов. Программные ресурсы оцениваются тем же способом, что и физические, исходя из затрат на их приобретение или восстановление.
Если для информационного ресурса существуют особенные требования к конфиденциальности или целостности, то оценка этого ресурса производится по той же схеме, то есть в стоимостном выражении или по методике, учитывающей особенности информационной системы.
Далее разрабатывается система показателей в бальных шкалах, примером служит таблица 1.3, где используется четырехбальная шкала от 0 до 4. Но необходимо помнить, что количественные показатели используются там, где это допустимо и оправдано, а там где они недопустимы (при угрозе человеческой жизни) – используются качественные показатели.
По каждой группе рисков, связанной с данной угрозой, оценивается уровень последствий (вероятность реализации) и степень уязвимости (легкость, с которой реализованная угроза способна привести к негативному воздействию). Оценивание производится в качественных шкалах. Например, уровень угроз и уровень уязвимостей можно оценить по шкале «высокий – средний - низкий», построив таблицу 1.4 на основе собранной и проанализированной информации (табл. 1, 2, 3).
Таблица 1.4.
ценность ресурса
уровень угроз
низкий
средний
высокий
уровни уязвимости
уровни уязвимости
уровни уязвимости
Н
С
В
Н
С
В
Н
С
В
В данной таблице показатели риска измеряются по шкале от 0 до 8 со следующими определениями уровней риска:
1 – риск практически отсутствует. Теоретически возможны ситуации, при которых событие наступает, по на практике это случается редко, а потенциальный ущерб сравнительно невелик.
2 – риск очень мал. События подобного рода случались достаточно редко, кроме того, негативные последствия сравнительно невелики
.8 – риск очень велик. События скорее всего наступят, и последствия будут чрезвычайно тяжелыми.
Для каждого ресурса рассматриваются относящиеся к нему уязвимые места и соответствующие им угрозы. Если уязвимость существует, но нет связанной с ней угрозы, или существует угроза, не связанная с какими-либо уязвимыми местами, то в такой ситуации рисков нет. Однако, надо иметь в виду, что в дальнейшем ситуация может измениться.
Каждая строка в матрице определяется показателем ресурса, а каждый столбец – степенью опасности угрозы и уязвимости. Например, ресурс имеет ценность 3, угроза имеет степень «высокая», а уязвимость «низкая». Показатель риска в данном случае будет равен 5.
Размер матрицы, учитывающей количество степеней угроз и уязвимостей, категорий ресурсов, может быть другим и определяется особенностями информационной системы.
Выводы: Таким образом, рассмотренная методология позволяет оценить степень риска угроз в информационной системе.
