Оценка характеристик факторов риска

Ресурсы должны быть проанализированы с точки зрения оценки воздействия возможных угроз безопасности. Кроме того, необходимо идентифицировать уязвимости – слабости в системе защиты, которые делают возможным реализацию угроз. Для того чтобы конкретизировать вероятность реализации угрозы, рассматривается некоторый отрезок времени, в течение которого предполагается защищать ресурс. Вероятность того, что угроза реализуется, определяется несколькими факторами (привлекательностью ресурса, возможностью использования ресурса для получения дохода, простотой использования уязвимости при проведении атаки).

В настоящее время известно множество методов оценивания угроз, большинство из которых построены на использовании таблиц. Такие методы сравнительно просты в использовании и достаточно эффективны. Однако не стоит говорить о «лучшем» методе, так как в различных случаях они будут разными.

I. Ранжирование угроз: в матрице или таблице можно наглядно отразить связь факторов негативного воздействия (показателей ресурсов) и вероятностей реализации угрозы с учетом показателей уязвимостей.

1 шаг: оценивается негативное воздействие (показатель ресурса) по заранее определенной шкале, например от 1 до 5, для каждого ресурса, которому угрожает опасность (колонка b в таблице);

2 шаг: по заранее заданной шкале, например от 1 до 5, оценивается вероятность реализации каждой угрозы (колонка c в таблице);

3 шаг: вычисляется показатель риска. В простейшем варианте методики:

d=b*c,

но необходимо помнить, что операция умножения определена для количественных шкал. Для ранговых (качественных) шкал измерения, каковыми являются показатель негативного воздействия и вероятность реализации угрозы, должна быть разработана методика оценивания показателей рисков применительно к конкретной организации;

4 шаг: угрозы ранжируются по значениям их фактора риска.

Дискриптор угрозы	Показатель негативного воздействия	Вероятность реализации угрозы	Показатель риска	Ранг угрозы
a	b	c	d	e
Угроза A
Угроза B
Угроза C
Угроза D
Угроза E
Угроза F

Данная процедура позволяет сравнивать и ранжировать по приоритету угрозы с различными негативными воздействиями и вероятностями реализации:

Уровень угрозы
Низкий	Средний	Высокий
уровни уязвимости
низкий (Н)	средний (С)	высокий (В)	Н	С	В	Н	С	В

II. Оценка угроз проводится также в несколько этапов:

1 шаг: каждому ресурсу присваивается определенное значение, соответствующее потенциальному ущербу от воздействия угрозы. Такие показатели присваиваются ресурсу по отношению ко всем возможным угрозам;

2 шаг: оценивается показатель частоты повторяемости. Частота зависит от вероятности возникновения угрозы и простоты использования уязвимости. Показатель частоты является субъективной мерой возможности реализации угрозы и оценивается, как правило, в качественных шкалах, примером является 2-ая таблица, где заданы субъективные частоты реализации события в шкале 0 (крайне редко) – 4 (очень часто) для разных уровней угроз и уязвимостей.

3 шаг: определяется субъективная шкала рисков в зависимости от показателя ценности ресурса и частоты.

Эти значения должны отражать позицию организации по отношению к рассматриваемым рискам.

Оценивание уровней рисков

Рассмотрим пример метода, построенного на использовании таблиц и учитывающий только стоимостные характеристики ресурсов:

1 шаг: количественные показатели информационных ресурсов оцениваются на основании опросов сотрудников (владельцев информации) – тех, кто может оценить ценность информации, определить ее характеристики и степень критичности;

2 шаг: на основе результатов опроса производится оценивание показателей и степени критичности информационных ресурсов для наихудшего варианта развития событий;

3 шаг: рассматривается потенциальное воздействие на процесс при возможном НСД к информации, изменении информации, отказе от выполнения обработки информации, недоступности на различные сроки и разрушении;

4 шаг: разрабатывается система показателей в балльных шкалах (пример – 4-хбальная шкала (от 0 до 4), приведенная ниже).

Показатель ресурса	Показатель частоты
	оценка показателя в 4-хбальной шкале (от 0 до 4)
…

5 шаг: по каждой группе ресурсов, связанной с данной угрозой, оценивается уровень последней (вероятность реализации) и степень уязвимости (легкость, с которой реализованная угроза способна привести к негативному воздействию). Оценивание производится в качественных шкалах. Например, уровень угроз и уровень уязвимостей можно оценить по шкале «высокий-средний-низкий»;

Информацию собирают, опрашивая сотрудников, занимающихся техническими вопросами, и анализируя документацию.

Уровни риска определяются тремя параметрами: ценностью ресурса, уровнями угрозы и уязвимости. Каждому значению уровня риска должно быть поставлено в соответствие описание, позволяющее однозначно его трактовать разным людям и понимать, где проходит граница между значениями. Например, показатель риска измеряется в шкале от 0 до 8 со следующими определениями уровней риска:

1 – риск практически отсутствует. Теоретически возможны ситуации, при которых событие наступает, но на практике это случается редко, а потенциальный ущерб сравнительно невелик.

2 – риск очень мал. События подобного рода случались достаточно редко, кроме того, негативные последствия сравнительно невелики.

3 …

8 – риск очень велик. Событие скорее всего наступит, и последствия будут чрезвычайно тяжелыми.

Пример матрицы:

Ценность ресурса	Уровень угрозы
Низкий (Н)	Средний (С)	Высокий (В)
Уровни уязвимости
Н	С	В	Н	С	В	Н	С	В
	показатель риска в шкале от 0 до 8
…

Для каждого ресурса рассматриваются относящиеся к нему уязвимые места и соответствующие им угрозы. Если уязвимость существует, но нет связанной с ней угрозы или существует угроза, не связанная с какими-либо уязвимыми местами, то в такой ситуации рисков нет. Однако надо иметь в виду, что в дальнейшем ситуация может измениться.

Каждая строка в матрице определяется показателем ресурса, а каждый столбец – степенью опасности угрозы и уязвимости. Например, ресурс имеет ценность 3, угроза имеет степень «высокая», а уязвимость – «низкая». Показатель риска в данном случае будет равен 5. В случае, когда ресурс имеет ценность 2, например, для модификации, уровень угрозы – низкий, а уязвимости, напротив, высокий, показатель риска равен 4. Размер матрицы, учитывающей количество степеней угроз и уязвимостей, категорий ресурсов, может быть другим и определяется конкретной организацией. После того как оценивание рисков было выполнено первый раз, его результаты обычно сохраняют в базе данных. В дальнейшем проводить повторное оценивание будет значительно легче.