logo search
Материалы для PDF / Информационная безопасность

Оценивание уровней рисков

Рассмотрим пример метода, построенного на использовании таблиц и учитывающего только стоимостные характеристики ресурсов.

Ценность физических ресурсов оценивается с точки зрения стоимости их замены или восстановления работоспособности (то есть количественных показателей). Эти стоимостные величины затем преобразуются в качественную шкалу, которая используется также для информационных ресурсов. Програм-мные ресурсы оцениваются тем же способом, что и физические, исходя из затрат на их приобретение или восстановление.

Если для информационного ресурса существуют особенные требования к конфиденциальности или целостности (например, если исходный текст имеет высокую коммерческую ценность), то оценка этого ресурса производится по той же схеме, то есть в стоимостном выражении.

Количественные показатели информационных ресурсов оцениваются на основании опросов сотрудников компании (владельцев информации) — тех, кто может оценить ценность информации, определить ее характеристики и степень критичности. На основе результатов опроса производится оценивание показателей и степени критичности информационных ресурсов для наихудшего варианта развития событий. Рассматривается потенциальное воздействие на бизнес-процесс при возможном несанкционированном ознакомлении с информацией, изменении информации, отказе от выполнения обработки информации, недоступности на различные сроки и разрушении.

Далее разрабатывается система показателей в балльных шкалах (пример — четырехбалльная шкала (от 0 до 4), приведенная ниже). Таким образом, количественные показатели используются там, где это допустимо и оправданно, а качественные — там, где количественные оценки невозможны, например при угрозе человеческой жизни.

По каждой группе ресурсов, связанной с данной угрозой, оценивается уровень последней (вероятность реализации) и степень уязвимости (легкость, с которой реализованная угроза способна привести к негативному воздействию). Оценивание производится в качественных шкалах.

Например, уровень угроз и уровень уязвимостей можно оценить по шкале «высокий-средний-низкий». Информацию собирают, опрашивая сотрудников, занимающихся техническими вопросами, и анализируя документацию.

Пример.

Уровни риска определяются тремя параметрами: ценностью ресурса, уровнями угрозы и уязвимости.

Каждому значению уровня риска должно быть поставлено в соответствие описание, позволяющее однозначно его трактовать разным людям и понимать, где проходит граница между значениями.

Например, показатель риска измеряется в шкале от 0 до 8 со следующими определениями уровней риска:

1 — риск практически отсутствует. Теоретически возможны ситуации, при которых событие наступает, но на практике это случается редко, а потенциальный ущерб сравнительно невелик.

2 — риск очень мал. События подобного рода случались достаточно редко, кроме того, негативные последствия сравнительно невелики.

......

8 — риск очень велик. Событие скорее всего наступит, и последствия будут чрезвычайно тяжелыми.

Пример матрицы приводится в табл. 7.4.

Таблица 7.4. Пример матрицы

Ценность рессурса

Уровень угрозы

Низкий

Средний

Высокий

Уровни уязвимостей

Уровни уязвимостей

Уровни уязвимостей

Н

С

В

Н

С

В

Н

С

В

0

0

1

2

1

2

3

2

3

4

1

1

2

3

2

3

4

3

4

5

2

2

3

4

3

4

5

4

5

6

3

3

4

5

4

5

6

5

6

7

4

4

5

6

5

6

7

6

7

8

Для каждого ресурса рассматриваются относящиеся к нему уязвимые места и соответствующие им угрозы. Если уязвимость существует, но нет связанной с ней угрозы или существует угроза, не связанная с какими-либо уязвимыми местами, то в такой ситуации рисков нет. Однако надо иметь в виду, что в дальнейшем ситуация может измениться.

Каждая строка в матрице определяется показателем ресурса, а каждый столбец — степенью опасности угрозы и уязвимости. Например, ресурс имеет ценность 3, угроза имеет степень «высокая», а уязвимость — степень «низкая». Показатель риска в данном случае будет равен 5. В случае, когда ресурс имеет ценность 2, например для модификации, уровень угрозы низкий, а уязвимости, напротив, высокий, показатель риска окажется равен 4.

Размер матрицы, учитывающей количество степеней угроз и уязвимостей, категорий ресурсов, может быть другим и определяется конкретной организацией.

После того как оценивание рисков было выполнено первый раз, его результаты обычно сохраняют в базе данных. В дальнейшем проводить повторное оценивание будет значительно легче.

Разделение рисков на приемлемые и не приемлемые

Другой способ оценивания рисков состоит в разделении их только на приемлемые и не приемлемые. Подход основывается на том, что количественные показатели рисков используются только для их упорядочивания и определения первоочередных действий. Но этого можно достичь и с меньшими затратами.

Матрица, используемая в данном подходе, содержит не числа, а только символы Д (риск допустим) и Н (риск не допустим). Например, может быть использована матрица, представленная в табл.7.5.

Таблица 7.5. Пример матрицы

Показатель ресурса

Показатель частоты

0

1

2

3

4

0

Д

Д

Д

Д

Н

1

Д

Д

Д

Н

Н

2

Д

Д

Н

Н

Н

3

Д

Н

Н

Н

Н

4

Н

Н

Н

Н

Н

Вопрос о том, как провести границу между приемлемыми и не приемлемыми рисками, остается на усмотрении пользователя.