Анализ рисков информационной безопасности (качественные и количественные оценки рисков по трем факторам).
В зарубежных методиках, рассчитанных на более высокие требования, чем базовый уровень, используется модель оценки риска с тремя факторами: угроза, уязвимость, цена потери. В этих методиках под понятиями «угроза» и «уязвимость» понимается следующее.
Угроза - совокупность условий и факторов, которые могут стать причиной нарушения целостности, доступности, конфиденциальности информации.
Уязвимость - слабость в системе защиты, которая делает возможным реализацию угрозы.
Другие определения понятий «угроза» и «уязвимость» даны в приложении 3. Вероятность происшествия, которая в данном подходе может быть объективной либо субъективной величиной, зависит от уровней (вероятностей) угроз и уязвимостей:
Pпроисшествия = Ругрозы × Руязвимости
Соответственно, риск рассчитывается следующим образом:
РИСК = Ругрозы х Руязвимости × ЦЕНА ПОТЕРИ.
Данное выражение можно рассматривать как математическую формулу, если используются количественные шкалы, либо как формулировку общей идеи, если хотя бы одна из шкал - качественная. В последнем случае применяются различного рода табличные методы для расчета риска в зависимости от трех факторов.
Например, показатель риска измеряется по 8-балльной шкале следующим образом:
1 - риск практически отсутствует. Теоретически возможны ситуации, при которых событие наступает, но на практике это случается редко, а потенциальный ущерб сравнительно невелик;
2 - риск очень мал. События подобного рода случались достаточно редко, кроме того, негативные последствия сравнительно невелики;
…
8 - риск очень велик. Событие, скорее всего, наступит, и последствия будут чрезвычайно тяжелыми.
Матрица может быть построена так, как в табл. 3.2.
Таблица 3.2. Определение риска в зависимости от трех факторов
| Степень серьезности происшествия (цена потери) | Уровень угрозы | ||||||||
| низкий | средний | высокий | |||||||
| Уровни уязвимостей | Уровни уязвимостей | Уровни уязвимостей | |||||||
| Negligible Minor Moderate Serious Critical | Н 0 1 2 3 4 | С 1 2 3 4 5 | В 2 3 4 5 6 | Н 1 2 3 4 5 | С2 3 4 5 6 | В3 4 5 6 7 | Н 2 3 4 5 6 | С3 4 5 6 7 | В4 5 6 7 8 |
В данной таблице уровни уязвимости Н, С, В означают, соответственно, низкий, средний и высокий. Некоторые другие варианты таблиц рассмотрены ниже, в разделе 3.2.3.
Такие таблицы используются как в «бумажных» вариантах методик оценки рисков, так и в различного рода инструментальных средствах - ПО анализа рисков.
В последнем случае матрица задается разработчиками ПО и, как правило, не подлежит корректировке. Это один из факторов, ограничивающих точность подобного рода инструментария.