CC BY
321
4. Марков А.С., Цирлов В.Л., Барабанов А.В. Методы оценки несоответствия средств защиты информации. М.: Радио и связь, 2012. 192 с.
5. Зубарев И.В., Жидков И.В., Кадушкин И.В. Кибербезопасность автоматизированных систем управления военного назначения // Вопросы кибербезопасности. 2013. № 1 (1). С. 10-16.
6. Барабанов В., Марков А.С., Цирлов В.Л. Методический аппарат оценки соответствия автоматизированных систем требованиям безопасности информации // Спецтехника и связь. 2011. № 3. С. 48-52.
7. Кондаков С.Е. Анализ и синтез комплекса средств защиты информации // Вопросы кибербезопасности. 2 013. № 2. С. 20-24.
8. Гришин М.И., Марков А.С., Барабанов А.В. Формальный базис и метабазис оценки соответствия средств защиты информации объектов информатизации // Известия Института инженерной физики. 2011. Т. 3. № 21. С. 82-88.
9. Кондаков С.Е. Модель оценки обоснованности выбора варианта КСА // Известия Института инженерной физики. 2013. Т. 4. № 30. С. 44-46.
10. Кондаков С.Е. Обоснование выбора варианта системы защиты информации с показателями различной природы, размерности и вектора полезности // Труды международного симпозиума Надежность и качество. 2014. Т. 1. С. 314-315.
11. Шишкин В.В., Юрков Н.К., Мусин Н.Ж. Методика обеспечения информационной безопасности // Надежность и качество сложных систем. 2013. № 4. С. 9-13.
12. Чобанян В.А., Шахалов И.Ю. Анализ и синтез требований к системам безопасности объектов критической информационной инфраструктуры // Вопросы кибербезопасности. 2013. № 1(1). С.17-27.
13. Кочегаров И.И. Выбор структурной схемы надёжности с применением программных средств // Труды международного симпозиума Надежность и качество. 2012. Т. 1. С. 414.
14. Бомер М.А., Дворецкий С.В., Соколов О.В., Чуянова Е.Г. К вопросу оценки надежности структурно сложных систем // Труды ГосНИИАС. Серия: Информационные технологии в разработках сложных систем. 2010. № 1 (17). С. 35-52.
15. Юрков Н.К. К проблеме обеспечения безопасности сложных систем // Труды международного симпозиума Надежность и качество. 2011. Т. 1. С. 105-107.
УДК 004.056 Райкова Н.О.
НПО «Эшелон», Москва, Россия
СОВРЕМЕННЫЕ МЕТОДЫ АНАЛИЗА РИСКОВ ПРИМЕНИТЕЛЬНО К РЕШЕНИЮ ЗАДАЧ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
Введение
Система управления информационными рисками (СУИР) информационной безопасности (ИБ), согласно 4-х процессной модели включает в себя следующие группы процессов [2, 5, 10]:
1. Оценка рисков: инвентаризация активов;
идентификация бизнес-требований и требований законодательства;
оценка ценности активов; анализ угроз и уязвимостей; определение величины риска; оценивание и ранжирование рисков;
2. Обработка рисков:
выбор способов обработки рисков и вариантов контрмер;
принятие решения по контрмерам; реализация контрмер;
3. Контроль и пересмотр:
аудит и анализ со стороны руководства; оценка эффективности контрмер; мониторинг ситуации с риском;
4. Совершенствование:
реализация превентивных и корректирующих мер.
Одним из базовых процессов управления рисками является оценка риска [3]. В рамках данного доклада поднимается проблема выбора метода оценки риска из многообразия существующих, в соответствии с областью, целями организации. Рассмотрим подробнее процесс оценки риска.
Факторы оценки риска информационной безопасности
Оценка риска ИБ является частью процесса менеджмента риска и представляет собой структурированный процесс, в рамках которого идентифицируют способы достижения поставленных целей, проводят анализ последствий и вероятности возникновения опасных событий для принятия решения о необходимости обработки риска [5].
Оценка риска позволяет ответить на следующие основные вопросы: какие события могут произойти и их причина (идентификация опасных событий); каковы последствия этих событий; какова вероятность их возникновения; какие факторы могут сократить неблагоприятные последствия или уменьшить вероятность возникновения опасных ситуаций.
Кроме того, оценка риска помогает ответить на вопрос: является уровень риска приемлемым, или требуется его дальнейшая обработка?
Иначе говоря, оценка риска является процессом, объединяющим идентификацию, анализ риска и сравнительную оценку риска. Способ реализации этого процесса зависит не только от области применения процесса менеджмента риска, но также и от методов оценки риска.
Методы и средства оценки риска информационной безопасности
На сегодняшний день существуют многообразные методы оценки риска, но готового инструментария для данных целей - гораздо меньше [1,4,9].
Существующие методики и инструментарий можно разделить на следующие группы:
- методики, использующие оценку риска на качественном уровне (например по шкале «высокий», «средний», «низкий»). К таким методикам, в частности, относится FRAP;
- количественные методики (риск оценивается через числовое значение, например размер ожидаемых годовых потерь). К этому классу относится методика RiskWatch;
- методики, использующие смешанные оценки (такой подход используется в CRAMM, методике Microsoft и т.д.).
Основными недостатками существующего инструментария является использование одного (двух) методов для оценки риска для различных организаций, что существенно ограничивает результативность проведения процесса оценки риска, и англоязычное предоставление отчетов и данных [7].
Стандарт ГОСТ Р ИСО/МЭК 31010-2011 «Менеджмент риска. Методы оценки риска» [8] является общим для всех областей риска и предназначен для различных целей организации. То есть цели организации могут быть определены в социальной, экологической, технологической, коммерческой, финансовой и экономической областях, а также в области репутации организации, ее безопасности и социального, культурного, политического воздействия на население. В независимости от областей, всей деятельности организации соответствует риск. Менеджмент риска помогает в принятии решений в условиях неопределенности и возможности возникновения событий или обстоятельств (плановых и непредвиденных), воздействующих на достижение целей организации.
Стандарт определяет 31 метод анализа риска, из которых и будут выбираться оптимальные методы для анализа рисков информационной безопасности [6]. Перечислим их наименования: мозговой штурм, структурированные или частично структурированные интервью, метод Дельфи, контрольные листы, предварительный анализ опасностей (PHA), исследование опасности и работоспособности (HAZOP), анализ опасности и критических контрольных точек (HACCP), оценка токсикологического риска, структурированный анализ сценариев методом "Что, если?" (SWIFT), анализ сценариев, анализ воздействия на бизнес (BIA), анализ первопричины (RCA), анализ видов и последствий отказов (FMEA), анализ дерева неисправностей (FTA), анализ дерева событий (ETA), анализ причин и последствий, причинно-следственный анализ, анализ уровней защиты (LOPA), анализ дерева решений, анализ влияния человеческого фактора (HRA), анализ "галстук-бабочка", техническое обслуживание, направленное на обеспечение надежности, анализ скрытых дефектов (SA), марковский анализ, моделирование методом Монте-Карло, байесовский анализ и сети Байеса, кривые FN, индексы риска, матрица последствий и вероятностей, анализ эффективности затрат (CBA), муль-тикритериальный анализ решений (MCDA).
Задача выбора метода оценки риска
Задачу выбора метода можно разделить на несколько этапов: 1) выбор пригодного метода в соответствии с областью информационной безопасности и этапом оценки; 2) выбор оптимального метода оценки риска.
Из них следующие методы не пригодны для информационной безопасности: исследование опасности и работоспособности (HAZOP), анализ опасности и критических контрольных точек (HACCP), оценка токсикологического риска. Далее рассмотрим методы относительно каждого этапа оценки риска. Для идентификации риска не подходят следующие методы (данное решение выходит из таблицы А.1 Приложения А, стандарта ГОСТ Р ИСО/МЭК 31010-2011): анализ первопричины (RCA), анализ дерева решений, анализ «галстук-бабочка», моделирование методом Монте-Карло, Байесовский анализ и сети Байеса. Таким образом, выбор сужается и теперь выбираем из 23 методов.
Оптимальность методов рассматривается относительно следующих свойств: ресурсоемкость (необходимые ресурсы: временные, информационные и др.); характера и степени неопределенности оценки риска, основанной на доступной информа-
ции и соответствиям целям; сложности проблемы и методов, необходимых для анализа рисков.
Из таблицы А.2 Приложения А, стандарта ГОСТ Р ИСО/МЭК 31010-2011 выбираем самые оптимальные по приведенным свойствам: контрольные листы, структурированное интервью, мозговой штурм. Таким образом, для этапа идентификации риска мы выбрали три метода, которые можно комбинировать или использовать предпочтительный из них.
Для этапа анализа риска не подходят следующие методы: контрольные листы, структурированное или частично структурированное интервью, мозговой штурм, метод Дельфи, предварительный анализ опасностей (PHA), моделирование методом Монте-Карло, Байесовский анализ и сети Байеса. Таким образом, остается 21 метод. Оптимальные из них: структурированный анализ сценариев методом "Что, если?" (SWIFT), анализ воздействия на бизнес (BIA), анализ первопричины (RCA), анализ видов и последствий отказов (FMEA), анализ дерева событий (ETA), причинно-следственный анализ, анализ уровней защиты (LOPA), анализ влияния человеческого фактора (HRA), техническое обслуживание, направленное на обеспечение надежности, анализ скрытых дефектов (SA), матрица последствий и вероятностей.
Для сравнительной оценки риска не подходят следующие методы: контрольные листы, структурированное или частично структурированное интервью, мозговой штурм, метод Дельфи, предварительный анализ опасностей (PHA), анализ дерева событий (ETA), причинно-следственный анализ, анализ уровней защиты (LOPA), анализ скрытых дефектов (SA), Марковский анализ. Из 21 выбираем оптимальные основываясь также на возможности получения количественных выходных данных: анализ влияния человеческого фактора (HRA), анализ дерева неисправностей (FTA), анализ причин и последствий, анализ "галстук-бабочка", техническое обслуживание, направленное на обеспечение надежности, моделирование методом Монте-Карло, байесовский анализ и сети Байеса.
Заключение. В данном докладе был проведен отбор методов оценки риска информационной безопасности по каждому этапу общего процесса на базе стандарта ГОСТ Р ИСО/МЭК 31010-2011.
Практический опыт построения модели угроз информационной безопасности показал, что предложенный подход значительно упрощает задачу применения методов оценки риска для конкретных информационных систем и заданного уровня безопасности информации.
ЛИТЕРАТУРА
1. Бельфер Р.А., Калюжный Д.А., Тарасова Д.В. Анализ зависимости уровня риска информационной безопасности сетей связи от экспертных данных при расчетах с использованием модели нечетких множеств // Вопросы кибербезопасности. 2014. В 2(3). С. 33-39.
2. Дорофеев А.В., Марков А.С. Менеджмент информационной безопасности: основные концепции // Вопросы кибербезопасности. 2014. В 1 (2). С. 67-73.
3. Зима В.М., Котухов М.М., Ломако А.Г., Марков А.С., Молдовян А.А. Разработка систем информационно-компьютерной безопасности. СПб: ВАК им. А.Ф.Можайского, 2003. 327 с.
4. Калашников А.О. Управление информационными рисками объектов критической информационной инфраструктуры Российской Федерации // Вопросы кибербезопасности. 2014. В 3(4). С. 35-41.
5. Марков А.С., Цирлов В.Л. Управление рисками - нормативный вакуум информационной безопасности // Открытые системы. СУБД. 2007. В8. С. 63-67.
6. Райкова Н.О. Сравнительный анализ стандартов менеджмента качества и информационной безопасности // Труды международного симпозиума Надежность и качество. 2014. Т. 2. С. 270-274.
7. Смогунов В.В., Вершинин Н.Н., Авдонина Л.А. Классификация методов управления риском // Труды международного симпозиума Надежность и качество. 2009. Т. 2. С. 235-238.
8. Стрельник М.М. Сравнение стандартов управления рисками (COSO ERM, FERMA и ISO 31000:2009) // Известия Санкт-Петербургского государственного экономического университета. 2014. В 5. С. 116.
9. Тарасова Н.А. Факторы организационных рисков, возникающих в системах обеспечения информационной безопасности // Вопросы кибербезопасности. 2013. В2. С.63-68.
10. Шахалов И.Ю., Дорофеев А.В. Основы управления информационной безопасностью современной организации // Правовая информатика. 2013. В 3. С. 4-14.
11. Шахалов И.Ю., Райкова Н.О. К вопросу об интегрировании систем менеджмента качества и информационной безопасности // Правовая информатика. 2014. В 2. С. 20-26.
12. Ермолаев В.А., Юрков Н.К., Романенко Ю.А. Риски отказов сложных технических систем // Труды международного симпозиума Надежность и качество. 2014. Т. 1. С. 46-49.
13. Шишкин В.В., Юрков Н.К., Мусин Н.Ж. Методика обеспечения информационной безопасности // Надежность и качество сложных систем. 2013. В 4. С. 9-13.
14. Юрков Н.К. К проблеме обеспечения безопасности сложных систем // Труды международного симпозиума Надежность и качество. 2011. Т. 1. С. 105-107.
