CC BY
292
Риск-менеджмент
УДК 330.47
В.Н. Юрьев, С.А. Эрман
ТЕОРЕТИКО-ВЕРОЯТНОСТНАЯ МОДЕЛЬ ОЦЕНКИ РИСКОВ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ПРЕДПРИЯТИЯ
V.N. Iur'ev, S.A. Erman
PROBABILITY-THEORETICAL MODEL OF RISK EVALUATION OF ENTERPRISE INFORMATION SECURITY
Рассматривается один из этапов создания теоретико-вероятностной модели количественной оценки рисков информационной безопасности предприятия при проведении ее аудита.
ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ; АУДИТ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ; РИСКИ; ТЕОРИЯ ВЕРОЯТНОСТИ; МАТЕМАТИЧЕСКАЯ МОДЕЛЬ.
In the article one of the stage of development probability-theoretical model of risk quantity evaluation in audit of enterprise information security is considered.
INFORMATION SECURITY; INFORMATION SECURITY AUDIT; RISKS; THEORY OF PROBABILITY; MATH MODEL.
Введение. При проведении аудита информационной безопасности (ИБ) предприятия одним из важных мероприятий является анализ угроз и уязвимостей ИБ. Угроза ИБ — совокупность условий и факторов, создающих опасность нарушения информационной безопасности. Уязвимость ИБ — недостаток или слабое место в информационной системе предприятия, программно--аппаратных комплексах и прочих средствах, которые могут быть использованы для реализации угрозы ИБ. Независимо от выбранной аудиторами методики, использующей количественные (CORAS, CRAMM) или качественные (OCTAVE) оценки риска ИБ, представления об уязвимостях и угрозах должны быть четко систематизированы и структурированы. Если для методик, основная задача которых определить соответствие информационных систем предприятия любому международному стандарту ИБ, данный этап аудита имеет среднюю важность, то для методик, использующих количественную и качественную
оценку риска ИБ, а также для построения собственной теоретико-вероятностной модели оценки рисков ИБ для конкретного предприятия этот этап играет ключевую роль. Он проводится после идентификации и описания бизнес-процессов, информационных активов и их ценности, а также формирования их реестра, определения соответствия требований бизнеса, законодательства текущему состоянию активов и информационных систем предприятия. Информационный актив — это материальный или нематериальный объект, который является информацией или содержит информацию, служит для обработки, хранения или передачи информации, имеет ценность для организации [1]. Инцидент информационной безопасности (information security incident) — это появление одного или нескольких нежелательных или неожиданных событий информационной безопасности, с которыми связана значительная вероятность компрометации бизнес-процессов организации [2]. Риск — это вероятность возможной
нежелательной потери чего-либо при плохом стечении обстоятельств. Под риском будем понимать произведение вероятности на убыток. Таким образом, риск информационной безопасности определяется как произведение финансовых потерь (ущерба), связанных с инцидентами безопасности, и вероятности того, что они будут реализованы [3].
Угрозы ИБ очень разнообразны. Если обратиться к таким стандартам, как BS 7799-3 и ISO-27005, BSI IT Baseline Protection Manual (Базовое руководство защиты ИТ), то становится очевидно, что таких угроз тысячи, однако на практике используется ограниченное их количество в связи со спецификой обследуемого предприятия [4]. В соответствии с моделью ИБ (см. рисунок) для каждого информационного актива или группы активов определяется список угроз в отношении конфиденциальности, целостности и доступности [5]. За основу берется модель ИБ как основа системы менеджмента информационной безопасности (СМИБ) предприятия.
Доступность — это возможность за приемлемое время получить требуемую информационную услугу. Под целостностью подразумевается актуальность и непротиворечивость информации, ее защищенность от разрушения и несанкционированного измене-
ния [6]. Конфиденциальность — это защита от несанкционированного доступа к информации. Для каждой идентифицированной (актуальной) угрозы на актив определяется список уязвимостей, из-за которых реализация угроз становится возможной [7]. Учитываются влияния техногенного, человеческого фактора, факты отсутствия или слабости применяемых механизмов контроля (организационных и технических) [5]. На после -дующих этапах (например, при количественной оценки риска ИБ) учитываются уже реализованные на предприятии механизмы безопасности.
Постановка задачи. При проведении аудита ИБ с количественной оценкой рисков применяется такая методика, которая рассматривает ИБ предприятия исходя из взаимодействия таких объектов, как законодательная база РФ, бизнес-процессы, информационные активы, угрозы, уязвимости, информационные системы. Для такой методики важным этапом будет выбор и построение математической модели оценки рисков ИБ. Необходимо построить математическую модель, учитывающую эти параметры. Используя теорию вероятностей и теорию управления рисками, можно построить модель, отвечающую заданным критериям.
ФИЗИЧЕСКАЯ БЕЗОПАСНОСТЬ
Модель информационной безопасности
Теоретико-вероятностная модель. Согласно приведенному выше определению для вычисления количественного показателя риска можно использовать формулу
ЯА) = робщ а )хобщ А ), (1)
где Л(Ап) — количественное выражение риска на актив Ап; Робщ(Ап) — количественная оценка возможности наступления хотя бы одного события (из всех угроз на актив Ап); Хобщ(Ап) — общая стоимость потери актива Ап, выраженная в деньгах по всем угрозам вместе.
Так как основным объектом теоретико-вероятностной модели оценки рисков ИБ является информационный актив, рассмотрим на примере нескольких информационных активов конкретного предприятия использование методики аудита ИБ на основе такой модели [8].
Эти угрозы можно разбить на две группы событий. К первой группе Р1(А„) будут принадлежать совместные и независимые события, вероятность их осуществления вычисляется согласно формуле [9]
(.
Л
к = 1
п-1
X Ак = X Р(Ак) -Е Е Р(АкА] )
к = 1 ] = к
(2)
к = 1 п = 2 п-1 п
+ Е Е Е р(ААА) -... +
к = 1 ] = к+1 г = ]+1
( п \
+ (-1)пР П Ак
I к = 1
Формула для определения вероятности осуществления событий из второй группы (совместных, зависимых событий) на актив Ап будет Р2(Ап) [4]:
Р
ПАк = Р(А)Р(А2М1) X
к = 1
п-1
(3)
х Р(А3И1А2)... Р Ап|ПА
к = 1
РА) на каждый актив. Данная вероятность определяется на основе экспертных оценок и статистических данных. Поэтому в методике предлагается вынести расчет этой вероятности на отдельный (более ранний) этап, чтобы затем использовать полученные показатели при количественной оценке риска ИБ. Таким образом, РобЩ {Ап ) = Р1 (Ап)+ Р2 (Ап)+ Рг, но так как данные группы событий являются совместными и независимыми, получаем [9]:
Робщ (Ап ) = Р1 (Ап )+ Р2 (Ап)+ Р -
- Р1 (Ап )Р2 (Ап)-Р1 (Ап )Р - (4)
- Р2 (Ап )Рг + Р1 (Ап )Р2 (Ап )Рг.
Необходимо отметить, что
А>бщ (Ап ) = С (Ап ) + ••• Р(Ап ),
где С(Ап) — количественное выражение ущерба в деньгах от реализации угрозы на актив Ап; Р(Ап) — затраты на восстановление актива (в случае реализации угроз по доступности и целостности, а в случае реализации угрозы по конфиденциальности — затраты на принятие мер). Следовательно,
Я(Ап) = РАп) + Р2(Ап) + Р, - Р1(Ап) х
х Р2(А„) - Р1(АпЩ - Р2(АпР + + Р1 (Ап )Р2 (Ап )Р )(С (А„) + • Р (Ап)).
(5)
Теоретико-вероятностная модель предполагает учитывать риск несоответствия законодательству z, требованиям бизнеса, договоров, т. е. количественному выражению вероятности его осуществления — Р. Данная угроза влияет сразу на все направления угроз ИБ (целостность, доступность, конфиденциальность), поэтому вероятность ее осуществления необходимо учитывать при подсчете
Пример. На предприятии, занимающемся производством нескольких видов продукции, присутствует множество бизнес-процессов, самые важные из которых — работа с поставщиками, работа с клиентами, участие в тендерах, финансовое управление, бухгалтерский учет. Для обеспечения этих бизнес-процессов на предприятии налажена работа 1Т-сервисов, от которых зависит эффективность перечисленных процессов (доступ к корпоративному порталу, где находится база поставщиков и информация о тендерах, СКМ-система предприятия, доступ к бухгалтерской базе данных, печать документов из различных систем, доступ в Интернет и т. д.). Информационными активами в данном случае будут корпоративный портал (со всеми базами данных к нему привязанными), СКМ-система, бухгалтерская база данных. Рассмотрим эти активы: корпоративный портал (размещен на внутренних инфраструктурных серверах компании, имеет
Таблица 1
Некоторые угрозы уязвимостей по активу А1
Доступность Целостность Конфиденциальность
Уязвимость Угроза Уязвимость Угроза Уязвимость Угроза
Физически незащищенная СКС Отказ корпоративной сети Сложный пользовательский интерфейс ПО Ошибка оператора Отсутствие политики регулярной смены паролей Несанкционированный доступ
Нестабильный интернет-канал Отказ доступа Интернет Нет разграничения прав доступа (Не)преднамерен ная модификация данных Отсутствие политики сложных паролей Несанкционированный доступ
Несвоевременная оплата услуг связи Отказ доступа Интернет Отсутствие политик чистых рабочих столов (Не)преднамерен ная модификация данных Отсутствие аудита попыток доступа Несанкционированный доступ
Отсутствие ИБП и систем аварийного электропитания Отказ телекоммуникационного и серверного оборудования, потеря данных Отсутствие системы регулярного резервного копирования Потеря достоверной информации, актуальных данных Отсутствие сертификатов безопасности Несанкционированный доступ
Отсутствие системы регулярного резервного копирования Потеря данных Отсутствие двухфактор-ной аутентификации Несанкционированный доступ
^ЪЬ-доступ через Интернет) — А1, бухгалтерская база данных (размещена на внутренних инфраструктурных серверах компании, доступ только из корпоративной сети) — А2, СКМ-система А3 (облачное решение, имеет интеграцию с системой 1С, размещенной в центре обработки данных провайдера услуг связи — ЦОД).
Рассмотрим актив А1. Этот актив зависим от таких 1Т-сервисов, как корпоративная сеть, Интернет, печать, электронная почта, внутренний Web-сервер. Следовательно, на него будут распространяться все угрозы технического, административного и техногенного характера, влияющие на работу указанных сервисов. Некоторые угрозы и уязвимости по активу А1 представлены в табл. 1 [5].
Эксперты оценивают текущее состояние (наличие уязвимостей, их количество и предпринятые меры) информационных систем и систем безопасности в соответствии со стандартами ИБ и на основе имеющихся всемирных статистических и данных по данному предприятию, определяют вероятности возникновения различных групп угроз на дан-
ный актив. Некоторые результаты экспертных оценок вероятностей угроз на актив А1 (корпоративный портал) приведены в табл. 2 [5].
Угрозы по доступности и целостности можно посчитать по формуле (2)
Р1(А1) = 0,1 + 0,2 + 0,05 + 0,05 + 0,1 + + 0,05 + 0,07 + 0,2 — 0,1(0,2 + 0,05 + + 0,05 + 0,1 + 0,05 + 0,07 + 0,2) — — 0,2(0,1 + 0,05 + 0,05 + 0,1 + 0,05 + + 0,07 + 0,2) — 0,05(0,1 + 0,2 + 0,05 + 0,1 + + 0,05 + 0,07 + 0,2) 0,05 • (0,1 + 0,2 + 0,05 + + 0,1 + 0,05 + 0,07 + 0,2) — 0,1 • (0,1 + 0,2 + + 0,05 + 0,05 + 0,05 + 0,07 + 0,2) —
— 0,05(0,1 + 0,2 + 0,05 + 0,05 + 0,1 + 0,07 +
+ 0,2) — 0,07 • (0,1 + 0,2 + 0,05 + 0,05 + + 0,1 + 0,05 + 0,2) — 0,2 • (0,1 + 0,2 + 0,05 + + 0,05 + 0,1 + 0,05 + 0,07) + 0,1 • 0,2 • 0,05 х х 0,05 • 0,1 • 0,05 • 0,07 • 0,2 = 0,82 — 0,1 х х (0,72) — 0,2 • (0,62) — 0,05 • (0,77) —
— 0,05 • (0,77) — 0,1 • (0,72) — 0,05 • (0,77) —
— 0,07 • (0,75) — 0,2 • (0,62) + 2 • 10—8 = = 0,82 — 0,072 — 0,124 — 0,0385 — 0,0385 — — 0,072 — 0,0385 — 0,0525 — 0,124 + 0 = 0,26.
^Жауч^э^^ехническ^э^ведомости^СПбГПУ.^Эко
Таблица 2
Результаты экспертных оценок вероятностей угроз на актив А1
Угроза Количество обнаруженных уязвимостей Количество предпринятых мер Вероятность угрозы (экспертная оценка)
Угроза доступности информации
Отказ локальной сети 3 1 0,1
Отказ доступа Интернет 3 5 0,1
Отказ телеком и серверного оборудования 3 3 0,05
Потеря информации 7 10 0,05
Угрозы целостности информации
Ошибки операторов 3 0 0,1
Непреднамеренная модификация данных (ошибка системы) 2 2 0,05
Преднамеренная модификация данных 5 1 0,07
Потеря актуальных копий БД 5 1 0,2
Угрозы конфиденциальности
Несанкционированный доступ (кражи паролей, учетных записей) 10 3 0,15
Несанкционированный доступ к системе 3 0 0,1
печати
Утечка информации (внутренний источник, человеческий фактор) 5 2 0,1
А для угрозы по конфиденциальности (при краже пароля вероятность несанкционированного доступа сильно возрастает, данная величина также определяется экспертной оценкой; в данном случае такая вероятность будет равна 0,7, а с учетом человеческого фактора — 0,75) условная вероятность вычисляется по формуле (3):
Р2(А1 | В) = 0,15 + 0,7 + 0,75 —
— 0,15(0,7 + 0,75) — 0,7 (0,15 + 0,75) —
— 0,75 • (0,15 + 0,7) — 0,15 • 0,7 • 0,75 =
= 1,6 — 0,2175 — 0,63 — 0,6375 + 0,08 = 0,465.
Это означает, что в случае угрозы по конфиденциальности существует вероятность 0,15, при которой общая вероятность будет 0,465. Тогда, по формуле зависимых событий:
Р2(А1В) = 0,15 • 0,465 = 0,07.
Следовательно, вероятность угрозы по конфиденциальности можно рассчитать по формуле (2) и получить результат:
Р2(А1) = 0,15 + 0,1 + 0,1 + 0,07 — — 0,15(0,1 + 0,1 + 0,07) — 0,1 • (0,15 + 0,1 + + 0,07) — 0,1(0,15 + 0,1 + 0,07) — 0,07(0,15 + + 0,1 + 0,1) + 0,15 • 0,1 • 0,1 • 0,07 =
= 0,42 — 0,04 — 0,03 — 0,03 — 0,03 = 0,29.
Для подсчета общей вероятности угроз для актива А1 применим формулу (4). Напомним, что Рг — показатель вероятности угрозы по несоответствию законодательству и условиям ведения бизнеса. Он также определяется экспертными оценками на основе данных проведенного аудита (табл. 3).
Для данного предприятия в ходе аудита обнаружено 10 уязвимостей: лицензионное ПО рабочих станций (ОС), лицензионное ПО (ОС) серверных платформ, специализированное лицензионное ПО (СУБД, офисные пакеты приложений), криптозащиты
Таблица 3 Экспертные оценки вероятности по показателю
Количество уязвимостей Количество выполненных мер Вероятность угрозы применения санкций (экспертная оценка)
10 21—30 0,01
10 11—20 0,25
10 Менее 10 0,5
10 Не выполняются 0,9
телекоммуникационного оборудования в соответствии со стандартами ФСТЭК и т. д. и 15 выполненных мер. По экспертным оценкам, вероятность угрозы (Р,) составляет 0,25. Таким образом, по формуле (3)
РобщА1 = 0,26 + 0,29 + 0,25 — 0,26(0,29 +
+ 0,25) — 0,29(0,26 + 0,25) — 0,25(0,26 +
+ 0,29) + 0,25 • 0,26 • 0,29 = 0,8 — 0,26 х
х 0,54 — 0,29 • 0,51 — 0,25 • 0,55 + 0,02 =
= 0,8 — 0,14 — 0,15 — 0,14 + 0,02 = 0,39.
Равенство РобщА1 = 0,39 означает, что с вероятностью 0,39 с активом А1 произойдет хотя бы одно неблагоприятное событие из списка всех актуальных угроз. Руководство компании оценило денежное выражение возможных потерь при реализации угроз по доступности и целостности в размере 500 000 р., а при реализации угрозы конфиденциально -сти — 1 млн р., эксперты оценили стоимость работ восстановления по угрозам в размере 300 000 р. и 100 000 р. соответственно. Величина вероятного ущерба по формуле 4бщ (А) = С (А) + • Р (А) (5) составит:
¿общ (А ) = С А) + Р А) =
= 1 500 000 + 400 000 = 1 900 000 р.,
следовательно, риск (количественная величина), вычисленный по формуле (4),
Я (А1) = Робщ (А1) ¿общ (А1 ) =
= 0,39 • 1,9 млн р. = 741 тыс. р.
Проведя подобные вычисления для актива А2 (бухгалтерская база данных) и для актива А3 (СКМ-система), мы получили следующие результаты.
Актив А2 (бухгалтерская база):
Р1А2 = 0,44; Р2А2 = 0,3; Рг = 0,25;
¿общА2 = 2 млн р. + 1 млн р. = 3 млн р.;
РобщА2 = 0,44 + 0,3 + 0,25 — 0,44 • 0,55 — — 0,3 • 0,63 — 0,25 • 0,74 +0,44 • 0,3 • 0,25 = = 0,99 — 0,242 — 0,189 — 0,185 + 0,03 = 0,4.
RA2 = 0,4 • 3 млн р. = 1200 тыс. р.
Актив A3 (CRM-система):
P1A3 = 0,11; P2A3 = 0,18; Pz = 0,25;
¿общА3 = 3 млн р. + 2 млн р. = 5 млн р.;
РобщА3 = 0,11 + 0,18 + 0,25 - 0,11 • 0,48 -- 0,18 • 0,36 - 0,25 • 0,29 + 0,11 • 0,18 • 0,25 =
= 0,54 - 0,05 - 0,07 - 0,07 + 0,01 = 0,36;
RA3 = 0,36 • 5 млн р. = 1,8 млн р.
Несмотря на защищенность актива А3 относительно других активов, вероятный ущерб в случае реализации угрозы составит внушительную сумму (ввиду высокой стоимости самого актива).
Заключение. Полученные показатели можно использовать как для количественной оценки риска, так и для управления рисками и принятия решений по инвестиционным проектам в области информационной безопасности. Однако данный способ имеет и ряд недостатков. Во-первых, это точность экспертных оценок, во-вторых, при большем числе показателей (факторов) формула будет иметь слишком громоздкий вид и вычисления будут сильно затруднены без специально разработанного программного обеспечения, что не даст полной картины о рисках и финансовых потерях, связанных с нарушением ИБ. Несмотря на это, данный метод за счет математической модели позволяет гибко и взвешенно подходить к оценкам рисков ИБ при проведении аудита. В совокупности с другими количественными методами оценки риска, которые опираются на такие показатели, как ALE (оценка ожидаемых годовых потерь для одного конкретного актива от реализации одной угрозы), ROI (возврат инвестиций), NPV (чистая текущая стоимость), CVAR (условная стоимостная мера риска), TCO (совокупная стоимость владения), предложенная модель является важной ступенью этапа количественной оценки риска при проведении глубокого и детального аудита ИБ.
СПИСОК ЛИТЕРАТУРЫ
1. Конеев И., Беляев А. Информационная безопасность предприятия. БНУ—Санкт-Петербург, 2003. 752 с.
2. Бармен С. Разработка правил информационной безопасности. М.: Изд. дом «Вильямс», 2002. 208 с.
3. Бартон Т., Шенкир У., Уокер П. Риск-
менеджмент. Практика ведущих компаний: пер. с англ. М.: Изд. дом «Вильямс», 2008. 208 с.
4. Стандарты в области управления рисками информационной безопасности. URL: http://xn
^Жаучно-техническиеведомостиСПбГПУ^Эк
----7$ЬаЪ7а1сде$2Ьп.хп--р1а1/соп1еп1/$1апдаг1у-у-оЬ1а$11-
upгav1eniya-riskami-infoгmacionnoy-bezopasnosti
5. Астахов А. Искусство управления информационными рисками, МК Пресс, Ок>ЪаПгий, 2009. 312 с.
6. Поскочинова О.Г. Проблемы реализации системных решений в области управления рисками предприятия // Научно-технические ведомости Санкт-Петербургского государственного политехнического университета. Экономические науки. 2013. № 6—1 (185). С. 279—286.
7. Антохина В. А. Управленческая ситуация и риски // Научно-технические ведомости Санкт-
Петербургского государственного политехнического университета. Экономические науки. 2013. № 6—1(185). С. 287—291.
8. Зинкевич В., Шатов Д. Информационные риски: анализ и количественная оценка // Бухгалтерия и банки. 2007. № 1. С. 50—54.
9. Звягин Н.П. Математика. Теория вероятностей: практикум : учеб. пособие. СПб.: Изд-во СПбГПУ, 2011, 2012. 120 с.
10. Игнатьев В.А. Информационная без опасность современного коммерческого предприятия: моногр. Старый Оскол: ТНТ, 2005. 448 с.
REFERENCES
1. Koneev I., Beliaev A. Infoimatsionnaia bezopasnost' predpriiatiia. BHV—Sankt-Pete^rn^, 2GG3. 752 s. (ms)
2. Barmen S. Razrabotka pravil infoimatsionnoi bezopasnosti. M.: Izd. dom «ViTiams», 2GG2. 2G8 s. (ms)
3. Barton T., Shenkir U., Uoker P. Risk-menedzhment. Pгaktika vedushchikh kompanii: per s angl. M.: Izd. dom «Vil'iams», 2GG8. 2G8 s. (ms)
4. Standarty v oblasti upravleniia riskami
infoгmatsionnoi bezopasnosti. URL: http://xn----
7sbab7afcqes2bn.xn--p1ai/content/standarty-v-oblasti-upгavleniya-гiskami-infoгmacionnoy-bezopasnosti (ms)
5. Astakhov A. Iskusstvo upravleniia informatsionnymi riskami, MK Pгess, GlobalTmst, 2GG9. 312 s. (ms)
6. Poskochinova O.G. Implementation problems
of the enterprise risk management. St. Petersburg State Polytechnical University Journal. Economics, 2013, no. 6-1(185), pp. 279-286. (rus)
7. Antokhina Iu.A. A Management Situation and Risks. St. Petersburg State Polytechnical University Journal. Economics, 2013, no. 6—1(185), pp. 287—291. (rus)
8. Zinkevich V., Shatov D. Informatsionnye riski: analiz i kolichestvennaia otsenka. Bukhgalteriia i Banki. 2007. № 1. S. 50—54. (rus)
9. Zviagin N.P. Matematika. Teoriia veroiatnostei: praktikum : ucheb. posobie. SPb.: Izd-vo SPbGPU, 2011, 2012. 120 s. (rus)
10. Ignat'ev V.A. Informatsionnaia bez opasnost' sovremennogo kommercheskogo predpriiatiia: monogr. Staryi Oskol: TNT, 2005. 448 s. (rus)
ЮРЬЕВ Владимир Николаевич — профессор Санкт-Петербургского государственного политехнического университета, доктор экономических наук, профессор.
195251, ул. Политехническая, д. 29, Санкт-Петербург, Россия. E-mail: yurev@fem.spbstu.ru
IUR'EV Vladimir N. — St. Petersburg State Polytechnical University.
195251. Politechnicheskaya str. 29. St. Petersburg. Russia. E-mail: yurev@fem.spbstu.ru
ЭРМАН Станислав Александрович — аспирант Санкт-Петербургского государственного политехнического университета.
195251, ул. Политехническая, д. 29, Санкт-Петербург, Россия. E-mail: ehrmann1985@gmail.com ERMAN Stanislav A. — St. Petersburg State Polytechnical University.
195251. Politechnicheskaya str. 29. St. Petersburg. Russia. E-mail: ehrmann1985@gmail.com
© Санкт-Петербургский государственный политехнический университет, 2G14
