CC BY
43
Соловейчик К.А., Светлов Р.В., Аркин П.А.
БАЙЕСОВСКИЕ СЕТИ ПРИНЯТИЯ РЕШЕНИЙ В ЗАДАЧАХ УПРАВЛЕНИЯ РИСКАМИ ИНФОРМАЦИОННОЙ ПОДСИСТЕМЫ ОРГАНИЗАЦИИ
Аннотация. В последнее время все большее значение приобретает информационная подсистема организации, где организация рассматривается в рамках теории экономических систем как единая экономическая система. В ней имеются свои специфические риски, требующие управления, теоретически наиболее часто описываемые как непрерывный процесс идентификации и защиты конфиденциальности, целостности и доступности информационных активов для достижения приемлемого уровня риска. Информация осознается как важный конкурентный актив, который имеет стратегическое значение в первую очередь для крупных корпоративных структур. В статье раскрываются классические методы оценки рисков, методы многокритериального принятия решений, концепция динамической модели управления рисками, а также рассмотрены проблемы расчета и оценки в динамических сетевых моделях рисков, перспективы дальнейшего развития данного подхода.
Ключевые слова. Управление рисками, информационная подсистема организации, информационный актив, байесовские сети принятия решений.
Soloveichik K.A., Svetlov R.V., Arkin P.A.
BAYESIAN DECISION-MAKING NETWORKS IN THE RISK MANAGEMENT TASKS OF THE ORGANIZATION'S INFORMATION SUBSYSTEM
Abstract. Recently, the information subsystem of an organization has become increasingly important, where an organization is viewed within the framework of economic systems theory as a single economic system. It has its own specific risks that require management, and theoretically most often described as a continuous process of identifying and protecting the confidentiality, integrity, and availability of information assets to achieve an acceptable level of risk. Information is recognized as an important competitive asset, which is of strategic importance primarily for large corporate entities. This article reveals the classical methods of risk assessment, methods of multi-criteria decision-making, the concept of a dynamic model of risk management, and also considers the problems of calculation and evaluation in dynamic network models of risk, as well as the further development prospects of this approach.
Keywords. Risk management, information subsystem of an organization, information asset, Bayesian decision-making networks.
ГРНТИ 06.54.01
© Соловейчик К. А., Светлов Р.В., Аркин П.А., 2021
Кирилл Александрович Соловейчик - доктор экономических наук, доцент, председатель Комитета по промышленной политике, инновациям и торговле Санкт-Петербурга, заведующий кафедрой «Процессы управления наукоемкими производствами» Санкт-Петербургского политехнического университета Петра Великого. Роман Викторович Светлов - руководитель направления ООО «Газпромнефть - Технологические партнерства». Павел Александрович Аркин - доктор экономических наук, профессор, заместитель генерального директора по инновациям ООО «Холдинг Ленполиграфмаш», профессор кафедры «Процессы управления наукоемкими производствами» Санкт-Петербургского политехнического университета Петра Великого.
Контактные данные для связи с авторами (Аркин П.А.): 197376, Россия, Санкт-Петербург, наб. реки Карповки, дом 5 (Russia, St. Petersburg, Karpovka river emb., 5). Тел.: +7 (812) 234-85-95, E-mail: arkinp@mail.ru. Статья поступила в редакцию 28.02.2021.
Введение
Все большее значение, особенно в последнее время, приобретает информационная подсистема организации (ИПО), где организация рассматривается в рамках теории экономических систем как единая экономическая система. В ИПО имеются свои специфические риски, требующие управления. Заметим, что часто употребляемый термин «информационные риски» имеет на сегодняшний день разные трактовки, поэтому в рамках данной статьи не применяется.
Управление рисками информационной подсистемы организации (далее - управление рисками ИПО) и, соответственно, ее информационной безопасности, в том числе защиты информации (подробно изложено в [1]) было темой многих исследований с 1970-х годов ХХ века и становится все более актуальным, в связи с появлением новых проблем и возможностей цифровизации [2, 3, 4, 5, 6]. Управление рисками ИПО теоретически наиболее часто описывается как непрерывный процесс идентификации и защиты конфиденциальности, целостности и доступности информационных активов для достижения приемлемого уровня риска [7].
Информация осознается как важный конкурентный актив, который имеет стратегическое значение, в том числе, а возможно и в первую очередь, для крупных корпоративных структур, использующих и развивающих наукоемкое производство [8] с целью роста глубины передела промышленной продукции в субъектах Российской Федерации [9], таких, например, как ПАО «Газпром нефть». Мак-рологистические особенности грузооборота нефти и нефтепродуктов, в том числе российского энергетического транзита на Балтийском море, отражены во многих работах, в том числе авторов [10, 11, 12, 13]. Поэтому в данной статье речь пойдет исключительно о методическом аппарате управления рисками ИПО, как корпоративной структуры, основанном на специфических методах теории вероятностей [14].
Защита информации претерпела изменения с 1970-х годов ХХ века от состояния, когда ее в основном понимали как техническую задачу, к состоянию, при котором она приобрела статус части общего процесса управления организацией [15]. Неотъемлемой частью процесса управления является наличие возможности контролировать текущее состояние всех систем и их компонентов. Когда речь идет об информационных технологиях (ИТ), то это оборудование и программное обеспечение, документация и вспомогательные службы, услуги вариантов SLA/OLA, окружающая среда и подготовленный персонал.
Конфигурационная единица (КЕ: configuration item, CI) - актив, компонент сервиса или другой элемент, который находится или будет находиться под контролем процесса управления конфигурациями: КЕ жизненного цикла сервиса; сервисные КЕ (напр. КЕ SLA/OLA услуга); организационные КЕ (напр. КЕ персонал); внутренние КЕ; внешние КЕ; интерфейсные КЕ и др. Проблемы безопасности конфиденциальной информации оказывают негативное влияние на всю организацию в целом, таким образом, идентификация ценной информации и ее защита с помощью контрмер и средств контроля очень важны для большинства, если не для всех, организаций.
Выделяют важность как, собственно, самих рисков, так и их идентификации, учета и управления ими (национальный стандарт Российской Федерации [16], иные документы [17]), циклы управления рисками. К типовым данным структур идентификации, учета и управления рисками относят:
1. Идентификация рисков: название структурного подразделения, домен, объект риска, стадия жизненного цикла, область риска, риск-событие, источник риска (риск-фактор), негативные последствия реализации риска, влияние на другие риски, дата последней актуализации, контрольные процедуры по риску, оценка контрольных процедур.
2. Оценка рисков: уровень влияния риска, вероятность риска, обоснование оценки, уровень риска, максимальный уровень рисков объекта, допустимый уровень риска, приоритет риска.
3. Планирование мер реагирования и мониторинг рисков: владелец риска, способ реагирования, меры реагирования, процесс / структурное подразделение, ответственные за меры реагирования, сроки реализации мероприятий, процедуры контроля за реализацией мер, статус проведения мероприятий, оценка выполнения мероприятий по обработке риска, остаточный уровень риска, дата последней актуализации остаточного риска, стратегия смягчения последствий риска.
Таким образом, действия и инциденты, которые негативно влияют на информацию или допускают ее нецелевое использование, могут рассматриваться как угроза для всей организации, как экономической системы. Однако, угрозами можно в разной степени управлять и, тем самым, контролировать
с целью уменьшения или устранения источника, вероятности и горизонта влияния угрозы. Для любой технологической системы риски обычно связаны с элементами системы или их совокупностью. Причинами возникновения инцидентов могут, например, служить отказы оборудования, нарушение коммуникаций (в т.ч. между людьми), действия персонала, ошибки проектирования и т.д. При наличии в системе большого количества различных узлов, связей между ними, широкого круга людей, так или иначе воздействующих на элементы системы, провести полноценную оценку рисков зачастую не представляется возможным.
Разработки в области управления рисками, сделанные за прошедшие годы, как исследователями, так и практиками, привели к появлению различных методик, стратегий, подходов, стандартов и документов, которые могут определять стратегию организации в направлении сосредоточения внимания на способах систематической идентификации и защиты своих информационных активов. Формализованные процессы жизненно важны, поскольку они описывают общие шаблоны для рабочих процедур управления рисками. Однако мало что известно о том, как организации на самом деле защищают себя, так как эмпирических сведений из практики управления безопасностью очевидно недостаточно в силу их специфики. В связи с этим возникает неопределенность, связанная с тем, как описанные шаблоны действий в формализованных процессах адаптируются к конкретной организации и как они применяются на практике в реальных рабочих режимах.
Есть основания считать, что успешная адаптация формализованных процессов возможна как результат непрерывной деятельности практиков, которые могут преодолеть эти ограничения. Вследствие этого можно сделать вывод, что управление безопасностью и, в частности, управление рисками - это динамический сложный процесс, который необходимо поддерживать с течением времени и адаптировать к реальным задачам и конкретным условиям. Существуют способы управления рисками, включающие в себя идентификацию риска, процесс оценки степени риска и процесс осуществления мероприятий, направленных на уменьшение риска до приемлемого уровня. Вовремя оценивать риск и принимать меры для его снижения - это позволяет менеджерам сбалансировать эксплуатационные и экономические издержки защитных мер и тем самым обеспечивать успешную работу организации, в том числе сохранность данных, важных для достижения цели.
Данная работа отвечает на следующие вопросы:
1. Какие виды методик управления рисками ИПО, в том числе оценки и расчета рисков информационной безопасности, являются наиболее популярными и применяемыми?
2. Какие методы многокритериальной оптимизации при принятии решений применимы при управлении рисками ИПО?
3. Как внедрение рисков в общую структуру конфигурационных единиц ИПО и переход к динамической модели изменяет сценарий управления рисками?
4. Как математический аппарат Байесовских сетей принятия решений (далее - ББК) позволяет выполнять количественную оценку рисков в динамической модели в реальном времени? Классические методы оценки рисков
Оценка рисков включает в себя процессы выявления, оценки и определения приоритетов рисков информационной безопасности. Методы оценки рисков безопасности подразделяются на качественные и количественные. Количественный анализ рисков используется для определения денежных и численных значений элементов процесса анализа рисков. Все элементы анализа должны быть количественно определены и введены в уравнение для определения общего и остаточного риска. Поскольку этот тип оценки рисков очень сложен, требует много времени, его дорого и сложно проводить полностью, он редко используется на практике как отдельный подход, но обычно применяется в сочетании с качественным подходом.
С другой стороны, качественный анализ рисков основан на субъективных суждениях членов группы оценки рисков, которые могут определить общий риск для информационной системы. Качественные методы используют различные сценарии вероятностей риска и рейтинги серьезности угроз, а также позволяют оценить эффективность возможных контрмер. Методы качественной оценки включают: суждения, лучшие практики, интуицию и опыт экспертов. В качественном анализе рисков нет числовых значений, риск ранжируется по иерархической шкале, например: критический, высокий, средний и низкий.
Сложность принятия решения зависит от сложности поставленной задачи. Определение уровня риска для информационной системы и выбор подходящих мер безопасности или решений в сфере ИТ обычно очень сложен из-за недостаточного количества информации и ресурсов наряду с временными и финансовыми ограничениями в организациях. Методы, применяемые для сопровождения процесса принятия решений, можно идентифицировать на основании трех подходов: многокритериального принятия решений (МСБМ), математического программирования (МП) и искусственного интеллекта (А1) (см. табл.). Наиболее популярной в задаче управления рисками является группа методов многокритериального принятия решений (МСБМ).
Таблица
Средняя популярность методик оценки рисков (на основании [18, 19])
ISRA I ISRM standard or method Частота использования в научных работах
ISO 27005:2018 54
OCTAVE 44
NIST SP 800-30 36
CORAS 28
CRAMM 27
ISOIIEC 31010:2009 17
MEHARI 12
ASINZS 4360 11
EBIOS 11
MAGERIT 11
BSI IT-Grundschutz 10
Примеры расчета рисков в различных методиках оценки
Методика Формула для оценки/расчета
Качественные
OCTAVE Loss = Impact I ^nsequence x Probability
CORAS Loss = Impact x Probability
Количественные
ISRAM Risk = Probability of OSB x Consequence of OSB
CORA ALE = Consequence x Frequency Risk
Watch Risk Risk = Frequency of a threat in a year x Cost of the resource
Методы многокритериального принятия решений
Методы MCDM можно разделить на 4 следующие категории [4, 18, 20, 24, 25, 26, 27, 28, 29]: многоатрибутные служебные методы (MAUT), например AHP и ANP; методы присвоения рейтинга, например ELECTRE, PROMETI и QUALIFLEX; компромиссные методы, например TOPSIS и VIKOR; другие методы MCDM, например SMART, DEMATEL и SAW.
Самый известный метод - это аналитический иерархический процесс (AHP) [21]. В AHP принятие решений проблемы раскладывается на иерархию. В верхней части иерархии - цель принятия решений. Критерии указывают на следующий уровень, который может быть разложен на подкритерии. На последнем уровне находятся альтернативы. Используя попарные сравнения и суждения лиц, принимающих решения, местные приоритеты, рассчитываются альтернативы и веса критериев. Затем можно рассчитать общие приоритеты альтернатив и принять решение.
Если между критериями существуют влияния или зависимости, можно использовать аналитический сетевой процесс (ANP) [19]. Проблемы принятия решений в ANP моделируются как сети,
а не иерархии, как с AHP. Основные элементы в иерархии - это кластеры, узлы и зависимости (дуги). Используя ANP, мы можем моделировать зависимости и обратную связь между элементами принятия решений, и вычислять более точные веса критериев, а также местные и глобальные приоритеты альтернатив.
ELECTRE [22] - это метод ранжирования, разработанный для выбора лучшего действия из заданного набора действий. Применяется обычно к трем основным проблемам: выбор, ранжирование и сортировка. Есть две основные части приложения ELECTRE: во-первых, конструкция одного или нескольких превосходящих отношений, целью которых является комплексное сравнение каждой пары действий; во-вторых, процедура эксплуатации, которая подробно описывает рекомендации, полученные на первом этапе. Характер рекомендации зависит от решаемой проблемы.
Метод PROMETHEE [18] наиболее полезен, когда группы людей работают над комплексными проблемами с несколькими критериями, включающими множество человеческих восприятий и суждений, чьи решения имеют долгосрочное влияние. Он обеспечивает лицо, принимающее решения, полным или частичным ранжированием действия.
TOPSIS [4] (методика предпочтения по сходству к идеальному решению) основана на концепции, что выбранная альтернатива должна иметь кратчайшее геометрическое расстояние от положительного идеального решения и наибольшее геометрическое расстояние от отрицательного идеального решения.
Метод VIKOR [23] предназначен для решения задач с противоречивыми и несоизмеримыми критериями, в предположении, что этот компромисс приемлем для разрешения конфликта, а лицо, принимающее решения, хочет получить решение, наиболее близкое к идеальному, и альтернативы оцениваются в соответствии со всеми установленными критериями. Метод ранжирует альтернативы и определяет решение для выбора компромисса, наиболее близкого к идеалу.
DEMATEL [19] признан одним из лучших методов для моделирования влияний между компонентами. В области принятия решений он используется для формирования, а затем анализа отношений между критериями.
Рассмотрим использование методов MCDM при управлении рисками ИПО:
• AHP. Рекомендуется для небольших задач, когда между критериями оценки нет взаимосвязанных зависимостей, например, в случаях, когда атрибуты безопасности C-I-A используются в качестве критериев оценки; для ранжирования и оценки инцидентов безопасности ИТ, когда только вероятность события и его последствия определены как критерии оценки; для ранжирования предупреждений кибербезопасности;
• ANP, DEMATEL, VIKOR. Рекомендуется, когда критерии оценки риска взаимозависимы и влияют друг на друга, и когда необходимо создать NRM (network relationship map, карту сетевых отношений) на основе расчетов весов критериев;
• TOPSIS. Подходит для решения проблем BCM (business continuity management, обеспечения непрерывности бизнеса) и ранжирования критических и уязвимых элементов управления информационной безопасностью, когда критерии оценки независимы;
• Delphi. Несмотря на то, что Delphi на самом деле не является настоящим методом MCDM, а скорее методом опроса для сбора анонимных мнений в группе профессионалов, он, тем не менее, часто используется и рекомендуется в качестве начального шага перед применением других методов MCDM. Например, для структурирования и определения ключевых факторов риска (критериев). Данные группы методов многокритериального принятия решений и методики расчета и оценки
рисков при переходе к динамической модели применимы в разной степени. Наилучшим образом подходят методы, учитывающие взаимовлияние элементов модели и позволяющие выполнить перерасчет рисков в реальном времени. Одной из таких методик является Байесовская модель принятия решений (Bayesian decision network, BDN), которая оперирует условными вероятностями возникновения рисков и позволяет перестраивать модель безопасности (в данной статье - пересчитывать вероятности в графе атак) при изменении вероятности в одном узле.
Концепция динамической модели управления рисками
Основными источниками информации при построении модели управления рисками служат: документация, статистика, предыдущий опыт (прецеденты), экспертные знания. Обычной практикой является
анализ возникающих инцидентов в технических системах с рассмотрением цепочки событий, сработавших рисков, последствий, совокупности факторов их возникновения. По мере накопления опыта по возникающим инцидентам выявляются и определяются риски и мероприятия по недопущению возникновения инцидентов в дальнейшем. Одной из проблем анализа опыта эксплуатации системы является как недостаточность (неполноценность), так и избыточность, недостоверность информации о инцидентах или рисках.
Идентификация, оценка рисков затруднена сложностью определения границ данного процесса, ввиду сложности современных технических систем, их, зачастую, неопределенным в полном объеме функционалом, избыточностью, связанностью со смежными или даже посторонними процессами. Оценка рисков полагается на накопленный опыт инцидентов и знания о взаимосвязях в технической системе, что с учетом стремительного развития и изменения технических систем, роста их объема и охвата становится все более проблематичным. Релевантный опыт может просто отсутствовать.
С точки зрения имеющихся практических решений можно было бы предложить рассмотреть опыт эксплуатации технических систем из других областей: системы ТОРО (технического обслуживания и ремонта оборудования), такие системы частично решают подобные задачи. Насколько применим подход ТОРО к техническим системам в целом и ИТ системам в частности? Системы ТОРО исходят из достаточной полноты знаний о системе и ее элементах, наличия технической документации и критериев определения дефектов. Тем не менее, при проведении осмотров и планово-предупредительных ремонтов могут возникать проблемы с контролем качества и учета выполнения работ по процедурам: данные в системе ТОРО могут быть неактуальны, статистика по дефектам и отказам оборудования может быть неполноценна. В случае замены элементов системы в базе данных ТОРО вносятся соответствующие корректировки, включающие минимально достаточные данные о заменяемых элементах, процедуре и критериях проверки, специфику компонентов, типовые решения, процедуры и методы восстановления.
Для ИТ систем такой процесс реализован через механизмы Управления Конфигурациями (СМББ), где учитываются все элементы системы, персонал, который задействован при эксплуатации системы. Таким образом, в любом из походов имеется набор данных, описывающий: компоненты системы, связи между компонентами, эксплуатационные параметры, регламентные операции, типовые проблемы и их решения, заметки по особенностям конкретных элементов и т.п.
СМББ, содержащая в себе все данные о системе, позволяет анализировать риски и выявить составляющие ее компоненты, которые могут быть затронуты как в процессе штатной эксплуатации, например, при проведении изменений, так и вследствие инцидентов. Для анализа рисков по СМББ систему можно декомпозировать и выявить критический путь, потенциальные точки отказа, определив и выделив такие риски. Тем не менее, в самой структуре данных (СМББ) о системе связь между компонентами и рисками фактически отсутствует.
Предлагаемый подход к анализу рисков заключается в изменении отношения к сущности самих рисков как таковых, а именно: риски являются свойством любого объекта в СМББ. Таким образом, дополнив СМББ данными о рисках, как об элементах конфигурации, можно будет строить анализ данных не только на экспертизе структуры системы и ее компонентов, а оценивать взаимосвязи между компонентами с точки зрения оценки рисков по степени влияния, вероятности в динамике. Проводя анализ инцидентов, события можно зафиксировать как риски с определенными для них параметрами для объектов, где событие уже произошло или для аналогичных объектов (группах или классах объектов), потенциально подверженных такому риску.
Если мы идентифицируем, оцениваем и перечисляем риски, то, возможно, имеет смысл рассматривать эти описанные элементы как некий объект, являющийся нормальной и равноправной частью системы (с определенной вероятностью, параметрами или допуском)? При анализе инцидентов информация по результатам устранения должна быть проанализирована: причина инцидента по сути является риском, а мероприятия - барьерами по его предотвращению. Если рассматривать риски как КЕ, а КЕ, с которым связан этот риск, как составные КЕ, то дополнив данные СМББ такими объектами, мы сможем построить динамическую сетевую модель рисков или оценивать сценарии развития событий с учетом возникающих инцидентов и компенсирующих мероприятий, с расчетом вероятностей по аналитике событий в смежных системах и т.п. (рисунок 1).
Бизнес процесс
Рис. 1. Пример динамической сетевой модели рисков
Проблемы расчета и оценки в динамических сетевых моделях рисков
Выше были рассмотрены несколько методик определения и измерения характеристик отдельных уяз-вимостей. Данные методы имеют ограничение, заключающееся в том, что они сосредоточены только на отдельных уязвимостях и не учитывают взаимодействия между ними. Это серьезное ограничение, потому что при реализации угроз злоумышленники обычно используют последовательность связанных уязвимостей. Такие атаки называются многоэтапными атаками, которые могут быть наглядно продемонстрированы с использованием таких моделей безопасности, как графы атак (Лв).
Одним из основных недостатков Лв является то, что они не предоставляют информации ни о вероятности использования уязвимостей, ни об уровне их серьезности. Эти два параметра являются важными факторами для оценки риска. Таким образом, сложно оценить риски, вызванные многошаговыми атаками с использованием только Лв.
Байесовские сети - мощные инструменты, которые могут представлять информацию о причинно-следственных связях между уязвимостями. Они также обеспечивают более компактное представление групп доступа, но при этом сохраняют необходимую информацию об уязвимостях, например, о вероятности их использования. Более того, эти сети обеспечивают формализм для рассуждения в условиях неопределенности. Чтобы воспользоваться преимуществами концепции байесовской сети, можно преобразовать Лв в байесовские диаграммы атак (БЛв), чтобы можно было продемонстрировать возможные многоэтапные атаки и зафиксировать неопределенность вероятностей действий злоумышленников в модели.
Основным недостатком БЛв является то, что она не предоставляет никакой информации об основных характеристиках возможных контрмер безопасности, таких как их охват, стоимость внедрения и ожидаемый результат. В структуре с использованием ББК модель БЛв модифицируется и дополняется, чтобы сделать снижение рисков более комплексным. ББК [7] используется для моделирования свойств безопасности компьютерных сетей. Таким образом, помимо демонстрации потенциальных многоэтапных атак, также возможно моделировать контрмеры безопасности и их характеристики для снижения риска. Кроме того, используя в модели концепцию байесовской сети, можно уловить
неопределенность действий злоумышленника. Используя BDN, администраторы безопасности могут определить снижающие риск контрмеры, охватывающие уязвимости в сети, стоимость реализации этих контрмер и их ожидаемый результат. Наконец, используя модель BDN, используемую в предлагаемой структуре, можно проводить анализ рентабельности, который обеспечивает безопасность сети.
Пример применения Байесовских сетей принятия решений при работе с динамической моделью управления рисками
Базовый процесс оценки рисков безопасности в BDN состоит из четырех этапов, а именно: (1) моделирования сетевых атак с использованием AG, (2) расчета вероятности, (3) построения BAG и (4) расчета воздействия. Для обеспечения возможности снижения рисков выполняется преобразование базовой BAG в BDN.
Чтобы сгенерировать AG для данной сети, требуется информация о существующих уязвимостях, топологии сети и подключении хостов. Уязвимости, существующие на хостах, могут быть обнаружены с помощью доступных сканеров сетевых уязвимостей, таких как Nessus, OpenVAS и Retina, или поиска в онлайн-репозиториях уязвимостей. Связь с сетевыми хостами и топология могут быть определены либо в соответствии со знаниями администратора сетевой безопасности, либо с помощью доступных инструментов сетевого обнаружения, таких как Nmap. Имея эту информацию, можно автоматически создавать группы AG, используя такие инструменты, как MulVAL.
Граф атак (AG) - это кортеж AG = (S, s0, sg, t), где S - это набор состояний в сети. Каждое состояние является результатом использования одной или более уязвимостей. Использование каждой уязвимости изменяет состояние AG:
• s0 Q S - конечный узел-лист графа AG. Он обозначает точки входа в сеть и, следовательно, является начальным состоянием;
• sg Q S - набор корневых узлов в AG. Каждый корневой узел представляет собой цель для злоумышленника. Фактически, инцидент начинается с конечного узла, и последовательности уязви-мостей используются для достижения некоторой цели или всех доступных целей. Следовательно, каждый AG может иметь несколько корневых узлов в зависимости от потенциально привлекательных для злоумышленников целей;
• t Q S х S - множество переходных отношений. Каждый переход между двумя состояниями представляет собой эксплуатацию уязвимости, которая изменяет состояние сети с Sprecondition к Spostc0ndition. Возможность использования уязвимости рассчитывается с использованием показателей базовой
группы CVSS как:
Eo = 2 х AV х AC х AU, (1)
где AV - вектор доступа, AC - сложность доступа, AU - экземпляры аутентификации.
Параметр E отражает только постоянно присущие уязвимости свойства, то есть свойства, которые постоянны во времени и в разных средах. Следовательно, он не может отражать текущее состояние процесса эксплуатации уязвимостей. Уязвимости имеют универсальный характер, и их возможности использования со временем меняются в зависимости от таких факторов, как доступные инструменты для эксплуатации уязвимостей, текущий уровень исправления уязвимостей, степень уверенности в существовании уязвимостей и достоверность известных технических деталей. Чтобы учесть свойства уязвимостей, которые меняются со временем, также используются временные метрики CVSS. Эти метрики регулируют значение возможности использования (уравнение 1) в зависимости от времени оценки, как показано ниже:
TP = (E х RL х RC) х E0, (2)
где TP обозначает временную вероятность и представляет собой вероятность использования уязвимо -сти во время оценки риска, E измеряет текущее состояние используемых инструментов и методов, RL - статус исправления уязвимости, RC - конфиденциальность отчета.
Далее AG преобразуется в BAG путем добавления таблицы условных вероятностей (conditional probability table, CPT) к каждому из его узлов. Единственное ограничение для этого преобразования состоит в том, что AG должен быть направленным ациклическим графом. Таблица условной вероятности (CPT) представляет собой табличную форму условного распределения вероятностей, представляющих значения Pr(si|Pa[si]), где si обозначает состояние в BAG, а Pa[si] обозначает вектор вероятностей его родительских узлов. Каждый узел в BAG имеет связанный с ним CPT, который определяет
шансы скомпрометировать состояние сети при различных комбинациях состояний его родителей. Записи CPT заполнены условными вероятностями использования уязвимостей, то есть значениями TP (уравнение 2).
BAG, представляет собой байесовскую сеть на том же наборе узлов S, поэтому для каждого узла состояния существует CPT. Формально BAG определяется как кортеж BAG = (S, t, e, P), где S обозначает набор узлов (то есть набор состояний в сети). Ребра, соединяющие узлы в графе, отражаются набором упорядоченной пары t. Конъюнктивную или дизъюнктивную связь между несколькими ребрами, указывающими на узел, представим символом «е» с возможными значениями {И, ИЛИ}. P -набор CPT, связанных с узлами BAG.
В BAG каждый узел имеет связанный CPT, который показывает вероятность узла с учетом состояний его родителей. CPT вычисляется для каждого узла. Инцидент, изменяющий состояние сети с s; в Sj для Sj £ Pa [Sj] обозначим ej. Функция условного распределения вероятностей Sj это Pr(Sj| Pa[sj]), она определяется в соответствии с (уравнениями 3) в зависимости от отношения между входящими ребрами к узлу S; «И» (е = AND) либо «ИЛИ» (е = OR):
Pr (Sjl Az[a¡]) = -
О, 3 Sj € Pa[Sj],Si = 0
n^) = П me,), ^AMHfr^ei) = 1 - П h - WW].
0, V Sj E Pfl[Sj], Sj = 0
(3)
Чтобы рассчитать влияние уязвимостей в оцениваемой среде и адекватность предпринимаемых мер безопасности, сначала измеряются базовые метрики подуровня воздействия (то есть C, I и A) для каждой уязвимости (доступны в существующих базах данных уязвимостей). Далее измеряются локальные метрики, эти метрики представляют собой метрики требований конфиденциальности (CR), требований целостности (IR) и требований доступности (AR) для конкретной системы. Рассчитаем скорректированное воздействие инцидента (I0) в оцениваемой сети:
Io = 1 - (1 - C х CR)x(1 - I х IR)x(1 - A x AR). (4)
Сама по себе BAG не является полной моделью для снижения рисков, потому что в ней не рассматриваются SC и их свойства. Поэтому нам нужна более полная и общая модель. Построим модель BDN, которая совместима с другими моделями на основе графов, такими как AG и BAG, и подходит для выполнения процессов, необходимых в структуре управления рисками, особенно процесса снижения рисков. Байесовская сеть принятия решений, связанная с BAG, является расширением BAG, который имеет три типа узлов:
• узлы вероятности, представляющие те же состояния (S), которые существуют в BAG. Каждый случайный узел связан с CPT;
• узлы принятия решений, представляющие меры безопасности (SC), охватывающие состояния (S). Администратор безопасности может выбрать, следует ли использовать эти узлы (SC) как часть плана снижения рисков безопасности или нет, со значениями {True, False};
• служебные узлы, представляющие влияние каждого SC (узла решения) на его затронутые состояния (узлы вероятности) в форме таблицы полезности.
BDN - это направленный ациклический граф, такой, что служебные узлы не имеют дочерних узлов. Каждый узел полезности в BDN связан с таблицей полезности, которая собирает предпочтения для всех вариантов решения о реализации SC. Родители служебного узла представляют собой набор узлов, от которых зависит служебный узел. Чтобы преобразовать модель сети BAG в соответствующую модель BDN, нужно просто добавить к ней узлы принятия решений и служебные узлы. Рассмотрим пример: рассчитаем воздействие инцидента I на корневом узле фрагмента структуры (рисунок 2).
Пусть p1=p2=...=pn - вероятности одиночного наступления состояния КЕ «Нет электропитания на площадке» в течение некоторого периода времени, например одних суток. С учетом переменных рабочей среды (инструментарий и нормативная отчетность) построим таблицу условных вероятностей CTP с элементами {TP;j} (уравнение 2), где TP;j = (Elj х RLlj х RC;j) х E0, при этом коэффициент использования уязвимости E0 = 100%, т.е. 1. При 20% эффективности мер, принимаемых для устранения уязвимости на всех узлах RL;j = 0.2, но при полном соответствии инструментов и отчетности норме (E;j = RC;j = 1), значение временной вероятности инцидента на корневом узле равно:
ТР = 1 - П(1 - ТРу) = 1 - (1 - 0.2)п, при п = 2, например, ТР=0.36. С ростом числа одиночных инцидентов п значение временной вероятности инцидента растет и стремится в пределе к 1.
Рис. 2. Фрагмент ББМ для целевой системы
Чтобы провести оценку контрмер по параметрам конфиденциальности, целостности и доступности {С I А}, выберем шкалу их оценки также в диапазоне от 0 до 1, примем значения С=0.1, 1=0.2, А=0.3, а их значения, скорректированные по требованиям рабочей среды, как СЯ=0.15, 1Я=0.22, АЯ=0.35 (поскольку в случае отказа электропитания именно целостность и доступность имеют приоритет, и доступность пострадает в наибольшей степени). Найдем фактор воздействия инцидента на корневой узел:
10 = 1 - (1 - С х СЯ)х(1 - I х 1Я)х(1 - А х АЯ)=1-1х(1-0.015)х(1-0.44)х(1-0.11)=0.509.
При значениях {С I А}, близких к нулю, т.е. при высоком уровне безопасности системы, значение 10 также стремится к 0, тогда как в случае, если защитными мерами недостаточно обеспечен хотя бы один параметр, фактор воздействия инцидента становится больше, и при отсутствии защиты стремится к 1. Учитывая воздействие уязвимостей в оцениваемой сети и при уточнении локальных метрик, могут быть получены более точные результаты, которые более соответствуют текущему контексту работы системы.
Перспективы развития подхода
В последнее время существующие методы оценки риска, как правило, сосредоточены вокруг вероятности и ущерба с использованием таких факторов оценки, как частота угроз, последствия для активов, стоимость ресурса и т.д. Однако с помощью более пристального внимания к уязвимостям, т.е. обстоятельствам или свойствам, которые сделали угрозу возможной, можно повысить эффективность управления рисками. Атаку, использующую уязвимость, следует предотвращать или смягчать с помощью мер безопасности. Для повышения безопасности уязвимости сводятся к минимуму за счет улучшения соответствующего контроля безопасности. Более того, угрозы безопасности состоят из одной или нескольких уязвимостей безопасности, которые следует принимать во внимание с точки зрения систематических или непрерывных атак уязвимостей безопасности. По этой причине следует оценивать уязвимости безопасности, а не угрозы безопасности.
Оценка рисков безопасности, ориентированная на угрозы, может приводить к дублированию и получению некорректных данных. Например, утечка и потеря данных - разные угрозы безопасности. Однако обе угрозы имеют одну и ту же уязвимость в системе безопасности, такую как возможность входа под учетной записью администратора. Таким образом, существующие методы оценки безопасности имеют проблему многократной оценки одной и той же уязвимости безопасности на основе различных угроз. Следовательно, нужен точный метод оценки рисков безопасности, основанный на уязвимости, без повторной оценки рисков. В оптимизированной схеме затрат на безопасность необходимо учесть минимизацию уязвимости системы безопасности или воздействия на активы/бизнес в зависимости от вклада конкретных мер безопасности и в зависимости от типа сервиса. Заключение
В данной статье проведен анализ современного состояния области управления рисками ИПО. Приводятся данные по основным инструментам оценки и управления - методики расчета, методы многокритериального принятия решений. Предложена динамическая модель управления рисками, при которой риски включаются в общую структуру системы на правах конфигурационных единиц, это повышает эффективность управления рисками. В качестве инструмента расчета рисков в динамической модели предлагается байесовская сеть принятия решений, показаны этапы расчета ее основных показателей. Обсуждается перспективность перехода от оценки вероятностей угроз к оцениванию уязви-мостей, как более компактному множеству показателей, однако, имеющему ту же информативность в отношении оценки и управления рисками ИПО.
ЛИТЕРАТУРА
1. Соловейчик К.А., Глейм А.В. Инновационное оборудование и технологии для защиты информации // Информационная безопасность - актуальная проблема современности. Совершенствование образовательных технологий подготовки специалистов в области информационной безопасности. Краснодар. 2014. Т. 1. № 1 (5). С. 13-19.
2. Diesch R., Pfaff M., Krcmar H. A comprehensive model of information security factors for decision-makers // Computers & Security. 2020. Т. 92. С. 101747.
3. Figueira P. T., Bravo C.L., López J.L.R. Improving information security risk analysis by including threat-occurrence predictive models // Computers & Security. 2020. Т. 88. С. 101609.
4. Iyer G.S.N., Kumar A., Gupta A. Prioritized remediation of information security vulnerabilities based on service model aware multi-dimensional security risk scoring: заяв. пат. США 16194735. 2020.
5. Bodrunov S., Plotnikov V. Strategic Aspects of National Socio-Economic Development // Proceedings of the 34th International Business Information Management Association Conference (IBIMA) - Vision 2025: Education Excellence and Management of Innovations through Sustainable Economic Competitive Advantage, 13-14 November 2019, Madrid, Spain. P. 4916-4922.
6. Карлик А.Е., Платонов В.В., Тихонова М.В., Павлова О. С. Межфирменная кооперация как фактор промышленного развития в информационно-сетевой экономике // Известия Санкт-Петербургского государственного экономического университета. 2020. № 6 (126). С. 7-14.
7. Khosravi-Farmad M., Ghaemi-Bafghi A. Bayesian Decision Network-Based Security Risk Management Framework // Journal of Network and Systems Management. 2020. Т. 28. № 4. С. 1794-1819.
8. Соловейчик К.А., Микитась А.В., Аркин П.А. Методологические подходы к определению терминологии в области наукоёмкого производства // Известия Санкт-Петербургского государственного экономического университета. 2020. № 5 (125). С. 9-18.
9. Соловейчик К.А., Аркин П.А. Методические вопросы стимулирования роста глубины передела промышленной продукции субъектами Российской Федерации // Известия Санкт-Петербургского государственного экономического университета. 2015. № 4 (94). С. 25-30.
10. Телегина Е.А., Еремин С.В., Тыртышова Д.О. Смена парадигмы мирового энергоснабжения: эволюция бизнес-моделей европейских энергетических компаний // Известия Санкт-Петербургского государственного экономического университета. 2018. № 3 (111). С. 36-40.
11. Аркин П.А., Бондаренко Р.А., Карева О.Н. Макрологистичечские особенности грузооборота нефти и нефтепродуктов // Известия Санкт-Петербургского государственного технологического института (технического университета). 2009. № 6 (32). С. 80-82.
12. Бычкова А.А. Последствия трансформации мирового энергетического рынка для глобальных и российских нефтяных компаний // Известия Санкт-Петербургского государственного экономического университета.
2019. № 4 (118). С. 52-56.
13. Аркин П.А., Межевич Н.М., Черняк С.Я. Российский энергетический транзит на Балтике: некоторые внешнеполитические аспекты совершенствования логистического управления // Известия Санкт-Петербургского государственного технологического института (технического университета). 2007. № 2 (28). С. 81-84.
14. Аркин П.А., Соловейчик К.А., Салкуцан С.В. и др. Экономика фирмы: теория вероятностей. СПб.: ПОЛИТЕХ-ПРЕСС, 2019.
15. Iqbal M. A Reference Model for Security Risk Management of the Blockchain-based Applications // CAiSE (Doctoral Consortium). 2020. С. 44-52.
16. ГОСТ Р 58771-2019. Менеджмент риска. Технологии оценки риска. М.: Стандартинформ, 2020.
17. COBIT 5 for Risk. ISACA, 2012.
18. Lundgren M. Making the Dead Alive: Dynamic Routines in Risk Management. Lulea University of Technology,
2020.
19. Macek D., Magdalenic I., Redep N.B. A Systematic Literature Review on the Application of Multicriteria Decision Making Methods for Information Security Risk Assessment // International Journal of Safety and Security Engineering. 2020. Т. 10. № 2. С. 161-174.
20. Ganin A.A. et al. Multicriteria decision framework for cybersecurity risk assessment and management // Risk Analysis. 2020. Т. 40. № 1. С. 183-199.
21. Park J.Y., Huh E.N. A Cost-Optimization Scheme Using Security Vulnerability Measurement for Efficient Security Enhancement // Journal of Information Processing Systems. 2020. Т. 16. № 1.
22. Mousavi S.M. et al. Multi-criteria decision making for plant location selection: an integrated Delphi-AHP-PROMETHEE methodology // Arabian Journal for Science and Engineering. 2013. Т. 38. № 5. С. 1255-1268.
23. Hanine M. et al. Application of an integrated multi-criteria decision making AHP-TOPSIS methodology for ETL software selection // SpringerPlus. 2016. Т. 5. № 1. С. 263.
24. Pamucar D. et al. Novel approach to group multi-criteria decision making based on interval rough numbers: Hybrid DEMATEL-ANP-MAIRCA model / /Expert Systems with Applications. 2017. Т. 88. С. 58-80.
25. Peng J. et al. An extension of ELECTRE to multi-criteria decision-making problems with multi-hesitant fuzzy sets // Information Sciences. 2015. Т. 307. С. 113-126.
26. Petrescu A.G. Management Approach of Risk Analysis in Information Security // Cyber Warfare and Terrorism: Concepts, Methodologies, Tools, and Applications. IGI Global, 2020. Р. 1550-1565.
27. Saad S.M., Kunhu N., Mohamed A.M. A fuzzy-AHP multi-criteria decision-making model for procurement process // International journal of logistics systems and management. 2016. Т. 23. № 1. С. 1-24.
28. Schmitz C., Pape S. LiSRA: lightweight security risk assessment for decision support in information security // Computers & Security. 2020. Т. 90. С. 101656.
29. Vitkus D. et al. Automated Expert System Knowledge Base Development Method for Information Security Risk Analysis // International Journal of Computers Communications & Control. 2020. Т. 14. № 6. С. 743-758.
