CC BY
0
ИССЛЕДОВАНИЕ МЕТОДОВ ОЦЕНКИ РИСКОВ ИНФОРМАЦИОННОЙ
БЕЗОПАСНОСТИ
М.Л. Сагидова, канд. техн. наук
Филиал Мурманского арктического университета в городе Апатиты (Россия, г. Апатиты)
DOI:10.24412/2500-1000-2024-8-2-167-170
Аннотация. Цель статьи - исследование современных методов оценки рисков информационной безопасности. Проведенный анализ методов CRAMM и методологии COBIT 5 for Risk по отношению процесса управления рисками информационной безопасности учреждения позволил определить преимущества и недостатки указанных методов Использование рисково -ориентированных подходов, реализуемых в рассмотренных методах, позволяет учитывать актуальные угрозы безопасности и применяемые технологии. Также следует отметить важность обмена информацией о рисках, инцидентах и угрозах для совместного противодействия новым вызовам и угрозам.
Ключевые слова: информационная безопасность, управление, риски, оценка, методы, исследование.
Каждая организация и компания зависит от информационных технологий и безопасности для успешного выполнения своей работы. Это стало не просто условием стабильности ведения бизнеса, а важнейшим стратегическим фактором для его будущего развития даже в нынешних, очень турбулентных условиях Киберфизические системы предприятий, как объекты оценки рисков информационной безопасности, могут содержать разнообразные субъекты, начиная от офисных сетей, финансовых и кадровых систем до очень специализированных систем [1, 2]. Киберфизические системы (Cyber-Physical System, CPS), как объекты оценки рисков информационной безопасности, - это интеллектуальные системы, в состав которых входят природные объекты и искусственные подсистемы, позволяющие определять их как единое целое. Встроенные компьютеры и сети контролируют и управляют физическими процессами, оказывают влияние на вычисления и наоборот [4]. Вместе с тем уровень информационной безопасности в разных организациях сильно отличается. Только 39% российских компаний отметили, что они подготовлены к кибератакам, а 31% респондентов не смогли оценить такую готовность. Это говорит о том, что информационной безопасности не уделяется должного внимания. В мире же 68%
управляющих уверены, что их компания способна справиться с хоть какой кибе-ратакой [3]. Киберфизические системы, как объекты оценки рисков информационной безопасности, включают взаимосвязанные цифровые, аналоговые, физические и человеческие компоненты, спроектированные для работы с помощью интегрированной физики и логики. Киберфизические системы теперь широко используются в важнейших инфраструктурах, таких как связь, электроэнергетика, транспорт и нефтяная промышленность. По мере приближения к масштабному внедрению ИТ-технологий в этих секторах и автоматического управления, любые возникающие цифровые угрозы будут ощутимо влиять на реальный мир и его процесс [5]. Потенциальное вторжение в сеть могут привести к разным серьезным последствиям в интеллектуальной сети, от утечки информации о клиенте до каскада сбоев [6]. Таким образом, решение вопросов безопасности киберфизических систем очень важно. Оценка и анализ рисков обладают высоким потенциалом для решения этих проблем. Связанные работы. Именно поэтому тематика исследования методов оценки рисков информационной безопасности является весьма актуальной.
Цель статьи - исследование современных методов оценки рисков информационной безопасности.
Широкое внедрение информационных технологий в управлении деятельности компаний и предприятий вызывает серьезные опасения, связанные с доверием, рисками и безопасностью. Результатом проведенного анализа рисков информационной безопасности может быть определение нужной и достаточной совокупности средств защиты информации, рекомендованный перечень организационных мероприятий, направленных на снижение рисков информационной безопасности и разработанная усовершенствованная архитектура системы информационной безопасности учреждения.
Состав и наполнение приведенных этапов зависит от методов управления рисками и их оценке. В России разработан и утвержден ряд нормативных документов, регулирующих основные основы информационной безопасности, в частности ки-бербезопасности [1, 2]. В работе [5] приведены преимущества и недостатки про-
граммного обеспечения для определения и оценка рисков информационной безопасности (CRAMM, CORAS, Risk Watch , OCTAVE, Oracle Crystal Ball ) и сформирован ряд рекомендаций по целесообразности применения рассматриваемых программных средств. Также в статье [3] проведен анализ процедур оценки информационных рисков с помощью таких видов программного обеспечения, как CRAMM, Risk Watch, ГРИФ 2006, NIST, COBRA, OCTAVE, которые разработаны и функционируют согласно международным стандартам.
Достаточно изветсен метод анализа и управления рисками информационной безопасности CRAMM (CCTA Risk Analysis and Management метод), который разработан в 1985 году в Великобритании. Оценка риска проводится на основе анализа функционирование информационных технологий), используемых в учреждении с учетом ценности ИТ-актива, уязвимо-стей, угроз и вероятностей их реализации в соответствии с алгоритмом (рис. 1) [4].
Рис. 1. Алгоритм реализации метода CRAMM
Известным методом управления рисками является COBIT 5 for Risk ( Control Objectives for Information and Related Technologies - задача управления по информационными и смежными технологиями), который представляет собой методологию управления информационными технологиями [5]. Методология COBIT используется в учреждениях разных форм собственности и являются наиболее пригодной для больших технологических предприятий с высокой степенью зависимости основной деятельности от информа-
ционных технологий и имеют нужные ресурсы и компетенции для использование этой методологии.
На сегодняшний день в киберфизиче-ской системе информационной безопасности практикуются количественные методы оценки рисков, такие как оценка риска вероятности, деревья атак, график атак и сетка Петри. Метод оценки риска основан на оценке вероятностных рисков для систем интеллектуальных сетей, предложенных в работе [7]. В оценке риска вероятностей уровни риска безопасности вычисля-
ются вероятностью возникновения событий кибербезопасности, вероятностью инцидентов, вызванных событиями, и связанными с ними потерь мощности. Оценка риска вероятностей испытывает трудности с определением вероятностей потенциальных инцидентов с безопасностью, которых нет в базе данных истории. Метод, предложенный в работе [4], обеспечивает эффективный способ моделирования сценариев атак и количественного определения оценки риска информационной безопасности систем посредством дерева атак.
В работе [3] автор представляет дерево контрмер, позволяющее провести вероятностный анализ на основе комбинаторной модели. Но формулировка деревьев атаки не показывает последовательность, в которой риски атаки проникают в сценарий.
В [4] предложена игрово-теоретическая основа для моделирования информационной безопасности с точки зрения согласованной кибератаки. С помощью этого метода трудно определить конечную цель атаки. Обеспечение информационной безопасности выходит за рамки обеспечения отдельных компонентов системы.
Большинство имеющихся методов рассматривают только атомную атаку (т.е. атаку на одной стадии), но не учитывают взаимосвязанные связи между уязвимыми местами. Для решения этой проблемы в этой работе предлагается метод количественной оценки риска информационной безопасности с учетом взаимозависимости уязвимых мест. Для количественного измерения риска были привлечены два показателя: индекс вероятности успешной атаки и индекс влияния атаки. Кроме того, метод учитывает также влияние на физическую область, вызванную кибератаками. Фактически это метод оценки риска информационной безопасности на основе взаимозависимости уязвимостей. Уязвимость - неспособность системы противо-
или совокупности угроз. Если уязвимость находится в хосте, это создает серьезные угрозы безопасности, поскольку противник может использовать ее для получения несанкционированного доступа к системе. Некоторые уязвимости взаимосвязаны. Это означает, что противник может атаковать другие хосты, используя взаимозависимость между уязвимыми местами. Сеть, основанная на зависимости уязвимости, представляет собой граф зависимости уязвимости.
Оценка риска - это гарантия обеспечения безопасной и постоянной работы ки-берфизической системы компаний и предприятий. Рассмотренные методы CRAMM и COBIT 5 for Risk зарекомендовали себя как действенные и эффективны в отношении минимизации влияния рисков на информационную безопасность учреждений разных форм собственности. Указанные методы можно рекомендовать для применения в управлении критической инфраструктурой в целях обеспечения их безопасности, однако это требует надлежащего нормативно-правового регулирования, поскольку функционирование критических объектов, значительной степени, зависит национальная безопасность государства. В работе представлен новый метод оценки риска атак на киберфизические системы компаний и предприятий, как объекты оценки рисков информационной безопасности, позволяющий количественное определение рисков.
Кроме того, нужно разрабатывать и совершенствовать конкретные требования, выполнение которых позволит обеспечить надлежащий уровень защищенности. Дальнейшие исследования следует направить на рассмотрение и сравнительный анализ других методов и методик, где реализованы рисково-ориентированные подходы (стандарты NIST SP 800-30 и ISO/IES 27005;2008).
стоять вызванной определенной угрозе
Библиографический список
1. Ланецкая, А.Ю. Современные угрозы информационной безопасности / А.Ю. Ланецкая, Е.Н. Александрова // Международный журнал гуманитарных и естественных наук. - 2022. - № 7-2(70). - С. 192-195. - DOI 10.24412/2500-1000-2022-7-2-192-195. -EDN MMBEYP.
2. Табилова А.З., Коннов А.Л. Анализ проблем информационной безопасности в корпоративных сетях // Вестник науки и образования. - 2019. - №17 (71).
3. Jones, S., Davis, J. Data Privacy and Protection Strategies in Infobusiness: Best Practices and Challenges // Journal of Information Privacy. - 2023. - № 15(4). - P. 321-336.
4. CRAMM user guide, Risk Analysis and Management Method, United Kingdom Central Computer and Telecommunication Agency (CCTA), UK, 2001.
5. COBIT 5: A Business Framework for the Governance and Management of Enterprise ISA-CA, 2012.
RESEARCH OF METHODS OF INFORMATION SECURITY RISK ASSESSMENT
M.L. Sagidova, Candidate of Technical Sciences Branch of the Murmansk Arctic University in Apatity (Russia, Apatity)
Abstract. The purpose of the article is to study modern methods of information security risk assessment. The conducted analysis of CRAMM methods and COBIT 5 for Risk methodology in relation to the process of information security risk management of the institution allowed to determine the advantages and disadvantages of these methods. The use of risk-oriented approaches implemented in the considered methods allows to build a more effective security system for institutions, to protect primarily the most critical for ensuring the functioning of objects, taking into account current security threats and the technologies used. It should also be noted the importance of exchanging information on risks, incidents and threats for joint counteraction to new challenges and threats.
Keywords: information security, management, risks, assessment, methods, research.
