CC BY
39
УДК 004.056
РАЗРАБОТКА МЕТОДИКИ СТРУКТУРИРОВАННОЙ ОЦЕНКИ РИСКА А.О. Сидоров, Ю.А. Торшенко, А.А. Павлютенков, Л.Г. Осовецкий
Рассматривается оценка риска не только в качестве функции управления ИС, но и как защита организации в целом, ее способности выполнять свои функции. Ключевые слова: анализ риска, оценка риска, нечеткая логика
Введение
Внедрение средств вычислительной техники в структуру управления современных предприятий и организаций является, безусловно, прогрессивным процессом, поэтому вполне объяснимо, что до определенного момента не возникает вопросов и опасений, связанных с использованием информационных технологий. Следствием этого часто является стихийный рост информационной инфраструктуры организации, которая по мере приобретения средств вычислительной техники разрастается «вширь», приобретая неструктурированный гетерогенный характер. Это, в свою очередь, приводит к неконтролируемому росту уязвимостей системы и увеличению возможностей доступа к управленческой и производственной информации со стороны внешних и внутренних нарушителей. Информационная система (ИС) становится потенциально опасной для своих собственников, своего рода «миной замедленного действия».
До определенного момента не возникает вопросов и об оценке величины риска, рост которого следует рассматривать как обратную сторону процесса информатизации. Проблема усугубляется тем, что вопросы информационной безопасности (ИБ) обычно отдаются на откуп специалистам по информационным технологиям, которые часто не в состоянии определить реальных последствий для организации угроз ИБ. Менеджеры предприятия, которые могли бы оценить реальные последствия угроз, часто не имеют достаточных знаний в области информационных технологий, чтобы оценить связанные с этим риски. Таким образом, в организации часто не оказывается специалиста, который мог бы оценить реальные риски, связанные с использованием информационных технологий, хотя, очевидно, что оценка риска нужна не только с точки зрения безопасности уже сложившейся инфраструктуры, но и для правильной оценки перспектив использования и развития информационных технологий. Более того, своевременную оценку риска следует рассматривать не только как функцию управления ИС, но и как защиту организации в целом, ее способности выполнять свои функции. Следовательно, процесс управления рисками следует рассматривать не как техническую функцию, которую можно поручить техническим специалистам, а как основную управляющую функцию организации.
Модель оценки риска
Согласно современным международным стандартам в области ИБ, подсистема управления рисками ИБ должна быть обязательным компонентом общей системы обеспечения ИБ организации [1]. Существуют различные методы и методики управления информационными рисками. Эти методики различаются, прежде всего, по уровню и совершенству используемых математических методов, положенных в основу процедур оценивания рисков. Используемые методики можно разделить на прямые одноэтап-ные процедуры оценки риска и многоэтапные процедуры с предварительным оцениванием ключевых параметров, оказывающих основное влияние на величину риска.
В одноэтапных методиках оценки риска выполняются с помощью одноэтапной процедуры, исходя из набора исходных данных. Механизм вывода при этом не формализован и определяется возможностями эксперта. Риск определяется путем прямой экспертной оценки. В том случае, когда модель информационной структуры организации уже определилась и можно выделить основные факторы, влияющие на величину риска,
более подходящими являются многоэтапные механизмы получения оценок риска, предусматривающие получение предварительных оценок по ключевым входным факторам. Известны методики получения оценок риска с предварительным оцениванием двух или трех параметров.
В ходе проведения анализа риска выявляются наиболее критичные с точки зрения информационной безопасности ресурсы, по каждому ресурсу определяются характерные угрозы безопасности и оценивается уязвимость системы защиты ресурса. На основании этих и общестатистических данных определяются вероятностные характеристики возникновения и реализации угроз информационной безопасности.
Цель процесса оценивания рисков состоит в определении характеристик рисков в информационной системе и ее ресурсах. На основе таких данных выбираются необходимые средства управления ИБ. Процесс оценивания рисков содержит несколько этапов [2]:
- описание объекта и мер защиты;
- идентификация ресурса и оценивание его количественных показателей (определение потенциального негативного воздействия на бизнес);
- анализ угроз информационной безопасности;
- оценивание уязвимостей;
- оценивание существующих и предполагаемых средств обеспечения информационной безопасности;
- оценивание рисков.
Механизм нечеткого вывода
Механизм нечеткого вывода является основным звеном в предлагаемой методике получения оценки риска. Он преобразует входные данные в выходную переменную, т. е. в оценку риска. Механизм нечеткого вывода представляет собой последовательность операций над входными данными в соответствии с параметрами, заложенными в наборе репродукционных правил (см. рисунок). Основные этапы нечеткого вывода состоят в следующем [3].
- Ввод экспертных оценок обеспечивает механизм вывода необходимой информацией.
- Фазификация представляет собой процедуру нахождения функций принадлежности используемых термов входных переменных на основе исходных данных.
- Агрегирование является процедурой определения степени истинности условий по каждому из правил системы нечеткого вывода.
- Активизация представляет собой процедуру нахождения степени истинности каждого из подзаключений правил нечетких продукций.
- Аккумуляция представляет собой процедуру нахождения функции принадлежности для каждой из выходных лингвистических переменных заданной совокупности правил нечеткого вывода.
- Дефазификация является процедурой нахождения четких значения выходных переменных, в наибольшей степени отвечающих входным данным и базе продукционных правил.
Предложенный метод получения оценок риска на основе продукционных правил нечеткой логики позволяет:
- снять ограничения на число учитываемых входных переменных;
- заложить в механизм принятия решений любые взаимосвязи, существующие между анализируемыми параметрами;
- учесть при оценке риска имеющуюся информацию относительно свойств системы, отражаемую с помощью правил «ЕСЛИ .. .ТО»;
- использовать лингвистические шкалы и данные;
- учесть степень нечеткости используемых данных.
Рисунок. Механизм нечеткого вывода Заключение
Определен способ получения качественных и количественных оценок величин риска с максимальными возможностями учета априорных данных и результатов предварительных исследований характеристик и свойств ИС. Полученные оценки риска могут быть использованы при разработке концепции обеспечения ИБ на этапе формирования ИС и для поддержания уровня риска на приемлемом уровне на этапе эксплуатации ИС.
Литература
1. Симонов С.В. Анализ рисков, управление рисками // Jet Info. - 2003. - №2.
2. Risk Management Guide for Information Technology Systems. NIST, Special Publication 800-30. - 55 р.
3. Леоненков А.В. Нечеткое моделирование в среде MATLAB и fuzzyTECH. - СПб: БХВ-Петербург, 2003. - 736 с.
Сидоров Алексей Олегович
Торшенко Юлия Александровна
Павлютенков Артем Александрович
Осовецкий Леонид Георгиевич
— Санкт-Петербургский государственный университет информационных технологий, механики и оптики, аспирант, [email protected]
— Санкт-Петербургский государственный университет информационных технологий, механики и оптики, аспирант, [email protected]
— Санкт-Петербургский государственный университет информационных технологий, механики и оптики, аспирант, [email protected]
— Санкт-Петербургский государственный университет информационных технологий, механики и оптики, доктор технических наук, профессор, [email protected]
