О.А. Остапенко
Д.О. Карпеев
В.Н. Асеев
Риски систем:
оценка и управление
Учебное пособие
Воронеж 2006
ГОУВПО
«Воронежский государственный технический университет»
О.А. Остапенко
Д.О. Карпеев
В.Н. Асеев
РИСКИ СИСТЕМ:
ОЦЕНКА И УПРАВЛЕНИЕ
Допущено
УМО по образованию в области информационной безопасности для студентов высших учебных заведений, обучающихся по специализации «Противодействие вредоносному программному обеспечению в информационно-телекоммуникационных системах» специальности 090102 – «Компьютерная безопасность» и специализации «Проектирование систем защиты информации в информационно-телекоммуникационных системах» специальности 090105 – «Комплексное обеспечение информационной безопасности автоматизированных систем»
В
оронеж
2006
УДК 002.001; 002.001.8
Остапенко О.А. Риски систем: оценка и управление: учеб. пособие / О.А. Остапенко, Д.О. Карпеев, В.Н. Асеев; под ред. Ю.Н. Лаврухина. – Воронеж: ГОУВПО «Воронежский государственный технический университет», 2006. - 300 с.
Работа посвящена исследованию и разработке методики оценки и управления рисками для произвольных систем. Основой рассматриваемой методики составляет аппарат теории вероятностей, теории риска, а также теории нечетких множеств. Рассмотрены вопросы оценки уровня риска систем для наиболее распространенных непрерывных и дискретных распределений вероятности ущерба. В работе также уделено внимание вопросам управления рисками, на основе разработанных методик оценки.
Издание соответствует требованиям Государственного образовательного стандарта по направлению 090100 «Информационная безопасность», специальностям 090102 «Компьютерная безопасность» и 090105 «Комплексное обеспечение информационной безопасности автоматизированных систем», дисциплине «Информационные технологии и системы государственного и муниципального управления».
Издание предназначено студентам и аспирантам.
Учебное пособие подготовлено в электронном виде в текстовом редакторе MS WORD 2002 и содержится в файле кафедра4СИБ.document.
Табл. 88. Ил. 14. Библиогр.: 98 назв.
Научный редактор д-р техн. наук, проф. А.Г.Остапенко
Рецензенты: НТС МНПО – фирма «Бит»(секретарь проф.
Г.С.Остапенко);
Канд. Техн. Наук, доц. В.П. Дуров
© Остапенко О.А., Карпеев Д.О., Асеев В.Н., 2006
© Оформление. ГОУВПО ”Воронежский госу-
д
ОГЛАВЛЕНИЕ
ВВЕДЕНИЕ……………………………………………………...
ЗАКЛЮЧЕНИЕ………………………………………………… БИБЛИОГРАФИЧЕСКИЙ СПИСОК…………………………
|
6 9 9 15 25
39
52
55
58
71
80
95
104
114
123
132
141
150
158
172
176
184
195
204
204
212
221
230
236
245
225 264
264 267
272
282 291 292
|
|
|
|
непрерывного распределения вероятностей
ущерба………………………………………………….
-распределения
вероятностей ущерба…………………………………………………..
ВВЕДЕНИЕ
В современном мире все большее внимание уделяется разработке общих формальных моделей оценки и управления информационными рисками различных классов систем. Исследование проблемы обеспечения информационной безопасности социотехнических систем показывает, что она тесно связана с обеспечением безопасности систем в целом. Причем зачастую достаточно сложно провести грань между угрозами безопасности систем в общем и угрозами в информационной сфере. Рассмотренный класс социотехнических систем достаточно обширен, чтобы выявить общие закономерности. Поэтому целесообразно обобщить имеющуюся теоретическую базу, позволяющую проводить оценку и управление информационными рисками для более широкого класса систем. Речь идет об оценке и управлении рисками систем в целом.
В различных приложениях используются различные интерпретации понятия риска. Так, например, в статистике «риск – вероятность события, которое может вызвать отклонение от ожидаемых тенденций». При выполнении коммерческих операций «риск – возможность ущерба от события, которое изменяет исходную ситуацию». А в общепринятом употреблении «риск – возможное опасное событие». Таким образом, риск – возможное опасное событие, ущерб – последствия от происшедшего опасного (негативного) события. Понятия «риск» и «ущерб» имеют смысл только в отношении какого-то конкретного объекта или субъекта.
Анализ рисков представляет собой процесс комплексной оценки защищенности информационной системы с переходом к количественным или качественным показателям рисков. При этом риск обусловлен вероятным ущербом, который в свою очередь зависит от защищенности системы. Из этого следует, что на выходе алгоритма анализа риска можно получить либо количественную оценку рисков, либо — качественную (уровни риска; обычно: высокий, средний, низкий).
Комплексный анализ рисков заключается в необходимости построения полной модели анализируемой системы. Модель должна включать анализ основных процессов, происходящих в ней. После моделирования системы необходимо решить, как алгоритмически оценить защищенность данной системы. Для этого анализируются риски и защищенность для дискретных и непрерывных распределений ущерба. Существуют различные методики оценки риска информационных систем с дискретным и непрерывным распределением вероятностей ущерба. Данные методики целесообразно применять и для более широкого класса систем.
Значение ущерба может определяться как по дискретной, так и по непрерывной шкале. Описание случайной величины считается полным с точки зрения теории вероятностей, если установлен закон распределения случайной величины, который обычно представляют в виде ряда (или функции) распределения. Методы теории вероятности позволяют проводить анализ риска и в условии отсутствии информации о виде закона распределения вероятности, опираясь на статистические данные.
Анализ риска предполагает одновременное исследование множества параметров, описывающих деятельность системы, внешнюю среду и методы управления риском. Поэтому оценка риска только лишь для одиночных угроз элементам системы не отражает в данном случае реальное положение дел в контексте защищенности. Становится определенной необходимость оценки комплексного влияния множества угроз на элементы системы.
Как и в случае действия одной угрозы существует два подхода оценки рисков при рассмотренных выше условиях:
Качественный (например, экспертный),
Количественный.
Сложность экспертного метода в контексте воздействия множества угроз заметно возрастает, но не приводит к увеличению точности. Однако применение этого метода эффективно при решении сложных неформализуемых проблемных задач, в которых неполнота и недостоверность информации не позволяют использовать статистические или другие формализованные методы для оценки риска.
В результате проведения таких оценок может быть определена картина возможных рисковых событий, а именно: вид их распределения, наиболее важные с точки зрения обеспечения безопасности и оптимизации процессов управления характеристики.
Основной задачей обеспечения безопасности системы является управление рисками. Понятие «управление рисками» появились сравнительно недавно и сегодня вызывают постоянный интерес специалистов в области обеспечения непрерывности бизнеса и сетевой безопасности. В настоящее время управление рисками представляет собой одно из наиболее актуальных и динамично развивающихся направлений стратегического и оперативного менеджмента. Его основная задача — объективно идентифицировать и оценить наиболее значимые риски организации, а также адекватность используемых средств контроля рисков для увеличения эффективности и рентабельности экономической деятельности объекта.
Поэтому под термином управление рисками обычно понимается системный процесс идентификации, контроля и снижения или перераспределения рисков объекта в соответствии с определенными ограничениями нормативно-правовой базы и собственной корпоративной политики безопасности.
1. Вероятности и риски
1.1. Понятийный аппарат
Окружающий мир полон неопределенностей, связанных с невозможностью точного предсказания будущих событий. Ошибаясь в прогнозах, мы рискуем получить не совсем то, или совсем не то, что ожидалось. Вездесущая неопределенность является источником риска. Вместе с тем необходимость применения количественных методов оценки опасности угроз обусловлена не только требованиями повышения обоснованности решений, но и перспективами формализации процессов выбора оптимального решения, создания автоматизированных систем поддержки принятия решений, оперативного управления защитой и т.д.
Математические модели, описывающие неопределенность, можно разделить на две группы [47, 53]:
вероятностные модели;
модели нечетких множеств.
Далее будем рассматривать неопределенность через ее вероятностное описание и, таким образом, определим риск, как состояние вероятностной неопределенности: будущие события нельзя предсказать точно, однако известно их вероятностное распределение.
В простейших случаях множество будущих событий можно считать конечным и риск представляется вероятностным распределением на конечном пространстве элементарных событий [29].
Для определенности рассматривать случай обеспечений информационной безопасности произвольной системы. Элементарным событием (исходом) в данном контексте будем считать факт достижения ущербом системы определенного значения за некоторый интервал времени или после реализации некоторой угрозы. Ущерб – физическое повреждение или нанесение вреда здоровью людей (сотрудников), либо нанесение вреда имуществу или окружающей среде системы. Ущерб от реализации угрозы безопасности информации определяется содержанием деструктивного действия, выполняемого в ходе реализации угрозы относительно защищаемой информации пользователя, системного или прикладного программного обеспечения, и является в общем случае величиной случайной. Поэтому, как правило, проводится оценка среднего значения ущерба. Знание закона распределения позволяет оценить возможные отклонения значения ущерба от его среднего значения. Однако на практике закон распределения величины ущерба обычно не известен. В настоящее время наукой не разработано четких алгоритмов априорного задания закона распределения случайной величины. Закон распределения можно лишь идентифицировать по имеющейся статистике путем проверки гипотезы о соответствии выборочного распределения случайной величины определенной заранее известной модели. Эта проверка осуществляется при заданном уровне значимости, т.е. ее результаты опять-таки верны с определенной вероятностью. В случае отсутствия статистики случайной величины закон распределения задается исходя из свойств факторов, обусловливающих вариацию параметра, влияние которых выражено в определенной модели [39, 71]. Суммируя вышесказанное, определим риск, как сочетание вероятности возникновения ущерба и тяжести этого ущерба.
Рассмотрим ущерб для системы как случайную величину. Основными характеристиками, необходимыми для оценки ущерба, как случайной величины заданной определенным законом распределения, являются [15-17, 25]:
математическое ожидание (первый начальный момент);
дисперсия (второй центральный момент);
центральные моменты третьего и четвертого порядков.
Непрерывная случайная величина (НСВ) – случайная величина, значения которой образуют несчетные множества.
Функция плотности распределения является основой для исследования непрерывных случайных величин. Интегральная функция распределения плотности вероятности имеет вид
.
(1.1)
Применительно к ущербу, плотность
выражает вероятность возникновения
определённого ущерба. Принимая во
внимание то, что ущерб – это положительно
распределенная случайная величина,
запишем его закон распределения
.
(1.2)
Дискретная случайная величина (ДСВ) – случайная величина, принимающая счетное (конечное или бесконечное) множество значений.
Законом распределения дискретных
случайных величин является множество
пар
,
где
– это возможные значения случайной
величины, а
– вероятность появления данного
значения, т.е.
.
Этот закон задается или в форме таблицы, или в виде формулы (выражающей зависимость вероятности от значения случайной величины) или в виде рекуррентной формулы [16, 47, 50].
Для дискретного распределения вероятности ущерба функция распределения имеет следующий вид:
,
(1.3)
где - вероятность появления i-го значения ущерба при дискретном распределении вероятности ущерба.
Важнейшей характеристикой при оценке ущерба является математическое ожидание, характеризующее его среднее значение. Можно записать выражения для расчета математического ожидания:
- (1.4)
для непрерывного распределения вероятностей ущерба,
- (1.5)
для дискретного распределения вероятностей ущерба,
где
– это соответственно значение ущерба
для системы и вероятность его появления.
Следующей важной характеристикой ущерба как случайной величины является дисперсия. Как известно из теории вероятностей данная характеристика показывает рассевание (степень разбросанности) случайной величины (в нашем случае количественного значения ущерба для системы) вокруг среднего значения. Дисперсия ущерба вычисляется следующим образом:
. (1.6)
Среднеквадратическое отклонение ущерба
имеет вид
.
В данной теме немаловажное значение имеют понятия начального и центрального моментов.
Начальным моментом s-го порядка случайно распределенной величины ущерба в общем виде является математическое ожидание s-й степени его величины. Запишется это так
.
(1.7)
Центральным моментом порядка s случайной величины ущерба называется математическое ожидание s-й степени соответствующей центрированной случайной величины:
. (1.8)
Нетрудно видеть, что первый начальный
момент – это математическое ожидание
(
),
а второй центральный момент – есть,
ничто иное, как дисперсия случайной
величины ущерба (
).
Приведем соотношения, связывающие центральные и начальные моменты различных порядков. Особенность состоит в том, что эти соотношения справедливы как для дискретных, так и для непрерывных случайных величин.
(1.9)
С использованием этих величин вводится коэффициент асимметрии распределения значений ущерба в системе:
.
(1.10)
Рис. 1.1. Коэффициент эксцесса и ассиметрии
В исследуемой области эта величина
показывает, распределен ли ущерб
симметрично, относительно своего
среднего значения (при этом
,
например – нормальный закон распределения)
либо имеется асимметрия в распределении.
Кроме того, она характеризует степень
и направленность асимметрии в распределении
ущерба. Если As>0, то
распределение имеет правостороннюю
асимметрию. При As<0 –
асимметрия левосторонняя.
Четвертый центральный момент служит характеристикой островершинности распределения ущерба. Для более наглядного описания этого свойства в теории вероятностей с помощью него вводится эксцесс случайной величины.
. (1.11)
Эксцесс ущерба для системы показывает,
является ли распределение ущерба более
островершинными, чем нормальное (
)или
нет (
)
(для нормального распределения
).
Закон распределения вероятности ущерба
(и плотность распределения вероятности
ущерба соответственно) в зависимости
от сложившейся ситуации будет иметь
различную форму и положение относительно
оси значений ущербов. Обозначим
совокупность всевозможных вероятностных
распределений ущерба на вещественной
числовой оси (
).
Для оценивания риска необходимо научиться
сравнивать эти вероятностные распределения
ущерба. Для этого оказывается более
естественным использовать не отношение
порядка, а отношение предпочтения,
поскольку существенно различные риски
могут оказаться "одинаковыми" с
точки зрения их качества в задаче
принятия решений по управлению рисками
системы [3, 62]. Одним из способов задания
отношения предпочтения на множестве
является введение меры риска: функционала
на
.
, (1.12)
где
- множество вещественных оценок риска.
Как только определен функционал вида
(1.12), порожденное им отношение предпочтения
может быть задано одним из следующих
способов:
(1.13)
или
.
(1.14)
Мера риска должна отражать отношение предпочтения, основываясь на котором принимается решение по управлению рисками системы. Некоторые примеры мер риска будут приведены в следующих разделах данной главы.