- •Глава 1. Общие положения
- •1.1. Основные понятия
- •1.1.1. Терминология и определения в публикациях на русском языке
- •1.1.2. Терминология и определения на английском языке
- •1.2. Обзор процесса управления рисками информационной безопасности
- •Конец первой или последующих итераций
- •1.3. Основные критерии в управлении рисками
- •Глава 2. Оценка риска информационной безопасности
- •2.1. Общее описание оценки риска информационной безопасности
- •2.2. Анализ риска
- •2.3. Оценивание рисков
- •2.3.1. Шкалы и критерии, по которым измеряются риски
- •2.3.2. Объективные и субъективные вероятности
- •2.3.3. Получение оценок субъективной вероятности
- •2.4. Измерение рисков
- •2.4.1. Оценка рисков по двум факторам
- •2.4.2. Разделение рисков на приемлемые и неприемлемые
- •2.4.3 Оценка рисков по трем факторам
- •2.5. Оценка последствий
- •2.6. Установление значений уровня рисков
- •Глава 3. Методы оценки информационных рисков
- •3.1. Высокоуровневая оценка риска информационной безопасности
- •3.2. Детальная оценка риска информационной безопасности
- •3.3.1. Оценка субъективной вероятности
- •3.3.2. Классификация методов получения субъективной вероятности
- •3.3.3. Методы получения субъективной вероятности
- •3.3.4. Методы оценок непрерывных распределений
- •3.3.5. Агрегирование субъективных вероятностей
- •3.3.6. Методы теории полезности
- •3.3.6.1. Постановка задачи выбора в условиях риска
- •3.3.6.2. Необходимые сведения из теории полезности
- •3.3.6.3. Применение методов теории полезности
- •3.3.6.4. Классификация функций полезности по склонности к риску
- •3.3.6.5. Многомерные функции полезности
- •3.3.6.6. Порядок построения многомерной функции полезности
- •3.3.6.7. Проверка допущений о независимости
- •Глава 4. Обработка риска информационной безопасности
- •4.1. Общее описание обработки риска
- •4.2. Снижение риска
- •4.3. Сохранение риска
- •4.4. Предотвращение риска
- •4.5. Перенос риска
- •4.6. Принятие риска информационной безопасности
- •Глава 5. Коммуникация риска информационной безопасности
- •Глава 6. Мониторинг и переоценка риска информационной безопасности
- •6.1. Мониторинг и переоценка факторов риска
- •6.2. Мониторинг, анализ и улучшение менеджмента риска
- •Заключение
- •Библиографический список
- •Оглавление
- •Глава 1. Общие положения 6
- •Глава 2. Оценка риска информационной безопасности 23
- •Глава 3. Методы оценки информационных рисков 55
- •Глава 4. Обработка риска информационной безопасности 88
- •Глава 5. Коммуникация риска информационной безопасности 97
- •Глава 6. Мониторинг и переоценка риска информационной безопасности 99
- •394026 Воронеж, Московский просп., 14
2.3.3. Получение оценок субъективной вероятности
Процесс получения субъективной вероятности обычно разделяют на три этапа: подготовительный этап, получение оценок, этап анализа полученных оценок.
Первый этап. Во время этого этапа формируется объект исследования - множество событий, а также выполняется предварительный анализ свойств этого множества (устанавливается зависимость или независимость событий, дискретность или непрерывность случайной величины, порождающей данное множество событий). На основе такого анализа выбирается один из подходящих определения субъективной вероятности. На этом же этапе производится подготовка эксперта или группы экспертов, ознакомление их с методом и проверка понимания ими поставленной задачи.
Второй этап. Состоит в применении метода, выбранного на первом этапе. Результатом этого этапа является набор чисел, который отражает субъективный взгляд эксперта или группы экспертов на вероятность того или иного события, однако далеко не всегда может считаться окончательным распределением, поскольку нередко оказывается противоречивым.
Третий этап. На этом этапе исследуются результаты опроса. Если вероятности, представленные экспертами, не согласуются с аксиомами вероятности, то на это обращается внимание экспертов и ответы уточняются с целью приведения их в соответствие с выбранной системой аксиом.
Для некоторых методов получения субъективной вероятности третий этап исключается, поскольку сам метод состоит в выборе подчиняющегося аксиомам вероятности вероятного распределения, которое в том или ином смысле наиболее близко к оценкам экспертов. Особую важность третий этап приобретает при агрегировании оценок, предложенных группой экспертов [123].
2.4. Измерение рисков
2.4.1. Оценка рисков по двум факторам
В простейшем случае производится оценка двух факторов: вероятность происшествия и тяжесть возможных последствий. Обычно считается, что риск тем больше, чем больше вероятность происшествия и тяжесть последствий. Общая идея может быть выражена формулой:
РИСК = Рпроисшествия х ЦЕНА ПОТЕРИ.
Если переменные являются количественными величинами, то риск - это оценка математического ожидания потерь.
Когда переменные - качественные величины, метрическая операция умножения не определена. Таким образом, в явном виде эту формулу применять не следует. Рассмотрим вариант использования качественных величин (наиболее часто встречающаяся ситуация).
Сначала должны быть определены шкалы.
Приведем пример субъективной шкалы вероятностей событий [291]:
А - событие практически никогда не происходит;
В - событие случается редко;
С - вероятность события за рассматриваемый промежуток времени - около 0,5;
D - скорее всего, событие произойдет;
Е - событие почти обязательно произойдет.
Кроме того, устанавливается субъективная шкала серьезности происшествий, скажем, в соответствии с [291]:
N (Negligible) - воздействием можно пренебречь;
Mi (Minor) – незначительное происшествие: последствия легко устранимы, затраты на ликвидацию последствия невелики, воздействие на информационную технологию незначительно;
Mo (Moderate) – происшествие с умеренными результатами: ликвидация последствий не связана с крупными затратами, воздействие на информационную технологию небольшое и не затрагивает критически важные задачи;
S (Serious) происшествие с серьезными последствиями: ликвидация последствий связана со значительными затратами, воздействие на информационные технологии ощутимо, влияет на выполнение критически важных задач;
С (Critical) В происшествие приводит к невозможности решения критически важных задач.
Для оценки рисков устанавливается шкала из трех значений:
низкий риск;
средний риск;
высокий риск.
Риск, связанный с конкретным событием, зависит от двух факторов и может быть определен так, как в табл. 2.2.
Таблица 2.2
Определение риска в зависимости от двух факторов
Шкала |
Negligible |
Minor |
Moderate |
Serious |
Critical |
А |
Низкий риск |
Низкий риск |
Низкий риск |
Средний риск |
Средний риск |
В |
Низкий риск |
Низкий риск |
Средний риск |
Средний риск |
Высокий риск |
С |
Низкий риск |
Средний риск |
Средний риск |
Средний риск |
Высокий риск |
D |
Средний риск |
Средний риск |
Средний риск |
Средний риск |
Высокий риск |
Е |
Средний риск |
Высокий риск |
Высокий риск |
Высокий риск |
Высокий риск |
Шкалы факторов риска и сама таблица могут быть построены иначе, иметь другое число градаций.
Подобный подход к оценке рисков достаточно распространен. При разработке (использовании) методик оценивания рисков надо учитывать следующие особенности:
значения шкал должны быть точно определены (необходимо их словесное описание) и пониматься одинаково всеми участниками процедуры экспертной оценки;
требуется обоснование выбранной таблицы. Следует убедиться, что разные инциденты, характеризующиеся одинаковыми сочетаниями факторов риска, имеют с точки зрения экспертов одинаковый уровень рисков.
Пример оценки рисков по двум факторам
В таблице можно наглядно отразить связь факторов негативного воздействия (показателей ресурсов) и вероятностей реализации угрозы с учетом показателей уязвимостей.
На первом шаге оценивается негативное воздействие по заранее определенной шкале, например от 1 до 5, для каждого ресурса, которому угрожает опасность (колонка В в табл. 2.3).
На втором шаге по заданной шкале, например от 1 до 5, оценивается вероятность реализации каждой угрозы.
На третьем шаге вычисляется показатель риска. В простейшем варианте методики это делается путем умножения (В х С). Необходимо помнить, что операция умножения определена для количественных шкал. Для ранговых (качественных) шкал измерения показатель риска, соответствующий ситуации В - 1, С - 3, совсем не обязательно эквивалентен случаю В - 3, С - 1. Соответственно, должна быть разработана методика оценивания показателей рисков применительно к конкретной организации.
На четвертом шаге угрозы ранжируются по значениям их фактора риска. В рассматриваемом примере для наименьшего негативного воздействия и для наименьшей возможности реализации угрозы выбран показатель 1. Ранг риска.
Таблица 2.3
Ранжирование рисков
Дескриптор угрозы |
Показатель |
Возможность негативного воздействия (ресурса) |
Показатель риска реализации угрозы (субъективная оценка) |
Ранг риска |
Угроза A |
5 |
2 |
10 |
2 |
Угроза B |
2 |
4 |
8 |
3 |
Угроза C |
3 |
5 |
15 |
1 |
Угроза D |
1 |
3 |
3 |
5 |
Угроза E |
4 |
1 |
4 |
4 |
Угроза F |
2 |
4 |
8 |
3 |
Данная процедура позволяет сравнивать и ранжировать угрозы с различными негативными воздействиями и вероятностями реализации. В случае необходимости дополнительно могут приниматься во внимание стоимостные показатели [100].