Информационная безопасность » Методики оценки рисков

Модель обобщенного стоимостного результата Миоры (GCC)

admin — Mon, 06 Oct 2008 10:10:46 +0000

Модель GCC разработана как альтернатива Количественной модели рисков (QRM) для улучшения и облегчения расчетов и вычислений. Одним из основных недостатков QRM определяется ее вероятностная составляющая. Действительно, редко происходящие события с большим ущербом и часто происходящие события с маленьким ущербом часто требуют различных подходов в определении защитных мер, однако, как можно видеть из формул, выглядеть при расчетах они будут одинаково.
Модель GCC не учитывает вероятностей катастрофических событий, она оперирует понятием ущерба от простоя, как функцией от времени после наступления событий. Для каждого информационного актива или группы сходных по ряду признаков активов, называемых категорией, определяется размер возможного ущерба, срок начала его влияния на организацию и распределенность по времени.
Например, простой основного производства будет приносить ущерб в 50 ООО долларов в день, начиная с первого дня. Простой службы, занимающейся заключением контрактов на продажу продукции, будет приносить 10 ООО долларов в день, но начиная с пятого дня после начала простоя. И так далее. Затем все категории ущерба суммируются.
Иногда удобнее представить развитие картины ущерба в виде графика, где категории — это функции по двум осям “время в днях” — “ущерб в деньгах”. Обычно в результирующем графике показаны две кривые:
□ суммарный ущерб организации при отсутствии защитных мероприятий — аварийного плана (англ. disaster recovery plan — DRP);
□ суммарный ущерб при наличии DRP.
На таком графике наглядно видна необходимость и эффективность применяемых мер для обеспечения защиты информации.
Модель различает три вида ущербов: прямой осязаемый ущерб, косвенный осязаемый ущерб и неосязаемый ущерб. Примерами первого вида являются категории, которые непосредственно участвуют в производстве прибыли организации, т. е. производственные активы. Второй вид — это в основном функции поддержки, активы, связанные с внешними источниками (например, на бирже убыток происходит за счет падения стоимости акций), и т. д. В третьем виде включены ущерб репутации, невыполненные обещания, негативное общественное мнение. Методики расчета категорий этих видов являются собственностью автора методики и могут быть получены по согласованию с ним. Автор — Michael Miora (mmiora@mmiora.com).

Определение стоимости активов

admin — Mon, 06 Oct 2008 10:10:10 +0000

Следующий тонкий вопрос — определение стоимости активов. Разделим их на осязаемые и неосязаемые активы. К осязаемым отнесем средства обслуживания информационных технологий (ИТ) — аппаратное обеспечение, сетевое обеспечение (среда передачи данных), запасные части, документация и зарплата персонала для поддержки функционирования систем. Стоимостные характеристики этих активов обычно известны либо легко вычисляемы.
Стоимость неосязаемых активов должна учитывать два вида расходов: расходы на замену/восстановление программного обеспечения и данных, расходы при нарушении конфиденциальности/целостности/доступности.
Определение стоимости неосязаемых активов — задача не всегда простая. Существуют отдельные методики такой работы, например, Guideline for Information Valuation (GIV) — Инструкция no Оценке Стоимости Информации, который доступен зарегистрированным членам Information Systems Security Association на сайте http://www.issa.org/. Приведем пример, который поможет понять принципы такого определения.
Предположим, группа специалистов, работает над исследованием, результатом которого должен стать некоторый набор данных (НД), неосязаемую стоимость которого необходимо оценить. Если НД будет утерян на каком-либо из этапов исследования, то это означает, что для его восстановления скорее всего потребуются следующие средства:
1. Если НД сохранился как интеллектуальный продукт (в виде мыслей, идей, возможно, черновиков), то затраты составят расходы на восстановление его на носителях, т. е. труд операторов по вводу данных, сканированию, корректировке и т. д.
2. Если НД не сохранился ни в каком виде, то расходы составят столько же, сколько было потрачено на работу данной группы до того этапа, когда НД был утерян, при условии что актуальность разработки не утрачена. Если сохранилось какое-либо оборудование или материалы, которые можно использовать в повторном исследовании, то их следует вычесть из общих расходов.
Для оценки стоимости по конфиденциальности необходимо исследование ряда дополнительных условий.
1. Если разглашение информации о деталях исследования никак не повлияет на деятельность группы, то НД не имеет стоимости в этом смысле.
2. Если разглашение информации о НД, например, конкурентам, означает крах всего исследования, то расходы в этом случае по порядку величины равны организации новых исследований, т. е. затратам в позиции 2.
3. Если работы группы были сегментированы таким образом, что НД представляет собой отдельные объекты, не связанные друг с другом, то, возможно, нарушение конфиденциальности одного из них не повлияет на состояние конфиденциальности остальных, расходы составят меньшую часть.
Для оценки стоимости нарушения целостности необходимо знать, насколько такое нарушение существенно для проекта или для работ. При этом следует различать смысловые ошибки самого исследования, ошибки персонала при работе с данными, ошибки оборудования, изменения, внесенные злоумышленниками, и т. п. Также следует различать данные по чувствительности к нарушениям целостности. В номере банковского счета или в сумме на этом счете изменение одной цифры может иметь более серьезные последствия, чем изменения 100 записей в базе данных библиотечного каталога в 10 ООО записей.
1. Если изменение данных повлекло собой прямой материальный ущерб (недополучение или перерасход, как в примере с банковским счетом), то максимум такого возможного ущерба — это и есть стоимость нарушения целостности. Но при этом следует учитывать, что иногда максимальный ущерб не может быть нанесен просто потому, что будет моментально обнаружен и предотвращен, а иногда часть или весь размер этого ущерба возможно компенсировать путем возврата утраченных средств.
2. Изменение также может повлечь больший или меньший ущерб, оценить который могут, порой, только специалисты. Например, изменение в химической формуле или пропорциях химической смеси может привести к грандиозной катастрофе.
Нарушение доступности целесообразно различать по времени. Два основных вида недоступно в течение учитываемого периода времени и недоступны навсегда. Последняя ситуация аналогична случаям 1 и 2, а частичную недоступность следует классифицировать по промежуткам времени — какой ущерб последует, если НД не будет доступен (частично доступен) в течение минуты, часа, дня и т. д.
Для того чтобы не упустить из рассмотрения все возможные варианты получения ущерба, необходимо произвести связь между уязвимостью, угрозой и влиянием на актив.

CorelDRAW X5 – отличная программа для работы с векторной графикой, которая была разработана канадской компанией Corel. Программа сама по себе не является бесплатной, но скачать Corel Draw на русском языке с ключом активации можно бесплатно с сайта coreldrawx5.ru

Общая методика

admin — Mon, 06 Oct 2008 10:09:43 +0000

Количественная модель рисков оперирует такими понятиями, как:
□ годовая частота происшествия (англ. Annualized Rate of Occurrence — ARO), иначе говоря, вероятность появления ущерба;
□ ожидаемый единичный ущерб (англ. Single Loss Expectancy — SLE), т.е. стоимость ущерба от одной успешной атаки;
□ ожидаемый годовой ущерб (англ. Annualized Loss Expectancy — ALE), величина, равная произведению ARO на SLE.
ALE = ARO x SLE,
где ARO — это частота появления события, приносящего ущерб на годовой основе, т. е., если событие происходит раз в 5 лет, то величина ARO равна 1/5 или 0,2, а если событие происходит 3 раза в год, то ARO равно 3. Как видим, эта величина отлична от математической вероятности, которая не может быть больше 1. Величина ARO не ограничена сверху. Если в организации из 100 человек 50 ежедневно эксплуатируют информационную систему, при этом 5 из них, обладая высокими правами, но низкой квалификацией, могут ежемесячно допускать серьезные ошибки, приводящие к нарушениям в работе системы, то AROjsjm этой системы по данному событию будет равна 5 х 12 = 60.
SLE рассчитывается как произведение количественного (стоимостного) значения актива (англ. Asset Value — А V) на фактор воздействия (англ. Exposure Factor — EF). Фактор воздействия — это размер ущерба или влияния на значение актива (от 0 до 100%), т. е. часть значения, которую актив потеряет в результате события.
SLE=AVx ЕЕ
Рассмотрим пример. Предположим, имеется здание с внутренней инфраструктурой общей стоимостью 10 000 000 долларов. Пожар может нанести ущерб с фактором воздействия 30% (здание и часть инфраструктуры сохранится). Пожар может случиться раз в 10 лет. Тогда:
SLE= 10 000 000 х 0,3 = 300 000
ALE= 300 000 х 0,1 = 30 000
Таким образом, если организация будет тратить до 30 000 долларов в год на предотвращение риска пожара, то предпринимаемые меры будут эффективными с точки зрения управления рисками.

Методики оценки рисков

admin — Mon, 06 Oct 2008 10:08:17 +0000

В этой главе будут рассмотрены три методики оценки рисков: □ модель качественной оценки;
П традиционная (для Запада) методика под условным названием Количественная модель рисков (англ. Quantative Risk Model — QRM);
П именная методика Модель обобщенного стоимостного результата Миоры (англ. Miora Generalized Cost Consequence Model).