«Петренко С. А. ...»
Существуют различные методики измерения рисков. Чаще всего используются табличные методы, рассматриваемые в главе 3.
Если применяются качественные методы, возможные риски нарушения ИБ должны быть ранжированы по степени их опасности с учетом таких факторов, как цена возможных потерь, уровень угрозы и уязвимости.
Риски могут быть оценены с помощью количественных шкал. Это даст возможность упростить анализ по критерию «стоимость-эффективность» предлагаемых контрмер. Однако в этом случае предъявляются более высокие требования к шкалам измерения исходных данных и проверке адекватности принятой модели.
Выработка рекомендаций по управлению рисками
Рекомендации по уменьшению рисков до допустимого уровня являются необходимыми. Они должны быть комплексными и учитывать возможные меры различных уровней, например:
- внесение изменений в политику ИБ;
- изменения в регламентах обслуживания и должностных инструкциях;
- дополнительные программно-технические средства.
Разработка итоговых отчетных документов
Существуют определенные требования к содержанию отчетных документов. Обязательно наличие следующих разделов:
- цели работы;
- принятая методология;
- описание ИС с позиции ИБ;
- угрозы;
- уязвимости;
- риски;
- предлагаемые контрмеры.
Ведомственные и корпоративные стандарты управления ИБ
Рядом организаций и ведомств предложены свои спецификации для базового уровня ИБ. Ниже рассматриваются некоторые из них: спецификация сервисов базового уровня XBSS, стандарт NASA «Безопасность информационных технологий» и др.
XBSS-спецификации сервисов безопасности Х/Ореп
Консорциум Х/Open выпустил документ под названием «Спецификации сервисов базового уровня ИБ» [129][1]
).
Спецификация применима к информационным системам, построенным на базе типовых проектных решений. Предполагается, что концепция обеспечения ИБ организации соответствует стандарту BS 7799 (ISO 17799). При разработке спецификации использовалось понятие профиля защиты с компонентами, удовлетворяющими требованиям «Good Practice», формализованным в виде четких критериев.
В спецификации определены:
- требования в области ИБ к сервисам информационной системы;
- параметры, устанавливаемые по умолчанию, соответствующие требованиям ИБ.
Требования к подсистеме идентификации и аутентификации
- администрирование для непривилегированного пользователя запрещено;
- требуется возможность разграничения доступа по группам пользователей, местоположению, времени;
- перед сменой пароля необходима аутентификация;
- выполняется отслеживание неудачных попыток входа в систему, задержка после ввода неверного пароля перед следующей попыткой, оперативное оповещение администратора безопасности при нескольких последовательных неудачных попытках входа в систему;
- обеспечивается системная защита данных, которые служат для аутентификации, и регистрационных данных пользователей;
- требования к паролям (по длине, допустимым символам и т.п.) следует проверять;
- установлено ограничение на доступ к системной базе паролей и на показ паролей на экране;
- данные, необходимые при аутентификации, защищаются, а пароли хранятся только в зашифрованном виде;
- пароли обязательно периодически сменяются, новые пароли непременно должны отличаться от старых;
- пользователи при доступе к базе данных аутентифицируются в обязательном порядке;
- производится смена стандартных паролей, вводимых при установке;
- при входе пользователя в систему выдаются сведения о времени последнего входа/выхода, сервисах, числе неудачных попыток входа с данным именем после последнего сеанса.
Требования к подсистеме протоколирования/аудита
- данные, относящиеся к протоколу (регистрационный журнал), необходимо защитить от изменения;
- система должна позволять идентифицировать и показывать текущие события;
- события, которые могут привести к нарушению целостности регистрационного журнала, следует перечислить в документации администратора безопасности;
- протоколирование доступа к базе данных является обязательным;
- события, подлежащие регистрации, устанавливаются для пользователей, групп пользователей, объектов базы данных;
- действия пользователей с полномочиями администраторов подвергаются аудиту на предмет адекватности текущей ситуации;
- средства протоколирования/аудита должны иметь возможность отслеживать события следующих классов:
- использование механизмов идентификации и аутентификации;
- помещение объектов в адресное пространство пользователя;
- создание, модификация, удаление объектов;
- действия привилегированных пользователей;
- передача данных за пределы системы;
- начало и окончание работы системы, сеансов, точки входа;
- модификация прав доступа и привилегий.
Минимальные требования к протоколированию/аудиту
- следует регистрировать удачные и неудачные попытки входа в систему;
- необходимо регистрировать изменения, вносимые в процессе администрирования базы данных, и использовать системные сервисы;
- при попытке несанкционированного доступа к регистрационным журналам надо отправлять сообщение администратору безопасности, а процесс-нарушитель - блокировать;
- записи о событиях в регистрационном журнале должны содержать информацию о типе (классе) события, дате и времени начала и окончания, удачном/ неудачном завершении, пользователе.
Требования к подсистеме управления доступом
- для управления доступом служат следующие атрибуты: идентификатор пользователя и права доступа на чтение, запись, выполнение программ; профиль пользователя; подразделение;
- должны быть установлены правила доступа, основанные на атрибутах доступа, и правила доступа по умолчанию;
- доступ к устройствам ввода/вывода следует регламентировать административными и программно-техническими мерами;
- в базе данных необходимо определить атрибуты доступа для объектов и субъектов, причем для объектов атрибуты устанавливаются в процессе операций импорта/экспорта;
- правила доступа распространяются только на пользователей, прошедших авторизацию;
- наличие утвержденных списков управления доступом или правил управления доступом является обязательным;
- если права доступа для объектов и субъектов различаются, их надо проверять на согласованность;
- в базе данных должна быть обеспечена защита от чтения и модификации информации, относящейся к политике безопасности, в частности данных, касающихся идентификации и аутентификации, а также точек входа и соответствующих им параметров (системных и пользовательских);
- запрещается разглашать атрибуты, относящиеся к политике безопасности и устанавливаемые по умолчанию;
- пользователи должны иметь возможность в любой момент закрыть (приостановить) свой сеанс и возобновить его после повторной аутентификации.
Требования к подсистеме защиты повторного использования объектов
- всю информацию, касающуюся атрибутов безопасности и авторизации, не содержащуюся в объекте, следует выгружать из памяти (уничтожать) после выгрузки объекта;
- необходимо запретить доступ к данным (включая зашифрованные), относящимся к незагруженному объекту, для любых других объектов, в том числе тех, которые используют незагруженный объект.
Требования к защите критичной информации
- когда пользовательский сеанс приостановлен (блокирован), вывод также необходимо приостановить, а экран монитора погасить;
- база данных должна иметь возможность перед процедурой инициализации сеанса выдать пользователю предупреждение об ограничениях, связанных с текущей ситуацией.
Требования к средствам обеспечения целостности
- процедуры (решаемые задачи) требуется документировать, в частности описать вопросы восстановления в случае сбоев оборудования и нарушения целостности данных;
- после успешного входа в систему пользователю следует предоставить следующую информацию:
- кто последний раз входил в систему (пользователь, процесс и т.п.);
- дату и время последнего успешного входа/выхода в систему;
- сервис, который был использован во время сеанса;
- число неудачных попыток входа в систему после завершения последнего сеанса;
- данные о пользовательском идентификаторе;
- база данных должна ограничивать возможности незарегистрированного пользователя при попытках входа в систему посредством применения задержки после неудачной попытки входа в систему или блокирования доступа к данным пользователя, не вошедшего в систему;
- для базы данных необходимо обеспечить возможность работы в нормальном режиме и режиме технического обслуживания (технологическом);
- по умолчанию для пользователей недоступны каталоги, созданные другими пользователями и программами;
- функции администратора, связанные с обеспечением информационной безопасности, недоступны прочим пользователям и процессам;
- восстановление данных всех категорий - вплоть до минимального уровня защищенности - в результате работы процедуры восстановления данных является обязательным;
- процедуру восстановления можно проводить только в режиме технического обслуживания.
Требования к средствам обеспечения доступности
Должны быть определены требования по доступности для данной информационной технологии.
Обеспечение безопасности порождения и получения информации
- обычным пользователям необходимо запретить переводить систему из нормального режима в режим технического обслуживания;
- в режиме технического обслуживания обычным пользователям не следует предоставлять доступ в систему;
- база данных должна вести отчетность по каждому пользователю отдельно.
Требования к средствам управления ИБ
- надежность средств управления безопасностью обеспечивается разделением ролей и обязанностей администраторов;
- должны присутствовать как минимум администратор безопасности, системный администратор, пользователи;
- следует особо контролировать вопросы перераспределения и добавления должностных обязанностей, связанных с ИБ;
- средства администрирования, относящиеся к ИБ, необходимо контролировать на предмет их несанкционированного использования, модификации, уничтожения;
- в системе нужны механизмы защиты при регистрации новых пользователей;
- обязательным является присутствие в базе данных механизмов защиты, обеспечивающих невозможность включать/выключать механизмы защиты; выбирать или изменять события, подлежащие протоколированию/аудиту; изменять установленные по умолчанию события и атрибуты защиты;
- требуется установить предельное время пассивности пользователей, после которого они исключаются из числа легальных пользователей;
- системный администратор должен проводить аудит действий одного или выбранной группы пользователей; а средства проведения аудита необходимо защитить от неавторизованного использования, модификации, уничтожения;
- в базе данных:
- при установке обязательно наличие механизма выбора и обновления параметров конфигурации;
- любые установки администратора могут производиться только после этого;
- нужна защита механизма регистрации параметров пользователя от несанкционированного удаления, модификации, ознакомления;
- следует предусмотреть механизм удаления пассивных пользователей;
- администратор должен иметь возможность отменить команду удаления пользователя из списков;
- необходим защитный механизм, предоставляющий доступ только авторизованному персоналу к выполнению функций администратора.
Стандарт NASA «Безопасность информационных технологий»
Минимальные требования к базовому уровню защищенности соответствуют документу «Руководство по политике безопасности для автоматизированных информационных систем» [206] и конкретизируют его положения. Принят дифференцированный подход: вводится 4 уровня критичности технологии, для которых по 30 позициям специфицируются требования. Следует отметить, что подобный подход - определение нескольких вариантов базовых требований для различных типов технологий - безусловно оправдан и позволяет принять во внимание их специфику. Этот документ доступен в Internet и является весьма полезным при разработке спецификаций на подсистему информационной безопасности с учетом ее специфики.
Концепция управления рисками MITRE
Организацией MITRE [319] была предложена концепция управления рисками при построении различных систем (не только информационных). В целом эта концепция близка к рекомендациям рассмотренного выше стандарта США NIST 800-30. MITRE бесплатно распространяет простейший инструментарий на базе электронной таблицы, предназначенный для применения на этапе идентификации и оценки рисков, а также выбора возможных контрмер в соответствии с этой концепцией, - Risk Matrix [340].
В данной концепции риск не разделяется на составляющие его части (угрозы и уязвимости), что в некоторых случаях может оказаться более удобным с точки зрения владельцев информационных ресурсов. Например, в России на этапе анализа рисков весьма распространено построение модели нарушителя с прямой экспертной оценкой рисков. По этой причине простейшие методики и инструменты типа Risk Matrix наиболее востребованы на отечественном рынке услуг в области защиты информации.
Глава
Технологии анализа рисков
Опубликованные документы различных организаций и положения описанных выше стандартов в области защиты информации, посвященные вопросам анализа информационных рисков и управления ими, не содержат ряда важных деталей, которые надо обязательно конкретизировать при разработке применимых на практике методик. Необходимая степень конкретизации этих деталей зависит от уровня зрелости организации, специфики ее деятельности и ряда других факторов. Таким образом, невозможно предложить какую-либо единую, приемлемую для всех отечественных компаний и организаций, универсальную методику, соответствующую определенной концепции управления рисками. В каждом частном случае приходится адаптировать общую методику анализа рисков и управления ими под конкретные нужды предприятия с учетом специфики его функционирования и ведения бизнеса. Рассмотрим сначала типичные вопросы и проблемы, возникающие при разработке таких методик, возможные подходы к решению этих проблем, а затем обсудим примеры адаптации и разработки соответствующих корпоративных методик.
Вопросы анализа рисков и управления ими
Идентификация рисков
В любой методике необходимо идентифицировать риски, как вариант - их составляющие (угрозы и уязвимости). Естественным при этом является требование полноты списка. Сложность задачи составления списка и доказательства его полноты зависит от того, какие требования предъявляются к детализации списка. На базовом уровне безопасности (третий уровень зрелости организации) специальные требования к детализации классов, как правило, отсутствуют, так что достаточно воспользоваться каким-либо подходящим в данном случае стандартным списком классов рисков. Оценка величины рисков не рассматривается, что приемлемо для некоторых разновидностей методик базового уровня. Списки классов рисков содержатся в ряде руководств, в специализированном ПО анализа рисков. Пример -Германский стандарт BSI [346], в котором имеется каталог угроз применительно к различным элементам информационной технологии. Достоинством подобных списков является их полнота: классов, как правило, немного (десятки), они достаточно широкие и заведомо покрывают все существующее множество рисков. Недостаток - сложность оценки уровня риска и эффективности контрмер для широкого класса, поскольку подобные расчеты удобнее проводить по более узким (конкретным) классам рисов. К примеру, класс рисков «неисправность маршрутизатора» может быть разбит на множество подклассов, включающих возможные виды неисправности (уязвимости) ПО конкретного маршрутизатора и неисправности оборудования.
Оценивание рисков
При оценивании рисков рекомендуется рассматривать следующие аспекты:
- шкалы и критерии, по которым можно измерять риски;
- оценку вероятностей событий;
- технологии измерения рисков.
Шкалы и критерии, по которым измеряются риски. Для измерения какого-либо свойства необходимо выбрать шкалу. Шкалы могут быть прямыми (естественными) или косвенными (производными). Примерами прямых шкал являются шкалы для измерения физических величин, например шкалы для измерения объемов жидкости в литрах, шкалы для измерения длины в метрах. В ряде случаев прямых шкал не существует, приходится использовать либо прямые шкалы других свойств, связанных с интересующими нас, либо определять новые шкалы. Пример - шкала для измерения субъективного свойства «ценность информационного ресурса». Эта ценность может измеряться в единицах измерения производных шкал, таких как стоимость восстановления ресурса, время восстановления ресурса и др. Другой вариант - определить шкалу для получения экспертной оценки, например имеющую три значения:
- малоценный информационный ресурс: от него не зависят критически важные задачи и он может быть восстановлен с небольшими затратами времени и денег;
- ресурс средней ценности: от него зависит ряд важных задач, но в случае утраты он может быть восстановлен за время, не превышающее критически допустимое, но стоимость восстановления - высокая;
- ценный ресурс: от него зависят критически важные задачи, в случае утраты время восстановления превышает критически допустимое либо стоимость чрезвычайно высока.
Для измерения рисков не существует естественной шкалы. Риски можно оценивать по объективным либо субъективным критериям. Примером объективного критерия является вероятность выхода из строя какого-либо оборудования, например ПК, за определенный промежуток времени. Пример субъективного критерия - оценка владельцем информационного ресурса риска выхода из строя ПК. В последнем случае обычно разрабатывается качественная шкала с несколькими градациями, например: низкий, средний, высокий уровень. В методиках анализа рисков, как правило, используются субъективные критерии, измеряемые в качественных единицах, поскольку:
- оценка должна отражать субъективную точку зрения владельца информационных ресурсов;
- следует учитывать различные аспекты - не только технические, но и организационные, психологические и т.д.
Для получения субъективной оценки в рассматриваемом примере с оценкой риска выхода из строя ПК можно либо воспользоваться прямой экспертной оценкой, либо определить функцию, преобразующую объективные данные (вероятность) в субъективную шкалу рисков.
Субъективные шкалы бывают количественными и качественными, но на практике, как правило, применяются качественные шкалы с 3-7 градациями. С одной стороны, это просто и удобно, с другой - требует грамотного подхода к обработке данных.
Объективные и субъективные вероятности
Термин «вероятность» имеет несколько различных значений. Наиболее часто встречаются два толкования, которые обозначаются сочетанием «объективная вероятность» и «субъективная вероятность». Под объективной (иногда называемой физической) вероятностью понимается относительная частота появления какого-либо события в общем объеме наблюдений или отношение числа благоприятных исходов к общему количеству наблюдений. Это понятие применяется при анализе результатов большого числа наблюдений, имевших место в прошлом, а также полученных как следствия из моделей, описывающих некоторые процессы.
Под субъективной вероятностью имеется в виду мера уверенности некоторого человека или группы людей в том, что данное событие в действительности будет иметь место. Как мера уверенности в возможности наступления события субъективная вероятность может быть формально представлена различными способами: вероятностным распределением на множестве событий, бинарным отношением на множестве событий, не полностью заданным вероятностным распределением или бинарным отношением и другими способами. Наиболее часто субъективная вероятность представляет собой вероятностную меру, полученную экспертным путем. Именно в этом смысле мы и будем понимать субъективную вероятность в дальнейшем. Субъективная вероятность в современных работах в области системного анализа не просто позволяет определить меру уверенности на множестве событий, а увязывается с системой предпочтений лица, принимающего решения (ЛПР), и в конечном итоге с функцией полезности, отражающей его предпочтения из множества альтернатив. Тесная связь между субъективной вероятностью и полезностью используется при построении некоторых методов получения субъективной вероятности.
Получение оценок субъективной вероятности
Процесс получения субъективной вероятности обычно разделяют на три этапа: подготовительный этап, получение оценок, этап анализа полученных оценок.
Первый этап. Во время этого этапа формируется объект исследования - множество событий, а также выполняется предварительный анализ свойств этого множества (устанавливается зависимость или независимость событий, дискретность или непрерывность случайной величины, порождающей данное множество событий). На основе такого анализа выбирается один из подходящих методов (обзор основных методов рассматривается в приложении 6) определения субъективной вероятности. На этом же этапе производится подготовка эксперта или группы экспертов, ознакомление их с методом и проверка понимания ими поставленной задачи.
Второй этап. Состоит в применении метода, выбранного на первом этапе. Результатом этого этапа является набор чисел, который отражает субъективный взгляд эксперта или группы экспертов на вероятность того или иного события, однако далеко не всегда может считаться окончательным распределением, поскольку нередко оказывается противоречивым.
Третий этап. На этом этапе исследуются результаты опроса. Если вероятности, представленные экспертами, не согласуются с аксиомами вероятности, то на это обращается внимание экспертов и ответы уточняются с целью приведения их в соответствие с выбранной системой аксиом.
Для некоторых методов получения субъективной вероятности третий этап исключается, поскольку сам метод состоит в выборе подчиняющегося аксиомам ве-роятности вероятного распределения, которое в том или ином смысле наиболее близко к оценкам экспертов. Особую важность третий этап приобретает при агрегировании оценок, предложенных группой экспертов. Более подробно технология агрегирования групповых оценок применительно к факторам риска рассмотрена в приложении 6.
Измерение рисков
Сегодня существует ряд подходов к измерению рисков. Обсудим наиболее распространенные из них, а именно - оценку рисков по двум и по трем факторам.
Оценка рисков по двум факторам
В простейшем случае производится оценка двух факторов: вероятность происшествия и тяжесть возможных последствий. Обычно считается, что риск тем больше, чем больше вероятность происшествия и тяжесть последствий. Общая идея может быть выражена формулой: РИСК = Рпроисшествия ЦЕНА ПОТЕРИ.
Если переменные являются количественными величинами, то риск - это оценка математического ожидания потерь.
Когда переменные - качественные величины, метрическая операция умножения не определена. Таким образом, в явном виде эту формулу применять не следует. Рассмотрим вариант использования качественных величин (наиболее часто встречающаяся ситуация).
Сначала должны быть определены шкалы.
Приведем пример субъективной шкалы вероятностей событий [291]:
А - событие практически никогда не происходит;
В - событие случается редко;
С - вероятность события за рассматриваемый промежуток времени - около 0,5;
D - скорее всего, событие произойдет;
Е - событие почти обязательно произойдет.
Кроме того, устанавливается субъективная шкала серьезности происшествий, скажем, в соответствии с [291]:
- N (Negligible) - воздействием можно пренебречь;
- Mi (Minor) - незначительное происшествие: последствия легко устранимы, затраты на ликвидацию последствий невелики, воздействие на информационную технологию незначительно;
- Mo (Moderate) - происшествие с умеренными результатами: ликвидация последствий не связана с крупными затратами, воздействие на информационную технологию небольшое и не затрагивает критически важные задачи;
- S (Serious) - происшествие с серьезными последствиями: ликвидация последствий связана со значительными затратами, воздействие на информационные технологии ощутимо, влияет на выполнение критически важных задач;
- С (Critical) - происшествие приводит к невозможности решения критически важных задач.
Для оценки рисков устанавливается шкала из трех значений:
- низкий риск;
- средний риск;
- высокий риск.
Риск, связанный с конкретным событием, зависит от двух факторов и может быть определен так, как в табл. 3.1.
Таблица 3.1. Определение риска в зависимости от двух факторов
| Шкала | Negligible | Minor | Moderate | Serious | Critical |
| А | Низкий риск | Низкий риск | Низкий риск | Средний риск | Средний риск |
| В | Низкий риск | Низкий риск | Средний риск | Средний риск | Высокий риск |
| С | Низкий риск | Средний риск | Средний риск | Средний риск | Высокий риск |
| D | Средний риск | Средний риск | Средний риск | Средний риск | Высокий риск |
| Е | Средний риск | Высокий риск | Высокий риск | Высокий риск | Высокий риск |
Шкалы факторов риска и сама таблица могут быть построены иначе, иметь другое число градаций.
Подобный подход к оценке рисков достаточно распространен.
При разработке (использовании) методик оценивания рисков надо учитывать следующие особенности:
- значения шкал должны быть четко определены (необходимо их словесное описание) и пониматься одинаково всеми участниками процедуры экспертной оценки;
- требуется обоснование выбранной таблицы. Следует убедиться, что разные инциденты, характеризующиеся одинаковыми сочетаниями факторов риска, имеют с точки зрения экспертов одинаковый уровень рисков. Для этого существуют специальные процедуры проверки, подробности можно посмотреть в приложении 5.
Оценка рисков по трем факторам
В зарубежных методиках, рассчитанных на более высокие требования, чем базовый уровень, используется модель оценки риска с тремя факторами: угроза, уязвимость, цена потери. В этих методиках под понятиями «угроза» и «уязвимость» понимается следующее.
Угроза - совокупность условий и факторов, которые могут стать причиной нарушения целостности, доступности, конфиденциальности информации.
Уязвимость - слабость в системе защиты, которая делает возможным реализацию угрозы.
Другие определения понятий «угроза» и «уязвимость» даны в приложении 3. Вероятность происшествия, которая в данном подходе может быть объективной либо субъективной величиной, зависит от уровней (вероятностей) угроз и уязвимостей:
Pпроисшествия = Ругрозы Руязвимости
Соответственно, риск рассчитывается следующим образом:
РИСК = Ругрозы х Руязвимости ЦЕНА ПОТЕРИ.
Данное выражение можно рассматривать как математическую формулу, если используются количественные шкалы, либо как формулировку общей идеи, если хотя бы одна из шкал - качественная. В последнем случае применяются различного рода табличные методы для расчета риска в зависимости от трех факторов.
Например, показатель риска измеряется по 8-балльной шкале следующим образом:
1 - риск практически отсутствует. Теоретически возможны ситуации, при которых событие наступает, но на практике это случается редко, а потенциальный ущерб сравнительно невелик;
2 - риск очень мал. События подобного рода случались достаточно редко, кроме того, негативные последствия сравнительно невелики;
…
8 - риск очень велик. Событие, скорее всего, наступит, и последствия будут чрезвычайно тяжелыми.
Матрица может быть построена так, как в табл. 3.2.
Таблица 3.2. Определение риска в зависимости от трех факторов
| Степень серьезности происшествия (цена потери) | Уровень угрозы | ||||||||||
| низкий | средний | высокий | |||||||||
| Уровни уязвимостей | Уровни уязвимостей | Уровни уязвимостей | |||||||||
| Negligible Minor Moderate Serious Critical | Н 0 1 2 3 4 | С 1 2 3 4 5 | В 2 3 4 5 6 | Н 1 2 3 4 5 | С 2 3 4 5 6 | В 3 4 5 6 7 | Н 2 3 4 5 6 | С 3 4 5 6 7 | В 4 5 6 7 8 | ||
В данной таблице уровни уязвимости Н, С, В означают, соответственно, низкий, средний и высокий. Некоторые другие варианты таблиц рассмотрены ниже, в разделе 3.2.3.
Такие таблицы используются как в «бумажных» вариантах методик оценки рисков, так и в различного рода инструментальных средствах - ПО анализа рисков.
В последнем случае матрица задается разработчиками ПО и, как правило, не подлежит корректировке. Это один из факторов, ограничивающих точность подобного рода инструментария.
Технология оценки угроз и уязвимостей
Как правило, для оценки угроз и уязвимостей применяются различные методы, в основе которых могут лежать:
- экспертные оценки;
- статистические данные;
- учет факторов, влияющих на уровни угроз и уязвимостей.
Один из возможных подходов к разработке подобных методик - накопление статистических данных об имевших место происшествиях, анализ и классификация их причин, выявление факторов, от которых они зависят. Эта информация позволяет оценить угрозы и уязвимости в других информационных системах.
Однако при практической реализации такого подхода возникают следующие сложности.
Во-первых, должен быть собран весьма обширный материал о происшествиях в этой области.
Во-вторых, данный подход оправдан далеко не всегда. Если информационная система достаточно крупная (содержит много элементов, расположена на обширной территории), имеет давнюю историю, то подобный подход, скорее всего, применим. Если же система сравнительно невелика и эксплуатирует новейшие элементы технологии (для которых пока нет достоверной статистики), оценки угроз и уязвимостей могут оказаться недостоверными.
Наиболее распространен в настоящее время подход, основанный на учете различных факторов, влияющих на уровни угроз и уязвимостей. Он позволяет абстрагироваться от малосущественных технических деталей, принять во внимание не только программно-технические, но и иные аспекты.
Рассмотрим пример реализации подобного подхода, используемого в методе CRAMM 4.0 (описывается в главе 4) для одного из классов рисков.
Оценка факторов риска использования чужого идентификатора сотрудниками организации («маскарад»)
Для оценки угроз выбраны следующие косвенные факторы:
- статистика по зарегистрированным инцидентам;
- тенденции в статистке по подобным нарушениям;
- наличие в системе информации, представляющей интерес для потенциальных внутренних или внешних нарушителей;
- моральные качества персонала;
- возможность извлечь выгоду из изменения обрабатываемой в системе информации;
- наличие альтернативных способов доступа к информации;
- статистика по подобным нарушениям в других информационных системах организации.
Оценка уязвимостей выполняется на основе следующих косвенных факторов:
- количество рабочих мест (пользователей) в системе;
- размер рабочих групп;
- осведомленность руководства о действиях сотрудников (разные аспекты);
- характер установленного на рабочих местах оборудования и ПО;
- полномочия пользователей.
По косвенным факторам предложены вопросы и несколько фиксированных вариантов ответов, которые «стоят» определенное количество баллов. Итоговая оценка угрозы и уязвимости данного класса определяется путем суммирования баллов.
Оценка угрозы
Ответьте на вопросы.
1. Сколько раз за последние три года сотрудники организации пытались получить несанкционированный доступ к хранящейся в информационной системе информации с использованием прав других пользователей?
Варианты ответов
| а | Ни разу | 0 | |
| Ь | Один или два раза | 10 | |
| с | В среднем раз в год | 20 | |
| d | В среднем чаще одного раза в год | 30 | |
| е | Неизвестно | 10 | |
2. Какова тенденция в статистике такого рода попыток несанкционированного проникновения в информационную систему?
Варианты ответов
| а | К возрастанию | 10 |
| b | Оставаться постоянной | 0 |
| с | К снижению | -10 |
3. Хранится ли в информационной системе информация (например, личные дела), которая может представлять интерес для сотрудников организации и побуждать к несанкционированному доступу к ней?
Варианты ответов
| а | Да | 5 |
| b | Нет | 0 |
4. Известны ли случаи нападения, угроз, шантажа, давления на сотрудников со стороны посторонних лиц?
Варианты ответов
| а | Да | 10 |
| Ь | Нет | 0 |
5. Есть ли среди персонала группы лиц или отдельные лица с недостаточно высокими моральными качествами?
Варианты ответов
| а | Нет, все сотрудники отличаются высокой честностью и порядочностью | 0 |
| b | Существуют группы лиц и отдельные личности с недостаточно высокими моральными качествами, но это вряд ли может спровоцировать их на несанкционированное использование системы | 5 |
| с | Существуют группы лиц и отдельные личности с настолько низкими моральными качествами, что это повышает вероятность несанкционированного использования системы сотрудниками | 10 |
6. Хранится ли в системе информация, несанкционированное изменение которой может принести прямую выгоду сотрудникам?
Варианты ответов
| a | Да | 5 |
| b | Нет | 0 |
7. Предусмотрена ли в информационной системе поддержка пользователей, обладающих техническими возможностями совершить подобные действия?
Варианты ответов
| а | Нет | 0 |
| b | Да | 5 |
8. Существуют ли другие способы просмотра информации, позволяющие злоумышленнику добраться до нее более простыми методами, чем с использованием «маскарада»?
Варианты ответов
| а | Да | -10 |
| b | Нет | 0 |
9. Имеются ли другие способы несанкционированного изменения информации, позволяющие злоумышленнику достичь желаемого результата более простыми методами, чем с использованием «маскарада»?
Варианты ответов
| а | Да | -10 |
| b | Нет | 0 |
10. Сколько раз за последние три года сотрудники пытались получить несанкционированный доступ к информации, хранящейся в других подобных системах в вашей организации?
Варианты ответов
| а | Ни разу | 0 |
| b | Один или два раза | 5 |
| с | В среднем раз в год | 10 |
| d | В среднем чаще одного раза в год | 15 |
| е | Неизвестно | 10 |
Степень угрозы при количестве баллов
| До 9 | Очень низкая |
| От 10 до 19 | Низкая |
| От 20 до 29 | Средняя |
| От 30 до 39 | Высокая |
| 40 и более | Очень высокая |
Оценка уязвимости
Ответьте на вопросы.
1. Сколько людей имеют право пользоваться информационной системой?
Варианты ответов
| а | От 1 до 10 | 0 |
| b | От 11 до 50 | 4 |
| с | ОТ51 до 200 | 10 |
| d | От 200 до 1000 | 14 |
| е | Свыше 1000 | 20 |
2. Будет ли руководство осведомлено о том, что сотрудники, работающие под его началом, ведут себя необычным образом?
Варианты ответов
| а | Да | 0 |
| b | Нет | 10 |
3. Какие устройства и программы доступны пользователям?
Варианты ответов
| а | Только терминалы или сетевые контроллеры, ответственные за предоставление и маршрутизацию информации, но не за передачу данных | -5 |
| b | Только стандартные офисные устройства и программы, а также управляемые с помощью меню подчиненные прикладные программы | 0 |
| с | Пользователи могут получить доступ к операционной системе, но не к компиляторам | 5 |
| d | Пользователи могут получить доступ к компиляторам | 10 |
4. Возможны ли ситуации, когда сотрудникам, предупрежденным о предстоящем сокращении или увольнении, разрешается логический доступ к информационной системе?
Варианты ответов
| а | Да | 10 |
| b | Нет | 0 |
5. Каковы в среднем размеры рабочих групп сотрудников пользовательских подразделений, имеющих доступ к информационной системе?
Варианты ответов
| а | Менее 10 человек | 0 |
| b | От 11 до 20 человек | 5 |
| с | Свыше 20 человек | 10 |
6. Станет ли факт изменения хранящихся в информационной системе данных очевидным сразу для нескольких человек (в результате чего его будет очень трудно скрыть)?
Варианты ответов
| а | Да | 0 |
| b | Нет | 10 |
7. Насколько велики официально предоставленные пользователям возможности по просмотру всех хранящихся в системе данных?
Варианты ответов
| а | Официальное право предоставлено всем пользователям | -2 |
| b | Официальное право предоставлено только некоторым пользователям | 0 |
8. Насколько необходимо пользователям знать всю информацию, хранящуюся в системе?
Варианты ответов
| а | Всем пользователям необходимо знать всю информацию | -4 |
| b | Отдельным пользователям необходимо знать лишь относящуюся к ним информацию | 0 |
Степень уязвимости при количестве баллов
| До 9 | Низкая |
| От 10 до 19 | Средняя |
| 20 и более | Высокая |
Возможности и ограничения данного подхода
Несомненным достоинством данного подхода является возможность учета многих косвенных факторов (не только технических). Методика проста и дает владельцу информационных ресурсов ясное представление, каким образом получается итоговая оценка и что надо изменить, чтобы улучшить оценки.
К недостаткам относится то, что косвенные факторы и их вес зависят от сферы деятельности организации, а также от ряда иных обстоятельств. Таким образом, методика всегда требует подстройки под конкретный объект. При этом доказательство полноты выбранных косвенных факторов и правильности их весовых коэффициентов - задача мало формализованная и сложная, которая на практике решается экспертными методами (проверка соответствия полученных по методике результатов ожидаемым для тестовых ситуаций).
Подобные методики, как правило, разрабатываются для организаций определенного профиля (ведомств), апробируются и затем используются в качестве ведомственного стандарта. По такому пути пошли и создатели CRAMM, выпустив около десятка версий метода для разных ведомств (министерство иностранных дел, вооруженные силы и т.д.).
Оценки рисков и уязвимостей в рассмотренном примере являются качественными величинами. Однако подобными методами могут быть получены и количественные оценки, необходимые при расчете остаточных рисков и решении оптимизационных задач. Для этого применяется ряд методов, позволяющих установить на упорядоченном множестве оценок систему расстояний (обзор приводится в приложении 6).
Получение объективных количественных оценок рисков должно быть актуально для страховых агентств, занимающихся страхованием информационных рисков.
На практике страховые агентства пользуются в большинстве случаев качественными оценками. Простые методики, без длительного и дорогостоящего обследования, позволяют отнести информационную систему к той или иной группе риска (по классификации страховой компании) на основе интервью с рядом должностных лиц. В таких методиках также фиксируются и анализируются косвенные факторы.
Выбор допустимого уровня риска
Выбор допустимого уровня риска связан с затратами на реализацию подсистемы информационной безопасности. Как минимум существует два подхода к выбору допустимого уровня рисков.
Первый подход типичен для базового уровня безопасности. Уровень остаточных рисков не принимается во внимание. Затраты на программно-технические средства защиты и организационные мероприятия, необходимые для соответствия информационной системы спецификациям базового уровня (антивирусное ПО, МЭ, системы резервного копирования, системы контроля доступа), являются обязательными, их целесообразность не обсуждается. Дополнительные затраты (если такой вопрос будет поставлен по результатам проведения аудита ИБ либо по инициативе службы безопасности) должны находиться в разумных пределах и не превышать 5-15% средств, которые тратятся на поддержание работы информационной системы.
Второй подход применяется при обеспечении повышенного уровня безопасности. Собственник информационных ресурсов должен сам выбирать допустимый уровень остаточных рисков и нести ответственность за свой выбор.
В зависимости от уровня зрелости организации и характера основной деятельности обоснование выбора допустимого уровня риска может проводиться разными способами.
Наиболее распространенным является анализ по критерию «стоимость-эффективность» различных вариантов защиты. Приведем примеры постановки задач:
12) стоимость подсистемы безопасности должна составлять не более 20% от стоимости информационной системы. Найти вариант контрмер, максимально снижающих уровень интегральных рисков.
3) риски по всем классам не должны превышать очень низкий уровень. Найти вариант контрмер с минимальной стоимостью.
Если ставятся оптимизационные задачи, важно правильно выбрать комплекс контрмер (перечислить возможные варианты) и оценить его эффективность.
Выбор контрмер и оценка их эффективности
Система защиты строится комплексно, включает контрмеры разных уровней (административные, организационные, программно-технические). Для облегчения выбора комплекса контрмер в различных методиках используются таблицы, в которых классам угроз ставятся в соответствие возможные контрмеры. Приведем пример классификатора контрмер CRAMM 4.
Классы контрмер CRAMM (фрагмент)
Masquerading of User Identity by Insiders
Identification and Authentication
Logical Access Control
Accounting
Audit
Object Re-use
Security Testing
Software Integrity
Mobile Computing and Teleworking
Software Distribution
System Input/Output Controls
Network Access Controls
System Administration Controls
Application Input/Output Controls
Back-up of Data
Personnel
Security Education and Training
Security Policy
Security Infrastructure
Data Protection Legalization
Incident Handling
Compliance Checks
Masquerading of User Identity by Contracted Service Providers
Identification and Authentication
Logical Access Control
Accounting
Audit
Object Re-use
Security Testing
Software Integrity
Mobile Computing and Teleworking
Software Distribution
System Input/Output Controls
Network Access Controls
System Administration Controls
Application Input/Output Controls
Back-up of Data
Personnel
Security Education and Training
Security Policy
Security Infrastructure
Outsourcing
Data Protection Legalization
Incident Handling
Compliance Checks
Masquerading of User Identity by Outsiders
Identification and Authentication
Logical Access Control
Accounting
Audit
Object Re-use
Security Testing
Software Integrity
Mobile Computing and Teleworking
Software Distribution
System Input/Output Controls
Network Security Management
Network Access Controls
System Administration Controls
Application Input/Output Controls
Back-up of Data
Security Education and Training
Security Policy
Security Infrastructure
Data Protection Legalization
Incident Handling
Compliance Checks
Подобные классификаторы позволяют автоматически выбирать и предлагать конкретные варианты контрмер, возможных для рассматриваемой информационной системы. Владельцу информационных ресурсов остается отобрать из них приемлемые. Следующий шаг - оценка эффективности контрмер.
Задача оценки эффективности контрмер не проще, чем оценка рисков.
Это объясняется тем, что оценка эффективности комплексной подсистемы безопасности, включающей контрмеры разных уровней (административные, организационные, программно-технические), в конкретной информационной системе -методологически чрезвычайно сложная задача. По этой причине обычно ограничиваются упрощенными, качественными оценками эффективности контрмер.
Примером является таблица (см. табл. 3.3) типичных значений эффективности контрмер, используемых в методе анализа рисков RiskWatch, который рассматривается в следующей главе.
Таблица 3.3. Ориентировочная эффективность мероприятий в области защиты информации по критерию ROI (Return of Investment - возврат вложений)
| Мероприятия | Степень эффективности |
| Разработка и внедрение политики информационной безопасности | 2 |
| Работа с персоналом (наведение справок, контроль поведения и т.п.) | 3 |
| Совершенствование организационной структуры | 4 |
| Анализ рисков | 5 |
| Управление жизненным циклом (управление рисками) | 5 |
| Совершенствование должностных инструкций и условий контрактов | 5 |
| Меры контроля за посетителями | 6 |
| Управление имуществом компании | 7 |
| Обучение персонала и контроль соблюдения режима ИБ | 9 |
| Меры контроля за работой приложений | 10 |
Указанные в таблице значения представляют собой ориентировочные оценки эффективности вложений в различные классы мероприятий в области защиты информации.
В ряде случаев применяются более сложные таблицы, в которых отражена зависимость эффективности от ряда факторов (аналогичные примеру оценки угроз и уязвимостей в разделе 3.1.4).
На основе подобных таблиц делаются качественные оценки эффективности контрмер.
Разработка корпоративной методики анализа рисков
Постановка задачи
Анализ информационных рисков позволяет эффективно управлять информационной безопасностью предприятия. Для этого в начале работ по анализу рисков необходимо определить, что именно подлежит защите на предприятии и воздействию каких угроз оно подвержено, а затем выработать рекомендации по практике защиты. Обсудим теперь, как разработать свою собственную методику анализа и управления информационными рисками компании.
Такой анализ производится исходя из непосредственных целей и задач по защите конкретного вида информации конфиденциального характера. Одна из важнейших задач в рамках такой защиты информации - обеспечение ее целостности и доступности. Часто забывают, что нарушение целостности может произойти не только вследствие преднамеренных действий, но и по ряду других причин: сбоев оборудования, ведущих к потере или искажению информации; физических воздействий, в частности в результате стихийных бедствий; ошибок в программном обеспечении (в том числе из-за недокументированных возможностей). Поэтому под термином «атака» будем понимать воздействия на информационные ресурсы не только человеческие, но и окружающей среды, в которой функционирует система обработки информации предприятия.
Анализ риска можно проводить согласно методике по сценарию, представленному на рис. 3.1.
Каждый из шести этапов анализа риска должен быть конкретизирован.
На первом и втором этапах выявляются сведения, составляющие для предприятия коммерческую тайну, которые предстоит защищать.
Понятно, что такие сведения хранятся в установленных местах и на конкретных носителях, передаются по каналам связи и обрабатываются в соответствии с принятым регламентом. При этом основным фактором в технологии обращения с информацией является архитектура КИС, от которой во многом зависит защищенность информационных ресурсов предприятия.
В связи с этим необходимо еще раз подчеркнуть, что степень информационной безопасности определяется не только (а может быть и не столько) средствами и способами защиты, но и особенностями построения КИС. И когда говорят о КИС в защищенном исполнении, речь идет прежде всего о выборе такой архитектуры (топологии) системы обработки информации, расположения средств обработки конфиденциальной информации и способов ее хранения и передачи, которые существенно уменьшат число возможных точек доступа к информации.
Третий этап анализа риска - построение схем каналов доступа, утечки или воздействия на информационные ресурсы основных узлов КИС. Каждый канал
Рис. 3.1. Сценарий анализа информационных рисков компании
доступа характеризуется множеством точек, с которых можно «снять» информацию. Именно они представляют собой уязвимости и требуют применения средств недопущения нежелательных воздействий на информацию.
Анализ способов защиты всех возможных точек атак соответствует целям защиты, и его результатом должна быть характеристика возможных брешей в обороне, в том числе за счет неблагоприятного стечения обстоятельств (четвертый этап).
На пятом этапе исходя из известных на данный момент способов и средств преодоления оборонительных рубежей находятся вероятности реализации угроз по каждой из возможных точек атак.
На заключительном этапе производится оценка ущерба организации в случае реализации каждой из атак. Эти данные вместе с оценками уязвимости позволяют получить ранжированный список угроз информационным ресурсам.
Результаты работы представляются в виде, удобном для их восприятия и выработки решений о коррекции существующей системы защиты информации. При этом важно, что каждый информационный ресурс может быть подвержен воздействию нескольких потенциальных угроз. Принципиальное же значение имеет суммарная вероятность доступа к информационным ресурсам, которая складывается из элементарных вероятностей доступа к отдельным точкам прохождения информации.
Величина информационного риска по каждому ресурсу - это произведение вероятности нападения на ресурс, вероятности реализации угрозы и ущерба от информационного вторжения. В данном произведении могут быть использованы различные способы взвешивания составляющих.
Объединение рисков по всем ресурсам дает общую величину риска при принятой архитектуре КИС и внедренной в нее системы защиты информации.
Таким образом, варьируя варианты построения системы защиты информации и архитектуры КИС, можно (за счет изменения вероятности реализации угроз) представить и рассмотреть различные значения риска. Здесь весьма важным шагом является выбор одного из вариантов в соответствии с заданным критерием принятия решения. Таким критерием может быть допустимая величина риска или отношение затрат на обеспечение информационной безопасности к остаточному риску.
При построении систем обеспечения информационной безопасности также нужно определить стратегию управления рисками на предприятии.
На сегодня известно несколько подходов к управлению рисками. Один из наиболее распространенных - уменьшение риска путем принятия комплексной системы контрмер, включающей программно-технические и организационные меры защиты. Близким является подход, связанный с уклонением от риска. От некоторых классов рисков можно уклониться, например: вынесение Web-сервера организации за пределы локальной сети позволяет избежать риска несанкционированного доступа в локальную сеть со стороны Web-клиентов.
Наконец, в ряде случаев допустимо принятие риска. В этой ситуации важно определиться со следующей дилеммой: что для предприятия выгоднее - бороться с рисками или же с их последствиями. Здесь приходится решать оптимизационную задачу.
После того как стратегия управления рисками выбрана, проводится окончательная оценка мероприятий по обеспечению информационной безопасности с подготовкой экспертного заключения о защищенности информационных ресурсов. В экспертное заключение входят все материалы анализа рисков и рекомендации по их снижению.
Отметим, что выполнение анализа рисков и оценки потерь требует глубоких системных знаний и аналитического мышления во многих областях, смежных с проблемой защиты информации.
Методы оценивания информационных рисков
В настоящее время используются различные методы оценки информационных рисков отечественных компаний и управления ими. Оценка информационных рисков компании может быть выполнена в соответствии со следующим планом:
4156) Идентификация и количественная оценка информационных ресурсов компании, значимых для бизнеса.
7) Оценивание возможных угроз.
8) Оценивание существующих уязвимостей.
9) Оценивание эффективности средств обеспечения информационной безопасности.
Предполагается, что значимые для бизнеса уязвимые информационные ресурсы компании подвергаются риску, если по отношению к ним существуют какие-либо угрозы. Другими словами, риски характеризуют опасность, которая может угрожать компонентам корпоративной информационной системы. При этом информационные риски компании зависят от:
- показателей ценности информационных ресурсов;
- вероятности реализации угроз для ресурсов;
- эффективности существующих или планируемых средств обеспечения информационной безопасности.
Цель оценивания рисков состоит в определении характеристик рисков корпоративной информационной системы и ее ресурсов. После оценки рисков можно выбрать средства, обеспечивающие желаемый уровень информационной безопасности компании. При оценивании рисков учитываются такие факторы, как ценность ресурсов, значимость угроз и уязвимостей, эффективность имеющихся и планируемых средств защиты. Сами показатели ресурсов, значимости угроз и уязвимостей, эффективность средств защиты могут быть установлены как количественными методами (например, при нахождении стоимостных характеристик), так и качественными, скажем, с учетом штатных или чрезвычайно опасных нештатных воздействий внешней среды.
Возможность реализации угрозы для некоторого ресурса компании оценивается вероятностью ее реализации в течение заданного отрезка времени. При этом вероятность того, что угроза реализуется, определяется следующими основными факторами:
- привлекательностью ресурса (учитывается при рассмотрении угрозы от умышленного воздействия со стороны человека);
- возможностью использования ресурса для получения дохода (также в случае угрозы от умышленного воздействия со стороны человека);
- техническими возможностями реализации угрозы при умышленном воздействии со стороны человека;
- степенью легкости, с которой уязвимость может быть использована.
Табличные методы оценки рисков
В настоящее время известно множество табличных методов оценки информационных рисков компании. Важно, чтобы компания выбрала для себя подходящий метод, который обеспечивал бы корректные и достоверные воспроизводимые результаты. Рассмотрим несколько примеров подобных методов, рекомендованных стандартами в области информационной безопасности [209, 291], и методические рекомендации к ним [189, 200, 210, 284, 285]. Важно, что в этих методах количественные показатели имеющихся или предлагаемых физических ресурсов компании оцениваются с точки зрения стоимости их замены или восстановления работоспособности ресурса. А существующие или предполагаемые программные ресурсы оцениваются так же, как и физические, то есть путем определения затрат на их приобретение или восстановление. Если обнаружится, что к какому-либо прикладному программному обеспечению предъявляются особые требования к конфиденциальности или целостности, например исходный текст ПО обладает высокой коммерческой ценностью, то оценка этого ресурса производится в стоимостном выражении по той же схеме, что и для информационных ресурсов.
Количественные показатели информационных ресурсов рекомендуется оценивать по результатам опросов сотрудников компании - владельцев информации, то есть должностных лиц компании, которые в состоянии определить ценность информации, ее характеристики и степень критичности исходя из фактического положения дел. На основе результатов опроса оцениваются показатели и степень критичности информационных ресурсов в случае несанкционированного ознакомления с конфиденциальной информацией, нарушения ее целостности или доступности.
Пример оценки рисков по двум факторам
В таблице можно наглядно отразить связь факторов негативного воздействия (показателей ресурсов) и вероятностей реализации угрозы с учетом показателей уяз-вимостей.
На первом шаге оценивается негативное воздействие по заранее определенной шкале, например от 1 до 5, для каждого ресурса, которому угрожает опасность (колонка В в табл. 3.4).
На втором шаге по заданной шкале, например от 1 до 5, оценивается вероятность реализации каждой угрозы.
На третьем шаге вычисляется показатель риска. В простейшем варианте методики это делается путем умножения (В С). Необходимо помнить, что операция умножения определена для количественных шкал. Для ранговых (качественных) шкал измерения показатель риска, соответствующий ситуации В = 1, С = 3, совсем не обязательно эквивалентен случаю В = 3, С = 1. Соответственно, должна быть разработана методика оценивания показателей рисков применительно к конкретной организации.
На четвертом шаге угрозы ранжируются по значениям их фактора риска.
В рассматриваемом примере для наименьшего негативного воздействия и для наименьшей возможности реализации угрозы выбран показатель 1.
Таблица 3.4. Ранжирование рисков
| Дескриптор угрозы | Показатель | Возможность негативного воздействия (ресурса) | Показатель риска реализации угрозы (субъективная оценка) | Ранг риска |
| Угроза А | 5 | 2 | 10 | 2 |
| Угроза В | 2 | 4 | 8 | 3 |
| Угроза С | 3 | 5 | 15 | 1 |
| Угроза D | 1 | 3 | 3 | 5 |
| Угроза Е | 4 | 1 | 4 | 4 |
| Угроза F | 2 | 4 | 8 | 3 |
Данная процедура позволяет сравнивать и ранжировать угрозы с различными негативными воздействиями и вероятностями реализации. В случае необходимости дополнительно могут приниматься во внимание стоимостные показатели.
Разделение рисков на приемлемые и неприемлемые
Другой способ оценивания рисков состоит в разделении их только на приемлемые и неприемлемые риски. Подход основывается на том, что количественные показатели рисков служат лишь для того, чтобы их упорядочить и определить, какие действия необходимы в первую очередь. Но этого можно достичь и с меньшими затратами.
Матрица, используемая в данном подходе, содержит не числа, а только символы Д (риск допустим) и Н (риск недопустим). Например, матрица может иметь вид табл. 3.5.
Таблица 3.5. Разделение рисков на приемлемые и неприемлемые
| Показатель ценности ресурса | Показатель возможности реализации угрозы | |||||||||
| 0 | 1 | 2 | 3 | 4 | ||||||
| 0 | Д | Д | Д | Д | Н | |||||
| 1 | Д | Д | Д | Н | Н | |||||
| 2 | Д | Д | Н | Н | Н | |||||
| 3 | Д | Н | Н | Н | Н | |||||
| 4 | Н | Н | Н | Н | Н | |||||
