Общий подход к использованию теории риска при оценке эффективности технической защиты информации от несанкционированного доступа
Применение теории риска [31, 32] сегодня считается приоритетным направлением развития методологии оценки эффективности ТЗИ. Эта теория стала широко развиваться за рубежом во второй половине двадцатого века, а также в России в последнее двадцатилетие. Она позволяет учесть целый ряд "НЕ-факторов" - неопределенность, неточность, неизвестность и (или) неполнота данных об исследуемых процессах, незамкнутость (открытость) множества условий, способствующих реализации угроз.
С термином «риск» обычно связывалась некая качественная или количественная характеристика, определяющая степень потенциальной опасности некоторого рассматриваемого действия. При этом опасность определялась в виде возможного ущерба от реализации такого действия и оценки возможности этой реализации.
С учетом изложенного применялись, по крайней мере, два несколько различающихся подхода к оценке риска.
Первый подход - вероятностный сводится к оценке риска R в виде произведения вероятности Р(Стт < С - Стах) того; что ПРИ реализации конкретной и -й угрозы будет нанесен ущерб, размеры которого находятся в некотором заданном диапазоне () > И вероятности Pu(t) реализации такой угрозы за заданное время t:
R(C . ,С ,t) = P(C-<C<C )-P(tV (2.7)
Сложность такого подхода заключается в том, что необходимо иметь плотности распределения вероятностей w(u) нанесения ущерба, по которой может быть рассчитана вероятность Р(£Шт (ты)
Для непрерывного закона распределения вероятностей эта вероятность рассчитывается по формуле.
Однако, как непрерывное, так и дискретное распределение вероятностей нанесения ущерба в подавляющем большинстве случаев неизвестно.
В связи с этим нашел более широкое применение второй подход, в
котором используется оценка среднего размера С,и возможного ущерба, наносимого в результате реализации и-й угрозы, и вероятность Pu{t)
реализации и -й угрозы. При этом риск R оценивается следующим образом:
Ru(t) = Cu'Pu(t)- (2.10)
Однако и в этом случае рассчитать размер среднего ущерба от реализации угроз в конкретной ИС часто не удается. В связи с этим в [33] предложено использовать нормированный риск, определяемый следующим образом. Пусть для предприятия (организации) определен предельный ущерб С нт’ то есть ущерб, недопустимый для данного предприятия, превышение уровня которого исключено. Тогда нормированный риск определяется по формуле.
В [33] отношение СиІС1іт = Ри названо индексом ущерба при реализации и -й угрозы, а нормированный таким образом риск - коэффициентом опасности угрозы. Далее будет рассматриваться только нормированный риск.
Как правило, в ходе реализации угрозы выполняется только одно несанкционированное действие относительно объекта воздействия (файла, каталога, директории, аппаратного компонента ИС и т.д.), при этом коэффициент опасности угрозы определяется, по сути, коэффициентом опасности этого действия. Нормированный риск от возможной реализации совокупности угроз в этом случае рассчитывается. если реализуется хотя бы одна из множества рассматриваемых угроз; если реализуется всё множество рассматриваемых угроз.
Если же в ходе реализации одной и -й угрозы выполняется некоторый набор действий (например, копирование информации, передача скопированной информации на внешний носитель или по заданному сетевому адресу, а затем уничтожение информации в атакованной ИС), то коэффициент опасности определяется, где - индекс ущерба от реализации g-го несанкционированного действия при реализации и -й угрозы;
с выполнением всей совокупности Gu несанкционированных действий.
В обоих из рассмотренных подходов для оценки риска необходимо определить вероятность реализации угрозы безопасности информации. Для этого необходимо иметь соответствующие математические модели. В данной работе рассматриваются как математические модели оценки возможного ущерба (раздел 3), так и математические модели оценки возможностей реализации угроз безопасности информации (раздел 4).
Нормированный риск далее используется при формировании показателей оценки эффективности ТЗИ в ИС.
Пусть цель защиты заключается в парировании всех выявленных угроз безопасности информации в ИС. В этом случае эффективность защиты оценивается по величине снижения суммарного нормированного риска от реализации совокупности угроз безопасности информации за счет применения мер и средств защиты. Показатели оценки могут быть безотносительные и относительные.
В качестве безотносительного показателя эффективности целесообразно использовать величину отклонения суммарного нормированного риска при реализации совокупности угроз в условиях применения мер защиты (t ) и риска (?) в условиях их отсутствия:
М0=4о)(0-43//)(0- (2Л5)
Если в отсутствии мер защиты ущерб соответствует неприемлемому и вероятность реализации угроз за рассматриваемое время близка к единице, то формула (2.15) для расчета такого разностного показателя эффективности имеет вид:
Вместе с тем более широкое применение в исследованиях по ТЗИ, наряду с разностным показателем, находят:
относительный показатель - относительный разностный показатель.
Если без мер защиты угроза реализуется с вероятностью, близкой к единице, то соотношение для расчета относительного и относительного разностного показателя приводятся к виду.
г д е 4'1' 0) и - р а з м е р ы у щ е р б а о т р е а л и з а ц и и и -й у г р о зы б е з м е р и с м е р а м и
защиты соответственно;
сои - коэффициент, определяющий долю ущерба от реализации и-й угрозы при применении мер защиты по отношению к суммарному ущербу от реализации всей совокупности угроз без применения мер защиты.
В большинстве случаев суммарный ущерб при отсутствии мер защиты оказывается выше предельно допустимого.
Тогда такую сумму целесообразно ограничить предельно допустимым ущербом, при этом a>u=j3u, где по аналогии с формулой (2.11) Д( - индекс ущерба от реализации и -й угрозы.
Следует отметить, что большинство мер защиты не влияют на размер наносимого ущерба, за исключением некоторых из них, таких как меры восстановления, резервирования информации, сокращения сроков сохранения конфиденциальности и т.п., а влияют лишь на возможность реализации угроз безопасности информации. При этом для каждой из большинства мер защиты.
Если рассматривать эффективность защиты информации в ИС от каждой актуальной угрозы, формулы для
расчета относительного и относительного разностного показателей существенно упрощаются:
Предложенные показатели, во-первых, являются условными, поскольку определяются применительно к заданной совокупности угроз безопасности информации, выявленных для конкретной ИС, и, во-вторых, непосредственно учитывают временной фактор.
В ряде случаев на практике могут быть полезными усредненные во времени показатели эффективности защиты информации: усредненный разностный показатель - усредненный относительный показатель -усредненный относительный разностный показатель -
где Т - длительность периода времени, относительно которого проводится усреднение показателей.
В ряде публикаций и документов [19, 34] встречаются предложения по использовании иных показателей эффективности, в частности оценивающих предотвращенный ущерб в сравнении с затратами на меры защиты информации. Если обозначить затраты на выполнение требуемых мер защиты от совокупности угроз в ИС как Zv, то такой показатель эффективности рассчитывается по формуле.
Вместе с тем следует отметить, что на практике далеко не всегда удается оценить возможные затраты на организацию и проведения мероприятий по защите информации, а тем более спрогнозировать такие затраты9.
Далее в работе будет в основном использоваться относительный разностный показатель, рассчитываемый без усреднения по времени по формулам (2.18) или (2.20).
