Балльный метод оценки эффективности защиты информации
Балльный метод оценки возможностей реализации угроз безопасности информации основывается на экспертном опросе специалистов, обработке результатов опроса и выдаче их в виде баллов, а затем интерпретации полученной балльной оценки в виде суждений о риске реализации угрозы и эффективности защиты.
Этот метод реализован в целом ряде международных стандартов и программных продуктов, таких как стандарт ISO 17799 и его инструментарий, например, программный продукт COBRA или программный продукт, реализующий метод CRAMM (ССТА Risk Analysis & Management Method - метод ССТА анализа и контроля рисков), программный продукт Risk Watch и др. Наиболее широко в настоящее время используется метод CRAMM, поэтому на его примере ниже характеризуется балльный метод оценки.
Стандарт ISO/IES 17799 - стандарт по информационной безопасности, опубликованный в 2005 г. организациями ISO и ГЕС. В 2013 г. сменил название на ISO/IEC 27002:2005 «Информационные технологии. Методы обеспечения безопасности. Практические правила управления информационной безопасностью».
ССТА (Central Computer and Telecommunications Agency) - Центральное агентство по компьютерам и телекоммуникациям Великобритании.
В этом методе в первую очередь оценивается ценность ресурсов в ситуациях:
недоступности ресурса в течение определенного периода времени;
разрушения ресурса - потери информации, полученной со времени последнего резервного копирования, или ее утраты (полного разрушения);
нарушения конфиденциальности в случаях НСД;
модификации данных из-за мелких ошибок ввода, программных ошибок, преднамеренных действий;
наличия ошибок, связанных с передачей информации, в том числе с отказом в обслуживании, со сбоем в доставке информации, с доставкой по неверному адресу.
В качестве возможных ущербов в коммерческой версии продукта рассматриваются:
ущерб репутации организации;
нарушение действующего законодательства;
ущерб для здоровья персонала;
ущерб, связанный с разглашением персональных данных;
финансовые потери от разглашения информации;
финансовые потери, связанные с восстановлением ресурсов;
дезорганизация деятельности и др.
Далее формируются балльные шкалы оценки ущерба в интервале значений 0—10.
Пример формирования шкалы оценки ущерба
Вид ущерба
Величина ущерба, соответствующая оценке в баллах
2 балла
4 балла
6 баллов
8 баллов
10 баллов
Ущерб репутации организации
Негативная реакция отдельных чиновников, общественных
деятелей
Критика в СМИ, не получившая широкого общественного резонанса
Негативная реакция депутатов Государственной Думы или Совета Федерации
Критика в СМИ с последствиями в виде крупных скандалов, парламентских слушаний, широкомасштабных проверок
Негативная реакция на уровне Президента и Правительства
Ущерб для здоровья персонала
Минимальный ущерб, не связанный с госпитализацией или длительным лечением
Средний ущерб, связанный лечением одного или нескольких сотрудников при отсутствии длительных отрицательных последствий
Серьезные последствия (продолжительная госпитализация, инвалидность одного или нескольких сотрудников)
Гибель людей
Финансовые потери, связанные с восстановлением ресурсов
Менее 1000 долл.
От 1000 долл, до 10000 долл.
От 10000 долл, до 10000 долл.
Свыше 10000 долл.
Дезорганизация деятельности в связи с недоступностью данных
До 15 минут
От 15 минут до 1 часа
От 1 часа до 3 часов
От 3 часов до 1 суток
Более 1 суток
Затем оцениваются уровни угроз и уязвимостей на основе экспертного опроса по специально составленным анкетам и учета таким образом разнообразных косвенных факторов, таких как:
- статистика по зарегистрированным инцидентам безопасности информации (нарушениям);
- тенденции в статистике по нарушениям;
- наличие в системе информации, представляющей интерес для возможных внутренних и внешних нарушителей;
- моральные качества персонала;
- возможность извлечь выгоду из изменения обрабатываемой в системе информации;
- наличие альтернативных способов доступа к информации;
- количество рабочих мест операторов в системе;
- осведомленность руководства о действиях сотрудников;
- полномочия пользователей и др.
Примеры заполнения ответов и выставления баллов по ответам при оценке угроз выполнения несанкционированных действий в ИС, а примеры заполнения ответов и выставления баллов по ответам при оценке уязвимостей по балльной.
Пример оценки угроз выполнения несанкционированных действий по балльной шкале по ответам экспертов
Сколько раз сотрудники в последние три года пытались получить НСД к информации в системе?
Ни разу 0
Один или два раза 10
В среднем раз в год 20
В среднем чаще одного раза в год 30
Неизвестно 10
Какова тенденция в статистике такого рода попыток НСД?
К возрастанию 10
Оставаться постоянной 0
К снижению -10
Хранится ли в информационной системе информация, которая может представлять интерес для сотрудников организации?
Да 5
Нет 0
Известны ли случаи нападения, угроз, шантажа, давления на сотрудников со стороны посторонних лиц?
Да 10
Нет 0
Есть ли среди персонала лица с недостаточно высокими моральными качествами?
Нет 0
Есть, но это вряд ли может спровоцировать их на НСД в систему 5
Есть и они вполне способны совершить действия по НСД 10
Хранится ли в системе информация, несанкционированное изменение которой может принести прямую выгоду сотрудникам?
Да 5
Нет 0
Имеются ли в системе программные и иные средства, способствующие совершению НСД?
Нет 0
Да 5
Имеются ли другие способы изменения информации, позволяющие злоумышленнику получить выгоду более простым способом, чем НСД?
Да -10
Нет 0
Сколько раз в последние три года сотрудники пытались получить НСД к информации, хранящейся в других системах организации?
Ни разу 0
Один или два раза 5
В среднем раз в год 10
Чаще одного раза в год 15
Неизвестно 10
Пример оценки уязвимостей по балльной шкале
Сколько людей имеют право пользоваться системой?
От 1 до 10 0
От 11 до 50 4
От 51 до 200 10
От 200 до 1000 14
Свыше 1000 20
Будет ли руководство осведомлено, что сотрудники ведут себя необычным образом?
Да 0
Нет 10
Какие устройства и программы доступны пользователю?
Только терминалы или сетевые контроллеры, обеспечивающие только предоставление и маршрутизацию информации -5
Только стандартные офисные устройства и программы, а также управляемые с помощью меню подчиненные прикладные программы 0
Пользователи могут получить доступ к ОС, но не к среде разработки программ 5
Пользователи могут получить доступ к среде разработки программ 10
Да 10
сотрудники, предупрежденные о предстоящем сокращении или увольнении, имеют доступ к системе
Нет 0
Каковы в среднем размеры рабочих групп сотрудников в подразделении, имеющих доступ к системе?
Менее 10 человек 0
От 11 до 20 человек 5
Свыше 20 человек 10
Станет ли факт изменения информации в системе очевидным для многих сотрудников?
Да 0
Нет 10
Насколько велики официально предоставленные пользователям возможности по просмотру всех хранящихся в системе данных?
Официальное право предоставлено всем пользователям -2
Официальное право предоставлено только некоторым пользователям 0
Насколько необходимо пользователям знать всю информацию, хранящуюся в системе?
Всем пользователям необходимо знать всю информацию, хранящуюся в системе -4
Отдельным пользователям необходимо знать всю информацию, хранящуюся в системе 0
Баллы по результатам оценки угрозы суммируются и по количеству баллов оценивается степень опасности угрозы следующим образом: до 9 - очень низкая; от 10 до 19 - низкая; от 20 до 29 - средняя; от 30 до 39 - высокая;
40 и более - очень высокая.
Аналогичным образом оценивается по баллам степень уязвимости:
до 9 - низкая;
от 10 до 19 - средняя;
20 и более - высокая.
Далее определяется показатель цены потери по вербальной шкале:
N (Negligible) - воздействием можно пренебречь;
Mi (Minor) - незначительные последствия (легко устранимы, с малыми затратами на ликвидацию);
Mo (Moderate) - последствия умеренны, не связаны с крупными затратами, не затрагивают критически важные задачи;
S (Serious) - серьезные последствия со значительными затратами, влияющими на выполнение критически важных задач;
С (Critical) - невозможно решение критически важных задач.
Затем баллы по результатам оценки угрозы суммируются и по количеству баллов оценивается уровень угрозы следующим образом: до 19 - низкая; от 20 до 29 - средняя; от 30 и выше - высокая.
На основе проведенных оценок определяется показатель риска, например, по десятибалльной шкале, а затем с его учетом оценивается опасность угрозы.
В этом случае, по сути, оценивается так называемый остаточный риск реализации угроз, который может иметь место даже при применении мер защиты. Тогда эффективность может быть рассчитана, например, при использовании относительно-разностного показателя по формуле (2.18).
Несмотря на то, что балльный метод нашел широкое применение на практике, он имеет ряд недостатков, таких как:
не учитывается фактор времени, который зачастую играет решающую роль при оценке возможности реализации угроз безопасности информации вИС;
отсутствует мера уверенности в правильности суждений экспертов при выставлении балльных оценок;
не разработаны корректные правила оценки остаточного риска при применении различных мер и средств защиты информации, то есть оценки влияния мер и средств защиты на возможности реализации угроз в ИС.
