Классификация ущербов от реализации угроз безопасности информации
Оценка опасности угрозы безопасности информации непосредственно связана с оценкой возможного ущерба от ее реализации. Ущерб возникает в результате нарушения конфиденциальности, целостности или доступности информации, относящейся либо к пользовательской, либо к системной. Нарушения конфиденциальности касаются, в основном, пользовательской информации, нарушения целостности и доступности - как пользовательской, так и системной информации, при этом нарушения целостности и доступности системной информации являются, как правило, непосредственными причинами нарушения доступности пользовательской информации.
По степени опосредованности различаются ущерб, наносимый непосредственно самой защищаемой информации (информационный ущерб), и опосредованный ущерб, обусловленный возникающими последствиями от реализации угроз, включающий в себя финансовый, материальный, экологический, экономический, репутационный, моральный ущербы и ущерб здоровью людей (рисунок 3.1).
Рассматривая информационный ущерб, необходимо отметить, что его оценка может осуществляться следующим образом.
1. На основе определения объема (относительного объема) информации, подвергшейся воздействию в результате реализации угрозы. Как правило, при этом рассматривается пользовательская информация (данные или пользовательские программы - исполняемые файлы). В этом случае размер ущерба оценивается, как доля пользовательской информации, относительно которой осуществлены или могут быть осуществлены несанкционированные действия.
где объемы скопированной, измененной, перемещенной,
уничтоженной пользовательской информации при реализации и-й угрозы;
V - общий объем защищаемой пользовательской информации; PcoK,(«J)>PA^(uJ)>Pmn.(«>j)>P*i(«J) - вероятности того, что при
реализации и и -й угрозы будет выбрано несанкционированное действие, направленное соответственно на копирование, изменение, перемещение или уничтожение j -го файла, при этом общее количество угроз, направленных на j -й файл.
Основными недостатками такого подхода являются, во-первых, невозможность оценки ущерба, связанного со сложностью обнаружения изменения объемов файлов при сохранении их работоспособности (изменением кода исполняемых файлов при сохранении их объема), во- вторых, сложность прогноза состава файлов пользовательской информации, относительно которых будет реализовываться та или иная угроза, в-третьих, неопределенность выбора источником угрозы того или иного несанкционированного действия.
2. На основе оценки ценности информации, подвергшейся воздействию в результате реализации угрозы. Вопросам оценки ценности информации было посвящено много работ, в которых предложены различные подходы, например, основанные [37]:
а) на теории информации К. Шеннона. При этом вводится понятие цели, для достижения которой используется защищаемая информация и полагаются измеримыми вероятности достижения цели [38]. Если Р0 - вероятность остижения цели при отсутствии защищаемой информации, а Р, - вероятность достижения цели при наличии этой информации Z,, то ее ценность определяется следующим образом.
б) на энтропийном подходе, при котором полагается, что пользователь без информации действовал в условиях неопределенности, оцениваемой энтропией Я, и при этом имел средние потери Л(Н). С информацией /
энтропия стала величиной Я(/), а потери - і?[я(/)] [39]. Тогда ценность информации определяется разностью.
в) на оценке времени устаревания информации [40], когда сравниваются затраты времени на достижения цели функционирования без ее использования т0 и с использованием т,, при этом ценность информации определяется из соотношения.
где а - коэффициент динамики старения информации;
г) на «атрибутивном подходе» [37], в котором полагается, что каждая информация обладает некоторым набором измеримых атрибутов («точность», «достоверность», «актуальность» и т.д.), обозначаемых ап,ап,...аІп,...аш. Тогда общая ценность информации определяется как функция Sj = F(ап,аІ2,...,аІп,...,аш), которая при линейной аппроксимации имеет вид:
S,= (3-5) л= 1 где Е,Іп - весовые коэффициенты, определяемые экспертным путем, и т.д.
Необходимо отметить, что методы оценки информационного ущерба на основе определения ценности информации пока не находят какого-либо значимого применения в области защиты информации. Это во многом объясняется сложностью увязки такой оценки с содержанием угроз безопасности информации и преимущественным использованием экспертных процедур при проведении таких оценок.
Финансовый ущерб может включать в себя упущенную выгоду, финансовые затраты на защиту информации, восстановление данных и программ, закупку и замену аппаратного обеспечения и т.п, и финансовые потери. Сегодня существуют методы оценки этих составляющих финансового ущерба, например, по расчету затрат на повторное формирование или восстановление пользовательских данных, на разработку и/или инсталляцию, возможно с закупкой, прикладного программного обеспечения, на восстановление, ремонт или замену аппаратного обеспечения, на закупку, установку, конфигурирование и сопровождение эксплуатации средств защиты и т.п., а также по определению штрафов за нарушения установленных договоров или правовых норм. Вместе с тем, такие оценки, как правило, являются апостериорными, то есть проводимыми после реализации угроз безопасности информации, а не прогнозными, что востребовано практикой защиты информации. Это обусловлено и тем, что отсутствует корректная увязка финансовых потерь с содержанием блоков информации, относительно которых проводятся несанкционированные действия в ходе реализации угроз безопасности информации.
Более подробно некоторые аспекты оценки финансового ущерба рассмотрены в следующем разделе.
Материальный, экономический, экологический ущерб и ущерб здоровью персонала могут, как правило, в весьма ограниченных случаях пересчитываться в финансовый ущерб. В частности, разработан и применяется комплекс методик для оценки материального, экологического, экономического и финансового ущерба в результате возникновения и развития чрезвычайных ситуаций [41]. Однако эти методики не учитывают особенности развития чрезвычайных ситуаций, обусловленных нарушениями безопасности информации в критически важных информационных системах [42]. Это не позволяет их использовать непосредственно в практике оценки эффективности ТЗИ.
Что касается репутационного и тем более морального ущербов, то методики их корректного пересчета в финансовый ущерб пока отсутствует.
Весьма проблематичной в связи с изложенным является оценка:
ущерба от нарушения конфиденциальности информации, поскольку такой ущерб зависит от того, кто и каким образом воспользуется такой информацией во вред государству, организации, владеющей этой информацией, или во вред конкретной личности, через какое время будет использована информация ограниченного доступа и др.;
суммарного ущерба от реализации угроз безопасности информации.
Кроме того, весьма сложно учесть все факторы, влияющие на размеры ущерба, многообразие последствий от реализации угроз и т.д.
Наконец, значительно сложнее осуществлять прогноз возможного ущерба на некоторый прогнозный период времени, чем оценивать ущерб, когда считается, что в период времени до начала реализации угрозы ничего в условиях ее реализации не изменится. Соответствующая методология прогнозирования возможных ущербов на прогнозный период сегодня отсутствует.
С учетом изложенного следует констатировать, что сегодня официально признанных методик количественной оценки возможных ущербов от реализации угроз безопасности информации в ИС нет.
