Построение универсальной шкалы оценок ущерба для одной информационной системы
Методологии оценки ущербов от реализации угроз безопасности информации развивались преимущественно в рамках теории оценки рисков. Как правило, в разработанных подходах учитывались:
важность для пользователя, владельца информации или организации той информации (ее носителей или средств обработки), в отношении которой могут быть выполнены несанкционированные действия при реализации угроз;
область применения (использования) результатов обработки информации (выходной информации);
содержание несанкционированных действий и виды нарушений безопасности информации;
вид ущерба;
затраты, необходимые на восстановление информации, носителей информации;
время между реализацией угрозы и фактическим нанесением ущерба (в том числе, когда величина ущерба накапливается со временем) и т.д.
Для оценки величины ущербов в общем случае рассматривалась возможность применения как количественных, так и качественных шкал.
Так, в [45], предложена система шкал, основанная на понятиях эмпирической операции и математической структуры, при этом рассматриваются четыре вида шкал: наименований, порядка, интервалов и отношений. К количественным относятся, как правило, три последних.
Тип количественной шкалы обусловливаются видом функции /, осуществляющей допустимые преобразования *¥ = f (я), где а - оцениваемая величина. Если / - монотонная функция, то соответствующая шкала является шкалой порядка; если / - линейная функция, то соответствующая шкала - это шкала интервалов; если / определяет преобразование подобия, то соответствующая шкала - шкала отношений.
Наиболее приемлемыми для количественной оценки ущербов являются так называемые оппозиционные (полярные) шкалы. Это обусловлено тем, что оппозиционные шкалы основаны на установлении, по крайней мере, двух противоположных (в этом смысле полярных) точек на шкале, определяющих крайние противоположные результаты оценки ущерба (например, отсутствие ущерба и неприемлемый ущерб). На таких шкалах могут рассматриваться несколько типов оценок: точечные количественные, интервальные,
вербальные (лингвистические), при этом могут применяться метрические или порядковые шкалы. Для всех остальных шкал, как правило, предполагается построение либо эталонных описаний, либо проведение только попарных сравнений, либо формирование специальных функций уверенности или полезности по определенным аспектам, которые так или иначе необходимо сводить к единой шкале оценок. Применение шкал, не относящихся в полярным, не позволяет переходить к комплексным оценкам ущерба от реализации разнородных угроз.
Построение полярной шкалы оценок ущерба проводится путем формирования дистрибутивной решетки Z с введенными на ней бинарными операциями пересечения (л) и объединения (ѵ), удовлетворяющими требованиям:
идемпотентности (х л х = х, х ѵ х = х);
коммутативности (х л у = у л х, х ѵ ѵ = у ѵ х);
ассоциативности (х л (у л z) = (х л ѵ) л z, xv(yvz) = (х ѵ ѵ) vz);
дистрибутивности
x л ( v v z) = (x л v) v (x a z), x v ( v a z) = (x v y) a (x v z) [44,45].
Шкала может бытъ полярной независимо от того, к какому из указанных типов она относится.
На такой шкале аксиоматически задаются два семейства унарных операторов - «утверждения» и «отрицания» следующим образом [45].
Пусть Z - решетка, в которой £тіп - минимальный, а £тах - максимальный элемент, и класс унарных операторов утверждения т : Z —> Z удовлетворяет условиям:
!) т{£шп) = Сш„;т(С™) = Стах0ограниченность);
2) Vx,yeZ,x<y=>m(x)<m(_y) (.монотонность).
Класс унарных операторов отрицания -» [ОД] удовлетворяет условиям:
1) п(Сті„) = 1>п(Стах) = 0(ограниченность);
2) Ух,у < у п(х)> п(у) (антитонность).
Идея использования понятия неприемлемого ущерба достаточно широко распространена на практике. В частности, метод балльных оценок основан на установлении верхней границы оценок, то есть, по сути, на введении предельного ущерба [33, 36].
Особенность шкалы с верхней границей в виде неприемлемого ущерба заключается, прежде всего, в ее универсальности относительно видов ущерба. Кроме того, она является условной, поскольку ее верхняя граница обусловлена суждением о неприемлемости ущерба для данного конкретного потребителя.
В качестве максимального элемента решетки вводится максимально возможный или неприемлемый ущерб, а в качестве минимального - отсутствие какого-либо ущерба, что позволяет построить свою метрическую шкалу для оценки ущербов от реализации угроз безопасности информации для одной ПС. Подходы к построению шкалы для множества ПС рассматривается в следующем подразделе. Это обусловлено тем, что в разных ИС один и тот же ущерб может оцениваться по-разному.
Важным аспектом построения таких шкал для разнородных ущербов является отсутствие непосредственной возможности применения даже таких простейших операторов, как операторы сравнения и сложения разнородных ущербов. Для этого требуется определить процедуры приведения шкал для разнородных ущербов к единой (базовой) шкале оценок, например, шкале финансового ущерба. Однако сегодня практически отсутствуют такие процедуры пересчета ущерба в какую-либо единую числовую шкалу оценок. Парировать эту сложность можно следующим образом. Наиболее часто при построении такой шкалы используют семь градаций оценок. Формально указанная шкала формируется путем задания показателя С с двумя промежуточными лингвистическими оценками - положительной С+ и отрицательной — С , а также двумя оценками, усиленными с помощью модификатора ѵ - ѵС+ (например, модификатор может иметь значение «очень» или «неприемлемо большой») и ѵС~ (модификатор может иметь значение «очень», «несущественный» и т.п.), таких, что С+ < ѵС+,С” > ѵС~ и двумя оценками, ослабленными с помощью модификатора w (например, модификатора «скорее») wC+ и wC~ таких, что С+ > и'С+, С~ < wC~, а также нейтральной (средней) оценкой С° [44]. Градации вербальной шкалы упорядочены следующим образом: ѵС~ < С” < wC° < и'С+ < С+ < ѵС+.
Примером тривиального оператора отрицания [48] является оператор п(х) =1 - х. К нетривиальным операторам отрицания относятся, например, оператор квадратичного отрицания п(х) = \/і — х и параметрический оператор отрицания Суджено: пл(х) = (1 — Jc)/(1 + Л-х), Ѵхе [0,1], -1 < Л < со . Примером тривиального оператора утверждения является оператор тх(х) = х.
После построения базовой вербальной шкалы устанавливается ее соответствие каждой из шкал оценок разнородных ущербов. Это позволяет перевести оценки разнородных ущербов в единую шкалу оценок. Затем базовой вербальной шкале ставится в соответствие нормированная решетка С, то есть замкнутый отрезок [0,1], на который проецируется вербальная шкала, пример проекции приведен.
Пример приведения разнородных шкал к единой количественной шкале.
Шкала оценки финансового ущерба
Шкала Суждений об ущербе
Незаметный Существенный Средний Болырой Очень вольшой Недопустимый
Единая для разных видов ущерба шкала количественной оценки
0 0,2 0,4 0,6 0,8 1
Таким образом, каждой паре - номеру защищаемого блока информации в ИС и выполняемому относительно него несанкционированному действию (или взаимосвязанному набору таких действий) должен быть поставлен в соответствие определенный ущерб, выраженный в количественной или качественной шкале.
Если имеется количественная шкала и на ней определена величина предельного ущерба, то для приведения к единой шкале оценок величины ущербов необходимо нормировать относительно предельно допустимого ущерба рассматриваемого вида. Так, если ущерб оценивается по вербальной шкале, то на ней определяется точка предельного ущерба и все ущербы выше этой точки рассматриваются как недопустимые.
Далее предельной точке ставится в соответствие верхняя граница числовой шкалы и затем по полученной числовой шкале оценивается данный вид ущерба. Таким образом по предложенной универсальной шкале может быть оценен ущерб от выполнения как каждого несанкционированного действия, так и совокупности таких действий, выполняемых относительно защищаемого блока информации при реализации множества угроз безопасности информации с различными последствиями. Следует отметить, что сумма ущербов разного вида при реализации совокупности угроз могут значительно превышать предельно допустимый уровень.
Пусть относительно і -го блока защищаемой информации (г е/) может быть выполнено множество G, = {g,-} несанкционированных действий
(например, файл сначала копируется, а затем уничтожается), каждое из которых может принести определенный ущерб, оцениваемый по универсальной шкале. Такая оценка представляет собой, по сути, индекс этого ущерба. Тогда суммарный ущерб при воздействии на і -й блок защищаемой информации оценивается.
индекс ущерба от реализации g-ro деструктивного действия относительно і -го блока защищаемой информации;
мощность множества несанкционированных дествий, которые могут быть выполнены относительно і -го блока информации.
Для всех блоков защищаемой информации, относительно которых возможна реализация угрозы и выполнение всего множества несанкционированных действие, индекс суммарного ущерба определяется аналогично.
Для определения суммарного индекса совокупности разнородных ущербов обладателю может потребоваться учесть разное восприятие им разнородных ущербов. В этом случае следует учесть важность для обладателя разных видов ущерба соответствующим коэффициентом важности Ѵд вида ущерба &, при этом мощность множества видов ущербов (количество видов ущербов). Тогда суммарный ущерб с учетом важности видов ущерба оценивается сверткой, где - индекс суммы ущербов & -го вида при выполнения совокупности G несанкционированных действий относительно множества I защищаемых блоков информации.
Для равнозначных шкал функции важности равны 1 и индексы ущерба в формуле (3.11) суммируются обычным образом.
