Построение универсальной шкалы оценок ущерба для совокупности информационных систем
Предельный ущерб отражает представление конкретного обладателя информации о важности защищаемой им информации. Однако оценка важности зависит от того, чьи интересы затрагиваются при нанесении ущерба. В связи с этим такая оценка является объективно условной. Для учета и парирования такой условности может быть использован предлагаемый метод взаимосвязанных шкал с их перенормировкой при переходе от одной шкалы к другой. Суть метода сводится к следующему.
Во-первых, для учета уровня пользователя или обладателя информации, чьи интересы затрагиваются при нарушении ее безопасности, вводятся L уровней (градаций) важности, при этом первый уровень соответствует наибольшей, а последний - наименьшей важности. Пример вербальной интерпретации каждого уровня приведен ниже.
Пример вербальной интерпретации уровней важности защищаемой информации и шкал для оценки возможных ущербов.
Наименование уровня важности
Номер
уровня
важности
Краткая характеристика уровня
Федеральный (государственный) 1
Затрагиваются интересы государства, министерств, первых лиц государства. Возможно развитие федеральной чрезвычайной ситуации (ЧС)
Региональный 2
Затрагиваются интересы региона. Возможно развитие региональной ЧС с охватом территории не менее двух субъектов федерации
Т ерриториальный 3
Затрагиваются интересы субъекта федерации. Возможно развитие территориальной ЧС
Местный 4
Затрагиваются интересы города, района, населенного пункта. Возможно развитие местной ЧС
Объектовый, корпоративный 5
Затрагиваются интересы предприятия, организации, фирмы. Возможно развитие объектовой ЧС
Групповой 6
Затрагиваются интересы подразделения (нескольких подразделений) организации, предприятия, первых лиц организации (предприятия).
Пер с о нальны й (пользовательский) 7
Затрагиваются интересы пользователя (нескольких пользователей)
Для каждого I -го уровня важности строится своя шкала оценок величины возможного ущерба, по которой для пересчитываемого уровня важности т оценивается суммарный индекс ущерба.
Во-вторых, для каждой шкалы вводится относительный коэффициент ее важности в виде функции а(т,і), лежащий в пределах от 0 до 1, следующим образом:
а(т,/) = /(т,і),1 = 1,т, т = \,L .
Примеры такой функции приведены ниже.
Примеры функции, определяющей относительную важность шкалы оценок ущерба
Наименование зависимости Вид функции Примечания
Линейная
общее количество уровней важности;
коэффициент важности (отношение самого
низкого к самому высокому уровню важности);
номер уровня важности, относительно которого пересчитывается коэффициент опасности для уровня т
Квадратичная
параметры параболы при условии
Степенная
Обозначения те же, что и для линейной функции
Показательная
параметры показательной функции при условии.
С использованием относительных коэффициентов важности шкала с уровнем меньшей важности может быть нормирована относительно шкалы с уровнем большей важности, то есть оценка индекса ущерба по шкале с пересчитываемым уровнем важности т может быть пересчитана на значение индекса по шкале с уровнем важности.
Таким образом, приведенные соотношения позволяют нормировать шкалы, построенные на нижнем уровне важности относительно шкал с более высоким уровнем важности и тем самым парировать условность введения предельно допустимого уровня ущерба.
Достоинствами предложенного подхода являются:
инвариантность к видам шкал, по которым оцениваются парциальные разнородные ущербы от реализации угроз безопасности информации;
возможность приведения шкал оценки принципиально разнородных ущербов к единой шкале оценок;
возможность применения нечетких оценок возможного ущерба от реализации угроз безопасности информации;
парирование сложности учета разных оценок одного и того же ущерба разными пользователями за счет введения операции нормирования по условному предельно допустимому ущербу;
возможность оценки суммарного ущерба за счет введения операций суммирования разнородных ущербов с использованием весовых функций каждого вида ущерба.
