- •Глава 1. Общие положения
- •1.1. Основные понятия
- •1.1.1. Терминология и определения в публикациях на русском языке
- •1.1.2. Терминология и определения на английском языке
- •1.2. Обзор процесса управления рисками информационной безопасности
- •Конец первой или последующих итераций
- •1.3. Основные критерии в управлении рисками
- •Глава 2. Оценка риска информационной безопасности
- •2.1. Общее описание оценки риска информационной безопасности
- •2.2. Анализ риска
- •2.3. Оценивание рисков
- •2.3.1. Шкалы и критерии, по которым измеряются риски
- •2.3.2. Объективные и субъективные вероятности
- •2.3.3. Получение оценок субъективной вероятности
- •2.4. Измерение рисков
- •2.4.1. Оценка рисков по двум факторам
- •2.4.2. Разделение рисков на приемлемые и неприемлемые
- •2.4.3 Оценка рисков по трем факторам
- •2.5. Оценка последствий
- •2.6. Установление значений уровня рисков
- •Глава 3. Методы оценки информационных рисков
- •3.1. Высокоуровневая оценка риска информационной безопасности
- •3.2. Детальная оценка риска информационной безопасности
- •3.3.1. Оценка субъективной вероятности
- •3.3.2. Классификация методов получения субъективной вероятности
- •3.3.3. Методы получения субъективной вероятности
- •3.3.4. Методы оценок непрерывных распределений
- •3.3.5. Агрегирование субъективных вероятностей
- •3.3.6. Методы теории полезности
- •3.3.6.1. Постановка задачи выбора в условиях риска
- •3.3.6.2. Необходимые сведения из теории полезности
- •3.3.6.3. Применение методов теории полезности
- •3.3.6.4. Классификация функций полезности по склонности к риску
- •3.3.6.5. Многомерные функции полезности
- •3.3.6.6. Порядок построения многомерной функции полезности
- •3.3.6.7. Проверка допущений о независимости
- •Глава 4. Обработка риска информационной безопасности
- •4.1. Общее описание обработки риска
- •4.2. Снижение риска
- •4.3. Сохранение риска
- •4.4. Предотвращение риска
- •4.5. Перенос риска
- •4.6. Принятие риска информационной безопасности
- •Глава 5. Коммуникация риска информационной безопасности
- •Глава 6. Мониторинг и переоценка риска информационной безопасности
- •6.1. Мониторинг и переоценка факторов риска
- •6.2. Мониторинг, анализ и улучшение менеджмента риска
- •Заключение
- •Библиографический список
- •Оглавление
- •Глава 1. Общие положения 6
- •Глава 2. Оценка риска информационной безопасности 23
- •Глава 3. Методы оценки информационных рисков 55
- •Глава 4. Обработка риска информационной безопасности 88
- •Глава 5. Коммуникация риска информационной безопасности 97
- •Глава 6. Мониторинг и переоценка риска информационной безопасности 99
- •394026 Воронеж, Московский просп., 14
2.4.2. Разделение рисков на приемлемые и неприемлемые
Другой способ оценивания рисков состоит в разделении их только на приемлемые и неприемлемые риски. Подход основывается на том, что количественные показатели рисков служат лишь для того, чтобы их упорядочить и определить, какие действия необходимы в первую очередь. Но этого можно достичь и с меньшими затратами.
Матрица, используемая в данном подходе, содержит не числа, а только символы Д (риск допустим) и Н (риск недопустим). Например, матрица может иметь вид табл. 2.4.
Таблица 2.4
Разделение рисков на приемлемые и неприемлемые
Показатель ценности ресурса |
Показатель возможности реализации угрозы |
||||
0 |
1 |
2 |
3 |
4 |
|
0 |
Д |
Д |
Д |
Д |
Н |
1 |
Д |
Д |
Д |
Н |
Н |
2 |
Д |
Д |
Н |
Н |
Н |
3 |
Д |
Н |
Н |
Н |
Н |
4 |
Н |
Н |
Н |
Н |
Н |
Вопрос о том, как провести границу между приемлемыми и неприемлемым рисками, остается на усмотрение аналитика, подготавливающего данную таблицу, и руководящих специалистов в области информационной безопасности [75].
2.4.3 Оценка рисков по трем факторам
В зарубежных методиках, рассчитанных на более высокие требования, чем базовый уровень, используется модель опенки риска с тремя факторами: угроза, уязвимость, цена потери. В этих методиках под понятиями «угроза» и «уязвимость» понимается следующее.
Угроза - совокупность условий и факторов, которые могут стать причиной нарушения целостности, доступности, конфиденциальности информации.
Уязвимость - слабость в системе зашиты, которая делает возможным реализацию угрозы.
Вероятность происшествия, которая в данном подходе может быть объективной либо субъективной величиной, зависит от уровней (вероятностей) угроз и уязвимостей:
Pпроисшествия=Pугрозы x Pуязвимости
Соответственно, риск рассчитывается следующим образом:
РИСК = Pугрозы x Pуязвимости x ЦЕНА ПОТЕРИ.
Данное выражение можно рассматривать как математическую формулу, если используются количественные шкалы, либо как формулировку общей идеи, если хотя бы одна из шкал - качественная. В последнем случае применяются различного рода табличные методы для расчета риска в зависимости от трех факторов.
Например, показатель риска измеряется по 8-балльной шкале следующим образом:
1 – риск практически отсутствует. Теоретически возможны ситуации, при которых событие наступает, но на практике это случается редко, а потенциальный ущерб сравнительно невелик;
2 – риск очень мал. События подобного рода случались достаточно редко, кроме того, негативные последствия сравнительно невелики;
…
8 – риск очень велик. Событие, скорее всего, наступит, и последствия будут чрезвычайно тяжелыми [233].
Матрица может быть построена так, как в табл. 2.5.
Таблица 2.5
Определение риска в зависимости от трех факторов
Степень серьезности происшествия (цена потери) |
Уровень угрозы |
||||||||
низкий |
средний |
высокий |
|||||||
Уровни уязвимостей |
Уровни уязвимостей |
Уровни уязвимостей |
|||||||
н |
с |
в |
н |
с |
в |
н |
с |
в |
|
Negligible |
0 |
1 |
2 |
1 |
2 |
3 |
2 |
3 |
4 |
Minor |
1 |
2 |
3 |
2 |
3 |
4 |
3 |
4 |
5 |
Moderate |
2 |
3 |
4 |
3 |
4 |
5 |
4 |
5 |
6 |
Serious |
3 |
4 |
5 |
4 |
5 |
6 |
5 |
6 |
7 |
Critical |
4 |
5 |
6 |
5 |
6 |
7 |
6 |
7 |
8 |