Методика оценки рисков

информационной
безопасности компании
 Система управления рисками (СУР) – главный, базовый элемент СУИБ.
СУР позволяет ответить на вопрос: На каком направлении
информационной безопасности нужно сосредоточиться?

Вообще СУР и ПолИБ актуальны для организаций, которые работают с

большими объёмами ценной информации или хранят ценную
информацию своих клиентов.
Говоря о рисках для бизнеса, подразумеваем прямой материальный или
косвенный ущерб, который с возможно нужно будет понести.
С количественной точки зрения уровень риска – это произведение
вероятности реализации угрозы на величину возможного ущерба.
R = P(V) x D
Итак, суть мероприятий по управлению рисками состоит в том, чтобы
оценить их размер, выработать эффективные и экономичные меры
снижения рисков, а затем убедиться, что риски заключены в
приемлемые рамки и остаются таковыми.
2
 Управление рисками включает в себя 2 вида деятельности, которые
чередуются циклически:
1. оценка и переоценка рисков,
2. выбор эффективных и экономически оправданных защитных мер и средств
для уменьшения или нейтрализации рисков.

Процесс управления можно разделить на этапы:

1. выбор анализируемых объектов и уровня детализации их рассмотрения,
2. выбор методики оценки рисков,
3. инвентаризация активов,
4. анализ угроз и их последствий, выявление уязвимых мест в защите,
5. оценка рисков,
6. обработка рисков,
7. выбор защитных мер,
8. реализация и проверка выбранных мер,
9. оценка остаточных рисков.
3
 Рассмотрим основные понятия.
Базовые угрозы ИБ – нарушение конфиденциальности, целостности и отказ в
обслуживании.

Ресурс – любой контейнер, предназначенный для хранения информации,

подверженный угрозам ИБ (сервер, рабочая станция, переносный компьютер).
Свойства ресурса: критичность, перечень воздействующих на него угроз.

Угроза – действие, которое потенциально может привести к нарушению

безопасности. Свойство угрозы: перечень уязвимостей, при помощи которых
может быть реализована угроза.

Уязвимость – слабое место в информационной системе, которое может

привести к нарушению безопасности путём реализации угрозы. Свойства
уязвимостей: вероятность (простота) и критичность реализации угрозы через
данную уязвимость.
4
 (продолжение)
Критичность ресурса (D) – ущерб, который понесёт компания от потери ресурса.
Она задаётся в уровнях (от 2 до 100) или в денежных единицах. Может состоять
из критичности по конфиденциальности, целостности и доступности (Dc, Di, Da).

Критичность реализации угрозы (ER) – степень влияния реализации угрозы на

ресурс, т.е. как сильно реализация угрозы повлияет на работу ресурса.
Выражается в процентах. Может состоять из критичности реализации угрозы по
конфиденциальности, целостности и доступности (ERc, ERi, ERa).

Вероятность реализации угрозы через уязвимость в течении года (P(V)) – степень

возможности реализации угрозы через уязвимость в определённых условиях.
Выражается в процентах.

Максимальное критичное время простоя (Tmax) – значение времени простоя,

которое является критичным для организации, т.е. ущерб, нанесённый
организации при простаивании ресурса в течении критичного времени простоя,
5
максимальный.
 Сейчас существует 2 основные методики оценки рисков ИБ: метод,
основанный на построении модели угроз и уязвимостей, и метод,
основанный на построении модели информационных потоков.

Методика должна всесторонне описывать информационную систему, её

ресурсы, угрозы и уязвимости. Также она должна быть предельно
прозрачна, чтобы владелец информации, использующий её, мог оценить
её эффективность и применимость к своей системе. Поэтому разработка
методики оценки рисков – достаточно трудоёмкая задача.

6
 Рассмотрим подробно метод оценки рисков на основе
модели угроз и уязвимостей.

Для оценки риска информации анализируются все угрозы, действующие

на информационную систему, и уязвимости, через которые возможна
реализация угроз. Исходя из полученных от владельца ИС данных
строится модель актуальных угроз и уязвимостей. На основе этой модели
проводится анализ вероятности реализации угроз ИБ на каждый ресурс и
рассчитываются риски.

Принцип работы алгоритма.

Входные данные: ресурсы и отделы, к которым они относятся,
критичность ресурса, действующие на ресурсы угрозы, уязвимости, через
которые реализуются угрозы, вероятность и критичность реализации
угрозы через какую-то уязвимость.
Существует 2 режима работы алгоритма: 1 базовая суммарная угроза, 3
базовые угрозы. 7
 Расчёт рисков по угрозе ИБ.

1. На 1 этапе рассчитывается уровень угрозы по уязвимости Th на основе

критичности и вероятности реализации угрозы через данную уязвимость.

Получим 1 или 3 значения в зависимости от количества базовых угроз.

Значение(я) уровня угроз по уязвимости в интервале от 0 до 1.

8
2. На 2 этапе рассчитывается уровень угроз по всем уязвимостям CTh.
Если базовая угроза одна, то используется следующая формула:

Если базовых угроз три, то используются следующие формулы:

Значения уровня угрозы по всем уязвимостей также получатся в

интервале от 0 до 1. 9
 3. На 3 этапе рассчитывается общий уровень угроз по ресурсу CThR.
Если базовая угроза одна, то используется следующая формула:

Если же базовых угроз три, то используются следующие формулы:

Значение общего уровня угрозы также получится в интервале от 0 до 1.

10
 4. На 4 этапе рассчитывается риск по ресурсу R.
Если базовая угроза одна, то используется следующая формула:

Здесь D – критичность ресурса. R задаётся в уровнях или денежных

единицах.
В случае отказа в обслуживании критичность ресурса в год вычисляется
по следующей формуле:

Для остальных угроз критичность ресурса задаётся в год.

Если базовых угроз три, то используются следующие формулы:

11
5. На 5 этапе рассчитывается риск по информационной системе CR.
Если базовая угроза одна, то используются следующие формулы:

Если базовых угроз три, то используются следующие формулы:

12
 Задание контрмер.

Для расчёта эффективности введённой контрмеры нужно пройти

последовательно по всему алгоритму с учётом контрмеры. На выходе
пользователь получит риск без учёта (Rold) и с учётом (Rnew) заданной
контрмеры.
Для расчёта эффективности введённой контрмеры используется следующая
формула:

13
 В результате работы алгоритма пользователь системы получит
следующие данные:

- риск по трём базовым угрозам (одной суммарной) для ресурса,

- риск суммарно по всем угрозам для ресурса,
- риск по трём базовым угрозам (одной суммарной) для
информационной системы,
- риск по всем угрозам для информационной системы,
- риск по всем угрозам для информационной системы после задания
контрмер,
- эффективность контрмеры,
- эффективность комплекса контрмер.

14
Теперь рассмотрим метод оценки рисков на основе модели
информационных потоков.

Анализ рисков ИБ осуществляется с помощью построения модели

информационной системы организации. Эта модель поможет оценить
защищённость каждого вида информации. Алгоритм позволяет получить
значения риска для каждого ценного ресурса организации и для
ресурсов после задания контрмер, эффективность этих контрмер, реестр
ресурсов и рекомендации экспертов.

15
 Чтобы построить модель ИС, нужно сначала проанализировать
защищённость и архитектуру построения ИС. Специалист по ИБ должен
подробно описать архитектуру сети:
- все аппаратные ресурсы, на которых хранится ценная информация,
- сетевые группы, в которых находятся ресурсы системы (т.е. физические
связи ресурсов друг с другом),
- отделы, к которым относятся ресурсы,
- виды ценной информации,
- ущерб для каждого вида ценной информации по трём видам угроз,
- бизнес-процессы, в которых обрабатывается информация,
- пользователей, имеющих доступ к ценной информации,
- класс группы пользователей, её доступ к информации и характеристики
этого доступа,
- средства защиты информации и рабочего места группы пользователей.

16
Можно составить карту ИС, на которой отобразить все перечисленные на
прошлом слайде характеристики.
ИС можно изобразить в виде структурной схемы:

17
 Далее нужно описать в виде таблиц средства защиты каждого
аппаратного ресурса, каждого вида информации, хранящемся на нём, с
указанием веса каждого средства.
Также нужно описать в виде таблицы вид доступа (удалённый,
локальный) и права доступа (чтение, запись, удаление) для каждого
пользователя или групп пользователей.
Нужно описать наличие соединения через VPN, количество человек в
группе для каждого информационного потока.
Необходимо указать наличие у пользователей выхода в Интернет.
В конце нужно указать ущерб компании от реализации угроз ИБ для
каждого информационного потока.

18
 После описания архитектуры ИС нужно рассчитать риски для каждого
вида ценной информации, хранящейся в ИС, по угрозе “нарушение
конфиденциальности”.

1. Сначала нужно рассчитать коэффициенты защищённости (локальной

или удалённой).
Если доступ локальный, то рассчитывается только коэффициент
локальной защищённости. Он равен сумме весов средств физической и
локальной защиты информации. Учитывается все средства физической
(замок, пропускной режим / 25) и локальной (отсутствие дисководов и
USB портов / 10, криптозащита данных на ПК / 20) защиты,
обеспечивающие защиту информации по угрозе конфиденциальность.

19
 Если же доступ удалённый, то рассчитываются коэффициент удалённой
защищённости и коэффициент локальной защищённости рабочего места
пользователя.
Коэффициент удалённой защищённости информации на ресурсе нужен для того,
чтобы учесть сетевые средства защиты. Он равен сумме весов средств
корпоративной сетевой защиты информации. Это межсетевой экран, серверная
антивирусная защиты, эти средства находятся на сервере.
Коэффициент локальной защищённости рабочего места не определяется для
анонимных и авторизованных Интернет-пользователей и равен сумме весов
средств физической, локальной (антивирус, отсутствие дисководов и USB портов)
и персональной защиты (межсетевой экран, средства криптозащиты электронной
почты). Средства персональной защиты находятся на компьютере, подключённом
к локальной сети.

20
 2. Нужно учесть наличие доступа при помощи VPN.
При локальном доступе он не учитывается, т.к. локальная сеть не
используется для передачи информации.
При удалённом доступе через VPN к наименьшему коэффициенту
защищённости потока прибавляется вес VPN шлюза (20). Он повышает
защищённость информации.

21
 3. От результирующего коэффициента (РК) нужно перейти к итоговому
коэффициенту (ИК) защищённости.
Если пользователь один, и он не имеет доступа в Интернет, то ИК = 1 / РК.
Если пользователей N, то ИК = N / РК.
Если N пользователей имеют доступ в Интернет, то ИК = 2 * (N /РК).
Если при удалённом доступе Интернет-пользователей VPN-соединение
не используется, т.е. Интернет заведён на компьютер, а не на сервис, то
ИК = (4 * N) / РК, так как отсутствует защита шлюза.

22
 4. Нужно рассчитать итоговую вероятность (ИВ).
Для этого нужно определить базовую вероятность (БВ) реализации угрозы
нарушения конфиденциальности, а затем умножить её на ИК.
ИВ = БВ * ИК.
БВ определяется на основе метода экспертных оценок. Нужно найти БВ для
каждой информации (потока). Также БВ может задать владелец информации.
Итоговая базовая вероятность (ИБВ) одинакова для всех потоков.
БВ реализации угрозы конфиденциальности для потока самая большая (0.7),
она распространяется на все информации на всех ресурсах, входящих в
локальную сеть. Это называется наследованием коэффициентов
защищённости.
Промежуточная вероятность вычисляется по формуле ПВ = ИБВ * ИК.
Итоговая вероятность: ИВ1 = ПВ1, ИВ3 = ПВ3.
Итоговая вероятность (суммарная по двум группам пользователей):
ИВ2 = 1 – (1 – ПВ21)(1 – ПВ22).
23
5. Нужно рассчитать риск по угрозе конфиденциальность для каждой
информации (1 – бух. отчёт, 2 – база клиентов, 3 – база наименований
товаров).
Риск рассчитывается как произведение ИВ на ущерб.

6. Нужно рассчитать риск по угрозе конфиденциальность для ресурса.

Риск для ресурса, на котором хранится несколько видов информаций
(несколько БД), равен сумме рисков по всем видам информации.

24
 Расчёт рисков по угрозе целостность.

1. Расчёт коэффициентов защищённости. Выполняется аналогично расчёту по

угрозе конфиденциальность. Берутся наименьшие коэффициенты НК из
предыдущего расчёта.
2. Учёт средств резервирования и контроля целостности.

3. Учёт резервного копирования, количества пользователей и наличие у них

доступа в Интернет. Если у информации на ресурсе осуществляется резервное
копирование, то вес копирования (10) прибавляется к коэффициенту
защищённости. Если же копирование не осуществляется, и имеющим доступ к
информации пользователям разрешены запись или удаление, то итоговый
коэффициент умножается на 4. 25
 4. Расчёт итоговой вероятности. БВ определяется на основе метода
экспертных оценок. Также БВ может задать владелец информации.
Чтобы получить итоговую вероятность реализации угрозы, нужно
перемножить ИБВ и итоговый коэффициент защищённости. Вероятность
реализации отдельно рассчитывается для каждой из 3 угроз ИБ.
5. Расчёт риска по угрозе целостность. Для этого нужно значение полученной
итоговой вероятности умножить на ущерб от реализации угрозы.

Чтобы получить риск для вида информации с учётом всех имеющих к ней
доступ пользователей, нужно сначала сложить итоговые вероятности
реализации угрозы, а затем полученную ИВ умножить на ущерб от
реализации угрозы.
Чтобы получить риск для аппаратного ресурса, нужно сложить риски по всем
видам информации.
26
Спасибо за внимание!

27