СИСТЕМА ПІДТРИМКИ ПРИЙНЯТТЯ РІШЕНЬ ДЛЯ ПРОЦЕСУ ОБРОБКИ РИЗИКІВ

Смішко Д.С.

ВНЗ «Національний гірничий університет»

 

Робота присвячена аналізу антропогенних загроз, як одного з ключових етапів процесу управління ризиками інформаційної безпеки..

Ключові слова – аналіз ризиків, методи аналізу ризиків, антропогенні загрози, інформаційна безпека, управління ризиками інформаційної безпеки.

ВСТУП

Інформація та процеси, що її підтримують, системи і мережі є важливими бізнес-активами. Визначення, досягнення, підтримка та вдосконалення інформаційної безпеки можуть бути суттєвим для підтримки конкурентоспроможності, готівкового обігу, рентабельності, відповідності законодавству та комерційної репутації. Все частіше бізнес-активи зіштовхуються із різними загрозами безпеки. Тому актуальною є задача інформаційного захисту.

І саме наявність політики інформаційної безпеки свідчить про зрілість та компетентність підприємства у питаннях забезпечення інформаційної безпеки. Політика безпеки є найдешевшим та одночасно найефективнішим засобом забезпечення інформаційної безпеки. Перед тим, як створювати політику безпеки інформації, потрібно виконати оцінку ризиків.

Загальний підхід оцінки ризиків

Оцінювання ризику – це процедура порівняння існуючого ризику з межею допустимого ризику наступним чином (1):

Показник ризику  ≤  Допустимий рівень ризику                (1)

Допустимий рівень ризику визначається економічними та соціальними факторами. Економічні фактори пов’язані х економічними можливостями об’єкта ризику, соціальні – з переваг осіб, що приймають рішення.

Показником ризику вважається кількісне значення фактичного рівня ризику.

Оцінка ризиків є складовою частиною методичного апарату аналізу ризику, котрий, в свою чергу, є важливою частиною теорії та практики управління ризиками. Від ефективної організації аналізу ризику значною мірою залежить подальше рішення щодо прийнятності або неприйнятності ризиків, організації адекватної системи управління ризиками, забезпечення захисту організації за можливої реалізації виявлених загроз.

Аналіз ризиків може бути виконаний з різним ступенем деталізації, що залежить від критичності ресурсів інформаційного об’єкту, відомих вразливостей, попередніх інцидентів інформаційної безпеки.

За повнотою розв’язуваних задач виділяють кількісний та якісний види аналізу ризиків.

Якісний аналіз ризику призначений для визначення факторів ризику та обставин, що призводять до ризикових ситуацій. Він включає в себе [1]:

·       виявлення джерел і причин ризику, тобто встановлення потенційних зон ризику;

·       ідентифікацію всіх можливих ризиків;

·       виявлення практичних вигод і можливих негативних наслідків, які можуть настати при реалізації;

·       ранжування ризиків за експертними даними.

Якісний аналіз дозволяє виділити найбільш значущі ризики, які будуть об'єктом подальшого кількісного аналізу.

Конкретні методи ідентифікації, оцінки та прогнозу ризиків залежно від використовуваної вихідної інформації можна звести в такі групи:

·     статистичні;

·     ймовірносно-статистичні;

·     теоретико-імовірнісні;

·     експертні (евристичні, засновані на використанні суб'єктивних ймовірностей, одержуваних за допомогою експертного оцінювання або інших нетрадиційних підходів).

Рис. 1

Всі методи оцінки мають власну область застосування (рис.1). Враховуючи, що ймовірність Р являє собою відношення числа негативних подій n (2) до загального числа спостережень N, то чим вона менша, тим важче її оцінювати (необхідно більше спостережень для того, щоб реалізувалися негативні події).

n = Р * N                                                      (2)

Області застосування основних методів оцінки показника ризику типу ймовірності залежно від наявності статистичної інформаціїі математичних моделей наведено на рис.2. Історично склалося так, що методи оцінки ризику розвивалися від найбільш простого статистичного, застосовного за наявності достатньої статистики, до теоретико-імовірнісного, необхідність у якому виникла тоді, коли на порядок денний встали питання оцінки ризиків рідкісних аварій на потенційно небезпечних об'єктах техносфери з тяжкими наслідками.

Найкращим за наявності достатньої статистики є, статистичний метод, так як практика - критерій істини. Статистичний метод широко за­стосовується в тих випадках, коли при проведенні кількісного ана­лізу організація має у своєму розпорядженні значний обсяг аналітико-статистичної інформації з необхідних елементів аналізованої си­стеми (обсяг спостережень повинен перевищувати деяку величину N1, залежну від оцінюваної ймовірності, при цьому число реалізувалися негативних подій за один рік має бути більше 100). [2].

Рис.2

Ймовірнісно-статистичний метод заснований на знаходження інформації функції розподілу збитків для об’єкту аналізів у випадку, якщо загроза реалізується. Для підвищення достовірності отриманих результатів, статистичних даних має бути на декілька вибірок. Проте через те, що з плином часу умови реалізації тієї чи іншої загрози змінюється, не можна об’єднувати статистичні дані кількох вибірок. Такі дані час від часу треба перераховувати з урахуванням тенденції зміни розподілу по збитку.

Теоретико-ймовірностний метод застосовується для оцінки частот або ймовірностей рідкісних подій чи явищ, що мають тяжкі і наслідки і статистика котрих майже відсутня (наприклад, стихійні лиха чи катастрофи на певній території). Ймовірність реалізації такої події – один раз на декілька років, а то і десятків років.

Експертний метод оцінки ризику доцільно застосовувати в тому випадку,коли відсутні не тільки статистичні дані по об'єкту, а й математичні моделі (задача є важко формалізованою), а також, коли проводиться оцінка ризику для такого напряму діяльності, що не має аналогів.

Сутність експертного методу оцінки показників ризику полягає в тому, що експертам пропонують відповісти на питання про стан або майбутню поведінку об'єктів, що характеризуються невизначеними параметрами або невивченими властивостями. Експертні оцінки оформляють, зокрема, у вигляді якісних характеристик або кількісних значень ймовірностей розглянутих подій, віднесених до певного проміжку часу.

      Аналіз антропогенних загроз інформаційної безпеки

Антропогенними джерелами загроз у сфері інформаційної безпеки виступають суб'єкти, дії яких можуть бути кваліфіковані як умисні або випадкові. Ця група представляє великий інтерес з точки зору організації захисту, так як дії суб'єкта завжди можна оцінити, спрогнозувати і прийняти адекватні заходи. Методи протидії в цьому випадку керовані і залежать від організаторів захисту інформації.

Кваліфікація антропогенних джерел інформації відіграють важливу роль в оцінці їх впливу і враховується при ранжируванні джерел загроз. В якості антропогенного джерела загроз можна розглядати суб’єкт, що має доступ (санкціонований або несанкціонований) до роботи зі штатними засобами об'єкта. Суб'єкти (джерела), дії яких можуть призвести до порушення безпеки інформації можуть бути як зовнішні, так і внутрішні.

Зовнішні джерела антропогенних загроз можуть бути випадковими або навмисними та мати різний рівень кваліфікації. До них відносять:

1)           кримінальні структури;

2)           потенційні злочинціта хакери;

3)           несумлінні партнери;

4)           технічний персонал постачальників телематичних послуг;

5)           представники наглядових організацій та аварійних служб;

6)           представители силових структур.

Внутрішні суб’єкты (джерела), зазвичай, представляють собою висококваліфікованих фахівців у галузі розробки та експлуатації програмного забезпечення і технічних засобів, знайомі зі специфікою розв'язуваних завдань, структурою та основними функціями і принципами роботи програмно-апаратних засобів захисту інформації, мають можливість використання штатного обладнання і технічних засобів мережі. До них відносяться:

1) основний персонал (користувачі, програмісти, розробники);

2) представники служби захисту інформації;

3) допоміжний персонал (прибиральники, охорона);

4) технічний персонал (життєзабезпечення, експлуатація).

Необхідно враховувати також, що особливу групу внутрішніх антропогенних джерел становлять особи з порушеною психікою і спеціально впроваджені та завербовані агенти, які можуть бути з основного, допоміжного та технічного персоналу, а також представників служби захисту інформації. Дана група розглядається у складі перерахованих вище джерел загроз, але методи парирування загрозами для цієї групи можуть мати свої відмінності.

ВИСНОВКИ

Задля оцінки ризиків антропогенних загроз майже не можливо використовувати статистичний й ймовірнісно-статистичний метод, так як подібні методи вимагають наявність великої кількості статистичної інформації і математичних моделей. Можливе застосування теоретико-ймовірнісного методу та методу експертних оцінок. В такому разі вихідними даними служитимуть журнал інцидентів організації, статистика інцидентів взагалі в сфері, опитування співробітників, а вихідними – створення детальної політики безпеки  (третього рівня) щодо заходів, направлених на зменшення впливу антропогенних загроз.

СПИСОК ЛІТЕРАТУРИ

1. Вишняков Я.Д., Радаєв Н.Н., Общая теория рисков. 2-е изд., испр. —

М. : Издательский центр ≪Академия≫, 2008. — 140 с.

2.Електронна бібліотека підручників та рефератів, Основні методи аналізу ризиків. (Електрон. ресурс) / Спосіб доступу – http://www.info-library.com.ua/books-text-2038.html - Заголовок з екрана.