Сащук І.І, к.т.н. Пархоменко І.І., к.т.н. Чунарьова
А.В.
Національний авіаційний університет (НАУ), Україна
ОЦІНЮВАННЯ РИЗИКІВ ІНФОРМАЦІЙНОЇ БЕЗПЕКИ В АВТОМАТИЗОВАНІЙ
СИСТЕМІ НА БАЗІ ІМОВІРНІСНО-ЕКСПЕРТНОГО МЕТОДУ.
Підсистема захисту
інформації має бути спрямована на захист матеріальних, інформаційних активів та
програмного забезпечення. У
ситуації, коли відсутні апріорні відомості та необхідний статистичний матеріал
про види та кількість потенційних загроз інформаційній безпеці, поєднання
імовірнісного та експертного методів забезпечує адекватну оцінку ризику.
Реалізація загроз інформаційній безпеці можлива
за наявності уразливостей системи – слабких місць, з використанням яких може
бути здійснена атака. Атака – це будь-яка дія, що порушує безпеку інформаційної
системи. Більш формально можна сказати, що атака – це дія чи послідовність
зв'язаних між собою дій, що використовують уразливості даної інформаційної
системи і призводять до порушення політики безпеки[1].
Перелік типових уразливостей інформаційної
безпеки визначено в міжнародних стандартах [2], іншій літературі [1,3]. Проте у кожному конкретному випадку перелік уразливостей має
уточнюватись і доповнюватись з урахуванням кваліфікації персоналу
автоматизованої системи (АС), особливостей її призначення, проектування,
розміщення, умов експлуатації та інших факторів. Уразливості АС можна
згрупувати, виходячи з її функціонального складу (користувачі, обладнання,
програмне забезпечення тощо).
Метою оцінювання ризику інформаційної безпеки в АС є:
– визначення потенційно небезпечних подій, які, у разі їх здійснення,
викликають можливі втрати;
– отримання відомостей, як, де і чому могла б трапитися втрата.
Визначивши активи,
можливі загрози інформаційній безпеці та уразливості системи для оцінювання
ризику можна обрати імовірнісно-експертний метод. Результати опитування
експертів подаються як середнє арифметичне від визначених ними значень.
Підсистема захисту інформації в АС буде ефективною, якщо в ній налагоджений
постійний контроль за основними процесами в АС. Потрібно відзначити, що
неправильно здійснений або працюючий зі збоями контроль або неправильно
застосована СУІБ можуть бути самостійною вразливістю. Контроль може бути
ефективним чи неефективним залежно від середовища, в якому він працює. Навпаки,
загроза, у якої немає відповідної уразливості, можливо, не призведе до ризику [3].
Кількісно ризик оцінюється за формулою:
де 
– імовірність настання негативної події, що
завдала шкоди інформаційній безпеці і привела до втрат;
–
величина втрат від настання негативної події;
–
імовірність виникнення загрози інформаційній безпеці;
–
імовірність наявності уразливості.
Відповідно до обраного методу оцінювання ризиків потрібно сформувати
оціночні шкали, що будуть використовуватись експертами. Оптимальна оціночна
шкала повинна мати порівняно невелике число градацій (від 3 до 8); кожній
градації приписують певний імовірнісний інтервал. Крім того, кожна градація
повинна супроводжуватися короткою текстовою якісною характеристикою [4].
Для оцінювання ризику також необхідно розробити оціночну шкалу збитків
активам АС. Найбільш об’єктивну оцінку можливого збитку може зробити тільки
власник активу. Часто буває зручніше і простіше це зробити з використанням
якісного опису. Основними активами, відповідно до опису компонентів АС, як
правило, є апаратура та обладнання, програмне забезпечення та інформаційні
ресурси.
При визначенні ризиків враховано, що реалізація тієї чи іншої загрози не
завжди приводить до повної втрати активу, а до втрати певного його відсотка.
Тому значення збитку від реалізації загрози може бути меншою, ніж вартість
всього активу.
За результатами співставлення загроз, уразливостей та активів АС в ході
досліджень було виявлену закономірність, зображену на рис. 1. Половина всіх
загроз стосується програмного забезпечення, яке є найбільш уразливим.
Рис. 1. Розподіл
загроз за активами
Наступним кроком методики оцінки ризиків є переведення бальної оцінки, в
лінгвістичну змінну. Для оцінки ризиків встановимо шкалу з трьох значень:
незначний, оброблюваний та недопустимий. За отриманими результатами, розподіл
ризиків за рівнями набуває вигляду, зображеного на рис. 2.
Рис. 2. Види
ризиків по рівню
З наведених даних видно, що переважну більшість складають ризики, що
підлягають обробці. До початку оброблення ризику необхідно встановити критерії
прийняття ризиків. Ризики можуть бути прийняті, якщо оцінено, що ризик є
невеликим або вартість оброблення ризику є нерентабельною. Для кожного з
ризиків, ідентифікованих після оцінки ризику, треба прийняти рішення щодо
оброблення ризиків.
Отже, серед інших найбільш уразливим активом в АС є програмне забезпечення,
зокрема серверна та клієнтська операційні системи.
Література
1. Ажмухамедов И.М. Решение задач обеспечения информационной
безопасности на основе системного анализа и нечёткого когнитивного
моделирования. Монография. / И.М. Ажмухамедов / Астрахань: Издательство АНТУ,
2012. – 344 с.
2. Міжнародний стандарт ISO/IEC 27002:2005 Информационные технологии.
Свод правил по управлению информационной безопасностью. // Електронний ресурс.
– Режим доступу: http://www.pqm-online.com/assets/
files/standards/iso_iec_27002-2005.pdf
3. Астахов А.М. Искусство управления информационными рисками. / А.М.
Астахов – М.: ДМК Пресс, 2010. – 312 с.
4. Вишняков Я.Д. Общая теория рисков : уч. пособ. для студ. ВУЗов /
Я.Д. Вишняков, Н.Н. Радаев. – 2-е изд. – М.: Издательский центр
“Академия”, 2008. – 368 с.