Оценка степени уязвимости информации в результате действий нарушителей различных категорий — это определение слабых компонентов информационных систем каких-либо компаний, которые могут быть подвержены негативному воздействию со стороны злоумышленников.
Введение
Для того чтобы оценить степень уязвимости информации можно провести трехфакторный анализ, а именно:
- Анализ оценки рисков по степени вероятности угрозы.
- Анализ вероятности уязвимости, то есть, применения злоумышленником некоторого канала утечки.
- Анализ цены потери.
Нарушители, которые являются злоумышленниками, могут быть поделены на следующие категории:
- Категория внешних нарушителей.
- Категория внутренних нарушителей.
Следует отметить, что вероятность кражи бумажного документа, обладающего высокой ценностью, для каждой категории нарушителей является разной. Это объясняется тем фактом, что внешние нарушители могут не знать о ценности документов и способны украсть его просто случайно, то есть, это вероятность угрозы, но нарушитель профессионал обладает большими шансами преодолеть систему защиты, то есть, это вероятность уязвимости. Для внутренних нарушителей шансов преодолеть систему защиты гораздо больше, а вот вероятность реализации угрозы определяется их мотивацией.
Оценка степени уязвимости информации в результате действий нарушителей различных категорий
Угрозой является набор условий и факторов, способных явиться причиной нарушения целостности, доступности, конфиденциальности информации. Уязвимостью являются слабости в системе защиты, которые способны сделать возможным реализацию угрозы.
Риском нарушения информационной безопасности является возможная реализация угрозы. Анализом рисков считается процесс выявления угроз, уязвимостей, вероятного ущерба, а также контрмер. Оценкой рисков является идентификация рисков, определение параметров для их отображения и формирование оценок по этим параметрам.
Управлением рисками является процесс формирования контрмер согласно оценке рисков. Классом рисков является множество угроз информационной безопасности, сформированных по определенному признаку.
На текущий момент применяются два подхода к анализу рисков. Их выбор определяется оценкой собственниками ценности своих информационных ресурсов и вероятных последствий, вызванных нарушением режима информационной безопасности. В простейшем случае владельцы информационных ресурсов могут не осуществлять оценку этих параметров. В данном варианте анализ рисков выполняется в соответствии с упрощенной схемой, а именно, в рассмотрение принимается стандартная совокупность самых распространенных угроз безопасности без анализа их вероятности и гарантируется минимальный или базовый уровень информационной безопасности.
Расширенная или полная версия анализа рисков используется при наличии повышенных требований в сфере информационной безопасности. В отличие от базовой версии в той или иной форме, в полной версии выполняется оценка ценности ресурсов, характеристик рисков и уязвимостей ресурсов.
Процесс оценивания рисков состоит из следующих этапов:
- Осуществление идентификации ресурса и оценка его количественных показателей или выявление вероятного отрицательного воздействия на бизнес.
- Выполнение оценки угроз.
- Выполнение оценки уязвимостей.
- Осуществление оценки имеющихся и предлагаемых средств по обеспечению информационной безопасности.
- Выполнение оценки рисков.
- Реализация выбора средств, способных обеспечить режим информационной безопасности.
Фактором риска является состояние процесса или объекта, которое может способствовать осуществлению риска, то есть, это обстоятельства, способствующие реализации рисков.
Таким образом, степень риска имеет зависимость от следующего набора факторов:
- параметры ценности ресурсов, то есть от того, может ли считаться ресурс привлекательным для сторонних лиц и может ли он быть использован для извлечения прибыли;
- фактор возможности реализации угрозы;
- фактор простоты применения уязвимости при появлении угроз;
- имеющиеся или предполагаемые к внедрению средства обеспечения информационной безопасности, способные уменьшить уязвимости, сократить вероятность возникновения угроз и отрицательных воздействий.
Шкалы бывают прямые (естественные) или косвенные (производные). Примерами прямых шкал могут считаться шкалы, предназначенные для измерения физических величин, к примеру, шкалы для определения объемов жидкости в литрах, шкалы для определения длины в метрах. В некоторых случаях прямые шкалы просто не существуют, тогда следует применять или прямые шкалы иных свойств, которые связаны с интересующими, или назначать новые шкалы. Примером можно считать шкалу, предназначенную для измерения такого субъективного свойства, как «ценность информационного ресурса». Данная ценность может быть измерена в единицах измерения производных шкал, например, таких, как стоимость восстановления ресурса, время восстановления ресурса и другие. Другим вариантом является определение шкалы, способной предоставить экспертную оценку, к примеру, имеющую следующие значения:
- информационный ресурс малой ценности, то есть, он не может влиять на критически важные задачи, и его можно восстановить с незначительными затратами времени и финансов;
- ресурс, обладающий средней ценностью, то есть, он может влиять на ряд важных задач, но в случае утраты его можно восстановить за время, которое не превышает критически допустимого, но стоимость восстановления достаточно высокая;
- ценный ресурс, то есть, он может влиять на критически важные задачи, в случае утраты время его восстановления может превысить критически допустимое, либо стоимость будет чрезвычайно высокой.
Факторы, влияющие на выбор шкал из множества:
- Фактические ресурсы определенной организации.
- Шкала должна быть однозначно понимаемой всеми экспертами.
