Приложение Е (справочное). Типология методов анализа риска. Национальный стандарт РФ ГОСТ Р ИСО/МЭК ТО 13335-3-2007 "Информационная технология. Методы и средства обеспечения безопасности. Часть 3. Методы менеджмента безопасности информационных технологий" (утв. и введен в действие приказом Федерального агентства по техническому регулированию и метрологии от 07.06.2007 N 122-ст) (отменен)

Приложение Е
(справочное)

Типология методов анализа риска

Анализ риска состоит из следующих этапов, приведенных в настоящем приложении, а также в ИСО/МЭК ТО 13335-4:

- идентификация и оценка активов (оценка возможного негативного воздействия на деловую деятельность);

- оценка угроз;

- оценка уязвимых мест;

- оценка существующих и планируемых средств защиты;

- оценка риска.

На заключительном этапе анализа риска должна быть проведена суммарная оценка риска. Как было установлено ранее (см. приложение В), активы, имеющие ценность и характеризующиеся определенной степенью уязвимости, всякий раз подвергаются риску в присутствии угроз. Оценка риска представляет собой оценку соотношения потенциальных негативных воздействий на деловую деятельность в случае нежелательных инцидентов и уровня оцененных угроз и уязвимых мест. Риск фактически является мерой незащищенности системы и связанной с ней организации. Величина риска зависит от;

- ценности активов;

- угроз и связанной с ними вероятности возникновения опасного для активов события;

- легкости реализации угроз в уязвимых местах с оказанием нежелательного воздействия;

- существующих или планируемых средств защиты, снижающих степень уязвимости, угроз и нежелательных воздействий.

Задача анализа риска состоит в определении и оценке рисков, которым подвергается система информационных технологий и ее активы, с целью определения и выбора целесообразных и обоснованных средств обеспечения безопасности. При оценке рисков рассматривают несколько различных его аспектов, включая воздействие опасного события и его вероятность.

Воздействие может быть оценено несколькими способами, в том числе количественно (в денежных единицах) и качественно (оценка может быть основана на использовании для сравнения прилагательных типа умеренное или серьезное), или их комбинацией. Для оценки воздействия необходимо рассчитать вероятность появления угрозы, время ее существования, время сохранения ценности актива и целесообразность защиты актива. На вероятность появления угрозы оказывают влияние следующие факторы:

- привлекательность актива - применяют при рассмотрении угрозы намеренного воздействия людей;

- доступность актива для получения материального вознаграждения - применяют при рассмотрении угрозы намеренного воздействия людей;

- технические возможности создателя угрозы - применяют при рассмотрении угрозы намеренного воздействия людей;

- вероятность возникновения угрозы;

- возможность использования уязвимых мест - применяют к уязвимым местам как технического, так и нетехнического характера.

Многие методы предлагают использование таблиц и различных комбинаций субъективных и эмпирических мер. В настоящее время нельзя говорить о правильном или неправильном методе анализа риска. Важно, чтобы организация пользовалась наиболее удобным и внушающим доверие методом, приносящим воспроизводимые результаты. Ниже приведены несколько примеров методов, основанных на применении таблиц:

Примеры

1 Матрица с заранее определенными значениями

В методах анализа риска такого типа фактические или предполагаемые физические активы оценивают на основе стоимости их замены или восстановления (то есть количественно). Затем эти количественные оценки преобразуют в шкалу качественных оценок, которая используется применительно к активам данных (см. ниже). Фактические или предполагаемые программные активы оценивают так же, как и физические активы с определением стоимости их покупки или восстановления, а затем эти количественные оценки преобразуют в шкалу качественных оценок, которая используется применительно к активам данных. Кроме того, если выяснится, что к конкретному прикладному программному обеспечению существуют свои внутренние требования по конфиденциальности или целостности (например, если исходный код сам является коммерческой тайной), то его оценивают тем же способом, что и активы данных.

Значения ценности активов данных определяют интервьюированием избранных сотрудников, занятых в сфере деловой деятельности ("владельцев данных"), которые могут высказывать компетентные суждения относительно данных, определять ценность и чувствительность данных, находящихся в использовании или подлежащих хранению или обработке с обеспечением доступа к ним. Такие интервью облегчают оценку ценности и чувствительности активов данных с учетом самых неблагоприятных вариантов развития событий, которые можно ожидать, руководствуясь разумными основаниями, и которые могут оказать негативное воздействие на деловую деятельность вследствие несанкционированных раскрытия информации, модификации, изменения смысла переданной информации, недоступности информации в различные периоды времени и уничтожения информации.

Оценку проводят на основе рекомендаций по оценке активов данных, которые охватывают:

- личную безопасность;

- персональные данные;

- обязанности соблюдать требования законов и подзаконных актов;

- правовое принуждение;

- коммерческие и экономические интересы;

- финансовые потери / нарушение нормального хода работ;

- общественный порядок;

- политику ведения бизнеса и деловых операций;

- потерю репутации.

Рекомендации облегчают определение значений на числовой шкале (например от 1 до 4), которая предусмотрена для матрицы, используемой в качестве примера (см. таблицу 1), позволяя, таким образом, использовать там, где возможно, количественные, а там, где невозможно, - логические и качественные оценки, например при оценивании степени угрозы для жизни людей.

Важным является также составление пар вопросников по каждому типу угрозы для каждой группы активов, к которым относится данный тип угрозы, что обеспечит возможность оценки уровней угроз (вероятности возникновения угроз) и уровней уязвимости (легкости реализации угроз в уязвимых местах с оказанием нежелательного воздействия). За ответ на каждый вопрос начисляют очки. Очки накапливают с использованием базы знаний и сравнивают с рангами, что позволяет определить уровни угроз (например по шкале с диапазоном уровней от "высокого" до "низкого") и соответственно уровни уязвимости (см. приведенную ниже матрицу), применительно к различным уровням воздействия. Ответы на вопросы, содержащиеся в вопросниках, получают в результате интервьюирования технических специалистов, персонала организации и специалистов по эксплуатации помещений, а также на основе физического обследования мест размещения аппаратуры и проверки состояния документации.

Типы учитываемых угроз распределяют по следующим группам: намеренные несанкционированные действия людей, действия сил природы, ошибки людей и сбои в оборудовании, программном обеспечении или линии связи.

Ценности активов, а также уровни угроз и уязвимости, соответствующие каждому типу воздействия вводят в матрицу для определения каждого сочетания соответствующих мер риска по шкале от 1 до 8. Значения величин размещают в матрице в структурированной форме в соответствии с таблицей 1.

Таблица 1

Ценность актива	Уровень угрозы
	Низкий			Средний			Высокий
	Уровень уязвимости			Уровень уязвимости			Уровень уязвимости
	Н	С	В	Н	С	В	Н	С	В
0	0	1	2	1	2	3	2	3	4
1	1	2	3	2	3	4	3	4	5
2	2	3	4	3	4	5	4	5	6
3	3	4	5	4	5	6	5	6	7
4	4	5	6	5	6	7	6	7	8
Обозначение: Н - низкий, С - средний, В - высокий.

Для каждого актива рассматривают уязвимые места и соответствующие им угрозы. Если имеются уязвимые места без соответствующей угрозы или угрозы без соответствующего уязвимого места, то считают, что в данное время риск отсутствует (необходимо проявлять осторожность на случай возможного изменения ситуации!). Затем идентифицируют соответствующий ряд матрицы по ценности актива, а соответствующую колонку - по степени угрозы и уязвимости. Например, если ценность актива равна 3, угрозу характеризуют как "высокую", а уязвимость - как "низкую", мера риска равна 5. Предположим, что ценность актива равна 2; при оценке, например угрозы модификации актива, угрозу характеризуют как "низкую", а уязвимость - как "высокую". В этом случае мера риска будет равна 4. Размер матрицы с точки зрения числа категорий, характеризующих степень угрозы, степень уязвимости и ценность актива выбирают в зависимости от потребностей организации. Дополнительные колонки и ряды дают дополнительное число мер риска. Ценность настоящего метода состоит в ранжировании соответствующих рисков.

2 Ранжирование угроз по мерам риска

Для установления пошаговой взаимозависимости между факторами воздействия (ценность актива) и вероятностью возникновения угрозы (с учетом аспектов уязвимости) может использоваться матрица или таблица (см. таблицу 2). Первый шаг - оценка воздействия (ценности актива) по заранее определенной шкале, например от 1 до 5, для каждого подвергаемого угрозе актива (колонка b в таблице 2). Второй шаг - оценка вероятности возникновения угрозы по заранее определенной шкале, например от 1 до 5, для каждой угрозы (колонка с в таблице 2). Третий шаг - расчет мер риска умножением результатов первых двух шагов (b - с). Теперь можно проранжировать опасности по значению коэффициента "подверженности воздействиям". В таблице 2 цифрой 1 обозначены самое малое воздействие и самая низкая вероятность возникновения угрозы.

Таблица 2

Дескриптор угроз а	Оценка воздействия (ценности актива) b	Вероятность возникновения угрозы с	Мера риска d	Ранг угрозы е
Угроза А	5	2	10	2
Угроза В	2	4	8	3
Угроза С	3	5	15	1
Угроза D	1	3	3	5
Угроза Е	4	1	4	4
Угроза F	2	4	8	3

Как показано выше, такой метод позволяет сравнивать и ранжировать по