В данной статье рассмотрены современное состояние и подходы к оценке информационной безопасности сетей телекоммуникации. Дан краткий анализ задач оценки информационной безопасности. Оценка информационной безопасности производится с целью проверки соответствия достигнутого уровня безопасности заданному в нормативных документах. Представлены современные методические подходы к оценке информационной безопасности, в том числе на основе качественных и количественных подходов.
Ключевые слова:информационная безопасность, сети телекоммуникации, оценка информационной безопасности, риск информационной безопасности, количественная оценка риска
В последние годы в сфере связи и информатизации осуществляется большая работа по построению современных сетей телекоммуникаций, которые необходимо осуществлять с учетом требований безопасности их функционирования.
В основе формирования требований, определяющих необходимый уровень информационной безопасности, лежит анализ сетей как объектов оценки информационной безопасности.
Однако в настоящее время не существует общей методологии и конкретных методик оценки информационной безопасности сетей телекоммуникаций.
В связи с этим важным является анализ различных подходов к решению аналогичных задач в информационно-вычислительных системах, в которых накоплен опыт обеспечения комплексной безопасности, которая предполагает адекватность уровня затрат на её обеспечение, ценности информационных ресурсов и величине возможного ущерба.
В области оценки информационной безопасности в настоящее время развиваются два основных методических направления [3,4].
‒ первое направление основывается на использовании для оценки ИБ совокупности строго определенных требований, которым должны удовлетворять сети телекоммуникаций (качественные подходы).
‒ второе направление оценки информационной безопасности технологий телекоммуникаций основывается на определении числовых характеристик безопасности используемых технологий телекоммуникаций (количественные подходы).
При оценке информационной безопасности сетей телекоммуникаций вводится понятие риска R, под которым понимается вероятный ущерб, зависящий от защищенности сети.
Оценка рисков информационной безопасности сетей выполняется либо количественно (риск измеряется в денежных единицах), либо — качественно (по уровням риска: высокий, средний, низкий).
Двумя ключевыми элементами при оценке риска является определение последствий угроз, то есть оценка стоимости ущерба и вероятности его нанесения.
Качественный подход к оценке информационной безопасности сетей телекоммуникаций. Качественные методологии, используемые для оценки безопасности сетей, исходят из того, что зачастую потенциальные потери неосязаемы, поэтому риск в результате реализации той или иной угрозы ИБ нельзя представить в денежном выражении. При качественном подходе результаты риска выражаются словесно: от «нет опасности» до «очень большая опасность».
В настоящее время известно множество направлений качественной оценки рисков, большинство из которых построено на использовании таблиц. Такие методы сравнительно просты в использовании и достаточно эффективны. Однако не стоит говорить о «лучшем» методе, так как для различных случаев они будут разными. Важно из имеющегося многообразия методов выбрать именно тот, который обеспечивал бы воспроизводимые результаты для данной сети телекоммуникаций.
Некоторые качественные подходы оценивают результаты анализа риска ИБ сетей телекоммуникаций эффективнее всего, выражая его математически в виде скалярной величины с описанием условий для каждой точки. Другие подходы предлагают графическое изображение дерева решения, которое показывает распределение вероятностей самых общих случаев [1,2].
Однако ни одно из указанных направлений не способно в отдельности обеспечить получение объективной, оценки безопасности сети телекоммуникаций. Задача выбора эффективной критериальной основы оценки безопасности технологий телекоммуникаций заключается в определении рационального сочетания этих направлений и в правильном выборе показателей безопасности
Пример, на основе которого можно определить уровень риска, приведён в таблице.
Таблица
Пример определения уровня риска информационной безопасности
|
Ущерб |
Вероятность реализации угрозы |
||||
|
Очень низкая |
Низкая |
Средняя |
Высокая |
Очень высокая |
|
|
Малый ущерб |
Низкий риск |
Низкий риск |
Низкий риск |
Средний риск |
Средний риск |
|
Умеренный ущерб |
Низкий риск |
Низкий риск |
Средний риск |
Средний риск |
Высокий риск |
|
Ущерб средней тяжести |
Низкий риск |
Средний риск |
Средний риск |
Средний риск |
Высокий риск |
|
Большой ущерб |
Средний риск |
Средний риск |
Средний риск |
Средний риск |
Высокий риск |
|
Критический ущерб |
Средний риск |
Высокий риск |
Высокий риск |
Высокий риск |
Высокий риск |
При использовании качественных шкал числовые значения заменяются на эквивалентные им понятийные уровни. Каждому понятийному уровню в этом случае будет соответствовать определённый интервал количественной шкалы оценки. Количество уровней может варьироваться в зависимости от применяемых методик оценки рисков.
Для разработки рационального плана обеспечения безопасности необходимо оценить и вероятность осуществления каждой угрозы безопасности. Общей целью большинства предложенных стратегий оценки риска является получение количественной оценки риска. В качестве наиболее приемлемого метода используется вычисление ожидаемой величины потерь для каждой угрозы в виде произведения:
V∙P,
где V — оценка угрозы в денежных единицах,
Р — вероятность ее осуществления [1,2].
При этом целью применения мер противодействия является уменьшение риска: либо за счет уменьшения вероятности осуществления угрозы, либо за счет уменьшения эффекта воздействия угрозы. Мера противодействия считается разумной с экономической точки зрения, если ее эффективность, выраженная через уменьшение ожидаемого экономического ущерба, превышает затраты на ее реализацию. Одной из важных целей, которые пытаются достичь с помощью мер противодействия, является увеличение затрат на нарушение системы защиты до значения, которое превышает оценку злоумышленником достигаемого им выигрыша. В затраты злоумышленника нужно включить и необходимые ему ресурсы, такие как технические средства, специальные знания, время и возможности. Кроме того, существуют еще и затраты на штрафы, то есть злоумышленник должен учитывать возможность обнаружения его действий и связанные с этим экономические, персональные и социальные санкции.
Для определения уровня затрат, обеспечивающих требуемый уровень защищенности информации, необходимо по крайней мере определить, во-первых, полный перечень угроз информации, во-вторых, потенциальную опасность для информации каждой из угроз и, в-третьих, размеры затрат, необходимые для нейтрализации каждой из угроз.
Для количественной оценки рисков необходимо оценивать потери и стоимости потерь (распределение величины потерь), зависящую от стоимости информационных ресурсов. При оценке величины риска необходимо иметь в виду не только непосредственные расходы на замену оборудования или восстановление информации, но и величину ущерба, нанесенного процессам сетей телекоммуникаций, посредством которых они выполняют свои функции.
Классический количественный подход для оценки риска информационных потерь был разработан Национальным институтом стандартов и технологий (США) «GuidelinesforAutomatedDataProcessingPhysicalSecurityandRiskManagement».
Согласно этому подходу:
Информационный актив
Фактор подверженности воздействию Ежегодная частота проявления, = Ожидаемые ежегодные потери
где Информационный актив (AssetValue, AV) — сущность, составленная из аппаратного и программного обеспечения, накопленных и обрабатываемых данных. Измерять информационные активы можно, оценивая стоимости их разработки, лицензирования, поддержки и замены;
Фактор подверженности воздействию (ExposureFactor, EF)- процент потери, который могла бы принести реализованная угроза на определенном активе (когда определенная угроза совпадает с определенной уязвимостью);
Ожидаемые единоразовые потери (SingleLossExpectancy, SLE). Риск рассчитывается в денежных единицах. Для любой определенной угрозы, мы берем ценность подверженного ей актива и умножаем ее на фактор подверженности. В промежуточном итоге получается ожидаемая при исполнении угрозы потеря, которая и называется ожиданием единичной потери:
(1)
Ежегодная частота проявления (AnnualRateofOccurrence, ARO) — ожидаемое количество проявлений угрозы по отношению к определенному активу: чем больше риск, относящийся к угрозе, тем выше ее значение.
Ожидаемыеежегодныепотери (Annual Loss Expectancy, ALE).
В итоге можно посчитать ожидаемые за год финансовые потери актива от одной определенной угрозы:
. (2)
Таким образом, получают несложные для использования метрики и формулы для количественной оценки рисков, которые могут быть успешно использованы специалистами, на которых возложено управление рисками.
Основной трудностью практической реализации оценки риска при обеспечении информационной безопасности становится получение исходных данных, необходимых для количественной оценки рисков.
Анализ рассмотренных методик показывает, что для выбора технических средств обеспечения информационной безопасности необходимо располагать достаточно представительными данными по угрозам безопасности и их последствиям.
В связи с этим важной задачей является организация сбора и анализа информации о воздействиях угроз и их последствиях, охватывающего большое число объектов различных сетей.
Литература:
- Dang Depeng, Meng Zhen. Assessment of information security risk by support vector machine. Journal of Huazhong University of Science and Technology (Natural Science Edition), 2010, 3(38), p.46–49
- Джураев, Р.Х., Шомаксудов, Б. Ю. Анализ методов обеспечения целостности информации в сетях передачи данных // Труды ICEIC-2008. Ташкент: 24–27 июнь, 2008, С. 304–306.
- Новиков, А.А., Устинов, Г. Н. Уязвимость и информационная безопасность телекоммуникационных технологий: Учебное пособие для вузов. — М.: Радио и связь, 2003. — 296 с.
- Петренко, С.А., Симонов, С. В. Управление информационными рисками, экономически оправданная безопасность. М.: АйТи: ДМК Пресс, 2004. — 392 с.
