- •Введение
- •Социальные системы в контексте государственного и муниципального управления
- •Социум и основы социального управления
- •Социум и его основные признаки
- •Специфика социальной организации
- •Классы, виды и формы управления социумом
- •Процесс социального управления
- •Компоненты системы социального управления
- •Механизмы социального (государственного и муниципального) управления
- •Принципы социального управления
- •Государственное и муниципальное управление
- •Сущность государственного управления
- •Прогнозирование, планирование и программирование в государственном управлении
- •Местное самоуправление в рф
- •Принципы местного самоуправления
- •Правовые основы местного самоуправления
- •Организационные основы местного самоуправления Понятие организационных основ местного самоуправления
- •Система и структура органов местного самоуправления
- •Гарантии и ответственность в системе государственного и местного самоуправления
- •Правонарушения и ответственность
- •Ответственность государственных и муниципальных органов, организаций, служащих за правонарушения в сфере государственного и муниципального управления
- •Социотехнические системы как среда реализации информационных операций и атак
- •Анализ подходов к определению понятия «социотехническая система»
- •Общесистемные закономерности в информационном аспекте функционирования социотехнических систем
- •Энтропийная компенсация, динамическое равновесие или баланс
- •Колебательные и циклические принципы функционирования
- •Зависимость потенциала системы от структуры и характера взаимодействия ее элементов
- •Фоновая закономерность
- •Организация, ограничение, опережение, неполное использование, искажение, принудительное отчуждение и обобществление информации
- •Обратимость процессов и явлений
- •Энергоинформационный обмен
- •Нелинейное синергетическое опосредование
- •Идеальность нематериальных предметов
- •Закон двадцати и восьмидесяти процентов
- •Опасности социотехнических систем
- •Опасности в информационно- психологическом пространстве
- •Опасности в информационно- кибернетическом пространстве
- •Вероятности и риски
- •Понятийный аппарат
- •Качественный подход к оценке рисков систем
- •Разделение рисков на приемлемые и неприемлемые
- •Оценка рисков систем экспертными методами
- •Некоторые подходы к определению мер риска для различных распределений вероятности ущерба.
- •Методология оценки риска и защищенности для непрерывного и дискретного видов распределения вероятности ущерба
- •Нормирование и дискретизация ущерба
- •Применение аппарата теории нечетких множеств при оценке риска и защищенности для множества угроз
- •Безопасность социотехнических систем
- •Безопасность систем и информационные операции: понятийный аппарат
- •Управление социотехническими системами в контексте необходимости обеспечения их информационной безопасности
- •Методология исследования информационных операций и атак с учетом особенностей социотехнических систем
- •Специфика реализации информационных операций и атак в социотехнических системах
- •Формализация описания информационных конфликтов социотехнических систем
- •Стратегии и тактики информационных операций и атак, реализуемых в социотехнических системах
- •Стратегии реализации информационных операций и атак
- •Тактики реализации информационных операций и атак
- •Простейшие информационные операции, реализуемые в социотехнических системах
- •Простейшие информационно-кибернетические операции
- •Специфика применения информационного оружия
- •Средства информационного оружия
- •Субъекты применения информационного оружия
- •Объекты назначения информационного оружия
- •Предметы воздействия информационного оружия
- •Типология, виды и сценарии информационных операций и атак
- •1. Операции, направленные против центров управления.
- •2. Операции, направленные на компрометацию, причинение вреда конкурентам.
- •3. Операции, направленные на политическую (экономическую) дестабилизацию.
- •Информационные операции и атаки в сфере государственного и муниципального управления
- •Информационно – кибернетические операции: анализ и противодействие в отношении атак на информационно – телекоммуникационные системы
- •Классификация сетевых угроз для информационно-телекоммуникационных систем
- •Атаки на основе подбора имени и пароля посредством перебора
- •Атаки на основе сканирования портов
- •Атаки на основе анализа сетевого трафика
- •Атаки на основе внедрения ложного доверенного объекта
- •Атаки на основе отказа в обслуживании
- •Оценка рисков и защищенности для атакуемых кибернетических систем
- •Информационно – психологические операции: анализ и противодействие в отношении деструктивных технологий неформальных организаций
- •Простейшие операции информационно-психологического управления
- •Информационные операции, реализуемые неформальными объединениями и деструктивными культами
- •Информационные операции в рамках политических технологий
- •Моделирование информационно- психологических операций
- •Организационно-правовые аспекты обеспечения безопасности социотехнических систем в условиях противодействия информационным операциям и атакам
- •Организационный механизм противодействия
- •Структура и стадии противодействия
- •Управление оборонительными средствами
- •Этапы обеспечения рискового режима безопасности
- •Оценка эффективности противодействия информационным операциям и атакам
- •Региональный аспект противодействия
- •Международный аспект противодействия
- •Заключение
- •Библиографический список
- •Оглавление
- •394026 Воронеж, Московский просп., 14
Качественный подход к оценке рисков систем
Анализ рисков является неотъемлемой составляющей процесса управления рисками систем, в том числе и информационными. Это объясняется тем, что анализ риска позволяет более эффективно управлять безопасностью, а также своевременно определять, что именно подлежит защите в системе, воздействию каких угроз она подвержена, и выработать рекомендации по практике защиты. В процессе качественного анализа может быть выведена обширная группа, или несколько групп рисков, при этом вероятность каждого типа риска различна, также как и объёмы ущербов, которые они могут вызвать. Качественная оценка вероятности наступления отдельных рисков и ущербов позволяет выделить наиболее вероятные по возникновению и весомые по величине потерь риски, которые будут являться объектами дальнейшего анализа для принятия мер по их пресечению.
Величина риска по каждому ресурсу определяется как произведение вероятности атаки на ресурс через определенную уязвимость, вероятности реализации угрозы и величины ущерба от деструктивного действия. В этом произведении могут использоваться различные способы взвешивания составляющих. При использовании количественных шкал предыдущие рассуждения можно свести в формулу:
,
где – вероятность возникновения угрозы;
– вероятность использования конкретной уязвимости;
– предполагаемый ущерб.
Сложение рисков по всем ресурсам дает величину суммарного риска при принятой архитектуре системы и внедренной в нее системе защиты.
Таким образом, варьируя варианты построения системы защиты и архитектуры систем, становится возможным представить и рассмотреть различные значения суммарного риска за счет изменения вероятности реализации угроз. Здесь весьма важным шагом является выбор одного из вариантов в соответствии с отобранным критерием принятия решения. Таким критерием может быть допустимая величина риска или отношение затрат на обеспечение информационной безопасности к остаточному риску. Выбор таких критериев, а также подходы к управлению рисками будут рассмотрены в отдельной главе.
В настоящее время известно множество методов оценки информационных рисков. Важно, чтобы сотрудники информационной системы, специалисты по информационной безопасности, выбрали подходящий метод, который обеспечивал бы корректные и достоверные воспроизводимые результаты. Рассмотрим несколько примеров подобных методов оценивания рисков, которые рекомендованы международными стандартами информационной безопасности, главным образом ISO 17799 (BS 7799). Существенно, что в этих рекомендуемых методах количественные показатели информационных ресурсов оцениваются с точки зрения стоимости их замены или восстановления работоспособности, то есть количественными методами. А существующие или предполагаемые программные ресурсы оцениваются так же, как и физические, то есть при помощи определения затрат на их приобретение или восстановление количественными методами. Если обнаружится, что какое-либо прикладное программное обеспечение имеет особые требования к конфиденциальности или целостности, например, исходный код имеет высокую коммерческую ценность, то оценка этого ресурса производится в стоимостном выражении по той же схеме, что и для информационных ресурсов.
Далее количественные показатели используются там, где это допустимо и оправдано, а качественные – где количественные оценки по ряду причин затруднены. При этом наибольшее распространение получило оценивание качественных показателей при помощи специально разработанных для этих целей балльных шкал (табл. 3. 7).
Следующей операцией является заполнение пар опросных листов, в которых по каждому из типов угроз и связанной с ним группе ресурсов оцениваются уровни угроз как вероятность реализации угроз и уровни уязвимостей как степень легкости, с которой реализованная угроза способная привести к негативному воздействию. Оценивание производится в качественных шкалах. Например, уровень угроз и уязвимостей оценивается по шкале «высокий-низкий». Необходимую информацию собирают, опрашивая компетентных сотрудников информационной системы, сотрудников коммерческих, технических, кадровых и сервисных служб, выезжая на места и анализируя документацию.
Ранжирование угроз
В матрице или таблице можно наглядно отразить также связь между угрозами, негативными воздействиями и возможностями реализации. Для этого нужно выполнить следующие шаги (табл. 3. 8). На первом шаге оценить негативное воздействие по заранее определенной шкале, например от 1 до 5 для каждого ресурса, которому угрожает опасность (колонка b в таблице). На втором шаге по той же шкале ценить реальность реализации (колонка с в таблице) каждой угрозы (колонка в таблице). На третьем шаге вычислить показатель риска при помощи перемножения чисел в колонках b и с, по которому и производится ранжирование угроз (колонка е). В этом примере для наименьшего негативного воздействия и для наименьшей реальности реализации выбран показатель 1.
Оценивание показателей частоты повторяемости и возможного ущерба от риска.
Рассмотрим пример оценки негативного воздействия угрозы. Эта задача решается при помощи оценивания двух значений: ценности ресурса и частоты повторяемости риска. Перечисленные значения определяют показатель ценности для каждого ресурса. Вначале каждому ресурсу присваивается определенное значение, соответствующее потенциальному ущербу от воздействия угрозы. Такие показатели присваиваются ресурсу по отношению ко всем возможным угрозам. После того, как баллы всех ресурсов анализируемой информационной системы будут просуммированы, определяется количественный показатель риска для системы. Далее оценивается показатель частоты повторяемости. Частота зависит от вероятности возникновения угрозы и степени легкости, с которой может быть использована уязвимость. В результате получим следующее (табл. 3.9).
Таблица 3.7.
Уровни рисков, соответствующие показателям ценности ресурсов, угроз и уязвимостей
Показатель ценности ресурса (на каждую угрозу и ресурс) |
Уровень угрозы (оценка вероятности ее осуществления) |
||||||||||
Низкий |
Средний |
Высокий |
|||||||||
Уровни уязвимостей |
Уровни уязвимостей |
Уровни уязвимостей |
|||||||||
Н* |
С* |
В* |
Н |
С |
В |
Н |
С |
В |
|||
0 |
0 |
1 |
2 |
1 |
2 |
3 |
2 |
3 |
4 |
||
1 |
1 |
2 |
3 |
2 |
3 |
4 |
3 |
4 |
5 |
||
2 |
2 |
3 |
4 |
3 |
4 |
5 |
4 |
5 |
6 |
||
3 |
3 |
4 |
5 |
4 |
5 |
6 |
5 |
6 |
7 |
||
4 |
4 |
5 |
6 |
5 |
6 |
7 |
6 |
7 |
8 |
* – Н – низкий; С – средний; В – высокий.
Таблица 3.8.
Ранжирование угроз
Описание угрозы |
Показатель негативного воздействия |
Реальность реализации угрозы |
Показатель риска |
Ранг угрозы |
a |
b |
c |
d |
e |
Угроза A |
5 |
2 |
10 |
2 |
Угроза B |
2 |
4 |
8 |
3 |
Угроза C |
3 |
5 |
15 |
1 |
Угроза D |
1 |
3 |
3 |
5 |
Угроза E |
4 |
1 |
4 |
4 |
Угроза F |
2 |
4 |
8 |
3 |
Таблица 3. 9.
Показатель частоты повторяемости риска
Уровень угрозы |
||||||||
Низкий |
Средний |
Высокий |
||||||
Уровни уязвимостей |
Уровни уязвимостей |
Уровни уязвимостей |
||||||
Н |
С |
В |
Н |
С |
В |
Н |
С |
В |
0 |
1 |
2 |
1 |
2 |
3 |
2 |
3 |
4 |
Затем определяется показатель пары ресурс/угроза. На каждую пару ресурс/угроза составляется таблица (табл. 3.10), в которой суммируются показатели ресурса и угрозы.
На заключительном этапе суммируются все итоговые баллы по всем ресурсам системы и формируется ее общий балл. Его можно использовать для выявления тех элементов системы, защита которых должна быть приоритетной.