Лекция 8. Понятие «риск» в контексте безопасности систем

Анализ рисков является неотъемлемой составляющей процесса управления рисками систем, в том числе и информационными. Это объясняется тем, что анализ риска позволяет более эффективно управлять безопасностью, а также своевременно определять, что именно подлежит защите в системе, воздействию каких угроз она подвержена, и выработать рекомендации по практике защиты. В процессе качественного анализа может быть выведена обширная группа, или несколько групп рисков, при этом вероятность каждого типа риска различна, также как и объёмы ущербов, которые они могут вызвать. Качественная оценка вероятности наступления отдельных рисков и ущербов позволяет выделить наиболее вероятные по возникновению и весомые по величине потерь риски, которые будут являться объектами дальнейшего анализа для принятия мер по их пресечению

Анализ информационных рисков — процесс комплексной оценки защищенности информационной системы с переходом к количественным или качественным показателям рисков. При этом риск — это вероятность возникновения ущерба определенной величины, т.е вероятный ущерб, который зависит от защищенности системы. Под управлением рисками понимается процесс идентификации и уменьшения рисков, которые могут воздействовать на информационную систему. Результаты анализа используются при выборе средств защиты, оценке эффективности существующих и проектируемых подсистем СЗИ.

Рассмотрим типичные вопросы, возникающие при реализации концепции управления рисками, и возможные подходы к их решению.

Оценка рисков

Для измерения какого-либо свойства необходимо выбрать шкалу.

В качестве примера рассмотрим варианты выбора шкалы для измерения характеристического свойства «ценность информационного ресурса».

Для измерения рисков не существует абсолютной шкалы. Риски можно оценивать по объективным либо субъективным критериям. Для оценки данным методом обычно разрабатывается ранговая шкала с несколькими градациями, например: низкий, средний, высокий уровни.

Существует ряд подходов к измерению рисков. Рассмотрим наиболее распространенные: оценка по двум факторам и оценка по трем факторам.

Оценка рисков по двум факторам

В простейшем случае используется оценка двух факторов: вероятность происшествия и тяжесть возможных последствий. Обычно считается, что риск тем больше, чем больше вероятность происшествия и тяжесть последствий. Общая идея может быть выражена формулой:

РИСК = P_ущерба x ЦЕНА УЩЕРБА.

Если переменные являются количественными величинами, риск — это оценка математического ожидания потерь.

Если переменные являются качественными величинами, то операция умножения не определена. Таким образом, в явном виде эта формула использоваться не должна. Рассмотрим вариант использования качественных величин (наиболее часто встречающаяся ситуация).

Сначала должны быть определены значения лингвистической переменной вероятности событий, например такой шкалы:

• А — событие практически никогда не происходит;

• В — событие случается редко;

• С — вероятность события за рассматриваемый промежуток времени — около 0,5;

• D — скорее всего, событие произойдет;

• Е — событие почти обязательно произойдет.

Кроме того, определяется лингвистическая переменная серьезности происшествий, например:

• N (Negligible) — воздействием можно пренебречь.

• Mi (Minor) — незначительное происшествие: последствия легкоустранимы, затраты на ликвидацию последствий невелики, воздействие на информационную технологию незначительно;

— Mo (Moderate) — происшествие с умеренными результатами: ликвидация последствий не связана с крупными затратами, воздействие на информационную технологию невелико и не затрагивает критически важные задачи;

• S (Serious) — происшествие с серьезными последствиями: ликвидация последствий связана со значительными затратами, воздействие на информационные технологии ощутимо, воздействует на выполнение критически важных задач;

• С (Critical) — происшествие приводит к невозможности решения критически важных задач.

Для оценки рисков определяется переменная из трех значений: низкий риск, средний риск, высокий риск.

Риск, связанный с определенным событием, зависит от двух факторов и может быть определен как показано в табл. 1

Шкалы факторов риска и сама таблица могут быть определены иначе, иметь другое число градаций.

Таблица 1 Определение риска в зависимости от двух факторов

	Воздействием можно пренебречь	Незначительное происшествие	Происшествия с умеренными результатами	Происшествия с серьезными последствиями	Происшедствия с критическими последствиями
Событие практически никогда не происходит (А)	Низкий риск	Низкий риск	Низкий риск	Средний риск	Средний риск
событие случается редко (В)	Низкий риск	Низкий риск	Средний риск	Средний риск	Высокий риск
вероятность события за рассматриваемый промежуток времени — около 0,5(С)	Низкий риск	Средний риск	Средний риск	Средний риск	Высокий риск
скорее всего, событие произойдет (D)	Средний риск	Средний риск	Средний риск	Средний риск	Высокий риск
событие почти обязательно произойдет (Е)	Средний риск	Высокий риск	Высокий риск	Высокий риск	Высокий риск

Подобный подход к оценке рисков достаточно распространен. При разработке (использовании) методик оценки рисков необходимо учитывать следующие особенности:

• значения шкал должны быть четко определены (словесное описание) и пониматься одинаково всеми участниками процедуры экспертной оценки;

• требуются обоснования выбранной таблицы. Необходимо убедиться, что разные инциденты, характеризующиеся одинаковыми сочетаниями факторов риска, имеют с точки зрения экспертов одинаковый уровень рисков.

Подобные методики широко применяются при проведении анализа рисков базового уровня.

Оценка рисков по трем факторам

В большинстве методик, рассчитанных на более высокие требования, чем базовый уровень, используется модель оценки риска с тремя факторами: угроза, уязвимость, цена потери. Угроза и уязвимость определяются следующим образом.

Угроза — совокупность условий и факторов, которые могут стать причиной нарушения целостности, доступности, конфиденциальности информации.

Уязвимость — слабость в системе защиты, которая делает возможным реализацию угрозы.

Цена потери — это качественная или количественная оценка степени серьезности происшествия.

Вероятность происшествия, которая в данном подходе может быть объективной либо субъективной величиной, зависит от уровней (вероятностей) угроз и уязвимостей:

P_{происшествия}=P_угрозы x P_{уязвимости}

Соответственно, риск определяется следующим образом:

РИСК = P_угрозы x P_{уязвимости} x ЦЕНА ПОТЕРИ.

Данное выражение можно рассматривать как математическую формулу, если используются количественные шкалы, либо как формулировку общей идеи, если хотя бы одна из шкал – качественная. В последнем случае используются различного рода табличные методы для определения риска в зависимости от трех факторов.

Например, показатель риска измеряется в шкале от 0 до 8 со следующими определениями уровней риска:

1. — риск практически отсутствует. Теоретически возможны ситуации, при которых событие наступает, но на практике это случается редко, а потенциальный ущерб сравнительно невелик;

2. — риск очень мал. События подобного рода случались достаточно редко, кроме того, негативные последствия сравнительно невелики;

3. . …..

8 — риск очень велик. Событие, скорее всего, наступит, и последствия будут чрезвычайно тяжелыми.

Матрица может быть определена следующим образом (табл. 2). В данной таблице уровни уязвимости Н, С, В означают соответственно низкий, средний, высокий уровни.

Таблица 2 Определение риска в зависимости от трех факторов. Уровни рисков, соответствующие показателям ценности ресурсов, угроз и уязвимостей.

Степень серьезности происшествия (цена потери)	УРОВЕНЬ УГРОЗЫ
	Низкий			Средний			Высокий
	Уровень уязвимостей			Уровень уязвимостей			Уровень уязвимостей
	Н*	С*	В*	Н	С	В	Н	С	В
Незначительная	0	1	2	1	2	3	2	3	4
Несущественная	1	2	3	2	3	4	3	4	5
Умеренная	2	3	4	3	4	5	4	5	6
Серьезная	3	4	5	4	5	6	5	6	7
Критическая	4	5	6	5	6	7	6	7	8
* – Н – низкий; С – средний; В – высокий.

Разделение рисков на приемлемые и неприемлемые

Дополнительный способ оценивания рисков состоит в разделении их только на две категории: допустимые и недопустимые. Возможность применения подобного подхода основывается на том, что количественные показатели рисков используются только для того, чтобы их упорядочить и определить, какие действия необходимы в первую очередь. Но этого можно достичь и с меньшими затратами.

Таблица, используемая в данном подходе, содержит не числа, а только символы: Д – риск допустим и Н – риск недопустим (таблица 3).

Таблица 3 - Разделение рисков на допустимые и недопустимые.

Показатель ресурса	Показатель частоты
	0	1	2	3	4
0	Д	Д	Д	Д	Н
1	Д	Д	Д	Н	Н
2	Д	Д	Н	Н	Н
3	Д	Н	Н	Н	Н
4	Н	Н	Н	Н	Н

Следовательно, можно сделать вывод, что понятие риск имеет непосредственное отношение к ущербу как случайной величине, которая может быть как дискретной, так и непрерывной. Для непрерывного ущерба целесообразно воспользоваться плотностью распределения φ(u) (закон распределения вероятностей не имеет смысла) и интегральной функцией распределения

Φ(u)= , причем =1.

В этом случае нахождение вероятностей ущерба связано с вычислением соответствующих площадей (рис. 8.1). Так (рис. 8.1, а), вероятность непревышения ущерба заданной величины u₁ находится следующим образом

P(u≤u₁)= Φ(u₁)= ,

а вероятность превышения порога ущерба u₂ будет равна (рис. 8.1, а)

P(u≥u₂) = 1- Φ(u₂)= .

Вероятность попадания в заданный интервал ущерба (рис. 8.1, б) соответственно может быть найдена как разность

P(u₁≤u≤u₂)= Φ(u₂)- Φ(u₁)= .

Исходя из вышеуказанных выражений, предлагается определить интегральные риски следующим образом:

R_isk(u≤u₁)=M(u≤u₁) P(u≤u₁)=M(u≤u₁) Φ(u₁);

R_isk(u≥u₂)=M(u≥u₂) P(u≥u₂)=M(u≥u₂)[1- Φ(u₂)];

R_isk(u≤₁u≤u₂)=M(u₁≤u≤u₂) P(u₁≤u≤u₂)=M(u₁≤u≤u₂)[Φ(u₂)- Φ(u₁)],

где матожидания ущерба соответственно равны:

а)

б)

U

Рис. 8.1. Плотность распределения ущерба

U

u₁

u₂

Рис. 8.2. График для нахождения защищенности систем

Рис. 8.3. Дискретизация плотности вероятности

Рис. 8.4 - Иллюстрация процесса нормировки плотности вероятности ущерба.

Рис. 8.5 - Дискретизация ущерба.

Рис. 8.6 - Наглядная иллюстрация процесса дискретизации риска.

M(u≤u₁)= ;

M(u≥u₂)= ;

M(u₁≤u≤u₂)= .

Фактически интегральный риск предлагается рассматривать как произведение мат.ожидания ущерба (на рассматриваемом интервале) на вероятность попадания ущерба в интервал (функция интегрального распределения).

По аналогии интегральную защищенность системы в интервале ущерба можно определить отношениями (рис. 8.2):

;

;

.

Возможен и усредненный риск, который уместно определить следующими выражениями

;

;

.

Что же касается элементарного риска, то его распределение предлагается определить на основе дискретизации плотности распределения (рис. 8.2). Пусть (рис. 8.3, а) на отрезке [0,u_max] области определения ущерба выбраны n дискрет u_k, k=1(1)n с интервалом дискретизации Δu. Значения за границей u_max (рис. 8.3, а) исключим из рассмотрения как запредельные, ограничившись оценкой вероятности катастрофы систем с помощью выражения

P(u>u_max)=1-Ф(u_max).

Тогда элементарный риск будет равен

r_isk(k)=u_kP_k(Δu)=u_k[φ(u_k)Δu],

где k=1(1)n. Нормируя по u_max=nΔu, сводим рассмотрение в единичное пространство, т.е.

r_isk(k/n)= .

Защищенность системы в этом случае можно определить по следующему выражению

.

Подобная дискретизация открывает перспективу численной оценки по функции риска. Степень дискретизации определяет n, которое следует устанавливать исходя из условия квантования ущерба.

Характерно отметить, что предлагаемый подход имеет весьма широкую область практического приложения, ибо инвариантен к физической сущности описываемых процессов (от биологической безопасности в кардиологии до информационной безопасности в социотехнических системах). Здесь далее могут быть найдены для рисков соответствующие параметры случайной величины (мода, медиана, асимметрия и др.) с различными законами плотности распределения в контексте защищенности систем и их рисков.

Вместе с тем, уместно было бы аналитически определить основополагающие параметра риска (вероятности наступления ущерба определенной величины). Воспользуемся для этого рис. 8.3, б, откуда определим частные производные.

Максимум риска имеет место для ущерба величины u₀ при

φ'(u₀)=0.

Максимальный рост (спад) риска имеет место для ущерба величин u₁ и u₂ при

φ''(u₁)=φ''(u₂)=0.

Зона повышенной опасности (повышенного риска) находится на отрезке: [u₁,u₂].

В реальных системах имеет место необходимость учета нескольких возможных видов ущерба (по основным индикаторам состояния), для чего потребуется решение многомерной задачи и свертки к интегральному U.

Оценка эффективности управления рисками

Рассмотрим несколько методов оценки эффективности управления рисками.

1. Методика, основанная на оценке среднего значения риска (защищенности) на множестве угроз.

Пусть для множества из угроз задан вектор мер рисков , где – значение меры риска для -ой угрозы. Тогда общий риск для исследуемой системы будет равен среднему значению риска для всех угроз

2. Методика основанная на оценке модуля вектора мер рисков.

Для рассмотренного в предыдущей методики вектора мер риска вычисляется его модуль, который характеризует величину общего риска для рассматриваемой системы.

3. Методика основанная на выборе максимального значения риска.

На практике в некоторых случаях (особенно при использовании качественных оценок риска) для оценки общего риска используется максимальное значение меры риска из множества мер риска для множества всех угроз системы.

4. Методика определения общего риска с использованием теории нечетких множеств.

Если представляет собой нечеткое число (например, трапезоидное), то возможно определить суммарный риск как сумму нечетких чисел:

,

то есть в данном случае суммарный риск для системы представлен также нечетким числом.

5. Методика основанная на использовании экспертных оценок. Обычно используется совместно с качественными методиками оценки риска. Основной смысл этой методики в том, что на основе оценок риска для каждой из множества угроз эксперт делает вывод (чаще всего это бывает какая-либо качественная оценка) о величине общего риска для исследуемой системы.

Задача управления рисками в общем случае считается успешно решенной, при условии того, что общая мера риска для системы после проведения мероприятий по снижению (управлению) рисками будет ниже, чем в исходном состоянии системы. В некоторых случаях устанавливается порог максимально возможного риска, при котором возможно нормальное функционирование системы. То есть основной целью управления будем считать следующие:

В случае, когда задается порог, критерий успешного управления рисками выглядит следующим образом:

, где – максимально допустимый уровень риска

Стратегии управления рисками систем

Рассмотрим основные стратегии управления рисками в системах. Для решения задачи управления будем считать задачу управления рисками обособленной задачей, требующей решения после проведения соответствующих оценок общего риска для системы.

Итак, после проведения оценки риска определяется основное множество угроз, уровень рисков, обусловленных каждой из этих угроз, а также общее значение риска для всей системы.

Для выбора наиболее подходящей стратегии управления необходимо в первую очередь определить существует ли зависимость между угрозами из полученного на этапе оценки множества угроз. Соответственно необходимо отнести исследуемое множество к одному из двух классов:

• множества независимых угроз (другими словами, изменение количественной меры риска одной из угроз не влияет на меры риска других)

• множество зависимых угроз

Данное деление является условным, но при выборе стратегии управления рисками оно играет важную роль. На практике чаще используются стратегии, считающие угрозы безопасности условно независимым. Обычно они используются по умолчанию, и обусловлено это большей простотой их использования. Рассмотрим основные стратегии для множества независимых угроз:

1. Учет и ограничение рисков – в данной стратегии используется принцип минимизации деструктивного действия при реализации угрозы за счет применения дополнительных мер защиты. При этом система продолжает свое функционирование с имеющимися уязвимостями, но значение риска для угроз снижается. Кроме этого в рамках данной стратегии возможно

2. Устранение рисков (уклонение от рисков) – исключение элементов или функций системы, для которых значение риска является недопустимым. При этом система возможно перестанет выполнять некоторые опасные с точки зрения обеспечения безопасности функции. Изменения могут иметь различный масштаб от запрета выполнения некоторых второстепенных функций до полного исключения целых подсистем.

3. Устранение уязвимостей – устранение слабых мест системы с точки зрения обеспечения безопасности путем улучшения защищенности ее элементов, при сохранении ее функциональной целостности с целью снижения общего риска до приемлемых значений. На практике в большинстве случаев такая стратегия является наиболее эффективной, так как снижается риск, при этом система не лишается функциональности. Однако, как правило – это самая дорогая стратегия при ее реализации.

4. Игнорирование рисков – устранение уязвимых мест системы не производится. Такое решение принимается обычно, если уровень рисков в системе считается допустимым, либо их устранение не представляется возможным по объективным причинам.

5. Страхование рисков – в случае независимых угроз возможно применять этот вид перераспределения рисков. В данном случае часть риска берет на себя страховая компания, обеспечивающая приемлемый уровень риска для системы.

Для вышеперечисленных стратегий (кроме стратегии игнорирования рисков) является очевидным то, что при их успешном применении в условии независимости угроз значение общего риска для системы снизится. При этом выбор стратегии необходимо осуществлять в соответствии с конкретными практическими задачами и экономическими возможностями. В наиболее простом виде способ выбора стратегии может быть проведен следующим образом в зависимости от характера угрозы (Рис. 8.7):

• Низкий уровень ожидаемого ущерба и низкая вероятность его появления – наиболее подходящая стратегия в этом случае – игнорирование рисков.

• Высокий уровень ожидаемого ущерба и низкая вероятность его появления – при таком раскладе обычно применяют страхование рисков.

• Низкий уровень ожидаемого ущерба и высокая вероятность его появления – обычно применяется стратегия учета и ограничения рисков, то есть другими словами создаются внутренние резервы системы для противодействия последствиям.

• Высокий уровень ожидаемого ущерба и высокая вероятность – наиболее рациональным решением в этом случае является стратегия устранения уязвимостей, вызывающих высокий уровень рисков, а также стратегия уклонения от рисков.

Ущерб

Рис. 8.7- Выбор стратегии управления рисками.

Более сложными в осуществлении, но зачастую позволяющие проводить более гибкую политику обеспечения безопасности систем, являются стратегии использующие множество зависимых угроз. Полная независимость угроз зачастую является достаточно грубым представлением действительности современных систем. Зависимость между процессами различного характера, происходящими в системах, требует отражение этого и в стратегиях управления рисками. При этом достаточно часто их осуществление ставит перед специалистами сложные, обычно оптимизационные задачи, решение которых должно проводиться с учетом большого числа факторов, индивидуальных для каждого случая.

Приведем примеры методик, использующих зависимость между угрозами безопасности систем.

1. Перераспределение (трансформация) рисков – данная стратегия позволяет задействовать альтернативные возможности для компенсации потерь. То есть снижение риска для одной угрозы достигается за счет его перераспределения между другими менее существенными в данных условиях. Примером перераспределения рисков может быть страхование объектов системы. В данном случае риск перераспределяется между владельцем системы и страховой компанией. Для применения этой методики важно группировать угрозы для систем в соответствии с их приоритетами. Перераспределение обычно проводят с наиболее высокоприоритетными а, следовательно, опасными угрозами.

2. Оптимизационное снижение рисков – по сути, является одним из вариантов предыдущей методики, отличительной чертой которого является решение оптимизационной задачи при управлении рисками. Для заданных условий функционирования системы рассматривается несколько вариантов принятия решений по защите системы и выбирается наиболее приемлемый вариант.

Рассмотрим методику оптимизацию более подробно. В данном случае будем рассматривать защищенность системы при помощи вектора мер рисков вида . Начальное состояние системы характеризуется вектором , который задается исходными значениями мер риска для исследуемой системы. Зададим также множество , всевозможных вариантов принятий решений по обеспечению безопасности системы. В таком случае можно задать множество пар , где – возможное решение по управлению рисками, а – вектор мер рисков, характеризующий систему после принятия решения.

В данном случае задача управления рисками сводится к нахождения оптимального решения , результатом которого станет вектор мер риска , для которого значение суммарного риска будет наименьшим, то есть задача управления рисками будет считаться успешно решенной.

На практике обычно имеется достаточно ограниченный набор решений по обеспечению безопасности, поэтому представляется возможным оценить каждый из возможных исходов и выбрать оптимальный из них.

Наиболее сложной проблемой при решении задачи управления является сложность точной оценки значений рисков. Поэтому независимо от принятой стратегии управления необходимо учитывать погрешности в оценках, использовать статистически проверенные численные характеристики и грамотные качественные оценки. Это, прежде всего, может обеспечить принятие гарантированно оптимальных решений при управлении рисками