Главная страница

Удк 004. 056 Оценка информационных рисков на основе нечеткой логики


Скачать 82.59 Kb.
НазваниеУдк 004. 056 Оценка информационных рисков на основе нечеткой логики
Дата07.02.2016
Размер82.59 Kb.
ТипДокументы

УДК 004.056

ОЦЕНКА ИНФОРМАЦИОННЫХ РИСКОВ НА ОСНОВЕ НЕЧЕТКОЙ ЛОГИКИ


Майханова Б.Е., Муратхан Р.


Евразийский национальный университет им. Л.Н.Гумилева, Астана
Научный руководитель – Сатыбалдина Д.Ж.
Оценка рисков как часть направления информационной безопасности (ИБ) – управления рисками, является существенным инструментом в построении защиты. Управление рисками – процесс определения, анализа и оценки, снижения, устранения или переноса риска. Процесс оценки рисков предназначен для выявления риска для бизнеса организации и определения мер безопасности, предпринимаемых для снижения риска.

В классическом представлении, риск — это вероятность реализации угрозы информационной безопасности. Оценка рисков заключается в моделировании картины наступления этих самых неблагоприятных условий посредством учета всех возможных факторов, определяющих риск как таковой. С математической точки зрения при анализе рисков такие факторы можно считать входными параметрами. При этом нужно учитывать множество источников информации и неопределенность самой информации.

В настоящей работе описана методика оценки рисков информационной безопасности на основе применения нечетко-множественного формализма.

Нечёткая логика и теория нечётких множеств — раздел математики, являющийся обобщением классической логики и теории множеств. Понятие нечёткой логики было впервые введено профессором Лютфи Заде в 1965 году [1]. В его статье понятие множества было расширено допущением, что функция принадлежности элемента к множеству может принимать любые значения в интервале [0...1], а не только 0 или 1. Такие множества были названы нечёткими. Также автором были предложены различные логические операции над нечёткими множествами и предложено понятие лингвистической переменной, в качестве значений которой выступают нечёткие множества.

Лингвистические переменные – переменные, которые нельзя описать с помощью математического языка, т.е. им сложно придать точную (объективную) количественную оценку. Например, понятия «малый» и «средний» (говоря о бизнесе), «высокая» или «низкая» (о процентной ставке) не имеют четкой границы и не могут быть представлены точным математическим описанием. Элементы теории нечетких множеств и методология применения к управлению рисками ИБ описана в работе [2].

Процесс управления рисками ИБ состоит из следующих этапов:

  • идентификация активов;

  • инвентаризация угроз и уязвимостей;

  • разработка сценариев угроз для активов;

  • анализ и оценка рисков ИБ;

  • обработка рисков.

Идентификация активов осуществляется путем интервьюирования владельцев бизнес-процессов в рамках система управления информационной безопасности (СУИБ). Для каждого актива (или группы активов) Владельцами бизнес-процессов должна быть дана экспертная оценка его ценности. Ценность актива определяется, исходя из ущерба, который будет нанесен Компании, в случае потери активом его свойств безопасности: конфиденциальности (К), целостности (Ц), доступности (Д). Оценка ценности актива проводится по каждому из свойств безопасности отдельно, в соответствии со шкалой перед началом проведения анализа рисков (см. Таблицу 1).

После завершения заполнения столбцов «оценка ценности актива по свойствам безопасности», дается «общая оценка ценности» актива, которая считается как максимальная из оценок «ценности актива по свойствам безопасности». «Общая оценка ценности» = max(К, Ц, Д1, Д2, Д3) (см. таблицу 2).

Для дальнейшего анализа угроз берутся активы, «общая оценка ценности» которых составляет 0,5 и выше.

Далее должен быть разработан, а затем периодически обновляться «Каталог угроз» ИБ характерных для активов. Обновление «Каталога угроз» ИБ осуществляется Менеджером по ИБ по результатам анализа инцидентов ИБ и несоответствий, анализа результатов внутренних аудитов, сообщений пользователей, анализа ситуации в отрасли, собственных предположений и/или предположений Владельцев бизнес-процессов о возможных или новых угрозах для активов.
Таблица 1 – Шкала оценки ценности активов

Уровень

Стоимостное выражение

Границы терма лингвистической переменной «ценность актива»

Пренебрежимо низкая ценность актива

От 0 тенге до 100 000 тенге

0-0,25

Низкая ценность актива

От (100000+1) тенге до 500000тенге

0,26-0,5

Средняя ценность актива

От (500000+1) тенге до 1 млн. тенге

0,51-0,75

Высокая ценность актива

От (1 млн.+1) тенге и более

0,76-1


Таблица 2 – «Отчет об инвентаризации информационных активов»


актива

Наименование актива

Владелец актива

Описание актива

Место хранения

Формат представления (бумажный, электронный)

Категория информации

Используемые средства обработки данного актива

Оценка ценности актива по свойствам безопасности

Общая оценка ценности

Конфиденциальность

Целостность

Доступность

Недоступность в течение 4 и более часов(Д1)

Недоступность в течение 1 рабочего дня и более(Д2)

Недоступность в течение 3 и более рабочих дней(Д3)

1






















0,3

0,4

0,5

0,55

0,6

0,6

2






















0,1

0,3

0,001

0,05

0,1

0,3


Для сочетаний «актив-угроза» подбираются уязвимости, которые могут быть использованы для реализации угрозы ИБ. При этом для разрешения спорных или неоднозначных вопросов Менеджер по ИБ обращаются к Владельцам бизнес-процессов. Необходимо экспертно оценить последствия реализации угрозы через данную уязвимость, соответственно вводятся новые лингвистические переменные и термы (см. таблицу 3).

Для каждого сценария «актив-уязвимость-угроза» необходимо экспертно оценить частоту возникновения этого сценария, заполнив соответствующую ячейку в таблице по шкале, представленной в таблице 4).

Далее определяется финансовый ущерб для в результате единичной реализации сценария «актив-угроза-уязвимость». На пересечении строк и столбцов таблицы 5 стоят качественные значения ущерба соответствующие финансовым потерям. Данные качественные значения финансового ущерба совпадают со значениями определения шкалы ценности активов.
Таблица 3 – Шкала последствий реализации уязвимости

Уровень воздействия

Функциональное выражение последствия

Границы терма лингвистической переменной «оценка воздействие»

Серьезное

Ресурс не подлежит восстановлению

0, 66- 1

Среднее

Ресурс подлежит восстановлению после воздействия

0, 34 -0,65

Незначительное

Действия по восстановлению не требуются в виду незначительности воздействия

0-0,33



Таблица 4 – Шкала вероятностей реализации сценария

Уровень вероятности

Частота

Границы терма лингвистической переменной «вероятность угрозы»

Высокая вероятность

Происходит чаще, чем раз в год.

Для новых активов – вероятность реализации угрозы высокая

0, 66- 1

Средняя вероятность

Происходит раз в год.

Для новых активов – вероятность реализации угрозы средняя

0, 34 -0,65

Низкая вероятность

Никогда не было.

Для новых активов – вероятность реализации угрозы низкая

0-0,33


Аналогичные таблицы и лингвистические переменные вводятся по всем критериям рисков информационной безопасности.

Таким образом, предложенная методика использует последовательность матриц, которые связывают различные элементы в анализе риска. Данные соединены с использованием матриц, чтобы связать активы со средствами управления таким образом, чтобы было получено расположенное по приоритетам ранжирование средств управления, основанное на активах организации. Подход не запутывает промежуточные данные в процессе анализа, таким образом, обеспечивается прозрачность процесса анализа риска и есть возможность модернизации данных.
Литература

  1. Zadeh, L. A., Fuzzy sets. Information and Control, Vol. 8, pp. 338–353. (1965).

  2. Д.Ж. Сатыбалдина, А.А. Шарипбаев. Оценка рисков информационной безопасности на основе нечеткой логики // Материалы II Всероссийской конференции «ЗНАНИЯ – ОНТОЛОГИИ – ТЕОРИИ» с международным участием. Новосибирск. 2009 г. С. 216-220.