Принципы разбиения шкалы на уровни

При работе с алгоритмом используется шкала от 0 до 100%. Максимальное число уровней – 100, т.е. шкалу можно разбить на 100 уровней. При разбиении шкалы на меньшее число уровней, каждый уровень занимает определенный интервал на шкале. Причем, возможно два варианта разделения:

· равномерное;

Принципы разбиения шкалы на уровни - student2.ru

· логарифмическое.

Принципы разбиения шкалы на уровни - student2.ru

Расчет рисков по угрозе информационной безопасности

1. На первом этапе рассчитываем уровень угрозы по уязвимости Thна основе критичности и вероятности реализации угрозы через данную уязвимость. Уровень угрозы показывает, насколько критичным является воздействие данной угрозы на ресурс с учетом вероятности ее реализации.

Принципы разбиения шкалы на уровни - student2.ru ,

где ERc,i,a – критичность реализации угрозы (указывается в %);

P(V)c,I,a – вероятность реализации угрозы через данную уязвимость (указывается в %).

Вычисляем одно или три значения в зависимости от количества базовых угроз. Получаем значение уровня угрозы по уязвимости в интервале от 0 до 1.

2. Чтобы рассчитать уровень угрозы по всем уязвимостям CTh, через которые возможна реализация данной угрозы на ресурсе, просуммируем полученные уровни угроз через конкретные уязвимости по следующей формуле:

2.1. Для режима с одной базовой угрозой:

Принципы разбиения шкалы на уровни - student2.ru

2.2. Для режима с тремя базовыми угрозами:

Принципы разбиения шкалы на уровни - student2.ru

Значения уровня угрозы по всем уязвимостям получим в интервале от 0 до 1.

3. Аналогично рассчитываем общий уровень угроз по ресурсу CThR(учитывая все угрозы, действующие на ресурс):

3.1. Для режима с одной базовой угрозой:

Принципы разбиения шкалы на уровни - student2.ru

3.2. Для режима с тремя базовыми угрозами:

Принципы разбиения шкалы на уровни - student2.ru

Значение общего уровня угрозы получим в интервале от 0 до 1.

4. Риск по ресурсу Rрассчитывается следующим образом:

4.1. Для режима с одной базовой угрозой:

R = CThR× D ,

где D – критичность ресурса. Задается в деньгах или уровнях.

В случае угрозы доступность (отказ в обслуживании) критичность ресурса в год вычисляется по следующей формуле:

Da/год= Da/час ×T

Для остальных угроз критичность ресурса задается в год.

4.2. Для режима с трем

я базовыми угрозами:

Rc = CThRс×D

Ri = CThRi×D

Ra = CThRa×D

Принципы разбиения шкалы на уровни - student2.ru

Da,c,i – критичность ресурса по трем угрозам. Задается в деньгах или уровнях.

R - суммарный риск по трем угрозам.

Таким образом, получим значение риска по ресурсу в уровнях (заданных пользователем) или деньгах.

5. Риск по информационной системе CRрассчитывается по формуле:

5.1. Для режима с одной базовой угрозой:

5.1.1. Для режима работы в деньгах:

Принципы разбиения шкалы на уровни - student2.ru

5.1.2. Для режима работы в уровнях:

Принципы разбиения шкалы на уровни - student2.ru

5.2. Для режима работы с тремя угрозами:

5.2.1. Для режима работы в деньгах:

Принципы разбиения шкалы на уровни - student2.ru

CRa,c,I – риск по системе по каждому виду угроз.

CR – риск по системе суммарно по трем видам угроз.

5.2.2. Для режима работы в уровнях:

Принципы разбиения шкалы на уровни - student2.ru

Задание контрмер

Для расчета эффективности введенной контрмеры необходимо пройти последовательно по всему алгоритму с учетом заданной контрмеры. Т.е. на выходе пользователь получает значение двух рисков – риска без учета контрмеры (Rold) и риск с учетом заданной контрмеры (Rnew) (или с учетом того, что уязвимость закрыта). Эффективность введения контрмеры рассчитывается по следующей формуле (E):

Принципы разбиения шкалы на уровни - student2.ru

В результате работы алгоритма пользователь системы получает следующие данные:

· Риск реализации по трем базовым угрозам (или по одной суммарной угрозе) для ресурса;

· Риск реализации суммарно по всем угрозам для ресурса;

· Риск реализации по трем базовым угрозам (или по одной суммарной угрозе) для информационной системы;

· Риск реализации по всем угрозам для информационной системы;

· Риск реализации по всем угрозам для информационной системы после задания контрмер;

· Эффективность контрмеры;

· Эффективность комплекса контрмер.

Пример расчета риска информационной безопасности на основе модели угроз и уязвимостей

Рассмотрим расчет рисков для одной угрозы информационной безопасности, т.к. для остальных угроз риск рассчитывается аналогично.

Входные данные

Ресурс Угрозы Уязвимости
Сервер (критичность ресурса 100 у.е.)   Угроза 1   Неавторизованное проникновение нарушителя внутрь охраняемого периметра (одного из периметров)   Уязвимость 1 Отсутствие регламента доступа в помещения с ресурсами, содержащими ценную информацию
Уязвимость 2 Отсутствие системы Наблюдения (видеонаблюдение, сенсоры и т.д.) за объектом (или существующая система наблюдения охватывает не все важные объекты)
Угроза 2   Неавторизованная модификация информации в системе электронной почты, хранящейся на ресурсе Уязвимость 1 Отсутствие авторизации для внесения изменений в систему электронной почты
Уязвимость 2 Отсутствие регламента работы с системой криптографической защиты электронной корреспонденции
Угроза 3   Разглашение конфиденциальной информации сотрудниками компании   Уязвимость 1 Отсутствие соглашений о конфиденциальности
Уязвимость 2 Распределение атрибутов безопасности (ключи доступа, шифрования) между несколькими доверенными сотрудниками


Угроза/Уязвимость Вероятность реализации угрозы через данную уязвимость в течение года (%), P(V) Критичность реализации угрозы через уязвимость (%), ER  
Угроза 1/Уязвимость 1
Угроза 1/Уязвимость 2
Угроза 2/Уязвимость 1
Угроза 2/Уязвимость 2
Угроза 3/Уязвимость 1
Угроза 3/Уязвимость 2

Уровень угрозы

Угроза/Уязвимость Уровень угрозы (%), Th Принципы разбиения шкалы на уровни - student2.ru   Уровень угрозы по всем уязвимостям, через которые реализуется данная угроза (%), СTh Принципы разбиения шкалы на уровни - student2.ru
Угроза 1/Уязвимость 1 0,3 0,384
Угроза 1/Уязвимость 2 0,12
Угроза 2/Уязвимость 1 0,24 0,270
Угроза 2/Уязвимость 2 0,04
Угроза 3/Уязвимость 1 0,08 0,669
Угроза 3/Уязвимость 2 0,64

Наши рекомендации