07 марта 2016г.
Цель работы.
Разработка программы ранжирования рисков информационной безопасности с применением качественного определения величины риска.
Актуальность и причины темы исследования.
Зачем ранжировать риски? Чтобы вложенные средства не пропали зря, а дело приносило прибыль необходимо заранее быть готовым к угрозам и к их последствиям. [1] Решению именно таких проблем посвящена разработка программы «Ранжирование рисков информационной безопасности», значимость которой будет определена следующим функционалом:
· наглядная оценка величины рисков и их ранжирование;
· возможность изменения критериев оценивания и получения нового упорядочивания рисков информационной безопасности;
· применение метода качественного определения риска;
· моделирование лабораторного прибора компьютером – доска Гальтона, иллюстрирующая нормальное распределение вероятностей наступления рисков информационной безопасности. [2]
Работа состоит из следующих задач:
1. Моделирование доски Гальтона.
Задача включает в себя следующие пункты:
· иллюстрация нормального распределения вероятностей наступления рисков;
· получение значений вероятностей угроз;
· написание аниматора на языке C#
2. Описание методики оценки рисков. Задача включает в себя следующие пункты:
· применение метода качественного определения величины рисков ИБ;
· ранжирование рисков ИБ. Моделирование доски Гальтона.
Одной из функциональных частей программы ранжирования рисков ИБ является моделирование доски Гальтона. Это аниматор лабораторного прибора (Рисунок 1), который нужен в качестве иллюстрации нормального распределения вероятностей наступления рисков ИБ. Интерфейс аниматора изображен на рисунке (Рисунок 2). Будем предполагать, что имеем 6 неких рисков ИБ (на аниматоре они схематично изображены кувшинами). Пользователь далее задает некое количество угроз (изображены как шары). Т.к. у нас нет исходных данных от конкретных фирм по вероятностям таких угроз, и воспользуемся аниматором – получим некую выборку, представляющую с собой необходимое нам на данном этапе распределение угроз. Далее будет кратко описан принцип работы аниматора:
Формула нормального распределения:
где m – среднее арифметическое количества шаров по кувшинам
* p(i) (вероятность попадания
шара в кувшин с номером
i) является константой.
В итоге мы будем иметь некую выборку – распределение вероятностей угроз. Теперь
можно переходить ко второй функциональной части программы
– описание методики оценки рисков для их дальнейшего ранжирования.
Описание методики оценки
рисков.
Ранжирование рисков – это инструмент, используемый для сравнения и классификации рисков.
Задача ранжирования рисков появляется, как правило, при возникновении несоответствия между необходимостью снижения или уменьшения целого ряда рисков с одной стороны,
и имеющимися ресурсами – с другой.
Для определения величины рисков и их последующего ранжирования выбран метод качественного определения
рисков. Суть этого метода заключается в обследовании рисков
с точки зрения
их качественных характеристик с тем, чтобы выявить, какие из них более серьезны
по размерам возможного ущерба, а какие — менее серьезны, какие более вероятны, какие — менее.
Итак, составим алгоритм
работы получения величины риска и соответственно работы программы ранжирования рисков:
[Величина риска] = [Размер ущерба]
x [Вероятность осуществления сценария инцидента]
Из предыдущего раздела мы имеем
составную часть
определения величины риска – вероятность его угрозы. Далее задаем величину уязвимости (в программе пользователь выбирает одно из трех значений:
низкий, средний или высокий). По предыдущим 2 пунктам определяем вероятность осуществления сценария инцидента
с помощью следующей таблицы (Рисунок 3):
Вычисляем значения
величины рисков с помощью таблицы
(Рисунок 4). Результирующий риск измеряется по шкале от 0 до 20, который может оцениваться по критериям
рисков, т.е. сравниваться с максимально допустимым уровнем
риска, в качестве
которого может быть выбрано,
например значение
7. Минимальный уровень риска, равный
0, соответствует очень низкой
вероятности инцидента и очень низком
влиянию этого инцидента на бизнес,
а максимальный уровень риска,
равный 20, соответствует очень высокой вероятности инцидента и очень высокому влиянию
на бизнес. Данная шкала рисков
также может быть сведена
к простому общему рейтингу
риска, например: низкий риск: 0-5; средний риск: 6-12; высокий
риск: 13-20.
После определения уровня (величины) рисков,
их необходимо проранжировать с целью определения приоритетов
обработки этих рисков. Этот функционал также поддерживает программа – выводит гистограмму (Рисунок 5) с нашими ранее 6 рисками
со значениями.
Заключение.
В данном отчетном
материале был описан
функционал программы ранжирования рисков информационной безопасности. Так же в ходе данной работы
заключены следующие
результаты:
· Ранжирование рисков помогает
экономить время и деньги;
· Для ранжирования необходима оценка
рисков;
· Программа позволяет добиться необходимой «гибкости» системы
рисков, т.е. меняя
параметры (вероятности угроз, величины уязвимостей, размеры ущерба)
получаем новые распределения рисков по их значениям.
Список литературы
1.
Астахов А.М. Искусство управления информационными рисками. М.: ДМК Пресс,2010. – 312 с.
2. Шилдт, Герберт. С# 3.0: руководство для начинающих, 2-е изд.: Пер. с англ. – М.: ООО «И.Д. Вильямс», 2009. – 688с.: ил. – Парал. тит. англ.
