МІНІСТЕРСТВО ОСВІТИ І НАУКИ УКРАЇНИ
НАЦІОНАЛЬНИЙ УНІВЕРСИТЕТ «ЛЬВІВСЬКА ПОЛІТЕХНІКА»
ІКТА
кафедра ЗІ
З В І Т
до лабораторної роботи №3
з курсу: «Соціотехнічна безпека»
на тему: «Оцінка ризиків та захищеності соціотехнічних систем»
Мета роботи – набуття практичних навиків проведення оцінок ризиків та захищеності соціотехнічних систем, що атакуються.
Теоретичні відомості
Аналіз ризиків в галузі інформаційної безпеки може бути якісним і кількісним. Кількісний аналіз точніший, він дозволяє отримати конкретні значення ризиків, але він вимагає більше часу, що не завжди виправдано. Часто буває достатньо швидкого якісного аналізу, завдання якого — розподіл чинників ризиків за групами. Шкала якісного аналізу може відрізнятися в різних методах оцінки, але результат зводиться до того, щоб виявити найсерйозніші загрози.
Важливо розрізняти поняття одиничного і зведеного збитку. Одиничний збиток — це витрати на один інцидент (атаку). Зведений збиток враховує кількість конкретних інцидентів безпеки за деякий проміжок часу, переважно за один календарний рік. Якщо одиничні і зведені збитки ототожнювати, тоді отримані результати не відображатимуть реальної картини.
На основі даних кількісного аналізу ризиків слід визначати можливі фінансові втрати, витрати на придбання і експлуатацію системи безпеки, а потім розраховувати економічний ефект заходів.
Якісний аналіз
Існує декілька моделей якісного аналізу. Всі вони достатньо прості. Варіанти розрізняються лише кількістю градацій ризику. Одна з найпоширеніших моделей — триступінчата. Кожний чинник оцінюється за шкалою "низький — середній — високий". Противники даного способу вважають, що трьох ступенів для точного розділення ризиків недостатньо, і пропонують п’ятирівневу модель. Проте, це не принципово, адже в цілому будь-яка модель аналізу зводиться до простого розділення загроз на критичні і другорядні. Трьох-, п’ятирівневі та інші моделі використовуються для наочності. При роботі з моделями з великим числом градацій, наприклад з п’ятьма, у аналітиків можуть виникнати складності — віднести ризик до п’ятої або до четвертої групи. Якісний аналіз допускає подібні ォпомилкиサ, оскільки є саморегульованим. Не критично, якщо спочатку ризик необгрунтовано віднесли до четвертої категорії замість п’ятої. Якісний метод дозволяє проводити аналіз за лічені хвилини. Передбачається, що така оцінка ризиків здійснюватиметься постійно. І вже на наступному кроці категорії перепризначують, чинник перейде в п’яту групу. Тому якісний аналіз також називається ітераційним методом.
Для прикладу якісного методу покажемо, як працювати з п’ятирівневою моделлю. Оцінюємо всі чинники ризику і ділимо їх на п’ять категорій. Після цього виключаємо із списку критичні загрози п’ятого рівня і аналізуємо чинники, що залишилися. Таким чином, розширена п’ятиступінчаста модель ризику зберігає швидкість якісного аналізу, але дозволяє точніше визначити ступінь загрози. Більше того, можна відразу усунути або понизити загрози п’ятої категорії як найбільш небезпечні. А після цього заново провести аналіз і знову почати працювати з ризиками п’ятої групи.
Кількісний аналіз
Кількісний метод вимагає значно більше часу, оскільки кожному чиннику ризику привласнюється конкретне значення. Результати кількісного аналізу можуть бути кориснішими для подальшого опрацювання. Проте, в більшості випадків додаткова точність не потрібна або просто не вартує зайвих зусиль. Наприклад, якщо для оцінки чинника ризику необхідно витратити чотири місяці, а вирішення проблеми займе тільки два, ресурси використовуються неефективно.
Також слід враховувати те, що багато організацій постійно розвиваються, змінюються. І за цей час, що виконується аналіз фактичні значення ризиків виявляться іншими. Перераховані чинники говорять на користь якісного аналізу. Крім того, експерти вважають, що, не дивлячись на всю свою простоту, якісний метод є досить ефективним інструментом аналізу.
Розрахунок ризиків
Кажучи про практичні аспекти аналізу, не можна не згадати про ...