Модели оценки ценности информации
Модели ценности защищаемой информации — модели для определения ценности информации с целью организации её защиты от потери и несанкционированного копирования.
Информация носит нематериальный характер, если не нанесена на материальный носитель, но при этом способна играть важную роль. С развитием информационных технологий, появилась возможность неограниченно размножать информацию. Для сравнения, несколько столетий назад, для копирования материального носителя информации, требовались значительные усилия и время; создавать копии могли в основном только специально подготовленные люди. На данный момент, значительный объём информации хранится на цифровых материальных носителях, и копирование информации уже не является творческим и дорогостоящим процессом.
В связи с тем выросла вероятность утечки защищаемой информации и её распространения, и необходимо применять защитные меры для предотвращения её утечек. Для организации защиты информации необходимы средства и усилия, в связи с этим необходимо соотносить ценность защищаемой информации и потери на организацию её защиты. Для решения этой задачи вводятся дополнительные понятия — модели ценности информации. Ниже рассмотрены следующие модели определения ценности информации: аддитивная модель, анализ риска, порядковая шкала, решётка подмножеств[1].
Аддитивная модель
Предположим, что имеется информация, которая представлена в виде конечного множества элементов, и задача заключается в оценке данной информации в денежном эквиваленте. При использовании аддитивной модели определение ценности базируется на экспертных оценках компонент данной информации, и при объективности денежных оценок её компонент подсчитывается искомая величина — их сумма в денежном эквиваленте. Основная проблема заключается в том, что количественная оценка компонент информации часто оценивается необъективно, даже при её оценке высококвалифицированными специалистами — причина заключается в неоднородности компонент информации в целом. Для решения этой проблемы принято использовать иерархическую относительную шкалу, которая представляет собой линейный порядок, с помощью которого сравниваются отдельные компоненты защищаемой информации по ценности одна относительно другой. Случай единой шкалы равносилен тому, что все компоненты, имеющие равную порядковую оценку, равноценны одна относительно другой.
В качестве примера можно рассмотреть следующую ситуацию. Пусть даны объектов: оценка производится по пятибалльной шкале (1—5); результат оценки экспертами — вектор ценностей объектов каждого относительно другого: . Предположим, что изначально определена цена одного из объектов (для определённости, рассмотрим цену первого объекта) — например, денежных единиц.
Исходя из этого, вычисляется стоимость одного балла ден.ед., где k — оценка первого объекта в баллах, и аналогичным образом производится оценка в денежных единицах других объектов: ден.ед., и т. д. Сумма стоимостей компонент информации даёт сумму — стоимость всей информации.
Рассмотрим обратную ситуацию. Если известна конечная стоимость информации, то исходя из неё можно обратным преобразованием (с помощью балльного распределения) определить стоимость каждой компоненты информации.
Анализ риска
Предположим, что произведена оценка стоимости информации с помощью аддитивной модели оценки стоимости информации. Оценка возможных потерь основывается на уже известных стоимостей компонент информации, исходя из прогнозирования возможных угроз компонентам информации. Возможность каждой угрозы оценивается с помощью вероятностных оценок соответствующих событий: подсчитывается сумма математических ожиданий потерь для каждой из компонент по распределению возможных угроз. В качестве примера можно рассмотреть следующую ситуацию. Пусть даны n объектов: , стоимости которых . Предположим, что при ущербе одному объекту стоимость других объектов не снижается, и что для каждого из объектов: — вероятность нанесения ущерба объекту . Функция потерь ущерба для следующая:
, если объекту i нанесён ущерб,
, в другом случае.
Оценка случая реализации потерь от реализации угроз объекту i равна . Вследствие принятых предположений, общая потеря системы подсчитывается как сумма потерь по компонентам: . В таком случае ожидаемые потери (как средний риск) определяются выражением: . Существуют методы, реализующие автоматизированную оценку риска, некоторые из них перечислены ниже. В данной статье рассмотрены получившие широкое распространение методы проведения анализа рисков: CRAMM, RiskWatch, ГРИФ.
Популярные методы проведения анализа риска
Метод CRAMM
CRAMM (the UK Government Risk Analysis and Management Method) — метод, разработанный Службой Безопасности Великобритании и является государственным стандартом Великобритании. Получивший широкое распространение в мире, данный стандарт используется как в коммерческих, так и государственными организациями Великобритании с 1985 года. Метод CRAMM был изобретён фирмой Insight Consulting Limited.
Базируясь на комплексном подходе к оценке рисков, метод CRAMM сочетает количественные и качественные методы анализа рисков и может быть применён как в крупных, так и небольших организациях. Имеются различные версии CRAMM для разных типов организаций, они отличаются базами знаний (профилями): существует коммерческий профиль и правительственный профиль (с помощью которого имеется возможность проводить аудит в соответствие с требованиями американского стандарта ITSEC — так называемой «оранжевой книгой»)[2].
Метод RiskWatch
Разработанный американской компанией RiskWatch Inc., одноимённый программный продукт служит мощным инструментом анализа и управления рисками. Данное семейство продуктов используется для различных видов аудитов безопасности и содержит следующие средства:
- RiscWatch for Physical Security — инструмент для физических методов защиты информационных систем;
- RiscWatch for Information Systems — инструмент, применяемый к информационным рискам;
- HIPPAA-WATCH for Healthcare Industry — инструмент для оценки соответствия стандарта HIPAA;
- RiskWatch RW17799 for ISO17799 — для оценки требованиям стандарта ISO17799.
Критериями для оценки и управления рисками в методе RiskWatch служит «предсказание годовых потерь» (ALE — Annual Loss Expectancy) и оценка подсчёта ROI(Return on Investment) — «возврата от инвестиций».
Метод ГРИФ
В отличие от западных систем анализа рисков, достаточно громоздких и не предполагающих самостоятельное применение IT-менеджерами и системными администраторами, система ГРИФ располагает интуитивно-понятным интерфейсом. Но при всей простоте, в системе ГРИФ реализованы огромное количество алгоритмов анализа рисков, учитывающие более ста параметров, и система способна предоставить максимально точную оценку рисков, которые имеют место в информационной системе. Важная особенность ГРИФ — в предоставлении возможности самостоятельной, без привлечения экспертов, оценки рисков в информационной системе, оценка текущего состояния, и расчёта инвестиций в целях обеспечения защищённости информации.
Порядковая шкала
Существуют случаи, когда не имеется необходимости или возможности установки соответствия ценности информации в денежных единицах (например, информация личного характера, военная или политическая информация, оценка которой в денежном эквиваленте может быть неразумной), но при этом может иметь смысл сравнительная оценка отдельных информационных компонент одной компоненты относительно другой. В качестве примера можно рассмотреть ситуацию в государственных структурах, где информация разбивается по грифам секретности. В свою очередь, грифы секретности представляют собой порядковые шкалы ценностей, например: несекретно, для служебного пользования, секретно, совершенно секретно, особой важности (НС, ДСП, С, СС, ОВ); по американской системе: unclassified, confidential, secret, top secret (U, Conf, S, TS). Чем выше класс грифа, тем большую ценность имеет защищаемая информация, в связи с чем по отношению к ней применяются более высокие требования по её защите от несанкционированного доступа.
Модель решётки ценностей
Модель решётки ценностей — это обобщение порядковой шкалы. Предположим, что дано — конечное частично упорядоченное множество относительно бинарного отношения , то есть для каждых выполняется:
- рефлексивность:
- транзитивность:
- антисимметричность:
По определению, для А, B∈SC элемент C=A⊕B∈SC называется наименьшей верхней границей (верхней гранью), если:
- ,
- для всех .
При этом необязательно существование самого элемента . Если выполнено условие существования наименьшей верхней границы, то из антисимметричности следует единственность. По определению, элемент называется наибольшей нижней границей для А, B∈C (нижней гранью), если
Существование этой нижней границы также не является обязательным. Если она существует, то из антисимметричности следует единственность. По определению, называется решёткой, если для любых существует и .
Примечания
- Грушо, Тимонина, 1996.
- 5200.28-STD, Trusted Computer System Evaluation Criteria (Orange Book) Архивная копия от 2 октября 2006 на Wayback Machine из публикаций Rainbow Series
Литература
- Грушо А. А., Тимонина Е. Е. Ценность информации // Теоретические основы защиты информации. — М.: Издательство Агентства «Яхтсмен», 1996. — С. 52-55.
- Симонов С. Современные технологии анализа рисков в информационных системах // PCWEEK. — 2001. — № 37.