Идентификация риска
Риск может быть идентифицирован следующим набором параметров:
- • угроза, возможной реализацией которой вызван данный риск;
- • ресурс, в отношении которого может быть реализована данная угроза (например, ресурс может быть информационный, аппаратный, программный);
- • уязвимость, через которую может быть реализована данная угроза в отношении данного ресурса.
Размер ущерба от реализации угрозы в отношении ресурса зависит:
- — от стоимости ресурса, который подвергается риску;
- — от степени разрушительности воздействия на ресурс, выражаемой в виде коэффициента разрушительности; как правило, указанный коэффициент лежит в диапазоне от 0 до 1.
Таким образом, получаем оценку, представимую в виде произведения:
<Стоимость ресурса> х <Коэффициент разрушительности>
Далее необходимо оценить частоту возникновения рассматриваемого нежелательного события за фиксированный период и вероятность успешной реализации угрозы. В результате, стоимость риска может быть вычислена по формуле:
<Вероятность угрозы> х <Вероятность использования уязвимости для реализации угрозы> х <Стоимость ресурса> х
х <Коэффициент разрушительности>
Модель безопасности с полным перекрытием
Модель системы безопасности с полным перекрытием строится исходя из постулата, что система безопасности должна иметь по крайней мере одно средство для обеспечения безопасности на каждом возможном пути воздействия нарушителя в отношении ИС. В модели точно определяется каждый объект, требующий защиты, оцениваются средства обеспечения безопасности в отношении их эффективности и их вклад в обеспечение безопасности всей ИС.
С каждым объектом, требующим защиты, связывается некоторое множество действий, к которым может прибегнуть нарушитель для получения несанкционированного доступа к объекту.
Множество отношений «объект —угроза» образуют двудольный граф, в котором ребро (у,, оу) существует тогда и только тогда, когда у,- является средством получения доступа к объекту Оу Пример модели процесса защиты информации в виде двудольного графа приведен на рис. 3.20.
Следует отметить, что связь между угрозами и объектами не является связью типа «один к одному» — угроза может распространяться на любое число объектов, а объект может быть уязвим со стороны более
чем одной угрозы. Цель защиты состоит в том, чтобы «перекрыть» каждое ребро данного графа и воздвигнуть барьер для доступа по этому пути.

Рис. 3.20. Пример модели процесса защиты информации в виде двудольного графа
В идеальном случае каждое средство защиты тк е М должно устранять некоторое ребро (уп Оу). В действительности тк выполняет функцию «барьера», обеспечивая некоторую степень сопротивления попыткам проникновения.
Набор Мсредств обеспечения безопасности преобразует двудольный в трехдольный граф. На рис. 3.21 приведен пример модели процесса защиты информации в виде трехдольного графа.

Рис. 3.21. Пример модели процесса защиты информации в виде трехдольного графа
Ребра указывают на соответствующие связи между угрозами, средствами защиты и множеством объектов защиты.
Система обеспечения безопасности описывается в виде пятикортежного набора
5 = {О, У, М, У,В},
где О — набор защищаемых объектов;
У — набор угроз;
М— набор средств обеспечения безопасности;
V — набор уязвимых мест — отображение ТО на набор упорядоченных пар К = (у/, оф, представляющих собой пути проникновения в систему;
В — набор барьеров — отображение Ух М или Т х О х М на набор упорядоченных троек Ь{ = (у,-, оу, тк), представляющих собой точки, в которых требуется осуществлять защиту в системе.
Модель системы безопасности с полным перекрытием описывает требования к составу подсистемы защиты ИС. Но в ней не рассматривается вопрос стоимости внедряемых средств защиты и соотношения затрат на защиту и получаемого эффекта. Кроме того, определить полное множество «путей проникновения» в систему на практике может оказаться достаточно сложно.
Анализ графа дает возможность оценить, все ли возможные пути реализации угроз перекрыты, и выработать рекомендации в случае отсутствия защиты каких-либо объектов. Заметим, что математический аппарат для анализа графовых структур достаточно хорошо разработан, что дает возможность проводить анализ существенно разветвленных графов. Кроме того, процесс построения и модернизации графа легко выполняется с использованием ПО.
Отметим, что рассмотренная модель безопасности с полным перекрытием применима, в основном, как инструментарий при разработке определенных политик безопасности, либо в случае построения комплексной системы защиты информации для малого предприятия, так как при большом объеме множеств Y, М и О анализ модели становится затруднительным.
Применение модели с полным перекрытием для анализа рисков информационной безопасности малого предприятия приводится в Приложении 3.1.