Активи організації - це усе, що має цінність для організації, причому цінність кожного активу визначається його важливістю щодо ділової (функціонально) складової діяльності організації [6]. Зокрема, якщо мова йде про безпеку системи ІТ, що застосовуються в межах певної організації, оцінюванню підлягають насамперед активи цієї системи, причому при визначенні їх цінності має враховуватися те, наскільки може постраждати ця діяльність через виток, спотворення, недоступність та/або руйнування інформації, тобто внаслідок реалізації загроз по відношенню до ресурсів інформаційно-телекомунікаційної системи організації. Таким чином, ідентифікація та оцінювання активів, які були проведені на основі обліку ділових інтересів організації, є основним фактором у визначенні ризику.

Принципово активи можна поділити на дві категорії:

- ресурси інформаційно-телекомунікаційної системи;

- активи організації, цінність яких залежить від стану активів ІТС.

Існують стандартні методичні вказівки щодо ідентифікації інформаційних активів. Наприклад складаючи перелік активів системи неодмінно потрібно розглянути такі класи активів:

- інформаційні активи: бази даних, файли даних, системна документація, настанови користувачеві, архівована інформація, тощо;

- активи програмного забезпечення (ПЗ): системне ПЗ, прикладне ПЗ, інструментальні засоби, утиліти;

- фізичні активи: комп'ютерне устаткування (процесори, монітори, модеми й т.п.), апаратура зв'язку (АТС, маршрутизатори, телефони, тощо), інше технічне обладнання, споруди та приміщення ІТС;

- персонал та співробітники ІТС.

Склад активів другої групи, що не належать до активів ІТС, суттєво залежить від сфери, в якій функціонує організація, її фінансового становища, підпорядкованості, тощо. Зокрема це нематеріальні активи: репутація, імідж організації, рівень її ділової активності. Сюди ж слід віднести комунальні активи: освітлення, кондиціювання, обігрів, електроживлення. Нарешті, це можуть бути переліки робіт, заказів, організацій-суміжників, постачальників, списки продукції, що виробляється організацією, та інше. Загалом перелік активів другої групи може бути досить об'ємним. Щоб його раціонально звузити й одночасно не втратити чогось важливого, оцінюванню активів передує ще один додатковий етап - визначення меж огляду. Його задача - виділити ті аспекти ділової діяльності організації, які залежать від інформаційно-телекомунікаційних технологій (ІТТ), що використовуються організацією. З метою виявлення цих аспектів діяльність організації треба проаналізувати за двома групами критеріїв. Критерії першої групи дозволяють виявити межі залежності організації від ІТТ й спираються на наслідки аналізу наступних положень:

- наскільки важлива частина бізнесової діяльності, яка вимагає обов'язкового залучення ІТТ;

- які профільні (виробничі) задачі організації можуть бути реалізовані тільки за допомогою ІТТ.

Друга група критеріїв спрямована на виявлення інформації, що потребує захисту й на аналіз можливих наслідків реалізації загроз щодо цієї інформації:

- які важливі рішення, що приймаються в організації, залежать від точності, цілісності, доступності та конфіденційності інформації, що обробляється в ІТТ;

- яка оброблювана інформація потребує захисту;

- які наслідки можуть виникнути після інциденту, пов'язаного з порушенням безпеки критичної інформації.

Закінчивши інвентаризацію активів, можна переходити безпосередньо до встановлення цінності активів. Основою для визначення цінності може бути:

1. вартість створення та обслуговування активу;

2. вартість модернізації та відновлення активу;

3. збиток, що наноситься організації у випадку порушення конфіденційності, цілісності або доступності інформаційних активів;

4. комбінація трьох попередніх варіантів, що дає змогу отримати певну інтегральну оцінку загальної цінності активу.

Найбільш поширеним в практичних застосуваннях є спосіб обчислення цілісності активів, в основі якого лежить третій з вищенаведених варіантів. Зокрема, рекомендації щодо його застосування приведені в обов'язкових додатках В, Е до стандарту ДСТУ ISO/IEC TR 13335 - 3. При аналізі цього способу обчислення цінності активів треба приймати до уваги два наступних моменти. По-перше, точкою введення загроз в ІТС є вразливість активів системи ІТ, тоді як наслідки реалізації цих загроз треба оцінювати в повній множині активів організації: активи системи ІТ + активи другої групи. По-друге, на певному кроці реалізації будь-якої загрози інформації цю загрозу можна звести до однієї із трьох: конфіденційності, доступності та цілісності, що дозволяє спростити і скоротити аналіз наслідків успішної реалізації загроз, зокрема обрахунок відповідних збитків. У стандарті ДСТУ ISO/IEC TR 13335 - 3 відмічається, що при розгляді інформаційних загроз слід аналізувати їх можливі наслідки, що призводять (серед іншого) до:

- зниження рівня ділової активності організації;

- втрати/погіршення репутації організації;

- фінансових втрат;

- перебоїв у виконанні ділових операцій;

- погіршенню інвестиційного клімату;

- виникненню загроз особистої безпеки і т.п.

Формально оцінювання збитку можна представити у вигляді три етапної процедури. При її формуванні будемо виходити з того факту, що в організації об'єктом прикладання загроз є інформаційні ресурси та елементи інформаційної інфраструктури (обладнання, програмне забезпечення, персонал), які разом складають деяку підмножину активів системи ІТ:

(2.1)

Тоді як наслідки реалізації загроз (збитки організації) визначаються на всій множині AS активів організації.

На першому етапі процедури оцінювання збитків виконується інвентаризації активів організації, результат якої - списки активів, що визначає повну множину активів організації: . Встановлюється перелік можливих загроз інформації . Формується підмножина , що включає лише ті активи системи ІТ організації, до яких в принципі можливе застосування будь-яких загроз зі складу множини .

В ході другого етапу виконується аналіз всіх можливих пар виду , за результатами якого визначаються групи активів, що асоціюються з кожним з інформаційних активів , відносно якого може бути реалізована загроза. На третьому етапі, в ході аналізу всіх можливих трійок , виявляються збитки , що завдаються активам організації у випадку реалізації загрози відносно інформаційного активу , і за сукупним значенням всіх цих збитків, обрахованим за всією множиною активів , визначають часткову цінність відповідного інформаційного активу (так звану «надану» цінність).

Наведена схема знаходження цінності активів являється ефективною, але лише для конкретних визначених випадків. Їй притаманний ряд недоліків.

По-перше, це множинність отримуваних по кожному активу оцінок , кількість яких визначається кількістю тих загроз, наслідки реалізації яких ведуть до потенційних збитків, що вимагають свого обліку. Фактично кожна окрема оцінка відображає лише частковий збиток, що наноситься -му активу реалізацією загрози . При реалізації різних загроз ураженими можуть опинитися як різні елементи, що входять до складу активу, так і частково або повністю співпадаючі. Очевидно, що формування підсумкової цінності активу в цих випадках буде відбуватися по-різному, виходячи з інформації про механізми утворення окремих збитків, яка носить частковий характер та може бути отримана лише під час обстеження конкретної організації. Тому в стандарті ДСТУ ISO/IEC TR 13335 - 3 відзначається наявність проблеми множинності оцінок активів, але відсутні будь-які загальні рекомендації щодо її вирішення.

По-друге, в цьому ж стандарті ДСТУ ISO/IEC TR 13335 - 3, п.9.3.3, підкреслюється необхідність обліку наявності взаємозв'язків між різними активами при визначенні рівня цінності кожного з них, що пояснюється існуванням взаємозв'язків певних вразливостей інформаційної системи організації та, відповідно, наявністю взаємозв'язків при реалізації окремих загроз інформації. Також як і у випадку множинності оцінок активів, облік взаємозв'язків активів можливий лише при наявності цілком конкретної інформації про часткові особливості та характеристики функціонування окремих підсистем організації.

По-третє, при великих значеннях та (порядку декількох десятків та більше) кількість аналізованих пар , стає достатньо великою, трійок - ще більшою, а процедура оцінювання значень - надмірно громіздкою та трудомісткою. Знаходження збитку у цьому випадку можливе лише шляхом прямого експертного оцінювання, бо застосування процедур експертно-аналітичного характеру стає нереальним через множину альтернатив, що зіставляються , та перевищують рекомендований граничний об'єм (число Ингве-Миллера). Безумовно, пряме експертне оцінювання значно спрощує та прискорює процедуру знаходження часткових збитків , проте при цьому експерт навряд чи в дійсності зможе свідомо виділити частковий збиток. В будь-якому випадку рівень суб'єктивних похибок експертизи істотно зростає.

Прикладом одного знай екстремальніших варіантів, що можуть виникати при оцінюванні активів, слід вважати ситуацію, в якій організацією, чиї активи оцінюються, є ціла країна [4]. В цьому випадку множина пар <актив-загроза>, які підлягають експортуванню, є фактично незліченною, а відтак застосування до неї наведеної вище процедури оцінювання активів - безглуздою втратою часу. Для отримання працездатної процедури оцінювання активів в цьому прикладі, а також у будь-якій масштабній організації, необхідно ввести механізми скорочення кількості пар <актив-загроза>, що зіставляються експертом до розумно прийнятної кількості.

Одним з таких механізмів є метод сценарного аналізу збитку, обумовленого реалізацією загроз щодо певного інформаційного ресурсу. За цим методом експерт до кожного ймовірного випадку реалізації загрози визначає скінченну множину можливих сценарії розвитку подій-наслідків (3-5 варіантів). Розгортання кожного з сценаріїв асоціюється з деякою конкретною множиною активів, яка за своїм обсягом незрівнянно вужче гіпотетичної повної групи активів. Тому експерт здатний достатньо об'єктивно оцінити наслідки розвитку кожного сценарію, які фактично становитимуть часткові інтегровані оцінки збитків (втрат), обумовлених реалізацією вихідної загрози. За остаточну оцінку збитків в разі реалізації відповідної загрози можна взяти найбільшу з часткових оцінок, отриманих за кожним з сценаріїв, або збитки за найбільш ймовірним сценарієм, або нарешті, середньозважений інтегрований збиток, де вагами являються ймовірності реалізації кожного з сценаріїв.

Іншу технологію зменшення кількості аналізованих експертом пар <актив-загроза> запропоновано в [5]. Однак наведена робота не містить детального опису механізмів реалізації самої технології. Тому нижче представлено приклад адаптації цієї технології до випадку аналізу рівня втрат, обумовлених реалізацією загрози витоку секретної інформації. Побудова цього прикладу певною мірою спирається на дані, наведені в [10], однак теоретико-методичною базою є сучасна теорія вимірювань, застосовування якої до задач класифікації інформації за рівнем її важливості розглянуто в [2].

Можливість застосування сучасної теорії вимірювань до задач оцінювання втрат, обумовлених витоком секретної інформації, спирається на застосування двох базових методів прикладного аналізу інформації: методу парних порівнянь та ноніусного підходу до визначення цінності інформації.

Класичний метод парних порівнянь дозволяє розташувати елементи. Що складають певну множину, у порядку збільшення або зменшення ознаки, спільної для всіх елементів даної множини. Відома також методика, коли подібна класифікація (ранжування) відбувається за кількома ознаками (комплексом або вектором ознак), метод - аналітичної ієрархії. На жаль, парні порівняння добре працюють за умов, коли кількість елементів множини, що аналізується, незначна. Із збільшенням обсягу цієї множини трудомісткість та складність застосування методу парних порівнянь різко зростає, що, як це вже зазначалося вище, робить його непридатним для практичного використання. Виходом в цьому випадку може бути своєрідний гіпертекстовий варіант порівняльного аналізу, в якому вихідна сукупність елементів поділяється на певні підмножини, що утворюють так звану ноніусну лінійку шкал. Кожна з цих шкал, починаючи з другої, є допоміжною для шкального фрагменту вищого рівня, яка деталізує, уточнює інформацію, щодо окремих елементів шкали вищого рівня.

Наприклад, груба шкала (найвищого - першого рівня) утворюється четвіркою інформаційних блоків, що містять інформацію в сферах:

1. оборони;

2. економіки, науки, техніки;

3. зовнішніх відносин;

4. державної безпеки та охорони правопорядку.

Кожен з перелічених блоків грубої домінантної шкали може бути представлений більш деталізовано підмножиною конкретизуючи його зміст допоміжних інформаційних елементів, наприклад:

3.1 загальні відомості про дипломатичні відносини з іншими державами;

3.2 інформація про міжнародні контракти в сфері постачання озброєнь та військової техніки;

3.3 … .

Ці інформаційні елементи припускають ранжування за рівнем втрат обумовлених витоком відповідної інформації, тобто утворюють ноніусну ранжовану шкалу другого рівня. При необхідності можлива конкретизація окремих (чи всіх) елементів цієї шкали введенням додаткових множин деталізуючи інформаційних елементів. Приміром, за п. 3.2 можемо отримати:

3.2.1 інформація про міжнародні угоди в галузі розробки озброєнь та військової техніки;

3.2.2 інформація про міжнародні контракти в сфері постачання озброєнь та військової техніки;

3.2.3 .. .

Додатково введені інформаційні елементи після їх ранжування за рівнем можливих втрат внаслідок витоку відповідної інформації, утворюють ноніусну ранжовану шкалу втрат внаслідок витоку відповідної інформації, утворюють ноніусну ранжовану шкалу третього рівня. Продовжуючи процедуру деталізації (якщо це є доцільним) інформаційних елементів шкали другого рівня, отримаємо ноніусні ранжовані шкали ще більш високих рівнів. В певній мірі прикладом подібного ноніусного підходу до класифікації інформації є структура представлення інформації в «Зводі відомостей, що становлять державну таємницю».

Впорядкована таким чином множина інформаційних елементів утворює систему рангових шкала, до якої експерт в змозі «вмонтувати» будь-який новий елемент, що підлягає оцінюванню на предмет визначення рівня можливих втрат через розголошення змісту даного елементу.

Для цього експерт визначає на ноніус ній лінійці шкалу, найближчу за змістом та рівнем деталізації до об'єкту оцінювання та виконує низку парних порівнянь об'єкту з вузлами (елементами) обраної шкали. Місце, яке зайняв об'єкт оцінювання в системі рангових шкал, можна надалі сприймати як новий вузол шкали, що в подальшому буде використаний у процедурі наступних парних порівнянь при оцінюванні нових інформаційних елементів.

Однак для визначення приналежності оцінюваної інформації до секретної необхідним є отримання кількісних оцінок можливих втрат, обумовлених розголошенням цієї інформації, які в порядковій (ранжованій) шкалі обрахувати немає змоги. Тому слід виконати метизацію ноніусної системи шкал, присвоївши її вузлам-елементам кількісні оцінки рівнів втрат.

Для цього розглядається все, що має певну цінність (іміджеві, економічну, політичну тощо) і у той чи інший спосіб може бути асоційоване з відповідним інформаційним елементом. В ДСТУ ISO/IEC 13335 це «все» визначається терміном «активи», пов'язані з інформаційним елементом, а збитки, обумовлені витоком інформації, виступають в якості кількісної оцінки рівня цінності цих активів. В [5] перелік деяких активів (у дуже скороченому обсязі) наведено у Додатку А, де їх цінність визначається терміном «питома вага» об'єкту тієї чи іншої сфери діяльності (оборони, економіки, державної безпеки тощо). Очевидно, що ефективне застосування подібної методики оцінювання втрат можливе лише за умов існування дуже докладних переліків активів у кожній сфері діяльності, пов'язаної з використанням секретної інформації, зокрема, при складанні таких переліків до кожної шкали ноніусної лінійки шкал.

Крім того, слід мати на увазі, що втрати інформації лише за змістом одного інформаційного елемента можуть обумовити збитки щодо різних активів, тобто слід аналізувати та розглядати різні варіанти подій, поштовхом до яких стала втрата відповідної інформації.

2.2 Модель інформаційного ресурсу

Важливо розуміти, що в розпорядженні організації знаходиться безліч ресурсів. Серед них можна виділити окремі групи. Враховуючи специфіку даної роботи, логічно виділити окремим класом активи інформаційно-телекомунікаційної системи. Також, до складу активів організації входять інформаційні ресурси.

Питання оцінювання інформаційних ресурсів від самого початку піднімалось як проблема побудови захисту інформації. На основі матеріалів викладених в першій частині можна стверджувати, що цінність інформаційного ресурсу в даному випадку варто розглядати як сукупність збитків, що виникають в результаті реалізації загроз.

Важливо відмітити, що захисту підлягають лише інформаційні ресурси (з усієї сукупності активів організації). Виходячи з цього, до уваги беруться лише атаки, в результаті яких страждають інформаційні ресурси. Не можна сказати, що розглядатися мають лише атаки, які «направлені» на інформаційні ресурси, оскільки зловмисникам, як правило, не важливо, які саме активи організації постраждають, це лише інструмент для досягнення мети (виведення системи з ладу, шкода репутації та ін.).

Атаки зловмисників направлені на вразливості. Саме через них реалізуються загрози. Це може не обов'язково бути атака зловмисника, але якщо існує вразливість, то через неї можуть постраждати активи. Як приклад, вихід з ладу окремих елементів інформаційно-телекомунікаційної системи може відбутися не лише через навмисну атаку, а через випадковість чи старіння обладнання. Але результат буде такий же, як і при злочинних діях, направлених на виведення з ладу цього обладнання.

Існує популярна практика поділу усіх загроз на три категорії:

- порушення цілісності;

- порушення конфіденційності;

- обмеження доступності.

Насправді не так важливо, як саме групуються загрози, дана концепція зручна для ілюстрації моделі оцінювання інформаційних ресурсів. Кожен клас загроз може бути спрямований на кілька вразливостей. Кожна вразливість може в результаті її реалізації вплинути на кілька інформаційних ресурсів. Обрахунку збитків, пов'язаних з втратою або пошкодженням конкретного інформаційного ресурсу не достатньо, оскільки кожен інформаційний ресурс може не становити цінності сам по собі, а бути необхідним для функціонування інших активів організації (не обов'язково інформаційних), а отже необхідно:

1. Визначити ряд активів, що залежать від кожного ІР.

2. Визначити, наскільки необхідним являється даний ІР для коректного функціонування залежних активів.

3. Визначити збитки, пов'язані з втратою чи виведенням з функціонування залежних активів.

Виконання другого пункту - це фактично надання «ваги» кожній залежності «ІР - актив». Звісно, можна б надавати оцінку втрат по кожному ІР окремо, але це по-перше: неефективно, оскільки безліч разів доведеться проводити дуже схожі оцінювання, а по-друге: така система негнучка. Цінність активів організації змінюється, а відтак змінюється й цінність ІР, оскільки вони напряму залежні. Навіть не враховуючи такі фактори як старіння та фрагментація, очевидно, що активи можуть змінювати свою вартість.

Наприклад репутація організації в різні моменти часу може мати різну значущість для різного роду операцій. Особливо, якщо репутації завдається певна шкода, то подальша втрата репутації може мати не такий значний ефект, як наприклад така ж шкода, але при бездоганній репутації.

Крім втрат, пов'язаних з ефектом на активи організації в результаті реалізації загроз, направлених на інформаційні ресурси, існують ще й статичні втрати, різні для кожного ІР. Як приклад, затрати на відновлення - не можна розглядати як окремий пункт зі списку об'єктів, на які впливають ІР та надавати цим залежностям ваги, як у випадку з іншими активами. Таку величину якраз значно зручніше оцінювати «в лоб», для кожного ІР.

Як зазначалося раніше, існує кілька процедур, що передують оцінюванню інформаційних ресурсів. Одна з них - це інвентаризація активів. Методика також була описана вище. В результаті ми маємо структурований набір активів, які поділені на підрозділи. Класифікація активів має деревовидну систему, що спрощує їх оцінку та виділення з них інформаційних ресурсів.

Для визначення вартості активів, що не становлять інформаційних ресурсів організації існує багато методик. Їх вибір зазвичай залежить від конкретики середовища, в якому функціонує система, але не практично не має впливу на побудову моделі інформаційних ресурсів. Зазвичай оцінювання так чи інакше проводиться з залученням експертів. Вони можуть давати конкретні оцінки в грошових одиницях або бальні оцінки, які згодом аналізуються та врешті-решт переводяться у все той же грошовий еквівалент.

В результаті, перед нами стоїть проблема оцінки інформаційних ресурсів при відомих вартостях решти активів організації. Важливо розуміти відмінність інформаційних ресурсів та решти активів. Оцінювання активів ведеться з метою визначення їх «корисності», чи «необхідності» для системи. Це виражається у грошовому еквіваленті втрат, що призводять пошкодження цих активів. Дослідження ж цінності інформаційних ресурсів ведеться з метою оптимізації їх захисту. Вони займають проміжне положення в схемі «загроза-актив».

Рисунок 2.1 - Схема реалізації загроз.

Як бачимо з рисунку, загрозі діють через вразливості. Фактично, кожна загроза реалізується лише через вразливості. Проблема захисту інформації - забезпечення безпеки інформаційних ресурсів. Цього можна досягнути і знищивши вразливості, і побудувавши захист для інформаційних ресурсів. В даній роботі розглядається проблема визначення цінності цих ресурсів для організації з метою оптимізації побудови захисту. Можлива ситуація, коли більшість загроз реалізуються через кілька вразливостей, але інформаційні ресурси, які в результаті атакуються являються менш цінними, ніж решта. Що захищати в першу черги і, головне, яку кількість ресурсів доцільно витратити на побудову системи захисту інформації - саме це питання вирішується завдяки адекватній оцінці цінності інформаційних ресурсів.

Побудована модель цінності інформаційних ресурсів носить досить загальний характер. Це можна розглядати і як недолік, і як перевагу, оскільки в питанні побудови моделі важливе місце займає універсальність. Відповідно, в жертву універсальності приноситься конкретика. Єдиний вихід - побудувати загальну універсальну модель та продемонструвати як її конкретизувати.

Загальна модель інформаційного ресурсу виглядає наступним чином:

(2.2)

де - вартість створення та обробки інформації;

- вартість побудови СЗІ для даного ресурсу з коефіцієнтом (оскільки СЗІ рідко будується для конкретних ІР, а скоріше для групи ресурсів);

- потенційна втрачена вартість, яку можливо було отримати за допомогою даного інформаційного ресурсу;

- сума вартостей активів з коефіцієнтом впливу по всім залежним від даного ресурсу активам.

2.3 Конкретизація моделі

Для демонстрації конкретизації розглянемо побудову даної моделі на прикладі. Візьмемо для прикладу звичайну організацію, яка займається продажем будматеріалів. Перш за все проводиться інвентаризація активів компанії. З поміж них виділяємо інформаційні ресурси, що підлягають захисту. В результаті першого підготовчого етапу маємо набір інформаційних ресурсів та решти активів компанії.

Що вважати активами організації було розглянуто в попередніх розділах. Далі проводиться оцінювання активів, що не становлять інформаційні ресурси. Нехай це оцінювання проводиться методом експертних оцінок. Це найефективніший спосіб, хоча інколи може бути дуже дорогим, але нас цікавить частина оцінювання інформаційних ресурсів, тому не будемо зупинятися на цьому питанні.

Отже маємо набір інформаційних ресурсів та набір активів з визначеними вартостями. Для наочності викладених введень доречно було б привести деякий приклад. Щоб зрозуміти суть не обов'язково моделювати цілу організацію, достатньо привести деякий набір інформаційних ресурсів та активів організації. Нехай це буде деяка торгова організація, яка містить стандартні для таких організації елементи.

Таблиця 2.1 - Приклад активів організації.

Інформаційні ресурси	Активи організації	Вартість активу (грн.)
Список клієнтів База замовлень База співробітників Прогноз цін ринку	Репутація Співробітники Постійні клієнти Потенційні клієнти Постачальники Рівень цін	50 000 20 000 100 000 40 000 50 000 45 000

Далі необхідно визначити які активи можуть постраждати в результаті реалізації загрози, направленої на кожен інформаційний ресурс, та наскільки серйозною буде завдана шкода.

Таблиця 2.2 - Приклад активів організації з наданими вагами цінності.

Інформаційні ресурси	Залежні активи	Вага
Список клієнтів	Репутація Постійні клієнти Постачальники	0,1 0,05 0,3
База замовлень	Постійні клієнти Потенційні клієнти Постачальники	0,2 0,01 0,4
База співробітників	Співробітники	0,5
Прогноз цін ринку	Постійні клієнти Рівень цін	0,05 0,6

Таким чином, маючи набір залежних активів з коефіцієнтами залежностей та набір вартостей кожного активу, можемо елементарно підрахувати втрати пов'язані з реалізацією загроз відносно даних інформаційних ресурсів.

Таблиця 2.3 - Таблиця з розрахунками цінності в грошових одиницях.

Інформаційні ресурси	Підрахунок	Втрати (грн.)
Список клієнтів База замовлень База співробітників Прогноз цін ринку	0,1*50000+0,05*100000+0,3*50000 0,2*100000+0,01*40000+0,4*50000 0,5*20000 0,05*100000+0,6*45000	25 000 40 400 10 000 32 000

Даний підхід застосовано для більшої наочності процесу. Звісно для при даній схемі експертам доводиться визначати коефіцієнти впливу на кожен актив саме даним інформаційним ресурсом, при тому, що вартість активів уже відома. Така задача абсолютно тотожна прямому визначенню втрат, пов'язаних з втратою даного інформаційного ресурсу.

Введення аналітичної складової до даного процесу значно підвищить простоту оцінювання та точність наданих оцінок. Як було зазначено при розробці методики ідентифікації активів, значно простіше давати оцінки, якщо існує ієрархічна система. При ієрархічній структурі елементів можна давати оцінки в межах одного блоку, не прив'язуючись до загальної шкали.

Також розглядались пов'язані з такою методикою незручності, щодо метизації кожного підпункту ієрархії. Дійсно, маючи бальні оцінки відносно елементів одного підрозділу потрібно вирішити, як спів ставляти отримані оцінки між собою.

В даному випадку, кожна ніша ієрархії - це набір активів, що залежать від конкретного інформаційного ресурсу. Дана ситуація має кілька ключових відмінностей від стандартної ієрархічної системи організації елементів. Саме їх можна використати, щоб подолати проблеми, що виникли в попередньому розділі.

Наприклад, елементи різних ієрархічних ніш можуть повторюватися. Один цей факт вводить своєрідну специфіку в дану проблему. Це можна використати, щоб подолати бар'єр між різними групами, в межах яких відбувається відносне оцінювання. Але важливо пам'ятати, що оцінки абсолютно відносні. Наприклад якщо якомусь конкретному активу в кількох нішах надано однакову кількість балів, це не означає, що він однаково залежить від цих інформаційних ресурсів.

Ще однин специфічний момент заклечається у тому, що нам вже відомі абсолютні (не відносні) оцінки елементів даної ієрархії. Задача заклечається у визначенні комплексної оцінки самої ніші, тобто елементів, що стоять на один порядок вище за активи.

Існує багато методів аналізу ієрархій. Не вдаючись в їх деталі, можна сказати, що в результаті ми будемо мати відносні оцінки важливості кожній ніші ієрархії. Наприклад, якщо від одного інформаційного ресурсу залежать чотири активи, при чому залежать у рівній мірі, то кожному буде надано коефіцієнт 0,25 або 25%. Якщо степінь впливу на різні активи різна - буде надано різні коефіцієнти. Але в сумі вони дадуть 100%. Очевидно, що не можна використовувати ці коефіцієнти для підстановки в наведену вище формулу. Необхідно провести метизацію даної ніші. Задача спрощується тим, що не потрібно давати конкретну грошову оцінку всім елементам даної групи, достатньо прив'язати до грошової шкали хоча б один елемент, решту можна обчислити саме за цими коефіцієнтами.

Нехай, в результаті проведення аналізу ієрархії активам залежним від даного інформаційного ресурсу надано такі коефіцієнти: . Виконуємо прив'язку до грошової шкали. Для цього обираємо елемент, який найпростіше оцінити в грошовому еквіваленті (ще один момент спрощення, не обов'язково оцінювати перший же елемент в групі). Але все ж рекомендується обирати елемент, з високим значенням коефіцієнту для уникнення парадоксів. Так, якщо якийсь актив було включено в групу залежних від даного інформаційного ресурсу «з натяжкою», тобто його залежність або непряма, або малоймовірна, або взагалі під питанням, то йому відповідно буде надана дуже низька оцінка і як наслідок - низький коефіцієнт . Прив'язавши такий елемент до грошової шкали, можемо отримати некоректні оцінки для решти елементів.

Отже, як було сказано вище, рекомендується обирати для прив'язки елемент з порівняно високим коефіцієнтом, але при цьому зручним для оцінювання в грошовому еквіваленті (цей критерій залишається пріоритетним). Нехай таким елементом обрано k-ий елемент групи. Тоді йому надається грошовий еквівалент залежності (тобто якщо актив має собівартість в 1000 грн., а вплив інформаційного ресурсу складає 50% на думку експертів, то грошовим еквівалентом буде 500 грн.). Тоді решту еквівалентів можемо розрахувати за формулою:

(2.2)

Відповідно, вже відпадає необхідність в абсолютних коефіцієнтах . Останній елемент вищенаведеної формули для обчислення загальної цінності інформаційного ресурсу заміняється на нову: .

Використаємо для визначення даних еквівалентних вартостей метод, розглянутий у першому розділі даної роботи. За ним необхідно надати рангові оцінки активам, що залежать від даного інформаційного ресурсу. Вважається, що можна порівняти степінь залежності двох активів від одного інформаційного ресурсу, при чому рангова оцінка не буде становити нуль, оскільки таку оцінку може отримати лише той актив, що абсолютно не залежний від даного інформаційного ресурсу, а такі активи не входять до групи «залежні активи».

Повертаючись до попереднього прикладу, надамо рангові оцінки користуючись шаблоном Сааті для одного з інформаційних ресурсів. Нехай це буде «список клієнтів». Побудуємо матрицю попарних порівнянь. Нагадаємо, що порівнюються такі три активи: репутація, постійні клієнти, постачальники.

Таблиця 2.4 - Матриця порівнянь важливості активів.

Активи	Репутація	Постійні клієнти	Постачальники
Репутація	1	1/3	5
Постійні клієнти	3	1	9
Постачальники	1/5	1/9	1

Обрахуємо коефіцієнти впливу:

(2.3)

Аналогічно обраховуємо другий елемент:

(2.4)

Значення для першого вдвічі більше за значення важливості другого елементу, але все одно становить лише 15% всієї відносної важливості серед цих трьох елементів. Найважливішим буде третій елемент:

(2.5)

Далі необхідно провести нормалізацію отриманих даних, що в нашому випадку означає надання грошового еквіваленту одному з активів. В попередньому прикладі втрати пов'язані з втратою репутацію було оцінено в 5000 грн. Для однозначності надамо такого ж значення і даному прикладі.

(2.6)

Маючи дане значення можемо обрахувати другий елемент:

(2.7)

Аналогічним чином можна використати для обрахунку , але для визначеності та динаміки краще користуватися елементом :

(2.8)

Загальну вартість даного ресурсу, пов'язану з втратами серед активів отримаємо просумувавши часткові вартості по всім залежним ресурсам:

 (2.9)

Неточності пов'язані з тим, що оцінки надані не експертом, а лише для прикладу. Але все одно помітно, що результат певним чином усереднюється, в той час як у попередньому прикладі більшість оцінок має вигляд «прикинутих на око». Даний метод являється більш точним та гнучким (згладжує крайності) і рекомендується для застосування.

Таким чином визначено лише частину загальної цінності інформаційного ресурсу. Розглянемо решту складових. Затрати на створення та обробку інформації в даному випадку розглядаються як робота співробітників, які збирають та формують інформацію, яку містить даний ресурс. Придбання персонального комп'ютера для обробки списку клієнтів організації не розглядається з очевидних причин. Купівля комп'ютера можливо навіть не пов'язувалась з ціллю даної експлуатації, тому такі затрати важко розглядати навіть у контексті витрат на систему захисту інформації. Дані поняття навіть важко спів ставити.

Отже створення та обробка - це робота співробітника, нехай це буде оцінено як відсоток від зарплати, як відсоток роботи секретаря. Оцінювання знову ж покладається на експертів, особливих вдосконалень в даному процесі ввести не уявляється можливим. Нехай втрати на створення та обробку списку клієнтів було оцінено у

Затрати на відновлення входять в дану складову, але мають свою специфіку. Перше, що може спасти на думку при моделюванні втрати такого інформаційного ресурсу, як список клієнтів - це втрата обладнання, на якому міститься даний список. В такому разі, відновлення даного ресурсу розглядалося б як відновлення інформації з пошкодженого носія. Але важливо пам'ятати, що по-перше відновлення можливе й без «реанімації» обладнання, а може розглядатися як додаткова робота співробітника, а по-друге реалізація загроз, пов'язаних з даним ресурсом не завжди призводить до втрати та необхідності відновлення.

Щоб врахувати даний момент існує два варіанти: ввести коефіцієнт аналогічний іншим складовим цінностей, який би базувався на ймовірності втрати та необхідності відновлення даного ресурсу при реалізації загроз; або виділення даної складової цінності окремо від загальної цінності та враховувати його лише при аналізі атак, які призводять до втрати ресурсу. Використання останнього методу не завжди доцільне, оскільки навіть розглядаючи конкретні загрози не завжди є можливим визначити, чи постраждає цілісність ресурсу в результаті реалізації загрози. До того ж при такому підході страждає атомарність моделі цінності інформаційного ресурсу.

Розглядаючи затрати на відновлення як додаткову роботу секретаря, визначимо вартість роботи по відновленню списку клієнтів як подвійну зарплату, вважаючи, що підтримувати список значно легше, ніж відновити його повністю. Врахуємо, що атаки, спрямовані на даний ресурс рідко мають за мету знищення даного ресурсу, а частіше за все - порушення конфіденційності. Тому надамо оцінку втрат, пов'язаних з відновленням даного ресурсу як Отже результуюча величина даної складової

Наступна складова цінності інформаційного ресурсу - це затрати на створення системи захисту інформації (СЗІ). Це водночас найпростіша та найскладніша для обрахунку складова. Простота полягає в тому, що завжди можна точно сказати, скільки коштів було витрачено (чи планується витратити) на створення СЗІ, при чому одразу у грошовому еквіваленті. Проблема полягає у тому, що СЗІ як правило будується комплексно, для групи ресурсів, а не для кожного окремо. Необхідно визначити, наскільки побудована СЗІ відноситься до кожного ресурсу. Задача дуже подібна до визначення коефіцієнтів впливу інформаційних ресурсів на активи. Різниця полягає в тому, що при розгляді даного інформаційного ресурсу нас цікавлять одразу усі елементи, які забезпечують захист даного ресурсу та одночасно усі інформаційні ресурси, що захищаються кожним з цих елементів СЗІ.

Схема вирішення даної проблеми аналогічна до визначення коефіцієнтів впливу інформаційних ресурсів на активи з точністю до навпаки. Власне, коефіцієнти обраховуються таким же методом рангових оцінок та побудовою матриці попарних порівнянь. Різниця полягає у тому, що відома вартість елементу СЗІ «ділиться» на решту ресурсів пропорційно до знайдених коефіцієнтів. В даному випадку не потрібно проводити нормалізацію коефіцієнтів, це на одну оцінку від експертів менше ніж в попередньому випадку.

Негативна відмінність полягає в необхідності динамічності обчислення даних коефіцієнтів. Якщо в попередньому випадку при появі нового інформаційного ресурсу просто виникала потреба в проведенні оцінки даного ресурсу, то в даному випадку необхідно провести переоцінку цінності усіх ресурсів, що знаходяться під впливом тих же елементів СЗІ, що і новий ресурс. До того ж при введенні нових елементів СЗІ необхідно проводити переоцінку цінностей всіх ресурсів, для яких вводиться даний елемент.

При введенні нового елементу захисту визначаються інформаційні ресурси, для яких він вводиться (зазвичай це не становиться складності) та проводиться оцінка важливості даного елемента для кожного з визначених інформаційних ресурсів методом рангових оцінок, що був описаний вище. За даними коефіцієнтами та відомою вартістю нового елементу СЗІ до цінності залежних інформаційних ресурсів просто додається величина, що становить добуток відповідного коефіцієнту на вартість елементу СЗІ.

При введенні нового інформаційного ресурсу в таблиці попарних порівнянь кожного залежного елемента СЗІ з'являється додатковий стовбець та рядок. На перший погляд виникає необхідність зберігання таблиць попарних порівнянь для кожного елемента СЗІ та проведення додаткових оцінок для кожного з них, де - кількість інформаційних ресурсів, що захищаються і-им елементом СЗІ. Насправді в цьому немає потреби. Враховуючи специфіку обраного нами методу для визначення коефіцієнтів достатньо зберігати один рядок матриці попарних порівнянь (це можуть бути саме ці коефіцієнти важливості). Відповідно достатньо провести лише одне порівняння важливості нового інформаційного ресурсу порівняно з будь-яким іншим. Решта матриці перераховується за відомими формулами.

Для наочності прикладу введемо кілька елементів СЗІ. Нехай це буде антивірус/анти шпигун та сигналізація в офісі. Перший елемент захищає такі інформаційні ресурси: список клієнтів, база замовлень, база співробітників. При чому на бази - у більшій мірі, одразу визначимо коефіцієнти важливості (для прикладу, не вдаючись у деталі методу рангових оцінок), нехай це будуть коефіцієнти 0.2, 0.4 та 0.4 відповідно. Другий елемент захищає всі чотири приведені в прикладі інформаційні елементи, при чому у найбільшій мірі «прогноз цін ринку», оскільки він знаходиться в паперовому вигляді у сейфі. Решту ресурсів він захищає у однаковій мірі, оскільки всі знаходяться на офісному комп'ютері. Надамо наступні коефіцієнти: 0.1, 0.1, 0.1 та 0.7 відповідно. Вартість антивірусу складає 2000 грн., а сигналізації - 4000 грн.

Шляхом нескладних математичних перетворювань обчислюємо вартість інформаційного ресурсу пов'язану з витратами на створення СЗІ:

(2.10)

Ще одна складова, яка лишилась не розглянутою - це втрата можливого прибутку. Це одна з найбільш суб'єктивних складових, оскільки її неможливо виміряти на практиці. Така величина піддається лише прогнозуванню та експертному оцінюванню. Вирішенню даної проблеми присвячено цілі розділи відповідної літератури. Можемо лише відзначити, що потрібно розрізняти поняття втраченого «можливого» прибутку та втрати пов'язані з негативними наслідками реалізації загроз, що спрямовані на даний ресурс, оскільки деякі втрати можуть бути враховані кілька разів, що призведе до переоцінювання ресурсу.

Найбільш ефективним методом для оцінювання такого роду втрат являється сценарний метод. Він часто використовується для розрахунку втрат, пов'язаних з негативними ефектами, визначаючи можливі варіанти розвитку наслідків атак. Але в даному випадку мають розглядатися «хороші» сценарії, які враховують відмінність розвитку подій, у тому випадку якби даний ресурс був у розпорядженні організації.

Повертаючись до прикладу та обраного інформаційного ресурсу, можемо сказати, що організація значно ефективніше працює, якщо в неї є у наявності список клієнтів. Наслідки розголошення даного списку були враховані у розрахунку впливу інформаційного ресурсу на активи. Тож цінністю у даному випадку будуть втрати, які понесе організація через відсутність списку клієнтів у проміжок часу між реалізацію атаки та повним відновленням списку. Припустимо, що без даного списку продажі падають на 10% від загального розміру. Об'єм продажем відомий, достатньо покопатися в бухгалтерії, нехай це буде прибуток компанії у розмірі 20 000 на місяць. Припустимо, що список клієнтів повністю відновлюється за тиждень, врахуємо те, що атаки на даний ресурс рідко супроводжуються втратою самого ресурсу. Разом маємо потенційно втрачену цінність:

(2.11)

Таким чином, обрахувавши всі складові моделі цінності інформаційного ресурсу, нарешті можемо визначити повну вартість конкретного інформаційного ресурсу.

 (2.12)

Підставляючи отримані вище результати можемо обрахувати кінцеву вартість в грошових одиницях:

(2.13)

Наведеним чином, враховуючи специфіку організації, для якої проводиться оцінювання, визначається цінність усіх інформаційних ресурсів, які були ідентифіковані. Нові елементи легко вмонтовуються в систему завдяки наведеній моделі цінності. Завдяки багатьом зв'язкам з системою СЗІ та активами компанії цінність ресурсів змінюється динамічно, відповідно до зміни елементів, від яких залежить цінність інформаційних ресурсів у реальному середовищі.

2.4 Висновки

В даному розділі розглянуто процес інвентаризації активів організації та приведено методичні вказівки щодо оптимізації. Дане питання грає дуже важливу роль, оскільки ієрархічна структура інвентаризованих активів та інформаційних ресурсів значно спрощує процес оцінювання. Один з етапів оцінки цінності інформаційних ресурсів - це визначення множини активів, що залежать від конкретного інформаційного ресурсу. Аналогічно необхідно виділяти множину інформаційних ресурсів, що залежать від конкретного елементу СЗІ. Обидві задачі спрощуються при ієрархічній структурі інвентаризованих активів.

Залежності можуть будуватися не лише у вигляді «ІР-актив», а й «ІР-група активів» або «ІР-клас активів», що значно зменшує кількість експертних оцінок, які необхідно надати.

Також запропоновано модель цінності інформаційних ресурсів, що становить собою суму часткових цінностей, що мають принципово різні способи оцінки. Кожна складова оцінюється окремо, але всі нормуються та їх цінність переводиться в грошовий еквівалент. Це дозволяє порівняти різні складові одного й того ж активу, а також проводити більш гнучкий аналіз цінності інформаційних ресурсів.

Висновки

У даній роботі розглянуто питання визначення цінності інформації в принципі та інформаційних ресурсів зокрема. Розглянуто проблему оцінювання інформаційних ресурсів організації як проблема захисту інформації. Проаналізовано різноманітні підходи до вирішення даної проблеми. Розглянуто основні методи оцінювання цінності інформації, виділено найбільш ефективні та підходящі для застосування в даній роботі.

В результаті аналізу існуючої літератури зроблено висновок про доцільність концентрації уваги на інформаційних ресурсах організації, як частини усіх активів організації. Саме вони підлягають захисту, а оскільки проблематика оцінювання цінності інформації розглядається лише в контексті оптимізації побудови захисту інформаційної системи, то й основний акцент зроблено на оцінку інформаційних ресурсів.

Досліджено процес ідентифікації активів та інформаційних ресурсів компанії зокрема, розроблено методичні вказівки з метою підвищення ефективності проведення даної процедури, оскільки результат даної процедури напряму визначає ефективність подальших розробок в області роботи з інформаційними ресурсами.

Розроблено узагальнену модель цінності інформаційних ресурсів. Розроблено ряд динамічних взаємозв'язків між різними елементами та факторами, що визначають цінність інформаційних ресурсів. В результаті модель цінності набула динамічності та чутлива до внутрішніх змін в організації. Відбувається автоматична переоцінка цінності при зміні в залежних елементах. Наочно проведено приклад адаптації для конкретної системи на прикладі.

Перелік посилань

1. Архипов О.Є., Ворожко В.П. Системні аспекти оцінювання рівня важливості секретної інформації / правове, нормативне та метрологічне забезпечення системи захисту інформації в Україні. К., - 2007. - Вип.2 (15).

2. Архипов А.Е. Технология построения комбинированніх измерительніх шкал для оценивания значимости информации / Архипов А.Е. // Адаптивные системы автоматического управления. - 2008. - №13(33). - с.153-158.

3. Бонгард М.М. О понятии «полезная информация» // Проблемы кибернетики. Вып. 9. М.: Физматгиз, 1963.-с.71-102.

4. Веревченко А.П. Информационные ресурсы: определение и краткая характеристика. // Прикладная информатика/ Под ред. М.В. Савинкова.- 1991.-n17.-с. 5-32.

5. ДСТУ ISO/IEC TR 13335 - 3. Інформаційні технології. Настанови з керування безпекою інформаційних технологій (ІТ). Частина 3. Методи керування захистом ІТ.

6. Миняйло А.М., Каныгин Ю.М., Рузакова О.В. Экономика и организация информационных ресурсов. Екатеринбург. СИНХ. 1988 с. 8-13.

7. Саати Т.Л. Принятие решений. Метод анализа иерархий: Пер. с англ.- М.: Радио и связь, 1993. - с. 320.

8. Столяров Ю.Н. Сущность информации. - М.: ГПНТБ, 2000. - 120 с.

9. Стратанович Р. Л. О ценности информации. - Изв. АН СССР. Техническая кибернетика, 1965, №5.- с.5-12.

10. Суппес П. Основі теории измерений / Суппенс П., Зиннес Дж. // Психологическое измерение. - М.: Мир, 1976. - 220 с.

11. Харкевич А. О ценности информации // Проблемы кибернетики. - М.: Физматгиз, 1960. - c.15-18.

12. Шрейдер Ю. А Об одной модели семантической теории информации. - В кн.: Проблемы кибернетики. - М.: Физматгиз, 1965, вып. 13.- c.233-240.

Размещено на Allbest.ru