Н. Голдуев - Обеспечение информационной безопасности бизнеса

Еще более сильной характеристикой связи является понесенный ущерб (негативные последствия) и его информационный контекст. В этом смысле можно говорить о событии «понесенный ущерб», связанном с обнаружением факта ущерба. Здесь важна величина ущерба V и по аналогии с событиями базового риска идентифицированная с ним пятерка «А, П, И, С, Р».

Рис. 8.Контекстная зависимость событий базовых рисков

То есть с точки зрения безопасности более важно не само рисковое событие, а наступившие последствия, их оценка (величина) и идентифицированный контекст, в нашем случае в терминах информационной сферы. Связи рисковых событий и понесенных ущербов иллюстрируются рис. 8. Связи событий могут быть неочевидны, особенно в случае понесенных ущербов и событий базовых рисков. В общем случае они устанавливаются в результате расследования. Понятно, что идентифицированная таким образом цепочка с сильными связями будет отображать цель и примененный способ ее реализации для нанесения ущерба.

Описанные выше процедуры установления контекста базовых рисков организации в ее информационной сфере и «связывания» их с событиями ИБ являются основой построения модели ИБ организации. Однако практическая их реализация требует более детального рассмотрения проблем идентификации событий ИБ, управления ИБ, систематизации, оценивания, анализа и обобщения получаемой информации о состоянии организации (бизнеса) и ее информационной сферы. Эти вопросы рассматриваются ниже.

Рассмотренная выше модель основывается на неизменности достигаемой цели. Однако одной из распространенных мер реагирования на риск является корректировка (деградация) изначально заявленной цели. В ситуации, когда инвестиционный процесс реализуется последовательно (часто это естественный процесс), можно определить прогнозные оценки конечного результата, т. е. величину ΔV. При ΔV ≥ 0 процесс следует считать нормальным и можно перейти к дальнейшему инвестированию.

В ситуации, когда на очередном шаге окажется, что ΔV i< 0, необходимо осуществить корректировку цели так, чтобы ΔV i (Ц – Ц i ) ≥ 0, где – величина корректировки цели на шаге i. Ограничив возможности по корректировке цели так, что где δ – допустимая величина корректировки цели, получаем итерационный процесс реализации цели в контексте рассмотренной выше модели. Процесс завершается либо после завершения всех шагов инвестирования ( i = п, п – количество шагов инвестирования), либо при достижении Тогда оставшиеся шаги ( n – i ) реализуются за один шаг инвестирования.

Понятно, что возможности по изменению цели ограничены не только условной величиной δ, но и особенностями (свойствами) самой цели. Корректирующие возможности существенно обуживаются при увеличении объемов инвестирования: на первых шагах они больше, а к последнему шагу эти возможности очень ограничены.

Поэтому нужна некоторая стратегия, учитывающая это обстоятельство. Риски такой стратегии связаны с точностью прогноза величины и возможностью точного ее покрытия корректировкой цели. Ошибки этих прогнозов накапливаются к последним инвестиционным этапам.

Задача идентификации событий ИБ состоит в выявлении событий ИБ среди полного множества различных событий организации. Трудности идентификации событий ИБ связаны с их косвенным влиянием на базовые риски организации (бизнеса), а также с тем, что отдельные (одиночные) события ИБ в силу их слабого влияния могут быть и вовсе не идентифицированы как события ИБ. Причина этого в том, что риски ИБ проявляются в наступлении событий иных (базовых) рисков. Так, например, отказ сервера (событие операционного риска) может иметь злоумышленную природу, и тогда это событие ИБ. Здесь видно, что почти всегда напрямую факторы рисков ИБ отображаются только на участвующего субъекта в виде факторов его совокупного объема знаний, мотивов, возможностей.