комбинация принимает мультипликативную форму, то соотношение для вычисления уровня риска может быть записано в следующем виде:

R  H  p , ( 1 ) где R – уровень (величина) риска, H – оценка величины последствий (ущерба), являющихся следствием нежелательного события, которые (речь идет о последствиях) в случае событий информационной безопасности принимают форму ущерба, p – вероятность возникновения события информационной безопасности. Трехмерный график этой зависимости представлен на рис.1.

Рис. 1. Зависимость уровня риска R от вероятности его реализации p и оценки величины ущерба H На рис.1 видно, что зависимости уровня риска R от вероятности его реализации p и стоимости ущерба H имеют нелинейный характер. Анализ систем с нелинейностями представляет большие сложности, а если представить, что на практике величина риска зависит от многих факторов (множеств H и p), то анализ подобных систем является исключительно сложным. С другой стороны, задача формирования проектных требований к системе управления информационной безопасностью может быть поставлена и в линейном виде. Рассмотрим это на простейшем примере двухкомпонентной модели риска представленного на плоскости ( 1 ).

В частности, на основе соотношения ( 1 ) можно сформировать тривиальный критерий ранжирования рисков. Но, кроме того, можно предположить, что опираясь на соотношение ( 1 ) и понятие приемлемого риска R  R0 можно определить вероятностный критерий и его значение, задаваемое в качестве проектного требования при построении систем управления информационной безопасностью. Однако, такой вероятностный критерий не может быть установлен очевидным соотношением p  R0 H , поскольку величина H является неизвестной. Для этого применяется идея подхода, использующего так называемые «карты риска», которые позволяют «владельцам риска» задавать приемлемые уровни риска R  R0 и разделять все риски на приемлемые и неприемлемые, проведя на «картах риска» линии, соответствующие R  R0 [3, 6].

Тем не менее, следует отметить, что «карты рисков» оперируют единичными проявлениями событий и не учитывают их возможного повторного (многократного) проявления. Накопление последствий совокупности событий, каждое из которых попадает в зону приемлемых, может привести к ущербу более высокому, чем тот, который ассоциирован с каждым из составляющих рисков заданного уровня, даже без учёта такого явления, как провокация одним риском появления другого. Все это приводит к осознанию того, что уровень приемлемого риска единичного события не может быть использован в качестве корректного проектного требования к построению системы управления информационной безопасностью. Иными словами, существующие в настоящее время методики ее построения не имеют возможности трансформировать уровень приемлемого риска, задаваемый собственником, в корректные формальные требования к построению системы управления информационной безопасностью. Из этого, следует вывод о неконструктивности проектного требования к системе управления информационной безопасностью, основанного на концепте «обеспечить уровень риска не выше R0 ».

Поэтому корректное проектное требование следует сформулировать иначе, а именно так: система управления информационной безопасностью должна обеспечивать обработку потока рисковых событий с уровнями риска R  R0 и заданной вероятностью P0 появления таких событий. Для обоснования корректности такого требования необходимо показать возможность определить по заданной величине приемлемого риска R  R0 величину вероятности P0 , с которой проявляются события, ассоциированные с рисками R  R0 . Иными словами, нужно показать возможность оценивания вероятности P0 появления события с рисками 2 Формирование проектного требования к системе управления информационной безопасностью графиком которой является гипербола h  (1 p) , сдвигаемая коэффициентом r0 от начала координат (0,0) по направлению к точке с координатами ( 1,1 ) . Если наложить гиперболу h  (1 p) на единичный квадрат OACE , геометрическое место точек множества всех рисков разделяется на два подмножества (см. рис. 3), а именно: фигура OABDE определяет геометрическое место точек множества значений рисков, для которых выполняется соотношение r  r0 , а фигура BCD определяет геометрическое место точек множества значений рисков, для которых выполняется соотношение r  r0 .

1 h  r0  p , ( 3 ) Рис. 3. Геометрическое место точек множества значений рисков, разделенное гиперболой h  (1 p) В таком случае вероятность P1 того, что значение произвольного нормированного риска r не будет превышать значения заданного уровня нормированного риска r  r0 , определяется отношением площади фигуры OABDE к площади «единичного квадрата» OACE

P1  ф , ( 4 )

Sобщ где Sф - площадь фигуры OABDE , а Sобщ - площадь «единичного квадрата». Так как ранее было показано, что Sобщ  1 , то соотношении ( 4 ) принимает вид:

Таким образом, вероятность P1 того, что для произвольного риска будет выполняться условие R  R0 равна площади фигуры OABDE . Остаётся рассчитать площадь этой фигуры.

Для этого разобьём фигуру OABDE на две части (см. рис.4): часть первая – фигура OABG с площадью S1 и часть вторая – фигура GBDE с площадью S2 . Очевидно, что

S

P1  Sф .

Sф  S1  S1 Рис.4. Разбиение фигуры OABDE на две фигуры: прямоугольник OABG и фигуру GBDE ( 5 ) ( 6 ) (8) (9) Площадь S1 рассчитывается как площадь прямоугольника со сторонами OA и AB . Длина стороны OA , как было ранее обусловлено, равна 1. А длина стороны AB определяется численным значением вероятностной координаты точки B . Точка B есть точка пересечения прямой b  1 с гиперболой, определяемой соотношением ( 3 ). Тогда численное значение вероятностной координаты точки B можно определить, подставляя значение h  1 в левую часть соотношения ( 3 ): 1 1  r0  p .

Из этого соотношения следует, что численное значение вероятностной координаты p  p0 точки B есть: Тогда площадь S1 может быть выражена следующим соотношением: Рис.5. Положение графика функции P1  r0 1 lnr01  по отношению к графику функции P  r0 Из соотношения (11) следует, что вероятность P1 , с которой могут возникать нормированные риски r  r0 , почти всегда превышает значение заданной величины этого приемлемого нормированного риска r0 , за исключением единственного случая r0  1 . В этом крайнем случае ln r0  0 и соотношение (11) принимает вид P  r0 1  lnr01   1 (1  ln1)  1 (1  0)  1, 1 и это является формальным отражением того тривиального факта, что если максимальную величину ущерба H  Hmax задавать в качестве приемлемой, то тогда любые значения рисков являются допустимыми.

Во-вторых, можно определить максимальную погрешность замены вероятности P1 риском r0 (т.е. вероятностью P  r0 ), как отклонение функции, заданной соотношением (11), от линии P  r0 , взяв следующую разность:

P  P  r0 1  lnr01  r0  r0 lnr01 .

1 График функции, соответствующей такой разности, приведен на рис. 6 и из него можно непосредственно получить, что: 1) максимальное значение погрешности оценивания вероятности ненамного превышает значение 0.36 (а если точно, то оно равно 0.3678) от единицы нормированного уровня риска; 2) максимальное значение погрешности достигается в окрестности значений нормированного риска r0  0.36 ; 3) превышение уровня 10% погрешности оценивания вероятности может наблюдаться на 80% возможных значений r0 ; 4) уровень погрешности, превышающий 36% , возможен более чем на 10% всех значений r0 . Рис.6. График разности функции P1  r0 1 lnr01  и P  r0 Применение геометрического подхода к оцениванию вероятности P1 того, что произвольные значения нормированного риска r угроз безопасности информации будут попадать в зону r  r0 , дало возможность получить точную количественную оценку этой вероятности в виде формулы (11). Как следствие, установлено, что такая вероятность P1 практически всегда превышает уровень r0 . При этом в большинстве случаев это отличие достигает 30% , а более чем на 10% всех случаев различие даже слегка превышает 36% .

Благодаря этому стало возможным трансформировать субъективный показатель риск-аппетита владельца риска, отображаемый в виде приемлемого уровня риска, в формализованный вероятностный критерий, на основе которого можно сформулировать проверяемые проектные требования к построению систем управления информационной безопасностью.

For modern organizations, the time requirement is the design and use of the information security management systems. This is due to aspects such as the exclusion of unacceptable risks, the effective use of available resources, increase of awareness and handling of information security processes. Design and use of information security management systems is considered on the basis of a risk-oriented approach. As a result, the basis of a two-component risk model, which is represented on a plane. This criterion is determined by the probability and its value, as defined in the project requirements in the design of a "risk map" for information security management systems. It allows you to "risk owners" to set acceptable risk levels and share them on acceptable and unacceptable. However, "risk map" operates on single events manifestations and do not consider their possible reuse (reusable) display. It concludes unconstructive design requirements for information security management system based on the concept "to provide the level of risk that is not higher than" Therefore, the correct design requirements formulated in the context of information security management system stream processing of risk events with a given level of risk and probability of occurrence of such events. That is shown the possibility of estimating the probability of event occurrence with the risk for a given level of acceptable risk. In other words, for a given level of acceptable risk is estimated the probability of event risks. The solution to this problem is solved by the use of concepts and methods of geometric probability. The use of the geometric approach to the estimation of the probability that the arbitrary values normalized risk acceptable risk zone, has made it possible to obtain accurate quantification of this probability. Through this approach, the subjective measure of "risk owner" risk appetite that is displayed in the form of an acceptable level of risk is transformed into a formal probabilistic criterion, based on which we can formulate verifiable design requirements for the establishment of information security management systems.