Upload
alexey-lukatsky
View
3.522
Download
2
Embed Size (px)
DESCRIPTION
Citation preview
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 1/20
Управление рисками –профанация или реальность?
Алексей Лукацкий
Бизнес-консультант по безопасности
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 2/20
“Вы не можете эффективно управлять тем, что вы не можете измерить. И вы не можете измерить то, что вы не определили”
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 3/20
Что такое риск?
Вероятная частота и вероятная величина будущих потерь
Метод FAIR
Сочетание вероятности события и его последствий
ГОСТ Р 51901-2002
Комбинация вероятности события и его последствий
ГОСТ Р ИСО/МЭК 17799-2005
Вероятность причинения ущерба вследствие того, что определенная угроза реализуется в результате наличия определенной уязвимости
ГОСТ Р 52448-2005
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 4/20
Что такое риск?
Потенциальная опасность нанесения ущерба организации в результате реализации некоторой угрозы с использованием уязвимостей актива или группы активов
ГОСТ Р ИСО/МЭК 13335-1-2006
ГОСТ Р ИСО/МЭК 13569 (проект)
Состояние неопределенности, в котором некоторые возможности приводят к потерям, катастрофам или иным нежелательным результатам
Даг Хаббард
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 5/20
Элементы риска
Риск описывается комбинацией следующих элементов:
Тяжесть возможного ущерба (последствия)
Вероятность нанесения ущерба
Частота и продолжительность воздействия угрозы
Вероятность возникновения угрозы
Возможность избежать угрозы или ограничить ущерб от нее
Эффективность управления рисками зависит от того, сможем ли мы оценить эти элементы
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 6/20
Вероятность возникновения риска
Считаем самостоятельно Используем
готовую статистику
Собственная Чужая
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 7/20
Вероятность возникновения риска
У нас же есть отчеты CSI/FBI, E&Y, PwC, KPMG, МВД, Infowatch, Perimetrix и т.п.!
Мы не знаем условий, при которых произошел инцидент
Мы не имеем деталей по каждому респонденту
Средняя температура по больнице
Пример: риски для АСУ ТП
Небольшое число внедрений
Публичной статистики нет (базы BCIT и INL не в счет)
Статистики вендоров нет – «закрытые» технологии
Собственной статистики нет – у ИБ/ИТ не доступа к АСУ ТП
Экспертных оценок в России нет
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 8/20
Считаем самостоятельно
Вероятность
Уязвимость
Сила защитной
меры
Возможности нарушителя
Угроза
Наличие доступа
Действие
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 9/20
А оцениваем ли мы риски нарушителя?
Профиль (модель) нарушителя
Мотив (причина)
Цель
«Спонсор» (кто помогает ресурсами?)
Потенциальные возможности
Озабоченность косвенным ущербом
Приемлемый уровень риска
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 10/20
Оценка потерь
Анализ риска не может быть осуществлен без оценки потерь
Потеря в природе риска. Без потерь рисков не бывает
Оценка риска не имеет смысла, если мы не можем определить ценность актива, подверженного рискам
Особенности оценки потерь
Точная оценка невозможна по своей природе. Многие ее и не ждут, столкнувшись с потерями при инвестиционных, рыночных рисках…
Worst-case (самый худший случай) не имеет отношения к анализу рисков, т.к. исчезает элемент вероятности
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 11/20
Почему сложно считать?
Информационный актив может иметь разную ценность
В разное время, для разных аудиторий, в разных бизнес-процессах
Потери могут принимать разные формы
Одно событие может быть причиной нескольких форм потерь
Сложные взаимосвязи между разными формами потерь
Объем потерь определяется множеством факторов
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 12/20
Формы потерь
• Простои
• Ухудшение психологического климатаПродуктивность
• Расследование инцидента
• PR-активностьРеагирование
• Замена оборудования
• Повторный ввод информацииЗамена
• Судебные издержки, досудебное урегулирование
• Приостановление деятельностиШтрафы
• Ноу-хау, государственная, коммерческая тайна
• Отток клиентов, обгон со стороны конкурентаКонкуренты
• Гудвил
• Снижение капитализации, курса акцийРепутация
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 13/20
Нематериальные активы
Оценка последствий тесно увязана со стоимостью информационного актива
Рыночная стоимость
Стоимость актива в использовании
Инвестиционная стоимость
3 основных подхода оценки НМА
Затратный
Доходный
Рыночный
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 14/20
Качество/количество: кому доверять?
Отсутствие количественной оценки не позволяет
Оценить адекватность затрат на снижение рисков
Оценить возможность перекладывания рисков
Продемонстрировать снижение рисков
Сравнить текущий уровень с предыдущими значениями
Качественная оценка Количественная
оценка
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 15/20
Как считать?
AS/NZS 4360
HB 167:200X
EBIOS
ISO 27005 (ISO/IEC IS 13335-2)
MAGERIT
MARION
MEHARI
CRISAM
OCTAVE
ISO 31000
NIST SP 800-3
SOMAP
Lanifex Risk Compass
Austrian IT Security Handbook
на основе CRAMM
A&K Analysis
ISF IRAM (включая SARA, SPRINT)
OSSTMM RAV
BSI 100-3
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 16/20
“Анализ рисков, оценка их вероятности и тяжести последствий похожа на посещение игроками Лас-Вегаса – зал общий, а система игры у каждого своя”
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 17/20
Взглянем с точки зрения заказчика
Методики оценки рисков представляются интеграторами и консультантами
…которые заинтересованы в продаже своих продуктов и услуг
Признаки хорошей методики управления рисками
Она полезна для меня ? Соответствует моим требованиям к принятию решений? Получаю ли я ответы на мои вопросы?
Она логична? Она измеряет именно риски или уязвимости или меры защиты (controls)? Она оценивает частоту угроз иразмер ущерба и вероятность?
Она соответствует действительности? Интернет-банк очень часто незащищен (высокий риск); но много ли мы знаем фактов потерь вследствие этого?
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 18/20
Управление рисками и шаманство
Управление рисками сегодня это больше искусство, чем наука
Управление рисками похоже на шаманство
Битье в бубен, бросание костей –отсутствие рационального объяснения своего выбора и «почему это работает»
Заветы предков – Best Practices
Интуиции и опыт хороши, но…
А какой риск приемлем?..
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 19/20
Вопросы?
Дополнительные вопросы Вы можете задать по электронной почте [email protected]или по телефону: +7 495 961-1410
Презентация выложена на сайте http://lukatsky.blogspot.com/
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 20/20