Управление рисками ИБ: отдельные практические аспекты

© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 1/20

Управление рисками –профанация или реальность?

Алексей Лукацкий

Бизнес-консультант по безопасности


“Вы не можете эффективно управлять тем, что вы не можете измерить. И вы не можете измерить то, что вы не определили”


Что такое риск?

Вероятная частота и вероятная величина будущих потерь

Метод FAIR

Сочетание вероятности события и его последствий

ГОСТ Р 51901-2002

Комбинация вероятности события и его последствий

ГОСТ Р ИСО/МЭК 17799-2005

Вероятность причинения ущерба вследствие того, что определенная угроза реализуется в результате наличия определенной уязвимости

ГОСТ Р 52448-2005


Что такое риск?

Потенциальная опасность нанесения ущерба организации в результате реализации некоторой угрозы с использованием уязвимостей актива или группы активов

ГОСТ Р ИСО/МЭК 13335-1-2006

ГОСТ Р ИСО/МЭК 13569 (проект)

Состояние неопределенности, в котором некоторые возможности приводят к потерям, катастрофам или иным нежелательным результатам

Даг Хаббард


Элементы риска

Риск описывается комбинацией следующих элементов:

Тяжесть возможного ущерба (последствия)

Вероятность нанесения ущерба

Частота и продолжительность воздействия угрозы

Вероятность возникновения угрозы

Возможность избежать угрозы или ограничить ущерб от нее

Эффективность управления рисками зависит от того, сможем ли мы оценить эти элементы


Вероятность возникновения риска

Считаем самостоятельно Используем

готовую статистику

Собственная Чужая


Вероятность возникновения риска

У нас же есть отчеты CSI/FBI, E&Y, PwC, KPMG, МВД, Infowatch, Perimetrix и т.п.!

Мы не знаем условий, при которых произошел инцидент

Мы не имеем деталей по каждому респонденту

Средняя температура по больнице

Пример: риски для АСУ ТП

Небольшое число внедрений

Публичной статистики нет (базы BCIT и INL не в счет)

Статистики вендоров нет – «закрытые» технологии

Собственной статистики нет – у ИБ/ИТ не доступа к АСУ ТП

Экспертных оценок в России нет


Считаем самостоятельно

Вероятность

Уязвимость

Сила защитной

меры

Возможности нарушителя

Угроза

Наличие доступа

Действие


А оцениваем ли мы риски нарушителя?

Профиль (модель) нарушителя

Мотив (причина)

Цель

«Спонсор» (кто помогает ресурсами?)

Потенциальные возможности

Озабоченность косвенным ущербом

Приемлемый уровень риска


Оценка потерь

Анализ риска не может быть осуществлен без оценки потерь

Потеря в природе риска. Без потерь рисков не бывает

Оценка риска не имеет смысла, если мы не можем определить ценность актива, подверженного рискам

Особенности оценки потерь

Точная оценка невозможна по своей природе. Многие ее и не ждут, столкнувшись с потерями при инвестиционных, рыночных рисках…

Worst-case (самый худший случай) не имеет отношения к анализу рисков, т.к. исчезает элемент вероятности


Почему сложно считать?

Информационный актив может иметь разную ценность

В разное время, для разных аудиторий, в разных бизнес-процессах

Потери могут принимать разные формы

Одно событие может быть причиной нескольких форм потерь

Сложные взаимосвязи между разными формами потерь

Объем потерь определяется множеством факторов


Формы потерь

• Простои

• Ухудшение психологического климатаПродуктивность

• Расследование инцидента

• PR-активностьРеагирование

• Замена оборудования

• Повторный ввод информацииЗамена

• Судебные издержки, досудебное урегулирование

• Приостановление деятельностиШтрафы

• Ноу-хау, государственная, коммерческая тайна

• Отток клиентов, обгон со стороны конкурентаКонкуренты

• Гудвил

• Снижение капитализации, курса акцийРепутация


Нематериальные активы

Оценка последствий тесно увязана со стоимостью информационного актива

Рыночная стоимость

Стоимость актива в использовании

Инвестиционная стоимость

3 основных подхода оценки НМА

Затратный

Доходный

Рыночный


Качество/количество: кому доверять?

Отсутствие количественной оценки не позволяет

Оценить адекватность затрат на снижение рисков

Оценить возможность перекладывания рисков

Продемонстрировать снижение рисков

Сравнить текущий уровень с предыдущими значениями

Качественная оценка Количественная

оценка


Как считать?

AS/NZS 4360

HB 167:200X

EBIOS

ISO 27005 (ISO/IEC IS 13335-2)

MAGERIT

MARION

MEHARI

CRISAM

OCTAVE

ISO 31000

NIST SP 800-3

SOMAP

Lanifex Risk Compass

Austrian IT Security Handbook

на основе CRAMM

A&K Analysis

ISF IRAM (включая SARA, SPRINT)

OSSTMM RAV

BSI 100-3


“Анализ рисков, оценка их вероятности и тяжести последствий похожа на посещение игроками Лас-Вегаса – зал общий, а система игры у каждого своя”


Взглянем с точки зрения заказчика

Методики оценки рисков представляются интеграторами и консультантами

…которые заинтересованы в продаже своих продуктов и услуг

Признаки хорошей методики управления рисками

Она полезна для меня ? Соответствует моим требованиям к принятию решений? Получаю ли я ответы на мои вопросы?

Она логична? Она измеряет именно риски или уязвимости или меры защиты (controls)? Она оценивает частоту угроз иразмер ущерба и вероятность?

Она соответствует действительности? Интернет-банк очень часто незащищен (высокий риск); но много ли мы знаем фактов потерь вследствие этого?


Управление рисками и шаманство

Управление рисками сегодня это больше искусство, чем наука

Управление рисками похоже на шаманство

Битье в бубен, бросание костей –отсутствие рационального объяснения своего выбора и «почему это работает»

Заветы предков – Best Practices

Интуиции и опыт хороши, но…

А какой риск приемлем?..


Вопросы?

Дополнительные вопросы Вы можете задать по электронной почте [email protected]или по телефону: +7 495 961-1410

Презентация выложена на сайте http://lukatsky.blogspot.com/


Technology

Управление рисками ИБ: отдельные практические аспекты