Анализ рисков в области информационной безопасности

Анализ рисков в области ИБ может быть качественным и количественным. Количественный анализ точнее, он позволяет получить конкретные значения рисков, но он отнимает заметно больше времени, что не всегда оправданно. Чаще всего бывает достаточно быстрого качественного анализа, задача которого — распределение факторов риска по группам. Шкала качественного анализа может различаться в разных методах оценки, но всё сводится к тому, чтобы выявить самые серьезные угрозы.

Важно различать понятия единичного и приведенного убытков. Единичный убыток — это расходы на один инцидент. Приведенный убыток учитывает количество конкретных инцидентов безопасности за некоторый промежуток времени, обычно за год. Если единичные и приведенные убытки путать, полученные результаты будут иметь мало общего с действительностью.

В задачи сотрудников подразделений ИБ входит оповещение руководства предприятий о существующих и потенциальных угрозах. Отчеты должны сопровождаться фактами, цифрами, аналитическими выкладками. Это наиболее эффективный способ довести информацию до глав организаций.

Топ-менеджеры гораздо лучше понимают бизнес-язык, поэтому сотрудникам подразделений ИБ надо научиться составлять элементарный бизнес-план. На основе данных количественного анализа рисков следует определять возможные финансовые потери, расходы на приобретение и эксплуатацию системы безопасности, а затем рассчитывать экономический эффект мероприятий. Лучше предоставлять несколько вариантов решений и составлять смету для каждого.

Качественный анализ

Существует несколько моделей качественного анализа. Все они достаточно просты. Варианты различаются лишь количеством градаций риска. Одна из самых распространенных моделей — трехступенчатая. Каждый фактор оценивается по шкале низкий — средний — высокий.

Противники данного способа считают, что трех ступеней для точного разделения рисков недостаточно, и предлагают пятиуровневую модель. Однако это не принципиально, ведь в целом любая модель анализа сводится к простейшему разделению угроз на критические и второстепенные. Трех-, пятиуровневые и прочие модели используются для наглядности.

При работе с моделями с большим числом градаций, например с пятью, у аналитиков могут возникнуть затруднения — отнести риск к пятой или к четвертой группе. Качественный анализ допускает подобные ошибки, поскольку является саморегулирующимся. Не критично, если первоначально риск необоснованно отнесли к четвертой категорию вместо пятой. Качественный метод позволяет проводить анализ за считанные минуты. Предполагается, что такая оценка рисков будет осуществляться регулярно. И уже на следующем шаге категории будут переназначены, фактор перейдет в пятую группу. Поэтому качественный анализ также называется итерационным методом.

Для примера качественного метода покажем, как работать с пятиуровневой моделью. Оцениваем все факторы риска и делим их на пять категорий. После этого исключаем из списка критические угрозы пятого уровня и анализируем оставшиеся факторы. Таким образом, расширенная пятиступенчатая модель риска сохраняет быстроту качественного анализа, но позволяет точнее определить степень угрозы. Более того, можно сразу устранить либо снизить угрозы пятой категории как наиболее опасные. А после этого заново провести анализ и опять начать работать с рисками пятой группы.

Количественный анализ

Количественный метод требует значительно больше времени, так как каждому фактору риска присваивается конкретное значение. Результаты количественного анализа могут быть более полезны для бизнес-планирования. Однако в большинстве случаев дополнительная точность не требуется или просто не стоит лишних усилий. Например, если для оценки фактора риска надо потратить четыре месяца, а решение проблемы займет только два, ресурсы используются неэффективно.

Также следует учитывать, что многие организации постоянно развиваются, изменяются. И за то время, что выполняется анализ, фактические значения рисков окажутся другими.

Перечисленные факторы говорят в пользу качественного анализа. Кроме того, эксперты считают, что, несмотря на всю свою простоту, качественный метод является весьма эффективным инструментом анализа.

Подсчет рисков

Говоря о практических аспектах анализа, нельзя не упомянуть расчет рисков. В его состав входят две величины — единичный и приведенный ущерб инцидента. Единичный ущерб (ЕУ) определяют как произведение вероятности события и номинального убытка. ЕУ дает представление о величине потерь, однако спрогнозировать убытки на некоторое время вперед трудно. Поэтому с практической точки зрения полезнее знать приведенную величину ущерба.

Приведенный ущерб (ПУ) — это произведение ЕУ и числа инцидентов за определенный период, который обычно принимают равным году. Исходя из годового прогноза, можно экстраполировать или интерполировать результат на другие промежутки времени.

Продемонстрируем разницу между ЕУ и ПУ на примере. Допустим, компания участвует в тендере из шести этапов стоимостью в 1 млн. долл. каждый и три этапа проиграла. Анализ неудач показал, что конкуренты были знакомы с предложением фирмы, поэтому смогли выставить лучшие условия. Таким образом, налицо угроза инсайдеров. В данном примере компания может потерять 1 млн. долл. Вероятность того, что инсайдеры сольют информацию, на основе исторической выборки (три случая из шести) составляет 50%. Таким образом, ЕУ равняется 500 тыс. долл.

Очевидно, фирма попытается предпринять какие-то шаги, чтобы повысить шансы на успех. При разработке контрмер необходимо точно знать ущерб. Если использовать неверное значение, результат будет некорректным. К примеру, в течение года компания участвует в шести тендерах с одинаковым призовым фондом, значит, число рисков равняется шести. И действительное значение годовых потерь ПУ равняется произведению ЕУ и числа рисков, т. е. 3 млн. долл. Пусть, на снижение риска внутренних угроз необходимо потратить 400 тыс. долл. Отдавать 400 тыс., чтобы повысить вероятность заработать 500 тыс., не всегда рационально. Зато в течение года 400 тыс. инвестиций помогут заработать не 500 тыс., а 3 млн.

Оценивая рентабельность средств защиты, нужно помнить о совокупной стоимость владения (ССВ) ими. Вернемся к рассмотренному примеру.

Как мы отметили, в компании явно существует проблема утечки информации. Возможно, права доступа плохо разграничены, пользователи используют слабые пароли, контроль доступа не осуществляется. Допустим, стоимость новых серверов и ключей доступа для работников составляет 80 тыс. долл. и 20 тыс. стоит ПО. На первый взгляд затраты на внедрение всей системы составят 100 тыс. долл., однако это только цена компонентов системы. Когда начнут собирать компоненты, настраивать и запускать комплекс, расходы значительно вырастут, потому что каждый этап требует немало сил и рабочего времени сотрудников. Наверняка снизится эффективность труда, пока персонал будет приспосабливаться к новому порядку авторизации. Кроме того, готовую систему требуется обслуживать. Поэтому общая стоимость владения новыми средствами защиты будет выше, чем цена их отдельных составляющих.

Друзья! Приглашаем вас к обсуждению. Если у вас есть своё мнение, напишите нам в комментарии.