© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 1/20

Управление рисками –профанация или реальность?

Алексей Лукацкий

Бизнес-консультант по безопасности

© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 2/20

“Вы не можете эффективно управлять тем, что вы не можете измерить. И вы не можете измерить то, что вы не определили”

© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 3/20

Что такое риск?

Вероятная частота и вероятная величина будущих потерь

Метод FAIR

Сочетание вероятности события и его последствий

ГОСТ Р 51901-2002

Комбинация вероятности события и его последствий

ГОСТ Р ИСО/МЭК 17799-2005

Вероятность причинения ущерба вследствие того, что определенная угроза реализуется в результате наличия определенной уязвимости

ГОСТ Р 52448-2005

© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 4/20

Что такое риск?

Потенциальная опасность нанесения ущерба организации в результате реализации некоторой угрозы с использованием уязвимостей актива или группы активов

ГОСТ Р ИСО/МЭК 13335-1-2006

ГОСТ Р ИСО/МЭК 13569 (проект)

Состояние неопределенности, в котором некоторые возможности приводят к потерям, катастрофам или иным нежелательным результатам

Даг Хаббард

© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 5/20

Элементы риска

Риск описывается комбинацией следующих элементов:

Тяжесть возможного ущерба (последствия)

Вероятность нанесения ущерба

Частота и продолжительность воздействия угрозы

Вероятность возникновения угрозы

Возможность избежать угрозы или ограничить ущерб от нее

Эффективность управления рисками зависит от того, сможем ли мы оценить эти элементы

© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 6/20

Вероятность возникновения риска

Считаем самостоятельно Используем

готовую статистику

Собственная Чужая

© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 7/20

Вероятность возникновения риска

У нас же есть отчеты CSI/FBI, E&Y, PwC, KPMG, МВД, Infowatch, Perimetrix и т.п.!

Мы не знаем условий, при которых произошел инцидент

Мы не имеем деталей по каждому респонденту

Средняя температура по больнице

Пример: риски для АСУ ТП

Небольшое число внедрений

Публичной статистики нет (базы BCIT и INL не в счет)

Статистики вендоров нет – «закрытые» технологии

Собственной статистики нет – у ИБ/ИТ не доступа к АСУ ТП

Экспертных оценок в России нет

© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 8/20

Считаем самостоятельно

Вероятность

Уязвимость

Сила защитной

меры

Возможности нарушителя

Угроза

Наличие доступа

Действие

© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 9/20

А оцениваем ли мы риски нарушителя?

Профиль (модель) нарушителя

Мотив (причина)

Цель

«Спонсор» (кто помогает ресурсами?)

Потенциальные возможности

Озабоченность косвенным ущербом

Приемлемый уровень риска

© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 10/20

Оценка потерь

Анализ риска не может быть осуществлен без оценки потерь

Потеря в природе риска. Без потерь рисков не бывает

Оценка риска не имеет смысла, если мы не можем определить ценность актива, подверженного рискам

Особенности оценки потерь

Точная оценка невозможна по своей природе. Многие ее и не ждут, столкнувшись с потерями при инвестиционных, рыночных рисках…

Worst-case (самый худший случай) не имеет отношения к анализу рисков, т.к. исчезает элемент вероятности

© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 11/20

Почему сложно считать?

Информационный актив может иметь разную ценность

В разное время, для разных аудиторий, в разных бизнес-процессах

Потери могут принимать разные формы

Одно событие может быть причиной нескольких форм потерь

Сложные взаимосвязи между разными формами потерь

Объем потерь определяется множеством факторов

© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 12/20

Формы потерь

• Простои

• Ухудшение психологического климатаПродуктивность

• Расследование инцидента

• PR-активностьРеагирование

• Замена оборудования

• Повторный ввод информацииЗамена

• Судебные издержки, досудебное урегулирование

• Приостановление деятельностиШтрафы

• Ноу-хау, государственная, коммерческая тайна

• Отток клиентов, обгон со стороны конкурентаКонкуренты

• Гудвил

• Снижение капитализации, курса акцийРепутация

© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 13/20

Нематериальные активы

Оценка последствий тесно увязана со стоимостью информационного актива

Рыночная стоимость

Стоимость актива в использовании

Инвестиционная стоимость

3 основных подхода оценки НМА

Затратный

Доходный

Рыночный

© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 14/20

Качество/количество: кому доверять?

Отсутствие количественной оценки не позволяет

Оценить адекватность затрат на снижение рисков

Оценить возможность перекладывания рисков

Продемонстрировать снижение рисков

Сравнить текущий уровень с предыдущими значениями

Качественная оценка Количественная

оценка

© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 15/20

Как считать?

AS/NZS 4360

HB 167:200X

EBIOS

ISO 27005 (ISO/IEC IS 13335-2)

MAGERIT

MARION

MEHARI

CRISAM

OCTAVE

ISO 31000

NIST SP 800-3

SOMAP

Lanifex Risk Compass

Austrian IT Security Handbook

на основе CRAMM

A&K Analysis

ISF IRAM (включая SARA, SPRINT)

OSSTMM RAV

BSI 100-3

© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 16/20

“Анализ рисков, оценка их вероятности и тяжести последствий похожа на посещение игроками Лас-Вегаса – зал общий, а система игры у каждого своя”

© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 17/20

Взглянем с точки зрения заказчика

Методики оценки рисков представляются интеграторами и консультантами

…которые заинтересованы в продаже своих продуктов и услуг

Признаки хорошей методики управления рисками

Она полезна для меня ? Соответствует моим требованиям к принятию решений? Получаю ли я ответы на мои вопросы?

Она логична? Она измеряет именно риски или уязвимости или меры защиты (controls)? Она оценивает частоту угроз иразмер ущерба и вероятность?

Она соответствует действительности? Интернет-банк очень часто незащищен (высокий риск); но много ли мы знаем фактов потерь вследствие этого?

© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 18/20

Управление рисками и шаманство

Управление рисками сегодня это больше искусство, чем наука

Управление рисками похоже на шаманство

Битье в бубен, бросание костей –отсутствие рационального объяснения своего выбора и «почему это работает»

Заветы предков – Best Practices

Интуиции и опыт хороши, но…

А какой риск приемлем?..

© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 19/20

Вопросы?

Дополнительные вопросы Вы можете задать по электронной почте security-request@cisco.comили по телефону: +7 495 961-1410

Презентация выложена на сайте http://lukatsky.blogspot.com/

© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 20/20