Анализ рисков информационной безопасности

"Управление рисками похоже на шаманство:

и "почему это работает". А.Лукацкий

На сегодняшний день актуальна такая проблема: требуется приобрести некоторое средство защиты информации (далее - СЗИ), а определить, какое именно СЗИ подойдет лучше всего - сложно. Еще сложнее ситуация, когда целесообразность внедрения СЗИ как таковых приходится объяснять руководству. Обычно это дело сопровождается запугиванием руководства всевозможными вирусами и хакерами, злобными конкурентами и регуляторами, страшными рассказами о недовольных сотрудниках, которые навредили в такой-то организации перед собственным увольнением и т.д. Такой подход вполне действенный, но несколько... не научный. Чтобы подойти по науке, придется вспомнить о таком методе как оценка рисков информационной безопасности.

name='more'>

Рекомендации по оценке рисков приведены в нескольких документах: ГОСТ ИСО/МЭК 27005, РС БР ИББС-2.2-2009, NIST SP 800-30. То, что предложено в этих документах наиболее удобно пояснить на схеме, рассмотренной в ГОСТ 13335-1:

Согласно данной схеме, предполагается, что в организации существуют некоторые активы. В ГОСТ Р 27005их предложено делить на две большие группы - первичные активы (информация и процессы) и вторичные (все то, что эти информацию и процессы обрабатывает/обеспечивает).

Для активов характерен ряд уязвимостей (V), через которые на эти активы могут воздействовать угрозы (T). Задача средств защиты информации (S) эти уязвимости в той или иной мере закрыть, тем самым уменьшая вероятность воздействия угрозы на актив. Тем самым снизив риск (R)до величины остаточного риска (RR) Соответственно для расчета риска предполагается использование следующей формулы:

Вероятность реализации угрозы (P_T) — параметр, который должен показывать, как часто данная угроза реализуется. Если взять некоторую единицу времени (скажем сутки), то угрозу реализующуюся ежемесячно можно описать коэффициентом 0,033 (одна тридцатая), а угрозу реализующуюся раз в пять лет — коэффициентом (1/(365*5)) = 0,0005.

Вероятность воздействия угрозы на актив (P_I) — показатель, зависящий от двух факторов - вероятности уязвимости и того, насколько хорошо защитные меры эту уязвимость закрывают.

Последний параметр (W), почему-то, предлагается оценить экспертам по каким-либо шкалам (ужасные последствия, средне-ужасные последствия, допустимые последствия или что-то вроде того). Руководству по результатам оценки приносят отчет со столбиками гистограмм, по которым видно, что одни риски больше/меньше других. Руководству сообщают, что такие большие цифры, это не хорошо... а вот если мы купим вот это СЗИ, то столбик сразу станет меньше (ибо снизится P_I).

Получаем, например, следующее: СЗИ стоит 1000рублей, а уровень рисков снизятся с 17до 6. Несколько не сопоставимые цифры. И если уж приобретение и внедрение защитных средств выражается в рублях, почему-бы не попытаться то же самое сделать с рисками? Ведь в отличие от существующих методик, оценка рисков в рублях позволит рассчитать время возврата инвестиций во внедрение СЗИ и позволит говорить об их эффективности.