Недавно на incidents.suбыл опубликован отчет по инцидентам ИБ за 2011 год .
База инцидентов вышла на достаточно серьезныйуровень в 850 инцидентов, который позволяет её использовать в некоторыхзадачах. Хочется надеется, что авторы ресурса incidents.su и приведенногоотчета (кроме них в России базы инцидентов ведутся компаниями Infowatch и Group-IB) планируют использоватьданную базу не только в своих целях, но и сделают достояниюобщественности.
Ведь любаязанимающаяся анализом рисков нуждается в такой базе, для проведения точныхрасчетов. Но пока нет базы, готовой кприменению.
1. Зачем такая база нужна организациипроводящей анализ рисков ИБ?
Как правило, приоценке рисков выполняются следующие мероприятия:
· составляется перечень оцениваемыхактивов (или типов активов)
· составляется перечень возможных угроз
· оценивается вероятность реализацииугрозы
· оценивается возможный ущерб отугрозы
· оцениваются риски ИБ всоответствии с выбранной методологией
Специалистпроводящий оценку рисков хочет увеличить объективность своей оценки опираясь нанекую историческую статистику.
Для этого может использоватьсябаза инцидентов по всему миру (как правило, объемная, широко охватывающая всевозможные угрозы, но для России не совсем точная, в виду отставания винформатизации на 1-2 года), которая детализируется и уточняется статистикойинцидентов по России (пока охват невелик, ввиду закрытости инцидентов в России,но по тому что опубликовано, статистика более точная) и уточняется статистикойпо инцидентам внутри самой организации (как правило в базе минимум инцидентов, ноих достоверность самая высокая).
Приведу несколькопожеланий к авторам, ведущим базу incidents.su, а так-же ведущим других базинцидентов ИБ.
2. Нужно положение о применимостибазы. В нем должно быть описано:
· инциденты связанные с какимиугрозами попадают в базу
· инциденты связанные с какимиугрозами не попадают в базу по причине отсутствия публикаций (например,инциденты по которым ущерб минимален)
· инциденты связанные с какимиугрозами не рассматриваются авторами, потому что им не интересны
· рекомендации авторов поиспользованию базы, в которых описывается как эта база дополняет или заменяетдругие базы – статистики в мире и статистике в организации.
3. Какую информацию хотелось бывидеть в базе по каждому инциденту:
· Дату инцидента (статистика поболее свежим инцидентам более достоверна)
· Источник информации об инциденте (пригодитсядля оценки достоверности информации)
· Наименование организации в которойпроизошел инцидент
· Отрасль организации в которойпроизошел инцидент (для оценки более достоверна будет выборка инцидентов посвоей отрасли)
· Качественная оценка размераорганизации по шкале “малый”, “средний”, “крупный” (некоторые инцидентыхарактерны только для крупных организаций, другие наоборот для малых)
· Текстовое описание инцидента
· Описание угрозы реализациейкоторой связан инцидент.
(Нужно дляопределения вероятности определенной угрозы. Взяв количество инцидентов в год, связанныхс определенным классом угроз – получим его вероятность.
Но для этого надоввести базовую классификацию угроз. Авторыincidents.su предложили следующие классы угроз: Утечки, DDoS, Взлом, Кража,Фишинг, Сбой, Другое.
Мне кажется данныйвариант слишком простым. Надо использовать кукую-то методологию. Например,вариант от ФСТЭК: угроза = источникугрозы + уязвимость + способ реализации угрозы + объект воздействия + типнесанкционированного воздействия
Способ реализацииугрозы – можно как раз использовать классы предложенные авторами. Объектвоздействия - тип актива. Тип несанкционированного воздействия – нарушение доступности,целосности, доступности и т.п.)
o источник угрозы
o уязвимость, которая использоваласьдля реализации угрозы
o способ реализации угроз
o объект воздействия
o тип несанкционированного воздействия
· Сумма ущерба связанного синцидентом в рублях (нужно для определения степени опасности угроз)
· Качественная оценка степени ущербапо шкале “низкий”, “средний”, “высокий” (там где не удается сразу оценить вденьгах)
· Текстовое описание ущерба, наоснове которого сделана оценка
В любом случаеавторам incidents.su хочу сказать спасибо за начинание и прошу рассматриватьданную заметку не как критику, а как возможно полезные предложения.
