Риски процесса анализа рисков

Риски процесса анализа рисков
Из собственных наблюдений. Весь анализ рисков (вообще -- весь, те только ИБ) можно условно поделить на Вероятностный и Мотивационный. В обоих случаях мы в какой-то момент имеем дело с такой величиной, как вероятность. Данные о вероятности наступления того или иного события (угрозы) мы черпаем из а) статистики и б) фантазии, также известной как экспертное мнение.

Так вот, в случае с вероятностным анализом рисков мы имеем дело со статистически вычисляемыми вероятностями и угрозами типа стихийное бедствие, человеческая ошибка, акт мошенничества (да-да, они в этой категории, потому что носят массовый, а следовательно статистически измеримый характер) и т.д. Когда же речь заходит о таких угрозах, как терроризм, политический активизм, общественные волнения, хакинг (вне зависимости от мотивации и цвета шляпы), статистика, несомненно, может быть одним из аргументов в анализе рисков, но, к сожалению, ее одной недостаточно. В этом случае мы имеем дело с мотивационными угрозами, предсказать и рассчитать все из которых не представляется возможным, потому что... Потому что никто не знал, что стрельнет в голове у юристов SONY и что за этим последует. Никто не знал, когда именно спонсируемые государством кибер-шпионы решат наконец, что взлом механизмов двухфакторной аутентификации, используемых большинством оборонных ведомств и контакторов стран-соперниц, это хорошая идея. И так далее, и тому подобное.

В мотивационном анализе рисков куда важнее определить не угрозы, а их источники. То есть, агентов угроз, которые могут быть мотивированы напасть на компанию. Это могут быть криминальные хакеры, конкуренты, желторотые хактивисты, недовольные клиенты и многие другие. Определившись с тем, кто может захотетьнапасть, можно приступать к оценке ресурсов и, следовательно, методов атаки, доступных потенциальным агентам угроз.

И так, кропотливо и методично, одна за другой, комбинации агентов угроз и возможных каналов атак получат отражение в отчете об анализе рисков: как слабо вероятные, но неизбежные на длинной дистанции. Отталкиваясь от полученного результата можно и аудиты заказывать, и пентесты проводить, и стратегию управления уязвимостями и инцидентами строить. А "угроза взлома: 15% в год" это не анализ рисков. Это так, подогнать СУИБ под соответствие.

Извините за многословность и спасибо за внимание.
Alt text

Если вам нравится играть в опасную игру, присоединитесь к нам - мы научим вас правилам!

Подписаться

Vlad Styran

информационно. безопасно.*