Оценка (анализ, управление и пр.) рисков информационной безопасности -- одна из самых скучных тем в отрасли, которая поднимается чуть ли не на каждом семинаре/конференции/симпозиуме. Выглядит это обычно так: очень умный дядька с не менее умным видом какое-то время рассказывает теорию, опираясь на освоенную (или даже применяемую) им методику, сложность и полезность которой варьируется в зависимости от среднего IQ целевой аудитории. Причем в рассказе речь идет о том, как считать, а иногда о том, ктодолжен считать риски. И практически никогда речь не заходит о том, чтоименно считать, то есть, какие аргументы подставлять в формулы. Это, мол, каждый сам для себя решает исходя из опыта и статистики. На крайний случай, всегда можно посмотреть в справочнике Стеля .
Каждый такое не раз видел, многие уже насмотрелись. Некоторые окончательно разуверились в оценке рисков, как эффективном математическом способе обосновать бюджеты на безопасность. Между тем, идеологи IRM все не отстают от нас и настойчиво утверждают, что риск менеджмент это круто и без него построить адекватную безопасность -- не получится. Мол, и NIST, и ISO в один голос призывают нас семь раз отмерить и один отрезать: чтобы, не дай бог, не потратить на безопасность больше, чем следует.
Еще одна странная догма, старательно навязываемая идеологами. Считается, что более "зрелым" является подход, в котором удается применить методику количественной оценки рисков, то есть, грубо говоря, перевести нужды ИБ в денежный эквивалент необходимых затрат и возможных потерь. Чтобы бизнесу в лицеполубогов с верхнего этажавысшего руководства стало понятно, что нам грозит и почему существующих ресурсов не хватает. Но вот, -- о чудо! -- при виде строгих математических выкладок и ссылок на уважаемые международные институты, менеджмент совершенно не меняется в лице и полностью игнорирует очевидные, казалось бы, выводы: тратить на ИБ нужно больше.
В чем же корень проблемы?
В непонимании. В непонимании, в первую очередь, предназначения оценки рисков специалистами по безопасности.
Это все мои домыслы, конечно же, но давайте рассуждать здраво. Итак, по пунктам.
Каждый такое не раз видел, многие уже насмотрелись. Некоторые окончательно разуверились в оценке рисков, как эффективном математическом способе обосновать бюджеты на безопасность. Между тем, идеологи IRM все не отстают от нас и настойчиво утверждают, что риск менеджмент это круто и без него построить адекватную безопасность -- не получится. Мол, и NIST, и ISO в один голос призывают нас семь раз отмерить и один отрезать: чтобы, не дай бог, не потратить на безопасность больше, чем следует.
Еще одна странная догма, старательно навязываемая идеологами. Считается, что более "зрелым" является подход, в котором удается применить методику количественной оценки рисков, то есть, грубо говоря, перевести нужды ИБ в денежный эквивалент необходимых затрат и возможных потерь. Чтобы бизнесу в лице
В чем же корень проблемы?
В непонимании. В непонимании, в первую очередь, предназначения оценки рисков специалистами по безопасности.
Это все мои домыслы, конечно же, но давайте рассуждать здраво. Итак, по пунктам.
- Вам (CISO) никогда не дадут столько денег, сколько вы хотите и/или считаете нужным для обеспечения безопасности. Если не согласны и у вас имеются доказательства, я вас поздравляю и искренне завидую, как и остальные 6+ млрд. землян.
- Вам (CISO) всегда дадут столько денег, сколько есть. ИБ финансируется по остаточному принципу и обычно составляет небольшой процент от ИТ-бюджета. (Исключения составляют нужды комплаянса, но мы сейчас говорим о безопасности, ОК?)
- Все, что вы можете сделать в сложившейся ситуации, это правильно расставить приоритеты. То есть, потратить больше всего имеющихся денег на наиболее актуальные риски с внушительными последствиями. Точка.
Надеюсь, по поводу этой небольшой восточной мудрости возражений нет, поэтому идем дальше. Как в условиях бюджета $$ = CONST максимально эффективно его распределить? Вы будете удивлены, но... оценить риски! :) Причем важным результатом оценки у нас будут не количественные эквиваленты значений рисков, а их соотношения между собой. Иными словами, что более, а что менее рискованно для компании в плане ИБ. Например, есть две системы, АБС и сервер-файлопомойка, а также условные $100 на их защиту. Оцениваем, что автоматизированная банковская система нам важнее приблизительно в 4 раза, и при равнозначных показателях вероятностей угрозы получается, что на ее защиту мы потратим 80 бачей, а на файловый сервер только 20. Кто пострадал в последствие применения качественной, а не количественной методики? Неизвестно.
Итак, резюмирую. В таблице с результатами оценки рисков важны не значения в крайнем правом столбце, а список -- результат сортировки по убыванию этих значений. Вы можете потратить всю жизнь на изменение образа мышления ваших менеджеров и выбивание адекватных бюджетов, или постараться сделать все, что в ваших силах, и надеяться на лучшее.
Выбирайте.
Выбирайте.
