Просто об оценке рисков

Просто об оценке рисков
Для оценки рисков в организации необходимо провести следующие мероприятия:
  • Идентифицировать  активы
  • Оценить активы
  • Определить угрозы безопасности
  • Оценить угрозы безопасности
  • Оценить риски
  • Обработать риски
  • Принять оставшиеся риски

Идентификация активов
К активам организации могут относиться:
  • Конфиденциальная информация
  • Базы данных с конфиденциальной информацией
  • Программные средства с базами данных с конфиденциальной информацией
  • Технические средства с программными средствами с базами данных с конфиденциальной информацией

Очень напоминает инкапсуляцию в модели OSIили же… вот два петуха,
Которые будят того пастуха,
Который бранится с коровницей строгою,
Которая доит корову безрогую,
Лягнувшую старого пса без хвоста,
Который за шиворот треплет кота,
Который пугает и ловит синицу,
Которая часто ворует пшеницу,
Которая в темном чулане хранится
В доме, который построил Джек. 

К активам организации также может относиться персонал, информационная и сетевая инфраструктура, здания и сооружения, в которых происходит хранение и обработка информации.

Оценка активов
    Существует два вида оценки активов: качественная и количественная. Чаще всего вначале используется качественная оценка, состоящая из относительных определений ценности активов: низкая, средняя и высокая. Но так как для оценки рисков важнее знать «сколько нужно грамм», то на выходе риски должны быть оценены количественно. Следует соотнести качественную оценку с деньгами. Процесс перевода оценок из качественных единиц в количественные называется калибровкой шкалы рисков. Таким образом, могут получиться следующие соответствия: низкая – до $10 000, средняя – от $10 000 до $100 000, высокая – от $100 000 и выше. Количественные величины напрямую будут зависеть от величины организации. Количество делений в шкале выбирается экспертным путем.

Определение угроз безопасности
    Угрозы безопасности могут присутствовать на любом уровне иерархии, начиная от физической безопасности и заканчивая любым логическим доступом к информации. Для определения угроз безопасности рассматриваются все уровни, на которых может быть получен доступ к активам. Неспроста процессы обеспечения информационной безопасности рассматриваются как противоборство собственника и злоумышленника за контроль над информационными активами. На этом этапе разрабатывается модель угроз и нарушителей, в которой и описываются все виды угроз.

Оценка угроз безопасности
    Оценка угроз безопасности производится экспертным путем в зависимости от текущего уровня информационной безопасности и вероятности реализации угроз. Результаты оценки угроз также документируются в модели угроз и нарушителей безопасности.

Оценка рисков
    Существует много определений понятия риска информационной безопасности. В общем случае уровнем риска называют произведение ущерба на вероятность атаки.
Риск = ущерб * вероятность атаки            
    Вероятность атаки рассчитывается в зависимости от величины уязвимости, которая если присутствует, то является постоянной величиной, не подлежащей расчету и вероятности возможной угрозы.

Вероятность атаки = величина уязвимости * вероятность угрозы

Из этого следует, что:

Риск = ущерб * величина уязвимости * вероятность угрозы

    Также рассчитываются специальные показатели:

EF (exposurefactor) - процент потерь, которые возникнут вследствие реализации характерной угрозы для определенного актива.

SLE (singlelossexpectance) - потенциальная сумма (в деньгах) ущерба для компании в результате единичного факта реализации соответствующей угрозы.

SLE = EF * стоимость актива

ARO (annualizedrateofocurrence) – среднегодовая частота возникновения инцидентов. Величина, представляющая собой ожидаемую частоту реализации соответствующей угрозы в год.

ALE (annual loss expectance) – ожидаемые среднегодовые потери.

ALE = SLE * ARO

Обработка рисков
    Для обработки рисков используются следующие методы:

Уход от риска– например, отказ от незаконного вида деятельности.

Уменьшение риска– внедрение организационных и / или технических мероприятий, уменьшающих риск.

Передача риска– например, заключение договора со страховой компанией с передачей части ответственности на нее.

Принятие риска– принятие исходного или уменьшенного до приемлемой величины  в результате мероприятий риска.

Принятие остаточных рисков
    Стоит лишь отметить, что принятие остаточных рисков должен осуществить менеджмент организации, так как именно менеджмент, а вовсе не ИБ отвечает за возможные финансовые и прочие потери. Ведь, как известно, информационная безопасность не может увеличить прибыть организации, но зато может и должна снижать возможные убытки.

Привожу перевод упражнений из книги Security +
    Как профессионал в информационной безопасности, вы должны знать, как рассчитывать SLE, ALEи ARO. Даны любые 2 значения, нужно рассчитать третье.
1.      Вы работаете администратором web-сервера, прибыль от работы которого составляет  $25 000 в час. Вероятность того, что web-сервер выйдет из строя оценивается как 25 %. Сервер будет восстанавливаться в течение 3-х часов. Стоимость восстановления составит $5 000. Требуется рассчитать ALE?

SLE = $25 000 * 3 + $5 000 = $80 000
ALE = $80 000 * 0.25 = $20 000

2.      Вы администратор исследовательской фирмы и работаете только а одном проекте по сбору данных и размещении их на единственном web-сервере. Оценка каждого исследовательского проекта составляет приблизительно $100 000. В любе время нарушитель может похитить не более 90 % данных. Средняя вероятность подобных инцидентов в индустрии оценивается как 33 %. Требуется рассчитать ALE?

SLE = $100 000 * 0.9 = $90 000
ALE = $90 000 * 0.33 = $27 900

3.      Вы работаете в технической поддержке в маленькой компании. Один из наиболее частых инцидентов заключается в помощи восстановления пользователям случайно удаленных ими файлов. В среднем это случается раз в неделю. Если пользователь создает файл на сервере, а потом стирает его (около 60 % инцидентов), то это можно восстановить моментально при помощи теневой копии и редко когда данные пропадают. Если пользователь создает файл на своей рабочей станции, а потом стирает его (около 40 % инцидентов), то файл никак не может быть восстановлен и пользователю требуется приблизительно 2 часа, чтобы создать файл заново. Создание файла оценивается в $12 в час. Каким будет ALE?

SLE = $12 * 2 = $24
ARO = 52 недели * 0.4 = 20.8
ALE = $24 * 20.8 = $ 499.20
Alt text

Где кванты и ИИ становятся искусством?

На перекрестке науки и фантазии — наш канал

Подписаться

Евгений Шауро

Блог специалиста по информационной безопасности