Строим карту рисков: количественные и качественные оценки
Оценка рисков — это весы, на одной чаше которых затраты на защиту, на другой — потери от отсутствия защиты. Однако весы бывают разные. Они могут отличаться, например, механизмом работы, точностью, стоимостью, максимальным весом. Методы оценки рисков условно можно разделить на два больших класса: количественные и качественные. В информационной безопасности, как и в случае с весами, ответ на вопрос о выборе метода определяется результатом, который нужен в конкретной задаче.
Количественный анализ позволяет оценить убытки, которые организация, вероятно, понесет. В основе оценки чаще всего лежит расчет ожидаемых за год потерь (ALE, Annual Loss Expectancy), который определяется умножением частоты срабатывания риска (ARO, Annualized Rate of Occurrence) на средние потери от одного срабатывания риска (SLE, Single Loss Expectancy). Обычно это весьма глубокий анализ, иначе оценки будут неточными.
Качественная оценка представляет собой упрощенный вариант количественной оценки, при котором количественные вычисления и параметры заменяются на экспертную оценку качественных категорий. Например, «очень вероятно» / «средняя вероятность» / «маловероятно», «очень опасно» / «средняя опасность» / «не опасно». Это позволяет проводить ее на более высоком (менее детализированном) уровне, чем количественную оценку.
Hiсsuntdracones
(«здесь живут драконы», обозначение неизученной территории)
Попытки решить глобальную задачу исключительно с помощью одного или другого подхода могут иметь высокий риск получения неудовлетворительного результата по нескольким причинам.
Во-первых, в общем случае оценить ALE необходимо в отношении каждого сценария, который выглядит примерно следующим образом: нарушитель с определенными возможностями H может использовать некоторый набор уязвимостей V, чтобы на каждом из этапов атаки реализовать угрозы T, что приведет к ущербам R для активов A. Составить полный перечень пересечений и оценить каждый из параметров может быть весьма трудоемко.
Во-вторых, кроме анализа возможных сценариев атак понадобится детальная финансовая модель организации, связывающая активы и процессы. Сколько стоят репутация и интеллектуальная собственность, как на них влияют отдельные инциденты, как изменится поведение потребителей, сколько стоят простои, на сколько отложатся проекты по развитию и чем это грозит, как учесть «черных лебедей» (риски, которые срабатывают редко, но несут огромный ущерб)? Кроме того, немаловажный вопрос в источнике данных для анализа. Если смотреть на историю организации, то не всегда инциденты можно просто обнаружить и сопоставить с косвенным ущербом. Количественный анализ — это большой набор частных методов, для реализации которых могут требоваться отдельные специфические исследования.
Качественный анализ может показаться несколько более простым. В ряде случаев это адекватное упрощение, но есть риск, что обоснованность следующих из такой оценки решений может оказаться под вопросом. Главным образом вопрос в сложности перехода от качественных показателей к принятию решений, для которых нужно соизмерять затраты с эффектом.
Optimus princeps
(«лучший правитель»)
В современном мире гибкость и адаптивность играют большую роль во всех областях деятельности. Информационная безопасность — не исключение. Представим, что перед нами карта государства. С чего начать? У нас есть стратеги, специалисты по тактическим маневрам, профессиональные диверсанты, разведчики, инженеры, строители укреплений и другие полезные помощники, т. е. у нас есть большой арсенал методов решения частных задач. Вопрос заключается в определении списка и последовательности этих задач. Не исключено, кстати, что список получится весьма коротким.
Для начала нужно поработать с картой и нанести на нее ценные объекты. Что является «too big to fail»? При необходимости здесь можно провести идентификацию активов, «обзорные» обследования и частные расчеты. Далее интересуют узкие места, которыми, вероятно, воспользуется противник. Опять же это набор локальных исследований. Часть этих мест обычно уже известна. Из регулярно публикуемых отчетов по информационной безопасности, в которых приводится статистика по отраслям, можно узнать полезную информацию об уязвимых активах, популярных атаках и величине ущерба. Если объект важен, то можно попросить разведчиков или диверсантов их проверить. Объединить все подобные исследования можно с помощью качественного анализа для составления модели верхнего уровня, цель которой — указать на чем сосредоточиться дальше.
Затем следует более детальная проработка отдельных областей. Она может делаться как качественно, так и количественно. Выбор определяется тем, какой результат позволит решить конкретные задачи. Вариантов существует очень много. В общем случае для количественных вопросов чаще нужны количественные методы, но с учетом двух нюансов. Во-первых, это не касается глобальных задач, т.к. они состоят из локальных. Во-вторых, в ряде случаев ситуацию можно упростить. Например, часть рисков можно проанализировать количественно, а остальные ранжировать качественно. Как и во многих других областях, здесь работает принцип Парето, который в данном случае означает, что, скорее всего, лишь небольшая часть от общего максимально возможного объема работ даст основной результат.
«Неопределенность — это единственное, в чем можно быть уверенными» (Энтони Ма, Citigroup), и новая важная информация может появиться в любой момент. Исходя из новой информации, должны определяться следующие шаги. Где-то понадобится количественный анализ, где-то — качественный. Каждый этап может открывать что-то новое в общей картине и может серьёзно поменять следующий в части выбора методов, которые нужно будет использовать дальше. Поэтому процесс имеет смысл организовать итеративно. Регулярная ограниченная деятельность будет эффективнее редких масштабных кампаний. Если «стоять на месте» значит «двигаться назад», то в постоянно меняющейся среде реестр рисков в совокупности со степенью их проработки — это такой же живой организм, как и сама организация.
Весь процесс может оказаться довольно простым, если сделать превращение неизвестного в известное последовательностью отдельных частных задач вместо повышения уровня абстракции. Количественная и качественная оценки, будучи встроенными в общий арсенал и последовательность действий по управлению информационной безопасностью, дают нужный результат и не являются чрезмерно сложными.