Your SlideShare is downloading. ×
0
7 cases of risk probality measurement
7 cases of risk probality measurement
7 cases of risk probality measurement
7 cases of risk probality measurement
7 cases of risk probality measurement
7 cases of risk probality measurement
7 cases of risk probality measurement
7 cases of risk probality measurement
7 cases of risk probality measurement
7 cases of risk probality measurement
7 cases of risk probality measurement
7 cases of risk probality measurement
7 cases of risk probality measurement
7 cases of risk probality measurement
7 cases of risk probality measurement
7 cases of risk probality measurement
7 cases of risk probality measurement
7 cases of risk probality measurement
7 cases of risk probality measurement
7 cases of risk probality measurement
7 cases of risk probality measurement
7 cases of risk probality measurement
7 cases of risk probality measurement
7 cases of risk probality measurement
7 cases of risk probality measurement
7 cases of risk probality measurement
7 cases of risk probality measurement
7 cases of risk probality measurement
7 cases of risk probality measurement
7 cases of risk probality measurement
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×
Saving this for later? Get the SlideShare app to save on your phone or tablet. Read anywhere, anytime – even offline.
Text the download link to your phone
Standard text messaging rates apply

7 cases of risk probality measurement

5,020

Published on

Published in: Self Improvement
0 Comments
13 Likes
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total Views
5,020
On Slideshare
0
From Embeds
0
Number of Embeds
8
Actions
Shares
0
Downloads
0
Comments
0
Likes
13
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide

Transcript

  • 1. 7 способов оценки вероятности риска Алексей Лукацкий Бизнес-консультант по безопасности Risk measurement © 2008 Cisco Systems, Inc. All rights reserved. 1/30
  • 2. “Анализ рисков, оценка их вероятности и тяжести последствий похожа на посещение игроками Лас-Вегаса – зал общий, а система игры у каждого своя” Risk measurement © 2008 Cisco Systems, Inc. All rights reserved. 2/30
  • 3. Управление рисками и шаманство  Методики оценки рисков представляются интеграторами и консультантами …которые заинтересованы в продаже своих продуктов и услуг  Управление рисками сегодня это больше искусство, чем наука  Управление рисками похоже на шаманство Битье в бубен, бросание костей – отсутствие рационального объяснения своего выбора и «почему это работает» Risk measurement © 2008 Cisco Systems, Inc. All rights reserved. 3/30
  • 4. Вероятность – ключевой элемент при оценке риска Risk measurement © 2008 Cisco Systems, Inc. All rights reserved. 4/30
  • 5. Что такое риск?  Вероятная частота и вероятная величина будущих потерь Метод FAIR  Сочетание вероятности события и его последствий ГОСТ Р 51901.1-2002  Комбинация вероятности события и его последствий ГОСТ Р ИСО/МЭК 17799-2005  Вероятность причинения ущерба вследствие того, что определенная угроза реализуется в результате наличия определенной уязвимости ГОСТ Р 52448-2005 Risk measurement © 2008 Cisco Systems, Inc. All rights reserved. 5/30
  • 6. Что такое риск?  Потенциальная опасность нанесения ущерба организации в результате реализации некоторой угрозы с использованием уязвимостей актива или группы активов ГОСТ Р ИСО/МЭК 13335-1-2006 ГОСТ Р ИСО/МЭК 13569 (проект)  Риск – сочетание вероятности нанесения ущерба и тяжести этого ущерба ГОСТ Р 51898-2002  Состояние неопределенности, в котором некоторые возможности приводят к потерям, катастрофам или иным нежелательным результатам Даг Хаббард Risk measurement © 2008 Cisco Systems, Inc. All rights reserved. 6/30
  • 7. Что такое угроза?  Совокупность условий и факторов, создающих потенциальную или реально существующую опасность, связанную с утечкой информации и(или) несанкционированными и(или) непреднамеренными воздействиями на нее Рекомендации ФСТЭК по защите коммерческой тайны и КСИИ  Потенциальная причина инцидента, который может нанести ущерб системе или организации ГОСТ Р ИСО/МЭК 13355-1:2006, ГОСТ Р ИСО/МЭК 27002 Risk measurement © 2008 Cisco Systems, Inc. All rights reserved. 7/30
  • 8. Что такое угроза?  Угрозы безопасности персональных данных - совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий при их обработке в информационной системе персональных данных Требования ФСТЭК по защите персональных данных Risk measurement © 2008 Cisco Systems, Inc. All rights reserved. 8/30
  • 9. Что такое угроза?  Совокупность условий и факторов, создающих потенциальную или реально существующую опасность нарушения безопасности информации ГОСТ 50.1.056-2005  Возможная причина нежелательного инцидента, который может закончиться ущербом для системы или организации ISOIEC 13355-1:2004, ГОСТ Р ИСО/МЭК 27002 Risk measurement © 2008 Cisco Systems, Inc. All rights reserved. 9/30
  • 10. Элементы риска  Риск описывается комбинацией следующих элементов: Тяжесть возможного ущерба (последствия) Вероятность нанесения ущерба Частота и продолжительность воздействия угрозы Вероятность возникновения угрозы Возможность избежать угрозы или ограничить ущерб от нее  Эффективность управления рисками зависит от того, сможем ли мы оценить эти элементы Risk measurement © 2008 Cisco Systems, Inc. All rights reserved. 10/30
  • 11. Измерение вероятности Risk measurement © 2008 Cisco Systems, Inc. All rights reserved. 11/30
  • 12. Собственная статистика (первый метод)  Историческая (статистическая) оценка позволяет на основании данных прошлых периодов прогнозировать будущее  Один из эффективных методов При условии неизменности среды оценки  Необходимо наблюдение и сбор данных в течение нескольких лет Без наличия адекватных инструментальных средств это непростая задача – сбор, нормализация, хранение и анализ данных Risk measurement © 2008 Cisco Systems, Inc. All rights reserved. 12/30
  • 13. Чужие отчеты и статистика (второй метод)  У нас же есть отчеты CSI/FBI, E&Y, PwC, KPMG, МВД, Infowatch, Perimetrix и т.п.! Мы не знаем условий, при которых произошел инцидент Мы не имеем деталей по каждому респонденту Средняя температура по больнице Ориентация на отрасль в целом, чем на конкретную компанию  Пример: риски для АСУ ТП Небольшое число внедрений Публичной статистики нет (базы BCIT и INL не в счет) Статистики вендоров нет – «закрытые» технологии Собственной статистики нет – у ИБ/ИТ не доступа к АСУ ТП Экспертных оценок в России нет Risk measurement © 2008 Cisco Systems, Inc. All rights reserved. 13/30
  • 14. О доверии к статистике  Собираемая статистика очень сильно зависит от используемых методов опроса, аудитории, желания респондентов делиться информацией, масштаба опроса и даже от того, с какой ноги встал интервьюер  Не каждая компания приглашает социологов для осуществления опросов Proofpoint Infowatch IDC • 43% утечек • 5% утечек • 56% утечек через e- через e- через e- mail mail mail Risk measurement © 2008 Cisco Systems, Inc. All rights reserved. 14/30
  • 15. Публичные отчеты со статистикой угроз  WhiteHat Security – Web Vulnerability Statistics  Positive Technologies – Статистика уязвимостей Web  CSI – CSI Computer Crime & Security Survey  Aberdeen Group – The 2008 Email Security Report  IBM ISS – X-Force 2009 Trend & Risk Report  Symantec – Global Internet Security Threat Report  MessageLabs – 2009 Annual Security Report  Cisco – 2009 Annual Security Report  Verizon – 2009 Data Breach Investigations Report  PwC – 2008 Information Security Breaches Survey Risk measurement © 2008 Cisco Systems, Inc. All rights reserved. 15/30
  • 16. Считаем самостоятельно (третий метод) Сила защитной меры Уязвимость Возможности нарушителя Вероятность Наличие доступа Угроза Действие Risk measurement © 2008 Cisco Systems, Inc. All rights reserved. 16/30
  • 17. Сравнение с другими рисками (четвертый метод)  Сравнение/сопоставление с аналогичным риском ГОСТ Р 51344-99  Сравнение с риском на аналогичном решении с учетом следующих факторов Аналогичное оборудование безопасности Предполагаемое использование и технологии на обоих решениях сравнимы Опасность и элементы риска сравнимы Технические условия сравнимы Условия использования сравнимы  Необходимо учитывать дополнительные факторы Например, тип защищаемой информации или потенциал нападения Risk measurement © 2008 Cisco Systems, Inc. All rights reserved. 17/30
  • 18. Аналитика (пятый метод)  Прогнозирование с использованием аналитических методов «Дерево неисправностей» (Fault Tree Analysis) – диаграмма всех возможных последствий инцидента в системе (МЭК 61025) «Дерево событий» (Event Tree Analysis) - диаграмма всех возможных последствий данного события Имитационное моделирование отказов/инцидентов  В области ИБ не применяется или применяется крайне редко В критически важных областях Risk measurement © 2008 Cisco Systems, Inc. All rights reserved. 18/30
  • 19. Бинарная вероятность (шестой метод)  Вероятность принимается равной единице, если угроза может быть осуществлена, и нулю – если нет При отсутствии защитных мер  Этот подход имеет право на жизнь, но только для небольшого количества систем и сценариев В обычной жизни это слишком дорого  …или для угроз, которые являются очень распространенными  Данный метод применяется в небольшом количестве различных методик Ключевые системы информационной инфраструктуры – ФСТЭК Security Architecture for Enterprise (SAFE) – Cisco Методика ФСБ по персданным Risk measurement © 2008 Cisco Systems, Inc. All rights reserved. 19/30
  • 20. Когда нет цифр?  Количественная оценка не всегда возможна из-за Недостатка информации о системе Недостатка информации о деятельности, подвергающейся оценке Отсутствии или недостатке данных об инцидентах Влияния человеческого фактора Нежелания заниматься измерениями  Качественная оценка требует Четкого разъяснения всех используемых терминов Обоснования всех классификаций частот и последствий Понимания всех плюсов и минусов качественной (экспертной) оценки, а также психологии восприятия риска Risk measurement © 2008 Cisco Systems, Inc. All rights reserved. 20/30
  • 21. Экспертная оценка (седьмой метод)  При отсутствии статистической/исторической информации экспертная оценка является единственным методов определения частоты/вероятности реализации угроз  Эксперты ранжируют вероятность наступления события исходя из своего опыта и знаний анализируемой системы Risk measurement © 2008 Cisco Systems, Inc. All rights reserved. 21/30
  • 22. Достоинства/недостатки метода Достоинства Ограничения Простота реализации Возможность влияния на экспертное мнение заинтересованными лицами При оценке случайных событий принцип «здравого смысла» неприменим Волюнтаризм экспертов Отсутствие достаточного количества экспертов Балльные оценки экспертов не позволяют судить о количественных соотношениях между оцениваемыми объектами Зависимость от квалификации эксперта Психология восприятия риска Risk measurement © 2008 Cisco Systems, Inc. All rights reserved. 22/30
  • 23. Психология восприятия риска  Даже при наличии фактов и достаточного объема информации об анализируемой системе у экспертов существует сложность с восприятием риска  Безопасность основана не только на вероятности различных рисков и эффективности различных контрмер (реальность), но и на ощущениях  Ощущения зависят от психологических реакций на риски и контрмеры Чего вы больше опасаетесь – попасть в авиакатастрофу или автоаварию? Что вероятнее – пасть жертвой террористов или погибнуть на дороге? Что опаснее – низкая квалификация персонала или Risk measurement универсальный червь для сетевого оборудования? © 2008 Cisco Systems, Inc. All rights reserved. 23/30
  • 24. Метод Дельфи  Основной принцип: если опросить людей, обладающих компетенцией в интересующем нас вопросе, их усредненная оценка обычно будет точна более чем на 80% Если провести второй раунд, предварительно ознакомив экспертов с результатам первого, то результативность становится еще выше  Модификация метода: брать среднюю оценку после отбрасывания крайних значений Данный метод рекомендуется применять, если эксперты не могут подкрепить свое мнение серьезными аргументами  Экспертов должно быть не менее трех, а лучше пять Risk measurement © 2008 Cisco Systems, Inc. All rights reserved. 24/30
  • 25. Метод Дельфи: пример Эксперты Раунд 1 Раунд 2 Эксперт 1 50 55 Эксперт 2 65 60 Эксперт 3 100 80 Эксперт 4 30 50 Эксперт 5 60 60 Итого 61 / 58 61 / 58 Risk measurement © 2008 Cisco Systems, Inc. All rights reserved. 25/30
  • 26. Другие методы повышения качества экспертной оценки  Нормированные z-показатели Робина Доуза  Модель линзы Брунсвика  Когнитивные методы Руссо  Модель Раша  Регрессионные модели  Нелинейные модели Risk measurement © 2008 Cisco Systems, Inc. All rights reserved. 26/30
  • 27. Заключение Risk measurement © 2008 Cisco Systems, Inc. All rights reserved. 27/30
  • 28. “В настоящее время нельзя говорить о правильном или неправильном методе анализа риска. Важно, чтобы организация пользовалась наиболее удобным и внушающем доверие методом, приносящим воспроизводимые результаты.” ГОСТ Р ИСО/МЭК ТО 13335-3-2007 Presentation_ID Risk measurement © 2006 Cisco Systems, Inc. Systems, reserved. © 2008 Cisco All rights Inc. All rights Cisco Confidential reserved. 28/30
  • 29. Вопросы? Дополнительные вопросы Вы можете задать по электронной почте security-request@cisco.com или по телефону: +7 495 961-1410 Risk measurement © 2008 Cisco Systems, Inc. All rights reserved. 29/30
  • 30. Risk measurement © 2008 Cisco Systems, Inc. All rights reserved. 30/30

×