Управление рисками ИБ: отдельные практические аспекты

4,155 views

Published on

Published in: Technology, Education
0 Comments
2 Likes
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total views
4,155
On SlideShare
0
From Embeds
0
Number of Embeds
1,124
Actions
Shares
0
Downloads
333
Comments
0
Likes
2
Embeds 0
No embeds

No notes for slide

Управление рисками ИБ: отдельные практические аспекты

  1. 1. Управление рисками – профанация или реальность? Алексей Лукацкий Бизнес-консультант по безопасности InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 1/20
  2. 2. “Вы не можете эффективно управлять тем, что вы не можете измерить. И вы не можете измерить то, что вы не определили” InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 2/20
  3. 3. Что такое риск?  Вероятная частота и вероятная величина будущих потерь Метод FAIR  Сочетание вероятности события и его последствий ГОСТ Р 51901-2002  Комбинация вероятности события и его последствий ГОСТ Р ИСО/МЭК 17799-2005  Вероятность причинения ущерба вследствие того, что определенная угроза реализуется в результате наличия определенной уязвимости ГОСТ Р 52448-2005 InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 3/20
  4. 4. Что такое риск?  Потенциальная опасность нанесения ущерба организации в результате реализации некоторой угрозы с использованием уязвимостей актива или группы активов ГОСТ Р ИСО/МЭК 13335-1-2006 ГОСТ Р ИСО/МЭК 13569 (проект)  Состояние неопределенности, в котором некоторые возможности приводят к потерям, катастрофам или иным нежелательным результатам Даг Хаббард InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 4/20
  5. 5. Элементы риска  Риск описывается комбинацией следующих элементов: Тяжесть возможного ущерба (последствия) Вероятность нанесения ущерба Частота и продолжительность воздействия угрозы Вероятность возникновения угрозы Возможность избежать угрозы или ограничить ущерб от нее  Эффективность управления рисками зависит от того, сможем ли мы оценить эти элементы InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 5/20
  6. 6. Вероятность возникновения риска Считаем самостоятельно Используем готовую статистику Собственная Чужая InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 6/20
  7. 7. Вероятность возникновения риска  У нас же есть отчеты CSI/FBI, E&Y, PwC, KPMG, МВД, Infowatch, Perimetrix и т.п.! Мы не знаем условий, при которых произошел инцидент Мы не имеем деталей по каждому респонденту Средняя температура по больнице  Пример: риски для АСУ ТП Небольшое число внедрений Публичной статистики нет (базы BCIT и INL не в счет) Статистики вендоров нет – «закрытые» технологии Собственной статистики нет – у ИБ/ИТ не доступа к АСУ ТП Экспертных оценок в России нет InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 7/20
  8. 8. Считаем самостоятельно Сила защитной меры Уязвимость Возможности нарушителя Вероятность Наличие доступа Угроза Действие InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 8/20
  9. 9. А оцениваем ли мы риски нарушителя?  Профиль (модель) нарушителя Мотив (причина) Цель «Спонсор» (кто помогает ресурсами?) Потенциальные возможности Озабоченность косвенным ущербом Приемлемый уровень риска InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 9/20
  10. 10. Оценка потерь  Анализ риска не может быть осуществлен без оценки потерь Потеря в природе риска. Без потерь рисков не бывает  Оценка риска не имеет смысла, если мы не можем определить ценность актива, подверженного рискам  Особенности оценки потерь Точная оценка невозможна по своей природе. Многие ее и не ждут, столкнувшись с потерями при инвестиционных, рыночных рисках… Worst-case (самый худший случай) не имеет отношения к анализу рисков, т.к. исчезает элемент вероятности InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 10/20
  11. 11. Почему сложно считать?  Информационный актив может иметь разную ценность В разное время, для разных аудиторий, в разных бизнес- процессах  Потери могут принимать разные формы  Одно событие может быть причиной нескольких форм потерь  Сложные взаимосвязи между разными формами потерь  Объем потерь определяется множеством факторов InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 11/20
  12. 12. Формы потерь • Простои Продуктивность • Ухудшение психологического климата • Расследование инцидента Реагирование • PR-активность • Замена оборудования Замена • Повторный ввод информации • Судебные издержки, досудебное урегулирование Штрафы • Приостановление деятельности • Ноу-хау, государственная, коммерческая тайна Конкуренты • Отток клиентов, обгон со стороны конкурента • Гудвил Репутация • Снижение капитализации, курса акций InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 12/20
  13. 13. Нематериальные активы  Оценка последствий тесно увязана со стоимостью информационного актива Рыночная стоимость Стоимость актива в использовании Инвестиционная стоимость  3 основных подхода оценки НМА Затратный Доходный Рыночный InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 13/20
  14. 14. Качество/количество: кому доверять? Качественная оценка Количественная оценка  Отсутствие количественной оценки не позволяет Оценить адекватность затрат на снижение рисков Оценить возможность перекладывания рисков Продемонстрировать снижение рисков Сравнить текущий уровень с предыдущими значениями InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 14/20
  15. 15. Как считать?  AS/NZS 4360  NIST SP 800-3  HB 167:200X  SOMAP  EBIOS  Lanifex Risk Compass  ISO 27005 (ISO/IEC IS  Austrian IT Security 13335-2) Handbook  MAGERIT  на основе CRAMM  MARION  A&K Analysis  MEHARI  ISF IRAM (включая SARA, SPRINT)  CRISAM  OSSTMM RAV  OCTAVE  BSI 100-3  ISO 31000 InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 15/20
  16. 16. “Анализ рисков, оценка их вероятности и тяжести последствий похожа на посещение игроками Лас-Вегаса – зал общий, а система игры у каждого своя” InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 16/20
  17. 17. Взглянем с точки зрения заказчика  Методики оценки рисков представляются интеграторами и консультантами …которые заинтересованы в продаже своих продуктов и услуг  Признаки хорошей методики управления рисками Она полезна для меня ? Соответствует моим требованиям к принятию решений? Получаю ли я ответы на мои вопросы? Она логична? Она измеряет именно риски или уязвимости или меры защиты (controls)? Она оценивает частоту угроз и размер ущерба и вероятность? Она соответствует действительности? Интернет-банк очень часто незащищен (высокий риск); но много ли мы знаем фактов потерь вследствие этого? InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 17/20
  18. 18. Управление рисками и шаманство  Управление рисками сегодня это больше искусство, чем наука  Управление рисками похоже на шаманство Битье в бубен, бросание костей – отсутствие рационального объяснения своего выбора и «почему это работает» Заветы предков – Best Practices Интуиции и опыт хороши, но…  А какой риск приемлем?.. InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 18/20
  19. 19. Вопросы? Дополнительные вопросы Вы можете задать по электронной почте security-request@cisco.com или по телефону: +7 495 961-1410 Презентация выложена на сайте http://lukatsky.blogspot.com/ InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 19/20
  20. 20. InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 20/20

×