Вместо вступления
Друзья, эта статья — крик души еще со студенческой скамьи. Нас много учили (целых 4 года) и все время твердили: риски, риски, риски. Но ни разу не показали, как их считать. В этой статье хотелось бы ответить на вопрос «КАК?» Полагаю, что данная статья может быть полезной студентам, которые хотели бы понять, как на базовом уровне можно получать количественные значения при оценке рисков. Информация, собранная в этой статье, также подходит для начинающих аудиторов и консультантов в области информационной безопасности.
Управляем рисками
Что понимается под управлением рисками в бизнесе? Не более, чем механизм или набор инструментов для предотвращения ущерба в случае возникновения внутренней или внешней угрозы.
А теперь вопрос: как ими управлять? Как воздействовать на риск так чтобы его нейтрализовать? Перед ответом было бы логично сослаться на те самые «документы…» :)
Перечислю (без воды) наиболее значимые стандарты и технологии (без воды) для оценки рисков (их чтение очень полезно при подготовке курсовых и ВКР).
— международный стандарт ISO/IEC 27005. В стандарте определяется общий подход к менеджменту рисков ИБ;
— международный стандарт ISO/IEC 31010. В данном документе определены методики оценки рисков от самых простых до самых трудоемких с многочисленными критериями.
Из технологий управления рисками могу подчеркнуть:
— FRAM — Facilitated Risk Analysis Process;
— CRAMM — CCTA Risk Analysis and Management Method) (рекомендую ознакомиться);
— MSAT — Microsoft Security Assessment Tools;
— OCTAVE — Operationally Critical Threat, Asset and Vulnerability Evaluation;
Как и обещал — без воды. Во всех документах и лучших практиках содержатся примерно похожие картины с точки зрения риск менеджмента. И сказать, что что-то неправильно — неправильно. Разные методики пишутся для систем с различными уровнями критичности, каждому — своё.
Так как ими управлять? Ведь подзаголовок подразумевает, что лично мы будем у штурвала. Давайте рассмотрим процесс управления риском на одном простом примере: скажем, что сейчас зима (на момент написания статьи это актуально) и что у нас есть автомобиль BMW X6, на котором мы собираемся развозить заказы клиентам компании.
Стандарты говорят «проведите анализ рисков», который включает в себя: идентификацию ресурсов, идентификацию требований к ресурсам, оценивание ресурсов, оценку ресурсов, идентификацию угроз и уязвимостей.
Предлагаю идти по этапам:
— идентификация ресурсов — автомобиль (понятное дело, что ресурсов намного больше; например, может пролиться кофе на iPhone X, и в этом случае мы потеряем сумму денег, равную стакану кофе, но не будем вдаваться в подробности);
— идентификация требований к ресурсам — логично, что у автомобиля должны быть 4 колеса, рабочая ходовая часть, электроника и т.д. Всё должно работать, причём параллельно;
— оценивание ресурсов — в среднем, BMW X6 стоит 5 млн. рублей;
— идентификация угроз и уязвимостей — другая машина, гололёд, град, природная катастрофа и т.д.
— оценка вероятности уязвимостей. Например, с какой вероятностью машина может быть украдена? Или попадет в аварию?
После поэтапного разбора, стало очевидно, что анализ рисков не так уж и сложен. Далее — оценивание рисков. Сюда обычно включают вычисление риска и оценивание его риска по шкале.
Предлагаю подсчитать (хочу предупредить, что математик из меня все равно, что Эйнштейн:).
— Итак, предположим, что на улице Пушкина есть 100 машин. С какой вероятностью столкнутся 2 случайные машины? Рискну предположить — 0,02 (вероятность аварии с 2мя участниками) — вычисление риска.
— оценивание риска по шкале означает лично для меня, что есть некоторое эталонное значение. Скажем, если вероятность возникновения неблагоприятного события 30% и более, то тогда мы так не поступаем. То есть, на этом этапе задаем себе вопрос: а стоит ли так рисковать?
На горячее — обработка риска, включающая выбор мер и их осуществление. В нашем примере — это страховка автомобиля от всего, что только может быть.
И главное, десертное замечание — всегда есть процесс измерения остаточного риска. Что бы Вы не сделали? Какую бы Вы сумму денег не заплатили за страховку, всегда есть риск, что Вы окажитесь неправы и риск возьми верх.
Уважаемый читатель, мы не закончили! Что теперь мы можем сделать с нашими иРИСКАМИ? Уменьшить, передать, принять, отказаться. Как это понимать? Рассмотрим на том же примере. Как уже говорилось ранее, на улице зима: снег, гололёд; а нам надо работать на ней. Что мы можем сделать? Очевидно, что мы можем не поехать на машине, а отдать предпочтение общественному транспорту (отказ от риска). Можно купить новую дорогую резину, поменять тормозные колодки и т.д.(уменьшение риска). Что делать, если денег нет, и добраться на общественном транспорте туда, куда нам нужно — невозможно? Тогда мы можем только понадеяться, что аварии не случится (таким образом, мы приняли риск). Наконец, тот классический способ, о котором мы говорили ранее, — страховка автомобиля (т.е. передача части риска 3им лицам).
Спустя 3 страницы введения, можем приступить к некоторым формулам, которые приведут нас к числам в конечном итоге. В мире рисков приняты следующие обозначения:
— EF (Exposure Factor) — характеристика, определяющая, какая часть актива будет утеряна в случае реализации угрозы ИБ;
— SLE (Single Loss Expectancy) — единоразовые ожидаемые потери;
SLE = AV(Asset Value — стоимость актива)*EF
— ARO (Annualized Rate of Occurence) — количество реализации угроз ИБ ежегодно.
— ALE (Annualized Loss Expectancy) — среднегодовая потеря от реализации всех угроз ИБ ежегодно.
ALE = SLE*ARO
Честно говоря, именно эти формулы были целью этой статьи. Понятно, что это все — азы, но пониманию процесса поспособствует.
Кульминацией, как Вы могли догадаться, будет решение задачи.
BMW X6 стоит 5 млн. рублей. Раз в неделю водитель рискует попасть в аварию средней тяжести и потерять 30% оборудования машины без возможности их восстановления (только покупка аналогичных деталей). Подсчитать ALE.
EF — 30% актива будет потеряно в случае аварии.
SLE = 30% от 5 000 000 = 1 500 000.
ARO = 52 (недели в году)
ALE = 1 500 000 * 52 = 78 000 000 рублей. Именно такой суммой рискует водитель ежегодно.
Вместо заключения!
Собственно, всё! Больше не буду добавлять ничего к вышесказанному. Прошу не судить строго. Я работаю в области ИБ, но с подсчетом рисков никак не связан, я всего лишь удовлетворил интерес, преследующий меня с университета. Всем хорошего дня и много удачи! Спасибо за уделенное время и внимание!
Друзья, эта статья — крик души еще со студенческой скамьи. Нас много учили (целых 4 года) и все время твердили: риски, риски, риски. Но ни разу не показали, как их считать. В этой статье хотелось бы ответить на вопрос «КАК?» Полагаю, что данная статья может быть полезной студентам, которые хотели бы понять, как на базовом уровне можно получать количественные значения при оценке рисков. Информация, собранная в этой статье, также подходит для начинающих аудиторов и консультантов в области информационной безопасности.
Управляем рисками
Что понимается под управлением рисками в бизнесе? Не более, чем механизм или набор инструментов для предотвращения ущерба в случае возникновения внутренней или внешней угрозы.
А теперь вопрос: как ими управлять? Как воздействовать на риск так чтобы его нейтрализовать? Перед ответом было бы логично сослаться на те самые «документы…» :)
Перечислю (без воды) наиболее значимые стандарты и технологии (без воды) для оценки рисков (их чтение очень полезно при подготовке курсовых и ВКР).
— международный стандарт ISO/IEC 27005. В стандарте определяется общий подход к менеджменту рисков ИБ;
— международный стандарт ISO/IEC 31010. В данном документе определены методики оценки рисков от самых простых до самых трудоемких с многочисленными критериями.
Из технологий управления рисками могу подчеркнуть:
— FRAM — Facilitated Risk Analysis Process;
— CRAMM — CCTA Risk Analysis and Management Method) (рекомендую ознакомиться);
— MSAT — Microsoft Security Assessment Tools;
— OCTAVE — Operationally Critical Threat, Asset and Vulnerability Evaluation;
Как и обещал — без воды. Во всех документах и лучших практиках содержатся примерно похожие картины с точки зрения риск менеджмента. И сказать, что что-то неправильно — неправильно. Разные методики пишутся для систем с различными уровнями критичности, каждому — своё.
Так как ими управлять? Ведь подзаголовок подразумевает, что лично мы будем у штурвала. Давайте рассмотрим процесс управления риском на одном простом примере: скажем, что сейчас зима (на момент написания статьи это актуально) и что у нас есть автомобиль BMW X6, на котором мы собираемся развозить заказы клиентам компании.
Стандарты говорят «проведите анализ рисков», который включает в себя: идентификацию ресурсов, идентификацию требований к ресурсам, оценивание ресурсов, оценку ресурсов, идентификацию угроз и уязвимостей.
Предлагаю идти по этапам:
— идентификация ресурсов — автомобиль (понятное дело, что ресурсов намного больше; например, может пролиться кофе на iPhone X, и в этом случае мы потеряем сумму денег, равную стакану кофе, но не будем вдаваться в подробности);
— идентификация требований к ресурсам — логично, что у автомобиля должны быть 4 колеса, рабочая ходовая часть, электроника и т.д. Всё должно работать, причём параллельно;
— оценивание ресурсов — в среднем, BMW X6 стоит 5 млн. рублей;
— идентификация угроз и уязвимостей — другая машина, гололёд, град, природная катастрофа и т.д.
— оценка вероятности уязвимостей. Например, с какой вероятностью машина может быть украдена? Или попадет в аварию?
После поэтапного разбора, стало очевидно, что анализ рисков не так уж и сложен. Далее — оценивание рисков. Сюда обычно включают вычисление риска и оценивание его риска по шкале.
Предлагаю подсчитать (хочу предупредить, что математик из меня все равно, что Эйнштейн:).
— Итак, предположим, что на улице Пушкина есть 100 машин. С какой вероятностью столкнутся 2 случайные машины? Рискну предположить — 0,02 (вероятность аварии с 2мя участниками) — вычисление риска.
— оценивание риска по шкале означает лично для меня, что есть некоторое эталонное значение. Скажем, если вероятность возникновения неблагоприятного события 30% и более, то тогда мы так не поступаем. То есть, на этом этапе задаем себе вопрос: а стоит ли так рисковать?
На горячее — обработка риска, включающая выбор мер и их осуществление. В нашем примере — это страховка автомобиля от всего, что только может быть.
И главное, десертное замечание — всегда есть процесс измерения остаточного риска. Что бы Вы не сделали? Какую бы Вы сумму денег не заплатили за страховку, всегда есть риск, что Вы окажитесь неправы и риск возьми верх.
Уважаемый читатель, мы не закончили! Что теперь мы можем сделать с нашими иРИСКАМИ? Уменьшить, передать, принять, отказаться. Как это понимать? Рассмотрим на том же примере. Как уже говорилось ранее, на улице зима: снег, гололёд; а нам надо работать на ней. Что мы можем сделать? Очевидно, что мы можем не поехать на машине, а отдать предпочтение общественному транспорту (отказ от риска). Можно купить новую дорогую резину, поменять тормозные колодки и т.д.(уменьшение риска). Что делать, если денег нет, и добраться на общественном транспорте туда, куда нам нужно — невозможно? Тогда мы можем только понадеяться, что аварии не случится (таким образом, мы приняли риск). Наконец, тот классический способ, о котором мы говорили ранее, — страховка автомобиля (т.е. передача части риска 3им лицам).
Спустя 3 страницы введения, можем приступить к некоторым формулам, которые приведут нас к числам в конечном итоге. В мире рисков приняты следующие обозначения:
— EF (Exposure Factor) — характеристика, определяющая, какая часть актива будет утеряна в случае реализации угрозы ИБ;
— SLE (Single Loss Expectancy) — единоразовые ожидаемые потери;
SLE = AV(Asset Value — стоимость актива)*EF
— ARO (Annualized Rate of Occurence) — количество реализации угроз ИБ ежегодно.
— ALE (Annualized Loss Expectancy) — среднегодовая потеря от реализации всех угроз ИБ ежегодно.
ALE = SLE*ARO
Честно говоря, именно эти формулы были целью этой статьи. Понятно, что это все — азы, но пониманию процесса поспособствует.
Кульминацией, как Вы могли догадаться, будет решение задачи.
BMW X6 стоит 5 млн. рублей. Раз в неделю водитель рискует попасть в аварию средней тяжести и потерять 30% оборудования машины без возможности их восстановления (только покупка аналогичных деталей). Подсчитать ALE.
EF — 30% актива будет потеряно в случае аварии.
SLE = 30% от 5 000 000 = 1 500 000.
ARO = 52 (недели в году)
ALE = 1 500 000 * 52 = 78 000 000 рублей. Именно такой суммой рискует водитель ежегодно.
Вместо заключения!
Собственно, всё! Больше не буду добавлять ничего к вышесказанному. Прошу не судить строго. Я работаю в области ИБ, но с подсчетом рисков никак не связан, я всего лишь удовлетворил интерес, преследующий меня с университета. Всем хорошего дня и много удачи! Спасибо за уделенное время и внимание!