17.09.2014

5 проблем управления информационной безопасностью на основе оценки рисков

Увидел рекламные материалы к одному хорошему мероприятию по ИБ (одному из двух, на которые до сих пор хожу) и вспомнил, что давно риск-ориентированный подход не полоскал. Вообще, будь он хорош – давно бы стоял на службе человечества и имел десятки реализаций под Android: тут как с шилом в мешке из поговорки или какающими евреями из анекдота, которые иначе бы кого-нибудь наняли. Но все же по пунктам.

1. Это удивительно, но до недавнего времени ведущие практики, и исо27тыщ не исключение, предлагали разбирать всю область на т.н. активы, для каждого выявлять уязвимости и оценивать последствия/вероятности их использования – это, типа, и есть риски. Фигурально говоря, берем автомобиль и давай его декомпозировать на партнамберы: вот шпилька ступицы, есть опасность сломать, шансы самопроизвольного выпадения небольшие, перегореть не может, подмена неизвестным злоумышленником на неоригинальную маловероятна, а вот шина, вероятность прокола большая, и сверхнормативного износа тоже большая, и еще кражи тоже, но хоть коррозии нулевая; а вот бензонасос... и так до конца каталога. Очевидная проблема: вся эта огромная матрица принимать реальные решения (обгонять / не обгонять, страховать / не страховать, дополнительная противоугонка / сойдет заводская, ТО у официала / да ну его) не помогает потом совершенно. Ну, может, не совершенно, но обычная обывательская рассуждалка дает результаты точно не хуже.
Так что вот такая вот засада: системный подход работает, но "низенько-низенько" (хотите – убеждайтесь сами, года два-три на это уходит), а бессистемный – шаманство. Есть там всякие хинты (какие-то риски можно найти, определив цели и анализируя причины, влияющие на их недостижение, какие-то спрогнозировать из ожидаемой модели поведения нарушителей, какие-то взять с потолка ужасно мозговым штурмом и т.п.), но все же свободное творчество, сильно зависящее от мастерства и интуиции.

2. Ментальная ловушка безопасника – определить защищаемую информацию (или даже рассортировать каким-то образом) и назвать нарушения ее свойств рисками. А это не риски! Смотрите, события обычно собираются в цепочку: «Не стоят последние патчи» - «И что?» - «Может произойти ознакомление с персданными к ним не допущенных» - «Оно у нас каждый час происходит в той или иной форме, и что?» - «А субъект, если узнает, может нажаловаться» - «И что?» - «И придет проверка» - «И что?» - «И найдет нарушения» - «И что?» - «И мы не сможем их устранить в ходе проверки» - «И что?» - «И нам выпишут предписание» - «И что?» - «И мы его почему-то не выполним» - «Странно, и что?» - «И нам присудят штраф». Вот где здесь рисковое событие для организации? Его здесь вообще нет, пожалуй, оно на следующем шаге («И нам не хватит денег заплатить аренду»). А разглашение персданных – это не риск, а возможная причина причины причины причины возникновения, да вдобавок только одна из.
Цепочка может ветвиться. Например, от предписания может отходить ветка «и опубликует на сайте, что мы нарушаем», упирающаяся в падение имиджа и отток клиентов. Или, например, от проверки ответвляется «и заметит использование радиодиапазона без разрешительных документов». Или нарушение может сразу пойти в прокуратуру для принятия мер реагирования. В таких случаях тут несколько рисков напрашивается, но все равно не заключающихся в разглашении персданных, а связанных с.

3. Смысл всей возни с рисками – в их оценивании, оно нужно для принятия решений: этот слишком мал, чтобы вкладываться в противодействие, а этот так велик, что заберем деньги из договора на проведение работ по охране труда. Это только в легенде безопасности много не бывает, реальная организация всегда вынуждена делать какой-то выбор. Чтобы сравнивать риски, нужно, чтобы они были посчитаны (в одинаковых единицах), и считаются они произведением ущерба на вероятность наступления. С ущербом все не так плохо: чаще всего просто есть вариативность (коньяк vs штраф, потеря единичных клиентов vs массовая и пр.), и это всего лишь надо рассматривать как разные рисковые сценарии, а сами-то последствия вообразимы.
С вероятностью хуже. Даже если у вас или у соседа есть статистика подобных событий в прошлом (каковая далеко не по всем рискам есть), ее обычно нельзя взять «в лоб». Скажем, в мире отмечено 100 прецедентов Stuxnet, но это не в год, а всего, и чтобы прикинуть на следующий год, это уже надо что-то вычесть и разделить, и это что-то в доступных источниках отсутствует. Опять же, это не равномерно по миру, а тяготеет к одному региону, и для «в среднем» надо какой-то поправочный коэффициент взять – какой? Но учетом последней антироссийской волны Россия – тоже не средняя, и это еще один поправочный коэффициент надо как-то экспертным путем… А сколько событий вообще прежде не происходило! Представьте, что какой-то год назад Вас бы просили оценить вероятность введения вайфая по паспортам – прикидываете разброс в оценках? Беда в том, что приблизительно оцененный риск будет сравниваться – с другими вашими рисками, с рисками, поданными другими подразделениями, и погрешность принятых на основе этого решений «мама дорогая».

4. Но предстоит оценивать еще и остаточный риск – риск после принятия контрмеры (направленной на какую-то из причин или причин причин). Часто это происходит уже и при первичной оценке, чтобы сказать, достаточно ли такой контрмеры, как предложена, а при периодической переоценке всегда. И тут недостоверность возрастает еще больше.
Знаете, на сколько (цифра!) упадет вероятность НСД от разработки правил и процедур ограничения программной среды или от сбора и хранения информации о событиях безопасности в течение установленного времени хранения? Точно знаете? Попробуйте только сказать, что не знаете, и ни в жизнь не пропихнете меру, не обоснованную с точки зрения оценки рисков. Можно отмазаться и заявить, что это не совсем мера, а условие работы другой меры (например, обнаружение инцидентов и принятие мер по предотвращению повторного возникновения), но тогда ее влияние на вероятность будущих НСД оцените-ка.

5. Новости в этих ваших интернетах каждый день читаете? Надо читать даже псаки, если это может дать повод для внепланового обновления оценки рисков. Три свежие утечки баз паролей – прекрасный повод переоценить то, что связано с вирусной активностью или осведомленностью пользователей о фишинге и, возможно, усилить меры. Вот только аяяй: времени на это не было запланировано (оно никогда заранее не запланировано), только на чтение и хватает. И на связанные с бэкдорами в программном и аппаратном обеспечении западных вендоров им. тов. Сноудена в этом году уже не нашлось, и на связанные с прекращением поддержки иностранным производителем по независящим от него санкционным причинам не нашлось, и опять как назло не находится, да?

А так остальное легко. Я, правда, иной раз задумываюсь, а есть ли остальное-то, но как посмотришь очередную презентацию – до фига.

Комментариев нет:

Отправить комментарий