Contenu connexe
Similaire à 7 cases of risk probality measurement
Similaire à 7 cases of risk probality measurement (20)
Plus de Aleksey Lukatskiy
Plus de Aleksey Lukatskiy (20)
7 cases of risk probality measurement
- 1. 7 способов оценки
вероятности риска
Алексей Лукацкий
Бизнес-консультант по безопасности
Risk measurement © 2008 Cisco Systems, Inc. All rights reserved. 1/30
- 2. “Анализ рисков, оценка их вероятности и
тяжести последствий похожа на
посещение игроками Лас-Вегаса – зал
общий, а система игры у каждого своя”
Risk measurement © 2008 Cisco Systems, Inc. All rights reserved. 2/30
- 3. Управление рисками и шаманство
Методики оценки рисков
представляются интеграторами и
консультантами
…которые заинтересованы в продаже
своих продуктов и услуг
Управление рисками сегодня это
больше искусство, чем наука
Управление рисками похоже на
шаманство
Битье в бубен, бросание костей –
отсутствие рационального объяснения
своего выбора и «почему это работает»
Risk measurement © 2008 Cisco Systems, Inc. All rights reserved. 3/30
- 4. Вероятность –
ключевой элемент
при оценке риска
Risk measurement © 2008 Cisco Systems, Inc. All rights reserved. 4/30
- 5. Что такое риск?
Вероятная частота и вероятная величина будущих
потерь
Метод FAIR
Сочетание вероятности события и его последствий
ГОСТ Р 51901.1-2002
Комбинация вероятности события и его последствий
ГОСТ Р ИСО/МЭК 17799-2005
Вероятность причинения ущерба вследствие того, что
определенная угроза реализуется в результате
наличия определенной уязвимости
ГОСТ Р 52448-2005
Risk measurement © 2008 Cisco Systems, Inc. All rights reserved. 5/30
- 6. Что такое риск?
Потенциальная опасность нанесения ущерба
организации в результате реализации некоторой
угрозы с использованием уязвимостей актива или
группы активов
ГОСТ Р ИСО/МЭК 13335-1-2006
ГОСТ Р ИСО/МЭК 13569 (проект)
Риск – сочетание вероятности нанесения ущерба и
тяжести этого ущерба
ГОСТ Р 51898-2002
Состояние неопределенности, в котором некоторые
возможности приводят к потерям, катастрофам или
иным нежелательным результатам
Даг Хаббард
Risk measurement © 2008 Cisco Systems, Inc. All rights reserved. 6/30
- 7. Что такое угроза?
Совокупность условий и факторов, создающих
потенциальную или реально существующую
опасность, связанную с утечкой информации и(или)
несанкционированными и(или)
непреднамеренными воздействиями на нее
Рекомендации ФСТЭК по защите коммерческой тайны и
КСИИ
Потенциальная причина инцидента, который может
нанести ущерб системе или организации
ГОСТ Р ИСО/МЭК 13355-1:2006, ГОСТ Р ИСО/МЭК 27002
Risk measurement © 2008 Cisco Systems, Inc. All rights reserved. 7/30
- 8. Что такое угроза?
Угрозы безопасности персональных данных -
совокупность условий и факторов, создающих
опасность несанкционированного, в том числе
случайного, доступа к персональным данным,
результатом которого может стать уничтожение,
изменение, блокирование, копирование,
распространение персональных данных, а также
иных несанкционированных действий при их
обработке в информационной системе
персональных данных
Требования ФСТЭК по защите персональных данных
Risk measurement © 2008 Cisco Systems, Inc. All rights reserved. 8/30
- 9. Что такое угроза?
Совокупность условий и факторов, создающих
потенциальную или реально существующую
опасность нарушения безопасности информации
ГОСТ 50.1.056-2005
Возможная причина нежелательного инцидента,
который может закончиться ущербом для системы
или организации
ISOIEC 13355-1:2004, ГОСТ Р ИСО/МЭК 27002
Risk measurement © 2008 Cisco Systems, Inc. All rights reserved. 9/30
- 10. Элементы риска
Риск описывается комбинацией следующих
элементов:
Тяжесть возможного ущерба (последствия)
Вероятность нанесения ущерба
Частота и продолжительность воздействия угрозы
Вероятность возникновения угрозы
Возможность избежать угрозы или ограничить ущерб от нее
Эффективность управления рисками зависит от того,
сможем ли мы оценить эти элементы
Risk measurement © 2008 Cisco Systems, Inc. All rights reserved. 10/30
- 11. Измерение
вероятности
Risk measurement © 2008 Cisco Systems, Inc. All rights reserved. 11/30
- 12. Собственная статистика (первый метод)
Историческая (статистическая) оценка позволяет на
основании данных прошлых периодов прогнозировать
будущее
Один из эффективных методов
При условии неизменности среды оценки
Необходимо наблюдение и сбор данных в течение
нескольких лет
Без наличия адекватных инструментальных средств это
непростая задача – сбор, нормализация, хранение и анализ
данных
Risk measurement © 2008 Cisco Systems, Inc. All rights reserved. 12/30
- 13. Чужие отчеты и статистика (второй метод)
У нас же есть отчеты CSI/FBI, E&Y, PwC, KPMG, МВД,
Infowatch, Perimetrix и т.п.!
Мы не знаем условий, при которых произошел инцидент
Мы не имеем деталей по каждому респонденту
Средняя температура по больнице
Ориентация на отрасль в целом, чем на конкретную компанию
Пример: риски для АСУ ТП
Небольшое число внедрений
Публичной статистики нет (базы BCIT и INL не в счет)
Статистики вендоров нет – «закрытые» технологии
Собственной статистики нет – у ИБ/ИТ не доступа к АСУ ТП
Экспертных оценок в России нет
Risk measurement © 2008 Cisco Systems, Inc. All rights reserved. 13/30
- 14. О доверии к статистике
Собираемая статистика очень сильно зависит от
используемых методов опроса, аудитории, желания
респондентов делиться информацией, масштаба
опроса и даже от того, с какой ноги встал интервьюер
Не каждая компания приглашает социологов для
осуществления опросов
Proofpoint Infowatch IDC
• 43% утечек • 5% утечек • 56% утечек
через e- через e- через e-
mail mail mail
Risk measurement © 2008 Cisco Systems, Inc. All rights reserved. 14/30
- 15. Публичные отчеты со статистикой
угроз
WhiteHat Security – Web Vulnerability Statistics
Positive Technologies – Статистика уязвимостей Web
CSI – CSI Computer Crime & Security Survey
Aberdeen Group – The 2008 Email Security Report
IBM ISS – X-Force 2009 Trend & Risk Report
Symantec – Global Internet Security Threat Report
MessageLabs – 2009 Annual Security Report
Cisco – 2009 Annual Security Report
Verizon – 2009 Data Breach Investigations Report
PwC – 2008 Information Security Breaches Survey
Risk measurement © 2008 Cisco Systems, Inc. All rights reserved. 15/30
- 16. Считаем самостоятельно (третий метод)
Сила
защитной
меры
Уязвимость
Возможности
нарушителя
Вероятность
Наличие
доступа
Угроза
Действие
Risk measurement © 2008 Cisco Systems, Inc. All rights reserved. 16/30
- 17. Сравнение с другими рисками (четвертый метод)
Сравнение/сопоставление с аналогичным риском
ГОСТ Р 51344-99
Сравнение с риском на аналогичном решении с
учетом следующих факторов
Аналогичное оборудование безопасности
Предполагаемое использование и технологии на обоих
решениях сравнимы
Опасность и элементы риска сравнимы
Технические условия сравнимы
Условия использования сравнимы
Необходимо учитывать дополнительные факторы
Например, тип защищаемой информации или потенциал
нападения
Risk measurement © 2008 Cisco Systems, Inc. All rights reserved. 17/30
- 18. Аналитика (пятый метод)
Прогнозирование с использованием аналитических
методов
«Дерево неисправностей» (Fault Tree Analysis) – диаграмма
всех возможных последствий инцидента в системе (МЭК
61025)
«Дерево событий» (Event Tree Analysis) - диаграмма всех
возможных последствий данного события
Имитационное моделирование отказов/инцидентов
В области ИБ не применяется или применяется
крайне редко
В критически важных областях
Risk measurement © 2008 Cisco Systems, Inc. All rights reserved. 18/30
- 19. Бинарная вероятность (шестой метод)
Вероятность принимается равной единице, если
угроза может быть осуществлена, и нулю – если нет
При отсутствии защитных мер
Этот подход имеет право на жизнь, но только для
небольшого количества систем и сценариев
В обычной жизни это слишком дорого
…или для угроз, которые являются очень
распространенными
Данный метод применяется в небольшом количестве
различных методик
Ключевые системы информационной инфраструктуры – ФСТЭК
Security Architecture for Enterprise (SAFE) – Cisco
Методика ФСБ по персданным
Risk measurement © 2008 Cisco Systems, Inc. All rights reserved. 19/30
- 20. Когда нет цифр?
Количественная оценка не всегда возможна из-за
Недостатка информации о системе
Недостатка информации о деятельности, подвергающейся
оценке
Отсутствии или недостатке данных об инцидентах
Влияния человеческого фактора
Нежелания заниматься измерениями
Качественная оценка требует
Четкого разъяснения всех используемых терминов
Обоснования всех классификаций частот и последствий
Понимания всех плюсов и минусов качественной
(экспертной) оценки, а также психологии восприятия риска
Risk measurement © 2008 Cisco Systems, Inc. All rights reserved. 20/30
- 21. Экспертная оценка (седьмой метод)
При отсутствии статистической/исторической
информации экспертная оценка является
единственным методов определения
частоты/вероятности реализации угроз
Эксперты ранжируют вероятность наступления
события исходя из своего опыта и знаний
анализируемой системы
Risk measurement © 2008 Cisco Systems, Inc. All rights reserved. 21/30
- 22. Достоинства/недостатки метода
Достоинства Ограничения
Простота реализации Возможность влияния на экспертное
мнение заинтересованными лицами
При оценке случайных событий принцип
«здравого смысла» неприменим
Волюнтаризм экспертов
Отсутствие достаточного количества
экспертов
Балльные оценки экспертов не
позволяют судить о количественных
соотношениях между оцениваемыми
объектами
Зависимость от квалификации эксперта
Психология восприятия риска
Risk measurement © 2008 Cisco Systems, Inc. All rights reserved. 22/30
- 23. Психология восприятия риска
Даже при наличии фактов и достаточного объема
информации об анализируемой системе у экспертов
существует сложность с восприятием риска
Безопасность основана не только на вероятности
различных рисков и эффективности различных
контрмер (реальность), но и на ощущениях
Ощущения зависят от психологических реакций на
риски и контрмеры
Чего вы больше опасаетесь – попасть в авиакатастрофу или
автоаварию?
Что вероятнее – пасть жертвой террористов или погибнуть на
дороге?
Что опаснее – низкая квалификация персонала или
Risk measurement
универсальный червь для сетевого оборудования?
© 2008 Cisco Systems, Inc. All rights reserved. 23/30
- 24. Метод Дельфи
Основной принцип: если опросить людей,
обладающих компетенцией в интересующем нас
вопросе, их усредненная оценка обычно будет точна
более чем на 80%
Если провести второй раунд, предварительно ознакомив
экспертов с результатам первого, то результативность
становится еще выше
Модификация метода: брать среднюю оценку после
отбрасывания крайних значений
Данный метод рекомендуется применять, если эксперты не
могут подкрепить свое мнение серьезными аргументами
Экспертов должно быть не менее трех, а лучше пять
Risk measurement © 2008 Cisco Systems, Inc. All rights reserved. 24/30
- 25. Метод Дельфи: пример
Эксперты Раунд 1 Раунд 2
Эксперт 1 50 55
Эксперт 2 65 60
Эксперт 3 100 80
Эксперт 4 30 50
Эксперт 5 60 60
Итого 61 / 58 61 / 58
Risk measurement © 2008 Cisco Systems, Inc. All rights reserved. 25/30
- 26. Другие методы повышения качества
экспертной оценки
Нормированные z-показатели Робина Доуза
Модель линзы Брунсвика
Когнитивные методы Руссо
Модель Раша
Регрессионные модели
Нелинейные модели
Risk measurement © 2008 Cisco Systems, Inc. All rights reserved. 26/30
- 28. “В настоящее время нельзя говорить о
правильном или неправильном методе
анализа риска. Важно, чтобы организация
пользовалась наиболее удобным и
внушающем доверие методом, приносящим
воспроизводимые результаты.”
ГОСТ Р ИСО/МЭК ТО 13335-3-2007
Presentation_ID
Risk measurement © 2006 Cisco Systems, Inc. Systems, reserved.
© 2008 Cisco All rights Inc. All rights Cisco Confidential
reserved. 28/30
- 29. Вопросы?
Дополнительные вопросы Вы можете задать по электронной
почте security-request@cisco.com
или по телефону: +7 495 961-1410
Risk measurement © 2008 Cisco Systems, Inc. All rights reserved. 29/30