Как оценить риски в кибербезопасности. Лучшие инструменты и практики - Ричард Сирсен

влияние которых нас интересует, и к их сумме применяется процедура построения кривой вероятности превышения потерь. Может показаться, что достаточно было бы просто взять отдельно составленные таблицы, такие как табл. 3.3, сложить количество значений, подпадающих под условия соответствующей ячейки с расчетом процента, и получилась бы обобщенная кривая. Но нет, полученные результаты будут неверны, за исключением случаев, когда риски идеально коррелируют (опустим подробности, почему так происходит, но, немного поэкспериментировав, вы сами в этом убедитесь, если захотите увидеть разницу между двумя процессами).

Придерживаясь этого метода, можно увидеть риски системы при нескольких уязвимостях, риски структурного подразделения от нескольких систем и риски в масштабах предприятия для всех структурных подразделений.

Откуда берется кривая рискоустойчивости?

В идеале информация для кривой рискоустойчивости собирается на встрече с руководителями, обладающими компетенцией заявлять, насколько большой риск организация готова принять в соответствии с ее политикой. Хаббарду доводилось формировать кривые рискоустойчивости различных типов (кривая вероятности превышения потерь – лишь один из видов количественной оценки рискоустойчивости) для множества организаций, в том числе с целью определения рискоустойчивости ряда приложений обеспечения кибербезопасности. Такая встреча обычно длится около полутора часов. Предполагается, что в ходе нее вы просто объясняете саму концепцию руководству, а затем просите их установить несколько точек на кривой. Также в процессе необходимо определить, какая именно кривая рискоустойчивости вас интересует (например, ежегодный риск для отдельной системы, риск на десятилетие для всего предприятия и т. д.). Как только суть дела объяснена, можно начинать задавать вопросы, оттолкнувшись от какой-то произвольной точки.

Аналитик: Согласны ли вы принять вероятность десять процентов того, что в год из-за рисков кибербезопасности убытки составят более пяти миллионов долларов?

Руководитель: По-моему, лучше бы обойтись вообще без рисков.

Аналитик: По-моему, тоже, но сейчас вы уже рискуете во многих областях. Очевидно, что, сколько ни вкладывай в снижение рисков, полностью они не исчезнут.

Руководитель: Верно. Полагаю, я могу согласиться с вероятностью десять процентов, что убытки составят пять миллионов долларов или более.

Аналитик: Как насчет вероятности двадцать процентов потерять более пяти миллионов долларов в год?

Руководитель: Кажется, это перебор. Давайте остановимся на десяти процентах.

Аналитик: Отлично, тогда десять процентов. Итак, какую вероятность гораздо бóльших убытков, например пятьдесят миллионов долларов или больше, вы готовы назвать? Может быть, хотя бы один процент?

Руководитель: Полагаю, я не люблю рисковать. Считаю допустимой однопроцентную вероятность для убытков в размере двадцать пять миллионов долларов или более за год…

И так далее. Отметив три или четыре точки, можно интерполировать остальные и передать результат руководству на окончательное утверждение. Технически процесс не сложный, но важно знать, как реагировать на некоторые потенциальные вопросы или возражения. Кто-то из руководителей может указать, что процедура кажется весьма абстрактной. В таком случае стоит привести примеры из практики их компании или других предприятий, касающиеся выбранных убытков и того, как часто они возникают.

Кроме того, некоторые предпочитают рассматривать кривую только в рамках определенного бюджета на кибербезопасность, от них можно услышать что-то вроде «приемлемость данного риска зависит от того, во сколько нам обойдутся меры по его предотвращению». Подобное беспокойство вполне разумно. Если руководство готово уделить вам больше времени, можно задать рискоустойчивость при различных уровнях расходов на предотвращение рисков. Есть даже способы нахождения оптимального соотношения риска и отдачи (подробнее об этом читайте в первой книге Хаббарда «Как измерить все, что угодно. Оценка стоимости нематериального в бизнесе»). Однако большинство, похоже, готовы рассмотреть идею о том, что существует максимально приемлемый риск. Именно его мы и пытаемся определить.

Стоит также отметить, что авторы множество раз обсуждали с руководителями организаций кривые рискоустойчивости как в области кибербезопасности, так и в других областях. Если вы переживаете, что начальство ничего не поймет, можем вас заверить: мы с таким ни разу не сталкивались. Даже когда нас уверяли, что начальник в этом не разбирается. На самом деле руководители, похоже, осознают необходимость определения уровня приемлемых рисков не хуже других специалистов в области кибербезопасности. Мы еще вернемся к данной теме в главе 5, когда будем обсуждать различные иллюзорные препятствия для применения количественных методов.

Поддержка решения: рентабельность смягчения последствий

В конечном счете смысл анализа рисков – даже с матрицей рисков, которую мы заменяем, – это поддержка решений. Однако проблема, с которой мы сталкивались раньше, заключалась в принятии конкретных решений по распределению ресурсов для конкретных средств управления. Во сколько обойдется, в конце концов, перевести один «высокий» риск в «средний»? Будет ли это стоить нам 5000 долл. или 5 млн? А что, если наш бюджет на кибербезопасность составляет 8 млн долл. и при этом у нас 80 «низких», 30 «средних» и 15 «высоких» рисков? А если за одну и ту же сумму можно смягчить последствия или нескольких «низких» рисков, или одного «среднего»? Если вам доводилось слышать (авторам вот доводилось) вопросы вроде «если потратить еще миллион долларов, удастся ли перевести этот риск из красной зоны в желтую?», то, возможно, такой подход к проблеме вызывал бы у вас раздражение. Когда руководителю отдела информационной безопасности приходится принимать решения о распределении средств на практике, очевидно, что от традиционной матрицы рисков помощи мало. Может показаться, что реально справиться и вовсе без этих методов. Однако, как будет показано далее, одной из ошибок руководителей отделов информационной безопасности является убеждение, что они примут верные решения, полагаясь только на свою экспертную интуицию.

Руководителю отдела информационной безопасности необходимы расчеты «рентабельности средств контроля», представляющей собой отношение снижения ожидаемых убытков в денежном выражении к стоимости средств контроля. Если рассматривать только выгоду в течение одного года (и игнорировать прочие соображения об изменении стоимости со временем), формула может быть такой:

Термин «ожидаемый» в контексте проектных расчетов обычно относится к средневзвешенному по вероятности значению некоторой суммы. Таким образом, ожидаемые убытки – это среднее значение убытков в