Как оценить риски в кибербезопасности. Лучшие инструменты и практики - Ричард Сирсен
Шрифт:
Интервал:
Закладка:
10. Если вследствие какого-либо из условий наступление события становится бесспорным или невозможным (т. е. P(Событие | Условие) = 0 или 1), то опустите вычисление ЛОШ для такого условия и дельты ЛОШ (расчет в любом случае выдаст ошибку). Вместо этого просто рассуждайте логически, чтобы обойти эти условия.
Пример: Если условие применимо, то скорректированная вероятность = 0.
Если условие не выполняется, то вычислите скорректированную вероятность, как показано в предыдущих шагах.
И в очередной раз повторим: если вам будут говорить, что этот или другие обсуждаемые нами методы непрактичны, помните, что они многократно применялись нами, в том числе и в кибербезопасности. Называя что-либо непрактичным, люди часто имеют в виду, что просто не знают, как это применить. В качестве иллюстрации приведем еще один диалог аналитика с экспертом по кибербезопасности. Аналитик проверит согласованность оценок эксперта с помощью указанных выше расчетов. Естественно, для этого он использует электронную таблицу (доступна на сайте).
Аналитик рисков: Как вы помните, мы распределили риски для каждого актива. Если я произвольно выберу актив, какова вероятность, что нарушение кибербезопасности произойдет в следующем году?
Эксперт по кибербезопасности: Зависит от того, что вы считаете нарушением, – может быть и сто процентов. К тому же на мое суждение повлияет множество факторов.
Аналитик рисков: Да, но, допустим, вам известно лишь, что речь об одном из ваших активов. Я просто выберу наугад и даже не скажу вам, какой именно. И давайте еще проясним, что имеется в виду не просто незначительное событие, единственной затратой при котором будут ответные меры кибербезопасности. Оно должно навредить работе компании, стать причиной штрафа или более серьезных проблем, вплоть до крупной утечки данных, которые недавно освещались в новостях. Допустим, это событие обойдется компании не менее чем в пятьдесят тысяч долларов, а возможно, и в несколько миллионов.
Эксперт по кибербезопасности: Откуда мне знать вероятность наступления события, если об активе ничего не известно?
Аналитик рисков: То есть, по-вашему, всем активам компании в следующем году грозят серьезные нарушения кибербезопасности?
Эксперт по кибербезопасности: Нет, пожалуй, из всего портфеля активов значимыми событиями, которые принесут более пятидесяти тысяч долларов убытков, станут только перебои в работе систем нескольких структурных подразделений. Может быть, более крупные нарушения кибербезопасности раз в пару лет.
Аналитик рисков: Понятно. Итак, у нас в списке двести активов, на ваш взгляд, произойдет ли нарушение кибербезопасности такого уровня в половине из них в следующем году?
Эксперт по кибербезопасности: Нет. «Нарушение кибербезопасности», как я его понимаю, возможно, случится с тремя – десятью активами.
Аналитик рисков: Хорошо. То есть, если я наугад выберу актив из списка, вероятность того, что в нем произойдет нарушение кибербезопасности, будет менее десяти процентов. Возможно, ближе к одному или двум процентам.
Эксперт по кибербезопасности: Понимаю, о чем вы. Для выбранного актива, о котором я больше ничего не знаю, думаю, можно было бы взять двухпроцентную вероятность нарушения кибербезопасности, предполагающего значительные убытки.
Аналитик рисков: Отлично. Теперь, предположим, я сообщу вам только один факт об этом активе. Допустим, он содержит данные платежных карт. Это как-то отразится на риске нарушения кибербезопасности?
Эксперт по кибербезопасности: Да. Наши средства контроля в этой области лучше, но и активы привлекательнее для злоумышленников. Возможно, я увеличу вероятность до четырех процентов.
Аналитик рисков: А если я скажу, что актив не содержит данных платежных карт. Насколько тогда изменится вероятность?
Эксперт по кибербезопасности: Не думаю, что это повлияет на мою оценку.
Аналитик рисков: А должно бы. Ваша «базовая» вероятность составляет два процента. Вы описали одно условие, которое увеличит ее до четырех процентов. Чтобы убедиться, что вероятность сбалансирована, противоположное условие должно уменьшать ее так, чтобы среднее значение по-прежнему оставалось два процента. Чуть позже я покажу расчеты, и вы поймете, о чем речь.
Эксперт по кибербезопасности: Ладно, думаю, я понимаю. Пусть будет один процент.
Аналитик рисков: Отлично. Итак, какой процент от всех активов на самом деле содержит данные платежных карт?
Эксперт по кибербезопасности: Мы только что завершили аудит, поэтому тут все довольно ясно. Это двадцать активов из двухсот.
Аналитик рисков: То есть десять процентов от всех перечисленных активов. Чтобы проверить, все ли сходится, мне нужно вычислить базовую вероятность на основе этих условных вероятностей и посмотреть, согласуется ли она с той, что вы дали мне изначально.
Аналитик рисков рассчитывает базовую вероятность следующим образом: P(Событие | Данные платежных карт) × P(Данные платежных карт) + P(Событие | Нет данных платежных карт) × P(Нет данных платежных карт) = 0,04 × 0,1 + 0,01 × 0,9 = 0,013. (Расчеты и другие этапы диалога, включая вычисление дельты ЛОШ, представлены в электронной таблице на сайте www.howtomeasureanything.com/cybersecurity.)
Аналитик рисков: Итак, вычисленная базовая вероятность чуть ниже вашей изначальной. Имеющиеся на данный момент вероятности не совсем согласованы. Если это исправить, эффективность нашей модели станет выше. Можно сказать, что неверна первоначальная вероятность и надо заменить ее на одну целую три десятых процента. Или что условные вероятности могут быть чуть выше, или доля активов с данными платежных карт слишком мала. Как считаете, что логичнее поменять?
Эксперт по кибербезопасности: Ну, доля активов с данными платежных карт известна довольно точно. Если подумать, то стоило бы сделать немного выше вероятность для активов без данных платежных карт. А если поднять ее до полутора процентов?
Аналитик рисков, вычисляя: Так, если задать одну целую восемь десятых процента, то получится почти ровно два процента, как ваша первоначальная оценка базовой вероятности.
Эксперт по кибербезопасности: Похоже, все верно. Но спроси вы меня в другое время, возможно, мой ответ был бы другим.
Аналитик рисков:
