Один знакомый рассказал околонаучную байку: неким ученым (кажется, японским) поступила задача, как-то связанная с определением критичных инфраструктур современного города. Ученые построили огромную математическую модель, использовали огромные массивы статистических данных, проводили корреляционный анализ... и в результате смогли упростить свою модель и получить «ошеломляющие» результаты – для жизни современного города наиболее необходимы электричество и канализация. А ведь если бы коллектив ученых опросил на улице города Японии пару десятков прохожих – то получил бы примерно те же результаты, но без особых трудозатрат... Эту байку в последнее время я чаще всего вспоминаю, когда читаю «труды» об управление информационными рисками.
Риск, будучи функцией от вероятности реализации и ущерба от реализации, должен описываться некоторой формулой – математической моделью. В свою очередь, обозначенные составляющие риска тоже зависят от многих факторов (посмотрите, например, как раскладывают риски создатели «факторного анализа информационных рисков»). Многократно встречался со сложными математическими выкладками в научной литературе, на конференциях – и да, мне крайне интересен поиск «секретной формулы», благодаря которой можно рассчитать любой риск... Сам страдаю разработкой формулы – и обязательно включу свои разработки в диссертацию – какая-то сложная математика необходима, чтобы обосновать «научность» моей работы.
Научность... а если забыть о требовании к научности и подумать о практическом применение рискового подхода? Здесь стоит в первую очередь ответить на вопрос – а для чего мы вообще внедряем СУИР и кому это нужно. Ответ «по учебнику»: выработка наиболее эффективных мер по обработке риска. Ответ «из практики»: дать топ-менеджменту возможность рационального выбора статей затрат на ИБ (а еще, чтобы руководство понимало, что реализация риска – последствие их решения, а не плохой работы департамента ИБ... если риск, конечно, был озвучен и принят «как есть»). Оба ответа – правильные, но второй дает больше понимания о том, как и для кого должна работать СУИР.
Научность зачастую может убедить в корректности оценки рисков. Признаюсь, мы пытались «подсунуть» к руководству отчеты по риском со ссылкой на «серьезные» формулы (и очень страшные). Вроде как получали задумчивые кивки головой и согласие с оценкой. Более того, я верю, что разработанные формулы довольно неплохо и детально описывают риски... я бы даже сказал излишне детально...
Осознание отсутствия потребности в такой детализации пришло не сразу. А ведь это занимает уйму времени и ресурсов у того, кто занимается анализом рисков (назовем его «оценщик») и только мешает руководству корректно оценивать качество проделанной работы. Видя страшные расчеты никто не попытается разобраться и вникнуть – а в чем суть работы и почему так. А если нет понимания – то магия не работает – нет интерфейса взаимодействия ИБ-Руководство.
В конце концов мы пришли к простой модели, которую обозвали «картой рисков» и выглядит она примерно следующим образом:
Что здесь важно понимать? Все риски оцениваются только по вероятности и по ущербу реализации – все факторы, влияющие на них «оценщик» держит в голове (чтобы не повторять пример из байки про «канализацию и электричество»). Причем, шкалы нелинейны. Т.е. «средний ущерб» должен быть в несколько раз выше, чем «низкий», а «высокий» во столько же раз выше, чем «средний». С вероятностью – та же история. Нам важны не точные значения, а «порядок величин». Нелинейность отражена в вербальном описании соответствующих видов ущерба или вероятности.
Такое вербальное описание имеют все наши оценки. Например, (самое простое) – прямой финансовый ущерб (вид ущерба) – «низкий» - 10 рублей, «средний» - 100 рублей, «высокий» -
1000 рублей. Аналогичные сопоставимые вербальные описания также есть и по другим видам ущерба – имидж, санкции регуляторов, потеря клиентов и т.д.
Далее мы работаем с владельцами активов – описываем риски по активам одного владельца, заносим их в таблицу и отправляем владельцу на корректировку и согласование. Получается что-то в этом роде:
Вместо записей «Риск No» сразу в таблице указывается вербальное описание риска. Владелец актива легко (как правило) сопоставляет это описание с вербальными описаниями по ущербу и вероятности. Обсуждается корректность простановки в ту или иную ячейку...
Когда появляется какой-то новый риск мы также заносим его в какую-либо ячейку таблицы... и в результате у нас получается куча таблиц согласованных с владельцами активов. Если мы перенесем все в одну таблицу – у нас получится... тихий ужас – с этим неудобно работать.
Поэтому мы вновь применяем немного магии. Помните, что шкалы у нас нелинейны? Например, «низкая» вероятность в 10 раз ниже, чем «средняя». Это означает, что мы можем объединить 10 рисков с «низкой» вероятностью в группу рисков со «средней» вероятностью. С ущербом – та же история. А затем мы можем (при необходимости) и объединять группы друг с другом или другими рисками по тому же принципу.
Принцип группировки довольно простой – по мерам защиты, которые мы предложим применять в отношении той или иной группы (можно, например, попробовать по SANS, но, признаюсь, у меня не получилось – слишком «широкие» группы – много разных рисков подпадает под один и тот же механизм). И к топ-менеджменту мы пойдем уже с описанием групп рисков (внутри которых они, если такое желание возникнет, могут просмотреть весь перечень). Таким же образом мы можем вычислить и «сумму» всех рисков ИБ – некий общий показатель, который в динамике демонстрирует эффективность работы нашего департамента (что тоже в ИБ больная тема).
Соответствует ли СУИР целям ее создания:
- Выработка наиболее эффективных мер по обработке риска – да.
- Дать возможность рационального выбора руководству – да.
- Переложить ответственность на плечи руководства Компании – опять да
А самое главное – реализация довольна простая и легко масштабируемая, не требует больших времязатрат от руководства и владельцев актива для понимания (читай, взаимопонимания ИБ и бизнеса)... и вполне себе соответствует международным стандартам.
Комментариев нет:
Отправить комментарий