пятница, 21 сентября 2012 г.

Риски ИБ в рублях. Пример методики.

Задача

Для демонстрации методики придумаем некоторую фирму со своими активами и угрозами. 

Итак:

После бета-тестирования Буратино-1 Папа Карло решил открыть небольшой бизнес. Не мудрствуя лукаво, зарегистрировал ИП Карло и начал стругать «Буратино». Весь процесс выглядит следующим образом: При помощи топора и пилы, Папа Карло делает заготовку «Буратино», а затем с помощью оживителя деревьев эту заготовку наделяет ИИ, после чего к его офису подъезжает дистрибьютор в конце недели и забирает «Буратино».

Чистая прибыль от реализации одного «Буратино» составляет 10 000 рублей и его производство уходит неделя. Будем считать, что месячная прибыль составляет 40 000 рублей.

Вот однажды Папа Карло задумался - вокруг коты и лисы подозрительной наружности шастают, банда Карабаса Барабаса недалеко обосновалась. Да еще и о лесных пожарах часто стал из новостей слышать. Естественно, Карло решил свой бизнес обезопасить и направился к продавцам средств защиты информации (далее - СЗИ). Те предложили ему на выбор три сейфа:
  • Сейф1: 100 000 рублей (несгораемый)
  • Сейф2: 30 000 рублей
  • Сейф3: 35 000 рублей (большой)
Отличия оказались следующими: сейф1 — несгораемый, сейф3 — большого размера (в сейфы 1 и 2 влезет только один из активов). Логично, что продавцы СЗИ будут пытаться продать самый дорогой продукт... но вот нужно ли это Карло, он понять не в состоянии (задача на самом деле не тривиальная) и потому обращается к экспертную контору по оценки рисков информационной безопасности «Мальвина».

Оценка рисков

1. В первую очередь, Мальвина и ее команда экспертов идентифицируют активы. Первичный актив — процесс «Производство «Буратино». Его обеспечивают ряд вторичных активов - топор (a1), пила (a2), оживитель деревьев (a3). Кроме того, сам Папа Карло также является активом, но в рамках данной работы подобные активы (сотрудники) рассматриваться не будут.

2. Второй этап — оценка активов. Если один из вторичных активов ломается или теряется, то процесс «Производство «Буратино» приостанавливается, а значит мастерская теряет деньги, до тех пор, пока актив не будет восстановлен. Поэтому, чтобы оценить активы необходимо определить ряд показателей:
  • Стоимость простоя процессаC – параметр показывает сколько рублей в единицу времени теряет организация в связи с тем, что процесс простаивает. В нашем случае, т.к. в месяц прибыль составляет 40000 рублей.
    Будем считать, что ежедневная прибыль составляет (40 000/30) рублей.
  • Время восстановления активаt(a) – показывает как долго процесс будет простаивать до возобновления (пока не восстановят вторичный актив, который его (процесс) обеспечивает). Если повредится или потеряется топор или пила, то Карло придется съездить в город и приобрести новые... пока он ездит, естественно, никакого производства не будет. Поездка займет весь день. Оживитель деревьев куда более редкая вещь, в городе его не купишь, а заказа через интернет ждать целых 2 недели.
    • t(a1) - время восстановления актива a1 (топор): 1 день
    • t(a2) - время восстановления актива a2 (пила): 1 день
    • t(a3) - время восстановления актива a3 (оживитель деревьев): 14 дней
  • Стоимость восстановленияC(a) – показывает, сколько потребуется денег, чтобы восстановить актив. Это может быть стоимость ремонта, или стоимость приобретения нового актива взамен старого.
    • C(a1) стоимость восстановления актива a1 (топор): 500 рублей
    • C(a2) стоимость восстановления актива a2 (пила): 1 000 рублей
    • C(a3) стоимость восстановления актива a3 (оживитель деревьев): 50 000 рублей
3. Третий этап — идентификация и оценка угроз. Допустим было выделено две угрозы - «кража со взломом» и «пожар» и для них были определены вероятности реализации:
  • PT1 - вероятность реализации угрозы T1 (кража со взломом): 0,001
  • PT2 - вероятность реализации угрозы T2 (пожар): 0,0005
За единицу времени взяты сутки, поэтому данные вероятности означают, что, по мнению экспертов, кражи со взломом происходят раз в 1000 суток, а пожары — раз в 2000 суток.

4. Оценка вероятности воздействия угрозы на актив (PI). Допустим эксперты оценили данные показатели как указано в таблице ниже:
Вероятность воздействия угрозы на актвы
Значения PI при угрозе T1 означают, что если T1 (кража со взломом) произойдет, то в одном случае из 10 грабители украдут топор, с той же вероятностью они возьмут пилу, а вот оживитель деревьев они забирут в 9 случаях из 10. Аналогично для угрозы T2.

5. Пятый этап — расчет рисков. На этом этапе будет наблюдаться наиболее яркое отличие от существующих в настоящий момент методик. Риски мы будем считать не по активам а по угрозам. Но прежде чем перейти к этому этапу, придется пояснить, чем вызвана эта необходимость.

Допустим для каждого из активов и для каждой из угроз по формуле R = PT·PI·W мы рассчитали риски. Стоимость последствий — W – в свою очередь, логично представить как t(a)·C + C(a) – параметры из пункта 3. Рассчитаем W для наших активов:
  • W(топор) = 1·(40000/30) + 500 = 1833 рублей
  • W(пила) = 1·(40000/30) + 1000 = 2333 рублей
  • W(оживитель деревьев) = 14·(40000/30) + 50000 = 68667 рублей
Тогда получим следующие значения рисков:
Риски по существующим на сегодня методам
Из формулы получаем, что R = PT·PI·W = PT·PI·(t(a)·C + C(a)). Но если угроза затронула один из активов, существует вероятность, что она затронет и другой, подверженный данной угрозе. И, если это так, и процесс простаивает по двум причинам, то получается, что мы это учитываем дважды. Ведь чтобы приостановить процесс достаточно выхода из строя хотя бы одного из вторичных активов. Для того, чтобы это учесть стоит воспользоваться формулой из теории вероятности для расчета вероятности суммы совместных событий (которая как раз и показывает вероятность того, что произошло хотя бы одно из событий).

Для угрозы T1 – вероятность того, что похитят и оживитель деревьев, и топор, и пилу, вероятность будет составлять 0,919 (обозначим PI(a1,a2,a3) — с такой вероятностью процесс будет простаивать хотя-бы один день (обозначим t1) в случае реализации угрозы «кража со взломом». С другой стороны, есть вероятность, что процесс будет простаивать еще 13 дней (обозначим t2), и она равна той, с которой украдут оживитель деревьев (0,9). Кроме того, с этой же вероятностью его придется заменить. А топор и пилу придется заменить с вероятностью 0,1.

Тогда формула для расчета суммарного риска по данной угрозе будет выглядеть следующим образом:

RT1 = PT1 · (PI(a1,a2,a3) · C · t1 + PI(a3) · C · t2 + PI(a1) · C(a1) + PI(a2) · C(a2) + PI(a3) · C(a3)) =
= 0,001 · (1225 + 15600 + 50 + 100 + 45000) = 61,97 рублей/сутки

Точно так же рассчитаем риск при угрозе «пожар».
RT2 = PT2 · (PI(a1,a2,a3) · C · t1 + PI(a3) · C · t2 + PI(a1) · C(a1) + PI(a2) · C(a2) + PI(a3) · C(a3)) =
= 0,0005 · (1332 + 15600 + 450 + 900 + 45000) = 31,64 рублей/сутки

Полученные цифры можно трактовать следующим образом - если мы будем ежедневно откладывать столько рублей, то наши накопления смогут покрыть последствия реализованной угрозы, когда она случится. Руководству организации следует решить, устраивают ли их эти цифры, или необходимо снизить риски (хотя есть еще вариант с делегированием рисков). Один из методов снижения рисков - внедрение средств защиты информации. Стоит отметить, что есть и другие методы - воздействие на источник угрозы или перенос организации в другую среду функционирования (может снизить значение PT).

Другой метод — создание дубликатов или резервных копий (позволяет снизить время восстановления актива). Мы же все-таки рассмотрим приобретение СЗИ.

Выбор СЗИ

Вернемся к нашей задачи выбора сейфа:

  • Сейф1: 100 000 рублей (несгораемый)
  • Сейф2: 30 000 рублей
  • Сейф3: 35 000 рублей (большой)
Выбор того или иного сейфа изменяет (уменьшает) параметр PI


Теперь можно ввести несколько интересных величин:

1) R' = R – RR. Величина на которую снизился риск (разность между риском до внедрения СЗИ и остаточным риском). Кроме того, приобретенное средство защиты — сейф, станет вторичным активом, обеспечивающим процесс защиты информации. Стоимость простоя данного процесса равна R'. Теперь при необходимости можно будет использовать эту цифру для оценки рисков при угрозах направленных на СЗИ.

  • R'(Сейф1) = 88,21
  • R'(Сейф2) = 58,24
  • R'(Сейф3) = 58,51
2) N = R'/R. Эффективность СЗИ. Показатель позволяет определить, какое из средств защиты будет наиболее эффективным на объекте защиты.

  • N(Сейф1) = 0,94
  • N(Сейф2) = 0,62
  • N(Сейф3) = 0,63
3) tr – время возврата инвестиций. Пусть стоимость сейфа C(Сейф), тогда: tr = С(сейф)/R'

  • tr(Сейф1) = 100000/88,21 = 1133
  • tr(Сейф2) = 30000/58,24 = 0,62 = 515
  • tr(Сейф3) = 35000/58,51 = 0,63 = 598

Эти цифры показывают через какое время (в данном случае в сутках) средство защиты информации окупится и начнет приносить прибыль.

На основании этих трех величин (и стоимости приобретения СЗИ) руководству будет гораздо проще выбрать наиболее подходящее, по их мнению, СЗИ.

Комментариев нет:

Отправить комментарий