Уменьшение риска

Если риск неприемлем, то обычно в первую очередь рассматривается вопрос о его уменьшении до уровня, который был определен как максимально допустимый, путем применения соответствующих механизмов контроля.

Одним из наиболее авторитетных источников для выбора механизмов контроля служат международные стандарты ISO 27001 (Приложение А) и ISO 27002, предоставляющие описание и руководство по внедрению для каждого механизма контроля. В стандарте ISO 15408 «Общие критерии оценки безопасности информационных технологий» и разработанных на его основе профилях защиты можно найти соответствующие требования и подобрать спецификацию практически для любых программно-технических механизмов контроля. Заслуживает также внимания немецкий стандарт в области ИТ безопасности BSI/IT Baseline Protection Manual.

Список источников информации о контрмерах, применяемых для уменьшения рисков не исчерпывается названными стандартами. Подробную информацию по отдельным областям контроля можно почерпнуть из других международных стандартов, которых насчитывается несколько десятков наименований. Перечислим лишь некоторые из них:

  • ISO 13335 – группа стандартов «Информационные технологии. Руководство по управлению ИТ безопасностью»;
  • ISO 18044 – стандарт «Информационные технологии. Методы обеспечения безопасности. Управление инцидентами информационной безопасности»;
  • ISO 18043 – стандарт «Информационные технологии. Методы обеспечения безопасности. Выбор, развертывание и эксплуатация систем обнаружения вторжений»;
  • ISO 13569 – стандарт «Финансовые сервисы. Руководство по обеспечению информационной безопасности»;
  • ISO 13888 – группа стандартов «Методы обеспечения ИТ безопасности. Неотказуемость. Общие положения»;
  • ISO 19794 – группа стандартов «Информационные технологии. Форматы обмена биометрическими данными»;
  • ISO 18028 – группа стандартов «Информационные технологии. Методы обеспечения безопасности. Безопасность ИТ сетей»

______________________________________________________

Международные и национальные стандарты можно приобрести в интернет-магазине shop.globaltrust.ru, являющемся официальным дистрибьютором Британского института стандартов.

________________________________________________________

Механизмами контроля в международных стандартах называют любые меры, направленные на уменьшение риска. Уменьшать риски можно следующими способами:

  • уменьшением вероятности воздействия угрозы на активы;
  • ликвидацией имеющихся уязвимостей;
  • уменьшением вероятности использования уязвимости;
  • уменьшением возможного ущерба в случае осуществления риска путем обнаружения нежелательных событий, реагирования и восстановления после них.

Какой из этих способов (или их комбинацию) организация выбирает для защиты своих активов, зависит от требований бизнеса, внешней среды и обстоятельств. Выбор механизмов контроля должен быть обоснован. Основными критериями такого выбора служат его реализуемость, эффективность в достижении целей контроля и экономическая целесообразность, измеряемая коэффициентом возврата инвестиций (ROI). Каким образом определяется ROI, мы рассмотрим ниже в разделе «Оценка возврата инвестиций в информационную безопасность».

Не существует универсального или достаточно общего подхода к выбору целей и механизмов контроля. Процесс выбора, вероятно, будет включать в себя большое количество этапов принятия решения, консультации и обсуждения с представителями бизнеса и ключевыми лицами, а также анализ целей бизнеса. Процесс выбора должен базироваться на четко определенном наборе целей и задач бизнеса или его миссии и произвести результаты, которые наилучшим образом подходят для организации в терминах требований бизнеса по защите его активов и инвестиций, культуры организации и ее терпимости к риску.

Выбор механизмов контроля опирается на результаты оценки риска. Анализ уязвимости или угрозы может показать, где требуется защита и какие формы она должна принимать. Любые подобные ссылки на оценку рисков должны быть документированы с целью обоснования выбора (либо исключения) механизмов контроля. Документирование выбранных механизмов контроля, наряду с целями контроля, для достижения которых они предназначены, в декларации о применимости и в плане обработки рисков (об этих документах пойдет речь ниже) является важным условием для сертификации по стандарту ISO 27001, а также помогает организации далее непрерывно отслеживать ход внедрения и эффективность механизмов контроля.

При выборе механизмов контроля должно учитываться большое количество других факторов, включая:

  • простоту внедрения и эксплуатации механизма контроля;
  • надежность и воспроизводимость механизма контроля (является ли он документированным, исполняется он вручную или запрограммирован);
  • относительную силу механизмов контроля по сравнению с другими мерами;
  • типы выполняемых функций (предотвращение, сдерживание, обнаружение, восстановление, исправление, мониторинг или оповещение).

На выбор механизмов контроля могут повлиять следующие ограничения:

  • время реализации– может быть неприемлемым, например, превышать жизненный цикл процесса, для которого требуется уменьшить риск;
  • законодательные– ограничения на использование средств шифрования;
  • кадровые– доступность специализированного персонала;
  • этические– не во всех организациях уместна перлюстрация почты, а сообщения о подозрительных действиях в ряде случаев могут трактоваться как доносительство;
  • культурные– досмотр сумок можно ввести в Европе, но это недопустимо в странах Ближнего Востока. Успешность внедрения в значительной степени зависит от поддержки со стороны персонала;
  • операционные– необходимость обеспечения непрерывной доступности системы 24 часа в сутки.

Принятие риска

На решение о принятии (сохранении) риска оказывают влияние различные обстоятельства. Например, стартующий высокотехнологичный бизнес может принимать более высокие риски, нежели солидная организация традиционного профиля.

Основными факторами, влияющими на решение о принятии рисков,являются:

  • возможные последствия осуществления риска, т.е. расходы организации в каждом случае, когда это происходит;
  • ожидаемая частота подобных событий.

Количественные оценки этих факторов, как мы видели, являются очень неточными и субъективными, поэтому лица, принимающие решение, должны осторожно взвешивать точность и достоверность информации, на основании которой они принимают решение, и величину потерь, которую они готовы принять.

К числу субъективных факторов, оказывающих влияние на принятие решений по рискам, относятся в том числе:

  • готовность к принятию рисков (также известная как терпимость или склонность к риску);
  • простота реализации механизма контроля;
  • доступные финансовые, кадровые и информационные ресурсы;
  • существующие деловые/технологические приоритеты;

политика организации и руководства, например, в отношении следования тем или иным требованиям.

Критерии принятия рисков

Каждая организация должна установить критерии принятия рисков, определяющие максимально допустимый уровень остаточного риска, а также возможные исключения для определенных рисков при определенных обстоятельствах.

Риски, превышающие установленный руководством организации допустимый уровень, – это те риски, которые являются неприемлемыми для бизнеса, а связанная с ними деятельность – слишком рискованной. Все остальные риски, ниже этого уровня, являются допустимыми и могут быть приняты без дальнейшей обработки.

На практике многие риски занимают промежуточное положение между однозначно приемлемыми и очевидно неприемлемыми. Такие риски также нуждаются в обработке, хотя и не в первую очередь, и могут быть снижены при обеспечении хорошего возврата инвестиций. Поэтому в дополнение к максимально допустимому уровню остаточного риска мы также используем уровень однозначно приемлемого риска.

________________________________________

Уровни принятия риска:

·        Низкий риск (уровень риска: от 0 до 2) – однозначно приемлемые риски, составляющие обычныйрисковый фон организации.

·        Средний риск (уровень риска: от 3 до 5) – потенциально приемлемые риски, уменьшение которых, однако, может дать положительный экономический эффект. Эти риски обычно нуждаются в обработке, но не в первую очередь.

·        Высокий риск (уровень риска: от 6 до 8) – неприемлемые риски, нуждающиеся в скорейшей обработке. Сохранение данных рисков руководство организации считает крайне рискованным для своего бизнеса.

___________________________________________

В ситуации, когда за разные риски отвечают разные подразделения организации, используемые критерии принятия рисков требуют согласования между этими подразделениями, а также с руководством организации. В противном случае возникает ситуация, при которой организация применяет разные критерии принятия рисков для разных областей контроля, что приводит к недооценке одних видов рисков и переоценке других.

На рисунке показано, как выглядят несогласованные критерии принятия рисков (1 – информационная безопасность, 2 – охрана труда, 3 – финансовый риск, 4 – операционный риск). В данном случае организация переоценивает риски информационной безопасности и недооценивает прочие операционные риски. Такая ситуация порождает определенные трудности с принятием решения по рискам.

Если организация применяет согласованные критерии принятия риска для всех областей деятельности в рамках единой системы управления рисками (ERM-системы), руководству значительно проще принимать решения по рискам. Это позволит избежать опасных последствий недооценки определенных видов рисков и необоснованных затрат на уменьшение рисков, которые, напротив, были переоценены.

Способы обработки риска

После того как риск был оценен, руководством организации должно быть принято решение о способе обработки этого риска.

Помимо предполагаемых потерь в результате инцидентов безопасности, организация должна также рассмотреть затраты на реализацию решения по обработке риска в сравнении с отсутствием каких-либо действий и прогнозируемыми потерями. Организация должна убедиться в том, что она достигает оптимального баланса между достижением определенного уровня безопасности и получением связанных с этим преимуществ, при правильном инвестировании – с одной стороны, и сохранением рентабельности, успешности, эффективности и конкурентоспособности – с другой.

Существует четыре возможных способа обработки риска:

  • принятие (сохранение) риска;
  • уменьшение риска;
  • передача риска;
  • избежание риска.

Рассмотрим каждый из этих способов по порядку.

Процесс обработки рисков

Целью обработки рисков является их уменьшение до приемлемого уровня путем уменьшения вероятности инцидента либо минимизации возможного ущерба. Однако не все риски возможно либо целесообразно уменьшать. Если организация не располагает необходимыми для этого ресурсами, например временем или квалификацией, то она может временно допустить высокий риск либо передать его третьей стороне путем заключения договора страхования или аутсорсинга. Возможен также вариант избежания риска путем отказа от рискованных операций либо переноса этих операций в более безопасное место.

Процесс обработки рисков включает в себя подготовку, выбор и принятие решений по способам обработки рисков. Способы эти могут быть самыми разными. Главное, чтобы они были реализуемы и экономически оправданы. При инвестировании денег в уменьшение риска в результате должен получаться положительный возврат инвестиций, который представляет собой разницу между затратами на безопасность и величиной предотвращаемого ущерба. Разница эта должна быть весьма существенной. Желательно, чтобы возврат инвестиций превышал затраты на безопасность в разы.

На вход этого процесса поступают результаты оценки рисков в виде отчета и прилагающегося к нему реестра информационных рисков. Если эти данные являются достаточными, тогда для каждой группы рисков принимаются решения по их обработке путем выбора одного из четырех способов обработки рисков либо их комбинации. При этом используются критерии принятия рисков, определяемые политикой организации в области управления рисками.

Результатом процесса обработки рисков является план обработки рисков, содержащий перечни мероприятий для каждой группы рисков и оценку остаточных рисков.

Выбираемые для уменьшения рисков механизмы контроля должны быть экономически обоснованы, т.е. обеспечивать положительный возврат инвестиций. Однако не все механизмы контроля можно легко экономически обосновать. Например, обеспечение непрерывности бизнеса вынуждено иметь дело с такими рисками, как природные и антропогенные катастрофы, которые с большой вероятностью могут вообще никогда не наступить. Для механизмов обеспечения непрерывности бизнеса сложно посчитать возврат инвестиций, т.к. зачастую не существует оценки среднегодовых потерь.

Способы обработки рисков не являются взаимоисключающими. Например, мы можем уменьшить риск до определенного уровня, а остаточных риск передать третьей стороне.

Определенные способы обработки рисков могут воздействовать сразу на группу рисков, – например, такой множественный эффект дает обучение.

В ходе обработки рисков могут быть сделаны выводы в том числе и об избыточности некоторых механизмов контроля. Однако, прежде чем от них оказываться, следует оценить их влияние на другие механизмы. Многие механизмы контроля взаимосвязаны. Эффективность одних механизмов может снижаться до нуля в отсутствии других. Например, слабые пароли сводят на нет существующие в системе механизмы разграничения доступа, антивирусные средства и средства обнаружения вторжений требуют непрерывного обновления сигнатур, а политики безопасности не работают в отсутствии программы обучения и повышения осведомленности персонала.

Приемлемая величина остаточного риска не должна превышать максимально допустимый уровень риска, утвержденный руководством, который может быть сопоставим, например, со стандартными издержками одного производственного процесса организации. После выбора способов обработки риска следует оценить остаточный риск, и если этот риск не приемлем, тогда необходимо повторить обработку.

В случае если оценочная величина остаточного риска превышает максимально допустимый уровень риска, то для его уменьшения должны быть выбраны дополнительные механизмы контроля, обеспечивающие наилучший возврат инвестиций и позволяющие уменьшить остаточный риск до приемлемого уровня.

В случае невозможности либо экономической нецелесообразности уменьшения риска до приемлемого уровня должны быть рассмотрены варианты передачи данного риска третьей стороне, в качестве которой может выступать страховая компания или компания, предоставляющая услуги по аутсорсингу ИТ процессов и сервисов безопасности, а также варианты избежания риска, связанные с отказом от рискованных операций либо их заменой на менее рискованные.

В случае отсутствия других приемлемых вариантов обработки риска, превышающего установленный в организации максимально допустимый уровень, руководством компании может быть принято решение о принятии данного риска.

Глава 5. Обработка рисков информационной безопасности

«Чтобы сделать что-либо, требуется не так уж много сил; но решить, что именно надо сделать, – вот что требует огромной затраты сил».

Фрэнк Хаббард, американский литератор

_________________________________

  • Процесс обработки рисков
  • Способы обработки рисков
  • Оценка возврата инвестиций
  • Принятие решения по обработке рисков
  • План обработки рисков
  • Декларация о применимости

_________________________________

Оценка рисков позволяет получить ответы на три важнейших вопроса, а именно – какие информационные активы, от чего и зачем следует защищать. После этого успешность организации будет зависеть от того, какие меры она будет применять для обработки выявленных рисков. Основной вопрос руководителей: «Что делать?». Для того чтобы с этим вопросом разобраться, потребуется рассмотреть способы обработки рисков, а также подходы к оценке возврата инвестиций в безопасность и принятию остаточных рисков. Результатом этих усилий являются два ключевых документа, о которых пойдет речь далее: Декларация о применимости механизмов контроля и План обработки рисков.

Обзор методов оценки риска

Неопределенность оценки риска

При оценке риска мы имеем дело с неопределенностью при оценке угроз, уязвимостей, контролей и последствий. Оперируя с неопределенными величинами, мы получаем в итоге также неопределенность. Любой оценке риска присуща значительная неопределенность. Понимание степени этой неопределенности крайне важно для правильной интерпретации результатов оценки. Неопределенность определяется величиной погрешности результатов оценки. Чувствительность оценки — это изменение оценки в зависимость от изменения конкретных входных параметров.

На самом деле, довольно часто значение риска, которое мы в итоге получаем, выражается ни каким-то одним числом (качественным уровнем или количественным ALE), а распределением вероятностей диапазона последствий. Ведь последствия, наступающие в результате реализации угроз, носят вероятностный характер. Например, системный сбой с определенной вероятностью может привести к значительному ущербу, но существует вероятность, что ущерба не наступит. Это может зависеть от конкретной ситуации. Поэтому мы будем иметь в данном случае ни одно значение риска, а распределение значений по вероятностям.

Подходы к оценке риска

Существует три подхода к оценке вероятностей (угроз, последствий и т.п.): статистика, прогнозирование и экспертные оценки. В третьем случае, помимо известного со школьной скамьи метода Дельфи, могут применяться также методы попарного сравнения, ранжирования по показателям оценки и абсолютных оценок. Но применять все это довольно сложно и дорого, поэтому применяется в основном, то что описано ниже.

Международный стандарт ISO/IEC 31010 определяет 31 метод оценки риска. Следующие методы можно комбинировать и применять на разных этапах оценки: идентификация риска, анализ угроз и последствий, определение уровня риска, оценивание риска:

  1. Мозговой штурм
  2. Структурированные или частично структурированные интервью
  3. Метод Дельфи
  4. Контрольные листы
  5. Предварительный анализ опасностей (PHA)
  6. Исследование опасности и работоспособности (HAZOP)
  7. Анализ опасности и критических контрольных точек (HACCP)
  8. Оценка токсикологического риска
  9. Структурированный анализ сценариев методом «Что, если?» (SWIFT)
  10. Анализ сценариев
  11. Анализ воздействия на бизнес (BIA)
  12. Анализ первопричины (RCA)
  13. Анализ видов и последствий отказов (FMEA)
  14. Анализ дерева неисправностей (FTA)
  15. Анализ дерева событий (ETA)
  16. Анализ причин и последствий
  17. Причинно-следственный анализ
  18. Анализ уровней защиты (LOPA)
  19. Анализ дерева решений
  20. Анализ влияния человеческого фактора (HRA)
  21. Анализ «галстук-бабочка»
  22. Техническое обслуживание, направленное на обеспечение надежности
  23. Анализ скрытых дефектов (SA)
  24. Марковский анализ
  25. Моделирование методом Монте-Карло
  26. Байесовский анализ и сети Байеса
  27. Кривые FN
  28. Индексы риска
  29. Матрица последствий и вероятностей
  30. Анализ эффективности затрат (CBA)
  31. Мультикритериальный анализ решений (MCDA)

Практичные методы оценки риска

Методы оценки риска, которые мы реально применяем на практике, состоят в следующей:

1. Мозговой штурм (идентификация новых угроз, прогнозирование, поиск нестандартных решений за счет стимулирования образного мышления группы). В широком смысле, мозговой штурм — это любое обсуждение в группе.

2. Частично структурированные интервью — основной метод. Из-за ресурсных ограничений, недостатка времени, а также недостатка квалифицированных или заинтересованных специалистов, оценку риска чаще всего приходится проводить в одиночку, опрашивая всех, кто может предоставить какие-либо полезные сведения. До экспертных методов, предполагающих коллективное обсуждение, дело не доходит. Разве что на стадии согласования конечных результатов и принятия решений.

3. В случае, если вероятность события очень мала, а последствия очень значительны, стандартный количественный способов вычисления риска как значения среднегодовых потерь ALE не работает, т.к. по этому методу мы будем получать произведения бесконечно больших и бесконечно малых величин. Такие риски надо выделять в отдельную категорию и применять к ним методы анализа воздействия на бизнес (BIA) в рамках процесса управления непрерывностью бизнеса (BCM). Цели BIA — идентификация ключевых бизнес-процессов, систем и последствий нарушения их функционирования для бизнеса с целью планирования процедур и ресурсов для их восстановления. Способы реализации данного метода на практике все те же — интервью и мозговой штурм.

4. Анализ дерева событий (ETA) необходим, например, при анализе жизненного цикла сложных сетевых угроз (сценариев развития инцидента, атаки), когда в ходе пентеста мы получаем цепочку скомпроментированных хостов и целый набор взаимосвязанных уязвимостей, причем одна без другой не может быть использована.

Непрактичные методы оценки риска

Про остальные методы, описание которых можно найти в стандартах, можно сказать следующее.

Метод Дельфи — слишком трудоемкий и затратный по времени, поэтому он себя не окупает.

Различные методы структурированного анализа опасностей (HAZOP, HACCP, SWIFT и др.), во-первых, трудоемки, во-вторых, разработаны для специфичных областей применения, в третьих, предполагают групповую работу.

Народные методы оценки риска

Отметим, что на практике чаще применяются следующие не описанные в стандартах методы оценки риска, такие как:

  1. Метод отрицания необходимости и/или возможности оценки риска
  2. Метод отрицания наличия риска
  3. Метод интуитивной оценки риска
  4. Метод интуитивного принятия решений
  5. Метод голосования
  6. Метод голословных утверждений
  7. Метод общих рассуждений
  8. Моделирование угроз (российский метод)

Преимуществом данной группы методов является то, что они не ресурсоёмкие (за исключением моделирования нетиповых угроз) и самодостаточные (не требуют комбинирования с другими методами).

Задание № 2. Калибровка шкалы оценки риска

Прежде чем переходить к следующей главе, постарайтесь выполнить упражнения, которые позволят вам закрепить пройденное:

  • Откалибруйте шкалу оценки рисков для своей организации с учетом стоимости вашего бизнеса, сопоставив количественные значения шкалам оценки ущерба, угроз и уязвимостей.
  • Приведите примеры низкого, среднего и высокого риска вашей организации. Каким среднегодовым потерям эти риски соответствуют?
  • Внимательно изучите Приложения № 5 и № 6. Все ли перечисленные там угрозы и уязвимости применимы к вашей организации? Можете ли вы что-либо добавить к данному списку?

Отчет об оценке рисков

Отчет об оценкерисков необходим для руководства и всех заинтересованных сторон, вовлеченных в процесс управления рисками. Другими словами, этот документ нужен для коммуникации рисков. Результаты оценки рисков могут служить предметом рассмотрения на заседании Управляющего комитета по информационной безопасности.

_____________________________________

Краткая структура отчета об оценке рисков:

  • Введение

—         Основания, общие сведения

—         Цели и задачи

  • Методология и результаты

—         Идентификация активов и требований

—         Оценка активов и последствий

—         Анализ угроз и уязвимостей

—         Вычисление и оценивание рисков

  • Резюме рисков для руководства

—         Описание самых высоких рисков и причин их существования

  • Приложения

—         Реестры активов, требований и рисков

—         Таблицы определения ценности активов и ущерба для бизнеса

______________________________________

Отчет об оценке рисков обычно включает в себя введение, краткое описание используемой методологии оценки рисков со ссылкой на соответствующие приложения и резюме рисков.

Важнейшей частью этого отчета является резюме рисков, адресованное руководству организации принимающему решения по рискам. В этом разделе в краткой повествовательной форме описываются самые высокие риски организации, на которые руководству следует обратить первоочередное внимание, с указанием ожидаемого среднегодового ущерба и перечислением уязвимостей, способствующих реализации данных рисков. По всем остальным рискам, оценочный уровень которых ниже, читатели отчета переадресуются к реестру информационных рисков.

Отчет об оценке рисков, как и другие документы по рискам, должен носить конфиденциальный характер и защищаться от несанкционированного доступа, наряду с другими секретами.

Конечно, на этом оценка рисков не заканчивается. Высокоуровневая оценка позволила расставить необходимые приоритеты, выявив и обосновав те группы рисков и механизмов контроля, которые имеют наибольшее значение. Для организаций с относительно невысокой степенью зависимости от информационных технологий этого уже может оказаться достаточно. Для остальных организаций потребуется дальнейшая детализация угроз, уязвимостей и механизмов контроля, в результате чего количество рассматриваемых групп рисков может возрасти с нескольких десятков до нескольких сотен.

Пример оценки риска

В качестве примера, оценим величину информационного риска, связанного с хищением оборудования и (или) носителей информации собственными сотрудниками некой воображаемой организации (см. рис. 29). Для этого будем использовать откалиброванную выше качественную шкалу.

Сущность данной физической угрозы и способы ее осуществления известны каждому. Попытки хищения время от времени происходят во многих организациях,  о чем могут свидетельствовать как личные наблюдения, так и доступная статистика. Регулярность осуществления данной угрозы обусловлена сравнительной простотой ее осуществления и склонностью некоторых людей к воровству. Недостаточный уровень лояльности персонала, отсутствие серьезных проверок кандидатов на работу, большое количество случайных и временных людей в штате компании – это те факторы, которые повышают вероятность попыток хищения в данной воображаемой организации.

Приведенные соображения позволяют оценить вероятность угрозы хищения оборудования и (или) носителей информации сотрудниками организации как Среднюю, со средней ожидаемой частотой реализации ~ 1 раз в год. При этом реальное количество попыток хищения согласно накопленной статистике может лежать, например, в диапазоне от 0,5 до 5 попыток в течении года.

Общий уровень уязвимостей, способствующих успешному осуществлению данной угрозы в нашей воображаемой организации, оценивается с учетом следующих факторов:

  • не производится регистрация оборудования и носителей информации, выносимых за пределы организации
  • не регламентированы правила работы в зонах безопасности, включая серверные комнаты, в которых размещается наиболее критичное оборудование и носители информации

С другой стороны, в организации могут приниматься определенные меры по противодействию угрозе хищения, включающие в себя, например:

  • наличие политики, регламентирующей правила работы сотрудников с мобильными носителями информации
  • наличие политики возврата оборудования, носителей информации и документов при увольнении сотрудников из организации
  • контроль входа-выхода на ресепшене сотрудниками охраны в сочетании с видеонаблюдением
  • наиболее критичное оборудование и носители конфиденциальной информации размещаются в зонах безопасности, доступ в которые ограничен

Взвешивая перечисленные выше уязвимости с одной стороны и механизмы контроля – с другой, мы можем прийти к выводу о том, что далеко не каждая попытка хищения из организации будет успешной, а лишь примерно половина их них. Это позволяет нам оценить суммарный уровень уязвимости как Средний, что примерно соответствует 50% вероятности успеха в случае реализации данной угрозы.

В качестве информационного актива, в отношении которого рассматривается угроза хищения, возьмем для примера проектную документацию организации. Хищение носителя с проектной документацией может привести к попаданию данной информации к конкурентам и, как следствие, потере конкурентных преимуществ для организации. Кроме этого, попадание проектных документов в открытый доступ, может привести к нарушению конфиденциальности информации третьих лиц, являющихся клиентами данной организации. В результате придется уплачивать штрафы по искам этих третьих лиц на основании заключенных с ними соглашений о конфиденциальности. Помимо этого, репутации организации в данном случае будет нанесет ощутимый урон, который выльется, в конечном счете, в сокращении числа клиентов, заказов и уменьшении выручки.

Предположим, что по результатам обсуждения и анализа данных предполагаемых последствий с менеджерами организации ценность проектной документации была оценена по уровню 2, что соответствует среднему ущербу в 4 млн. руб. (см. раздел «Калибровка шкалы оценки рисков» выше). Реальный ожидаемый ущерб при этом может находиться, например, в диапазоне от 3 до 5 млн. руб.

Среднегодовой ущерб (ALE) рассчитывается по формуле:

ALE = [размер ущерба] × [количество инцидентов в год] × [вероятность успешной реализации угрозы].

В нашем случае, ожидаемый среднегодовой ущерб от физического хищения проектной документации,  вычисляется следующим образом:

ALE ~ 4 млн. × 1 × 0,5 = 2 млн. руб.

Это средний уровень риска, равный 4, согласно откалиброванной выше качественной шкале. Полученное значение ALEне является точным и всегда обозначает лишь порядок величины. Реальное ALEможет лежать в диапазоне от 0,3 до 3 млн. руб.

Из приведенного примера видно, что наша оценка риска не претендует на то, чтобы быть точной. Реально нас интересует лишь диапазон, в который попадает величина ALE. На практике этого вполне достаточно для ранжирования рисков и принятия экономически обоснованных решений по их обработке.

Калибровка шкалы оценки риска

Как мы уже разобрались выше, качественная оценка риска, не привязанная к какой-либо количественной шкале, может быть полезна для правильной расстановки приоритетов, однако сама по себе не дает представления о масштабах возможной проблемы и вероятных потерях организации. Для того чтобы качественная шкала оценки риска приобрела смысл для руководства организации, необходимо сопоставить ей количественные диапазоны среднегодовых потерь организации. Эту процедуру мы называем калибровкой качественной шкалы оценки риска.

Среднегодовые потери мы выражаем в денежных единицах. Этот способ является наиболее естественным. В деньгах могут быть выражены практически любые виды потерь. Если речь идет об ущербе для имиджа и репутации организации, то, очевидно, что формирование имиджа и его восстановление стоит определенных денег и соответствующие расходы также можно оценить. Поддается денежной оценке и упущенная коммерческая выгода, и потеря конкурентных преимуществ, и моральный ущерб, и отток клиентов. Открытие и закрытие уголовных дел, снятие и назначение руководства, ученые степени и звания, а также решение любых других проблем, включая проблемы со здоровьем, стоит определенной суммы денег. За деньги нельзя купить разве что любовь и еще некоторые вещи, которые не имеют никакого отношения к информационным рискам (хотя даже такие устоявшиеся представления некоторыми прагматиками все же подвергаются сомнению).

Если денежные единицы в каких-то случаях не подходят в качестве меры возможного ущерба, то можно использовать и другие меры ущерба, такие, например, как уровень лояльности клиентов или доля рынка. Главное, чтобы эти меры были понятны и удобны для руководства организации, которое должно принимать осознанные решения, опираясь на результаты оценки рисков.

Рассмотрим пример калибровки качественной шкалы оценки риска, в ходе которой определенным уровням риска сопоставляются соответствующие размеры среднегодовых потерь.

Пусть мы имеем информационный актив, ценности которого присвоено значение 2, что согласно принятым в организации критериям оценки финансового ущерба соответствует потерям порядка 3–5 млн. рублей. Возьмем среднее значение размера ущерба ~ 4 млн. руб. (для нас важна не точность, а порядок величины).

Вероятность угрозы в отношении данного актива оценивается как С (средняя), что соответствует примерно одному случаю в год согласно принятой у нас шкале оценки угроз. Это также может быть 2 или 3 случая в год либо один случай в два года, но не 100 случаев в год (это мы считаем высокой вероятностью) и не один раз в пять лет (это мы считаем низкой вероятностью).

Уровень уязвимости данного актива в отношении рассматриваемой угрозы оценивается как С (средний), что примерно соответствует 50% вероятности успешного осуществления угрозы. Другими словами, мы ожидаем, что примерно каждая вторая попытка компрометации данного актива будет успешной.

Согласно приведенной выше таблице оценки риска, данным значениям ценности актива (2), угрозы (С) и уязвимости (С) соответствует уровень риска – 4.

Среднегодовой ущерб (ALE) рассчитывается по формуле:

ALE = [размер ущерба] × [количество инцидентов в год] × [вероятность успешной реализации угрозы].

В нашем случае имеем:

ALE ~ 4000000 × 1 × 0,5 = 2000000 руб.

Таким образом, принимая риск, равный 4, в данном случае организация должна смириться со среднегодовыми потерями в несколько миллионов рублей. Аналогичным образом вычисляются среднегодовые потери организации по каждому качественному уровню риска.

Организация в зависимости от масштабов своего бизнеса должна сама сформировать критерии оценки ущерба, шкалы оценки угроз и уязвимостей, а затем откалибровать свою качественную шкалу оценки риска. Так, если стоимость бизнеса организации составляет порядка 100 млн. руб., то для такой организации максимальный риск (равный 8 по нашей шкале) сопоставим с потерей всего бизнеса или его большей части. Минимальный уровень риска (равный 0 по нашей шкале) соответствует отсутствию среднегодовых потерь либо минимальным потерям, не превышающим, например, 10 тыс. руб. в год.

Для рассматриваемой организации откалиброванная качественная шкала оценки риска может выглядеть следующим образом:

  • Низкий риск:

—         уровень 0 – 0 < ALE < 10 тыс. руб.;

—         уровень 1 – 10 тыс. руб. < ALE < 50 тыс. руб.;

—         уровень 2 – 50 тыс. руб. < ALE < 150 тыс. руб.

  • Средний риск:

—         уровень 3 – 150 тыс. руб. < ALE < 300 тыс. руб.;

—         уровень 4 – 300 тыс. руб. < ALE < 3 млн. руб.;

—         уровень 5 – 3 млн. руб. < ALE < 10 млн. руб.

  • Высокий риск:

—         уровень 6 – 10 млн. руб. < ALE < 30 млн. руб.;

—         уровень 7 – 30 млн. руб. < ALE < 50 млн. руб.;

—         уровень 8 – 50 млн. руб. руб. < ALE.