четверг, 27 октября 2011 г.

Практика ИБ \ FAIR - методология анализа рисков (Часть 2)


В этой части рассмотрены следующие вопросы:
  • Риск и анализ рисков
  • Определение риска
  • Цель моделирования риска
    • Ограничения анализа рисков
    • Оценка методов анализа рисков
  • Вероятности и возможности
  • Ошибки
    • Решения ведут к неопределенности
    • Толерантность к риску
  • Резюме


Наша первая задача состоит в определении характера проблемы, которую мы пытаемся решить, – то есть что такое риск? В этом разделе мы кратко рассмотрим природу риска и некоторые  простые истины анализа рисков.


Риск – это вероятная частота и вероятная величина будущих потерь

В этом определении есть три важные вещи. Первое и самое очевидное: риск - это вопрос вероятности. Мы будем рассматривать это подробно далее, поэтому сейчас просто отметим этот факт. Второе: риск состоит из двух компонентов - частота и величина потерь. И третий момент, который нужно отметить здесь: данное определение риска одинаково хорошо применимо к любому виду риска - инвестиционному, рыночному, кредитному, правовому и т.д. (в т.ч. к информационному риску). Другими словами, фундаментальная природа риска универсальна, независимо от контекста. И это очень хорошо, поскольку концепции риска были хорошо изучены поколениями специалистов в других областях, откуда можно почерпнуть массу полезной информации. Тем не менее, мы часто подходим к информационным рискам так, как будто они сильно отличаются от других областей рисков. Это одно из первых препятствий, которые нужно преодолеть, если мы действительно хотим понять наши проблемы.


Целью любого анализа рисков является предоставление лицу, уполномоченному принимать решения, всей возможной информации о вероятности ущерба. Следовательно, крайне важно, чтобы это лицо одобрило используемую методологию анализа рисков, и определило форму предоставления информации, чтобы она была действительно полезна для него. Недостатки традиционных методов "анализа рисков" ИБ станут ясны по мере изучения этого документа.


Анализ рисков не совершенен. Дело в том, что любые модели анализа риска только приблизительно соответствуют реальности, потому что реальность слишком сложна, чтобы точно смоделировать ее. Тем не менее, при разложении сложного предмета анализа на отдельные более ясные и проще анализируемые компоненты, мы можем лучше понять исходный предмет и сделать в отношении него обоснованные суждения.

Любая модель анализа будет ограничена сложностью предмета, глубиной его понимания и качеством отражения этого понимания в модели.


FAIR является лишь одним из множества методов анализа рисков. Многие преданные своему делу люди занимаются развитием других методов, преследуя те же цели. Это очень хорошо для тех, кто пытается быть максимально эффективным в управлении рисками. Однако, при выборе метода анализа рисков, оценивайте его по следующим трем критериям:
  • Он полезен?
  • Он логичен?
  • Он соотносится с реальностью?
Метод полезен, если он отвечает потребностям людей, принимающих решения по обработке риска. Если наш анализ дает информацию об эффективности работы средств безопасности в сети компании, а людям, принимающим решения, нужна информация о вероятности инцидентов и величине ущерба, такой метод не может быть полезным. Аналогично, если мы предоставляем метрики "ключевой индикатор риска" (key risk indicator), но при этом нет четкой связи между условиями, описываемыми метрикой, и вероятностью ущерба, то такие метрики – не более чем показуха.

Логика некоторых из реально используемых методов "анализа рисков" разваливается при внимательном рассмотрении. Хотя эти методы называются анализом риска, в действительности они анализируют только отдельные элементы риска (например, только степень уязвимости или эффективность защитных мер). Тем не менее, эти методы могут отлично подходить для анализа именно этих элементов, поэтому не следует игнорировать их. Нужно просто понять, что они позволяют сделать, а что – нет. Есть простой способ, чтобы понять, является ли метод анализа рисков полноценным. Для этого нужно убедиться, что он включает в себя анализ частоты реализации угрозы, уровня уязвимости и вероятной величины ущерба, при этом риск должен рассматриваться в нем с точки зрения вероятности. Если один или несколько из этих компонентов отсутствуют, или риск не рассматривается с точки зрения вероятности, то логично предположить, что это не является методом анализа рисков.

Последним моментом, который нужно учесть, является соответствие реальности. Он особенно важен. Рассмотрим простой пример. Как показывает практика, уровень защищенности большинства внутренних корпоративных сетей и систем не очень высок (по крайней мере, по сравнению с теоретическими «лучшими практиками»). Однако относительно небольшое количество компаний реально понесли большие потери, вызванные этим фактом. Безусловно, такие события случаются и пренебрегать их вероятностью не следует, однако они случаются на удивление редко, несмотря на распространенность плохих практик безопасности. Реалистичный анализ рисков должен отражать этот факт. Другими словами, эффективный анализ рисков в среднестатистической корпоративной ИТ-среде должен (в большинстве случаев) показать очень небольшое количество действительно высоких рисков, несмотря на то, что организация защиты может не соответствовать лучшим практикам.

Специалисты по ИБ очень хорошо могут оценивать технические защитные меры и средства в ИТ-среде (например, длина и сложность паролей, правильность настройки прав доступа, правил межсетевого экрана, актуальность антивирусных баз, наличие системы IPS и т.д.). Также, мы хорошо знаем основные не технические меры безопасности (политики безопасности, уровень осведомленности пользователей, поддержка руководством программы безопасности и т.д.). Но защитные механизмы – это только часть уравнения риска. По сути, эта часть связана только с уровнем уязвимости. А уровень уязвимости всегда зависит от типа и уровня применяемой силы, как это было сказано во введении. Если мы оцениваем только защитные механизмы и при этом называем результат такой оценки «уровнем уязвимости», мы делаем существенные предположения в отношении уровня и типа соответствующей угрозы. Чтобы эффективно оценивать риски, необходимо учитывать все компоненты риска.

Если вы оцениваете методику анализа рисков (в т.ч. FAIR), задавайте сложные вопросы. Убедитесь в том, что она отвечает потребностям лиц, принимающих решения, что она логична и соответствует реальности.


Возможность (possibility) – это двоичное значение: что-то либо возможно (т.е. 100%), либо нет (т.е. 0%). Вероятность (probability) – это значение, находящееся где-то между абсолютной уверенностью (100%) и невозможностью (0%).

Автор нередко встречал руководителей и других людей, которые считали специалистов по ИБ параноиками, постоянно твердящими, что небо вот-вот упадет на землю. К сожалению, такая точка зрения часто оказывается обоснованной. Мы привыкли говорить «это может случиться» (возможность), но не привыкли говорить о вероятности этого.

Простой факт состоит в том, что риск – это всегда вопрос вероятности. Рассмотрим разницу между двумя вариантами игры в "русскую рулетку": в первом случае используется обычный шестизарядный револьвер, а во-втором – полуавтоматический. В обоих случаях он заряжается только одним патроном. Рассмотрим возможности. Они для обоих вариантов равны и составляют 100%, т.к. и в том и в другом случае пистолет может выстрелить и игроку будет нанесен ущерб. Однако вероятности для этих вариантов существенно различаются. В первом случае вероятность негативного исхода составляет около 17%. Во втором случае – около 100% (все-таки возможна осечка). Разумеется, в такие игры лучше не играть вообще, но если бы кому-то пришлось выбирать между этими двумя вариантами, он бы основывал свой выбор на вероятности, а не только на возможности. Лица, принимающие решения, хотят получать и нуждаются в столь же качественной информации.

Возникает естественный вопрос, как мы можем определить вероятность, когда для этого слишком мало эмпирических данных, касающихся информационных рисков. Более того, даже среди имеющихся у нас данных по этому вопросу, большая их часть не заслуживает доверия. Чтобы сделать правильные выводы, необходимо основываться на достаточно точных, актуальных и статистически значимых выборках данных. В сфере информационных рисков точность существующих данных вызывает серьезные сомнения, потому что они не могут быть нормализованы с помощью стандартной классификации (из-за наших терминологических сложностей, то, что один человек считает «уязвимостью», другой считает «угрозой» и т.п.). Это отсутствие систематизированной основы также является серьезной проблемой из-за огромной сложности и разнообразия наших "ландшафтов" риска (risk landscape) и того факта, что данные, которые мы имеем сегодня, не содержат подробной информации в отношении соответствующих факторов риска. Например, ежегодное исследование CSI/FBI не приводит конкретных сведений об условиях, существовавших в компаниях, в которых произошли инциденты безопасности, нанесшие ущерб, по сравнению с условиями в компаниях, в которых такие инциденты не произошли. Кроме того, проблемой является высокая скорость изменений, происходящих в "ландшафте" рисков, которые сводят к минимуму полезное время жизни данных.

Однако отсутствие хороших данных не освобождает нас от обязанности работать с рисками, как с вопросом вероятности. Нам следует обратить внимание на методики анализа (основанные не на выборках данных), дающие реальный практический результат, которые успешно применяются в различных областях, например, при постановке медицинского диагноза, нацеливании ракет, управлении ракетным двигателем, а также в маркетинге и инвестициях.


Предсказывать очень сложно, особенно будущее
(Нильс Бор)

Многие люди чувствуют себя очень неуютно, когда они сталкиваются с необходимостью оценки вероятности, особенно если они считают, что на них может быть возложена ответственность за эту оценку, если в будущем все пойдет не так, как они предсказывали.

Анализ рисков основан на определении вероятности. Если вы делаете это достаточно часто, рано или поздно вы столкнетесь с ситуацией, когда будущее будет развиваться таким образом, что другие сочтут, что вы были неправы. Нельзя исключить возможность того, что вы ошибетесь в своем прогнозе – все мы люди, в конце концов. Но даже если ваш анализ был идеален, будущее все равно остается неопределенным. Хорошим примером является пара игральных костей. Оцените вероятность того, что при их броске выпадет две шестерки. Вы можете уверенно сказать, что эта вероятность равна около 2,7% (другими словами, две шестерки будут выпадать примерно один раз за тридцать шесть бросков). Теперь представьте, что две шестерки выпали сразу же, при первом броске. Значит ли это, что вы оценили вероятность неправильно? Нет! У вас не было никакого основания ожидать этого, пока вы не увидели эти две шестерки после первого броска. Очень важно понимать, что определение вероятности – это совсем не то же самое, что предсказание будущего.


Каждый раз, когда мы вынуждены принимать решения, мы делаем это, не зная точно, к чему они приведут. Мы можем быть почти уверены в результате, но ничего не может дать абсолютную уверенность в будущем. Эта неопределенность вызывает риск, т.к. результат решения может оказаться нежелательным.

Однако хорошей новостью здесь является тот факт, что большинство предпринимателей и руководителей сами очень хорошо это понимают. Они знают, что никаких гарантий не может быть в принципе, и что сама природа бизнеса влечет за собой неопределенность и риск. Они также понимают, что такое вероятность, и ценят анализ, проведенный в понятиях риска, а не понятиях «это может произойти». Анализ в стиле «это может произойти», как правило, рассматривается как подход паникера, такой анализ не имеет большого значения для человека, принимающего решения. Ему нужно понять вероятность потерь (т.е.уровень риска), чтобы он мог сопоставить ее с вероятностью получения и размером прибыли.


Одним из вопросов, на который FAIR и другие методики анализа рисков никогда не дадут ответа, является вопрос – приемлем ли данный уровень риска. Анализ рисков может определить только, насколько велик существующий риск. Мы можем рисовать линии на графиках и устанавливать различные критерии, которые показывают различие между приемлемым и неприемлемым риском, но, в конце концов, вопрос приемлемости – это очень человеческий и личный вопрос. Лицо, принимающее решения, всегда делает выбор между риском и вознаграждением, или между различными рисками. В этом и заключается решение по риску – выбор между вероятностью потерь (риском) и вероятностью награды. Анализ рисков дает только половину информации, необходимой для принятия решения.

Кроме того, нужно иметь в виду, что толерантность к риску уникальна для каждого человека. Каждый из нас имеет собственное восприятие в отношении величины допустимых  потерь. Более того, это восприятие меняется в зависимости от конкретного вопроса. Например, человек может считать совершенно неприемлемыми финансовые потери свыше тысячи долларов, но при этом он может увлечься прыжками с парашютом, хотя при этом на карту поставлена его собственная жизнь. Поэтому нам не следует сильно беспокоиться о том, что другие иначе воспринимают потенциальные последствия и имеют иное представление о допустимом уровне риска. Такие различия абсолютно нормальны, естественны и неизбежны.


Информационные риски являются сложным предметом, и многие ставят под сомнение, что специалисты по ИБ могут эффективно справиться с этой задачей. Нужно добавить, что FAIR не является идеальным решением этой проблемы. Идеального решения вообще не существует. Тем не менее, FAIR дает возможность рационально, эффективно и обосновано решить эту проблему.

Комментариев нет: