1.3.10. Интерпретация характеристик риска для управления ИБ

1.3.10. Интерпретация характеристик риска для управления ИБ

Универсальной моделью измерения уровня ИБ, позволяющей сравнивать результаты оценок ИБ для разных видов целенаправленной деятельности, — модель, основанная на измерении совокупности характеристик риска или риск-факторов.

Будем считать, что оценка уровня ИБ построена на основе некоторой полной модели (модели нулевого риска), описывающей объект некоторой совокупностью реализуемых им процессов деятельности. Отклонения в реализации процессов будут порождать риски, связанные с их неправильным функционированием (из-за некачественных входных данных или исходного сырья, ошибок персонала, отсутствия должного обеспечения процессов, неправильной поддержки жизненного цикла используемого оборудования и программного обеспечения, злоумышленных действий и т. п.), приводящие в конечном итоге к снижению качества вырабатываемого продукта и другим потерям и негативным последствиям. Оценка ИБ при этом получается двухуровневой:

— характеристики риска каждого процесса, измеряемые по отклонению (отличиям) параметров этого процесса от параметров модели нулевого риска;

— интегральная характеристика совокупного или агрегированного риска, вычисляемая некоторым способом по характеристикам риска отдельных процессов с учетом пересечения множеств факторов.

Эти характеристики риска (т. е. полученные цифровые оценки) ничего не означают до тех пор, пока не накоплено определенное эмпирическое знание о процессах. Идея накопления такого знания в области ИБ состоит в привязывании к этим характеристикам происходящих инцидентов и связанного с ними ущерба. Таким образом, полученная оценка интерпретируется как некий связанный с ней прямой ущерб или негативные последствия, также оцененные по некоторой методике в виде ущерба. Связь оценки с потерями может быть пропорциональной или нет, все зависит от способа агрегирования риска. Описанный процесс интерпретации для случая агрегированного риска иллюстрируется рис. 10.

Обобщенные данные по инцидентам формируются с некоторой периодичностью и оформляются в виде отчетов, содержащих результаты расследования и анализа происшедших инцидентов. Эти результаты, среди прочего, содержат суммарную величину ущерба за отчетный период, полученного от инцидентов. Сопоставляя эту величину с интегральной оценкой, характеризующей риск и вычисленной в начале отчетного периода, можно получить множество точек в координатах «ущерб, риск», по которым может быть построена соответствующая зависимость. С использованием полученной зависимости возможно выполнить прогноз ущерба для следующего интервала отчетности. Риск принимается, если прогнозируемый ущерб будет меньше допустимого значения. В противном случае риск должен обрабатываться.

Предполагается, что интервалы отчетности одинаковы по величине. При необходимости прогноза ущерба на более короткий или более длинный интервал по сравнению с интервалом отчетности зависимость должна соответствующим образом трансформироваться. Если говорить о тенденциях, то при более длинных интервалах ущерб при одной и той же интегральной оценке риска будет возрастать, а при более коротких интервалах сокращаться (см. графики на рис. 10 справа).

Обработка риска предполагает воздействие на объект, в результате которого должна происходить некоторая его реструктуризация. Сила этого воздействия может быть измерена величиной инвестиций, необходимых для реструктуризации и улучшения функционирования процессов, приводящих в конечном счете к уменьшению ущерба. При этом можно использовать разные стратегии: инвестировать понемногу во все процессы или выбрать для инвестирования какую-то группу процессов. Один из подходов, иллюстрация которого приведена на рис. 11, предполагает накопление ряда значений оценок ущерба для каждого из процессов с учетом инвестиций. В результате может быть построена зависимость, характеризующая чувствительность процесса к инвестициям. Разные процессы могут находиться в разном состоянии и поэтому иметь разную чувствительность к инвестициям. Одни процессы имеют линейную зависимость (см. рис. 11, верхний график), другие требуют для получения нужного эффекта больших начальных вложений (нижний график), третьи процессы близки к насыщению, и слишком большие инвестиции в них не дадут нужного эффекта (средний график на рис. 11).

Например, установка сетевого экрана с функциями обнаружения вторжений в условиях, когда его не было и для защиты компьютеров во внутренней сети использовались средства, штатно имеющиеся в составе их ОС, потребует сразу больших инвестиций. Когда же этот экран установлен и необходима лишь корректировка правил фильтрации и настройка системы обнаружения вторжений, то вложения будут относительно небольшими, причем эффект от этого мероприятия будет ограничен теми возможностями по настройке, которые есть в имеющемся оборудовании. Затраты на сверхтонкую настройку при ограниченности возможностей, как правило, не оправдывают себя.

Размер инвестиций определяется величиной прогнозируемого ущерба, поскольку если на преодоление риска требуется ресурс больший, чем потери, то нет смысла обрабатывать риск. В приводимом на рис. 11 примере размер инвестиций таков, что в нижний процесс на рисунке его не имеет смысла вкладывать. Второй процесс имеет смысл инвестировать в небольшом объеме. Оставшуюся часть целесообразно инвестировать в первый процесс.

В рассмотренных иллюстрациях цикл накопления знаний вырождается в совершенствование обработки риска. Отметим, что построение использованных в примерах зависимостей по эмпирическому опыту чаще всего окажется невозможным. Назначение рассмотренных примеров — облегчить понимание природы связи абстрактных оценок риска с имеющейся практикой. Это понимание облегчит и позволит совершенствовать обработку риска даже в том случае, когда она делается на основе экспертных оценок.