пʼятницю, 13 січня 2012 р.

RA: В поисках "формулы": часть I-я


Ее строгость, наглядность, простота 
настолько очевидна, что не просто радует глаз
но и затуманивает разум


Что может быть прекрасней формулы расчета ИТ рисков

R = T x V x A, или более подробно Risk = Threat * Vulnerability * Asset Value

Очень красиво и наглядно. Не правда ли? Дело осталось за малым: понять, как ее использовать на практике.





И так, перед нами формула предназначенная помочь определить величину Риска. Здесь и дальше под риском будем понимать Риск информационной безопасности (information security risk) в терминах  ISO/IEC 27005:2008:

information security risk - the potential that a given threat will exploit vulnerabilities of an asset or group of assets and thereby cause harm to the organization. It is measured in terms of a combination of the probability of an event and its consequence. (потенциальная возможность того, что угроза будет использовать уязвимость актива или группы активов, причиняя таким образом ущерб организации. Она измеряется в терминах комбинации вероятности события и его последствий.)

Раз нам (нашей организации) может быть причинен ущерб, том хотелось знать его величину и очень было бы здорово, если бы эта «величина» была представлена в денежном выражении.

Казалось бы, какие проблемы? Формула уже есть, операции арифметические, не будем терять время.



Раунд №1
Вначале необходимо определить, что же нам подставить в качестве Threat, Vulnerability и Asset Value.

Одно из мнений, которое я встречал, и мне показалось достаточно распространенное, что в данной формуле фигурируют следующие переменные:
T – Threat – вероятность реализации угрозы (вероятность атаки)
V -Vulnerability – величина уязвимости, как вероятность, того что уязвимость может быть использована угрозой и активу будет нанесен вред
A - Asset Value – стоимость актива (а еще лучше Impact Vаlue – величина воздействия)

Данное предположение достаточно тесно перекликается с «Risk is a function of the likelihood of a given threat-source’s exercising a particular potential vulnerability, and the resulting impact of that adverse event on the organization.» (NIST SP800-30, 2002).

Трудно не согласиться, что риск - это функция угрозы, уязвимости и величины ущерба нанесенного активу. Правда пока не понятно, откуда следует, что данная зависимость именно такая, как это отражено в формуле?

Давайте попробуем, что ни будь посчитать.

Задача: То ли из опыта предыдущих периодов, то ли по прогнозу экспертов (источник данных в данном посте не рассматривается) 50% атак в месяц, которым мы подвергаемся, направленны на нашу систему  «дистанционного банковского обслуживания (ДБО)». При этом, существует 20%-я вероятность, того  что «охотникам за деньгами»  удастся воспользоваться уязвимостью, обойти защиту и завладеть нашими деньгами.

Сделаем предположение, что «охотники» самые злые и если уж доберутся до денег, то заберут все (Impact Value=Asset Value).

Если исходить из того, что атаке подвергается наш расчетный счет, где среднедневной остаток составляет 100 000 грн, то мы получаем:

R = T x V x A = 0.5 x 0.2 x 100 000 = 10 000 грн

Для меня самая главная сложность, после таких вычислений описать словами, что же здесь написано. Что? Угроза, реализуя известную нам уязвимость будет (в среднем) причинять нам ущерб 10 000 грн в месяц?

Ерунда какая-то. Уж если доберутся, то мы потеряем 100 000… 
Что не так?



Раунд №2
Хорошо, 50% - это как то непонятно, попытаемся конкретизировать: пусть в месяц атакующие предпринимают 10 попыток атаковать нашу систему ДБО. Тогда при той же вероятности, что им удастся воспользоваться уязвимостью, получается

R = T x V x A = 10 x 0.2 x 100 000 = 200 000 грн

Вот это уже больше на что-то похоже, так как позволяет ответ сформулировать следующим образом: если мы ничего не будем предпринимать, то по мнению наших экспертов, мы можем терять до 200 000 грн ежемесячно.

Ну как? Вроде неплохо!

Естественно после таких расчетов раздается: Как 200 тысяч? Нет. Этого допустить нельзя, давайте действовать. Сколько надо на ликвидацию уязвимости? Неделя? (ага раз 200 тысяч в месяц, то за неделю 50 тысяч, ничего выдержим, но уже сделаем и забудем) Неделя? ОК. Действуем!

Каково же будет наше удивление, когда уже на второй день станет известно, что у нас похищено 200 000 грн

Эксперты ошиблись? – Нет. Просто «полезность» формулы достаточно ограничена.

Кстати неплохо, что я предложил пример с расчетным счетом, где деньги «уходят» и «приходят». А представим, что счет депозитный, чего стоит результат о возможных потерях в 200 000 если у нас всего 100 000?



Получилось «много слов», надо остановиться и подумать… Но как не крути 2:0 в пользу неопределенности.

Продолжение следует…

2 коментарі:

  1. Посмотрите более подробно про ALE и SLE. Может появится несколько новых идей. :)))

    Вот тут например неплохо расписано - http://dorlov.blogspot.com/2009/05/issp-01-5.html

    ВідповістиВидалити
  2. Андрей, новые идеи надеюсь появятся, но здесь бы со старыми разобраться ;-)))

    ВідповістиВидалити