вторник, 25 октября 2011 г.

Практика ИБ \ FAIR - методология анализа рисков (Часть 1)

Начинаю новую серию постов, посвященную переводу введения в методологию анализа информационных рисков FAIR (Factor Analysis of Information Risk - Факторный анализ информационных рисков). Автор методологии FAIR - Jack Jones (основатель Risk Management Insight).

FAIR не является самостоятельной методологией по управлению рисками, зато служит отличным дополнением к почти любой из имеющихся. Дело в том, в большинстве из имеющихся методологий и стандартов основное внимание уделяется построению комплексного процесса управления рисками, а вопросы непосредственной оценки рисков рассматриваются весьма поверхностно. Методология FAIR разработана как раз для устранения этого недостатка. Она  содержит детальную классификацию факторов, обуславливающих возникновение риска, определяет их влияние друг на друга и взаимосвязи между ними. Это позволяет адекватно оценивать частоту реализации рисков и масштабы потерь - именно то, что чаще всего вызывает трудности.

В этой части рассмотрены следующие вопросы:
  • Введение
  • Сценарий "Лысая шина"
  • Анализ сценария
    • Угроза
    • Уязвимость
    • Актив
    • Риск
    • Другие факторы
  • Наука и Искусство


Вы не можете эффективно и последовательно 
управлять тем, что вы не можете измерить; 
и вы не можете измерить то, что вы не определили…

Попросите нескольких специалистов по ИБ дать определение риска, и вы получите несколько различных ответов. Полистайте несколько книг по ИБ и вы, вероятно, увидите, что многие авторы используют понятия "риск", "угроза" и "уязвимость", как взаимозаменяемые (хотя, в действительности, это совсем не одно и то же). Дело в том, что в ИБ пока не принята стандартная терминология и классификация в этой области. Это приводит к неблагоприятным последствиям, с которыми многие из нас сталкиваются каждый день. Например, сложность убеждения руководства компании в необходимости серьезно отнестись к нашим рекомендациям, неэффективность использования ресурсов и т.д.

Эти проблемы говорят об отсутствии доверия, но мы часто реагируем на это фразой, типа «они (руководители) просто не понимают этого!». Однако наблюдения автора свидетельствуют об обратном – руководство, как раз, гораздо лучше понимает это. Эти люди постоянно участвуют в управлением рисками - это важная составляющая их работы. Похоже, что основные разногласия находятся в области терминологии и "видения": руководители думают о «рисках», а мы думаем о «безопасности», а это совершенно разные вещи.

Но есть и хорошие новости. Некоторые в нашей профессии признали необходимость сосредоточить внимание на рисках. Они разработали процессы и инструменты для анализа рисков, которые помогают нам в этом. Хорошо известными примерами являются FRAP и OCTAVE . Однако без четкого понимания того, что есть риск и какие факторы его вызывают, а также без стандартной терминологии, мы не можем последовательно и действительно эффективно использовать никакую методику. FAIR стремится исправить эту проблему, дать основу и набор инструментов для проведения анализа рисков. Важно отметить, что FAIR предназначен для дополнения и улучшения существующих методологий анализа рисков, а не для их замены. Имейте в виду, что некоторые аспекты методологии FAIR, могут не соответствовать привычным убеждениям и подходам, используемым в нашей профессии. FAIR требует изменения парадигмы, а это всегда не легко.

Риски и анализ рисков – это большие и сложные предметы. В данном документе описаны только основы методологии FAIR, позволяющие понять ее и получить возможность использовать на практике.


Прочитайте шаги приведенного ниже сценария. Останавливайтесь после каждого шага и спрашивайте себя, какие риски связаны с описанной ситуацией.

1. Представьте себе лысую автомобильную шину. Она настолько стерлась, что на ней уже не заметно никаких следов протектора. Насколько велики риски?

2. Теперь представьте, что эта лысая шина привязана веревкой к ветке дерева. Насколько велики риски теперь?

3. Далее, представьте, что веревка сильно изношена и наполовину протерта чуть ниже того места, где она привязана к ветке дерева. Каковы теперь риски?

4. Наконец, представьте, что эти "качели", сделанные из лысой шины, подвешены над 30-метровой пропастью с острыми камнями внизу. Как вы оцениваете риски теперь?


Большинство людей оценивают риск на последнем этапе сценария «Лысая шина», как «высокий». Но это неверно. Еще раз внимательно прочитайте шаги сценария. Воспринимайте буквально то, что написано, не придумывайте ничего лишнего. В самом деле, разве может падение на камни старой лысой шины привести к большому ущербу?!

Возможно, вы скажете, что вопрос задан некорректно: «раз это качели, очевидно же, что кто-то будет качаться на них!». Это разумный аргумент. При проведении анализа рисков действительно часто приходится делать предположения, т.к. невозможно заранее знать все. Тем не менее, предположения в том, что касается ключевых аспектов риска, могут серьезно исказить результаты анализа. Такие ключевые аспекты должны быть точно известны перед началом анализа.

Второй момент, на который нужно обратить внимание, это понимание того, что является угрозой, уязвимостью и риском в данном сценарии. Здесь мнения тоже часто расходятся. Одни считают изношенную веревку угрозой, уязвимостью и риском, другие – острые камни внизу. Пока мы не описали однозначно эти термины, действительно могут возникать разногласия, что может быть серьезной проблемой при обсуждении. Хотя нужно понимать, что профессиональный физик никогда не запутается в таких терминах, как масса и скорость, а бухгалтер никогда не спутает дебет с кредитом даже в неофициальной беседе. Если мы не можем внятно объяснить, что такое угроза, уязвимость и риск, это может снизить доверие к нам, как к профессионалам.

Третий момент заключается в том, что "высокого" риска не может быть при отсутствии вероятности значительного ущерба. Другими словами, не важно, какой опасности подвергается актив, если этот актив ничего не стоит. Для этого актива риск всегда будет невысок. Это связано с тем, что риск всегда включает в себя ценность подверженного риску актива. Если ли бы это было не так, спор на миллион долларов ничем не отличался бы от спора на один доллар.

И, наконец, нужно отметить, что многие отождествляют уязвимость с риском. Мы видим потертую веревку (или сервер, настроенный «по умолчанию») и автоматически делаем вывод, что риск высок. Но есть ли связь между уязвимостью и риском? Да, конечно, она есть. Но их зависимость не является линейной, т.к. уязвимость является только одним из компонентов риска. В уравнении расчета риска помимо уязвимости есть и другие ключевые компоненты – это частота реализации угрозы и величина потерь.

Итак, что же является активом, угрозой, уязвимостью и риском в описанном ранее сценарии «Лысая шина»? Чуть ниже будут даны подробные определения, но если сказать просто, то:
  • Актив – это наша лысая шина
  • Угроза – это земля и сила гравитации, которая прикладывается к шине и веревке
  • Потенциальная уязвимость – это протертость веревки (без учета вероятности гнилых веток, ствола дерева и т.д.)
А что с риском? Какая часть сценария представляет собой риск? В действительности, в сценарии нет ни одного компонента, на который мы можем указать и сказать: «Вот это риск!». Риск – это не вещь. Мы не можем увидеть его, потрогать или измерить линейкой. Как и скорость, которая является производным значением от расстояния и времени, риск является производным значением от ценности (стоимости). Риск – это сочетание частоты реализации угрозы, уязвимости и ценности актива, а также подверженности актива данной угрозе.

Чтобы закрыть вопрос с терминологией, кратко рассмотрим основные определения.


Разумным определением Угрозы является что-то (например, объект, вещество, человек и т.д.), что способно действовать против актива и нанести ему вред. Торнадо – это угроза, также как наводнение или хакер. Ключевым моментом здесь является то, что угроза применяет определенную силу (вода, ветер, эксплойт и т.д.) в отношении актива, что может привести к ущербу для этого актива.


Возможно, вы не обратили внимание на подчеркнутое слово «потенциальная» уязвимость, когда мы говорили про протертую веревку. Но это действительно только потенциальная уязвимость. Сначала мы должны ответить на вопрос – к чему она уязвима? Если наша протертая веревка все еще способна выдержать 500 килограмм, то ее уязвимость при висящей на ней шине будет близка к нулю. Если мы включим в наш сценарий белку, которая будет грызть протертую веревку, белка также будет являться угрозой, и уязвимость веревки к этой новой угрозе будет определяться ее твердостью. Например, стальной трос (даже протертый) вряд ли будет сильно уязвим к воздействию нашего пушистого друга. Уязвимость всегда зависит от типа и уровня применяемой силы.


В контексте информационного риска, мы можем определить Актив, как некие данные, устройство или иной компонент среды, поддерживающий связанную с информацией деятельность, к которому может быть получен несанкционированный доступ, который может использоваться ненадлежащим образом, несанкционированно раскрываться, изменяться, уничтожаться и/или может быть украден, что приведет к ущербу. Часто возникает вопрос, является ли активом репутация компании? Очевидно, что репутация является важным для компании активом, но она не может считаться информационным активом в соответствии с данным определением. Да, репутация может быть повреждена, но это вторичные последствия инцидента. Например, вред репутации может нанести утечка конфиденциальной информации о клиентах, но основным активом в данном случае все же является информация о клиентах.


Следующее определение применимо к любому риску – это может быть инвестиционный риск, рыночный риск, кредитный риск, информационный риск или любой другой. Риск – вероятная частота и вероятная величина будущих потерь. Иными словами, как часто может происходить что-то плохое и к каким последствиям это, скорее всего, будет приводить. Как было сказано ранее, эти вероятности являются производными от комбинации уровня угрозы, уязвимости и ценности актива.


Мы пока не рассмотрели камни, о которых шла речь в сценарии «Лысая шина» - как они вписываются в уравнение риска? Они не являются угрозой, поскольку они не вызывают событие реализации риска, и, очевидно, они не являются уязвимостью, которая позволяет этому событию произойти. Следовательно, этот компонент (камни) может быть рассмотрен, как вторичный фактор ущерба, потому что его наличие способствует увеличению ущерба от реализации риска. В качестве примера из реальной жизни, можно привести штрафы от надзорных органов в случае инцидента безопасности (например, утечки сведений о клиентах). В данном контексте, законодательство и надзорные органы не являются угрозами, вызвавшими инцидент. Они также не являются технологической, процедурной или иной уязвимостью, которая позволила инциденту произойти. Тем не менее, они оказывают влияние на итоговую величину ущерба, и поэтому они должны быть учтены в процессе анализа рисков (кстати, бывают и сценарии, в которых надзорные органы могут быть классифицированы в качестве факторов угрозы, например, когда они проводят проверки).


Управление информационными рисками сегодня больше похоже на искусство, чем на науку. В чем разница? Наука начинается с анализа природы рассматриваемого вопроса – формулирования сути и определения масштабов проблемы. После этого можно рассматривать форму, а затем обосновывать теории и гипотезы, которые обеспечат более глубокое понимание. Это понимание даст средства, чтобы объяснить и более эффективно управлять этой проблемой.

Искусство, с другой стороны, не действуют в пределах четко определенных рамок или определений. В связи с этим, невозможно сформулировать рациональное объяснение или провести расчеты на основании такого творческого подхода. Наглядным примером является шаманизм. Шаман размахивает костями или приносит жертвы богам. Он назначает больному лекарство, основываясь на знаниях, полученных от предков («лучших практиках»). У некоторых шаманов может быть хорошо развита интуиция и они могут быть очень чувствительны к различным условиям сценария, что может позволить им выбирать действительно разумное решение в большинстве случаев. Но шаман не может рационально объяснить своего анализа, он не может сказать, почему его лечение помогает (или, иногда, не помогает). Хотя нам хотелось бы верить, что лучшие практики, как правило, эффективны (человек склонен применять то, что оказалось успешным в прошлом), такое допущение может быть очень опасно. Лучшая практика часто основывается на давних шаманских решениях, которые, предположительно, подходят любому, поэтому она может развиваться медленнее, чем условия, в которых она используется. Такая «лучшая практика» может использоваться в качестве костыля – например, «я не могу объяснить, почему это так, поэтому я просто говорю, что все так поступают».

Нет никаких сомнений, что интуиция и опыт являются важнейшими вещами, незаменимыми в нашей работе. Это верно почти для любой профессии. И все же, сами по себе, они часто являются бездоказательными и не могут использоваться в качестве конкретных величин при расчетах.

В последнее время в нашей профессии начало уделяться большое внимание метрикам. Обратите внимание, метрики и наука – это не одно и то же. Можно измерить некоторые параметры или посчитать количество каких-либо событий, но при отсутствии логичного и рационального понимания контекста, к которому относится метрика, результатом будут просто цифры. Кроме того, в отсутствие фундаментального понимания предмета, слишком легко неправильно истолковать и неправильного использовать данные. Чтобы метрики были действительно полезны, мы должны хорошо понимать предмет измерений.

Мы не можем последовательно и эффективно управлять тем, что мы не можем измерить, и мы не можем измерить то, что мы не определили. Первое, что мы должны сделать, чтобы перейти от искусства к науке, это определить предмет измерений. Что такое информационный риск? Каковы создающие его факторы, и как они соотносятся друг с другом? После того как мы определили предмет, как мы можем его измерить? Как нам смоделировать и оценить сложные сценарии рисков, с которыми мы можем столкнуться? Если нам все же удалось сделать все это, как мы можем сформулировать описание риска для ответственных лиц, которым нужна эта информация для принятия решения?

FAIR предоставляет обоснованную и логичную основу для ответа на эти вопросы:
  • Классификация факторов, из которых состоит информационный риск. Это обеспечивает концептуальное понимание информационного риска, без чего мы не сможем разумно и обоснованно сделать все остальное. Классификация также дает набор стандартных определений для наших терминов.
  • Методика измерения факторов, которые ведут к возникновению информационного риска, в т.ч. частота реализации угрозы, уязвимость и ущерб.
  • Схема расчетов, которая позволяет получить величину риска, путем математического моделирования взаимоотношений между измеряемыми факторами.
  • Имитационная модель, которая позволяет нам применять классификацию, методику измерения и схему расчетов с целью построения и анализа сценариев риска практически любого размера и сложности.
В рамках этого документа будут рассмотрены не все элементы FAIR. Например, в данном документе упрощен подход к измерениям, не рассматриваются детали схемы расчетов, а имитационная модель не рассматривается вообще. Тем не менее, данный материал обеспечивает основу для лучшего анализа рисков и готовит почву для изучения дополнительных материалов по этой методике.

Содержание • Следующий раздел >>>

6 комментариев:

Сергей комментирует...

Риск-менеджмент - это искусство! +стопицот

Ригель комментирует...

Блин, уже на протяжении 2.1 - 2.1.3 угрозу то атакой, то источником угрозы несколько раз подменили.
Но подача выше всяких похвал.

Алексей Волков комментирует...

Ригелю: автор тем самым погружает читающего в существующие обстоятельства, о которых сам и пишет:

"Полистайте несколько книг по ИБ и вы, вероятно, увидите, что многие авторы используют понятия "риск", "угроза" и "уязвимость", как взаимозаменяемые (хотя, в действительности, это совсем не одно и то же). Дело в том, что в ИБ пока не принята стандартная терминология и классификация в этой области."

что, тем не менее, не мешает ему действительно интересно и грамотно подавать материал.

eagle комментирует...

>> Блин, уже на протяжении 2.1 - 2.1.3 угрозу то атакой, то источником угрозы несколько раз подменили.

Можете показать - где подменили? Еще раз перечитал текст, вроде бы все ок. Может проблема в терминологии? Автор использует собственное понятие "угрозы", оно очень похоже на то, что традиционно принято считать "источником угрозы". Смотрите:
- threats are anything (e.g., object, substance, human, etc.) that are capable of acting against an asset in a manner that can result in harm.
- Threat Agents - Individuals within a threat population. Practically anyone and anything can, under the right circumstances, be a threat agent – the well-intentioned, but inept, computer operator who trashes a daily batch job by typing the wrong command, the regulator performing an audit, or the squirrel that chews through a data cable.

В такой трактовке я, честно говоря, вообще не улавливаю особой разницы между угрозой и источником угрозы.

А еще он вводит понятие "сообщества угроз":
- Threat Communities - Subsets of the overall threat agent population that share key characteristics.

>> Но подача выше всяких похвал.
Да. Мне тоже очень понравилась подача. :)

Ригель комментирует...

> автор тем самым погружает читающего в
> обстоятельства, о которых сам и пишет

Это об уязвимости и риске, а с ними все нормально, проблема именно с угрозами. Смотри, ущерб наступает вследствие: а) падения на б) камни, вызванного в) обрывом, наступившим от г) перегрызания д) белкой. У них в), г), д) – это три угрозы, а) и б) - не пойми что. У нас а) - угроза, б) - источник угрозы в) - атака, г) - способ реализации, д) - нарушитель. Мог слегка попутать, проверять сейчас некогда, но суть такая.

> Автор использует собственное понятие "угрозы", оно
> очень похоже на то, что принято считать "источником

Что ошибка в методике вызвана ошибкой в терминах, пиндосов не оправдывает, а наоборот. А уж вводить для ошибочно разделенных в), г) и д) понятие сообщества, чтобы хоть наполовину свести обратно концы с концами – это совсем апофеоз. Неудивительно, что захотелось вставить капитуляционный по сути пассаж про шаманство.

> Да. Мне тоже очень понравилась подача. :)
Вот после первой части ощущение было: теория слабая, но евангелистика хороша. Но после прочитанной сегодня второй НЛПшный уклон начинает уже утомлять.

eagle комментирует...

Автор использует несколько иную парадигму, она отличается от традиционных ;)
В следующих частях она будет подробно описана.