Читаем Как оценить риски в кибербезопасности. Лучшие инструменты и практики полностью

На рис. 3.2 показана вероятность того, что данная сумма будет потеряна за некоторый период времени (например, год) из-за определенной категории рисков. Подобную кривую можно полностью построить на основе информации, полученной в предыдущем примере таблицы данных (табл. 3.3). Строить такие кривые риска можно как для конкретной уязвимости, так и для системы, структурной единицы или предприятия. По кривой вероятности превышения потерь хорошо видно, какой диапазон убытков возможен (а не просто точечное значение), а еще что бóльшие потери менее вероятны, чем меньшие. В примере на рис. 3.2 (который, судя по размерам сумм, вероятно, описывает риски в области кибербезопасности на уровне всего предприятия, причем весьма крупного) существует вероятность 40 %, что убытки составят 10 млн долл. в год или больше, а также вероятность примерно 15 % потерять 100 млн долл. или больше. Для удобства отображения более широкого диапазона потерь на горизонтальной оси используется логарифмическая шкала, но это лишь вопрос предпочтений, годится и линейная.

Рис. 3.3. Неотъемлемый риск, остаточный риск и рискоустойчивость

Кроме того, можно создать еще один вариант этого графика, добавив пару кривых. На рис. 3.3 показаны три кривые: неотъемлемый риск, остаточный риск и рискоустойчивость. Сопоставление неотъемлемого и остаточного рисков распространено в сфере кибербезопасности для представления рисков до применения предлагаемых средств контроля (т. е. методов снижения рисков) и после применения средств контроля соответственно. Неотъемлемый риск, однако, не обязательно означает полное отсутствие контроля, поскольку такой вариант невозможен в реальности. Скорее его можно определить как риск, включающий только минимально необходимые средства контроля, т. е. те, исключение которых равносильно небрежности, и, следовательно, вопрос о целесообразности их применения не стоит вовсе. Различие между неотъемлемыми и остаточными рисками составляет истинно произвольный контроль – такие виды контроля, исключение которых можно считать разумным. Примерами минимальных средств контроля могут быть защита с помощью пароля, системы сетевой защиты, некоторая регулярность обновления патчей, ограничение определенных видов доступа к учетным записям администраторов и т. д. Организация может составить собственный список минимальных средств контроля. Если средство контроля считается необходимым минимумом, то не возникает проблема выбора. А раз нет проблемы выбора, то информация не несет ценности для анализа решений. Поэтому лучше сосредоточить внимание на средствах контроля в тех случаях, когда разумны оба варианта: использовать и не использовать.

Кривая вероятности превышения потерь предоставляет простой и удобный визуальный способ сравнения риска с рискоустойчивостью, которую тоже можно однозначно и количественно выразить в виде кривой вероятности превышения потерь. На рис. 3.3 можно заметить, что часть кривой неотъемлемого риска (показана более жирной линией) находится выше кривой рискоустойчивости (показана пунктирной линией). Принято говорить, что эта часть кривой неотъемлемого риска «нарушает» или «ломает» рискоустойчивость. Кривая остаточного риска, с другой стороны, всегда находится на уровне кривой рискоустойчивости или под ней. И в таком случае говорят, что кривая рискоустойчивости «стохастически доминирует» над кривой остаточного риска. Это означает, что остаточный риск является приемлемым. Далее мы расскажем, как можно с легкостью определить кривую рискоустойчивости, но сначала опишем, как получить остальные кривые с помощью приведенной ранее симуляции по методу Монте-Карло.

Помните, что, как и в случае с другими методами, используемыми в этой главе, все технические детали отражены в доступных для скачивания электронных таблицах на упомянутом выше сайте.

Как видно из табл. 3.4, у гистограммы имеется два столбца. В первом столбце указаны суммы убытков, соответствующие значениям на горизонтальной оси для кривой вероятности превышения потерь. Во втором столбце указан процент результатов симуляции по методу Монте-Карло, которые дали значение, равное или большее, чем сумма в первом столбце. Самый простой метод получить эти значения вероятностей – применить функцию СЧЁТЕСЛИ в Excel. Если обозначить все данные второго столбца табл. 3.3 как «Результаты Монте-Карло», а под «Убытками» понимать каждую ячейку столбца убытков в гистограмме, находящуюся напротив соответствующей ячейки с расчетом вероятности, то формула этого самого расчета будет иметь следующий вид: