Читаем Как оценить риски в кибербезопасности. Лучшие инструменты и практики полностью

Существует множество моделей, которые аналитики в сфере кибербезопасности могли бы использовать для определения текущего состояния неопределенности. Можно просто оценить вероятность и воздействие напрямую, без дальнейшего разложения. Можно разработать метод моделирования, определяющий, как изменяются вероятность и воздействие в зависимости от типов угроз, возможностей угроз, уязвимостей или характеристик систем. Можно перечислить приложения и оценить риск для каждого из них либо перечислить средства контроля и оценить риски, на предотвращение которых направлено каждое средство.

В конечном счете нам неважно, какая стратегия моделирования будет выбрана вами, а вот что требует обсуждения, так это вопрос, как следует оценивать различные стратегии. Если появится достаточно информации, чтобы все компании могли обоснованно принять единый, унифицированный метод моделирования, тогда так и нужно будет поступить. До тех пор следует позволить компаниям использовать различные подходы к моделированию, тщательно оценивая при этом относительную эффективность выбранных методов.

Начать можно с применения каких-либо существующих готовых решений для разложения рисков. Помимо методов, продвигаемых Хаббардом, эти решения включают в себя методологию и инструменты, используемые в подходе FAIR (factor analysis of information risk – факторный анализ информационных рисков), разработанном Джеком Джонсом и Джеком Фройндом². По мнению авторов, FAIR как еще одно решение, основанное на методе Монте-Карло, но предлагающее собственный вариант разложения рисков на дальнейшие компоненты, вполне подходит для того, чтобы помочь компании сделать первый шаг в верном направлении. Также можно добиться довольно многого с помощью простых инструментов, с которыми мы уже вас познакомили (и еще познакомим в следующих главах). Читатели, обладающие хотя бы базовыми знаниями в области программирования, математики или финансов, запросто смогут привнести что-то свое. Таким образом, большинство читателей смогут развить описанные инструменты, как посчитают нужным. А те, кто заинтересуется, смогут найти на нашем сайте дополнительные инструменты для отдельных разбираемых вопросов, например для использования языков программирования R и Python. Однако поскольку все, что мы делаем в этой книге, можно полностью выполнить в Excel, применять дополнительные инструменты не обязательно.

Пока что разобранный в этой главе метод все еще является лишь очень простым решением, основанным на экспертном суждении. Про обновление нашей первоначальной модели данными с использованием статистических методов мы расскажем далее. Тем не менее даже на этом этапе видны преимущества предлагаемого метода по сравнению с матрицей рисков. Он позволяет фиксировать более подробную информацию о знаниях эксперта по кибербезопасности и дает доступ к более мощным аналитическим инструментам. При желании даже сейчас можно было бы сделать что угодно из перечисленного ниже (или все).

• Как уже упоминалось, можно разложить воздействие на отдельные оценки различных видов затрат: юридические, устранение последствий, перебои в работе системы, затраты на пиар и т. д. Каждый вид может являться функцией известных ограничений, таких как количество сотрудников, или бизнес-процесс, на который повлияло отключение системы, или количество учетных записей в системе, которые могут быть скомпрометированы в случае взлома. Это позволит эффективно использовать знания компании о подробностях работы ее систем.

• Можно установить взаимосвязь между событиями. Например, специалист по кибербезопасности может знать, что если произойдет событие X, то событие Y станет гораздо более вероятным. Опять же, это позволит применить знания, которые в менее количественном методе невозможно было бы использовать напрямую.

• Там, где это возможно, о некоторых вероятностях и воздействиях можно сделать вывод по известным данным с использованием надлежащих статистических методов. Мы знаем, как скорректировать состояние неопределенности, описанное в этом методе, с помощью новых данных и математически обоснованных методов.

• Эти результаты можно надлежащим образом «суммировать», чтобы определить совокупные риски для целых комплексов систем, структурных подразделений или компаний.

Подробнее о каждом из перечисленных усовершенствований будет рассказано далее, а здесь лишь продемонстрировано, как выглядит простая замена «один на один». Теперь можно перейти к альтернативным методам оценки риска. Как выбрать самый подходящий из всех методов, с которых можно было бы начать в нашей простой модели, и тех, которые можно было бы к ней добавить? Или, если уж на то пошло, как узнать, что метод вообще работает?

1. Станислав Улам. Приключения математика. – Ижевск: НИЦ «Регулярная и хаотическая динамика», 2001. – 272 с.

2. Jack Freund and Jack Jones, Measuring and Managing Information Risk: A FAIR Approach (Waltham, MA: Butterworth-Heinemann, 2014).