Читаем Как оценить риски в кибербезопасности. Лучшие инструменты и практики полностью

Если событием является атака на заданную систему, то обычно имеется хоть какая-то информация о том, как эта система используется в организации. Например, приблизительное представление о количестве пользователей системы, нарушится ли их деятельность полностью без системы, или они смогут обойтись без нее какое-то время, а также влияет ли система на продажи или другие операции. А многим организациям уже приходилось сталкиваться с выходом систем из строя, и этот опыт может лечь в основу их оценки возможной длительности отключения.

Теперь, когда у вас есть общее понимание принципа разложения на составляющие, давайте обсудим другие стратегии, которые можно использовать. А чтобы разложить модель, используя более широкий спектр распределений вероятности, изучите список распределений в приложении А. И конечно, с сайта www.howtomeasureanything.com/cybersecurity можно загрузить электронную таблицу, содержащую все указанные распределения вероятностей, которые созданы с помощью обычного инструментария MS Excel (т. е. без макросов VBA или надстроек).

Каждая строка в симуляции из табл. 6.1 обозначена просто как «событие», но на практике следует указывать событие более конкретно, и тут возможны различные подходы. Подумайте, что вы обычно вносите в матрицу рисков. Если бы нужно было включить в матрицу 20 элементов, указали бы вы 20 приложений или 20 категорий угроз? А может, указали бы структурные подразделения организации или типы пользователей?

Большинство специалистов, применяющих метод матрицы рисков, похоже, начинают с проблемно ориентированного разложения. То есть, внося элемент в матрицу рисков, они думают прежде всего о его прикладной роли. Вполне неплохое начало. Опять же мы не придерживаемся конкретной позиции относительно методов разложения на составляющие, пока не получим доказательств, что какие-то из них лучше или хуже. Однако для удобства и по привычке мы начали простую модель в главе 3 с прикладного подхода к проблеме разложения. Если вам удобнее, когда список рисков содержит отдельные источники угроз, уязвимости или что-то еще, то описанный здесь подход несложно будет перенести на предпочтительную модель.

Решив, что обозначают строки таблицы, следующим шагом следует определить, насколько подробное разложение вам нужно в каждой строке. При каждом разложении на составляющие стоит по возможности опираться на уже известные сведения, можно назвать их «наблюдаемыми величинами». В табл. 6.2 приведено еще несколько примеров.

Даже после моделирования какой-то части указанных компонентов диапазон все равно может остаться достаточно широким, но тем не менее появится возможность рассуждать об относительной вероятности различных исходов. Специалист по кибербезопасности, считавший, что диапазон убытков составит от нуля до 500 млн долл., просто не учел, что следует постараться сделать выводы из известных данных вместо зацикливания на неизвестных. Небольшое разложение на составляющие покажет, что не все значения в этом огромном диапазоне одинаково вероятны. И, скорее всего, можно будет пойти к совету директоров, имея больше информации о потенциальных убытках, чем равномерное распределение от 0 до 500 млн долл. или более.

И не забывайте: все это делается, чтобы оценить альтернативы. Нужно уметь разбираться в стратегиях снижения рисков. Даже если предположить, что диапазон настолько широк и все варианты в нем одинаково вероятны, это все равно еще не означает, что такой же диапазон будет у каждой системы в списке. И очень полезно знать, у каких систем он будет. Вам известно, что у одних систем больше пользователей, а у других – меньше, что одни системы обрабатывают личную медицинскую информацию или данные индустрии платежных карт, а другие – нет, что к некоторым системам имеют доступ поставщики и т. д. Вся эта информация полезна для расстановки приоритетов в действиях, даже если вы никогда полностью не избавитесь от неопределенности.

Приведенный список лишь подсказывает еще несколько элементов, на которые можно разложить модель. До сих пор мы акцентировали внимание в большей степени на разложении воздействия, чем вероятности, поскольку воздействие многим кажется более конкретным понятием. Но таким же образом раскладывается и вероятность. Этому будут посвящены главы 8 и 9. А далее в этой главе мы еще обсудим, как выполнить оценку одного из самых сложных типов убытков – урона репутации.