15 октября, понедельник 15:24
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

Оценка уровня риска

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Оценка уровня риска

    Допустим я проидентифицировала активы, оценила их, посчитала уровень риска (ценность*уязвимость*вероятность) и получила какие-то значения.
    Кто, каким документом и из каких соображений устанавливает приемлемый уровень риска?
    Чем больше связей, тем меньше степеней свободы.

  • #2
    Сообщение от Чернушка Посмотреть сообщение
    Кто, каким документом и из каких соображений устанавливает приемлемый уровень риска?
    Априори никто приемлемый уровень остаточного риска не устанавливает. Оценка рисков проводится в двух случаях:
    - при внедрении/модификации системы;
    - в рамках постоянного контроля.

    В первом случае оценка рисков проводится в два этапа. На первом этапе вы делаете предпроектное обследование и оценивае6те исходные риски. Результат отражается в отчете о предпроектном обследовании. Отчет утверждается заказчиком (тут все зависит от вашей орг. структуры - это может быть председатель или зампред совета директоров, CFO/CEO, CIO или IT Committee).

    На втором этапе вы делаете технический проект. Технический проект описывает, в частности, какие элементы системы защиты информации проектная команда предлагает внедрить, и для этих решений вы приводите их стоимость и уровень остаточного риска. Заказчик сопоставляет исходный риск с суммой стоимости и остаточного риска для каждого элемента и решает, имеет ли смысл данный элемент внедрять. Если имеет - он утверждает технический проект.

    Во втором случае оценка рисков является элементом стратегического планирования и проводится перед составлением бюджета следующего года. Отчет о текущих рисках рассматривается (опять-таки, зависит от вашей структуры) людьми, уполномоченными и служит основанием для выделения бюджета. Здесь уже речь ижет не о приемлемом остаточном риске, а о неприемлемом исходном - типа, вот это слишком опасно, давайте заложим в бюджет строку расходов на закрытие этой проблемы. Сам отчет, понятное дело, не утверждается - это просто информационный документ.

    Комментарий


    • #3
      СТО ИББС по рискам ссылается на ИСО27001:2005 (пункт 4.2.1 c) - "подход к оценке риска в организации" - а потом п.5.1 f) - обязательства руководства. ИМХО я это понимаю так- ИБ+подразделение рисков собирают информацию по рискам+производят первичную оценку этих рисков= а высшее руководство (в составе какони-дь "рискового№ комитета) определяет - является ли ли какой либо риск "значимым" для организации - или этот риск "туфта"))- так например я знаю банки, где в обязательном порядке опечатывают все СВТ(ПЭВМ и т.д.)- для этих банков риск НСД к СВТ явяется важным и значимым, но есть и другие банки- где считают что затраты на стикеры + опечатывание неоправдано высокая цена для какой то там защиты от НСД- для них данный риск будет незначительным и неважным
      Последний раз редактировалось George-on-Don; 30.11.2007, 17:56.
      Мы продолжаем делать то, что мы уже много наделали

      Комментарий


      • #4
        Сообщение от Чернушка Посмотреть сообщение
        Допустим я проидентифицировала активы, оценила их, посчитала уровень риска (ценность*уязвимость*вероятность) и получила какие-то значения.
        Кто, каким документом и из каких соображений устанавливает приемлемый уровень риска?
        Все риски ИБ удалось оценить количественно по формуле (ценность*уязвимость*вероятность) ?
        Описываемая ситуация из области теоретики.

        Комментарий


        • #5
          В первом случае оценка рисков проводится в два этапа. На первом этапе вы делаете предпроектное обследование и оценивае6те исходные риски. Результат отражается в отчете о предпроектном обследовании. Отчет утверждается заказчиком (тут все зависит от вашей орг. структуры - это может быть председатель или зампред совета директоров, CFO/CEO, CIO или IT Committee).

          На втором этапе вы делаете технический проект. Технический проект описывает, в частности, какие элементы системы защиты информации проектная команда предлагает внедрить, и для этих решений вы приводите их стоимость и уровень остаточного риска. Заказчик сопоставляет исходный риск с суммой стоимости и остаточного риска для каждого элемента и решает, имеет ли смысл данный элемент внедрять. Если имеет - он утверждает технический проект.


          to Чернушка
          Предложенный malotavr первый вариант, рекомендуется BSI в рамках внедрения СУИБ по iso 27001.

          Комментарий


          • #6
            box_roller, честно говоря, я не понимаю, что вы хотите, чтобы я вам ответила.

            В рамках обучения по iso 27001 как раз дали подобную методику "ценность*уязвимость*вероятность". Я еще ничего не оценивала, только приступаю. Т.е. вы изначально считаете, что методика не верна? Я хотя бы пытаюсь что-то делать. А многоуважаемые практики вместо советов занимаются неконструктивной критикой.
            Вопрос мой возник из группового показателя 10.14. И вопрос был чисто практический.
            Чем больше связей, тем меньше степеней свободы.

            Комментарий


            • #7
              Сообщение от Чернушка Посмотреть сообщение
              box_roller, честно говоря, я не понимаю, что вы хотите, чтобы я вам ответила.

              В рамках обучения по iso 27001 как раз дали подобную методику "ценность*уязвимость*вероятность". Я еще ничего не оценивала, только приступаю. Т.е. вы изначально считаете, что методика не верна? Я хотя бы пытаюсь что-то делать. А многоуважаемые практики вместо советов занимаются неконструктивной критикой.
              Вопрос мой возник из группового показателя 10.14. И вопрос был чисто практический.
              хмурое утро?
              Про показатель я понял. Но использовать приведенную формулу с реальными значениями для оценки рисков не получится. Параметр "уязвимость*вероятность" брать, кроме как с потолка, неоткуда.

              Пример: Сделать оценку рисков на качественном уровне. После, каждому качественному значению сопоставить числовое.
              Критичность:
              1 = угрозой можно пренебречь
              ...
              5 = очень критично
              Вероятность:
              1 = не произойдет никогда
              ....
              5 = произойдет обязательно

              Тогда умножая критичность на вероятность мы получим некие числовые значения, которые и попадут под 10.14. (обзовем их - уровень угрозы). Где 1х1=1 будет минимальным уровнем, а 5х5=25 максимальным. Задав конкретное значение (на пример 15) и обосновав его выбор (этого значения) можно выполнить 10.14.
              Если получаемы уровень конкретной угрозы, выше установленного уровня, то требуется дополнительные меры для его уменьшения, если нет, то все нормально.

              Комментарий


              • #8
                box_roller, ну вот, это уже ближе к теме. Уязвимость*вероятность рисуем основываясь на экспертной оценке.
                Меня волнует Задав конкретное значение (на пример 15) и обосновав его выбор (этого значения) можно выполнить 10.14. - в каком документе это сделать? Может быть в методике оценки рисков? Но, с другой стороны, реальную картину по рискам мы можем увидеть только в отчете по рискам. Замкнутый круг? Или туда засунуть какую-нибудь производную от среднего риска? Таким образом мы всегда будем стремиться к снижению уровня риска.
                Чем больше связей, тем меньше степеней свободы.

                Комментарий


                • #9
                  Сообщение от Чернушка Посмотреть сообщение
                  box_roller, ну вот, это уже ближе к теме. Уязвимость*вероятность рисуем основываясь на экспертной оценке.
                  Меня волнует Задав конкретное значение (на пример 15) и обосновав его выбор (этого значения) можно выполнить 10.14. - в каком документе это сделать? Может быть в методике оценки рисков? Но, с другой стороны, реальную картину по рискам мы можем увидеть только в отчете по рискам. Замкнутый круг? Или туда засунуть какую-нибудь производную от среднего риска? Таким образом мы всегда будем стремиться к снижению уровня риска.
                  Думаю, практичнее разделить положение об оценки рисков (только методика без конкретики) с документом, где они непосредственно оцениваются (отчет по рискам). Хотя это кому как удобнее, и кто как позицирует данные документы

                  При выбранном значении уровня риска, реальные значения либо должны ему соответствовать (быть меньше), либо на руках должен быть план по их уменьшению (если они больше). Выбирать маленькое значение зная что оно не достижимо, я бы не стал. Это не политика ИБ, где мы декларируем свои стремления, это документ отражающий реальность.

                  Комментарий


                  • #10
                    box_roller, я, видимо, не совсем ясно пояснила свою мысль. Да, конечно, не стоит методику скрещевать с отчетом. Идея была следующая: мы можем заранее сказать, что максимальный уровень риска возможный по нашей методике - 25, например. Минимальный - 1. Мы пока не знаем какой уровень риска насчитаем и получим в отчете. Но, среднее значение будет в этих же пределах. Если все плохо - 25, если все супер-гут - 1.
                    25 = 5*5. Мы для себя выберем необхдимым даже для высокой вероятности (5) снизить уязвимость до приемлемой (напр, 2). Т.е. эмпирически принимаем допустимый уровень риска = 10. Что есть грубо 40% от максимального среднего риска. Тогда мы говорим, что всегда будем стремиться к 40% от среднего риска. Ну или примерно так. Т.е. расчет приемлемого уровеня риска зашивается в методику, но вычисляется уже на основании отчета.
                    Чем больше связей, тем меньше степеней свободы.

                    Комментарий


                    • #11
                      Сообщение от Чернушка Посмотреть сообщение
                      box_rollerТ.е. расчет приемлемого уровеня риска зашивается в методику.
                      А зачем это надо?
                      Аудитор ткнет пальцем в указанный % и попросит объяснить и обосновать. Лишние сложности.

                      Комментарий


                      • #12
                        box_roller, ок. Ваши предложения? В конце отчет приписать обоснование выбранного приемлемого уровня риска?
                        Чем больше связей, тем меньше степеней свободы.

                        Комментарий


                        • #13
                          Когда отчет по рискам будет на руках, требуемый уровень риска (его значение) будет очевиден и понятен.

                          Если его значение чуть уменьшить, то согласно отчету потребуется дополнительные меры (дополнительные деньги). Обоснование - экономическая эффективность и оправданность. Т.е. значение не устанавливается, а выбирается исходя из текущей ситуации.

                          Если выбранное значение указывать в отчете по рискам, то весь отчет и будет обоснованием данного значения.

                          Комментарий


                          • #14
                            box_roller Если выбранное значение указывать в отчете по рискам, то весь отчет и будет обоснованием данного значения.
                            Спасибо, принято.
                            Чем больше связей, тем меньше степеней свободы.

                            Комментарий


                            • #15
                              Сообщение от Чернушка Посмотреть сообщение
                              Уязвимость*вероятность рисуем основываясь на экспертной оценке.
                              Боюсь показаться немодным, но как вы считаете ценность информации и вероятность осуществления риска? Мы оцениваем ценность (value) или цену (cost)? Это совершенно различные понятия. То что неплохо работает при оценке НЕинформационных рисков и там где работает понятие value, в ИБ применимо слабо. Не говоря уже про такой нонсенс, как "вероятность основывается на экспертной оценке". Вероятность может быть получена либо из внешних статистических отчетов, либо из собственных наблюдений в течение длительного времени. Да и то... то, что произошло в ПРОШЕДШЕМ времени не факт, что повторится в БУДУЩЕМ. Чтобы хоть как-то быть уверенным, что статистика верна, ее надо собирать в течение не года, не двух и даже не 5-ти... ;-(

                              Комментарий


                              • #16
                                Алексей Лукацкий
                                Боюсь показаться немодным, но как вы считаете ценность информации и вероятность осуществления риска?
                                Ценность информации я собираюсь считать по значимости для бизнеса. Значимость для бизнеса определяется по КДЦ. Все это ранжируется в шкале от 1 до 4.
                                Вероятность - да, на статистике. Но тоже ранжировано. Например, не было зафиксировано ни одного случая = 1, зафиксировано более 3х случаев за последний год = 4.

                                А что вы посоветуете?
                                Чем больше связей, тем меньше степеней свободы.

                                Комментарий


                                • #17
                                  to Чернушка

                                  Алексей Лукацкий (как я понял) советует вообще поменьше опираться на статистику. Я с ним согласен. Помимо достаточно большого времени для сбора статистики ее надо собирать в течение не года, не двух и даже не 5-ти стоит учитывать изменение актуальности самой угрозы. За 3-5 лет угроза может из значительной стать несущественной. С выходом новых средств защиты может на порядки измениться вероятность реализации угрозы и т.д.

                                  В общем, опираться на статистику дело неблагодарное. Всё слишком быстро меняется.

                                  Комментарий


                                  • #18
                                    box_roller, ок. Но а что же тогда? Как вы предлагаете оценивать вероятность?
                                    Чем больше связей, тем меньше степеней свободы.

                                    Комментарий


                                    • #19
                                      to Чернушка

                                      Мое мнение:
                                      По большому счету и во вселенском масштабе ставить можно любые значения. Если СУИБ построена хорошо, то все неточности вскоре обнаружатся и система придет в стабильное состояние.

                                      А на практике, я накидал черновик и выставил все значения. Потом, привлек экспертов из всех подразделений, на кого эти риски могут повлиять. Они подкорректировали оценки. На выходе получился окончательный вариант.

                                      Комментарий


                                      • #20
                                        box_roller
                                        я накидал черновик и выставил все значения
                                        Значения чего вы выставили и какими соображениями пользовались?
                                        Чем больше связей, тем меньше степеней свободы.

                                        Комментарий


                                        • #21
                                          Сообщение от Чернушка Посмотреть сообщение
                                          box_roller
                                          я накидал черновик и выставил все значения
                                          Значения чего вы выставили и какими соображениями пользовались?
                                          Качественное выражение вероятности.
                                          Руководствовался своими собственными соображениями . Моё экспертное мнение как специалиста по ИБ.

                                          Комментарий


                                          • #22
                                            box_roller, ну, т.е. возвращаемся к тому же, к экспертным оценкам.
                                            Чем больше связей, тем меньше степеней свободы.

                                            Комментарий


                                            • #23
                                              Сообщение от Чернушка Посмотреть сообщение
                                              box_roller, ну, т.е. возвращаемся к тому же, к экспертным оценкам.
                                              А разве мы от них уходили... от экспертных оценок ?

                                              На infosecurity общался с представителями интеграторов ИБ. Некоторые из них утверждали, что обладают числовыми оценками вероятностей. Оценки эти получены при расчете по неким математическим алгоритмам разработанными их специалистами (или не их). "Черный ящик".
                                              Как вам такой вариант?

                                              Комментарий


                                              • #24
                                                box_roller, не уходили В том смысле, что уходили, но не на этом форуме. Это у меня в голове смешалось обсуждение на форуме и в реальной жизни. Подход с экспертными оценками мне пытались раскритиковать в том плане, что любую оценку надо обосновывать. И что в этом направлении еще сложнее отстоять правильность оценки. И бумаг нужно больше.

                                                Как вам такой вариант?
                                                Такой - никак
                                                Чем больше связей, тем меньше степеней свободы.

                                                Комментарий


                                                • #25
                                                  Сообщение от Алексей Лукацкий Посмотреть сообщение
                                                  Боюсь показаться немодным, но как вы считаете ценность информации и вероятность осуществления риска?
                                                  Алексей, вы были правы - я очень люблю поспорить. Но в данном случае вы опять-таки не учли банковскую специфику. Отличие банковской деятельности от большинства других видов в том, что реализация угроз ИБ в большинстве случаев приводит к измеримому прямому финансовому ущербу. Грубо говоря, отключение электричества в филиале - это невозможность обслуживать клиентов. Для оценки ущерба мне достаточно использовать квартальные или годовые финансовые показатели по этому филиалу. Единственный вид угроз, ущерб от которых я не берусь измерить - угрозы, приводящие к потере репутации, хотя и здесь можно применять методы оценки, используемые в маркетинге.

                                                  Что касается оценки вероятностей, то тут я с вами полностью согласен, нет такой статистики, на которую можно было бы опереться. К примеру, принимаем за единицу вероятность того, что за пять лет работы администратор АБС однократно воспользуется своими возможностями и проведет несанкционированный платеж на сумму, не требующую валидации. Имеем среднегодовой риск max_unvalidated_amount/5. Почему 5? С потолка. Это моя экспертная оценка. Она субъективна, но правдоподобна, и у руководства сомнений не вызывает. Можно строить и более сложные множества элементарных событий и задовать на них верояности.

                                                  В конце концов, статистика - это всего лишь инструмент, с помощью которого специалист навязывает дилетантам (в хорошем смысле этого слова) свое субъективное мнение.

                                                  Комментарий


                                                  • #26
                                                    Сообщение от malotavr Посмотреть сообщение
                                                    Алексей, вы были правы - я очень люблю поспорить. Но в данном случае вы опять-таки не учли банковскую специфику. Отличие банковской деятельности от большинства других видов в том, что реализация угроз ИБ в большинстве случаев приводит к измеримому прямому финансовому ущербу. Грубо говоря, отключение электричества в филиале - это невозможность обслуживать клиентов. Для оценки ущерба мне достаточно использовать квартальные или годовые финансовые показатели по этому филиалу. Единственный вид угроз, ущерб от которых я не берусь измерить - угрозы, приводящие к потере репутации, хотя и здесь можно применять методы оценки, используемые в маркетинге.
                                                    Отключение электричества - это просто. Как посчитать ущерб по утечке данных о клиентах? Прямого финансового ущерба ведь нет. Упущенная выгода? Текучесть клиентов? Снижение лояльности клиентов? В деньги как это все перевести?

                                                    Сообщение от malotavr Посмотреть сообщение
                                                    Что касается оценки вероятностей, то тут я с вами полностью согласен, нет такой статистики, на которую можно было бы опереться. [skip] Это моя экспертная оценка. Она субъективна, но правдоподобна
                                                    Ну вот и я к тому же ;-)

                                                    Комментарий


                                                    • #27
                                                      Как то все печально получаеться... мне в книгах навязывают что надо на статистику опираться, оценка очень сложна, оказываеться достаточно с потолка цифры брать
                                                      Как посчитать ущерб по утечке данных о клиентах?
                                                      Это легко, Инфоватч давно за всех все посчитал.
                                                      Ущерб=стоимость уведомления клиента о утечке(почта) + (Стоимость мониторинга счета за один год * колличество клиентов) + ущерб репутации + возможный отток клиентов в зависимости от типа утечки

                                                      Уведомление и мониторинг счета посчитать легко а вот остальные параметры достаточно сложно. Но уверяю вас и первых двух достаточно что бы руководство почесало репку

                                                      Комментарий


                                                      • #28
                                                        Сообщение от Алексей Лукацкий Посмотреть сообщение
                                                        Как посчитать ущерб по утечке данных о клиентах?
                                                        Утечка данных о клиентах сама по себе к ущербу не приводит. К ущербу приводят:
                                                        - публикация новостей об утечке (ущерб репутации)
                                                        - переманивание клиентов конкурентами
                                                        - штрафные санкции регуляторов
                                                        - иски со стороны клиентов
                                                        - утечка аутентификационной информации (паролей Клдиент-Банка, закрытых ключей юриков, и т.п.)

                                                        Ущерб по первым двум пунктам мы сейчас субъективно оцениваем как незначительный. Если ситуация изменится и качественной оценки будет недостаточно, количественную оценку будет делать маркетинг - тем же способом, которым они обосновывают эффективность промо-акций.

                                                        Третий и пятый пункт - прямой финансовый ущерб, он легко считается.

                                                        Четвертый пункт - прямой финансовый ущерб. Вероятность того, что клиенту удастся доказать, что утечка его данных произошла от нас и по нашей вине, близка к нулю. Материального ущерба, который клиент мог бы с нас слупить по суду, здесь нет, суммы возмещений морального ущерба пока незначительны. соответственно, риск по этому пункту незначительный.

                                                        Комментарий


                                                        • #29
                                                          Сообщение от barmalei Посмотреть сообщение
                                                          Это легко, Инфоватч давно за всех все посчитал.
                                                          Не хочу показаться невежливым, но из каких соображений мы с вами должны доверять оценкам Инфовотча?

                                                          "- Вы верите в честность N?
                                                          - Да, за него ручается М.
                                                          - А кто ручается за честность М?" (из анекдота XVIII века)

                                                          Комментарий


                                                          • #30
                                                            2malotavr А вы считаете что они не правильно считают?
                                                            Они считают прямые расходы которые понесет компания при утечке - колл. клиентов*стоимость мониторинга счета за год.

                                                            Комментарий

                                                            Пользователи, просматривающие эту тему

                                                            Свернуть

                                                            Присутствует 1. Участников: 0, гостей: 1.

                                                            Обработка...
                                                            X