Безопасность сетей
  0f1a9e67   

Оценка риска


Для оценки риска следует определить ущерб, нанесенный организации при успешном выполнении атаки. На рисунке 7.3 показано итоговое уравнение для оценки риска. Издержки организации в случае реализации риска - это определяющий фактор для любого решения по управлению риском. Помните, что риск нельзя полностью устранить - им можно только управлять.


Рис. 7.3.  Оценка риска

Деньги

Наиболее очевидный способ оценки риска - определение издержек организации в случае выполнения успешной атаки. Эти издержки складываются из следующего:

  • снижение производительности;
  • похищенное оборудование или деньги;
  • стоимость расследования;
  • стоимость восстановления или замены систем;
  • стоимость помощи экспертов;
  • сверхурочная работа сотрудников.

Как заметно из этого неполного списка, цена успешной атаки может быть достаточно большой. Некоторые затраты останутся неизвестными до тех пор, пока на самом деле не произойдет инцидент, и только тогда будут оценены.

Возможно, наиболее трудная для оценки категория - снижение производительности. Что это означает: невыполненную работу или издержки на выполнение восстановительных работ? Будем надеяться, что бухгалтерия или финансовый отдел организации помогут в определении некоторых издержек. Однако, в большинстве случаев их стоимость нельзя установить. Возьмем, к примеру, промышленное предприятие. Эта организация зависит от компьютерной системы, так как выполняет оперативное планирование, заказывает материалы и отслеживает выполнение работ. Если система придет в негодность, то материалы закончатся за 24 часа, а оперативный план устареет через 8 часов (одна смена). Если компьютерная система не будет работать в течение 8 дней, то каковы издержки? Их можно посчитать по количеству сверхурочного времени, необходимого для возвращения к графику, и стоимости продукции за 7 дней. Возможно, появятся скрытые издержки, связанные с опозданием поставки товара. В любом случае затраты для организации остаются очень высокими.

Время

Оценить потерянное время достаточно трудно.


Сюда нужно включить то время, которого не хватило сотрудникам для выполнения своих повседневных задач из-за инцидента, связанного с нарушением безопасности. В этом случае затраты времени вычисляются как почасовая оплата технического персонала. Не забудьте посчитать время на ожидание восстановления компьютерных систем.

Время также означает простой ключевых систем. Если веб-сайт организации был взломан, то эту систему нужно перевести в автономный режим и восстановить. Этот простой тоже влияет на компанию.

Успешное выполнение атаки приводит к замедлению в выпуске продукта или предоставления услуги, что также следует учитывать при определении затрат организации. Безусловно, возможная потеря времени должна быть включена в оценку риска.

Ресурсы

Ресурсами могут быть люди, системы, линии коммуникации, приложения или доступ. При возникновении инцидента, связанного с безопасностью, для исправления ситуации потребуется определенное количество ресурсов. В этом случае можно рассчитать денежные затраты. Однако возникает сложность с подсчетом нематериальных затрат, связанных с отсутствием персонала, способного выполнять другие служебные обязанности.

Аналогичная проблема возникает при определении издержек, связанных с медленным сетевым соединением. Работники дольше ожидают доступа в интернет и медленнее выполняют свою работу, а какой-либо проект или научное исследование не выполняется вовсе.

Репутация

Потеря репутации для организации - это очень важная потеря. Измерить подобную утрату затруднительно. Каковы точные издержки в этом случае? Репутация может рассматриваться как эквивалент доверия, которое общественность имеет к организации. Например, репутация банка равна доверию общественности к сохранности денег, помещенных в этот банк. Если у банка слабая репутация или получены доказательства, что деньги, помещенные в банк, не находятся в безопасности, то банк, вероятно, потеряет клиентов. Если новости о том, что выполнен успешный взлом банковской системы будут опубликованы, то вряд ли общественность захочет вкладывать деньги в такой банк.Покинут ли банк существующие клиенты? Несомненно, в большинстве случаев именно так и произойдет. Как измерить такой ущерб?

Другим примером является репутация благотворительных организаций. Благотворительные организации популярны из-за своих добрых дел, выполняемых в обществе. Основываясь на этой репутации, люди предоставляют денежные пожертвования, которые позволяют благотворительным организациям функционировать. Если репутация благотворительных организаций ослабеет из-за того, что обнаружится нецелевое расходование этих денежных средств? Сократятся ли денежные пожертвования? Несомненно, сократятся.

Примечание

Репутация - это нематериальный актив, который создается и развивается в течение определенного времени. Снижение репутации измерить не просто, но оно, несомненно, влияет на организацию.



Покинут ли банк существующие клиенты? Несомненно, в большинстве случаев именно так и произойдет. Как измерить такой ущерб?

Другим примером является репутация благотворительных организаций. Благотворительные организации популярны из-за своих добрых дел, выполняемых в обществе. Основываясь на этой репутации, люди предоставляют денежные пожертвования, которые позволяют благотворительным организациям функционировать. Если репутация благотворительных организаций ослабеет из-за того, что обнаружится нецелевое расходование этих денежных средств? Сократятся ли денежные пожертвования? Несомненно, сократятся.

Примечание

Репутация - это нематериальный актив, который создается и развивается в течение определенного времени. Снижение репутации измерить не просто, но оно, несомненно, влияет на организацию.

Потерянные контракты

Потерянные контракты - это нереализованный потенциал. Организация планирует обслуживать новых клиентов и дополнительно реализовать свою продукцию. Как измерить потери, если эта возможность не реализована? Конечно, можно продемонстрировать, что не был выполнен объем запланированных продаж, но как связать это с риском для безопасности? Влияет ли реализация угроз на потерю потенциальных возможностей?

В некоторых случаях воздействие очевидно. Например, организация выполняет продажу продукцию через интернет. Веб-сайт организации не функционирует четыре дня. Он является основным каналом продаж, поэтому ясно, что на четыре дня торговля приостановится.

А если по непредвиденным обстоятельствам производитель вынужден остановить производство продукции на четыре дня? Могла ли компания продать эти товары, если бы они имелись в наличии? Нет точного способа определения таких потерь.

Методика оценки риска

Конечно, при оценке риска вопросов намного больше, чем ответов. Если весь вероятный риск можно выразить в денежной форме, то процесс намного упростится. Однако в реальной ситуации это сделать невозможно. Следовательно, мы должны воспользоваться данными, которые позволят выполнить эту оценку.



Для каждого риска необходимо установить наилучший, наихудший и наиболее вероятный план действий, затем определить величину ущерба для каждого варианта действий (денежные средства, время, ресурсы, репутация и потерянные контракты). Планы действий создаются на основе следующих критериев.

  • Наилучший случай. Нарушение защиты замечено сразу же, проблема быстро устранена, и информация осталась внутри организации. Общий ущерб оказался незначительным.
  • Наихудший случай. Нарушение защиты замечено клиентом, который и уведомил организацию. Проблема не была незамедлительно исправлена, информация об этом дошла до прессы. Общий ущерб оказался очень большим.
  • Наиболее вероятный случай. Нарушение защиты замечено через некоторое время. Какая-то информация о событии "просочилась" к клиентам (но не вся), и организация была в состоянии контролировать большую часть информации. Общий ущерб был смягчен.


Параметры наиболее вероятного случая меняются в зависимости от реального состояния безопасности, существующей в организации. Иногда наиболее вероятный случай может оказаться самым плохим вариантом.

Теперь для каждого выявленного риска рассмотрим возможный результат.

Ответьте на следующие вопросы.

  • Сколько денежных средств нужно затратить на ликвидацию последствий успешного взлома системы безопасности? Определите время работы персонала, консультантов и стоимость нового оборудования.
  • Сколько времени потребуется на ликвидацию последствий успешного взлома системы безопасности? Как это повлияет на программу выпуска новой или существующей продукции?
  • Какие ресурсы будут затронуты в случае взлома системы безопасности? Какие отделы вашей компании зависят от этих ресурсов?
  • Как это событие повлияет на репутацию организации?
  • Приведет ли это к срыву новых контрактов? Если да, то какого типа и в каких размерах?


Как только на каждый вопрос будут получены ответы, постройте таблицу, отражающую возможные последствия для каждого риска. Эта информация потребуется вам для улучшения подходов к управлению рисками.


Содержание раздела