Casual
РЦБ.RU

Вопросы перехода от качественного к количественному анализу рисков

Сентябрь 2008

Сегодня уже не только крупные, но и среднего размера предприятия задумываются о переходе к управлению информационной безопасностью (ИБ) на основе анализа информационных рисков. Имея понимание размеров возможного ущерба при нарушениях ИБ, гораздо проще планировать материальные и другие ресурсы для выстраивания системы управления информационными рисками. Однако необходимо учесть, что выстраивать такую систему следует постепенно, а попытка с первого раза получить подробную карту рисков с монетарной оценкой размера ущерба может потребовать слишком большого объема ресурсов, и проект по оценке рисков в этом случае может просто не завершиться, увязнув в детализации.

Мы рекомендуем начать с количественной оценки рисков, используя оценки ущерба и вероятность реализации — высокую, среднюю, малую. Возможно, на качественном уровне придется проделать не одну, а несколько регулярных процедур оценки рисков, вырабатывая в организации культуру управления рисками и повышая грамотность владельцев активов и процессов, без которых невозможна успешная работа в этом направлении.

Только после того, как накоплен опыт в проведении качественного анализа рисков, имеет смысл переходить к количественной оценке. Причем концентрировать внимание следует преимущественно на тех рисках, которые в качественной классификации попадают в категорию высоких (особенно с высокой степенью ущерба при высокой вероятности реализации).

Рассмотрим один из наиболее простых способов: методику, разработанную на основе подходов, используемых компанией Microsoft для оценки рисков, связанных с информационной безопасностью.

В методике используется оценка рисков по всем трем направлениям ИБ: рискам целостности, доступности и конфиденциальности информации, используемой организациями в процессе операционной деятельности. Оценка рисков требует проведения следующих этапов:

1) сбор первичных данных о ресурсах (или активах), которые представляют ценность для организации, или, иначе говоря, которые должны быть защищены, и последующая классификация их по уровню значимости для организации, исходя из ущерба, который может принести потеря, частичное разрушение либо временная недоступность актива;

2) сбор данных об угрозах, соответствующих каждому типу активов, и уязвимостях в существующей контрольной среде, которые могут быть использованы для реализации угрозы (риска);

3) сбор и анализ данных о вероятности реализации угрозы (риска) с учетом обнаруженных уязвимостей;

4) присвоение риску приоритета по результатам анализа данных о значимости актива для организации, вероятности реализации угрозы (риска) с учетом выявленных уязвимостей и реализации событий риска в прошлом и составление по полученным результатам общей (высокоуровневой) карты рисков;

5) формирование количественной оценки уровня риска из данных по влиянию риска и вероятности его проявления и составление по полученным результатам детальной карты рисков;

6) приведение количественной оценки рисков к финансовым показателям (монетизация рисков).

Проанализируем каждый из этих этапов.

ЭТАП 1. СБОР ДАННЫХ ОБ АКТИВАХ ОРГАНИЗАЦИИ

Ценные активы, как правило, индивидуальны для каждой организации, поэтому для определения ключевых из них целесообразно задать соответствующий вопрос владельцам процессов, присутствующих в деятельности организации: "Потеря каких ресурсов может нанести ущерб вашей организации"? Ответ на этот вопрос, скорее всего, также позволит выявить и базовую классификацию активов по уровню вероятного ущерба, т. е. уровню значимости актива для организации. Важно учитывать, что под активом, или ресурсом, в данном случае понимаются не только материальные объекты, но и сервисы, функционирование которых критично для процессов, а также данные, используемые в процессе операционной деятельности.

Выходом этого этапа станет список активов организации и присвоенный им уровень значимости, являющийся базовым классификатором активов организации. Рекомендуется присваивать активам уровень важности по 3-балльной шкале: высокий, средний и низкий.

ЭТАП 2. СБОР ДАННЫХ ОБ УГРОЗАХ И УЯЗВИМОСТЯХ

На данном этапе для каждого актива, внесенного в классификатор, будут определены основные события (угрозы), которые могут повлиять на целостность актива, нарушить конфиденциальность либо ограничить возможность использования организацией этого актива, а также будет произведена базовая оценка подверженности (exposure) актива данному событию с учетом имеющихся уязвимостей (способов реализации этих угроз). Наиболее удобным на этом этапе также будет использование 3-балльной модели (высокий, средний либо низкий уровень угрозы в сочетании с высоким, средним либо низким уровнем уязвимости в существующей контрольной среде).

Результатом этого этапа станет таблица, в которой классифицированы наиболее важные активы с указанием степени их важности для организации; описание и базовая количественная оценка угроз, характерных для каждого из классов активов, и уязвимостей, использование которых может позволить угрозам реализоваться (табл. 1).

ЭТАП 3. СБОР И АНАЛИЗ ДАННЫХ О ВЕРОЯТНОСТИ РЕАЛИЗАЦИИ РИСКА

Целью данного этапа является анализ вероятности реализации риска в случае использования каждой из выявленных уязвимостей. Иначе говоря, в процессе рассмотрения должна быть проанализирована каждая комбинация "актив — угроза — уязвимость" и в результате получены базовые значения влияния риска и вероятности его реализации для каждой из комбинаций. Анализ вероятности реализации риска, как правило, субъективен, поэтому должен производиться в рамках:

а) модели деятельности и особенностей ведения бизнеса конкретной организации;

б) экспертной оценки специалистов группы оценки и управления рисками на основе собственного опыта.

В процессе анализа целесообразно учитывать не только вероятность реализации рисков в условиях существующей контрольной среды, но и историю (частоту) их проявления в прошлом. Если карты рисков уже составлялись ранее, целесообразно сравнить вероятность, присвоенную комбинациям "актив — угроза — уязвимость" в условиях существовавшей тогда контрольной среды, с соответствующими данными на текущий момент, чтобы понять, как изменение контрольной среды повлияло на возможность реализации риска, было ли это изменение эффективным и какие дальнейшие действия целесообразно предпринять, чтобы улучшить результат.

Итогом анализа станет дополнение к табл. 1, содержащее вероятностную характеристику для каждой комбинации "актив — угроза — уязвимость" (табл. 2).

ЭТАП 4. ПРИСВОЕНИЕ ПРИОРИТЕТОВ РИСКАМ

Процесс присвоения приоритетов рискам (анализ уровня критичности рисков) производится на основе анализа базовых оценок, выставленных каждой комбинации "актив — угроза — уязвимость" с учетом вероятности их реализации. Таким образом, можно при сравнительно небольших трудозатратах выделить наиболее приоритетные риски, чтобы впоследствии сконцентрировать на них усилия в значительно более трудоемком процессе составления детальной карты рисков. В результате каждому из рассматриваемых рисков будет присвоен рейтинг по 3-балльной шкале (высокий, средний либо низкий) на основе анализа природы риска, что, по сути дела, завершит процесс формирования высокоуровневой, или общей, карты рисков (см. табл. 2).

На данном этапе при помощи владельцев процессов можно проанализировать полученную общую карту рисков и выявить, какие из рисков организация готова принять (accept risk), влияние каких рисков компенсируется существующей в организации контрольной средой, а также, возможно, учесть сторонние факторы, такие как текущие рыночные условия ведения бизнеса и влияние человеческого фактора. При анализе совместно с владельцами процессов можно сформировать предварительный состав мер по улучшению контрольной среды организации, а также отказаться от детального рассмотрения рисков с низким рейтингом, что может уменьшить общий объем работы группы оценки и управления рисками.

ЭТАП 5. СОЗДАНИЕ ДЕТАЛЬНОЙ КАРТЫ РИСКОВ

Эта методика основана на составлении детальной карты рисков, исходя из данных высокоуровневой (общей) карты рисков, содержащих сведения о природе описанных рисков, и информации о внешних условиях ведения бизнеса, таких как, например, наиболее вероятная аудитория, которая может использовать уязвимость, а также применение общепринятых практик снижения вероятности использования уязвимостей. Кроме того, для составления детальной карты рисков предлагается произвести следующий переход от качественных показателей к количественным:

а) для определения ущерба (exposure factor), причиняемого активу при реализации риска, использовать 5-балльную либо процентную шкалу, учитывающую ущерб конфиденциальности и целостности и доступности актива (табл. 3, 4);

б) для определения значимости актива для организации (impact class value) ввести соответствие 3-балльной шкалы 10-балльной (табл. 5);

в) величину влияния (impact rating) риска вычислять как произведение двух вышеперечисленных величин (impact rating = impact class value • exposure factor), что позволит установить соответствие рассчитанной величины и качественной оценки уровня риска, полученной при составлении высокоуровневой (общей) карты рисков (см. табл. 5);

г) вероятность использования уязвимости с учетом природы уязвимости и аудитории, которая может использовать уязвимость, а также эффективности соответствующих предотвращающих и выявляющих контрольных процедур (табл. 6—7).

Результатом этого этапа является детальное описание всех комбинаций "актив — угроза — уязвимость" для каждого актива с количественной оценкой всех составляющих и суммарного уровня риска (risk rating) как произведения величины влияния риска на вероятность использования уязвимости (табл. 8). Как уже упоминалось, количественную оценку суммарного уровня риска легко ассоциировать с качественной 3-балльной шкалой (табл. 9).

ЭТАП 6. МОНЕТИЗАЦИЯ РИСКОВ

Завершающим этапом в процессе создания карты рисков является соотнесение влияния рисков в финансовом выражении. Для этого каждому классу рассматриваемых активов ставится в соответствие сумма вероятного ущерба, которая может формироваться из таких категорий, как:

  • чистая стоимость актива (стоимость замены актива);
  • стоимость содержания актива;
  • издержки в случае недоступности актива;
  • ущерб репутации организации;
  • снижение годового дохода;
  • снижение конкурентных преимуществ;
  • снижение эффективности внутренних процедур организации;
  • санкции за несоответствие законодательству.

Один из подходов для классификации ущерба "завязан" на пороге материальности. Как правило, в качестве материальной величины для организации выбирается некоторый порог результатов деятельности организации, например в размере 5% от чистой прибыли за год, который ставится в соответствие классу активов высокой значимости для организации. Оценки ущерба от потери активов средней и низкой значимости будут, соответственно, ниже порога материальности. Их определение целесообразно производить совместно с владельцами процессов.

Далее необходимо определить величину потерь при однократной реализации риска (single loss expectancy, SLE) как произведение ущерба от потери актива на величину подверженности (exposure) актива ущербу при реализации риска (табл. 10).

Величина ущерба от реализации риска в течение года (annual loss expectancy, ALE) вычисляется как произведение потерь от однократной реализации риска (SLE) на коэффициент, характеризующий среднегодовую частоту появления риска (annual rate of occurrence, ARO) в существующих условиях (табл. 11—12).

Результатом этапа является количественная оценка каждого из рассмотренных рисков с указанием вероятного финансового ущерба для организации от реализации этого риска.

Необходимо сделать ряд дополнительных замечаний по некоторым аспектам монетизации.

Во-первых, следует выработать единую шкалу численной оценки. Если использовать в качестве источников оценки владельцев информационных ресурсов, то понятно, что они могут по-разному определять ценность "своего" ресурса для компании и размер ущерба, который может быть нанесен в результате инцидента ИБ.

Для согласования оценки следует либо использовать единственный источник (например, руководителя компании или его ближайших заместителей), либо устраивать семинар с участием всех владельцев ресурсов, чтобы выработать единую оценку для каждого из ресурсов.

Во-вторых, для расчета численного значения ARO нам потребуется также вычислить вероятность наступления того или иного события. Если нет возможности строить сложные математические модели, то придется довольствоваться статистическими данными. Например, о среднегодовом количестве взломов веб-сайтов для данной индустрии можно узнать из отчетов и опросов по ИБ (пример такого отчета за 2007 г. приведен в рубрике Security & Privacy на сайте компании Deloitte & Touche: http:// www.deloitte.com/dtt/cda/doc/content/dtt_gfsi_GlobalSecuritySurvey_20070901.pdf); информацию о вероятности наводнения — получить из аналитических данных локального Гидрометцентра.

В любом случае становится ясно, что работа по переходу от качественной к количественной оценке рисков требует серьезной дополнительной работы группы квалифицированных экспертов в данной области.

  • Рейтинг
  • 0
Оставить комментарий
Добавить комментарий анонимно, введите имя:

Введите код с картинки:
Добавить комментарий как авторизованный посетитель: Войти в систему


  • Статьи в открытом доступе
  • Статьи доступны на платной основе
Актуальные темы    
 Сергей Хестанов
Девальвация — горькое лекарство
Оптимальный курс национальной валюты четко связан со структурой экономики и приоритетами денежно-кредитной политики. Для нынешней российской экономики наиболее логичным (и реалистичным) решением бюджетных проблем является девальвация рубля.
Александр Баранов
Управление рисками НПФов с учетом новых требований Банка России
В III кв. 2016 г. вступили в силу новые требования Банка России по организации системы управления рисками негосударственных пенсионных фондов.
Варвара Артюшенко
Вместе мы — сила
Закон синергии гласит: «Целое больше, нежели сумма отдельных частей».
Сергей Майоров
Применение blockchain для развития биржевых технологий и сервисов
Распространение технологий blockchain и распределенного реестра за первоначальные пределы рынка криптовалют — одна из наиболее дискутируемых тем в современной финансовой индустрии.
Все публикации →
  • Rambler's Top100