Как оценить риски в кибербезопасности. Лучшие инструменты и практики - Ричард Сирсен Страница 19
Как оценить риски в кибербезопасности. Лучшие инструменты и практики - Ричард Сирсен читать онлайн бесплатно
Рис. 3.3. Неотъемлемый риск, остаточный риск и рискоустойчивость
Кроме того, можно создать еще один вариант этого графика, добавив пару кривых. На рис. 3.3 показаны три кривые: неотъемлемый риск, остаточный риск и рискоустойчивость. Сопоставление неотъемлемого и остаточного рисков распространено в сфере кибербезопасности для представления рисков до применения предлагаемых средств контроля (т. е. методов снижения рисков) и после применения средств контроля соответственно. Неотъемлемый риск, однако, не обязательно означает полное отсутствие контроля, поскольку такой вариант невозможен в реальности. Скорее его можно определить как риск, включающий только минимально необходимые средства контроля, т. е. те, исключение которых равносильно небрежности, и, следовательно, вопрос о целесообразности их применения не стоит вовсе. Различие между неотъемлемыми и остаточными рисками составляет истинно произвольный контроль – такие виды контроля, исключение которых можно считать разумным. Примерами минимальных средств контроля могут быть защита с помощью пароля, системы сетевой защиты, некоторая регулярность обновления патчей, ограничение определенных видов доступа к учетным записям администраторов и т. д. Организация может составить собственный список минимальных средств контроля. Если средство контроля считается необходимым минимумом, то не возникает проблема выбора. А раз нет проблемы выбора, то информация не несет ценности для анализа решений. Поэтому лучше сосредоточить внимание на средствах контроля в тех случаях, когда разумны оба варианта: использовать и не использовать.
Кривая вероятности превышения потерь предоставляет простой и удобный визуальный способ сравнения риска с рискоустойчивостью, которую тоже можно однозначно и количественно выразить в виде кривой вероятности превышения потерь. На рис. 3.3 можно заметить, что часть кривой неотъемлемого риска (показана более жирной линией) находится выше кривой рискоустойчивости (показана пунктирной линией). Принято говорить, что эта часть кривой неотъемлемого риска «нарушает» или «ломает» рискоустойчивость. Кривая остаточного риска, с другой стороны, всегда находится на уровне кривой рискоустойчивости или под ней. И в таком случае говорят, что кривая рискоустойчивости «стохастически доминирует» над кривой остаточного риска. Это означает, что остаточный риск является приемлемым. Далее мы расскажем, как можно с легкостью определить кривую рискоустойчивости, но сначала опишем, как получить остальные кривые с помощью приведенной ранее симуляции по методу Монте-Карло.
Генерирование кривых вероятности превышения потерь для неотъемлемых и остаточных рисковПомните, что, как и в случае с другими методами, используемыми в этой главе, все технические детали отражены в доступных для скачивания электронных таблицах на упомянутом выше сайте.
Как видно из табл. 3.4, у гистограммы имеется два столбца. В первом столбце указаны суммы убытков, соответствующие значениям на горизонтальной оси для кривой вероятности превышения потерь. Во втором столбце указан процент результатов симуляции по методу Монте-Карло, которые дали значение, равное или большее, чем сумма в первом столбце. Самый простой метод получить эти значения вероятностей – применить функцию СЧЁТЕСЛИ в Excel. Если обозначить все данные второго столбца табл. 3.3 как «Результаты Монте-Карло», а под «Убытками» понимать каждую ячейку столбца убытков в гистограмме, находящуюся напротив соответствующей ячейки с расчетом вероятности, то формула этого самого расчета будет иметь следующий вид:
= СЧЁТЕСЛИ(Результаты Монте-Карло;">"&Убытки)/10000
Функция СЧЁТЕСЛИ действует согласно своему названию. Она подсчитывает количество значений в определенном диапазоне, которые удовлетворяют заданному условию. Если функция СЧЁТЕСЛИ возвращает 8840 для данного диапазона и ячейки «Убытки» с суммой 2 млн долл., это означает, что в диапазоне находятся 8840 значений, превышающих 2 млн долл. Деление результата функции на количество тестов в симуляции Монте-Карло (10 000 в нашем примере) позволяет преобразовать его в значение между 0 и 1 (0 и 100 %). По мере применения формулы к все более и более крупным значениям в столбце убытков процент значений в симуляции, превышающих этот уровень убытков, будет уменьшаться.
Таблица 3.4. Гистограмма для кривой вероятности превышения потерьТеперь просто создадим по этим двум столбцам точечную (X,Y) диаграмму в Excel. Если хотите, чтобы она выглядела так же, как показанная выше кривая вероятности превышения потерь, нужно выбрать тип диаграммы с гладкими кривыми и без маркеров для точки. Именно этот тип диаграмм используется в электронной таблице с сайта. Дополнительные кривые можно добавить, вставив еще столбцы данных. Скажем, создание кривой остаточного риска представляет собой аналогичную процедуру, но основанную на оценках вероятности и воздействия (которые, предположительно, будут меньше) после реализации предложенных дополнительных средств контроля.
Один из недостатков диаграммы с кривыми вероятности превышения потерь заключается в том, что изображение становится перегруженным при наличии множества таких кривых. В типичной матрице рисков каждый риск показан как одна точка (хотя и крайне нереалистичная и двусмысленная точка), а кривая вероятности превышения потерь отображается как линия. Вот почему одна из организаций, составив диаграмму с большим количеством кривых вероятности превышения потерь, назвала ее диаграммой спагетти. Однако с этим недостатком легко справиться, просто создав отдельные диаграммы для различных категорий. Кроме того, поскольку кривые вероятности превышения потерь всегда можно объединить математически, то возможно создание комплексных диаграмм кривых вероятности превышения потерь, где каждая кривая будет раскладываться на несколько других, показанных на отдельной подробной диаграмме. Это еще одно ключевое преимущество использования такого инструмента, как кривые вероятности превышения потерь, для передачи информации о рисках. На сайте книги доступна электронная таблица, демонстрирующая, как это делается.
Теперь сравните эту возможность комплексного сравнения с популярными подходами в оценке рисков кибербезопасности. Типичный подход «низкий/средний/высокий» недостаточно конкретен, чтобы можно было сказать, что «семь низких значений и два средних рискованнее, чем одно высокое» или «девять низких значений в сумме дают одно среднее», но это позволяет сделать кривая вероятности превышения потерь. И еще следует подчеркнуть, что высокая неоднозначность метода «низкий/средний/высокий» никоим образом не избавляет аналитика от необходимости задумываться о подобных вещах. Просто с матрицей рисков он вынужден воспринимать риски гораздо более неоднозначно.
Для построения обобщенной кривой необходимо для начала создать еще одну таблицу, подобную табл. 3.3, но в которой каждое значение будет являться суммой нескольких смоделированных категорий рисков, а затем на ее основе сделать таблицу, аналогичную табл. 3.4. Опять же, в качестве примера у нас есть электронная таблица, доступная для скачивания на сайте www.howtomeasureanything.com/cybersecurity. Порядок действий при этом следующий: проводится еще 10 000 тестов всех рисков, общее
Жалоба
Напишите нам, и мы в срочном порядке примем меры.