вторник, 25 октября 2011 г.

Вероятное неочевидно


На дворе глубокая осень, у многих - пора защиты бюджета, и в течение долгих лет мне приходится слышать печальные, навевающие уныния не меньше, чем опавшие листья и пожухнувшая трава, истории от коллег по цеху, приблизительно следующего содержания: мы планировали, считали, старались, но нам сказали что дорого, неэффективно и нецелесообразно. И ведь не идиоты придумывали мероприятия и считали затраты, и не ради себя любимых, но почему же тогда так происходит? Почему безопасность и бизнес не могут найти общего языка друг с другом, не смотря на то, что первая работает для стабильности и развития второго, а второй за это платит деньги? Попробуем разобраться на небольшом, но крайне важном примере.

Все без исключения физические и юридические лица, а также представители фауны и иногда флоры, ведут свою "деятельность" (в том числе и для собственных нужд) при постоянном использовании модного процесса с забугорным названием "риск-менеджмент". Процесс этот может быть не регламентирован, а сущность, его реализующая, может вообще не догадываться о его существовании, но именно этот процесс является неотъемлемой частью того, что называется "инстинкт самосохранения".

Как известно, классическая формула риск-менеджмента являет собой следующее незамысловатое выражение: Р = У х ВР (где У - это предполагаемый ущерб от реализации некоторого неблагоприятного явления, а ВР - вероятность реализации этого явления). Формула эта используется риск-менеджером для составления т.н. "матрицы" или "карты" рисков и выбора контрмер, снижающих риск до приемлемой величины (до т.н. "остаточного" риска). Общаясь с некоторыми риск-менеджерами (по крайней мере, так они о себе говорят), просто диву даешься, насколько глубоким смыслом можно обернуть указанное выше "незамысловатое" выражение, и как много значений "впихнуть" в эти четыре буквы.

Взять, например, букву У. Всем известно, что если ущерб оценивается количественно - то в результате вычислений получается "стоимость" риска (в деньгах), а если качественно - то "величина" (высокий, средний, низкий). Но что брать за точку отсчета? Здесь возможны варианты: одни предлагают в качестве У балансовую стоимость актива, другие - стоимость владения этим активом, третьи - величину затрат, необходимую на восстановление актива, четвертые предлагают "стоимость затрат на восстановление деятельности от утраты актива". Это далеко не полный перечень вариантов, но каждый риск-менеджер считает своим долгом отстаивать именно свой собственный, подкрепляя это "лучшими практиками" и "авторитетными рекомендациями", и не принимая никаких других оценок. Именно поэтому "количественная" оценка часто превращается в "качественную" - так легче найти компромисс.

То же самое касается и ВР. Одни утверждают: если определенное событие не произошло в течение длительного периода времени наблюдения, то вероятность того, что оно произойдет в будущем, при прочих равных условиях, крайне мала. Другие утверждают, что как раз "прочих равных условий" нет и быть не может, что внешняя среда постоянно меняется и нужно каждый раз оценивать вероятность по-новому, и что в постоянно меняющейся среде - наоборот, вероятность возникновения события тем выше, чем длительней период ее отсутствия в течение времени наблюдения. Третьи обвиняют первых и вторых в дилетантстве и говорят, что вероятность возникновения события тем выше, чем больше факторов, в совокупности приводящих к его возникновению, и постоянный поиск новых факторов и мониторинг уже существующих есть залог успеха любого риск-менеджера.

Что в этих условиях можно сказать про оставшуюся букву - Р? Ровно то же самое. Меры, предлагаемые риск-менеджером для уменьшения риска, могут быть направлены на снижение вероятности реализации неблагоприятного явления либо уменьшения ущерба от его возникновения. Поэтому все без исключения риск-менеджеры знают начало знаменитой фразы: "стоимость реализации мер по снижению риска не должна быть выше .... " Выше чего? Вариантов, как и в случае с ущербом, масса. На это самое "выше" претендуют и стоимость актива, и величина ущерба, и даже "дельта", выражающаяся в разнице между стоимостью риска и стоимостью остаточного риска. При этом риск-менеджеры, использующие качественную оценку риска, нервно курят в сторонке и, подумав, предлагают заменить фразы "высокий", "средний" и "низкий" интервальными оценками "от 1000 до 1000000". Оно и понятно: затраты на реализацию контрмер надо как-то обосновывать.

К сожалению, большинству "риск-менеджеров" совершенно невдомек, что каждый из имеющихся подходов имеет полное право на существование: выбор определенного подхода должен осуществляться в зависимости от характера деятельности и типа актива, в отношении которого происходит оценка рисков. Поэтому каждый ИБ-шник должен быть в том числе (и прежде всего) риск-менеджером, определяющим угрозы, считающим ущерб и рисующим (пусть и в голове) "карты" или "матрицы" для рисков, связанных с защищаемым им активом - информацией. Только разговаривая с бизнесом на понятном ему языке и оперируя понятными терминами, можно объяснить, какие риски в себе несет отсутствие замка на двери в серверное помещение, или чем опасно не продлить подписку на обновление антивируса.

Считать ущерб изначально нужно, пусть в "интервальных", но все же в деньгах, и это - первая проблема для ИБ-шника, справиться в одиночку с которой, без привлечения специалистов от "бизнеса" он, как правило, не в состоянии. Привлечение бизнес-экспертов полезно еще и тем, что в процессе защиты карты рисков и "вымарщивания" бюджета снижается вероятность появления сомнений в компетентности оценщика. Поэтому (даже если ИБ-шник считает себя "крутым" бизнес-менеджером) лучше заранее "схитрить" и сподвигнуть бизнес на принятие его (ИБ-шника) оценки как своей (бизнеса) собственной, чем бить себя кулаком в грудь, доказывая собственную правоту.

Вторая проблема, с которой ИБ-шник остается уже "один на один", заключается в определении вероятности реализации угроз защищаемому им активу. И вот здесь, что называется, "волка ноги кормят": вместо изучения рекламных проспектов вендоров и заучивания мантр вроде PDCA, DLP и ПэДэЭн - пройдитесь по объектам, посмотрите своими глазами на состояние дел, поговорите с людьми, и только потом посканируйте сеть и почитайте аналитику. Обоснование выставленной оценки вероятности должно быть подробным и понятным: минимум 85% содержания в нем должно отражать реальную картину дел, и только 15% -  гипотетических предположений и данных из  аналитических отчетов. Объяснение необходимости затрат наличием "требований законодательства", как правило, начисто нивелируются юридической службой, к которой обращается руководство с просьбой проанализировать судебную практику и дать оценку возможных последствий, и потому этот важный с точки зрения ИБ-шника аргумент на деле может быть использован только как дополнительный "бонус" (не лишним будет провести пару бесед с юридической службой - на всякий случай).

Третья проблема - это неправильная подача материала. При расчете стоимости контрмер необходимо предложить как минимум три варианта мероприятий, различных по стоимости и по степени снижения риска. Пусть ТОПы сами выбирают приемлемый уровень остаточного риска: все, что нужно сделать ИБ-шнику - дать топ-менеджменту понимание того, какая огромная была проделана работа, и возможность реализовывать свои непосредственные управленческие функции: принимать решение, тыкая пальцем в красивые картинки. Да, и не стоит наглеть при расчете экономического эффекта: лучше показать свои расчеты кому-нибудь, кто занимается экономическим анализом и планированием, чем доказывать справедливость "сэйва" в 10 млн. долл. за счет создания DMZ за 10 тыс. руб.

Ну и напоследок - совет: не принимать все близко к сердцу. В конце концов, если бизнес не готов бороться с риском путем реализации предложенных контрмер или страхования (в отношении ИБ это фантастика), то остается последний - третий вариант: руководство должно принять этот риск. Наиважнейшей задачей ИБ-шника является протоколирование всех принятых решений, письменное утверждение их у руководства и складывание оригиналов протоколов в папочку: именно она не только переложит ответственность с ИБ-шника на руководство, но и защитит ИБ-шника от претензий к нему самому в случае реализации принятых руководством рисков.

И если ИБ-шник, не кривя душой, скажет себе, что он сделал все, что мог - не стоит особо расстраиваться, раз не дали денег на софт или железку: в любом случае, организационной и бумажной работы бывает предостаточно вне зависимости от времени года и кризисных явлений.

Комментариев нет :

Отправить комментарий