18.04.2012

Как считать риски?

Вчера, на форуме директоров по ИБ опять подняли тему оценки рисков. Традиционно. И опять ни к чему не пришли. Зрители в зале пытались получить серебряную пулю в виде конкретных рекомендаций, а выступающие отговаривались общими фразами про классическую формулу "риск = вероятность * ущерб". На вопрос про оценку ущерба ответ был предсказуем - "экспертная оценка". На вопрос о вероятности - экспертная оценка или база инцидентов. В итоге все остались недовольны. Одни - ответом. Другие - вопросом ;-)

Я к теме оценки рисков не обращался уже года два. Мне казалось я все сказал еще на InfoSecurity 2008. Но видимо придется тезисно повторить. Как было сказано в одной статье: "Анализ рисков, оценка их вероятности и тяжести последствий похожа на посещение игроками Лас-Вегаса - зал общий, а система игры у каждого своя". И действительно. Методов оценки вероятности существует большое пяти (я знаю семь). Методов оценки ущерба - больше трех десятков. Методик оценки рисков вообще под полсотни. А результат все равно никого не устраивает. Особенно бизнес, которому результат такой оценки пытаются втюхать.

За 2 года ситуация совсем не изменилась. Оценка рисков как была больше исскуством, чем наукой, так и осталась. Если не сказать больше. Оценка рисков ИБ сегодня - это шаманство. Резюме было подведено давно, в стандарте ISO 13335, в котором было сказано, что лучшая методика оценки рисков та, которая устраивает все стороны - и того, кто считает риски, и того, кому их демонстрируют. А уж какая она, совсем неважно. В прошлом ноябре, на конференции "Ведомостей", мне понравилось выступление Виталия Задорожного, директора по операционным рискам Вымпелкома. На вопрос о том, как он общается с руководством, он ответил просто - есть три сценария. Либо надо показать, что дает ИБ бизнесу (это всегда под вопросом). Либо риски от невыполнения требований должны быть катастрофическими. Либо руководство должно доверять своему CRO/CSO/CISO. И вот в последнем случае мнение оценщика и есть та самая методика оценки, которая устраивает всех.

Мне кажется, что пора уже заканчивать эти баталии о том, как правильно считать риски ИБ. Их считать сегодня нельзя. Нельзя так, чтобы оценка была реплицируемой и ей можно было бы доверять. Нет пока в нашей отрасли адекватных инструментов, чтобы считать статистику и оценивать ущерб. А без них говорить о какой-либо оценке рисков бессмысленно.

9 коммент.:

Олег комментирует...

Полностью согласен с Алексеем. Только вот, например, СТО БР ИББС этого мнения не учитывает и процесс оценки рисков там является обязательным. Для небольших банков это выглядит совсем лженаукой, в силу ограниченности ресурсов и достаточной прозрачности многих вопросов. И метод оценки рисков там как правило строится на доверии к мнению ИТ/ИБ руководителя.

Алексей Евменков комментирует...

ага, осталось только бизнесу согласиться с такой вот "расплывчатой" позицией..

biakus комментирует...

Думаю каждый безопасник для себя пришел к такому выводу. Может и не публично, но внутренне.. однозначно -
слишко много неопределенности.

Нужно не считать риски, а реализовывать их самим против себя с минимальным ущербом для бизнеса. Демонстрировать затраты и последствия таких реализаций для руководства. Возникнет самоорганизация по защите. Тогда бизнес будет привит к более серьезным рискам.

Я за прививки!

Flint комментирует...

альтернатива - утки....или модель угроз/модель нарушителя с четко прописанными уровнями )))

Алексей Лукацкий комментирует...

Это альтернатива для безопасника, но не для бизнеса

Александр Бондаренко комментирует...

Коллеги, надеюсь никто не станет отрицать что оценка рисков есть во всех международных ИБ-стандартах/практиках (ISO, NIST, PCI DSS и др.) Так что не надо про СТО БР. И отсутствие статистики - это совсем не помеха для проведения оценки рисков.

major комментирует...

Немного опоздав к дискуссии, хочется отметить, что не надо считать вероятности, собирать статистку..., все гораздо легче - подумайте как оценить бизнес. И вот Вам счастье.

major комментирует...

Немного опоздав к дискуссии, хочется отметить, что не надо считать вероятности, собирать статистку..., все гораздо легче - подумайте как оценить бизнес. И вот Вам счастье.

Алексей Лукацкий комментирует...

Да, совсем чуть чуть надо сделать ;-)