Вчера, на форуме директоров по ИБ опять подняли тему оценки рисков. Традиционно. И опять ни к чему не пришли. Зрители в зале пытались получить серебряную пулю в виде конкретных рекомендаций, а выступающие отговаривались общими фразами про классическую формулу "риск = вероятность * ущерб". На вопрос про оценку ущерба ответ был предсказуем - "экспертная оценка". На вопрос о вероятности - экспертная оценка или база инцидентов. В итоге все остались недовольны. Одни - ответом. Другие - вопросом ;-)
Я к теме оценки рисков не обращался уже года два. Мне казалось я все сказал еще на InfoSecurity 2008. Но видимо придется тезисно повторить. Как было сказано в одной статье: "Анализ рисков, оценка их вероятности и тяжести последствий похожа на посещение игроками Лас-Вегаса - зал общий, а система игры у каждого своя". И действительно. Методов оценки вероятности существует большое пяти (я знаю семь). Методов оценки ущерба - больше трех десятков. Методик оценки рисков вообще под полсотни. А результат все равно никого не устраивает. Особенно бизнес, которому результат такой оценки пытаются втюхать.
За 2 года ситуация совсем не изменилась. Оценка рисков как была больше исскуством, чем наукой, так и осталась. Если не сказать больше. Оценка рисков ИБ сегодня - это шаманство. Резюме было подведено давно, в стандарте ISO 13335, в котором было сказано, что лучшая методика оценки рисков та, которая устраивает все стороны - и того, кто считает риски, и того, кому их демонстрируют. А уж какая она, совсем неважно. В прошлом ноябре, на конференции "Ведомостей", мне понравилось выступление Виталия Задорожного, директора по операционным рискам Вымпелкома. На вопрос о том, как он общается с руководством, он ответил просто - есть три сценария. Либо надо показать, что дает ИБ бизнесу (это всегда под вопросом). Либо риски от невыполнения требований должны быть катастрофическими. Либо руководство должно доверять своему CRO/CSO/CISO. И вот в последнем случае мнение оценщика и есть та самая методика оценки, которая устраивает всех.
Мне кажется, что пора уже заканчивать эти баталии о том, как правильно считать риски ИБ. Их считать сегодня нельзя. Нельзя так, чтобы оценка была реплицируемой и ей можно было бы доверять. Нет пока в нашей отрасли адекватных инструментов, чтобы считать статистику и оценивать ущерб. А без них говорить о какой-либо оценке рисков бессмысленно.
Я к теме оценки рисков не обращался уже года два. Мне казалось я все сказал еще на InfoSecurity 2008. Но видимо придется тезисно повторить. Как было сказано в одной статье: "Анализ рисков, оценка их вероятности и тяжести последствий похожа на посещение игроками Лас-Вегаса - зал общий, а система игры у каждого своя". И действительно. Методов оценки вероятности существует большое пяти (я знаю семь). Методов оценки ущерба - больше трех десятков. Методик оценки рисков вообще под полсотни. А результат все равно никого не устраивает. Особенно бизнес, которому результат такой оценки пытаются втюхать.
За 2 года ситуация совсем не изменилась. Оценка рисков как была больше исскуством, чем наукой, так и осталась. Если не сказать больше. Оценка рисков ИБ сегодня - это шаманство. Резюме было подведено давно, в стандарте ISO 13335, в котором было сказано, что лучшая методика оценки рисков та, которая устраивает все стороны - и того, кто считает риски, и того, кому их демонстрируют. А уж какая она, совсем неважно. В прошлом ноябре, на конференции "Ведомостей", мне понравилось выступление Виталия Задорожного, директора по операционным рискам Вымпелкома. На вопрос о том, как он общается с руководством, он ответил просто - есть три сценария. Либо надо показать, что дает ИБ бизнесу (это всегда под вопросом). Либо риски от невыполнения требований должны быть катастрофическими. Либо руководство должно доверять своему CRO/CSO/CISO. И вот в последнем случае мнение оценщика и есть та самая методика оценки, которая устраивает всех.
Мне кажется, что пора уже заканчивать эти баталии о том, как правильно считать риски ИБ. Их считать сегодня нельзя. Нельзя так, чтобы оценка была реплицируемой и ей можно было бы доверять. Нет пока в нашей отрасли адекватных инструментов, чтобы считать статистику и оценивать ущерб. А без них говорить о какой-либо оценке рисков бессмысленно.
Полностью согласен с Алексеем. Только вот, например, СТО БР ИББС этого мнения не учитывает и процесс оценки рисков там является обязательным. Для небольших банков это выглядит совсем лженаукой, в силу ограниченности ресурсов и достаточной прозрачности многих вопросов. И метод оценки рисков там как правило строится на доверии к мнению ИТ/ИБ руководителя.
ОтветитьУдалитьага, осталось только бизнесу согласиться с такой вот "расплывчатой" позицией..
ОтветитьУдалитьДумаю каждый безопасник для себя пришел к такому выводу. Может и не публично, но внутренне.. однозначно -
ОтветитьУдалитьслишко много неопределенности.
Нужно не считать риски, а реализовывать их самим против себя с минимальным ущербом для бизнеса. Демонстрировать затраты и последствия таких реализаций для руководства. Возникнет самоорганизация по защите. Тогда бизнес будет привит к более серьезным рискам.
Я за прививки!
альтернатива - утки....или модель угроз/модель нарушителя с четко прописанными уровнями )))
ОтветитьУдалитьЭто альтернатива для безопасника, но не для бизнеса
ОтветитьУдалитьКоллеги, надеюсь никто не станет отрицать что оценка рисков есть во всех международных ИБ-стандартах/практиках (ISO, NIST, PCI DSS и др.) Так что не надо про СТО БР. И отсутствие статистики - это совсем не помеха для проведения оценки рисков.
ОтветитьУдалитьНемного опоздав к дискуссии, хочется отметить, что не надо считать вероятности, собирать статистку..., все гораздо легче - подумайте как оценить бизнес. И вот Вам счастье.
ОтветитьУдалитьНемного опоздав к дискуссии, хочется отметить, что не надо считать вероятности, собирать статистку..., все гораздо легче - подумайте как оценить бизнес. И вот Вам счастье.
ОтветитьУдалитьДа, совсем чуть чуть надо сделать ;-)
ОтветитьУдалить