Практическое применение методов и средств анализа рисков

Андрей Сафонов, технический директор ООО "ПКИ"

Необходимость учета и анализа рисков, как основополагающих этапов при построении системы защиты, в последнее время находит все большее понимание у руководителей служб безопасности. Кроме того, соответствующие положения уже определены не только в западных стандартах и практиках, но и явно требуются в отечественных нормах (достаточно вспомнить стандарт Банка России СТО БР ИББС-1.0 или положение ЦБР № 242-П, а также нормативные документы ФСТЭК России по защите персональных данных). Однако между необходимостью реализации и практической реализацией есть несколько "но".

Качественные методы анализа рисков

Во-первых, неясно, какие подходы к оценке рисков использовать - качественные или количественные. Сравнение подходов, их плюсов и минусов многократно приводилось ранее, но при этом, как правило, упускался тот факт, что при сравнении подходов наглядность, простота использования, удобство и т.п. - это, несомненно, важные, но тем не менее второстепенные критерии. Учитывая, что назначением анализа рисков является обоснование выделения финансовых средств на меры по обработке рисков, основным критерием должна быть степень полезности результатов для обоснования таких вложений.

Таким образом, с одной стороны, качественные методы просты для понимания и использования, с другой - качественные методы не позволяют дать конкретную оценку, насколько выгодно применение комплекса контрмер и выгодно ли вообще. Действительно, разница в ущербе, например, между высоким и средним уровнем риска не очевидна. Если существует ряд внешних угроз с высоким уровнем возможного ущерба, то качественный анализ не дает обоснованного ответа на вопрос, например: какой межсетевой экран необходимо использовать для защиты периметра? Использовать дешевый встроенный или дорогой специализированный? Или же фактический ожидаемый ущерб будет настолько мал, что внедрение и поддержка любого межсетевого экрана обойдется дороже? Отсюда закономерный вывод: несмотря на распространенность качественных методов и построенных на них систем, таких как OCTAVE (www.cert.org/octave/), RiskPAC (www.cpacsweb.com), RA2 (www.aexis.de), PRo Audit Advisor (www.methodware.com) и им подобных, они фактически не дают ответа на вопрос бизнеса: как и насколько можно снизить затраты?

Количественные методы анализа рисков

Если говорить о количественных методах анализа рисков, то с ними сложнее. По идее, с помощью количественных методов можно с заданной точностью сказать о необходимых средствах и мерах защиты, а также о степени экономии денежных средств при их внедрении. В то же время существующие методы и средства имеют множество принципиальных недостатков.

Как, например, видно из сравнения, задание ущерба не самым лучшим способом реализовано в средствах CounterMeasures (www.countermeasures.com) и "РискМенеджер" (http://is.isa.ru/). Учитывая, что основная причина ущерба есть прямое следствие нарушения свойств активов (конфиденциальности, целостности и т.п., а не реализации угроз), то, задав ущерб как следствие реализации угроз, каждая из которых может влиять на несколько свойств активов, можно получиться, что один и тот же ущерб может быть учтен несколько раз.

Средства CounterMeasures и "Гриф" не учитывают зависимости между контрмерами, что важно, когда успешное противодействие угрозе есть следствие эффективной работы двух взаимосвязанных контрмер, например системы обнаружения атак и межсетевого экрана.

Средства CRAMM и "Гриф" (www.dsec.ru) не учитывают для каждой контрмеры стоимость ее эксплуатации, что является существенной статьей затрат, при этом "РискМенеджер" не позволяет рассчитывать стоимость эксплуатации на несколько лет. А это принципиальный вопрос при выборе защитной меры, так как на практике известно, что стоимость эксплуатации в течение трех лет, как правило, превышает стоимость внедрения.

Система "Гриф" ограничена в возможности задания собственных контрмер, при том, что база предопределенных слабо покрывает спектр реальных средств и решений. Также "Гриф" и "РискМенеджер" не позволяют задавать собственные свойства активов.

Только BCM-Analyser обладает возможностями задания функций ущерба по всем свойствам в виде функции времени, что учитывается при расчете эффективности контрмер, а также возможностью учета любых свойств активов, учетом стоимости контрмер, которые используются только в случае реализации угрозы.

Только BCM-Analyser обладает механизмом выбора наиболее оптимального решения посредством анализа всех возможных альтернатив. В то же время это является общей слабостью преобладающего большинства методов и средств оптимизации рисков. Практически все методы и средства оптимизации рисков предлагают пользователю самому подобрать оптимальную комбинацию контрмер, в лучшем случае показывая уровень остаточных рисков и стоимость владения данной комбинацией. В то же время несложный расчет показывает, что даже при 10 защитных мерах перебор возможных комбинаций (а их 2¹⁰ = 1024) - практически непростая задача. А если таких защитных мер тысячи?