вторник, 24 мая 2011 г.

Оценка вероятности реализации угрозы ИБ (экспертные оценки)

Список активов определен, перечень угроз составлен. Что дальше? Дальше следует оценить вероятность (возможность) реализации угроз ИБ (ВРУ). Какой подход выбрать и что в результате получится - именно об этом мой пост. 
Существует два основных подхода к оценки ВРУ:
1. Экспертный (ВРУ оценивает эксперт в области ИБ).
2. С  использованием различных математических подходов, основанных на статистических данных о произошедших угрозах ИБ в прошлом.

Первый подход применяется в том случае, если нет накопленной информации о произошедших угрозах в прошлом, например базы данных (БД) инцидентов ИБ. Организация приглашает эксперта или силами штатных сотрудников по ИБ проводит работы по оценки ВРУ. Если эксперт внешний, по отношению к организации, то у него уже есть заготовка шкалы оценки ВРУ, а если эксперт внутренний, то такую шкалу ему придется разработать самостоятельно или воспользоваться практикой зарубежных организаций. 
Шкала может быть двух видов - качественная и количественная. Банальный пример качественной шкалы приводится во многих методиках (низкая ВРУ, средняя ВРУ, высокая ВРУ). Что значит низкая, средняя и высокая - не совсем понятно. Расшифровать такую шкалу довольно просто, например, низкая ВРУ - угроза ИБ ни когда не реализуется; средняя ВРУ - угроза ИБ реализуется с вероятностью 50% и т.д. Не самый хороший вариант шкалы, но и не самый плохой ;).
Примеров с количественной шкалой не меньше чем с качественной, например, (0;0,25) - низкая ВРУ, [0,25;0,5) - средняя и т.д. Как эксперт будет определять количественное значение 0,25 или 0,27 и в чем разница - известно только ему, но он эту тайну ни за что не продаст ;).
Не стоит забывать и о компетентности эксперта (не имеет значение внутренний он или внешний), который будет оценивать значение ВРУ. Ведь оценка ВРУ специалистом по ИБ у которого от ИБ есть только диплом, а он уже лет пять работает администратором ИТ - вряд ли можно считать объективной. Процедуру оценки компетентности эксперта стоит продумать заранее. Одним из ключевых моментов в такой процедуре, являются критерии оценки, которые можно представить, например, в таком виде:
1. Наличие высшего образования по направлению ИБ (да-1, нет-0).
2. Наличие сертификатов по направлению ИБ (да-1, нет-0).
3. Прохождение последнего повышения квалификации (менее трех лет назад - 1, более трех лет назад -0)
4. Опыт работы
и т.д.
Далее нормируем значение оценки, что бы величина изменялась в пределах от 0 до 1.
На выходе Вы получаете некое значение компетентности эксперта которое в дальнейшем будет учитываться при определении ВРУ = компетентность * ВРУn. Например, эксперт проставил ВРУ1=0,25; ВРУ2=0,5, а значение оценки компетентности = 0,4, следовательно, ВРУ1= 0,1 и ВРУ2=0,2.

Основные недостатки подхода:
1. В конечном итоге, получаются субъективные оценки, даже не смотря на введеное значение коэффициента компетентности эксперта, которое безусловно приближает значение ВРУ к объективному.
2. Сложность в выборе количества интервалов качественной и количественной шкалы. Небольшое количество интервалов может привести к тому, что значение ВРУ актуальных угроз будет занижена. Большое количество интервалов сказывается на работе эксперта, в частности, проблема выбора интервала для определенной угрозы ИБ.
3. Значения ВРУ могут умышленно занижаться (внутренний эксперт) и завышаться (внешний эксперт).

К вопросу о втором подходе оценки ВРУ вернусь позже.

4 комментария:

Тарас Злонов комментирует...

Напоминает установление диагноза пациента консилиумом врачей. Интересно, они тоже вероятности считают или простым голосованием всё решают?

Сергей Ерохин комментирует...

Вряд ли они считают вероятности, скорее всего простое голосование. Хотя простым его назвать вряд ли можно. Мнение маститых врачей будет глушить мнение молодых начинающих врачей. В одной из серий сериала "интерны" есть сцена где Быков ошибочно определяет диагноз и авторитарно заставляет согласится интернов с этим мнением :).

IBSec комментирует...

По-моему что-то напутано с учетом значения компетентности эксперта. Его следует учитывать в случае, если экспертов нескольких и их оценки разные. Тогда путем суммирования оценок экспертов перемноженных на значение их компетентности мы и получаем некое средневзвешенное значение ВРУ. В Вашем же примере получается, что значение компетентности эксперта лишь понижает оценку ВРУ, т.е. чем менее опытен эксперт, тем выше он оценивает ВРУ. Как-то не логично. ???

Сергей Ерохин комментирует...

>>>В Вашем же примере получается, что значение компетентности эксперта лишь понижает оценку ВРУ, т.е. чем менее опытен эксперт, тем выше он оценивает ВРУ. Как-то не логично. ???

В моем случае получается так: если эксперт является опытным и удовлетворяет всем критериям, предъявляемым к его компетентности, то значение ВРУ, которое он проставляет - принимается. Если эксперт удовлетворяет не всем критериям, то проставленное им значение уменьшается (а не увеличивается ;)). Если компетентность эксперт не удовлетворяет более чем в 50% критериев, то задумайтесь, а стоит ли работать с таким экспертом.
Подход можно применять как для случаев с несколькими экспертами, так и для одного эксперта.