Второй подход оценки ВРУ основан на использовании различных математических аппаратов. Если посмотреть труды различных ученых, то с первого взгляда можно оценить все разнообразие таких подходов. Кто-то предлагает оценивать вероятность с использованием теории случайных процессов, кто-то с использованием нечеткой логики и нечетких множеств, кто-то теории надежности и.т.д. Авторефераты этих работ без проблем можно найти в интернете.
Но хочу заметить, что за множеством различных формул, терминов, например, "функции принадлежности", "фазификация", "функции и плотности распределения", "интегральные оценки", численными методами "монте-карло", "сети петри", "марковские цепи и процессы", "конечные автоматы" - скрываются все те же оценки экспертов, либо статистически накопленные данные.
Как и почему они там используются? Для того, что бы математическая модель начала работа необходимо что-то подать на вход этой модели. В качестве входных данных могут выступать такие значения как: количество произошедших угроз ИБ, интенсивность происходивших угроз ИБ, уязвимости программного обеспечения и средств защиты, степень выполнения требований ИБ (простая зависимость: если требования выполняются то ВРУ ниже) и т.д. А на выходе получается значение ВРУ. Достоверность полученных результатов зависит от достоверности входных данных.
Количество произошедших угроз может браться из собственной БД (если она конечно ведется :)) или из общедоступных источников. Откуда лучше брать информацию? Лучше брать накопленную информацию по угрозам ИБ и дополнять ее информацией из обще доступных источников. При этом необходимо обращать особое внимание на вид деятельности организаций для которых представлена статистика. Ведь вы не станете устанавливать в легковую машину двигатель от грузовой :). Вот и тут не надо на организацию здравоохранения или металлургический комбинат примерять статистику по угрозам ИБ от банковского сектора.
Приимущества подхода:
- использование математических подходов приближает результат оценки ВРУ к объективной.
Недостатки:
- коммерциализация программных продуктов с использованием таких подходов очень низкая, я бы даже сказал практически 0, на сколько я знаю, всего два российских продукта, с определенными поправками, можно отнести к этой категории "АванГард" и "Digital Security Office".
5 комментариев:
Статистики инцидентов ИБ в открытых источниках практически нет, охраняют похлеще гостайны, а собственной может просто не быть (ну повезло), хотя дырок предостаточно. Остается ППП (пол-палец-потолок).
Ну почему нет :), вот попытки собрать и обнародовать http://secinsight.blogspot.com/2011/05/blog-post_25.html
В этой попытке отображаются только публичные инциденты - то есть те, которые повлияли на лицо компании.
На самом деле на один крупный публичный инцидент может быть 100 внутренних непубличных (таких как вирусное заражение, сбой сервера, сбой резервного копирования, отключение электропитания, вынос информации)
Иногда становится известным информация об инциденте (утечке такой-то базы) но не публикуется с реализацией какой угрозы это связано.
Сергей Ерохин: скажите пожалуйста статистика о скольких инцидентах есть у вас лично?
Удалось хоть раз применить этот метод на практике в реальной компании или это только теория?
Событий порядка 200-250 в год.
Инцидентов 10-15 в год.
Лично я не видел :), но если вот в этом продукте http://dsec.ru/products/lcms/info/more/ реализуют возможность автоматического расчета на основе статистики накопленной информации в этом же продукте, то думаю мы увидим. Тем более что руководитель некто Медведовский - к.т.н. :)
Отправить комментарий